Vakuutustoimintaa pilvessä

Kirjoittaja Mikko Määttä työskentelee Finanssivalvonnan Vakuutusvalvonnassa valvontapäällikkönä ja Maija Vartiainen ryhmäpäällikkönä.

Pilvipalvelu on yleistynyt vakuutusalallakin tapana hankkia käyttöön tiedonkäsittelykapasiteettia, niin ohjelmistoja kuin laitteistoa. Paperiarkistot ja omien konesalien ylläpito ovat jäämässä historian lehdille, kun vakuutustietojen säilytykseen ja käsittelyyn ostetaan palveluntarjoajilta jaettua, joustavaa ja skaalautuvaa pilvipalvelua. Pilvipalveluilla on monesti muitakin etuja, kuten kustannustehokkuus, nopea saatavuus ja helppo hallittavuus. Palvelut herättävät aiheellisesti myös kysymyksiä esimerkiksi tietosuojan tasosta, valvontamahdollisuuksista sekä tietojen eheyden ja saatavuuden varmistamisesta. Pilvessä niin hyödyt kuin haitatkin skaalautuvat – pilven reuna ei aina ole hopeinen.

Miten vakuutusalan toimijoita ohjaava lainsäädäntö suhtautuu pilven käyttöön? Lyhyt vastaus on, ettei mitenkään erityisesti. Pilvipalveluihin kannattaakin vakuutusalalla suhtautua samalla tavalla kuin IT-palvelujen hankintaan muutoinkin. Laki ei ohjaa pilvipalvelujen käyttäjäksi mutta ei myöskään estä käyttöä, kunhan palvelu täyttää IT-hankinnan normaalit vaatimukset ja riittävät kontrollit ovat yhtiössä paikallaan. Liiketoiminnan näkökulmasta kyse on tavanomaisesta hyötyjen, haittojen, kustannusten ja riskien välisestä punninnasta.

Pilvipalvelujen käyttöä harkittaessa on hyvä selvittää aluksi, onko kyse toiminnan ulkoistuksesta. Yleensä näin on, jos ulkoisen palvelun käyttö on toistuvaa tai jatkuvaa ja osa normaalia vakuutustoimintaa. Pilvipalvelujen käyttöön sovelletaan tällöin ulkoistamisen säännöksiä. Selvitettäviä peruskysymyksiä ovat esimerkiksi millä edellytyksillä toimintaa voi ulkoistaa ja mitä asioita tulee ottaa huomioon ulkoistamissopimuksessa. Sääntely on tältä osin melko yksityiskohtaista ja vakiintunutta.

Toinen olennainen kysymys liittyy tehtävien ja riskien jakautumiseen palveluntarjoajan ja asiakkaana olevan vakuutusyhtiön tai muun valvottavan välillä. Pilvipalvelujen yleiset palvelumallit eroavat toisistaan keskeisesti siinä, miten vastuu tehtävän suorittamisesta on jaettu.

1. Palveluntarjoajalta hankitaan palvelun tuottamiseen liittyvä tekninen laitteisto (infrastruktuuri palveluna). Tehtävän suorittaminen säilyy muuten valvottavalla itsellään. Valvottavan oman osaamisen tarve on suurimmillaan.
2. Palveluille hankitaan valmis ohjelmistoalusta (ohjelmistoalusta palveluna). Valvottava huolehtii tehtävässä tarvittavista sovelluksista.
3. Palveluntarjoaja tuottaa tarvittavat palvelut kokonaan (ohjelmisto palveluna). Valvottavan oman osaamisen tarve on pienin.

Palvelumallista riippumatta sovittavia asioita ovat muun muassa osapuolten tehtävät mahdollisissa häiriötilanteissa ja palveluntarjoajan vahingonkorvausvastuu. Omaa vastuutaan esimerkiksi asiakkaitaan kohtaan valvottava ei toki voi ulkoistaa palveluntarjoajalle.

Palvelu- ja toteutusmallien lisäksi palveluntarjoajan kotipaikka ja palvelimien fyysinen sijainti ovat keskeisiä operatiivisiin riskeihin ja tietosuojaan vaikuttavia tekijöitä. Riskienhallinta ja tietosuojan varmistaminen ovat yleensä helpompaa lähellä kuin kaukana. Erittäin luottamuksellisten tai toiminnan jatkuvuuden kannalta kriittisten tietojen käsittely voi olla perusteltua rajoittaa kotimaisille palvelimille ja kotimaiselle palveluntarjoajalle. EU/ETA-alue puolestaan tarjoaa osittain yhtenäisen lainsäädäntönsä (esimerkiksi tietosuoja-asetus) vuoksi mahdollisuuksia pilvipalvelujen käyttöön vähemmällä valmistelulla kuin kolmannet maat. Operatiivisten riskien hallitsemiseksi on myös tarpeen kouluttaa oma henkilöstö riittävästi palvelujen käyttöön.

Pilvipalvelumallia valittaessa on hyvä muistaa, että valvottavalla tulee joka tapauksessa säilyä riittävä mahdollisuus valvoa palveluntarjoajan toimintaa ja tarpeellinen oma asiantuntemus esimerkiksi palveluntarjoajan vaihtamista silmällä pitäen. Myös Finanssivalvonnalla on oltava aina riittävä mahdollisuus tietojensaantiin ja tarkastuksiin riippumatta siitä, hoitaako tehtävää valvottava itse vai palveluntarjoaja valvottavan puolesta.

Asian käsittely jää blogissa pinnalliseksi, mutta lisätietoa on tarjolla. Euroopan vakuutus- ja lisäeläkeviranomainen (EIOPA) valmistelee parhaillaan vahinko- ja henkivakuutusyhtiöille ohjeita (linkki päivitetty 5.2.2020), jotka koskevat toiminnan ulkoistamista pilvipalvelujen tarjoajille. Kyberturvallisuuskeskus on julkaissut pilvipalvelujen turvallisuuden arviointikriteeristön, joka sisältää tulkintoja ja ohjeita pilvipalveluihin liittyvien riskien arviointiin sekä palvelujen turvallisuuteen vaikuttavia hyviä käytäntöjä.