Useimmat sisäiset työkalut perivät oikeudenkäyttöalueensa sattumalta. Tiimi tarttuu nopeimpaan käsillä olevaan SaaS-ratkaisuun, data päätyy sinne, missä kyseinen toimittaja sattuu toimimaan, ja vuotta myöhemmin joku lakiosastolla kysyy, missä asiakastiedot todella sijaitsevat — ja saa epämukavan vastauksen. Kasvuvaiheen yritykselle, joka toimii GDPR:n ja yhä enemmän myös NIS2:n ja EU:n tekoälysäädöksen alaisuudessa, tuo sattuma on vastuu, joka odottaa auditointia.
NordOps rakentaa toisin päin. Kun rakennan räätälöityä operatiivista ohjelmistoa, EU:n datan sijaintipaikka lyödään lukkoon ennen kuin yhtäkään taulua on suunniteltu. Sekä ajoympäristö että lähdekoodi sijaitsevat Saksassa, EU:n oikeudenkäyttöalueella, ilman Yhdysvaltain juridista altistumista rakenteellisesti. Compliancea ei liitetä jälkikäteen järjestelmään, joka on suunniteltu jossain muualla — siitä lähdetään liikkeelle.
Datan sijaintipaikka suunnitteluvaatimuksena, ei jälkiasennuksena
On todellinen ero ohjelmiston välillä, joka sattuu toimimaan Euroopassa, ja ohjelmiston välillä, joka on suunniteltu toimimaan siellä. Ensimmäistä tyyppiä voidaan siirtää, ohjata uudelleen tai hiljaa isännöidä uudelleen seuraavalla kerralla, kun toimittaja muuttaa infrastruktuuriaan. Jälkimmäinen tyyppi kohtelee datasi sijaintia osana määrittelyä — jotain, minkä arkkitehtuuri takaa eikä jotain, minkä asetussivu vain lupaa.
GDPR-yhteensopivissa räätälöidyissä sisäisissä työkaluissa EU:ssa tämä ero näkyy tylsissä, kantavissa yksityiskohdissa:
- Missä tietueet lepäävät. Jokainen tallennuspaikka — tietokanta, tiedostotallennus, varmuuskopiot, lokit — provisioidaan EU:n sisälle alusta lähtien, ei siirretä sinne myöhemmin.
- Missä käsittely tapahtuu. Taustatyöt, tekoälyavusteiset vaiheet ja integraatiot toimivat alueen sisällä, joten data ei hiljaa poistu unionista käsiteltäväksi muualla.
- Kenellä on oikeudenkäyttövalta. Isännöinti Saksassa tarkoittaa, että EU:n lainsäädäntö hallitsee infrastruktuuria, eikä Yhdysvaltain oikeudenkäyttövalta ulotu ajoympäristöön tai lähdekoodiin.
Koska nämä ovat suunnitteluvaiheessa tehtyjä päätöksiä, ne kestävät, kun joku vihdoin esittää vaikean kysymyksen. Datan sijaintipaikka räätälöidylle operatiiviselle ohjelmistolle Euroopassa lakkaa olemasta toiveikas väite ja muuttuu järjestelmän ominaisuudeksi, johon voi osoittaa.
Lähdekoodi ja ajoympäristö Saksassa, ei Yhdysvaltain oikeudenkäyttöaluetta
Molemmat puolet toteutuksesta elävät EU:ssa. Ajoympäristö — palvelimet, joita tiimisi todella käyttää päivittäin — toimii Saksassa. Lähdekoodi — repositorio, toteutusputki, tarkka tallenne siitä, mitä ohjelmisto tekee — on isännöity myös EU:ssa. Kumpikaan ei altistu Yhdysvaltain oikeudenkäyttöalueelle, eikä kumpikaan riipu yhdysvaltalaisomisteisesta alustasta, joka istuu hiljaa polulla.
Tällä on merkitystä, koska sijaintipaikka on vain yhtä vahva kuin sen heikoin lenkki. Ei riitä, että tietokanta on Frankfurtissa, jos julkaisuputki, virhelokit tai upotettu kolmannen osapuolen palvelu ulottuvat Atlantin yli. EU:ssa isännöidyn räätälöidyn liiketoimintaohjelmiston on oltava EU:ssa isännöity aina pohjalle asti — ja toteutus, joka pidetään tarpeeksi pienenä omistettavaksi, on myös tarpeeksi pieni todennettavaksi.
Tunkeutumistestaus ja raportti sisältyvät jokaiseen toteutusmoduuliin — joten EU:ssa isännöidyn järjestelmäsi turvallisuustaso on dokumentoitu, ei oletettu.
Miltä luovutus näyttää — sinä valitset määränpään
Ohjelmiston omistaminen tarkoittaa sen sijaintipaikan omistamista. Jokainen toimeksianto siirtää täyden lähdekoodin omistuksen sinulle, ja sen mukana vapauden päättää määränpäästä. Ei lukitusta, ei tilausta, eikä riippuvuutta siitä, että NordOps jatkaisi minkään isännöintiä.
Luovutuksessa voit:
- Pitää sen siellä missä se toimii — jättää ajoympäristön Saksaan ja jatkaa eteenpäin, lähdekoodin ollessa nyt täysin käsissäsi.
- Siirtää sen omaan EU-vuokraympäristöösi — ottaa siirretyn lähdekoodin käyttöön omassa infrastruktuurissasi, edelleen EU:n sisällä, omilla tileilläsi.
- Viedä sen minne olet oikeutettu — koodi on sinun; sijaintipaikkavalinta on sinun tehtäväksesi ja uudelleentehtäväksesi sitä mukaa kun velvoitteesi muuttuvat.
Jokaisen toteutuksen perusta — Hallintaportaali ja Prosessori, niputettuna yhdeksi toteutusmoduuliksi — toimitetaan samoilla omistusehdoilla kuin kaikki sen päälle rajattu. Et koskaan vuokraa sitä, mistä operaatiosi riippuu.
Sääntelyn sujuvuus on käyttöönoton asiantuntemusta — ei compliance-konsultointia
Yksi selvennys, suoraan sanottuna: NordOps ei ole compliance-konsultointipalvelu, eikä tämä ole lakineuvontaa. En auditoi GDPR-ohjelmaasi, kirjoita NIS2-käytäntöjäsi enkä hyväksy EU:n tekoälysäädöksen mukaista asemaasi. Se työ kuuluu lakimiehellesi ja tietosuojavastaavallesi.
Se, mitä tuon mukanani, on käyttöönoton asiantuntemus — sujuvuus rakentaa ohjelmisto, joka istuu mukavasti näiden säädösten sisällä, koska sijaintipaikka, datavirrat ja oikeudenkäyttöalue olivat teknisiä päätöksiä alusta lähtien. Ero on siinä, neuvotko sääntöjen suhteen vai rakennatko ohjelmiston, joka jo kunnioittaa niitä. Työni on varmistaa, että työkalu, jonka omistat, on sellainen, jota compliance-toimintosi voi puolustaa, ei sellainen, joka heidän täytyy selitellä pois.
Kun EU:ssa isännöity räätälöity liiketoimintaohjelmisto suunnitellaan tällä tavalla — sijaintipaikka ensin, lähdekoodi ja ajoympäristö Saksassa, omistus siirretty kokonaan — datan sijaintipaikasta lakkaa tulla toistuva huoli, ja siitä tulee vakiintunut tosiasia siitä, miten operaatiosi toimii.