Tietosuoja 1/2013 - Lehtiluukku.fi

Haluatko ostaa tämän lehden?

Vaikuttaako lehti kiinnostavalta? Voit lukea koko lehden valitsemalla "Lisää ostoskoriin". Mukavia lukuhetkiä!

Olet esikatselutilassa. Lue koko lehti

2013 15 ? Tutustu uudistuneeseen Tietosuojaan! Tehtävänä tietosuojavastaava Näin perustelet tietoturvainvestoinnit Mikael Jungner yksityisyyden asialla. tietoturvan ja tietosuojan erikoislehti 1
2013 Sisältö Lyhyesti 7 8 Pääkirjoitus 5 shutterstock 4 Miten on? Varaudu uhkiin järjestelmällisesti Olli Häkämies 8 14 Näin perustelet investoinnit 15 Kolumni 16 Asiantuntijalta Luottamus ja yksityisyys ubiikeissa tietojärjestelmissä Pekka Ruotsalainen 18 Mikael Jungner: Avoimuuden edustaja yksityisyyden asialla 22 Lait ja säädökset 24 Rekisteröi tämä Väestötietojärjestelmä 25 Kysy meiltä 18 Tietoturvan ja tietosuojan erikoislehti Huhtikuu 2013 Julkaisijat Patentti- ja rekisterihallitus Tietosuojavaltuutetun toimisto Tietosuojalautakunta Viestintävirasto Päätoimittaja Hanna Tamminen, Viestintävirasto hanna.tamminen@ficora.fi Toimitussihteeri Päivi Männikkö, Stellatum Oy paivi.mannikko@stellatum.fi Toimituspäälliköt Eija Kara, tietosuojavaltuutetun toimisto, eija.kara@om.fi Anna Lauttamus-Kauppila, Patentti- ja rekisterihallitus, anna.lauttamus-kauppila@prh.fi Ulkoasu Tarja Salonen, Sininen Arkki Oy tarja.salonen@sininenarkki.fi Kannen kuva Olli Häkämies 2? tietosuoja 1 . 1 . 2013
0400 435 636 anne.paavilainen@stellatum.fi 25. tietosuoja-lehti.fi 26 26 Sairausloman syy ei kuulu kaikille 28 Gallup Työterveyshuollolle raportointi on työväline 29 Ilmiöt numeroina 30 Ohjelmistohaavoittuvuus on kaikkien riesa futureimagebank 33 Näkökulma Tietoturvallisuusasetuksen deadline lähestyy . oletko valmis? 34 Lautakunnasta kuuluu Valokeilassa päätöksentekijä 38 36 E-arkistossa urkinnasta on tehty hankalaa 38 Perintö bittiavaruudessa 41 Salainen perukirja 42 Tehtävänä tietosuojavastaava 45 Selailtua 42 maija nyman 46 Verkkolehdessä ja ensi numerossa Emme halunneet jäädä hyssyttelemään urkintaa. Kustantaja Stellatum Oy Purotie 1 B 00380 Helsinki Ilmoitusmarkkinointi Anne Paavilainen, Stellatum Oy puh. 2013 3. vuosikerta ISSN 0786-5767 Painopaikka Hämeen kirjapaino Oy L LI IA IN PA PAIN A RAA R UT UT HIILIN E HIILIN E Toimituskunta Ari-Matti Husa, Elina Koskipahta ja Erika Leinonen, Viestintävirasto Lauri Karppinen, tietosuojavaltuutetun toimisto Olli Ilmarinen, Patentti- ja rekisterihallitus sekä toimituspäälliköt 441441 209209 Painotuote Painotuote E UOT OT OTE U OT Toimitusneuvosto puheenjohtaja, Reijo Aarnio Nora Elers, FiCom ry Jukka Ihanus, Stellatum Oy Eila Ratasvuori, Helsingin kaupunki Ahti Saarenpää, Lapin yliopisto Anu Talus, oikeusministeriö ja toimituspäälliköt ClimateCalc ClimateCalc CC-000025/FI CC-000025/FI HÄMEEN HÄMEEN KIRJAPAINO KIRJAPAINO OYOY tietosuoja 1
teollisoikeuksista erityisesti tavaramerkit ja yritysnimet. on meille kaikille tuttu merkityksessä internetprotokolla. käsi kädessä vai napit vastakkain? Teollisoikeusviranomaisen, kuten Patentti- ja rekisterihallituksen, näkökulmasta internetin yhtenä etuna ovat verkon tietokannat ja -palvelut. on myös valtava mahdollisuus. IPR ei suojaa tietoa vaan sen pohjalta syntynyttä tulosta. Ehkä internetin suurin mahdollisuus on, että sen avulla brändejä voidaan luoda ja IPR-oikeuksia lisensioida maailmanlaajuisesti nopeammin, pienemmillä investoinneilla ja yllättävämmiltä tahoilta kuin koskaan ennen. Koska juuri tekijän- ja tavaramerkkioikeuden alaiset tuotokset leviävät netissä helpoimmin, internetin mahdollisuudet ja uhat liittyvät usein niihin. IPR on sekä oikeus että keino yksiselitteisesti todentaa se, kuka jonkin asian on luonut, kehittänyt tai keksinyt, tai kenellä on oikeudet jonkun toisen kehittämiin asioihin. Internetin sananvapauden nimissä on vaadittu tiedon vapaata liikkuvuutta netissä, ja IPR on nähty yksipuolisesti tämän esteenä. Ne mahdollistavat tiedon vaivattoman ja kustannustehokkaan jakelun sekä hyödyntämisen. O Seuraavaa Roviota odotellessa, Rauni Hagman Patentti- ja rekisterihallituksen pääjohtaja 4? tietosuoja 1 . 2013. 2013 IPR ja internet . Vaikka IPR on kielto-oikeus, se pitäisi nähdä myös välineenä, jolla oikeudenhaltija voi päättää, kenellä on oikeus käyttää hänen työnsä tuloksia. Internetissä tyypillisin vastaantuleva IPR on tekijänoikeus. IP tarkoittaa kuitenkin myös henkisen luovan työn tuloksena syntyvää aineetonta omaisuutta (Intellectual Property), johon liittyy oikeuksia (IPR, Intellectual Property Rights). Se, mitä ei useinkaan ymmärretä on, että IPR ei suojaa tietoa sinänsä vaan sen pohjalta aikaansaatua työn tulosta, teknistä ratkaisua, muotoa tai tunnusta. Juuri nopean ja tehokkaan tiedonlevityksen takia internet onkin oiva väline toiminnallisten ratkaisujen ja teknologioiden yhdistämiseen kokonaan uusiksi palveluiksi. kaapo kamu L yhennys ?IP. Pääkirjoitus 1 . Se arvokas yrityksiin ja teollisoikeuksiin liittyvä tekninen ja taloudellinen tieto, joka ennen piti hakea virastoista tai kirjastoista, on nyt maailmanlaajuisesti kenen tahansa käytettävissä 24/7. Internet on julkinen ja maailmanlaajuinen, mikä on etu, kun halutaan näkyvyyttä, mutta riski, jos jonkin tuotoksen jakelua halutaan hallita ja varsinkin rajoittaa alueellisesti. Lisäksi netissä on näkyvästi esillä kaikki muukin IP(R), joka voidaan siirtää digitaalisessa muodossa tai on muuten helposti graafisesti esitettävissä . Kun asiat on hoidettu oikein, internetin ?rajattomuus
Rekisteröi tämä -sarjassa esitellään keskeisiä henkilörekistereitä. Siinä on kuitenkin hyödyllistä tietoa jilla. O Valtioneuvoston periaatepäätös määrittää kyberturvallisuuden tavoitteet ja toimintalinjat lähivuosiksi. O myös koululaisten vanhemmille. tietosuoja 1 . Nykyisin yhä useammat kou- reissuvihkoissa henkilötietojen käsittely on lut korvaavat paperivihkot verkkopalvelulla. suunniteltava etukäteen, ja se on opetuksen Kädessäsi on uudistuneen Tietosuoja-lehden ensimmäinen numero. Opas on tar- Esimerkiksi luokanvalvojalla on työtehtä- koitettu erityisesti niiden käyttöön, joiden viinsä liittyvä peruste käsitellä luokkansa tehtäviin kuuluu oppilaiden henkilötietojen oppilaiden poissaolotietoja, mutta samaa käsittelyä sekä sen suunnittelua ja ohjeista- käsittelyperustetta ei ole kaikilla opetta- mista. Joka numerossa esitellään tietoyhteiskuntaasioiden parissa toimiva henkilö. Toimitus toivoo runsaasti lukijapalautetta uudistuneesta lehdestä. Sähköisissä täytymisestä. Siinä tarkastellaan, miten yhteis- arkaluonteisia ja salassa pidettäviä tietoja. työssä käytettävissä sähköisissä palveluissa Eri työtehtävissä tietojen tarve vaihtelee. saa käsitellä henkilötietoja. Tietosuojalautakunnan päätöksille sekä ajankohtaisille lakiasioille on samoin omat palstansa. Katso yhteystiedot sivulta 46. 2013 5. Asiantuntijoiden kirjoittamia näkemyksiä voit lukea Asiantuntijalta- ja Näkökulmapalstoilta sekä Kysy-palstalta, johon toivotaan lukijoilta runsaasti kysymyksiä. tero pajukallio Lyhyesti Tietosuoja uudistui Opas sähköisen reissuvihkon käyttöön Peruskoululaiset kuljettivat ennen repuis- Oppaassa muistutetaan, että kaikki sel- saan niin sanottua reissuvihkoa, johon van- laiset merkinnät, jotka voidaan yhdistää hemmat merkitsivät oppilaan poissaolojen oppilaaseen tai hänen huoltajiinsa jolla- syyt ja opettajat raportoivat oppilaan käyt- kin tavalla, ovat henkilötietoja. Visiona on, että Suomi on vuonna 2016 maailmanlaajuinen edelläkävijä kyberuhkiin varautumisessa. Tarkempia toimenpiteitä suunnitellaan tänä keväänä, kun ministeriöt laativat hallinnonalakohtaiset toimenpideohjelmansa. Risuja, ruusuja, kysymyksiä sekä juttuvinkkejä voit lähettää puhelimitse, sähköpostitse tai verkkolehden lomakkeella. Lehden ulkoasu on kokenut suuren muutoksen ja sisältöä on jäntevöitetty. Tietosuojan ja tietoturvan ajankohtaisia kuulumisia esitellään Lyhyesti, Ilmiöt numeroina ja Selailtua -palstoilla. O Tietosuojavaltuutetun toimisto on jul- järjestäjän vastuulla. kaissut oppaan oppilaiden henkilötietojen Etukäteen pitää suunnitella esimerkiksi, käsittelystä kodin ja peruskoulun yhteis- missä työtehtävissä oppilaista tarvitaan työssä
Väitöstutkimuksessa vinoumat ovat niin suuria, että salaus voi- havaittiin heikkouksia muun muassa paljon daan murtaa niiden avulla. Menetelmien turvallisuu- yliopistossa maaliskuussa hyväksytyssä väi- den arvioinnissa käytetään tyypillisesti ar- töskirjassa tutkitaan, miten salausmene- viointitekniikoita, joilla etsitään tilastollisia telmien toiminnan lineaarisuus vaikuttaa vinoumia salatusta tekstistä. Potilastietojen salassapitovelvollisuus kuitenkin väistyy, kun tietoja pyytää potilas itse tai toinen henkilö, joka on tullut potilaan sijaan tietojen pyytäjäksi. shutterstock Lyhyesti Ohje neuvoo sovelluskehittäjiä tietoturvassa Salausmenetelmissä on eroja Salausmenetelmien turvallisuuden yksi salausmenetelmän toiminta on osittain edellytys on, että menetelmä tuottaa mah- lineaarista. Diplomi-insinööri Risto Hakalan Aalto- kielistä tekstiä. Kunta oli menetellyt henkilötietolain vastaisesti vaatiessaan kirjallista pyyntöä, koska lain mukaan käynti rekisterinpitäjän luona riittää. Oppaassa neuvotaan, kuinka tietoturva huomioidaan uuden järjestelmän kehittämishankkeessa alusta alkaen. O Omien tietojen tarkastusta ei tarvitse pyytää kirjallisesti Apulaisoikeusasiamies Maija Sakslin antoi kunnalle huomautuksen henkilötietolain vastaisesta menettelystä, kun vanhainkoti ei suostunut antamaan potilastietoja potilaan tyttärelle ilman kirjallista pyyntöä. Kunta perusteli linjaansa sillä, että sivullisilla ei ole oikeutta potilastietoihin. 2013. Pahimmillaan niiden turvallisuuteen. O 6? tietosuoja 1 . Arviointiteknii- käytetystä OpenSSL-ohjelmiston ECDSA- kat voivat hyödyntää esimerkiksi sitä, että allekirjoitusmenetelmän toteutuksesta. Kyse on tällöin henkilötietolain mukaisesta omien tietojen tarkastusoikeudesta. O antero aaltonen dollisimman satunnaiselta näyttävää sala- Jo kauan on korostettu, että tietojärjestelmien suunnittelussa tietoturva on otettava huomioon heti ensimmäisestä koodinpätkästä alkaen eikä vasta sitten, kun sovellus tai palvelu on jo melkein valmis. Vanhojen ohjelmointikäytäntöjen kitkemiseksi Valtionhallinnon tietoturvallisuuden johtoryhmä VAHTI on julkaissut oppaan sovelluskehityksen tietoturvasta
Keskusrikospoliisin rikoskomisario Timo Piiroisen mukaan koko vuotovyyhteä tuskin saadaan selvitettyä. Miksi salasanavuotojen tutkinta on niin vaikeaa? ?Tapauksissa on käytetty tekniikoita yhteyksien alkuperän . O toa. CERTFI käsitteli viime vuonna 271 tietomurtotapausta, mikä on noin 74 prosenttia enemmän kuin vuonna 2011. peittämiseen ja siten haitattu tutkintaa?, Piiroinen sanoo. Tietomurroissa ja muissa salassapitorikoksissa tekolaitteen IPosoitteen selvittäminen on keskeinen käytössä oleva pakkokeino. ?Lainsäädäntö ei ole ongelma, koska se mahdollistaa IP-osoitteen saamisen. Asiassa pidettiin ensimmäinen kuulemisistunto maaliskuun puolessavälissä. Tapauksessa saksalainen Gelsenkirchenin hallinto-oikeus pyytää tuomioistuimelta ennakkoratkaisua voimassa olevan EU- passien turvatekijöitä ja biometriikkaa koskevan asetuksen lainmukaisuudesta. Lue lisää niistä sivulta 30. esimerkiksi kotikoneen IP-osoitteen . Hallinto- passeja vastaan. Sak- misessä tulisi olla hyvin varovainen. Arvostelijat pitävät bio- oikeuteen valittaneelle asianajajalle ei ollut metristen tietojen kopiointia ja varastamista myönnetty uutta passia, koska hän oli kiel- niin suurena riskinä, että tietojen hyödyntä- täytynyt antamasta sormenjälkeään. Saksa- san passilaki noudattaa EU-asetusta, jonka lainen hakkeriryhmä Chaos Computer Club mukaan uusiin passeihin on tallennettava esitteli varastamisen vaaraa vuonna 2008 passinhaltijan sormenjäljet. julkaisemalla netissä silloisen sisäministerin Tapaus on jatkoa saksalaisten kansalaisaktiivien äänekkäälle kritiikille biometrisiä Pirate Bay -estot jatkuvat Helsingin hovioikeus on vahvistanut käräjäoikeuden päätökset, joiden mukaan TeliaSoneran ja DNA:n on estettävä asiakkaidensa pääsy The Pirate Bay -sivustolle. Hovioikeus oli viime vuonna vahvistanut vastaavan päätöksen koskien teleyritys Elisaa. Elisa valitti hovioikeuden päätöksestä korkeimpaan oikeuteen, joka ei myöntänyt asiassa valituslupaa. Estomääräystä hakivat tekijänoikeuksia Suomessa suojelevat järjestöt sillä perusteella, että Pirate Bayssa on ladattu ja jaettu laittomasti tekijänoikeuksien alaista aineis- Wolfgang Schäublen sormenjäljen, jonka ryhmä oli kopioinut vesilasista. Lyhyesti Marraskuussa 2011 nettiin vuodettiin satojentuhansien suomalaisten käyttäjätunnuksia, salasanoja ja sähköpostiosoitteita. Vuotojen tutkinta on keskeytetty odottamaan mahdollisia tulevia selvityksiä. IP-osoite ei vain vie tutkintaa pidemmälle, koska se kertoo oikeastaan vain sen, mitä peittämistekniikkaa tekijä on käyttänyt.? Tapausten tutkintaa myös hidastaa se, että IP-osoitteen selvittämiseksi poliisin täytyy usein tehdä oikeusapupyyntöjä ulkomaille. Kannattaako vuodoista edes ilmoittaa poliisille? ?Kehotamme ilmoittamaan, koska vaikka tekijää ei heti saataisi kiinni, hän voi syyllistyä myöhemmin tekoihin, jotka saadaan selvitettyä?, Piiroinen rohkaisee: ?Kun yksi tapaus selviää, voi selvitä rypäs muitakin. 2013 Passien sormenjäljet finavia Miten on? EU-tuomioistuimen syynissä Heinäkuusta 2009 alkaen myönnetyissä passeissa on biometrisena tunnisteena kasvokuvan lisäksi myös haltijan sormenjäljet. Nyt EU-tuomioistuin kuitenkin tarkastelee sormenjäljet sisältävien passien lainmukaisuutta. Näin todetaan CERT-FI:n vuosikatsauksessa. Tietomurroissa hyödynnetään etenkin ohjelmistohaavoittuvuuksia. Salasanatapauksetkin voivat vielä selvitä toisia rikoksia selvitettäessä.. O tietosuoja 1 . O Viestintävirastossa toimivan kansallisen tietoturvaviranomaisen CERT-FI:n tietoon tulleiden, suomalaisiin verkkopalveluihin kohdistuneiden tietomurtotapausten määrä on kasvanut huomattavasti. O 7
8? tietosuoja 1 . 2013
Organisaation johdolle tietoturvainvestoinnit kannattaa perustella kielteisten seurausten välttämisellä. >> Teksti Antti J. Lagus KuvaT Shutterstock tietosuoja 1 . Varaudu uhkiin järjestelmällisesti Täydellistä tietoturvaa ei ole, mutta suunnitelmallinen varautuminen kannattaa. 2013 9
Varautumisen aste eri aloilla ja kaikista tietoturvan osa-alueista eikä esi- tiö Inoxumin. Verkkorikollisuus koskettaa niin yrityksiä kuin niiden työntekijöitä ja yksityisiä ihmisiä. Lehtinen sanoo yleensä nuk- alojen sisällä eri toiminnoissa luonnolli- merkiksi vain haittaohjelmista. kuvansa yönsä hyvin, mutta selvitystyön sesti vaihtelee. Perusta kuntoon kolmessa vaiheessa Toisena tekijänä tietoturvaan vaikuttavat ollessa kiivaimmillaan se valvotti häntä jon- bisneksestä nousevat vaatimukset, jotka on kin verran. 2013. Yleisimmin hyökkäys tehdään jollain tavalla ihmisen avulla. Tärkeää on saada tietoturvatyöhön yrityskauppojen tuomista vaatimuksista kuin terästeollisuuden on oltava varuil- 360 asteen kattavuus, jossa huolehditaan turvallisuustyöhön, kun yhtiö osti teräsyh- laan. T eräsyhtiö Outokum- mun tietoturvajohtajalla Pentti Lehtisellä on kokemusta tietoturvaratkaisujen ottamisesta käyttöön suuressa orga- nisaatiossa. Esimerkiksi asekauppaa käydään turvallisuuden nimissä?, Lehtinen pohtii. Tietoturvauhat täytyy silti ottaa vakavasti, ja niihin kannattaa varautua. Hän tietää, että täydellistä tietoturvaa ei ole olemassakaan vaan kyse on aina tasapainoilusta käytettävyyden ja turvallisuuden välillä. Kaikkia tietoturvauhkia ei voida tuntea etukäteen, minkä vuoksi järjestelmällisyyden merkitys tietoturvatyössä vain korostuu. Tarvittavat tiedot saadaan niin kutsutun social engineeringin avulla eli hui- ensin laitetaan perusta kuntoon. Lehtinen painottaa myös, ettei koskaan tiedetä, kuinka pitkällä vastapeluri on. ?Tietoturvatoimittajat ja -konsultit tekevät bisnestä uhkakuvia maalailemalla. Reaalimaailmasta löytyy vastaavia bisnesmalleja. Tässä on varmistettava tietoturvan osuus?, Leh- jaamalla kohde antamaan tietoja. työssä käytetään jotakin hyvää mallia, esi- tinen sanoo. Tietoturvauhat koskevat Lehtisen mu- merkiksi tietoturvallisuusstandardia ISO Outokummulla on tuoreita kokemuksia kaan kaikkia toimialoja: niin pankkien 27001. Esimerkiksi kauppaneuvottelui- huomioitava perustan säätämisessä. hin liittyvä salainen materiaali olisi saattanut ?Erityisesti jos IT-palveluita ulkoistetaan, kiinnostaa joitakin tahoja. Tietoturvatyössä hyvänä toimintatapana pitää huolehtia siitä, että kokonaisuus on Tietoturvatyön kolmantena vaiheena Lehtinen pitää kolmiportaista mallia, jossa jonkun hallinnassa. Myös yrityskaupoissa Lehtinen mainitsee jatkuvan prosessin, 10? tietosuoja 1
Ei esimerkiksi kannata heen kautta. oikeaan suhteeseen. Investoinnit tilanteen mukaan ?Tietoturvan toteutumista voidaan seurata erilaisilla mittareilla. Riskihavaintojen pohjalta käyttää miljoonaa euroa jonkin sadan euron tehdään tarvittavia säätöjä. Joskus kustannustehokkainta voi Outokummussa intranet on osoittau- olla koulutus, joskus jokin toinen osatekijä. tunut hyväksi tavaksi tiedottaa tietotur- Uhkaan varautuminen on Lehtisen mukaan va-asioista henkilöstölle. Ne perustuvat arvoisen uhan ehkäisyyn. kolmen tekijän . Varsinkin koulutus kohdistuu Riippuu tilanteesta, mihin tietoturvan osa- hyvin social engineering -uhkaan?, Lehti- alueeseen milloinkin kiinnitetään huo- Ratkaisun pitää olla helppokäyttöinen. nen sanoo. miota. Näitä ovat esimerkiksi reaktionopeus tietoturvatapahtumiin sekä tietoturvakoulutuksen kattavuus organisaatiossa. 2013 11. Esimerkiksi tieto- tietosuoja 1 . ihmiset, prosessit ja teknologia . johon päästään kahden ensimmäisen vai- aina tapauskohtaista
koneen lukitsevista ja lukon poistamiseen lunnaita vaativista viruksista on varoitettu Viestintäviraston tehtäviin kuuluu yritys- intranetissä. 2013. Se on yksi prosessi muiden joukossa, tymistapa merkitsee muun muassa sitä, josta raportoidaan säännöllisesti. vaikka Yhdysvalloissa olisi helpompi päästä kypsyystasoa. Toisaalta kun jotain sattuu, tietosuoja 1 . Turvallisuus ei ole mikään tehdä sielläkään. 12? ?Jotta tähän päästään, tarvitaan tiettyä käsiksi työntekijöiden sähköpostiin, sitä ei halpa tunne. Yhdenmukainen lähes- suutta. Outokummulla on päätetty nou- Paananen muistuttaa organisaatioita siitä, dattaa Suomen käytäntöä monissa tie- että tietoturva on osa kokonaisturvalli- tosuoja-asioissa. Lisäksi Outokumpu järjestää eri Tietoturvainvestointien riittävyyttä on vaikeaa mitata. Osaksi jokapäiväistä toimintaa ten ja viranomaisten tietojärjestelmien kohderyhmille koulutusta tarvittaessa. tietoturva-arviointi esimerkiksi kansainvä- Useissa maissa toimiva yritys joutuu lisiä tarjouskilpailuja tai hankkeita varten. toimimaan eri maiden lainsäädäntöjen Turvallisuus-toimialan apulaisjohtaja Rauli mukaan
O Rauli Paananen pitää yrityksen tai viran- tehdään entistä enemmän töitä yritysmaa- omaisen toiminnan sertifiointia hyvänä ilman kanssa?, Paananen sanoo. tietosuoja 1 . Sertifioituja yksi- asioita ei tarvitse tarkistaa vaan voidaan köitä tulee jatkuvasti lisää etenkin, kun nyt keskittyä joihinkin olennaisiin asioihin.. Viestintävirasto Paanasen mukaan helpoin tapa ymmär- yleensä yritykset ottavat tietoturvan vaka- hankki standardin mukaisen sertifioinnin tää sertifioinnin vaatimukset on toteuttaa se vasti, mutta aloittelevissa yrityksissä on jos- vajaat kolme vuotta sitten vastauksena tiu- omassa yksikössä tai yrityksessä. kus puutteita. kentuviin tietoturvavaatimuksiin. ?Toiminnassamme olen nähnyt, että jos Standardit ovat hyviä mittareita ?Valtionhallinto on tehnyt paljon töitä yrityksellä on tietoturvasertifikaatti, kaikkia tietoturvan edistämiseksi. 5 Viisi vinkkiä 1. Laita organisaation tietoturvaprosessit kun- toon. O Asiantuntijoina Outokummun tietoturvajohtaja Pentti Lehtinen ja Viestintäviraston Turvallisuustoimialan apulaisjohtaja Rauli Paananen. vahingot tai maineen menetys rahassa voi- mittarina. Hänen mukaansa sellaisessa Sama pätee myös toiseen suuntaan: jos vat olla todella suuret?, Paananen sanoo. organisaatiossa, jossa toiminta on tietotur- yritykset tekevät yhteistyötä viranomaisten Koska menetyksiä ei yleensä saada vallisuuden hallintajärjestelmän standardin kanssa, niiden pitää täyttää tiettyjä tietotur- takaisin, on kyse siitä, halutaanko asiat lait- ISO 27001 mukaista, prosessiin on helppoa vavaatimuksia. taa kuntoon etukäteen. Prosesseja voi kehittää esimerkiksi standardien avulla, vaikka tarkoitus ei olisikaan sertifioida omaa toimintaa. Huolehdi tietoturvan kaikista osa-alueista eikä vain esimerkiksi haittaohjelmista. Huomioi toiminnasta nousevat vaatimukset. Etenkin IT-palveluja ulkoistettaessa pitää olla tarkkana siitä, että kokonaisuus on jonkun hallussa. 2. 3. 4. Tietoturvaa kehitetään jatkuvasti riskihavaintojen perusteella. 5. Kun perusta on kunnossa, järjestelmää voidaan kehittää vaatimusten, kuten kansallisen turvallisuusauditointikriteeristön KATAKRIn, mukaiseksi. Paanasen mukaan sisällyttää uusia asioita. 2013 13
Yrityskauppaneuvottelujen salainen aineisto olisi voinut kiinnostaa tiettyjä tahoja. Näin perustelet investoinnit Tietojärjestelmien hankinnassa on vaikeaa mitata tai hinnoitella tarkasti tietoturvan osuutta. ?Osa on käytettävyyttä, osa laatua ja osa tietoturvaa?, professori Mikko Siponen Jyväskylän yliopiston tietojenkäsittelytieteiden laitokselta sanoo Tietoturvainvestointien tarkkaa mittaamista haittaa sekin, että uhkien määrä on arvailun varassa. Aikaisemmassa tutkimuksessa tietoturvainvestointien oikeaan mitoittamiseen on kehitetty matemaattisia malleja. 2013. Sen sijaan rationaaliset päätöksentekijät suosivat myönteisiä perusteluita. ?Jos investointi on kallis, negatiivisesti muotoiltu investointiesitys menee paremmin läpi?, Siponen kärjistää. Mitä todennäköisempi ja vakavampi uhka oli kyseessä, sitä helpommin investointiesitykseen suostuttiin. Tutkimuksessa ilmeni myös, että mitä kalliimpi ratkaisu oli kyseessä, sitä vähemmän oli investointihalukkuutta. Puhu johdon kieltä Siponen muistuttaa myös, että investointiesityksissä on tärkeätä se, millaista kieltä niissä käytetään, sillä päätöksiä eivät tee IT-asiantuntijat vaan yritysjohto. Myös se vaikuttaa asiaan, että useimmiten tietoturva on yksi monien muiden investointikohteiden joukossa. ?Ennen kaikkea hankittavan ratkaisun pitää olla helppokäyttöinen. Sen sijaan pitää puhua johdon ja muun henkilökunnan käyttämää kieltä?, Siponen sanoo. Ne perustuvat lukuisiin oletuksiin, joista yksi on suurimman mahdollisen nettotuoton hakeminen. ?Nettotuottoa varmasti haetaan esimerkiksi pörssija yrityskaupoista, mutta tämä ajattelu ei sovi kaikkiin tietoturvainvestointeihin?, Siponen sanoo. Siposen työryhmä tutki asiaa siitä näkökulmasta, miten yrityksen johto saadaan hyväksymään investointiehdotukset. Ryhmä kysyi suurten suomalaisyritysten ylimmältä johdolta, millaisiin tietoturvainvestointeihin he olisivat valmiita. O 14? tietosuoja 1 . 690 yritykseen lähetetystä kyselystä tuli vas- tauksia noin 140, mitä Siponen pitää hyvänä vastausprosenttina. Negatiivinen esitys huomataan Tutkimuksessa havaittiin, että johtajat olivat halukkaita investoimaan tietoturvaan, kun investointi oli perusteltu niin, että sillä voidaan välttää kielteisiä seurauksia. Erityisesti niin sanotut emotionaaliset päätöksentekijät suosivat tällaisia ratkaisuja. Sitä ei voi tarpeeksi alleviivata. Usein tietoturvahenkilöt ajattelevat, että tietoturvaratkaisun käyttö on itsestään selvää, mutta näin ei ole
Omaan käyttöoikeuteen on luontevaa lisätä mahdollisuus luovuttaa tietoa edelleen. Tämä lisää kuluttajajoukkojen neuvotteluvoimaa tavalla, jonka hyödyntämiseen liittyviä konsepteja odotan kiinnostuneena. 2013 Tuija Aalto on YLEn strategiapäällikkö, tietokirjailija ja blogisti. 15. ja varoittivat toisiaan lipuntarkastajista. Pysäkkiseinällä on edeltäjiä. O Seuraava askel on asiakastiedon avaaminen kolmansien osapuolten jalostettavaksi. tietosuoja 1 . Palveluja käyttämällä sijoitamme itsemme aikaan, paikkaan ja merkityksiin, luomme todellisuuden digitaalista sosiaalista kerrosta. Etsimme ja olemme löydettävissä. Uudet palvelut ovat ?social, local, mobile?, eli yhteisöllisiä, paikkatietoja hyödyntäviä ja liikkuvaan käyttöön suunniteltuja. Foursquaren avulla voi jättää vinkkejä toisille palvelun käyttäjille yritysten ja palvelujen virtuaaliseen ?ilmatilaan?. IsossaBritanniassa kännykkäliittymien vertailu todellisen liittymäkäyttötiedon perusteella on jo mahdollista MiData -hankkeen ansiosta. GetGluella kirjaudutaan sisään sarjoihin ja elokuviin. Sosiaalinen TV yhdistää samaa ohjelmaa seuraavat suoran lähetyksen aikana Twitterissä: apuna on hashtag eli tunniste, kuten #TVOF tai #ESC2013. Sosiaalisen median kaveriuutisten pohjana on luonnollisen kielen rakenne; subjekti, predikaatti ja objekti. Katumuisti-teos levittyi Helsingin kaduille muistolaattojen ja matkapuhelimen avulla jo kesällä 2000 osana Helsingin kulttuurivuoden ohjelmistoa. Olettässä.fi-sivusto toimi psykomaantieteellisen kirjaprojektin tiedonkeruukanavana vuosina 2005?2008. Arkistuneen mobiilin sosiaalisen median aikakaudella on tavallista tehdä kännykällä ?check-in. Grindr on ?homotutka?, ja Highlight ilmoittaa, kun kaveri, kaverin kaveri tai profiilinsa perusteella muuten vain tutustumisen väärti ihminen on lähistöllä. Amazonin Kindle-lukulaitteen käyttäjä voi kytkeä päälle yhteisöllisen ominaisuuden, jonka avulla sivulle ilmestyy näkyville muiden lukijoiden tekemiä korostuksia ja merkintöjä. Sosiaalinen WiThings-vaaka ilmoittaa kehonkoostumuslukemat suoraan Twitteriin, jos niin haluan. Mediakulutukseen liittyvät ajanvietepalvelut ovat avanneet tietä ja luoneet käyttötottumuksia. paikkaan, jossa haluaa tulla nähdyksi. Joukkoliikenteen pysäkkikoodien avulla navigoitava valokuvanäyttely Tolppa.mobi tarjosi taideelämyksiä helsinkiläisille, kun 3G-puhelimet alkoivat yleistyä vuonna 2007. Sosiaalisuuden mahdollisuus kytkeytyy tiedon avoimuuteen: mitä enemmän avointa tietoa, sitä enemmän potentiaalisia sosiaalisia objekteja, joiden kanssa olla vuorovaikutuksessa. Facebookissa tykätään ja GetGluessa katsotaan, Spotifyssä kuunnellaan jne. Seuraava askel on henkilökohtaisen asiakastiedon avaaminen koneluettavassa muodossa kolmansien osapuolten jalostettavaksi. Digitaalisuus, automaatio, globaalisuus ja jokapaikan tietotekniikka tuovat sosiaalisen kerroksen syntymisen mahdollisuuden kaikkeen. Kolumni Asiakastiedoista sosiaalisia objekteja V iime syksynä Helsingin seudun liikenteen raitiovaunumatkustajat saivat viestiä toisilleen Pysäkkiseinällä, kun HSL yhteistyökumppaneineen testasi lähilukuteknologiaan (NFC) perustuvaa palvelua. Asiakkaat jakoivat arkisia havaintoja
Kuitenkin ubiikissa maailmassa yrityksen Ubiikit palvelut ovat jo arkea menestymisen ehto on asiakkaiden luottamus ja tietosuoja. O tietosuoja 1 . että siihen liittyvää metatietoa. Oikeudet ja velvollisuudet koskevat sekä Yksityisyyden ja itsemääräämisoikeuden laajuutta ?dataa. ovat tykset puolestaan nojaavat julkilausumiin tai mielikuviin todennäköisiä argumentteja taulukon muutosehdo- pyrkiessään osoittamaan luotettavuutensa. tuksia vastaan. 2013. Nykyinen tietosuojalainsäädäntö on myöhässä eikä anna kansalaiselle riittävää voimaa suhteessa yrityksiin ja viranomaisiin. uottamus ja tiedollinen yksityisyys ovat Miten lainsäädäntöä tulisi kehittää? toisiinsa kietoutuneita käsitteitä. Ubiikissa ympäristössä tiedollinen yksityisyys on näh- Mitä suurempi on luottamus, sitä tävä sekä ihmisoikeutena että kansalaisen omaisuutena. halukkaampi henkilö on jakamaan hen- Tiedon käyttäjälle säädetystä suojaamisvelvollisuudesta kilötietojaan tuntemansa osapuolen tulisikin siirtyä tilanteesta ja kontekstista riippuvaan kanssa riskit ja kannustimet huomioi- henkilökohtaiseen tiedon hallinnointiin. den. Yri- niset ongelmat ja väite ?eivät kansalaiset välitä. Julkisen olla tiedon kerääjällä tai käyttäjällä. sektorin palveluissa luottamuksen oletetaan olevan automaattista: Uskotaan, että palveluntuottajalla on Ei yhteiskuntaa ilman yksityisyyttä selkeät fyysiset ja sosiaaliset rajat ja sen tietojärjestel- Yrityksille aiheutuvat kustannukset, yleinen etu, tek- mät täyttävät lakien sekä standardien vaatimukset. Ne antavat kansalaiselle määrittää, kuka, miten ja missä laajuudessa tai yhtey- uusia oikeuksia ja tiedon kerääjälle tai käsittelijälle vel- dessä voi käsitellä heidän henkilötietojaan. vollisuuksia. Niitä sekä yhdistellään että käytetään uudel- kehittämisen ainoita lähtökohtia. eivät saa olla viestinnästä. Asiantuntijalta Luottamus ja yksityisyys ubiikeissa tietojärjestelmissä Lainsäädäntöä tulisi kehittää siten, että kansalainen voi hallinnoida henkilötietojaan tilanne-, käyttäjäja kontekstikohtaisesti. L Teksti Pekka Ruotsalainen Tutkijat ovat osoittaneet, että ubiikin tietojenkäsittelyn ja avoimen ympäristön tuottamia riskejä yksityisyydelle ja tiedolliselle itsemääräämisoikeudelle ei kyetä hallitsemaan nykyisillä staattisilla rekisterinpitäjäkohtaisilla tietoturvaratkaisuilla. Tiedollinen yksityisyys ja itsemääräämisoikeus Nämä ovat lähtökohdat taulukon ehdotuksille lain- antavat yksilölle, joukolle tai organisaatiolle oikeuden säädännön kehittämiskohteiksi. Tarvitaan poliittinen leen tiedon kohteen tietämättä moniin eri tarkoituksiin. tahtotila, joka on mahdollista synnyttää, jos lainsäätä- Henkilötietoja talletetaan yhä enemmän suuriin tieto- jät, asiantuntijat ja valistuneet yritykset yhdessä ryhtyvät varastoihin kansalaisen määräysvallan ulottumattomiin. 16? Taloudellinen etu, kansalaisten holhoaminen tai tunne-elämästä, elintoiminnoista, käyttäytymisestä ja muutosta vaatimaan. Näyttövelvolli- säädellään nykyisin lainsäädännöllä ja viranomaismää- suuden siitä, ettei väärinkäytöstä ole tapahtunut, tulisi räyksillä mutta luottamuksen synnyttämistä ei. Teknologiakaan ei ole ongelma, sillä ehdotusten Jokapaikan tietojenkäsittely (ubiquitous computing) ta- toteuttamiseen tarvittavia ratkaisuja ja standardeja on pahtuu avoimessa ja turvattomassa ympäristössä, jossa jo kehitetty web- ja mobiiliympäristöihin. Palveluntuot- automaattista osapuolten välistä luottamusta ei ole. tajan luottamuksen mittaamiseen on välineitä ja yksityi- Sähköiset palvelut keräävät näkymättömästi tie- syyden hallintaan sähköisiä ?tietosuoja-avustajia?. toja henkilöiden elämäntavoista, sosiaalisista suhteista, näyttöön perustumaton ?yleinen etu
Pekka Ruotsalainen on emeritus tutkimusprofessori, dosentti sekä European Federation of Medical Informatics (EFMI) työryhmän Security, Privacy and Ethics varapuheenjohtaja. 2013 17. Tietosuojavaltuutetulla on oikeus tarkistaa tiedon hävittäminen. tietosuoja 1 . Kirjoitus perustuu Suomen Akatemian THEWS-hankkeen (terveydenhuollon ja hyvinvoinnin luotettava informaatioavaruus) tuloksiin. Turvallisen ubiikin ympäristön tarvitsema säätely Luottamus Läpinäkyvyys Tiedollinen itsemääräämisoikeus Tiedon kerääjän/käsittelijän on osoitettava etukäteen, että sen tietojärjestelmät ja prosessit täyttävät lakien ja standardien vaatimukset. Henkilötiedon keräämisestä ja käytöstä tulee ilmoittaa viivytyksettä tiedon kohteelle, tai mikäli se ei ole teknisesti mahdollista, tietosuojavaltuutetulle. Henkilöllä on tiedollinen itsemääräämisoikeus henkilötietoihinsa. Se kattaa tiedon keräämisen, käytön, säilyttäminen jakamisen ja hävittämisen. Henkilötietojen kerääminen tiedon kohteen huomaamatta on kielletty ilman henkilön nimenomaista suostumusta (ellei laissa ole muuta määrätty). Henkilötiedon kerääjän/käyttäjän on ilmoitettava, mitä henkilötietojen käsittelyä koskevaa lainsäädäntöä se noudattaa, ja miten se eroaa tiedon kohdetta koskevasta lainsäädännöstä. Kansalaisen tiedollista itsemääräämisoikeutta saa rajoittaa vain nimenomaisella lailla ja vain tilanteissa, joissa yleinen etu vahvasti ja todistettavasti sitä edellyttää. Sähköisen tiedonvälityksen tulee olla vahvasti salattua, ja osapuolten on pidettävä henkilötiedon keräämistä ja käyttöä kuvaavaa tapahtumalokia. Tiedon kohteella on oikeus tarkistaa tiedon kerääjän/käsittelijän tapahtumaloki. Tästä ei saa periä tiedon kohteelta kustannuksia. Tiedon kohteella on oikeus vaatia kerääjää/käyttäjää julkaisemaan luottamuksen mittaamiseen tarvittavat tiedot. Tiedon kerääjän/käyttäjän on ilmoitettava käyttämiensä ja sille ilmoitettujen politiikkojen ristiriidat tiedon kohteelle. Direktiivien, lakien tai ilmoitetun politiikan vastaisesta henkilötiedon käytöstä on säädettävä tuntuva rangaistus. Tiedon hävittämisestä on ilmoitettava tiedon kohteelle. Sähköisestä tarkistuksesta ei saa periä kustannuksia. Kansalaisella on oikeus ilmoittaa kerääjälle/käyttäjälle politiikat, jotka määrittävät, kuka, missä ja kuinka henkilötietoja käytetään sekä miten niitä jaetaan. Sekä henkilötiedon ensisijaisen että toissijaisen käyttäjän on noudatettava tiedon kohteen ilmoittamaa politiikkaa. Tiedon kerääjän/käsittelijän käyttämät tietosuoja- ja tietoturvapolitiikat on ilmoitettava tiedon kohteelle. Tiedon kerääjällä/käyttäjällä on velvollisuus osoittaa kiistämättömästi henkilön niin vaatiessa, ettei väärinkäyttöä ole tapahtunut
2013. Niihin pääsivät viime syksynä tutustumaan myös kaikki hänen kollegansa, kun kansanedustajien käyttöön annettiin tablettitietokoneet. ?Suurin osa edustajista näki ensimmäistä kertaa omakohtaisesti, mitä tietoyhteiskunta voi mukanaan tuoda; tablettien käytettävyyden, monipuolisuuden ja kaikki ne sovellukset?, hän innostuu. 18? tietosuoja 1 . Avoimuuden edustaja yksityisyyden asialla Kansanedustaja Mikael Jungnerin mielestä nopeasti muuttuvassa tietoyhteiskunnassa tarvitaan enemmän järjen käyttöä ja vähemmän etukäteen sovittuja sääntöjä. Teksti Päivi Männikkö Kuvat Olli Häkämies M ikael Jungner asettaa matkapuhelimensa eduskunnan lisärakennuksen kokoushuoneen pöydälle. Henkilökohtaisen puhelimensa, sillä BYOD (Bring Your Own Device) on hänelle sydämen asia. ?Mä en menisi töihin sellaiseen paikkaan, jossa en saa itse valita kännykkää ja tietokonetta.? ?Vaikka jotkut pitävät minua avoimuuden apostolina, on paljon asioita, jotka olen pitänyt yksityisyyteni piirissä?, kansanedustaja Mikael Jungner sanoo. Oman kännykän lisäksi edustaja Jungner käyttää työpaikalla omia tie- tokoneitaan ja yhdysvaltalaisen palveluntarjoajan sähköpostia, koska ?se toimii kaikkialla helposti?. ?Tuntuu, että huomattavasti paremmin olen pärjännyt kuin kollegat, jotka valittelevat eduskunnan laitteita ja ohjelmistoja.? Tulevaisuus on mobiili Jungner vannoo mobiililaitteiden ja niiden sovellusten nimiin
2013 19. Tietosuoja-asiat pitäisi miettiä uusiksi. tietosuoja 1
Jungner ei säästele sanojaan moittiessaan työpaikkansa ?harhaanjohtavaa ja vääristynyttä. Ja kun sovelluksia ei ole totuttu käyttämään, ei ole ymmärretty tietoyhteiskunnan kehityssuuntaa. Entä onko lainsäädäntömme ajan tasalla? ?Kun ei ole kokemusta siitä, mikä on mahdollista, ei ole myöskään toimivaa lainsäädäntöä?, Jungner miettii. Tietoyhteiskunnassa maltillinen sääntely ja joustava suhtautuminen sääntöihin voi hänen mielestään kuitenkin olla pikemminkin eduksi: ?Jos katsoo yhdysvaltalaisia menestystarinoita Googlesta Facebookiin ja YouTubeen, todennäköisesti mikään niistä ei olisi onnistunut Suomessa vaan olisi jämähtänyt tekijänoikeus-, henkilörekisteri- tai muuhun lainsäädäntöön.? Kankeat säännöt Jos Jungnerilta kysytään, suomalaisilla on lakeihin ja sääntöihin eurooppalaisittain poikkeuksellisen lämmin suhde. Mikael Jungner ?? ?? ?? ?? ?? ?? ?? ?? syntynyt vuonna 1965 oikeustieteiden lisensiaatti kansanedustaja 2011? eduskunnassa sivistys- ja tulevaisuusvaliokuntien jäsen SDP:n puoluesihteeri 2010?2012 Yleisradion toimitusjohtaja 2005?2010 Microsoftin tietoyhteiskuntasuhteista Suomessa ja Baltiassa vastaava johtaja 2002?2004 ministerien, mukaan lukien pääministeri Paavo Lipposen, poliittinen erityisavustaja 1997?2002. Jungner ? 20? tietosuoja 1 . Tieto- ja viestintätekniikassa raha liikkuu nyt sovelluksissa, mutta suomalaiset ovat jääneet jälkeen niiden kehittämisessä ja käyttöönotossa. Jungnerin mukaan yksi selitys on Nokian matkapuhelimissa, joissa sovellukset toimivat pitkään kankeasti. 2013. työnkuvaa. ?Tietohallinto on täällä kunnianhimoista ja korkealuokkaista. Ja he tuntuvat näkevän paikoin hirveästi vaivaa estääkseen fiksuja asioita tapahtumasta.? Suomi jäi sovellusjunasta Fiksuja asioita jää tapahtumatta muillakin työpaikoilla. Mutta yleishallinto eli poliittiset päätöksentekijät eivät aina ymmärrä tätä maailmaa. O Tosin eduskunnan istuntosalissa tablettia saa käyttää vain huomaamattomasti, eikä kannettavilla tietokoneilla ole lainkaan pääsyä saliin
? ?Toinen asia on, että somesta voi tulla tapa ilmentää omaa persoonaa; että on Facebook-kansaa ja jotakin muuta kansaa. Poistin sen, koska itseänikin rupesi nolottamaan.? Mitä tulee somen jälkeen? ?Ensinnäkin someen tulee ihan uusia tapoja. Se on sääli. Geenitieto tulee, oletko valmis? ?Siinä vaiheessa, kun ihmisen geenikartasta voidaan kartoittaa lähes mitä vain, ?Mielestäni tietosuoja-asiat pitäisi miettiä yksittäinen kansalainen on tosi altavastaa- uusiksi?, Jungner sanoo. jana suhteessa näihin suurin instituutioi- ?Tietosuojasta tulee tulevaisuudessa huomattavasti tärkeämpää kuin tänä päivänä. O 21. en läheis- teella voidaan arvioida sairauksien toden- on itse kertonut sosiaalisessa mediassa ja ten asioista. 2013 tötaakan tulisi olla rekisterinpitäjillä. hin?, hän varoittaa. ?Se maailma on tulossa, ja siihen pitäisi ruveta varautumaan jo nyt.. Jungnerin asioista, vaikkapa sairauksista, olisi joka mielestä siksi kaikenlainen henkilötietojen tapauksessa tullut esille.? väärinkäyttö pitäisi kriminalisoida ja näyt- Tietoyhteiskunnassa mennään hitaimman mukaan. Erityisen huonosti ne sopivat vielä kehitysasteella olevan teknologian avaamien mahdollisuuksien säätelyyn. ?Tällaisessa monimutkaisessa ja nopeasti muuttuvassa tietoyhteiskunnassa tarvitaan enemmän omaa järkeä ja vähemmän sääntöjä.? Esimerkkinä hän mainitsee organisaatioiden hankintasäännöt, jotka julkisella sektorilla perustuvat hankintalakiin. päin- tallentuu digitaaliseen järjestelmään, vaan nen vuoden päästä.? vastoin. siitä, että esimerkiksi DNA-tiedon helppo Entä kuinka on Jungnerin itsensä laita? ?On ihmisiä, jotka pitävät sitä vääränä saatavuus, muokattavuus ja johtopäätökset Entinen YLEn pääjohtaja ja SDP:n puolue- ja vastuuttomana toimintana?, Jungner avaavat ovet ennennäkemättömälle geeni- sihteeri ja nykyinen kansanedustaja tun- myöntää. rasismille.? netaan paitsi työtehtävistään, myös sai- ?Olen itse miettinyt sitä niin, että puhun Ennen pitkää geenikartoituksen perus- rauksistaan ja parisuhteestaan, joista hän asioista, jotka koskevat minua . pitää sääntöjä usein vääränä lähtökohtana, koska ne on laadittu aikaisemman tilanteen pohjalta. Kimppakyytien jakaminen tai auton lainaaminen - on hirveästi arkipäivän asioita, joista puuttuvat luontevat sometyökalut. Nythän somessa on oikeastaan yksi voittaja aina tietyssä kategoriassa. Minusta tuntuu, että jatkossa niin ei ole.. Kyse ei ole vain siitä, että koko elämä tietosuoja 1 . Ja on pakko myöntää, että suu- näköisyyttä, mikä voisi kiinnostaa vaikkapa lehtien palstoilla. Mutta ei voi koskaan tietää, kuka toisessa päässä on viiden tai kahdenkymme- julkisia avautumisia hyvällä silmällä . Kaikki eivät ole katsoneet ri osa näistä avoimuudella puhutuista vakuutusyhtiöitä ja työnantajia. O Mikael Jungnerin mukaan ihmisten pitäisi miettiä tarkemmin, mitä he kertovat itsestään netissä. ?Merkittävä osa ihmisistä ajattelee, että ei minulla ole mitään salattavaa tai hävettävää. 3 Kolme kysymystä sosiaalisesta mediasta vaikka onkin koulutukseltaan juristi . Se vaatii määrittelemään palvelun sisällön yksityiskohtaisesti jo kilpailutusvaiheessa ja siten estää usein tekovaiheessa ilmenevien parannusten toteuttamisen. Harkitse, mitä julkaiset Mitä sosiaalisen median (some) palveluita käytät? ?Käytän aika paljon: Facebook, Twitter, Google+, Foursquare (oma ja kavereiden paikannus), Audioboo (ääninauhoitusten tekoon), SlideShare ja YouTube tietenkin?, kansanedustaja Mikael Jungner luettelee. ?Tällä hetkellä mielenkiintoisin palvelu on Pinterest, jonne pistetään kuvia.? Oletko katunut jotakin someen laittamaasi? ?En?, Jungner sanoo ensin painokkaasti mutta tarkentaa sitten: ?Oli jotain, jokin halpamainen poliittinen loukkaus
Muutokset on toteutettava helmikuun loppuun 2014 mennessä. Ensimmäisellä kerralla turvakielto annetaan yleensä viiden vuoden määräajaksi. O 22? tietosuoja 1 . Kotiosoitteen asemesta rekisteriin merkittäisiin vain henkilön kotikunta. Lakiesitys on tarkoitus saada eduskunnan käsittelyyn vielä tänä keväänä. Silloin henkilön tietoja annetaan väestötietojärjestelmästä vain viranomaisille. Jos perheenjäsenillä ei ole turvakieltoa, kiellon saaneen tietoihin voi päästä perheenjäsenten kautta. Lakimuutos antaa Väestörekisterikeskukselle vuoden lisäaikaa tietojärjestelmämuutosten toteuttamiseen. 2013. Tarkoituksena on, että henkilötunnusten tunnusosan luovuttamista rajoitettaisiin, ja kotiosoitteiden kerääminen rekisteriin lopetettaisiin. Maaliskuun alussa voimaan tulleen lainmuutosten mukaan turvakielto voidaan erityisestä syystä antaa nyt myös toistaiseksi voimassa olevana. Lain mukaan turvakielto kattaa myös sen saaneen henkilön kanssa samassa taloudessa asuvan puolison ja alaikäisten lasten tiedot. Käytännössä tietojärjestelmäongelmien takia Vanha passi mitätöidään nyt itse Poliisilaitoksen passiruuhkiin harmistuneet voivat huokaista helpotusta: passilakia on muutettu siten, että valmistunut uusi passi haetaan nyt postin toimipisteestä. Vanhaa passia ei enää palauteta poliisille, vaan hakija saa ohjeet vanhan passin mitätöimisestä. Muutos tulee voimaan huhtikuun lopussa. O kieltoa ei ole pystytty tallentamaan jokaiselle perheenjäsenelle erikseen, vaan turvakiellon hakijaa neuvotaan hakemaan kieltoa samalla myös muille perheenjäsenille. O Muutoksia turvakieltoon Väestötietojärjestelmästä annettuun lakiin tehdyt muutokset vaikuttavat niin sanotun turvakiellon myöntämismenettelyihin. Jos oma tai perheen turvallisuus on vakavasti uhattuna, maistraatti voi myöntää hakemuksesta turvakiellon. Lait ja säädökset Kotiosoitteet pois kaupparekisteristä Kaupparekisteriin merkitään muiden muassa yritysten vastuuhenkilöiden ja taloyhtiöiden hallitusten jäsenten henkilötietoja. Nyt näiden tietojen keräämistä ja luovuttamista aiotaan vähentää. Työ- ja elinkeinoministeriö valmistelee yhteistyössä Patentti- ja rekisterihallituksen kanssa esitystä kaupparekisterilain muuttamisesta
Lait ja säädökset Tietoverkkorikosten tutkintaa helpotetaan Poliisin oikeutta televalvontaan tietoverkkorikosten tutkinnassa halutaan laajentaa siten, että televalvonnan käyttö ei edellytäkään epäillyn lupaa. Lakiesitysten mukaan käräjäoikeus voisi myöntää luvan televalvontaan, kun on syytä epäillä teleosoitetta tai telepäätelaitetta käyttäen tehtyä tietojärjestelmän luvatonta käyttöä, vahingontekoa, viestintäsalaisuuden loukkausta tai tietomurtoa. Muutos on yksi ensi vuonna voimaan tuleviin uusiin esitutkinta- ja pakkokeinolakeihin esitetyistä täydennyksistä. Televalvonnalla tarkoitetaan laitteen tunnistamis- tai sijaintitietojen hankkimista ja osoitteen tai laitteen käytön tilapäistä estämistä. O Komissio haluaa laajentaa tietoturvan ilmoitusvelvoitetta tietosuoja 1 . O Antero Aaltonen vuoden 2014 alussa. 2013 23. Näissä tapauksissa televalvonnan käyttö ei siten edellyttäisikään teleosoitteen tai telepäätelaitteen haltijan suostumusta, kuten uudessa pakkokeinolaissa on säädetty. Ehdotettujen lainmuutosten on tarkoitus tulla voimaan Euroopan komissio ehdottaa verkko- ja tietoturvadirektiiviä, joka laajentaisi tietoturvaloukkausten ilmoitusvelvollisuuden koskemaan huomattavasti nykyistä useampia palveluntarjoajia. Direktiiviehdotus velvoittaisi teleyritysten lisäksi muutkin kriittisen infrastruktuurin toimijat, esimerkiksi rahoituksen, terveydenhuollon, energian ja liikenteen palveluntarjoajat sekä julkishallinnon ilmoittamaan keskeisiin palveluihinsa kohdistuvista merkittävistä tietoturvapoikkeamista
2013. Sitä ylläpitää Väestö- ei sen sijaan voi estää. rekisterikeskus (VRK) yhdessä maistraattien kanssa. Ei unohda kuolleitakaan ?Viranomaisten lakisääteiset tehtävät oikeuttavat ne saamaan järjestelmästä yrityksiä enemmän tietoja?, kehityspäällikkö Kaj Välimäki lisää. Väestötietojärjestelmä on Suomen suurin VRK:lta luvan saaneilla viranomaisilla ja ja käytetyin perusrekisteri eli yhteiskun- yrityksillä on oikeus käyttää järjestelmää nan sekä kansalaisten oikeuksien ja velvol- itse. Lisäksi sinne voidaan Tiesitkö tätä väestötietojärjestelmästä? rekisteröidä tilapäisesti oleskelevia. Väestötietojärjestelmän tietoja käytetään sekä Suomessa vakituisesti asuvista muiden Vastasyntynyt merkitään järjestelmään myös erilaisissa paikkatietopalveluissa, heti sairaalassa, eikä kuolemakaan poista kuten pelastustoiminnassa ja viestintäyh- häntä sieltä, vaan tietoihin vain lisätään teyksien suunnittelussa. Tietojen antamista tökirjanpidosta siirryttiin yhteen järjestel- niitä tehtävissään tarvitseville viranomaisille mään vuonna 1971. Huoneistotiedot voidaan liittää kiinteistö- ja rakennustunnuksen avulla muihin rekistereihin. ?Väestötietojärjestelmän osoitteiden kytkeminen rakennuksiin ei ole tavallista muissa maissa?, Välimäki sanoo. ?Tämä mahdollistaa esimerkiksi tehokkaan aluesuunnittelun, kun tiedetään, paljonko missäkin asuu ihmisiä.. Osan luovutuksista perässä 1628, kun papit ryhtyivät pitämään voi halutessaan kieltää, kuten yhteystieto- kirjaa syntyneistä, vihityistä ja kuolleista. jen antamisen suoramarkkinointiin tai yh- Valtion ja kirkon kaksinkertaisesta väes- teystietopalveluihin. Suuri osa sen tiedoista tulee viranomaisilta. Järjestelmään kerätään laaja kattaus henkilötietoja kaikista Suomen kansalaisista Järjestelmän tietojen käsittelyä valvoo VRK:n lisäksi tietosuojavaltuutettu, jolle VRK raportoi vuosittain. maiden kansalaisista. Rekisteröi tämä Väestötietojärjestelmä on suurin perusrekisteri Uudessa sarjassa esitellään keskeisiä suomalaisia henkilörekistereitä. Teksti Päivi Männikkö Kuva ScanStockPhoto K sysäyksen suomalaiselle väestökir- Suorakäyttö määritellään tietokohtaisesti uningas Kustaa Vaasa antoi alkujanpidolle 1520- ja -30-luvuilla, kun Järjestelmästä luovutetaan tietoja viran- hän määräsi pitämään kirjaa talouskunnista omaisille, tutkimukseen sekä yritysten ja ja asekelpoisista miehistä. Suorakäyttöluvassa määritellään tieto- lisuuksien kannalta keskeistä tietoa sisältä- kohtaisesti, mitä niillä on oikeus nähdä. vä rekisteri. O 24? tietosuoja 1 . Kirkko seurasi kansalaisten tarpeisiin. Tämä perustuu kuolinajankohta. siihen, että henkilötietojen lisäksi järjestelmään tallennetaan tietoja myös rakennuksista ja huoneistoista
Entä saanko julkaista viestin blogissani? Sähköisen viestinnän tietosuojalain 8 §:n mukaan ?Viestin lähettäjä tai se, jolle viesti on tarkoitettu, voi käsitellä omia vies- tietosuoja 1 . O Kysymykseen vastasi Viestintäviraston lakimies Erika Leinonen. Isäni joutui sairaalaan, ja koska en tiennyt, mille osastolle, soitin puhelinvaihteeseen, joka yhdisti puhelun isälleni. Kaikki puhelinvaihteeseen soittajat ovat lähtökohtaisesti sivullisia potilaaseen nähden. Näin ollen sairaalassa potilaalta pitää etukäteen kysyä, kenelle hänen sairaalassaolostaan saa kertoa ja haluaako hän, että vaihteeseen tulevat puhelut yhdistetään hänelle. on tulkittu melko laajasti. Säännöksen mukaan kyse ei ole luottamuksellisen viestinnän suojan loukkaamisesta, jos viestinnän osapuoli välittää saamansa (ja hänelle tarkoitetun) viestin eteenpäin tai kertoo siitä kolmannelle taholle. O ? Kysymykseen vastasi tietosuojavaltuutettu Reijo Aarnio. Askarruttaako jokin henkilötietojen suojaan, yksityisyyteen, viestinnän luottamuksellisuuteen tai tietoturvaan liittyvä asia? Lähetä kysymyksesi meille, me etsimme sille sopivan vastaajan. Kysymyksiä voi lähettää osoitteeseen info@tietosuoja-lehti.fi 25. O Kysymykseen vastasi Viestintävirastossa toimiva kansallinen tietoturvaviranomainen CERT-FI. Saanko lähettää saamani sähköpostiviestin edelleen ystävälleni. Tosin kannettavissa tietokoneissa kameraa ei välttämättä saa virrattomaksi. Joissakin tapauksissa kameran merkkivaloakin voidaan ohjata etäohjelmalla. Mahdollisesta sivullisesta kameran käyttäjästä pääsee lopullisesti eroon poistamalla haittaohjelman. Viestinnän osapuolella on melko laajat oikeudet käsitellä saamiaan viestejä, eikä alkuperäisen lähettäjän lupaa lähtökohtaisesti tarvita. Näin ollen viestin kopioiminen kolmannelle taholle on sallittua. On silti mahdollista, että viestin käsittelyoikeutta rajoittaa sopimus tai laista johtuva salassapitosäännös (esimerkiksi lääkärin vaitiolovelvollisuus). Myös henkilötietojen käsittely tai yksityiselämää koskevan tiedon levittäminen viestissä voivat rajata käsittelyoikeutta. Sen sijaan, jos vastaanottaja on saanut toiselle henkilölle tarkoitetun viestin erehdyksessä, vastaanottajalla on vaitiolovelvollisuus viestistä. Pitäisikö vaihteen ensin selvittää, mikä on soittajan suhde potilaaseen, tai yhdistää puhelu osaston henkilökunnalle? Saako vaihde edes kertoa, onko sairaalassa kysytyn nimistä potilasta? Jo se, että henkilö on sairaalassa potilaana, on salassa pidettävä tieto. Kysy meiltä Voiko joku vakoilla minua tietokoneeni webkameran kautta, vaikka kamera olisi off-tilassa, eikä sen merkkivalo ole päällä? Vakoilu web-kameran kautta voi olla mahdollista, jos tietokoneeseen on päässyt etäkäytön mahdollistava haittaohjelma. Silloinkaan vakoilu ei onnistu, jos kamerassa ei ole virta päällä. Koska suurin osa kameroista ottaa virtansa USB-liitännästä, virran saa pois kytkemällä kameran irti tietokoneesta. Ilman potilaan suostumusta vaihde ei saa yhdistää puheluita hänelle tai kertoa, että hän on sairaalassa potilaana. 2013 tejään ja niihin liittyviä tunnistamistietoja, jollei jäljempänä tässä tai muussa laissa toisin säädetä.? Lainkohdan ?käsittely
2013. Sairausloman syy ei kuulu kaikille 26? tietosuoja 1
Se velvoittaa työnantajan ilmoit- huoltoon. Käytäntö on työterveyshuoltoon. Myös poissaolotieto on henkilö- Työkykyneuvottelussa pallo on potilaalla Jos sairausloma pitkittyy, työterveyshuollon Esimiehet eivät aina ymmärrä, että potilastiedot ovat salaisia. on viimeistään 90 sairauslomapäivän jälkeen tehtävä lausunto työkyvystä ja työssä jatkamismahdollisuuksista. Diagnoositietoja ei siten saa liittää veyskeskuksen lääkä- toteuttamiseksi?, Murtomäki neuvoo. esimerkiksi palkkahallinnon rekistereihin rin kirjoittamaan sai- tieto, joskaan ei arkaluonteinen. poissaolotietojen yhteyteen, eikä niistä saa rauslomaan. 2013 27. Myös oikeudesta kieltää tietojen jalle tietoja potilaan terveydentilasta ilman tamaan poissaolosta työterveyshuoltoon, luovutus tulisi kertoa, jos työpaikka ryhtyy hänen suostumustaan. Lisäksi työpaikan ja nanotossaan, että työntekijöille tulee tie- työterveyshuollon yhteistyötä on tiivistänyt dottaa terveydentilatietojen käsittelystä Potilastiedot ovat aina luottamuksellisia sairausvakuutuslain ja työterveyshuoltolain työpaikalla ja luovuttamisesta työterveys- Työterveyshuolto ei saa luovuttaa työnanta- uudistus. Kielto voi koskea yksit- sekä henkilötietolain että työelämän tieto- täistä tilannetta tai tiettyä ajanjaksoa. suojalain vastainen. Työpaikan ja työterveyshuollon välillä kulkee yhä enemmän tietoa sairauspoissa- koota erillistä työntekijäkohtaista rekisteriä. oloista, mitä perustellaan työkyvyn yllä- Tietosuojavaltuutettu on korostanut kan- pidolla ja seurannalla. Lain tulisi kuitenkin olla Asiattomien tiedustelujen taustalla on ilmoitettaessa sairauspoissaolosta työter- kaikilla työpaikoilla nähtävillä?, Murtomäki kuitenkin yleensä esimiesten tietämättö- veyshuoltoon sekä sairauslomatodistusten huomauttaa. myys laeista ja säännöistä kuin pyrkimys luovuttamisessa työterveyshuoltoon?, kertoo ylitarkastaja Mia Murtomäki. Toisin kuin joillakin työpaikoilla on luultu, Terveystiedot erillään muista henkilötiedoista täistapauksia ilmenee?, Hallberg myöntää. urkkia työntekijän potilastietoja. ?Jotkut esimiehet voivat olettaa työterveyshuollon kanssa tehtävän yhteistyön lakiuudistus ei edellytä, että muualla kirjoi- Henkilötietolain mukaan diagnoosi- ja tarkoittavan sitä, että he saavat enemmän tetut lääkärintodistukset tulisi säännönmu- muut terveystiedot ovat arkaluonteisia hen- tietoa potilaista kuin muuten saisivat.? kaisesti lähettää työterveyshuoltoon. kilötietoja. Lausunto on ehtona Kelan sairauspäivärahan maksun jatkamiselle. tietosuoja 1 . Kun Aarne sen loputtua palaa Tiedottaminen takkuilee töihin, tieto sairauslomasta menee työter- Työntekijä sai lakiuudistuksessa oikeuden Näin on Murtomäen mukaan kuitenkin jois- veyshuollolle. kieltää lääkärintodistuksensa lähettämisen sakin organisaatioissa tehty. Työpaikan ja työterveyden tiivistynyt yhteistyö vaatii esimiehiltä parempaa tietosuojaosaamista. A Teksti Kirsi Castrén kuva futureimagebank arne Ahkera on juuri ?Työnantaja voi luovuttaa työterveys- lopettelemassa kesälo- huoltoon tiedon työntekijän sairauspois- Työnantajan on säilytettävä arkaluontei- mansa, kun pitkällinen saolojen määrästä ilman diagnoositietoa set henkilötiedot erillään muista henkilötie- stressi kulminoituu ter- työterveyshuollon lakisääteisten tehtävien doista. Kysyvätkö työnanta- kun sairausloma on kestänyt 30 päivää. lähettämään lääkärintodistukset säännön- jat koskaan työterveyshuollolta enemmän mukaisesti työterveyshuoltoon. tietoja työntekijöistään kuin laki sallii, joh- Esimiehillä on epätietoisuutta uudistuksesta Lakiuudistus on poikinut työnantajilta kyselyjä tietosuojavaltuutetun toimistolle. Tiedotusvelvoite ei ylitarkastajan mukaan toistaiseksi toteudu työpaikoilla tarpeeksi hyvin. ?Työnantajat eivät tiedota asiasta riit- tajalääkäri Anja Hallberg Diacorista? ?Diacorilla on noin 4 000 asiakasyritystä, joissa on työterveyshuollon piirissä 130 000 työntekijää, joten on mahdollista, että yksit- ?Ongelmia on aiheuttanut epätietoisuus tävästi, eikä työntekijöillä ole aina tietoa siitä, mitä henkilötietoja voidaan käsitellä kielto-oikeudesta
Isompien yritysten kanssa käydään esimerkiksi kvartaaleittain sairauspoissaolot diagnoosiluokittain sekä ko. Toimitamme tietoa työnantajille säännöllisesti tietoa työssä esiintyvistä terveysvaaroista ja niiden torjuntakeinoista. Lukuja tarkastellaan sairausryhmittäin. Tiedot toimitetaan ns. Potilaiden tietosuojan takaamiseksi TeliaSonera saa tilastot vain diagnoosiryhmistä, joissa on vähintään 20 työntekijää. TeliaSoneran työhyvinvointipäällikön Jyrki Kettusen mukaan raporteissa tärkeintä ovat tiedot, joiden perusteella työnantaja voi edistää työkyvyn säilymistä ja työturvallisuutta. ?Todistuksia käsitellään ainoastaan henkilöstöhallinnossa. Pienempien kanssa varmistetaan, että yksittäisen henkilön tiedot eivät paljastu. Jos esimies haluaa tietää työntekijän diagnoosin ja kysyy sitä henkilöstöhallinnosta, tietoa ei sieltä hänelle anneta?, Kettunen sanoo. Raportoinnin tekemiseksi työterveyshuollolla tulisi olla tiedot myös diagnoosiluokista. O Gallup Näitä kysyimme työterveyspalvelujen tarjoajilta: 1. Aivan pienten kanssa raportteja ei tuoteta. 2. Seuranta kiinnostaa vain suuria yrityksiä. 2. Kaikki raportit ovat ryhmätasoisia joko koko yrityksen tai sen osaston tasolla. O Työnantaja: Tiedot auttavat ehkäisemään poissaoloja TeliaSonera seuraa henkilöstönsä terveystilannetta työterveyspalvelujensa tuottajan neljännesvuosittain toimittamasta tilastoraportista. Molemmat tavat ovat käytössä. tietosuoja 1 . Kuinka yleisesti työnantajat haluavat raportteja terveystilanteesta? 2. Asiassa on vaihtelevaa käytäntöä työnantajakohtaisesti. 28? Työterveyshuollolle raportointi on työväline Dextra, johtava ylilääkäri Sari Anthoni 1. ryhmien sairauslomapäivien määrä ja sairauslomien pituudet. 2013. Suurimpien yritysten kanssa toimitaankin näin. Pienemmät saattavat toimittaa vain tiedon sairausloman pituudesta. Mehiläinen, kehitysjohtaja Tapio Virta 1. Onko työnantajilla tapana toimittaa myös lääkärintodistukset pitkistä sairauslomista? Suomen Terveystalo, ylilääkäri Tanja Vuorela 1. Raportointia tehdään erityisesti suurten ja keskisuurten yritysten kanssa. tietosuoja-lehti.fi Työterveystietojen lainmukaisen käsittelyn ABC Työkykylausuntoa varten lakiuudistus suosittaa kutsumaan koolle työkykyneuvottelun, johon osallistuvat työterveyslääkäri, työntekijä ja hänen esimiehensä. ?Neuvotteluissa keskustellaan esimerkiksi siitä, kuinka monta tuntia viikossa työntekijä pystyy työskentelemään tai kuinka paljon olkapäävaivainen saa työssä kuormittaa olkapäätä?, johtajalääkäri Hallberg sanoo. Hänen mukaansa potilaiden avoimuutta on joskus tarpeen toppuutella. ?Kun itse vielä tein kliinistä työtä, tapanani oli etukäteen käydä työntekijän kanssa läpi, mitkä asiat neuvottelussa ovat oleellisia.. ryhmätasoisina raportteina. 2
Ilmiöt numeroina futureimagebank 800 5 Työtuntien määrä, jonka saksalainen toimittaja Tina Groll arvioi käyttäneensä identiteettivarkauden setvimiseen. Tieto ilmenee Ison-Britannian petosten torjuntakeskus CIFASin raportista. O 1/4 suomalaisista hävittää henkilötietoja sisältävät asiakirjansa, kuten veroehdotukset ja tiliotteet, tietoturvaroskiksessa tai silppurissa. Laskut tulivat Grollille, joka joutui palkkaamaan lakimiehen selvittääkseen asian perintätoimistojen ja ulosottoviranomaisten kanssa. Roskalaatikkoa tai paperinkeräystä suosivat etenkin nuoret. Tulokset perustuvat Itellan syksyllä 2012 tekemään kyselyyn. O 369 132 80 18 viime vuonna 369 132 ilmoitusta identiteettivarkauksista. Komission viime vuonna saamista kaikkiaan yli kahdesta miljoonasta ilmoituksesta siis miltei joka viides koski identiteettivarkautta. O Maaliskuussa uutisoitiin tapauksesta, jossa 18 amerikkalaisen julkisuuden henkilön, kuten presidentin puolison Michelle Obaman, luottotiedot, sosiaaliturvatunnukset ja yhteystiedot oli julkaistu netissä. O prosenttia suomalaisista on joutunut identiteettivarkauden uhriksi, kun eurooppalainen keskiarvo on 8 prosenttia. 2013 Yhdysvaltain liittovaltion kauppakomissio FTC sai 29. Tiedot perustuvat tietoturva-aiheiseen eurobarometriin keväältä 2012. Sen sijaan joka viides suomalainen vie ne paperinkeräykseen tai tavalliseen roskakoriin. Identiteettivarkaat tilasivat Grollin nimissä, nimen ja syntymäajan perusteella tuotteita kymmenientuhansien eurojen arvosta. O prosenttia Isossa-Britanniassa viime vuonna ilmoitetuista identiteetin väärinkäyttöön perustuvista rikoksista tehtiin netissä. O scanstockphoto tietosuoja 1
2013. 30? tietosuoja 1
Viestintäviraston tietoturva-asiantuntija Juhani Eronen muistuttaa, että ongelma ei rajoitu vain rekisterinpitäjiin, sillä ohjelmistohaavoittuvuudet voivat aiheuttaa suurta vahinkoa myös muissa verkkoon kytketyissä laitteissa ja ohjelmistoissa. Vanhat käytännöt elävät sitkeästi Ohjelmistot ovat aina ihmisten tekemiä, mikä merkitsee, että niissä voi olla virheitä. Lagus Kuva Shutterstock V iime keväänä monien nettipalveluiden käyttäjät päätyivät tietämättään jakamaan haitallista ohjelmakoodia. OpenX-mainosalusta on yleisessä käytössä oleva avoimeen lähdekoodiin perustuva mainosten välitysohjelmisto. OpenX:n haavoittu- vuuden avulla hyökkääjä pystyi luomaan itselleen pääkäyttäjätunnuksen järjestelmään, minkä jälkeen hyökkääjä pystyi levittämään mainosalustan avulla haitallista ohjelmakoodia sivustoilla vieraileville käyttäjille. Haavoittuvuus löydettiin ja korjaus julkistettiin. Ennen verkkoaikaa ei ohjelmiin jääneisiin reikiin ja haavoittuvuuksiin kiinnitetty juuri huomiota, sillä tärkeintä oli mahdollisimman tehokas ohjelmointi, jotta rajallisista laiteresursseista saatiin puristetuksi kaikki irti. ?Nykyään tietokonekapasiteetti on harvoin ongelmana, mutta vanhat ohjelmointikäytännöt ovat eläneet sitkeästi?, Eronen sanoo. Perusohjelmointivirheet ovat liittyneet esimerkiksi muistinkäsittelyyn. ?Muistivirheet johtavat usein tilanteeseen, jossa hyökkääjä voi saada kohteen haltuun ujuttamalla sinne ajettavaksi omia komentojaan.? Turvallisuuden kaveri on yksinkertaisuus ?Toinen perusongelma on siinä, että turvallisuus tulee mukaan yleensä vasta viimeisessä kehitysvaiheessa. Turvallisuuden kaveri on järjestelmien yksinkertaisuus, eli että ymmärretään, miten järjestelmät toimivat?, Eronen sanoo. tietosuoja 1 . Ohjelmistohaavoittuvuus on kaikkien riesa Käyttäjä kärsii ja rekisterinpitäjä vastaa, jos verkkopalvelusta vuotaa henkilötietoja ohjelmistohaavoittuvuuden vuoksi. Teksti Antti J. Sen avulla voidaan hallita mainoksia keskitetysti useilla verkkosivuilla. Viestintävirasto oli yhteydessä moniin sellaisiin tahoihin, joiden se tiesi käyttävän ohjelmistoa. Kaikki eivät kuitenkaan olleet tiedossa, minkä vuoksi on tärkeätä, että verkkopalveluiden tarjoajat seuraavat haavoittuvuustiedotuksia jatkuvasti. Vaikkei rekisterinpitäjä välttämättä tiedäkään mitään verkkopalvelussa käyttämistään ohjelmistoista, hän on vastuussa, jos esimerkiksi ohjelmistohaavoittuvuuden vuoksi palvelusta vuotaa henkilötietoja. 2013 31
Onko toimittajalla esittää ohjelmistojen turvallisuustutkimusta? ?. Joskus palveluntarjoajalla voi olla voisi olla se, onko toimittajalla esittää alus- ohjelmistoja katsotaan hakkerin silmin. vaikkapa sadan asiakkaan verkkopalvelut taan liittyvää turvallisuustutkimusta. Vielä löytämättömien aukkojen pal- luita tarjoavat yritykset seuraavat haavoittu- itse, palvelu pitää ostaa. ?Yksi järjestelmän valintakriteereistä jastaminen vaatii Takasen mukaan, että vuuksia. O 32? tietosuoja 1 . Lisäksi ne on yhdistetty toisiin tai käyttävän yrityksen pitää vaatia portaalin tiedon. 2013. Sen pitäisi olla yksi tietojärjestelmien voi määritellä sen, että haluaa testattuja ostajien ostokriteereistä. ohjelmistoja. ?Hankittavan ohjelmiston turvallisuu- Mitä teet, kun hyökkäys tulee? ?Usein ohjelmistokehittäjät ajattelevat, palveluna. Korjauksissa on oltava huolellinen, sillä kaapattuun järjestelmään jätetään usein jokin takaovi uutta käyntiä varten. ?Suunnitelmaa seuraamalla hyökkäyksille laitetaan piste heti, kun ne on havaittu. Toivomme myös, että hyökkäyksestä tehdään rikosilmoitus, sillä ilman ilmoituksia rikollisuutta ei ole olemassa?, Eronen sanoo. Verkkopalvelun tilaajan pitää myös edellyttää toimittajalta, että tämä pitää järjestelmän toiminnasta lokia ja myös seuraa sitä. Näin on mahdollista havaita poikkeava käyttäytyminen ja puuttua siihen. Eronen toteaa- toimittajalta, että ohjelmisto on ostajan käy- nottaa, että jonkun pitää joka tapauksessa kin vanhaa ohjelmointiviisautta mukaillen, tettävissä tietoturvatestausta varten. Pidetäänkö ostettavat palvelut erillään muista tarjottavista palveluista esimerkiksi erillisillä virtuaalipalvelimilla? ?. Myös Ostajan näkökulmasta on kyse siitä, halu- samalla palvelimella ilman virtualisointeja se voi olla hyvä mittari, onko valmistaja taanko löytää mahdollisimman paljon vai tai kovennuksia. antanut julkisuuteen turvallisuustiedot- tehdäänkö vain pistotarkistusta. teita ja muuta turvallisuuteen liittyviä materiaaleja?, Eronen sanoo. Turvallisuustestaus ennen hankintaa ?Jos tällainen palvelin päästään korkkaa- ?Yleensä jos ohjelmistojen tarkistaminen maan, vaarantuvat siinä samalla kaikkien laitetaan ostovaatimuksiin, myyjät osaavat sadan asiakkaan tiedot. Tähän tarkoitukseen on kehitetty Hosting-palvelut avainasemassa automatisoituja työkaluja. Eronen painottaa, että jos suunnitelmaa ei ole, hyökkääjä saa usein mellastaa mielensä mukaan. Ostajan muistilista Verkkopalvelua tarjoava yritys vastaa palveluistaan. Seuraako palveluntarjoaja hyökkäysyrityksiä asiakkaiden palveluihin vai jääkö tämä asiakkaan vastuulle? ?. Minusta ajattelutavan pitäisi Palveluntarjoajilla pitäisi aina olla suunnitelma sen varalta, kun hyökkäys tapahtuu eikä vain, jos se tapahtuu. Kuuluuko palveluntarjoajan prosesseihin haavoittuvuuksien jatkuva seuranta ja tarvittavat toimenpiteet? Hyökkäyksen sattuessa on tärkeä toimia nopeasti, sillä kaapatut resurssit valjastetaan usein hyökkäyksiin muita palvelimia kohtaan. Vaikka hosting-pal- suhtautua tähän oikein ja tarjoavat tarkis- veluissa on pienet katteet, turvallisuudesta tettuja ohjelmistoja?, Takanen sanoo. ei saisi tinkiä?, Eronen sanoo. Jos ohjelmiston valmistaja on tehnyt Hyvä keino vähentää riskiä joutua uhriksi Ohjelmistotestaukseen erikoistuneen Co- myymilleen tuotteille hyväksi havaitun on pitää hosting-palveluissa asiakkaat denomicon Oy:n teknologiajohtaja Ari testauksen, ei testiä tarvitse tehdä jokai- erossa toisistaan. Tietoturvates- Haavoittuvuuksien julkaisemisessa ongel- päinvastoin olla niin, että kaikki olisi tehtävä tausta on saatavissa myös pilvipalveluina?, mana on epätietoisuus siitä, kuinka kauan vihamieliseen ympäristöön?, Eronen sanoo. Takanen sanoo. haavoittuvuus on ollut hyväksikäyttäjien den voi myös testata itse tai ostaa testaus- että ohjelmistoja ei käytetä vihamielisessä ympäristössä. Tämä toimii lyttää tätä tarjouspyynnöissään. tauksen pitäisi sisältyä jo ohjelmistokehityk- Takasen mielestä niinkin päin, että ostaja seen. Asiakkaiden pitäisi edel- Takanen on sitä mieltä, että tietoturvates- selle ostettavalle ohjelmistolle. Sen vuoksi on tärkeätä jo palvelualustan hankintavaiheessa selvittää, että ohjelmistohaavoittuvuuksiin on varauduttu. Kun ostat verkkopalvelua, kysy tietojärjestelmätoimittajalta näitä asioita: ?. Jos tätä ei tehdä yksinkertaisia, ettei niissä selvästikään ole Skannausohjelmistot hakevat vain tun- virheitä ja toisia, jotka ovat niin monimut- nettuja tietoturvareikiä tai haavoittuvuuk- Erityisen tärkeää on, että hosting-palve- kaisia, ettei niissä ole selviä virheitä. sia. Viestintäviraston Juhani Eronen pai- monimutkaisiin järjestelmiin. Valitettavasti usein järjestelmät eivät ole Esimerkiksi webbiportaalia perustavan tiedossa ennen kuin valmistaja julkaisee yksinkertaisia. Näin seurata haavoittuvuuksien julkistamista ja että on vain kahdenlaisia järjestelmiä: niin voidaan varmistaa, että se on turvallinen. paikata reiät tarvittaessa
Huomaa, että koro- tettua tietoturvatasoa edellytetään vain niiltä organisaation hallintatoiminnoilta ja tietojärjestelmiltä, jotka on luokiteltu korotettua tasoa vaativiksi. Työ jatkuu! Nyt, kun valtionhallinnossa saavutetaan organisaatiotasolla perustaso ja tietoturvallisuus on saatu jalkautettua osaksi toimintaa, tehdyn mittavan työn tulokset eivät saa rappeutua, vaan perustason säilyttäminen edellyttää ylläpitoa. 2013 Selityksiä luokituspäätöksen puuttumiselle on keksitty kiitettävästi. musmäärittely, arkkitehtuuri ja sopimukset sekä näistä johdetut ratkaisut ja prosessit eivät välttämättä mahdollista perustietoturvatason saavuttamista. Kuten edellä, myös jäljelle jäävät tietojärjestelmätason poikkeamat tulee käsitellä VAHTI-ohjeen mukaisesti korvaavina menettelyinä. puhumattakaan, että olisi tiedetty tulevista vaatimuksista. Tällöin vaihtoehdoksi jää järjestelmän seuraava kilpailutus, jolloin järjestelmän tulee täyttää tietoturvallisuuden ja jatkuvuudenhallinnan vaatimukset. Hyvän, hankinnoissa hyödynnettävän ja vaatimusmallin saa Valtion IT-palvelukeskuksen työkalupakista www.valtiokonttori.fi/ttt/materiaalipankki. Luokituspäätöksiä puuttuu yhä Valitettavasti kaikki organisaatiot eivät ole tehneet luokituspäätöstä. Organisaatiot aloittivat kehityshankkeita tavoitteenaan asetuksen edellyttämä tietoturvallisuuden perustaso. Sellainen organisaatio, joka oli kehittänyt määrätietoisesti tietoturvallisuuttaan jo 2000-luvun alkupuolen ajan, havaitsi olevansa jo kohtalaisen lähellä perustasoa. Jos työ sen sijaan ei ole ollut järjestelmällistä, matkaa perustasoon on ollut ja tekemistä on varmasti riittänyt. Apulaisjohtaja Kimmo Rousku työskentelee Valtiokonttorissa toimivan Valtion IT-palvelukeskuksen Tietoturvapalvelut-yksikössä. 33. O Valtiokonttori L okakuussa 2010 iloittiin, kun pitkään valmisteltu tietoturvallisuusasetus astui voimaan. Näkökulma Tietoturvallisuusasetuksen deadline lähestyy . Selityksiä tälle on keksitty kiitettävästi. Luokituspäätöksen tehneet organisaatiot jatkavat toiminnan kehittämistä tavoitteenaan korotettu tietoturvataso organisaatiokohtaisen viiden vuoden ylimenokauden aikana. Sen aikainen vaati- tietosuoja 1 . Yleensä ei ole kustannustehokasta toteuttaa muutoksia järjestelmään kesken sopimuskauden. Käytä tässä apuna tietoturvallisuuden vuosikelloa. Samalla ylläpito ja muu tietoturvallisuuden kehittäminen edistävät kyberturvallisuusstrategian tavoitteita, koska kaikki normaali tietoturvallisuutta ja jatkuvuudenhallintaa kehittävä työ pienentää myös kyberuhkaa. On mahdotonta arvioida, kuinka montaa tietojärjestelmää tietoturvallisuusasetus koskee, mutta niitä on joka tapauksessa tuhansia. Muutokset järjestelmään seuraavassa kilpailutuksessa Osa järjestelmistä on rakennettu vuosina ?miekka ja kilpi?, jolloin sanaa tietoturvallisuus ei välttämättä ole ymmärretty . Näyttää siis varsin hyvältä. Sen sijaan suurempi huolenaihe on vaatimusten toteuttaminen yksittäisten tietojärjestelmien tasolla. oletko valmis? Järjestelmätasolla on vielä tavoiteltavaa Kun katsotaan, kuinka tietoturvallisuuden ja tietojärjestelmien hallinnan vaatimukset ovat täyttyneet organisaatiotasolla (VAHTI 2/2010-ohjeen liite 5), valtionhallinnossa päästään tavoitteisiin lievin poikkeamin. Jos poikkeamia tulee, ne täytyy käsitellä VAHTI-ohjeen liitteessä 6 kuvatun korvaavan menettelyn mallin mukaisesti
Tietosuojalautakunta taas tietosuojalautakunta myöntää käyttää ylintä päätösvaltaa. luvan henkilötietojen käsittelyyn. Vaikka kahden viranomaisen Lupatoimivalta on tuonut järjes- järjestelmä ei ole kovin tavan- telmään tarvittavaa joustavuutta omainen yleiseurooppalaisesta ja mahdollisuuden reagoida näkökulmasta tarkasteltuna, on suhteellisen nopeastikin uusiin se osoittautunut monella tavalla asioihin. Heistä kullakin noin 5?7 lupa-asiaa. on varajäsen. Lautakunnasta on Tietosuojalautakunta arvioi pyritty samaan aikaan kokonai- aina lupapäätöksiä tehdessään, suus, jossa edustettuina olisi- täyttyvätkö luvan myöntämisen vat henkilötietojen käsittelyn edellytykset. Uudessa sarjassa esittelemme lautakunnan toimintaa ja sen antamia päätöksiä. kysymyksiä sekä toisaalta tekee ratkaisuja yksittäisissä henkilötietojen käsittelyä koskevissa tilanteissa. Tällöin punnitta- kannalta keskeiset yhteiskunnan vaksi tulevat paitsi rekisterinpitä- alueet, kuten julkishallinto, elin- jän oikeutettu etu, myös se, onko keino- ja työelämä, tutkimus sekä rekisterinpito suunniteltu siten, rekisteröityjen näkökulma. ettei rekisteröityjen yksityisyy- Linjauksia, lupia ja määräyksiä densuoja vaarannu. Mitä tarkemmin hakija on selvittänyt henkilötietojen käsittelyn tavoitteet ja Lautakunta käsittelee yhtäältä lyt, sitä ripeämmin lupahakemus tyviä, periaatteellisesti tärkeitä 34? kuvannut käyttämänsä menette- henkilötietojen käsittelyyn liit- käsitellään. tietosuoja 1 . Lupia on myönnetty hyvin onnistuneeksi ratkaisuksi. esimerkiksi paikkatietopalvelujen Kolmeksi vuodeksi kerrallaan luomiseen ja pankkien asiakas- nimitettävään tietosuojalauta- häiriörekisterin ylläpitämiseen. kuntaan kuuluu puheenjohtaja Vuosittain lautakunta käsittelee ja kuusi jäsentä. Jälkimmäiset voivat olla lupia henkilötietojen käsittelyyn tai määräyksiä rekisterinpitäjälle. Määräyksiä lautakunta voi antaa ainoastaan tietosuojaval- Teksti Anu Talus S tuutetun hakemuksesta. Vuouomessa on kaksi tieto- sittain käsittelyssä on 1?2 mää- suoja-asioita hoitavaa räysasiaa. viranomaista. Lautakunnasta kuuluu Valokeilassa päätöksentekijä Suomessa henkilötietoasioissa ylintä päätösvaltaa käyttää tietosuojalautakunta. Tietosuo- Henkilötietojen käsittelyn on javaltuutettu on pääasiallinen aina perustuttava lakiin. Jos sitä henkilötietojen käsittelyn valvon- ei ole mahdollistettu laissa, voi taelin. 2013
O Päivi Männikkö tietosuoja 1 . Jotkut lupa-asiat ovatkin tulleet rutiiniluonteisiksi. Henkilötietojen käsittelyn tarkka selostus hakemuksessa nopeuttaa lupakäsittelyä. Tällaisia ovat olleet esimerkiksi perintätoimistoille myönnettävät luvat, jotka koskevat väestötietojärjestelmästä saatavien henkilötietojen käsittelyä perintätoiminnassa. Rutiininomaisiksi muodostuneet käytännöt on sittemmin voitu ottaa huomioon myös lainsäädännössä. Kyse voi olla esimerkiksi uudesta ilmiöstä, jolloin kokemusten saaminen luvan ja siihen mahdollisesti liitettyjen määräysten toimivuudesta on tarpeellista. Yritys on ilmoittanut noudattavansa määräystä. Tällöin lautakunta arvioi tilannetta uudelleen muutaman vuoden kuluttua luvan myöntämisestä, mikäli rekisterinpitäjä haluaa jatkaa toimintaansa. Kirjautuminen nimellä ja henkilötunnuksella ei suojannut yksityisyyttä riittävästi etenkään, kun kyse oli asiakkaiden terveydentilaan liittyvistä ja siten arkaluonteisista tiedoista. Asiakkaan nimi ja henkilötunnus saattoivat olla monien muidenkin kuin asiakkaan itsensä tiedossa, ja sähköisessä järjestelmässä asiaton käyttö on helpompaa kuin perinteisillä ajanvaraustavoilla. Tietosuojalautakunta teki päätöksen tietosuojavaltuutetun esityksestä. Palveluun kirjauduttiin nimen ja henkilötunnuksen perusteella. Tietosuojalautakunta määräsi yrityksen muuttamaan kirjautumistavan sellaiseksi, ettei sivullinen voi päästä tarkastelemaan asiakkaan varaustietoja. O Anu Talus on tietosuojalautakunnan sihteeri. Tietosuojalautakunta: Nimi ja henkilötunnus eivät riitä tunnistamiseen Yrityksen verkkopalvelussa asiakas saattoi varata ja perua aikoja optikolle tai silmälääkärille. 2013 35. Lautakunnasta kuuluu Luvasta voi tulla käytäntö Tietosuojalautakunta on pyrkinyt luomaan ratkaisukäytännöllään henkilötietojen käsittelyä koskevia linjauksia. Esimerkiksi tietosuojalautakunnan 1990-luvulla tekemien henkilömatrikkeleita ja sukututkimusta koskevien päätösten seurauksena lainsäädäntöä muutettiin vastaavasti. Lautakunta voi myöntää luvan myös määräaikaisena
2013. Hankejohtaja Sähköinen lääkemääräys (e-resepti) on tut tavoitteet saavutettiin henkilöstön vah- terveydenhuollon yksiköissä. Julkisella puolella e-arkiston ensimmäisen liittymisvaiheen takaraja on syksy 2014, yksityisen terveydenhuollon yksiköissä vuotta myöhemmin. Teksti Marjo Rautvuori kuva plugi K E-arkiston edelläkävijöitä ovat Itä-Savon ansallisen Terveysarkiston tietojär- sairaanhoitopiiri ja Kuopion kaupunki. jestelmäpalveluiden valmistelussa Ensimmäiset tiedot arkistoon vietiin Kuo- on siirrytty uuteen vaiheeseen. piossa talvella 2011?2012. e -arkistossa urkinnasta on tehty hankalaa Kansallinen terveysarkistohanke etenee kohti sähköisen potilastietoarkiston käyttöönottoa. Potilastietoarkiston urkkiminen on erittäin hankalaa ilman, että siitä jäisi nopeasti kiinni. räyksen onnistunut käyttöönotto antaa uskoa potilastietoarkiston (e-arkisto) toteutumiselle suunnitellusti, vaikka sen aikataulu on tiukka. Lääkemää36? Pauli Kuosmasen mukaan pilotille asete- nyt otettu käyttöön miltei kaikissa julkisen van sitoutumisen ja koko pilottiajan tehdyn tietosuoja 1
He voivat kuitata saaneensa tietopaketin tai kieltää tietojensa luovutukset muille yksiköille. Noin 1,5 miljoonalle suomalaiselle e-resepti on jo kirjoitettu, ja apteekeista niitä on toimitettu yli kahdeksan miljoonaa. Koska urkinnasta puhutaan nykyisin, miten on sähköisen lääkemääräyksen laita: Näkeekö farmaseutti koneeltaan lääkkeiden lisäksi muitakin tietoja asiakkaasta? ?Reseptissä näkyvät kaikki samat tiedot kuin paperiversiossa. Kun farmaseutti toimittaa lääkkeen ohjeiden mukaisesti, hän ei näe muita potilaan tietoja?, THL:n kehittämispäällikkö Maritta Korhonen sanoo. Harvoiksi jäivät myös järjestelmien tietosuojaa ja -turvaa koskevat kysymykset?, Kuosmanen sanoo. Hänen mukaansa Kuopion kokemukset osoittivat, että tiedot pitäisi kirjata e-arkis- Liittymisvaiheessa potilastietoarkistoon toon rakenteisesti, yhtenäisten luokitusten siirretään muiden muassa keskeiset poti- Mikäli hoitosuhteen todentamisen eh- mukaan. Terveydenhuollon ammattilaisen ja tokselta (THL). potilaan välillä tulee olla hoitosuhde, joka Kentältä tulleen palautteen perusteella asiakastietolakiin valmistellaan tietosuojaa Omien tietojen katselu vahvistaa yksityisyyttä Potilas voi seurata tietojensa käyttöä sekä kieltää niiden luovuttamisen muille yksiköille Omien tietojen katselu -palvelussa. Palvelussa näkyvät jo tiedot käyttäjän Sähköinen resepti yleistyy vauhdilla saamista sähköisistä resepteistä. Kun poti- on käynyt vajaan kolmen vuoden aikana lastietoarkisto otetaan koko Suomessa käyttöön, potilas voi nähdä myös potilaskertomuksensa ja sen lokitiedot. Itä-Savon ja Pohjois-Karjalan alueiden potilaat tutustuvat jo hoitotietojensa katseluun. THL:n kehit- kennuksia ja valvontaa kiristetään. aktiivisen tiedonkeruun avulla. Valmisteilla on lakimuutoksia, jotka lisäävät valvontaa. ?Teknisiä ongelmia ja muutostarpeita tuli esiin hyvin vähän. O katsomassa yli 400 000 asiakasta. 2013 37. Lääke- ?Henkilöstöä pitää kouluttaa, ja lisäk- tämispäällikkö Maritta Korhonen muistut- määräyksen suostumus- ja kieltokäytäntöä si tulee huolehtia myös teknisestä suo- taa, että toisaalta on huolehdittava potilaan todennäköisesti muutetaan asiakastietola- jauksesta, esimerkiksi tietoliikenteen sa- yksityisyydensuojasta: kia vastaavaksi. Ennen kuin terveydenhuollon yksikkö voi liittyä e-arkiston käyttäjäksi, sen potilastietojärjestelmän täytyy olla arkistokelpoinen sekä teknisesti että toiminnallisesti. lauksesta?, sanoo projektipäällikkö Anna ?Tietoja ei voi katsoa kuka ja missä ta- Kärkkäinen Terveyden ja hyvinvoinnin lai- hansa. O lue lisää Lue lisää tietosuojavastaavan työstä s. Potilas miota poikkeaviin tapauksiin. Sähköisen arkiston käyttöönoton valmiste- itse päättää, suostuuko hän tietojen luovu- Tietosuojan toteutumista seuraa myös luja tehdään jo useilla paikkakunnilla. tukseen vai kieltääkö esimerkiksi jonkun tietosuojavastaava, joka pitäisi olla nimet- yksittäisen käynnin tai hoitojakson tietojen tynä jokaisessa terveydenhuollon yksikössä. luovuttamisen. Tarvittaessa vastaava tekee pistokokeita. lakiin sähköisestä lääkemääräyksestä ja Erityisesti tietosuojan ja tietoturvan var- Tietojen käsittelyyn vaaditaan hoitosuhde mistamiseksi tehdään auditointi, joka kos- Kansallisen terveysarkiston tavoitteena on, parantavia muutoksia. huhtikuuta. Yksityisellä sektorilla siirtymäaikaa on maaliskuun 2014 loppuun asti. Kaikki potilas- vyyttä. todennetaan teknisesti.? Kun yksikkö on ottanut e-arkiston käyt- Potilastiedot arkistoon vaiheittain tietojen käyttö myös talletetaan lokitietoi- töön, loput potilastiedot siirretään sinne hin, ja käytönvalvonnassa kiinnitetään huo- asetuksen mukaisessa aikataulussa. Julkinen terveydenhoito pääsee lähes täysin velvoitteeseensa 1. Tietojaan Apteekeilla on ollut valmius sähköisten lääkemääräysten toimittamiseen jo vuoden ajan. Se vaatisi henkilöstön koulutusta lastiedot, riskitiedot, lääkitys ja pitkäaikais- dot eivät täyty, tietoja katsovan on perus- ja tietojärjestelmien parempaa käytettä- diagnoosit. teltava toimensa erikseen. 42 tietosuoja 1 . Tietojensa luovuttamisen on kieltänyt alle puoli prosenttia potilaista. Esimerkiksi tietojär- kee organisaation ja tietojärjestelmän lisäksi että potilaiden ajantasaiset tiedot ovat saa- jestelmien auditointeihin on tulossa tar- välittäjätahoja. tavilla kaikissa hoitotilanteissa
Vaikeaa se on, jos salasanat menevät hautaan vainajan mukana. Teksti Marianne Saine Kuvitus Maija Nyman E rkki-sedän asiapaperit, kirjeet ja valo- Omaa jäämistöään pohtivien on hyvä kuvat oli ennen säilötty lipastonlaa- ottaa huomioon, että tietokone ei ole ?Yksinkertainen ja tehokkain tapa on tikoihin. Perintö bittiavaruudessa Perikunta saa vapaasti tutkia vainajan digitaalista perintöä. Kun halua jättää jälkipolvien silmille. Jos sitä ei halua tehdä, tie- käsiksi, hän poltti ne saunan uunissa. Niillä voi siivota kovalevyjä ja huoleh- nyttä elämäänsä sen kummemmin hänen tia siitä, ettei tiedostoja voi kotikonsteilla yksityisyyttään miettimättä. palauttaa?, Kangas jatkaa. Nyt Erkin perintöä voi olla tietokoneella, pilvipalveluissa koti- tai ulkomailla, älypuhe- Säilö salasanat limessa, tabletilla, cd-levyillä, muistitikuilla Digitaalinen jäämistö on monesti rahal- ja digikamerassakin. Senkin voi siivota aineistosta, jota ei tuusan nuuskaksi. Jos Erkki ei halunnut kenen- sinänsä sen mystisempi säilytyspaikka kuin irrottaa tietokoneen kovalevy ja hakata se kään pääsevän vanhoihin rakkauskirjeisiin lipasto. 2013. Kuka saa tutkia niitä lisesti merkittävää. Yrittäjän kirjanpito ja Erkin kuoleman jälkeen? sopimukset saattavat olla sähköisessä ?Kuolinpesän osakkaat eivät syyllisty muodossa, vainajalla voi olla tilejä erilai- yksityisyyden loukkaukseen, jos he tutustu- sissa palveluissa, ja nettihuutokaupassakin vat perittävän digitaaliseen aineistoon tai voi tavara olla huudettuna ja maksettuna. menevät vainajan Facebook-sivuille?, Hel- Vainajan sähköisen jäämistön tutkimi- singin yliopiston siviilioikeuden professori nen kannattaa, jos hänellä on huomattavaa Urpo Kangas vastaa. omaisuutta tai sopimuksia, jotka on tehty ja 38? tietosuoja 1 . Avaimet eli dostojen tuhoamiseen on olemassa ohjel- salasanat voi jättää luotetulle. Erkistä aika jätti, perikunta tutki hänen men- mia
Testamentissa voi myös määrätä, saattaa olla työläämpää kuin lipastonlaa- testamenttia kannata jatkuvasti päivittää. etteivät perilliset saa lainkaan nähdä yksityi- tikoiden tutkiminen. Testamentti on hyvä tapa määrätä sähköisestä jäämistöstään. jotka voidaan irtisanoakin vain verkossa. ?Testamenttiin salasanoja ei kannata lystä, kuten siitä, kuka perillisistä saa tutkia Digitaalisen perinnön kaivaminen esiin laittaa, koska ne muuttuvat jatkuvasti, eikä jäämistöä. Jälkeläisten elämää Testamentissa voi sen sijaan kertoa, mistä siä sähköpostiviestejä tai että tietokone on voi helpottaa säilömällä verkkopalveluiden salasanat löytyvät?, Urpo Kangas neuvoo. kuoleman jälkeen romutettava. salasanat turvalliseen paikkaan kotona tai esimerkiksi pankin tallelokeroon. tietosuoja 1 . 2013 Testamentti on muutenkin hyvä tapa Jos salasanoja ei vainajan jäljiltä löydy, määrätä digitaalisen jäämistönsä käsitte- perilliset voivat kääntyä ammattilaisen puo39
O aiheesta enemmän Urpo Kangas: Digitaalinen jäämistövarallisuus. Lain- syytä esimerkiksi miettiä, onko sivullisen säätäjä ei ymmärrettävästikään ole voinut suojaamiseksi säädetyt salassapitovelvol- ennakoida informaatioteknologian kehityk- lisuudet mietittävä kokonaan uudestaan. sen nopeutta ja muuttuvia haasteita. Johtuisiko viestin luottamuksellisuuden ?Monella palveluntuottajalla ei vielä ole vaivatonta menettelyä, jolla omainen voisi Suuri osa palveluntarjoajista luovuttaa tietoja perillisten pyynnöstä. ?Anomus on syytä tehdä suhteellisen nopeasti kuoleman jälkeen. Uuden tulkinnan mukaan kuolinpesä tulee vainajan sijaan toiseksi osapuoleksi?, Viestintäviraston turvallisuussääntelyryhmän päällikkö Jarkko Saarimäki kertoo. Linjaus koskee luonnollisesti vain kotimaisia teleyrityksiä. tietosuoja-lehti.fi Säilyttävätkö teleyritykset vainajien viestit? Kuolinpesällä on oikeus vainajan sähköposteihin Viestintävirasto on julkaissut uunituoreen linjauksen vainajan sähköpostiviesteistä. 2013. Aiemmin Viestintävirasto katsoi, ettei kuolinpesällä ole oikeutta vainajan viestintään, kun se on teleyrityksen hallussa. Talentum 2012 leen. Ulkomaiset toimijat katsovat asiaa paikallisen lainsäädännön ja sopimusehtojensa kautta. Ei edes silloin, jos sähköpostiviestit sisältävät esimerkiksi laskuja, jotka olisivat välttämättömiä perunkirjoituksen tekemiseksi. Professori Urpo Kankaan tutkimuksen jälkeen linjausta muutettiin. Aihetta ei ole tässä laajuu- vän itsensä lähettämiä?, Kangas esittää. Markkinoilla on ohjelmia, joilla salasa- amerikkalaiselle Googlelle pitää lähettää dessa tutkittu sen enempää Suomessa kuin nat ja tunnukset voi ohittaa. kuolintodistus, englanniksi laadittu pyyntö muuallakaan maailmassa. Palveluntuottajalle ilmoitus sekä todistus perillisten oikeudesta digitaaliseen jäämistöön. ?Lainsäädännön uudistamisessa ei ehkä ole keskeisintä perittävän [vainajan] suoja. EU-maiden palveluntarjoajien kanssa toi- Perittävällä on aika suuri määräämisvalta Aktiivisesti digimaailmassa asioivat eivät mimista helpottaa eurooppalainen perintö- siitä, mitä omaisuutta hän jättää perillisten vielä ole yleisesti kuoliniässä. todistus, joka otetaan käyttöön 2015. tutustuttavaksi?, Kangas sanoo. luu monesti aineistoa, joka koskettaa eloon- ilmoittaa asiakkaan kuolemasta ja saada Lainsäädäntö kaipaa kehittämistä neuvoja?, Kangas sanoo. Digitaalinen perintö on tullut kuin hyöky- ?Tästä näkökulmasta lainsäätäjän on aalto vanhaan paperiseen maailmaan. Esimerkiksi vitykseen liittyy. Perillisten pitää Digitaaliseen perintöön kuitenkin kuujäävien asemaa. tietenkin näyttää palveluntarjoajalle, että he Urpo Kangas julkaisi viime vuonna teok- suojasta sellaista, että perittävän vastaan- ovat kuolleen henkilön oikeudenomistajia.? sen digitaalisesta jäämistövarallisuudesta. ottamien kirjeiden, joihin lähettäjällä on Hankaluutena on, että palveluntarjoajat Se selvittää, mitä erityisiä oikeudellisia edelleen tekijänoikeus, ei saisikaan julkis- toimivat maailmanlaajuisesti mutta nou- ongelmia tällaiseen omaisuuteen ja sen sel- taa tai käsitellä yhtä vapaasti kuin perittä- dattavat oman maansa lakeja. Viestinnän osapuoli hallinnoi omaa viestintäänsä. O 40? tietosuoja 1 . Kuolinpesällä on nyt oikeus saada vainajan viestintä tietoonsa. ?Sähköisen viestinnän tietosuojalain mukaan teleyrityksellä on vaitiolovelvollisuus kaikesta luottamuksellisesta viestinnästä, joka sillä on hallussaan
Samalla perukirjoista tuli verot- Yksityishenkilölle perukirjatietoja voidaan luovuttaa henkilön etujen, oikeuksien tai velvollisuuksien hoitamiseen. tajan erityislainsäädännöstä johtuen salassa pidettä- ?Erityinen haaste on turvakielto, joka otetaan aina huo- viä. Näitä ovat esimerkiksi ulosotto- ja sosiaaliviranomaiset. Tiedonsaantioikeudesta ei kuitenkaan ole säännöksiä kaikilla niillä viranomaisilla, jotka tarvitsevat perukirjatietoja tehtäviinsä. Vuosittain koko Verohallintoon saapuu noin 30 000 Tulkinnallisissa tapauksissa he saavat apua verotoimistoista perukirjaa koskevaa tiedustelua. Koko asiakirjaa ei siis anneta. taista arviointia lain soveltamisesta. tietosuoja-lehti.fi Perukirjan tiedot sai antaa ELY-keskukselle. Salainen perukirja Perintöverotusta varten tehtävässä perukirjassa on paljon henkilökohtaista tietoa sekä vainajasta että hänen perikunnastaan. Verottajasta onkin tullut paljon tiedon vartija. Teksti Marianne Saine P teltuja. Tulevaisuuden tavoitteena mista säätelee verotietolaki. on keskittää perukirjojen tietopyynnöt yhteen yksikköön. Verohallinnon pitää vastata useiden eri tahojen ja kansalaisten tiedontarpeeseen. ?Se on haaste. Osassa sen hoitavat perintöverotuksen valmiste- elatusapujen määrittämisestä tonttikauppojen tekoon lijat, toisissa on erikseen asiakaspalvelua hoitavat henkilöt. saakka. Perukirjojen tietojen anta- ja Verohallinnon oikeusyksiköstä. O 41. Käytännössä tietoja myksiä ja pyynnön käyttötarkoitusta joudutaan pohtimaan luovutetaan kopioimalla ja käyttötarkoitukseen soveltu- hyvin tarkkaan?, Hynynen kuvaa. mattomien tietojen peittämisellä. 2013 näitä asioita käsitteleville?, Hynynen kuvaa. Tietojen luovutus edellyttää tapauskoh- Apulaisoikeuskanslerin ratkaisun mukaan tietoja perukirjasta voidaan antaa vain pyynnön käyttötarkoituksen edellyttämässä laajuudessa. Nyt ne tosin olisivat salaisia myös julkisuuslain nojalla, mioon, kun luovutetaan henkilöiden yhteystietoja. Siviilioikeudellisia kysy- ?Perukirjathan ovat vielä paperisia. Mustat tussit ovat tuttuja Hänen mukaansa pyynnöt ovat silti useimmiten perustietosuoja 1 . Myös Koulutusta ja mustia tusseja liitteitä on paljon, esimerkiksi testamentteja ja avioehtoso- Verohallinto on vastannut haasteeseen henkilökuntansa pimuksia?, johtava asiantuntija Helena Hynynen Verohallin- ohjeistamisella ja jatkuvalla kouluttamisella. non oikeusyksiköstä sanoo. Perukirjan tietopyyntöjen käsittely vaihtelee eri verotoi- Siksi perukirjan tietoja kysellään moneen tarkoitukseen, mistoissa. Myös koska niissä on tietoja henkilön kokonaisvarallisuudesta. henkilötunnusten luovuttaminen edellyttää tarkkuutta.? ?Perukirja sisältää runsaasti henkilökohtaista tietoa paitsi vainajasta, myös leskestä ja kuolinpesän osakkaista. Ongelmaa selvitetään useissa työryhmissä. ?Oikeustapauksetkin määrittelevät tiedonsaantioikeutta, tuoreimpana KHO:n vuoden 2012 lopussa ELY-keskuksesta antama ratkaisu?, Hynynen huomauttaa. erukirjojen käsittely siirtyi vuonna 1994 käräjäoikeuksilta Verohallinnolle. Myös verotoimiston kielteisestä päätöksestä tehtävät valitukset hallinto-oikeuteen ovat harvinaisia. Viranomaisilla ei ole erioikeuksia Perukirjan tietoja saavat ne viranomaiset, joilla on lainsäädännössään tiedonsaantioikeus henkilön veroasioista
Sääntöjen vastaista tietojen katsomista oli ollut koko ajan?, Asikainen kertoo. 42? rakentaa luottamusta kysyjiin päin?, Asikainen kertoo. Kaikkeen ei ole helppo vastata suoralta kädeltä: ?Asiaan ja asiayhteyteen pitää ensin perehtyä. Katsoimme lokitiedot kaksi vuotta taaksepäin. Uskon, että tämä jo sinänsä ?Kävi ilmi, että kyseinen henkilö oli käynyt asiattomasti lukuisten henkilöiden potilastiedoissa. Tehtävänä tietosuojavastaava Vuosia tietosuojavastaavana toimineella Ritva Asikaisella on uskallusta puuttua epäkohtiin ja malttia tarttua lakikirjaan. t Teksti Kirsi Castrén Kuva Timo Hartikainen erveydenhuollon organisaatiossa työskentelevä ja siellä myös potilaana ollut henkilö otti yhteyttä tietosuojavastaava Ritva Asikaiseen ja Asia eteni henkilöstöhallintoon ja aikanaan myös poliisitutkintaan, missä se on edelleen käsiteltävänä. kertoi epäilevänsä, että hänen potilastietojaan Perustelut pykälistä oli katsottu luvattomasti. Ne Asikaiselle. Tietosuojavastaava Tietosuojaa koskevat kysymykset ovat miltei päivittäisiä Var- neuvoi häntä täyttämään kirjallisen lokitietojen kauden sosiaali- ja terveysvirastossa tietojärjestelmäasian- tarkastuspyynnön. 2013. Pyrin aina perustelemaan vastaukset lakien ja asetusten kautta.? tietosuoja 1 . Lokitietojen lon ammattihenkilö oli katsonut aiheettomasti työtoverinsa tarkastuspyyntöjä tulee potilailta pari kertaa kuukaudessa. tietoja. Liukuva työaika auttaa töiden järjestelyssä. Ritva Asikainen otti yhteyttä hallintoylilääkäriin, joka toi- ?Pyrin vastaamaan kysymyksiin samana päivänä, tai jos mii organisaatiossa henkilörekisterinpitäjän edustajana. Sel- tarvitsen lisää taustatietoa, ilmoitan ajankohdan, mihin men- vitystä päätettiin laajentaa. nessä osaan sanoa enemmän. Lomakkeen vastaanotettuaan tietosuo- tuntijan työnsä ohella tietosuojavastaavana toimivalle Ritva javastaava tarkasti potilastietojärjestelmän käyttölokit. Henkilökunnan kysymykset liittyvät yleisimmin vahvistivat epäilyn: henkilökuntaan kuuluva terveydenhuol- potilastietojen luovuttamiseen ja kirjaamiseen
Tavoitteena on, että don muutoksiin. monilla paikkakunnilla tuovat kuntaliitok- kaikissa yksiköissä olisi käytössä yhteinen ?Kerromme esimerkiksi, mitä yhteistoi- set. Kunnat kuuluvat eri sairaanhoito- tarvitsee potilailta suostumuksia luovutet- piireihin, joten järjestely on rekisterinpidon taessa tietoja toiseen terveydenhuollon kannalta haasteellinen. yksikköön ja miten suostumusten kirjaami- Varkaudessakin asia on ajankohtainen, kun naapurikunta Joroinen on siirtänyt tietosuoja 1 . Uusia yhteistoiminta-alueita syntyy ja potilastietokanta ensi vuoden tammikuusta minta-alue tarkoittaa, milloin henkilökunta entisiä purkautuu. alkaen. 2013 43. Kuntamuutokset haastavat rekisterinpidon vuoden alusta sosiaali- ja terveyspalvelu- Tietosuojavastaavat ovat kouluttaneet ja jen järjestämisvastuun yhteistoimintasopi- perehdyttäneet henkilökuntaa rekisterinpi- Myllerrystä tietosuojavastaavien työhön muksella Varkaudelle
Tämä tuli esiin myös taannoi- ten sanktioista ja niiden mahdollisista seurauksista keskustellaan julkisesti. Yhteistyö ja koulutus auttavat Tietosuojavastaavia pian joka alalla Ritva Asikaisella on takanaan pian viisi Tietosuojavastaava valvoo ja seuraa tietosuojan toteutumista organisaatiossaan sekä toimii henkilökunnan tukena tietosuojaan liittyvissä asioissa. Myös muiden alojen julkisissa ja yksityisissä organisaatioissa toimii tietosuojavastaavia. O 44? tietosuoja 1 . Hän osallistuu organisaationsa tietosuoja- ja tietoturvaohjeiden valmisteluun sekä ylläpitoon. Tietosuojavastaavan nimeäminen on ollut pakollista sosiaalija terveydenhuollon organisaatioissa vuodesta 2007 lähtien. Tehtävästä säädetään laissa sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä ja laissa sähköisestä lääkemääräyksestä. Tietosuojavaltuutetun toimiston selvityksen mukaan 2010 yli 90 prosenttia julkisista ja kaksi kolmannesta yksityisistä terveydenhuollon yksiköistä oli nimennyt tietosuojavastaavan. 2013. Siellä olevalle Kysymyksiä ja vastauksia -palstalle olen itsekin joskus lähettänyt kysymyksiä.. Alueellinen yhteistyö on tärkeää: Pohjois-Savon sairaanhoitopiirin tietosuojavastaavat tekevät keskenään tiivistä yhteistyötä ja kokoontuvat muutaman kerran vuodessa. Käsikirjanluontoisena lähteenä Ritva Asikainen suosittelee sosiaali- ja terveysministeriön julkaisua Potilasasiakirjan laatiminen ja käsittely. ?Tietoa saa myös tietosuojavaltuutetun toimiston verkkosivuilta. Peli- rikosilmoituksen. O lutusta ja verkostoitumaan. vuotta tehtävässään. Onko Ritva korostava. aiheesta enemmän Tietosuojavaltuutetun toimiston opas www.tietosuoja.fi/uploads/939r21bdr3_1.pdf Tietosuojavaltuutetulta kysyttyä www.tietosuoja.fi/27211.htm Sosiaali- ja terveysministeriön opas www.stm.fi/julkaisut/nayta/-/_julkaisu/1816832 Tietosuojavastaavien yhdistys TIEVA www.stty.org sessa menetellään?, Asikainen kuvaa ylei- Asikaiselle koskaan tullut tilannetta, jossa simmin kysyttyjä kysymyksiä. hänen itsenäinen asemansa tietosuojavas- Johdolta tukea linjauksiin taavana olisi ollut koetuksella? sessa urkintatapauksessa. ?Punnitsimme eri vaihtoehtoja viedä asiaa eteenpäin ja valitsimme tavan, jossa ?Ristiriitoja organisaation johdon kanssa asia voi päätyä julkisuuteen, eli teimme ei toistaiseksi ole kohdalleni tullut. Aloittelevaa tietosuojavastaavaa hän opastaa hankkimaan kouTukea saa monelta taholta alkaen Tietosuojavastaavien yhdistyksestä TIEVAsta. Emme missään tapauk- Organisaation johdon tuki on tietosuojavas- säännöt on yhdessä sovittu, ja organisaa- sessa halunneet jäädä hyssyttelemään taavalle välttämätön. tiollemme on laadittu tietoturvapolitiikka, asiaa, koska se olisi voinut tulla ilmi tavalla jossa määritellään toimintatavat.? tai toisella. Valmisteilla olevassa EU:n uudessa tietosuojaasetuksessa ehdotetaan, että kaikilla aloilla suuriin, usean sadan työntekijän organisaatioihin tulisi nimetä tietosuojavastaavat. Julkisuus olisi ollut paljon ikä- ?Kun on kimurantti kysymys, on oltava yhteydet auki oman organisaation johtoon, jotta voidaan keskustella linjauksista?, Asikainen toteaa. Avoimuus voi edistää tietosuojaa vämpää, jos olisi näyttänyt siltä, että olemme peitelleet tapahtunutta?, Asikainen kertoo. Tietosuojavastaavalla tulee tietosuoja- Asenneilmapiiri Varkauden sosiaali- ja ter- Hän arvioi, että julkisuus voi jopa edistää valtuutetun ohjeiden mukaan olla riippu- veysvirastossa on tietosuojan tärkeyttä tietosuoja-asioita, kun tietosuojarikkomus- maton asema työnantajasta. ItäSuomessa myös yliopisto tarjoaa foorumin tietosuojavastaaville
USA:n linja perustuu huomattavasti enemmän vapaaehtoisuuteen kuin EU:ssa, jossa komission vuoden alussa Tulevaisuudessa kirjautuessamme verkkopalveluun emme joudu muistelemaan monimutkaista salasanaa vaan otamme sormestamme sormuksen, liitämme sen laitteen USB-porttiin tai SIM-paikkaan ja kirjaudumme palveluun turvallisesti. Wired ja MIT Technology Review raportoivat Googlen tutkimuksesta laitepohjaisesta tunnistautumisesta. Yhtiö vihjaisi tutkimuksesta ensi kerran tammikuussa. 2013 45. Nyt tikun asemesta tarkoituksena on tehdä tunnistusvälineestä sormus. Jos puhelin päätyy joskus myyntiin, sitä ei välttämättä ole tyhjennetty. O Mainepalvelut tulevat The Economist kertoo, että USA:ssa on jo vuosia ollut tarjolla palveluita, jotka seuraavat, mitä tietoa asiakkaasta on netissä ja jopa yrittävät muuttaa ja piilottaa tietoja hakutuloslistan häntäpäähän. Tähän asti kuluttajat eivät ole innostuneet maksamaan näistä palveluista. Lehden haastattelema, Piilaaksossa toimiva yhtiö Reputation.com uskoo kuitenkin, että tästä vuodesta tulee mainebisneksen läpimurtovuosi. O Siivoamaton työpuhelin on rikollisen aarre Kun työntekijälle saa uuden työpuhelimen, hän kopioi vanhasta puhelimesta yhteystiedot ja hylkää sen sitten laatikon pohjalle. Yhtiö osti tänä vuonna brittiläisen kilpailijansa ja aloittaa yhteistyön kah- shutterstock den suuren amerikkalaisen luottotietofirman kanssa. Seuraavaksi Reputation.com suunnittelee järjestelmää, jonne asiakas voisi tallettaa tietonsa ja myydä niitä yrityksille. Huonolla tuurilla puhelimen seuraava omistaja hyödyntää puhelimesta löytyviä tietoja vaikkapa rikoksiin. Computer Sweden -lehden selvityksessä tutkittiin käytettyjä työpuhelimia myyvän yrityksen tarjontaa. Joka kolmannesta käytöstä poistetusta työkännykästä löytyi arkaluonteisia tietoja, kuten kuvia skannatuista passeista ja henkilökorteista sekä yrityssalaisuuksia. Selailtua shutterstock EU:n ja USA:n erilaiset kyberstrategiat Kirjaudu palveluun vihkisormuksellasi Euractiv pohtii USA:n ja Euroopan unionin erilaisen tietoturvasääntelyn seurauksia liike-elämälle. Silloin ajatuksena oli valmistaa pieni USB-tikku, jonka sisältämä salausavain tuottaisi kirjautumisessa verkkopalvelun pyytämän tiedon. O tietosuoja 1 . O antama direktiiviehdotus velvoittaisi yritykset ilmoittamaan viranomaisille vaikutuksiltaan merkittävistä tietoturvaloukkauksista. Lehden mukaan USA:n ja EU:n erilaiset lähestymistavat voivat tuottaa hankaluuksia kummallakin markkina-alueella toimiville yrityksille
Osa verkkolehden sisällöstä on tarkoitettu vain Tietosuojan tilaajille. 2013. kesäkuuta Miten tietosuoja huomioidaan ulkoistusprosessissa? Voiko tietoturvan ja tietosuojan ulkoistaa? EU:n tietosuoja-asetus: mikä muuttuu ja milloin? 46? scanstockphoto Konkurssi tuli . 2013 Ensi numerossa Muun muassa nämä aiheet ovat esillä seuraavassa Tietosuojassa: Tilauskortti Ulkoistamisen ABC Tietosuoja 2 . tietosuoja-lehti.fi Lue lisää verkkolehdestä Tietosuojan verkkolehdessä on myös asiaa, jota et voi lukea painetusta lehdestä: Työterveystietojen lainmukaisen käsittelyn muistilista Miten teleyritykset käsittelevät nyt vainajan sähköposteja? Korkein hallinto-oikeus: perukirjan tiedot sai antaa ELY-keskukselle futureimagebank Verkkolehdessä on näiden lisäksi koko painetun lehden sisältö. 2013 ilmestyy 10. Koko sisältöä pääsee lukemaan rekisteröitymällä verkkolehden käyttäjäksi lehden takakannen osoitekentässä olevan tilausnumeron avulla. www.tietosuoja-lehti.fi Risuja ja ruusuja Kerro mielipiteesi uudistetusta Tietosuoja-lehdestä, jotta voimme kehittää lehteä lukijoiden toivomaan suuntaan. miten käy asiakastietojen? tietosuoja 1 . Risuja, ruusuja, kysymyksiä sekä juttuvinkkejä voit antaa toimitukselle sähköpostitse: paivi.mannikko@stellatum.fi puhelimitse: 044 310 0093 verkkolehden lomakkeella: www.tietosuoja-lehti.fi -> Palaute 2
osoitteeseen tai henkilökohtaisesti rekisterinpitäjän luona. Tilaajan tietoja käytetään asiakassuhteen ylläpitoon ja hoitoon. Tilaaja voi kieltää tietojensa käytön markkinointitarkoituksiin ja markkinatutkimuksiin ilmoittamalla asiasta tilaajapalveluun. tietosuoja 1 . Tilauksen hinta on tilausjakson alussa voimassa oleva hinta, joka on painettu lehteen. Kestotilauksena tilattu lehti toimitetaan tilaajalle tilausjakso kerrallaan ilman eri uudistusta, kunnes tilaaja joko muuttaa sen määräaikaiseksi tai irtisanoo tilauksen. Kestotilauksen voi irtisanoa ennen uuden tilausjakson alkua. Jos tilaaja irtisanoo kestotilauksensa tilausjakson alkamisen jälkeen, hän on velvollinen maksamaan irtisanomisen voimaantuloon saakka lähetetyt lehdet. Jos laskutusjakso tai mak-sueriä on maksettu ennen irtisanomisen voimaantuloa, tilaus päätetään maksetun jakson loppuun. Osoitetietoja käytetään ainoastaan kustantajan Stellatum Oy:n omassa toiminnassa. Tilaushinnat ulkomailla 2013 Laskutusväli 12 kuukautta Skandinavian ja Baltian maat 61,10 euroa, sisältää arvonlisäveroa 10 % Muu Eurooppa 63,80 euroa, sisältää arvonlisäveroa 10 % Muut maanosat 62 euroa, arvonlisävero 0 % Asiakasrekisteri Rekisterikuvaus ja -seloste ovat nähtävissä kustantajan Stellatum Oy:n tiloissa Purotie 1 B, 00380 Helsinki. Yhteydenotot tulee tehdä kirjallisina ja allekirjoitettuina em. Tilaukset ja osoitteenmuutokset Osoitteenmuutosta tehdessäsi muista ilmoittaa lehden nimi. Tilaajapalvelu/Tietosuoja PL 115 30101 Forssa puhelin 03 4246 5301 faksi 03 4246 5341 tilaajapalvelu@stellatum.fi www.stellatum.fi Tilaushinnat Suomessa 2013 Hinnat sisältävät arvonlisäveroa 10 % Kestotilaus (laskutusväli 12 kuukautta) 55 euroa Määräaikainen (kesto 12 kuukautta) 58,30 euroa Irtonumero 15 euroa Tietosuoja ilmestyy neljä kertaa vuodessa Tilausehdot Hinnat ovat voimassa vuonna 2013 Suomeen tehtyihin tilauksiin. 2013 47