Tietosuoja 2/2013 - Lehtiluukku.fi

Haluatko ostaa tämän lehden?

Vaikuttaako lehti kiinnostavalta? Voit lukea koko lehden valitsemalla "Lisää ostoskoriin". Mukavia lukuhetkiä!

Olet esikatselutilassa. Lue koko lehti

tietoturvan ja tietosuojan erikoislehti 2 . 2013 15? Mobiili tietoturva vaatii säännöt Ulkoista fiksusti Konkurssi tuli . minne asiakastiedot? mikko paatero: Poliisin rekisterinpito paranee
Olli Häkämies 2 . 2013 Sisältö 4 Pääkirjoitus 5 Lyhyesti 7 Miten on? Palkkatoimisto muutti pilveen 8 14 Pilvipalvelut voi ainakin auditoida 15 Kolumni 16 20 Asiantuntijalta Kyberturvallisuuden kartoitus vaatii uusia keinoja Jukka Manner ja Seppo Tiilikainen 18 Rekisteröi tämä Henkilöluottotietorekisterit shutterstock 19 Kysy meiltä 20 Mikko Paatero: Poliisi korjaa tilkkutäkkiään 24 Lait ja säädökset 26 Tietosuoja-asetus meppien mankelissa 28 Tietoturvan ja tietosuojan erikoislehti Kesäkuu 2013 Julkaisijat Patentti- ja rekisterihallitus Tietosuojavaltuutetun toimisto Tietosuojalautakunta Viestintävirasto Päätoimittaja Hanna Tamminen, Viestintävirasto hanna.tamminen@ficora.fi Toimitussihteeri Päivi Männikkö, Stellatum Oy paivi.mannikko@stellatum.fi Toimituspäälliköt Eija Kara, tietosuojavaltuutetun toimisto, eija.kara@om.fi Anna Lauttamus-Kauppila, Patentti- ja rekisterihallitus, anna.lauttamus-kauppila@prh.fi Ulkoasu Tarja Salonen, Sininen Arkki Oy tarja.salonen@sininenarkki.fi Kannen kuva Olli Häkämies 2? tietosuoja 2 . 2013
tietosuoja-lehti.fi 27 Ilmiöt numeroina 28 Asiakasrekisteri kaupaksi konkurssin jälkeen 42 30 Reuman sairaala . kun iso laiva uppoaa 31 Näkökulma Terveydenhuollon hallinnollinen taakka vaihtaa paikkaa 32 Kohdennettu hyökkäys ei ole tieteistarinaa 34 Gallup Palvelunestohyökkäyksen vaikutuksia voi vähentää 36 Reissuvihko tietää oppilaasta paljon maija nyman 38 38 Mobiili tietoturva vaatii säännöt 40 Patenttihakemukset suojassa tietovuodoilta 36 42 Potilaat pinteessä Toimituskunta Ari-Matti Husa, Elina Koskipahta ja Erika Leinonen, Viestintävirasto Lauri Karppinen, tietosuojavaltuutetun toimisto Olli Ilmarinen, Patentti- ja rekisterihallitus sekä toimituspäälliköt Kustantaja Stellatum Oy Purotie 1 B 00380 Helsinki Ilmoitusmarkkinointi Anne Paavilainen, Stellatum Oy puh. 2013 3. vuosikerta ISSN 0786-5767 Painopaikka Hämeen kirjapaino Oy LIINPAIN PA RAARLAI A UT UT 441441 209209 Painotuote Painotuote E UOT OT OTE U OT Toimitusneuvosto puheenjohtaja, Reijo Aarnio Nora Elers, FiCom ry Jukka Ihanus, Stellatum Oy Eila Ratasvuori, Helsingin kaupunki Ahti Saarenpää, Lapin yliopisto Anu Talus, oikeusministeriö ja toimituspäälliköt 20 outi mustonen 46 Verkkolehdessä ja seuraavassa numerossa Kyllä virkavastuu pitää kantaa. HIILIN E HIILIN E 45 Selailtua ClimateCalc ClimateCalc CC-000025/FI CC-000025/FI HÄMEEN HÄMEEN KIRJAPAINO KIRJAPAINO OYOY tietosuoja 2 . 0400 435 636 anne.paavilainen@stellatum.fi 25
Nyt kuluttajien rahat näyttäisivät valuvan EU:n ulkopuolelle. Tehtävä voitaisiin myös ulkoistaa. Tilintarkastusyhteisöt ja ?accountability. Näyttää kuitenkin siltä, että häntä on ainakin jossain mielessä alkanut heiluttaa koiraa. Tietosuojaakin voi brändätä. Nähtäväksi jää, kuka saavuttaa aikaisen toimijan edun tässä kilpailussa. Uusi teknologia ja sosiaalisen median merkityksen kasvu ovat kuulemamme mukaan luoneet tarpeen huolehtia siitä, että annamme itsestämme mahdollisimman hyvän kuvan työelämää ja sosiaalista toimeliaisuutta ajatellen. 2013 Brändäämään! Tietosuojauudistuksen taustalla on pyrkimys luoda Eurooppaan aidot digitaaliset sisämarkkinat parantamalla kuluttajien luottamusta kuluttajansuojan, kauppaoikeuden ja henkilötietojen suojan aloilla. Käsitykseni mukaan on välttämätöntä, että edellä mainitut toimijaryhmät ja muutkin alkavat pikaisesti rakentaa omia ?tietosuojabrändejään?. Tätä pyrkimystä tukee vaatimus tietosuojavastaavan nimeämisestä. 2013. Toisaalta osaamisen hankkiminen rekrytoinnein tai ulkoistamisen keinoin esimerkiksi asianajo- ja konsulttitoimistoille on jo alkanut. Kaupankäyntiä tehostavan luottamuksen saavuttamiseksi organisaatioilla tulee olla riittävä osaaminen käytössään. Tapahtuuko brändääminen työ- vai vapaa-ajalla, lienee hieman epäselvää. Sitä tukee julkisuusperiaatteen peruskivenä oleva hyvä tiedonhallintatapa. Tunnen piston sydämessäni, kun katson, miten muut maat ovat omineet suomalaiset ideat. Reijo Aarnio tietosuojavaltuutettu 4? tietosuoja 2 . Tunnen piston sydämessäni, kun katson, miten muut maat ovat omineet vanhat, hyvät suomalaiset ideat. Me olemme aina haastaneet pakettiohjelmistot vaatimalla suunnittelu- ja huolellisuusvelvoitteen noudattamista. Kanadalaiset kuitenkin toivat markkinoille komeasti tuotteen ?Privacy by Design?. Uusi ja kuuma periaate ?accountability?, joka tunnetaan myös tilintekokykyisyyden nimellä, on ilmentymä meille jo melko tutuksi käyneestä tietotilinpäätösasiasta. Oikeastaan koko tämän brändäämisen takana voidaan nähdä suomalainen vaatimus hyvästä henkilötietojen käsittelytavasta. O markus sommers V iestintäihmiset ja mediataitokouluttajat kehottavat ihmisiä brändäämään itseään. Pääkirjoitus 2 . näyttäisivät kulkevan käsi kädessä
Niiden mukaan rekisterinpitäjä saa käsitellä sesta eikä positiivisen luottotietorekisterin hyväksymistä ja vaikutuksia tulisi odottaa henkilötietoja muun muassa rekis- perustamiseen ole nyt aihetta. ennen kuin kansallista lainsäädäntöä mah- teröidyn elintärkeän edun suojaami- Näin todetaan oikeusministeriön teet- dollisesti ryhdytään muuttamaan. Sen jälkeen kortinhaltijoiden yhteystiedot haettiin asiakasomistajarekisteristä, ja heille ilmoitettiin tuotteen haitallisuudesta. Kahden rekisterin tietojen yhdistäminen perustui henkilötieto- ja Suomessa kannattaa toistaiseksi pidättäy- tietosuoja-asetusta, asuntoluottodirektii- elintarvikelakeihin. Lyhyesti antero aaltonen Rikkakasvi johti rekisteritietojen yhdistelyyn Terveydelle haitalliset pakastevihannekset aiheuttivat toukokuussa poikkeuksellisen kanta-asiakas- ja kassajärjestelmien tietojen yhdistämisen. S-ryhmän myymälöistä ostetuista pakastevihanneksista löytyi myrkyllistä rikkakasvia, jonka syömisestä tuli useille pahoja oireita, ja muutama joutui sairaalahoitoon. Elintarviketurvallisuusvirasto Evira Selvitys ei suosittele positiivista luottotietorekisteriä määräsi S-ryhmän selvittämään, ketkä käyttivät asiakasomistajakorttia ostaessaan takaisinvedettäviä vihanneksia. Professori Ahti Saa- tietojen sisällöstä ja käsittelystä olisi kui- Kanta-asiakas- ja kassatietojen renpään laatimassa selvityksessä on ar- tenkin syytä tehdä perusselvitys, joka olisi yhdistäminen on erittäin poikkeuk- vioitu positiivisten luottotietojen käsittelyn käytössä, kun nyt valmistelussa olevat sellista. Selvityksen mukaan pohjoismaista Suomessa asuvat ihmiset kattavan yhteis- vain Ruotsissa on käytössä positiivinen kunnallisen perusrekisterin luomiseen ei luottotietorekisteri, ja siellä se on aiheut- pidä ryhtyä kevein perustein eikä pelkäs- tanut merkittäviä lainsäädännön tulkinta- tään sen vuoksi, että tiedot ehkä saattaisi- ongelmia. vat olla hyödyllisiä jollekulle?, Henriksson EU:ssa valmistellaan parhaillaan uutta tietosuoja 2 . Edellinen vastaava tapaus oli edellytyksiä oikeudellisesta näkökulmasta. eurooppalaiset lainsäädäntöehdotukset vuonna 2011, kun K-kaupoissa myyn- Positiivisilla luottotiedoilla tarkoitetaan esi- tulevat voimaan ja velvoittavat lainvalmis- nissä olleesta oliivisäilykkeestä löytyi merkiksi tietoja henkilön kaikista luotoista ja teluun Suomessakin. hermomyrkky botuliinia. mahdollisesti muitakin tietoja hänen taloustilanteestaan. Suomessa luottotietorekisteriin tallennetaan nykyisin vain tiedot maksuhäi- Oikeusministeri Anna-Maja Henrikssonin mukaan keskustelua positiivisista luottotiedoista pitää jatkaa, mutta välittömiin lainsäädäntötoimiin ei meillä ryhdytä. iöistä eli niin sanotut negatiiviset luotto- ?Massiivisen, käytännössä lähes kaikki tiedot. Henkilötietolain tyä luottotietolainsäädännön muuttami- viä ja tietoturvallisuusdirektiiviä. 2013 Seuraa Tietosuojaa Twitterissä! Profiilimme on nimeltään @Tietosuoja. sanoo. 5. Luotto- seksi. tämässä selvityksessä
Lyhyesti jean hin corbis skoy Enisa jatkaa ja laajenee Euroopan verkko- ja tietoturvallisuusvirasto Enisan toimikautta on jatkettu seitsemällä vuodella. Euroopan parlamentti äänesti toimikauden jatkamisen puolesta huhtikuussa hyväksyessään Enisaa koskevan asetuksen. Petostehtailijat hyödynsivät kaupparekisterin tietoja Virasto sijaitsee Kreetalla Heraklionin saarella, mutta sille avataan Pohjois-Karjalan käräjäoikeus on tuomin- muiden muassa petos- ja väärennösrikok- nyt sivutoimipiste Atee- nut vankeusrangaistuksiin kolme henkilöä, sista sekä maksamaan vahingonkorvauksia naan. Henkilötiedot he 2012 aikana. toiminnan tehostamisella saivat käsiinsä tilaamalla taloyhtiöiden Oikeus ei tuominnut tekijöitä maksa- kaupparekisteriotteita ja hyödyntämällä maan kärsimyskorvausta asianomistajalle. otteessa olevia taloyhtiön hallituksen Tätä perusteltiin sillä, että tekijät eivät olleet Enisa on perustettu jäsenten, puheenjohtajien ja tilintarkasta- loukanneet asianomistajien yksityiselämää 2004 ja se aloitti toimin- jien henkilötietoja. Asianomistajien yksityiselämää lou- henkilö- ja ajokortteja. kanneita identiteettivarkauksia ei ole krimi- Tekijät tuomittiin vankeusrangaistuksiin ja sidosryhmäyhteistyön vahvistamisella. nalisoitu. Viestintäministeri vaihtui Tasavallan presidentti on 24. 2013. Viitanen (46) on neljännen kauden kansanedustaja Pirkanmaan vaalipiiristä. Uusi viestintäministeri kertoi nimittämisen jälkeen pidetyssä laura kotila vnk lehdistötilaisuudessa haluavansa korostaa kansalaisen asemaa 6? tietoyhteiskunnan kehittämisessä. ?Kun lainsäädäntöä kehitetään, haluan että siinä näkyy myös kuluttajanäkökulma.? tietosuoja 2 . Niiden perusteella teki- millään Suomessa rikokseksi säädetyllä tansa Kreetalla 2005. jät myös valmistivat väärennettyjä Kela-, tavalla. Petokset tehtiin vuoden Ateenan-konttoria viraston toisten henkilötiedoilla. Komissio perustelee jotka tilasivat tuotteita verkkokaupoista asianomistajille. toukokuuta nimittänyt kansanedustaja Pia Viitasen uudeksi asunto- ja viestintäministeriksi
Lyhyesti Venäjä mukaan tietosuojasopimukseen Venäjä on hyväksynyt Euroopan neuvoston yleissopimuksen yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä (yleissopimus 108). Niistä osa liittyy väärinkäsitykseen markkinoinnin kohteen tietosuojasta. Miten on? Keväällä uutisoitiin, kuinka hakkereilla oli kuukausien ajan pääsy Ruotsin Nordean maksujärjestelmiin ja asiakkaiden tileille. Ilmoitus pitää tehdä myös ohjelmistovirheestä, tietoliikennehäiriöstä, käyttökatkoksesta ja laiterikosta, jos ne vaikuttavat asiakaspalveluihin. 2013 ilmaannuttua?, sanoo vs. Kyseessä on päivän viides myyntipuhelu, mutta minkäs teet, eihän yrittäjä ole kuluttaja, joka voisi kieltää puhelinmyynnin. Opas yrittäjän tietosuojasta puhelinmyyntitilanteissa muistuttaa, että myös yrityksillä on oikeus kieltää niihin kohdistuva suoramarkkinointi. Tietosuojavaltuutetun toimiston ja Suomen yrittäjien julkaisema opas pyrkii osaltaan vastaamaan yritysten välisen puhelinmyynnin epäselvyyksiin. Nordea ei ilmoittanut asiasta viranomaisille tai asiakkaille. Milloin Suomessa pankin pitää ilmoittaa tietoturvaongelmasta? ?Valvottavan on tehtävä Finanssivalvonnalle ilmoitus asiakkaille tarjottujen palvelujen sekä maksu- ja tietojärjestelmien merkittävistä häiriöistä ja virheistä viipymättä niiden tietosuoja 2 . toimistopäällikkö Markku Koponen Finanssivalvonnasta. ?Viipymättä on ilmoitettava myös sellaiset häiriöt ja virheet, jotka haittaavat pankin kykyä jatkaa liiketoimintaansa tai vastata velvoitteistaan.? Ilmoitettavia häiriöitä ovat ainakin murtautuminen tai haittaohjelman levittäminen tietojärjestelmään sekä palvelunestohyökkäys. Ilmoitusvelvoite koskee Finanssivalvonnan valvomia yhteisöjä. Oletteko saaneet pankeilta ilmoituksia? ?Finanssivalvonnalle on ilmoitettu verkkopankkiasiakkaiden tunnusten kalastelusta sekä haittaohjelmahyökkäyksistä asiakkaiden tietokoneille.? Mitä ilmoittamatta jättämisestä seuraa? ?Mahdolliset seuraamukset on kuvattu laissa Finanssivalvonnasta.? 7. Sopimus astuu Venäjällä voimaan 1. syyskuuta, jolloin Venäjästä tulee 46:s sopimukseen liittynyt valtio. Google sai Saksassa Hampurin osavaltion tietosuojaviranomaiselta 145 000 euron sakot netinkäyttäjien henkilötietojen luvattomasta keräämisestä. Googlen katukuvapalvelua varten Hampurin katuja kuvanneet autot olivat vuosina 2008?2010 keränneet myös suojaamattomia langattomia lähiverkkoja (WLAN) käyttäneiden yhteystietoja, salasanoja ja sähköpostiviestejä. shutterstock Yrittäjälläkin on tietosuojaa Yrittäjän kännykkä soi kesken kiireisen työpäivän
8? tietosuoja 2 . 2013
2013 9. Palkkatoimisto muutti pilveen Henkilöstöhallinnon rutiineista huolehtii yhä useammin ulkopuolinen yritys. Ulkoistaminen tuo säästöjä, mutta jos tietosuojan suhteen ei olla tarkkoina, pahimmillaan työntekijöiden henkilötiedot voivat karata taivaan tuuliin. Teksti Kirsi Castrén Kuvat Shutterstock, Olli Häkämies, Jyrki Vesa tietosuoja 2
EU:n tietosuojavaltuutettujen Reijo Aarnion mukaan organisaatiot eivät tulkinnan mukaan kansainväliseksi tiedon- aina ole riittävän tietoisia ulkoistusten ris- siirroksi (EU:n tai Euroopan talousalueen ul- keistä eivätkä tietosuojavelvoitteistaan. kopuolelle) katsotaan jo esimerkiksi yhtey- ?Toivomuksemme on, että kun orga- den ottaminen suomalaiseen tietokantaan nisaatiossa valitaan ulkoistuskumppania, ulkomailta. Palkka- suojavaltuutettu kiteyttää. hallinto ulkoistetaan yhdessä tietoliikenteen ja IT-tukitoimintojen kanssa suurelle ylikansalliselle palveluntar- ?Koskaan et voi ulkoistaa parempaa oikeutta kuin itselläsi on.? Hankalat tiedonsiirrot joajalle. F irma Oy päättää keskittyä minkä saa itse tehdä, saa ulkoistaa?, tieto- ydintoimintoihinsa. Vaikka konsernin tai lain mukainen vastuullinen rekisterinpitäjä, toimeksiantajan kotipaikka olisikin Suomi, jonka velvollisuus on huolehtia, että henki- ulkomaisen alihankkijan tai ulkomailla sijait- lötiedot ovat turvassa ulkoistuksen jälkeen- sevan tytäryhtiön toimintaan sovelletaan kin ja että niitä käsitellään lainmukaisesti. paikallista lakia, ellei asiasta ole erikseen ?Käytämme nyrkkisääntönä, että sen, ?Sen, minkä saa tehdä itse, saa ulkoistaa?, tietosuojavaltuutettu Reijo Aarnio muistuttaa. sovittu. Ulkoistuskumppanille kertyy mittavia tietovarantoja. 10? tietosuoja 2 . Pilvipalvelun toteuttaa alihank- Tietosuoja- ja tietoturvariskejä liittyy eten- kijaverkosto, jonka osat ulottuvat Intiaan kin pilvipalveluihin, joissa tiedon tallennus- saakka. paikka voi vaihdella maasta toiseen. Yritykset ulkoistavat yhä useammin tuki- Erityistä tarkkuutta edellyttää tietojen toimintojaan tehokkuuden ja kustannus- käsittely EU:n tai Euroopan talousalueen ul- säästöjen toivossa. 2013. Tietosuojavaltuutettu kopuolella. Kyse ei siis tarvitse olla tietojen edellytettäisiin tarjouskilpailuun osallis- tallentamisesta ulkomaiselle palvelimelle. tuvilta, että nämä kykenevät osoittamaan Asiaa ei muuta se, että tietoihin pääsyn mah- menettelevänsä sääntöjen ja viranomais- dollistava yhteys on teknisesti salattu. määräysten mukaisesti.? Tietojen sijaintimaa vaikuttaa sovelletta- Ulkoistava organisaatio on henkilötieto- vaan lainsäädäntöön
?EU:n tietosuojaviranomaisten mukaan palveluja ei voi ulkoistaa palveluntarjoajalle, joka ei osaa hoitaa kansainvälisiä tiedonsiirtoja lainmukaisesti?, asianajaja Jukka Lång sanoo. tietosuoja 2 . 2013 11
Laki yhteistoimintamenettelystä vaatii myös henkilöstön kuulemista yrityksissä, joissa on vähintään 30 työntekijää. tävät suomalaisten työsuhde- ja sairaus- Tietojen sijaintimaahan voi usein vaikuttaa poissaolotiedot eivät siis välttämättä ole Pilvipalveluiden tarjoajat eivät aina pysty Viime aikoina ovat useat ylikansalliset suomalaisen tietosuojan piirissä, jos niiden kertomaan asiakkaalle tietojen tosiasial- palveluntarjoajat mukauttaneet toimin- käsittely on ulkoistettu Suomen ulkopuo- lista sijaintipaikkaa sen vaihdellessa maasta taansa siten, että kansainvälisten tiedon- lelle?, havainnollistaa asianajaja Jukka Lång toiseen muun muassa kustannustason siirtojen tietosuojakysymykset tulevat huo- asianajotoimisto Dittmar & Indreniukselta. mukaan. Jo yhteydenotto suomalaiseen tietokantaan ulkomailta on tiedonsiirto. 5 Viisi vinkkiä 1. Selvitä riskit ja suunnittele sopimusehdot 4. Hyödynnä sertifikaatteja 2. 5. Kartoita ulkoistukseen mahdollisesti liittyvät tietosuojariskit. Tiedonsiirrossa saattaa olla heikko. Henkilöstölle tulee asiasta kuitenkin tiedottaa. 2013. Hio ehdot valmiiksi jo ennen neuvottelua. Muista sopia auditointioikeudesta Tarkastusoikeus ulkoistuskumppanin tietojärjestelmiin on sopimuksenvarainen. Tarkista, kuuluuko kansainvälinen tietojensiirto ilmoitusvelvollisuuden piiriin Osa henkilötietojen siirroista EU:n tai ETA:n ulkopuolelle edellyttää ilmoitusta tietosuojavaltuutetulle. 3. Esimerkiksi yleisesti käytetty ISAE 3000 -sertifikaatti on keino, jolla ulkoistuskumppani voi osoittaa tietosuojaosaamisensa. Tiedota henkilöstölle Työntekijöiden henkilötietojen käsittelyn ulkoistaminen ei edellytä luvan kysymistä rekisteröidyltä. Konsernin sisäiset tietojensiirrot voi tarjoajan on voitava kertoa tietojen sijain- toteuttaa myös Binding Corporate Rules timaa. Palveluntarjoajat ovat usein suu- mioiduiksi EU:n vaatimalla tavalla. ?Esimerkiksi palkkahallinnossa käsitel- ron toteuttamisesta lainmukaisesti, ei voi ulkoistaa palveluja?, Lång kertoo. Tietosuojan turvaamiseksi kansainväli- ria ylikansallisia yrityksiä, jotka käyttävät ?Markkinoille on esimerkiksi ilmestynyt sissä tietojensiirroissa EU-komissio on laa- omia vakiosopimuksiaan, ja joiden rinnalla palveluntarjoamismalleja, joiden tarkoituk- tinut organisaatioiden käyttöön valmiita suomalaisen yrityksen neuvotteluasema sena on taata tietojen pysyminen koko ajan mallisopimuslausekkeita. Työnteki- valtuutetulle. vastaamaan tietojen kansainvälisen siir- jöiden henkilötunnukset, pankkitilinumerot 12? tietosuoja 2 . Onko ulkoistavalla yksinomaan EU:n alueella, vaikka tiedot oli- voi myös tukeutua yhdysvaltalaisten yritys- organisaatiolla mahdollisuutta esimerkiksi sivatkin pilvessä?, Lång kertoo. ten käytössä olevaan Safe Harbor -järjestel- vaatia sopimukseen ehtoa, että palvelun- mään. Jukka Långin mukaan voi vaatia, ja Alihankkijat paljon vartijoina -säännöillä. usein pitäisikin. Jossain kohtaa Firma Oy:n alihankkijaket- Osaan EU:n ulkopuolelle tehtävistä hen- ?EU:n tietosuojaviranomaiset ovat to- jussa on heikko lenkki: ylimääräistä käteistä kilötietojen siirroista liittyy henkilötietolain denneet viime vuonna suosituksessaan, kaipaava ylläpitotyöntekijä, joka päättää mukainen ilmoitusvelvollisuus tietosuoja- että palveluntarjoajalle, joka ei kykene myydä hallussaan olevat tiedot
Palkkahallinnon ulkoistussopimuksissa määritellään muun muassa, ketkä saavat käsitellä työntekijöiden henkilötietoja, ja mille alihankkijoille niitä luovutetaan, sekä saako tietoja käsitellä EU:n ulkopuolella. O tietosuoja 2 . Sopimuksiin sisältyy auditointioikeus. Ulkoistusta suunnittelevia Hovi neuvoo valmistautumaan miettimällä tietosuojakysymykset mahdollisimman selviksi jo ennalta. ?Tärkeää on, että asiat on organisaatiossa selvitetty etukäteen. Ulkoistuskumppanille kertyy mittavia tietovarantoja, ja samalla kasvavat riskit henkilötietojen joutumisesta vääriin käsiin. Tietosuojavaltuutettu Reijo Aarnio kehottaakin ulkoistajia huolehtimaan jo sopimusvaiheessa käyttöoikeuksien hallinnasta ja varmistamaan siten, ettei esimerkiksi sähköpostiliikennettä ylläpitävillä henkilöillä ole pääsyä työntekijöiden palkka- tai terveystietoihin. 2013 13. Tietoturvaehdoista on paljon vaikeampaa neuvotella, jos niitä joutuu vasta sopimusta tehtäessä pohtimaan ja muotoilemaan.. Tietosuoja kohdalleen jo ennen neuvotteluja Teleyhtiö Elisa ulkoisti palkkahallintonsa vuonna 2004. Nykyinen sopimuskumppani on pohjoismainen Aditro, jonka alihankkijoilla on palvelimia muun muassa Norjassa. Elisalla on muitakin henkilötietoja sisältäviä rekistereitä, joiden ylläpitoa on ulkoistettu myös EU:n ulkopuolisiin maihin. ?Tietosuojakysymykset on hyvä ottaa huomioon jo sopimusvaiheessa?, painottaa kehittämispäällikkö Mikko Hovi. Elisan alihankkijoidensa kanssa tekemissä sopimuksissa on huomioitu kansainvälisen tietojensiirron tietosuojavaatimukset. Yritykseen saattaa jäädä vain pieni IT-ammattilaisten ydinjoukko, jonka tehtävänä on hallinnoida Elisan kehityspäällikkö Mikko Hovi neuvoo suunnittelemaan tietosuojan hyvissä ajoin ennen ulkoistusta. ulkoistuksia. O ja sähköpostiosoitteet ovat kuumaa valuuttaa internetin nopeilla valtateillä kaahaaville rikollisille. On yhä tavallisempaa, että organisaatio ulkoistaa samalle palveluntarjoajalle useita toimintoja, kuten IT-ylläpitoa, talouspalveluja ja palkkahallintoa
2013. Tiedot voidaan kuitenkin siirtää muualle esimerkiksi vianmäärityksen takia. Asiakas voi kysyä ja vaatia, mutta pilvipalvelun tietoturvallisuudesta hän voi parhaiten varmistua auditoinneilla eli arvioinneilla. Microsoftin pilvipalvelujen selosteen mukaan asiakkaiden, joiden toimitusosoite on EU:ssa, tietoja säilytetään ensisijaisesti Irlannissa, Alankomaissa ja USA:ssa. Hankinnassa ratkaisevia tekijöitä ovat sovellustyyppi ja haluttu palvelu. Fujitsu Finlandin kehitysjohtaja Esa Aho huomauttaa, että pilvipalveluissa on monia mahdollisuuksia: ?Tieto voi olla yhä asiakkaan omassa konesalissa (ns. yksityinen pilvi) tai sitten jossain jopa erikseen määrittelemättömässä paikassa (ns. Halusimme myös tietää, millaiset mahdollisuudet asiakkaalla on varmistua tietojensa turvallisesta ja lainmukaisesta käsittelystä. Yritysten mukaan asiakkaat hankkivat pilvipalveluja kustannussäästöjen sekä paremman käytettävyyden ja joustavuuden takia. Auditointioikeus pitää kuitenkin muistaa kirjata palvelusopimukseen. aiheesta enemmän Tietosuojavaltuutetun toimiston verkkosivuilta www.tietosuoja.fi/9230.htm www.tietosuoja.fi/uploads/fqfq98_1.pdf Ainakin voi auditoida Tietosuoja kysyi IT-yrityksiltä, miten asiakkaat suhtautuvat henkilötietojen käsittelyyn pilvipalveluissa sekä tietojen käsittelyn tietoturva- ja tietosuojanäkökohtiin. ja kaikkea tältä väliltä.? Jos pilveen viedään henkilötietoja, niiden lainmukaisesta käsittelystä vastaa rekisterinpitäjänä asiakas. IT-talojen mukaan asiakkaat kiinnittävät tietoturvaan ja tietosuojaan paljon huomiota ja osaavat vaatia pilvipalveluilta entistä enemmän. ?Palvelutoimittajalta edellytetään henkilötietojen käsittelyyn liittyvien lakien ja asetusten tuntemista, ja tämä on myös pystyttävä todentamaan?, Atosin tietoturva-asiantuntija Tomi Behm sanoo. ?Asiakkaat osaavat myös vaatia kolmannen osapuolen sertifiointia ja kansainvälisten standardien noudattamista?, huomauttaa Microsoftin tuotemarkkinointipäällikkö Harri Mikkanen. ?Pilvitarjoajan tietoturvasertifioinnit, kuten SOC 2 ja ISO 27001, ovat joissakin tapauksissa vaatimuslistalla. Tietosuojan osalta esille nousee esimerkiksi (kansainvälisissä tiedonsiirroissa käytettävä järjestelmä) Safe Harbor?, Nordcloudin teknologiajohtaja Ilja Summala sanoo. Erityisen paljon asiakkaat tiedustelevat tietojensa sijaintimaata. ?Lähes aina kysytään, voiko datan sijaintiin vaikuttaa?, vahvistaa Ixonosin markkinointijohtaja Antti Aumo. ?Valtaosa asiakkaista lähtee siitä, että tietoja ei viedä missään vaiheessa EU:n ulkopuolelle?, Summala kertoo. Microsoft allekirjoittaa EU:n tietojen kansainvälisiä siirtoja koskevat mallisopimuslausekkeet kaikkien pilviasiakkaidensa kanssa. Pilvitoimittajan parempi tietoturvakin voi olla yksi peruste. Asiakkaat eivät hanki pilvipalvelua nimenomaan henkilötietojen tallennusta varten, eikä henkilötietojen tallentamisesta pilveen saa lisähyötyä. O Päivi Männikkö 14? tietosuoja 2 . julkinen pilvi)
Vahva tunnistus pitäisi vaatia myös ennen kuin salassa pidettäviä tietoja . Tällaisen käsityksen työryhmän esityksestä saa. Kenen etua siis työ- ja elinkeinoministeriö ajaa pyrkiessään hämärtämään tietoa yritysten vastuuhenkilöistä. 2013 Susanna Reinboth on Oikeustoimittajat ry:n varapuheenjohtaja ja Helsingin Sanomien oikeustoimittaja. 15. Senhän tietää käytännössä jokainen Prisman kassakin. Jos identiteettivarkauksiin aletaan etsiä syyllistä, ensimmäisenä peiliin voisivat katsoa viranomaiset. Sen sijaan muutoksen toteuttaminen toisi mukanaan kokonaan uusia ongelmia. Perusongelma Suomessa on, että henkilötunnusta käytetään sellaiseen tarkoitukseen, johon se ei sovellu. Julkista olisi ainoastaan tieto vastuuhenkilöiden nimestä, kotipaikasta ja syntymäajasta. esimerkiksi terveys- tai verotustietoja . O Viranomaiset voisivat katsoa peiliin. tietosuoja 2 . Ymmärrettävästi jälkiään peittelevillä hämäräliikemiehillä ei ole mitään intressiä auttaa toimittajia tässä selvitystyössä. Henkilötunnusta ei koskaan voi käyttää tunnistamiseen, sillä se on jo niin laajalle levinnyt. Ainakaan avointa ja läpinäkyvää yhteiskuntaa tämä lainmuutos ei palvelisi. Ovatko työryhmän jäsenet ihan oikeasti niin tietämättömiä, etteivät he pysty erottamaan toisistaan henkilön tunnistamista ja yksilöintiä. Kolumni Prisman kassakin sen tietää Susanna Reinboth K aupparekisterilain muutoksia valmistellut työryhmä ehdottaa, että jatkossa yleisöllä ei enää olisi oikeutta saada tietää yritysten vastuuhenkilöiden henkilötunnuksia ja kotiosoitteita. Meidän täytyy olla täysin varmoja siitä, ettemme erehdy henkilöstä. Tämä keino on henkilötunnus. Toimittajille sataprosenttisen varma tunnistus on elinehto. Me emme voi tehdä juttuja sillä perusteella, että jonkin yrityksen takana oleva ihminen ehkä on sama henkilö, joka on aiemmin saanut tuomioita vaikkapa kuluttajien huijaamisesta. Muutostarvetta perustellaan muun muassa identiteettivarkauksien torjumisella. Tavoite on hyvä, mutta ehdotettu muutos ei poistaisi ongelmaa. Sen avulla voi erottaa samannimiset ihmiset toisistaan sataprosenttisella varmuudella. Tämän takia tarvitaan jokin varma keino ihmisen yksilöimiseksi. Sitä käytetään henkilöiden tunnistamiseen. Henkilötunnuksen tietäminen ei kuitenkaan kerro ihmisen henkilöllisyydestä yhtään mitään. Henkilötunnus soveltuu vain yhteen ainoaan tarkoitukseen, nimittäin ihmisen yksilöimiseen. Jatkossa kaikkiin oikeustoimiin pitäisikin vaatia vahva tunnistus. Henkilötunnus myös kertoo, että nykyisin mattimeikäläisenä esiintyvä ihminen oli vielä jokin aika sitten nimeltään jaskajokunen. Ihmiset saattavat vaihtaa nimeään useita kertoja elämänsä aikana jo pelkästään avioliittojen takia. Nimen muuttamista muista syistä ei liioin ole tehty järin vaikeaksi. Esimerkiksi etunimen saa vaihtaa yhden kerran ilman perusteluja, ilmoitusasiana. Asuinpaikasta tai syntymäajasta ei ole välttämättä mitään apua ihmisen yksilöimisessä. aletaan laulella puhelimessa. Kaupparekisterilain uudistusta valmistellut työryhmä pitää yllä käsitystä siitä, että henkilötunnuksen tietämisellä olisi jotain tekemistä tunnistuksen kanssa. Viranomaiset eivät ole kyenneet luomaan Suomeen toimivaa sähköistä tunnistusta siitä huolimatta, että projektiin liittyviin hankkeisiin on kivitetty varmasti kymmeniä miljoonia euroja. Peiliin voisivat katsoa myös kaikki viranomaiset ja yritykset, jotka pitävät riittävänä tunnistuksena sitä, että ihminen tietää henkilötunnuksen
Työ Järjestelmän perinpohjainen tutkiminen olisi toki sallit- osoitti, kuinka yhteiskunnallisesti mer- tua järjestelmän omistajan luvalla, mutta emme tien- kittävät automaatiojärjestelmät ovat murrettavissa neet etukäteen, mitä järjestelmiä löydämme, ja kenelle siinä, missä mitkä tahansa internetin palvelutkin. Tämä herättikin kysymyksiä Suomen tilanteesta. don hankkimisesta ja järjestelmien etsinnästä. Koska Kuinka paljon meillä on avoimia automaatiojärjestel- Shodanissa haetaan tallennettua tietoa tietokannasta, miä. Onneksemme rikoslain Niistä näyttävin esimerkki on vuonna 2010 paljastu- 34. porttiskannaus on sallittua, toisin kuin vastaava toi- Leverettin opinnäytteessä esittelemistä internetissä Tutkimuksessa käyttämämme Shodan on julkinen oli Yhdysvalloista ja puolet muualta, pääasiassa Euroo- tietokanta, jonka yhdysvaltalainen omistaja vastaa tie- pasta. luku vetää selkeän rajan: tunkeutuminen tai tunkeutumisen yrittäminen järjestelmään ilman omistajan lupaa on yksi- Shodan-hakukoneella tehtävä kartoitus Suomen auto- selitteisesti laitonta tarkoitusperästä riippumatta. maatiojärjestelmistä aloitettiin syksyllä 2012. Mitä nämä kohteet ovat, ja onko meillä laillisia kei- sen käyttö on laillista ainakin tietoturvakartoituksessa. noja niiden löytämiseksi? Kartoituksen ja murron raja on liukuva 16? minta tunkeutumis- tai haitantekotarkoituksessa. näkyvistä kymmenestätuhannesta kohteesta puolet Sen sijaan Shodanilla löydettyjen järjestelmien mahdolliseen jälkitarkasteluun rikoslain 38. Olen- ne kuuluvat. naisin ero on kuitenkin kriittisten järjestelmien mur- Kysyimme keskusrikospoliisilta neuvoa lainmukaisen tamisen yhteiskunnalle aiheuttamat tuhovaikutukset. tietoturvakartoituksen rajoista. 2013. Asiantuntijalta Kyberturvallisuuden kartoitus vaatii uusia keinoja Jotta Suomen kyberturvallisuudesta saataisiin mahdollisimman todenmukainen kuva, tietoturvakartoitusten tekemiseen pitäisi saada uusia, lainmukaisia keinoja. Teksti Jukka Manner ja Seppo Tiilikainen É ireann Leverett esitti Cambridgen yli- Tutkimusta suunniteltaessa merkittäväksi kysymyk- opiston kesällä 2011 hyväksymässä seksi nousi kartoitusmenetelmien laillisuus, sillä esimer- opinnäytteessä, kuinka vaivatonta on kiksi tiedon hankkiminen järjestelmän sisältä on Suo- löytää internetiin näkyviä automaatio- men lain mukaan tietomurto ja siten rangaistava teko. järjestelmiä Shodan-hakukoneella. Sitä teh- Myös oletussalasanojen kokeileminen tai esimerkiksi tiin aluksi Aalto-yliopiston omalla rahoituksella ja 2013 käyttöliittymään valmiiksi tallennettujen salasanojen alusta alkaen osana Tekesin rahoittamaa Disci-tutkimus- käyttäminen lasketaan luvattomaksi tunkeutumisyri- projektia. tykseksi. tietosuoja 2 . Tietoturvatutkimuksessa esimerkiksi tamossa. ns. luku painottaa toiminnan tarkoitusperää, joten kan- nut Stuxnet-mato, joka onnistui aiheuttamaan mer- sallisen edun takia tehtävä kartoitus on lähtökohtaisesti kittävää tuhoa Iranissa Natanzin ydinpolttoainerikas- hyvässä asemassa
O lessä suuntaa antavia. Työmäärä on kuitenkin moni laitteista on tarkoituksellisesti esillä. Kohteiden analysoinnissa tärkeää on turvallisuustutkimuksen nimissä tehtävä vastaava toi- sen selvittäminen, millaisten järjestelmien näkyminen minta on laissa estetty niin meiltä tutkijoilta kuin viran- internetiin on todellinen ongelma ja millaisten ei ole. omaisiltakin. Kansallisen kyberturvallisuuden nimissä miin liittyvää laitetta, joista 1 968 oli jälkitarkastuksessa olisi mielenkiintoista rakentaa Kansallinen automaa- yhä toiminnassa. Näin ollen tietoturvaongelmia ei voida Jatkossa tulisi myös selvittää, miten kriittisiä järjestelmiä ratkaista pelkästään tutkimuksella ja valvonnalla, vaan voidaan turvata nykyteknologioilla ja pohtia, mitä uusia kansallinen turvallisuus riippuu kunkin järjestelmän ajatuksia alan tutkimus voi asiaan tuoda. omistajien halusta ja kyvystä huolehtia omasta tietoturvastaan sekä pitää huolta tietoturvan säännöllisestä testauksesta. Tarkka KATSE parantaisi kyberturvallisuutta Shodan tekee satunnaista etsintää ja pitää yllä listaa koh- Suomessa on paljon avoimia järjestelmiä teista, joita se on joskus löytänyt. Palvelu antaa alustavan kuvan esimerkiksi Suomen automaatiojärjestelmien Shodanin tietojen perusteella löysimme Suomen IP- tilasta, mutta sillä ei saa muodostettua tarkkaa ajanta- osoiteavaruudesta yhteensä 2 915 automaatiojärjestel- saista kuvaa. Todellinen kohteiden lukumäärä tietosuoja 2 . Iso osa löydetyistä laitteista liittyi rakennusautomaatioon, joilla ohjataan muun muassa LVIjärjestelmiä ja ovien lukituksia, mutta esillä oli myös teollisuu- Viranomaiselle tulisi antaa oikeus tietojärjestelmien katsastamiseen. teen ja kriittiseen infrastruk- KATSE kävisi esimerkiksi kerran päivässä läpi koko Suomen IPosoiteavaruuden, muutaman miljoonaa osoitetta, ja raportoisi löydetyt ongelmalliset kohteet. Kohteiden hakeminen sinänsä on suorastaan yksinker- tuuriin viittaavia laitteita. taista, mutta kohteen tarkempi Löydettyjen laitteiden mää-rä on suuri, mutta mai- analyysi ja kriittisyyden arviointi automaattisesti vaatii nituista lakiteknisistä syistä on vaikea arvioida, kuinka vielä kehitystyötä ja tutkimusta. Niiden IP- tiojärjestelmien tarkastus- ja osoitteet toimitettiin Viestintä- suodatusjärjestelmä (KATSE). viraston CERT-FI:lle mahdollisia jatkotoimenpiteitä varten. Professori Jukka Manner ja tutkimusapulainen Seppo Tiilikainen työskentelevät Aalto-yliopiston Sähkötekniikan korkeakoulussa tietoliikenneja tietoverkkotekniikan laitoksella. Sinänsä toki täysin tarpeelliset tietomurtosäännökset Suomessa lienee kymmenentuhannen paikkeilla. valitettavasti myös rajoittavat tehokasta tietoturvakar- Shodanin löytämät kohteet pitäisi käydä läpi jatko- toitusta. Rikolliset testaavat järjestelmiä vapaasti, mutta tutkimuksessa. Osa löydöistä kohtuullinen, ja osaamista löytyy. oli kuitenkin hyvin arkaluontoisista kohteista, joten on Teknisen haasteen lisäksi KATSEen tehokas hyö- sangen luultavaa, että verkossa on esillä paljon väärin dyntäminen edellyttäisi muutoksia lainsäädäntöön. konfiguroituja järjestelmiä, joiden ei pitäisi olla yleisesti Viranomaiselle pitäisi antaa oikeus tietojärjestelmien saavutettavissa. katsastamiseen, mutta järjestelmä ja viranomaisen val- Shodan ei ole vielä kartoittanut kaikkia Suomen IPosoitteita, joten kartoituksen tulokset ovat tässäkin mie- taoikeudet tulisi toteuttaa siten, että tietosuojaa ei loukata. 2013 17
Soliditetin henkilö- Käyttötarkoitukset rajattu tarkasti laissa tietorekisterissä on lähes 400 000 henkilöä. Luottotietoyritykset luovuttavat henkilö- Heistä varsinaisia maksuhäiriöllisiä on yli luottotietoja laissa säädettyihin tarkoituk- 350 000. Lisäksi rekisteriin on tallennettu siin. Suomen Asiakastiedon mukaan Suomen Asiakastiedon mukaan henkilö- maksukyvystä. 2013. Niistä omaisten rekisteristä. Edelleen luottotietorekiste- kuluttajien luottotietomerkinnät ovat rekis- luottotietoja välittävien palveluiden käyttä- rien ylläpito on vankasti liike-elämän käsissä. terissä 2?4 vuotta. minen edellyttää aina sopimusta asiakkaan Kattavia henkilöluottotietorekistereitä Luottotiedot kerätään pääosin viran- kanssa, ja tietokyselyn yhteydessä rekiste- ylläpitää Suomessa kaksi yritystä. Rekisteröi tämä Luottotietorekisterissä on miltei 400 000 kuluttajaa Henkilöluottotietorekisterien ylläpito on kahden yrityksen kauppa. tietosuoja-lehti.fi Positiiviset luottotiedot: kyllä vai ei? Teksti Päivi Männikkö Kuva Rodeo L uottotietorekisterien pito lähti Suo- lisäksi rekisteröidyistä tallennetaan muiden hakijan ja työntekijän arviointeihin. Tuore oikeusministeriön teettämä selvitys päätyi odottavalle kannalle. Lue selvityksestä sivulta 5. tietosuoja 2 . Myös kuluttajat voivat kysellä tokontrolli on toiminut luottotietomarkki- myöntäviltä yrityksiltä, luotto- ja rahoitus- luottotietoja, ja kyselyn yhteydessä hei- noilla 1960-luvulta alkaen ja tuotemerkin laitoksilta, velkojilta sekä rekisteröidyiltä dät tunnistetaan verkkopankkitunnusten Soliditet alla toimiva Bisnode Finland 2007 itseltään. avulla. Tietoja messa liikkeelle 1800-luvulla kaup- muassa tiedot yrityskytkennöistä ja toimin- voidaan luovuttaa myös pankille tai vakuu- piaiden ja liikemiesten tarpeesta takelpoisuudesta, eli edunvalvonnassa ole- tusyhtiölle rekisteröidyn pyynnöstä. saada luotettavaa tietoa asiakkaittensa misesta. Niiden lisäksi luotto- röidään asiakkaan antama tietojen käyt- Suomen Asiakastieto ja sen edeltäjä Luot- tietofirmat saavat tietoja kulutusluottoja tötarkoitus. Tietoja saa käyttää muun muassa luoton tiedot edunvalvonnassa olevista ja omaeh- myöntämiseen ja valvontaan, viranomaisen toisen luottokiellon tehneistä henkilöstä. lakisääteisiin tehtäviin, perinnän suunnitte- sä, jos henkilöllä on viranomaisen vahvis- Maksuhäiriötietojen ja luottoluokituksen 18? luun, vuokrasopimuksen tekoon sekä työn- Positiiviset luottotiedot pohdinnassa Suomessa luottotietorekistereihin saa kerätä vain niin sanottuja negatiivisia tietoja eli tietoja maksuhäiriöistä, niistä selviytymisestä sekä näihin pohjautuvia luottokelpoisuuden arviointitietoja. Viime vuosina on pohdittu, pitäisikö meillä kerätä myös niin sanottuja positiivisia luottotietoja eli henkilön taloudellisesta tilasta muutoin kertovia tietoja. O alkaen. Tiedot useista eri lähteistä Henkilöluottotietorekisteriin päätyy yleen- Luottotietorekistereitä sääntelee 2007 voimaan tullut luottotietolaki, ja niiden käsittelyä valvoo tietosuojavaltuutettu. tama maksuhäiriötieto
Vanhemmista on yleensä tarpeellista kerätä vain nimet ja yhteystiedot. Jos erityistapauksessa on tarpeen kerätä jotain muita henkilötietoja, rekisterinpitäjän on pystyttävä perustelemaan tietojen tarpeellisuus opetuksen järjestämisessä. Tarkemmin asiaa selvennetään tietosuojavaltuutetun kannanotossa: www.tietosuoja.fi/14316.htm Kyllä voi. Miten voin suojella älypuhelintani ja tablettiani tietoturvaongelmilta? Ohjelmia kannattaa asentaa puhelimiin vain ?virallisen? sovelluskaupan kautta. Mihin tätä tietoa käytetään? Sähköpostiosoitteen ilmoittaminen väestötietojärjestelmään on vapaaehtoista. Kysy meiltä Lapseni kouluun ilmoittautumislomakkeessa kysyttiin muun muassa sisarusten nimiä ja ikiä, vanhempien mahdollista avioeroa sekä lapsen mahdollisia vaikeuksia kotona tai kaveripiirissä. 2013 19. Rekisterinpitäjän eli opetuksen järjestäjän pitää pystyä perustelemaan kerättyjen henkilötietojen tarpeellisuus opetuksen järjestämisessä. yrityksille suoramarkkinoinnissa tai yhteystietopalveluissa käytettäväksi) sähköpostiosoitteita ei luovuteta. Kysymykseen vastasi Väestörekisterikeskuksen tietopalvelupäällikkö Päivi Pösö. Mobiililaitteiden tietoturvauhista puhutaan nyt paljon. muuttoilmoitus) tai erillisellä kirjallisella ilmoituksella suoraan maistraatille. Saako tällaisia kysyä? Voiko muulla kuin Windows-käyttöjärjestelmällä varustettuun tietokoneeseen tulla haittaohjelmia? Oppilaasta voidaan kerätä koulussa vain opetuksen järjestämisen kannalta tarpeellisia tietoja. Järjestelmään voidaan tallentaa henkilölle vain yksi voimassa oleva sähköpostiosoite. Sähköpostiosoitteen käyttö liittyy erityisesti sähköisiin kansalaispalveluihin. Windows-haittaohjelmien yleisyys johtuu lähinnä siitä, että Windows on yleisyytensä vuoksi houkuttelevin kohde haittaohjelmien tekijöille ja levittäjille. Kysymykseen vastasi ylitarkastaja Marita Höök tietosuojavaltuutetun toimistosta. Muuttoilmoituksessa voi antaa sähköpostiosoitteensa. Silloinkin kannattaa suhtautua epäilevästi ennalta tuntemattomiin sovelluksiin. Väestötietojärjestelmästä sähköpostiosoitteita välitetään muun muassa poliisihallinnolle, Maanmittauslaitokselle, maa- ja metsätalousministeriölle, Valtiokonttorille Kansalaisen asiointitiliä varten sekä Kevalle. Kaupallisiin tarkoituksiin (esim. Etukäteen voi yrittää etsiä lisätietoja itseään kiinnostavasta sovelluksesta vaikka hakukoneen avulla. ? Kysymyksiin vastasi tietoturva-asiantuntija Ari-Matti Husa Viestintäviraston CERT-FI:stä. Askarruttaako jokin henkilötietojen suojaan, yksityisyyteen, viestinnän luottamuksellisuuteen tai tietoturvaan liittyvä asia? Lähetä kysymyksesi meille, me etsimme sille sopivan vastaajan. Kysymyksiä voi lähettää osoitteeseen info@tietosuoja-lehti.fi tietosuoja 2 . Sen voi antaa samalla kun ilmoittaa järjestelmään muitakin tietojaan (esim
2013. 20? tietosuoja 2
Sitä ylläpitää keskusri- korkeat poliisiviranomaiset ovat tänä keväänä kospoliisi, ja rekisterinpitäjä on Poliisihallitus. saaneet selittää poliisin rekisterinpitoa poliitikoille, viranomaisille ja medialle. varoen keskeneräisen esitutkinnan takia. Selvittely alkoi huhtikuussa MTV3:n 45 ?Ohjeet ovat minusta olleet riittävät, mutta minuuttia -ohjelman paljastettua, että Venäjän nyt katsomme läpi kaikki prosessit ja paran- presidentti Vladimir Putin oli merkitty keskusri- namme niitä sitä mukaa kuin heik-kouksia löy- kospoliisin (KRP) ylläpitämään epäiltyjen tieto- tyy.? järjestelmään. Esitutkinta valmistunee tarkastaminen pitäisi tehdä tietojen kirjaami- ennen kesää, niin Paatero arvioi ja toivoo: sen yhteydessä. ?Niin kauan kuin tämä asia on kesken, se on esillä.? Poliisihallitus tekee omat johtopäätöksensä tietosuoja 2 . Merkintöjen jänviraston tutkinnassa. Poliisihallitus rekisterinpitäjänä Epäiltyjen rekisterin käyttöoikeus on yli totesi merkinnän virheelliseksi, ja KRP ilmoitti tuhannella poliisimiehellä eri puolilla maata. poistaneensa tiedon heti sen julkitulon jälkeen. Paatero huomauttaa, että Poliisihallitus ei pysty Virheellinen merkintä on Valtakunnansyyttä- valvomaan yksittäisiä kirjauksia. 2013 Poliisiylijohtaja kommentoi Putin-tapausta Eikö kuitenkin viime kädessä Poliisihallitus rekisterinpitäjänä vastaa henkilötietojen käsittelystä? 21. Kyse on myös ulkomaisten kollegoiden luottamuksesta siihen, että Suomen poliisi ei vuoda salaisuuksiaan ulkopuolisille, kuten Paateron mukaan kävi Putinin tapauksessa. ?Siksi olen painottanut julkisuudessa vuodon surkeutta, vaikka lähtökohtana on tietenkin väärä rekisterimerkintä.? S uomen korkeimman poliisiviran- syksyllä. Silloin selviää, nostetaanko virheellisen omaisen kevät on ollut kiireinen, merkinnän tehneitä henkilöitä vastaan syytteet. mutta poliisiylijohtaja Mikko Paatero istuu rauhallisesti työhuo- Poliisilaitoksille yhteiset säännöt neessaan ja keskustelee henki- Epäiltyjen rekisteriin tallennetaan tietoja henki- lötietojen käsittelystä satojen löistä, joita on syytä epäillä rikoksesta tai siihen haastattelujen tuomalla rutiinilla. Poliisi korjaa tilkkutäkkiään Poliisiylijohtaja Mikko Paatero uskoo, että tuleva tietojärjestelmäuudistus parantaa poliisin rekisterinpitoa. Teksti Päivi Männikkö Kuvat Olli Häkämies Poliisiylijohtaja Mikko Paateron mukaan luottamuksen palauttaminen poliisin rekisterinpitoon on nyt avainasemassa. Hän ja muut myötävaikuttamisesta
Poliisi- Käytäntöjä on jo yhtenäistetty. ?Se oli ainakin minulle yllätys?, Paatero sanoo. ?Siellä on ilmeisesti joskus katsottu, että päällystövalvonta on niin työlästä.? Palasista koottu kokonaisuus Paatero pitää suurimpana ongelmana poliisin rekisterien moninaisuutta. Kaikissa ylijohtajan näkökulmasta havaintotietojär- laitoksissa päällystöön kuuluva virkamies jestelmä parantaisi rekisterinpitoa ja siten tarkistaa, että henkilön kirjaaminen epäilty- myös kansalaisen oikeusturvaa, kunhan jen järjestelmään täyttää lain edellytykset. seuranta ja valvonta on järjestetty asianmu- Joissakin yksiköissä näin on tehty ennenkin kaisesti, eikä tietoja säilytettäisi liian kauan. mutta ei esimerkiksi KRP:ssä. 22? tellaan järjestäytyneen rikollisuuden torju- Lakiesityksen mukaan havaintoja saisi tietosuoja 2 . 2013. Niille aiotaan nyt laatia yhteiset kirjaamisohjeet. misella. Havaintotietorekisterin pelätään vaarantavan kansalaisen oikeusturvaa. Niitä on kolmisenkymmentä, joista osa on tilapäisiä. Nyt ne kaikki käydään läpi. Putin-tapauksen yhteydessä suuri yleisö on saanut kuulla poliisin tilapäisistä rekistereistä, kuten järjestäytyneiden rikollisryhmien jäseniä koskevasta analyysirekisteristä, joka on ollut käytössä jo vuodesta 2008 alkaen. Laissa ei Paateron mukaan ole tarkkaa määritelmää sille, kuinka kauan poliisi saa pitää tilapäistä rekisteriä. ?Jos poliisilla olisi laillinen havaintorekisteri, ei tarvittaisi kaikkia tilapäisiä, havaintoihin perustuvia rekistereitä ja tällaista tilkkutäkkiä?, Paatero huomauttaa. Millaiset havainnot rekisteriin? Mikko Paatero ?? ?? ?? ?? syntynyt vuonna 1948 poliisiylijohtaja 2008? oikeustieteen kandidaatti Ura alkoi Noormarkun nimismiehenä 1970-luvulla. Hän oli Länsi-Suomen lääninpoliisijohtaja ennen nimitystään poliisiylijohtajaksi. ?Tiettyyn pisteeseen saakka. Mutta se, Hallitus ehdottaa, että poliisi saisi perustaa että KRP:n johtokaan ei tiennyt mistään pysyvän havaintotietojärjestelmän. Esitystä perus- Hänen mukaansa Poliisihallituksen ensisijainen tehtävä on huolehtia siitä, että valvonta toimii yksiköissä. Siihen mitään, tuntuu kummalliselta?, Paatero kerättäisiin havaintoja mahdollisesti rikok- sanoo viitaten tapaus Putiniin. seen liittyvästä toiminnasta
Ja salattavia tietoja on massasta kuitenkin vähän?, poliisiylijohtaja sanoo. Vitja korvaa sekavan järjestelmän Poliisilla on menossa uudistusten aika. Heistä 136 on Valtakunnansyyttäjänviraston tutkinnassa. Poliisiylijohtaja kuvaa tapauksia ?surullisiksi?. Miksi Turun poliisin pitää päästä näkemään Kokkolan poliisin raportit? naisuudistus. ? tallentaa rekisteriin perustellusta syystä. Ongelmallista voi olla löytää sopivan tarkkoja kriteereitä tallennettavalle tiedolle. Paatero näkee, että lain rinnalle tarvittaisiin ohjeistusta. Hal- desta tuttujen henkilöiden tietoja. lintorakenneuudistus puolittaa poliisilaitos- Nelosen uutisten testissä ilmeni, että useat kymmenet poliisimiehet olivat yrittä- tietoja ole salattu. Toistasataa poliisimiestä tävät sitä vaativat. toiminnanohjausjärjestelmä Vitjan koko- eri puolilta Suomea kävi katsomassa Mika Myllylän kuolemaan liittyneitä tietoja ilman työtehtäviin liittyvää syytä. O Poliisiasiain tietojärjestelmän tietoja tietosuoja 2 . Jos kulkisin sorkkarauta kassissa Helsingin Hakaniemen torilla yöllä, ja lisäksi liivijengiläinen tulisi kysymään minulta kellonaikaa, joutuisinko havaintorekisteriin? ?Et varmaan joudu etkä saa joutua?, Paa- Missä muissa palveluissa poliisi on läsnä? ?Muun muassa YouTubessa ja Twitterissä. Aiemmin Mikko Paatero sanoo. Poliisin operatiiviset tietojärjestelmät kootaan yhteiselle alustalle, mikä ?Tänä päivänä mitkään rikokset eivät ole helpottaa valvontaa ja käyttöoikeuksien paikallisia, joten sarjoittaminen on äärim- hallintaa. Järjestelmässä on myös ten määrän, kun 24 yksiköstä jää jäljelle 11. neet päästä katsomaan Anneli Auerin salat- osioita, joihin pääsevät vain ne, joiden teh- Rekisterinpidon kannalta merkittävin on silti tuja tutkintatietoja. 2013 23. tietosuoja-lehti.fi Poliisi haluaisi toimia anonyymisti verkossa. 3 Kolme kysymystä sosiaalisesta mediasta Mitä sosiaalisen median palveluita käytät? ?Olen aika passiivisesti Facebookissa, mutta kyllä mun profiili siellä on?, poliisiylijohtaja Mikko Paatero kertoo. ?Ja Suomen poliisin omalla Facebook-sivulla alkaa olla jo 200 000 fania. Pelkät pilkuntarkat pykälät voisivat johtaa siihen, että tilapäiset rekisterit palaisivat käyttöön havaintorekisterin rinnalle. Tehdäänpä ajatusleikki. Uskon, että olemme eturintamassa sosiaalisen median käytössä: on Nettivinkki-järjestelmä, ja nettipoliiseja tulee koko ajan lisää.? Onko Suomi edelläkävijä nettipoliisitoiminnassa? ?Ilman muuta ihan kärkipäässä.? ?Nettirikollisuus on ehkä pahin uhkatekijä, ja siksi kaikkea pitää yrittää tehdä ennalta estävässä mielessä.? tero vastaa. ?Yksittäiset keskustelut eivät voi olla perusteena, muuten mennään poliisivaltioajattelun suuntaan.? Tietoja salataan entistä enemmän Poliisimiehet ovat viime vuosina niittäneet kyseenalaista mainetta urkkimalla julkisuu- Havaintorekisteriä ei tarvita arkisen rikollisuuden torjuntaan. nihkeyttä salaamiseen perusteltiin sillä, että se haittaa työntekoa (Tietosuoja 3/2012). ?Kaikki rajoitukset haittaavat, mutta kyse on myös yhteiskunnan tarpeista. On pakko tietää koko maan kirjautumisella käsiksi kaikkiin niihin rekis- tilanne?, Paatero perustelee. teritietoihin, joihin hänellä on käyttöoikeus. ?Jokaiselle on varmasti ollut selvää, että Hän huomauttaa, ettei sellaista henkilö- tietoja voi katsoa vain virkatehtäväänsä liit- rekisteriä ei olekaan, jota joku ei voisi käyt- tyen.? tää väärin. Vitjan tuotantokäytön on tarkoitus alkaa ensi vuonna. ?Nykyinen järjestelmä on turhan sekava. ?Kyllä virkavastuu pitää kantaa.? Mutta uskon ja toivon, että Vitja tulee paran- pääsevät katsomaan poliisimiehet ympäri Vastaisuudessa poliisi salaa silti useam- tamaan oleellisesti rekisterinpidon koko- maata toimenkuvansa perusteella. Se on varmaan maailmanennätys. Vitjassa poliisimies pääsee yhdellä mäisen tärkeää. Ainakin min sellaisia tietoja, joita saatettaisiin käydä naisuutta sekä sen seurantaa ja valvontaa?, yleisen osan tiedot ovat nähtävissä, ellei katsomassa vain uteliaisuudesta
Muutoksen myötä luovuttaisiin johtokunnan muodollisesta toimivallasta. Lex Nokia -pykälät, jotka koskevat yhteisötilaajan oikeutta käsitellä tunnistamistietoja yrityssalaisuuksien vuototapauksissa ja muissa väärinkäytöksissä. Muun muassa Tietoyhteiskunnan kehittämiskeskus Tieke ja tietosuojavaltuutettu rodeo arvostelevat luonnosta siitä, etteivät kansalaisten oikeudet ole kovin vahvasti esillä. Tietoyhteiskuntakaarihanke kumoaa sähköisen viestinnän tietosuojalain ns. 2013. Lait ja säädökset Tietoyhteiskuntakaarelle risuja ja ruusuja Liikenne- ja viestintäministeriön tämän vaalikauden suurhanke, tietoyhteiskuntakaari, saa niin kehuja kuin moitteitakin viranomaisten, yritysten ja kansalaisjärjestöjen lausunnoissa. Jatkossa yrityssalaisuusvuotoja selvitetään uuden pakkokeinolain nojalla. Useat lausunnonantajat kiinnittävät huomiota teletietojen tallennusvelvollisuutta koskeviin säännöksiin. Uusi laki Patentti- ja rekisterihallituksesta tulee voimaan syyskuun alussa. tietosuoja 2 . Luonnoksen lausuntokierros päättyi toukokuussa. Säädöskokonaisuutta valmisteleva liikenne- ja viestintäministeriö lupaa yrityksille selkeämpää sääntelyä mutta toisaalta uusia, kuluttajia koskevia velvoitteita. EFFI vaatii, että ennen lopullisen hallituksen esityksen valmistumista tallennusvelvoitteesta pyydetään lausunto perusoikeusasiantuntijoilta. Lakiluonnoksessa käytetään tunnistetiedon asemesta termiä ?välitystieto?. henkilötietoja?, FiComin lausunnossa todetaan. 24? PRH:n johtokunnan tilalle neuvottelukunta Patentti- ja rekisterihallituksen pääjohtajalle on luvassa lisää toimivaltaa. Hallituksen esityksen mukaan PRH:n toiminnan tuloksellisuudesta ja tavoitteiden saavuttamisesta vastaava pääjohtaja voisi aiempaa itsenäisemmin päättää viraston organisaatiosta. Lakiesitys korvaisi PRH:n johtokunnan neuvottelukunnalla. Lausunnoissaan yritykset eivät katso ehdotuksen selkiyttävän sääntelyä vaan lisäävän tulkintaongelmia ja hallinnollista taakkaa. Luonnoksen sisältämistä noin 300 pykälästä huolimatta lausunnonantajien mielestä olennaisia asioita on jäänyt pois. Teleyritysten edunvalvojan FiComin mukaan välitystiedon käsite eri tilanteissa jää epäselväksi. ?Tietojen käsittelijän/välittäjän kannalta on erittäin tärkeää, milloin käsiteltävät tiedot ovat välitystietoja ja milloin esim. Lakiluonnoksessa tallennusajaksi esitetään 12 kuukautta
Käyttäjiä uudella verkolla tulee olemaan noin 30 000. Lakiehdotus liittyy tämän vuoden lisätalousarvioesitykseen ja on tarkoitettu käsiteltäväksi sen yhteydessä vielä eduskunnan kevätistuntokauden aikana. 25. Kesäkuun alussa voimaan tulleet lainmuutokset helpottavat esimerkiksi vanhempien ja työnantajan elämää, kun he saavat puhelinlaskussa täyden erittelyn kännykän käyttäjän puhelimella maksamista ostoksista, jotka eivät ole viestintäpalveluita. antero aaltonen HETUn loppuosan julkisuutta kaupparekisterissä rajoitetaan Puhelinlaskuun täysi erittely lisäpalveluista Laskuerittelystä käyvät ilmi maksun ajankohta, määrä ja saaja. Erittelyoikeus perustuu sähköisen viestinnän tietosuojalain ja viestintämarkkinalain muutoksiin. Viestintäviraston kannanoton mukaan laskuerittelyn yhteydessä käsitellään tietoja, joiden suojaaminen voidaan rinnastaa maksuliikenteeseen liittyvien henkilötietojen suojaamiseen. Laskuerittelyssä näkyvä palveluntuottajan nimitieto ei kuitenkaan ole tällainen tieto. scanstockphoto Turvallisuusverkko varmistaa viranomaistoimintaa tietosuoja 2 . 2013 Lakiesitys julkisen hallinnon turvallisuusverkkotoiminnasta tuo viranomaisten päivittäiseen käyttöön korkean tietoturvatason turvallisuusverkon, jonka on määrä toimia luotettavasti poikkeustilanteissakin. Verkko on toteutettu hallinnon turvallisuusverkkohankkeessa (TUVE). Vastuuhenkilöiden kotiosoitteita ei enää kerättäisi rekisteriin, vaan he ilmoittaisivat sinne pelkän kotikunnan. Muutosehdotuksia perustellaan yksilön oikeusturvan ja turvallisuuden vahvistamisella sekä hallinnon menettelytapojen yhdenmukaistamisella. Hallitus antoi esityksensä eduskunnalle toukokuun lopussa. Lait ja säädökset Hallituksen esitys kaupparekisterilaista vähentää henkilötunnusten luovutuksia rekisteristä. Vastaisuudessa yritysten ja asunto-osakeyhtiöiden vastuuhenkilöiden henkilötunnuksen loppuosan saisi kaupparekisteristä vain perustellusta syystä. Lain on tarkoitus tulla voimaan 2014 alussa. Kännykällä maksetaan nykyisin erilaisia ostoksia raitiovaunulipusta limsapulloon
Syksyllä ja loppuvuonna komissio, tajia huolettaa, miten lobbaus vaikuttaa mitkä ehdotuksista sisällytetään asetus- parlamentti ja neuvosto neuvottelevat ase- asetusluonnoksen sisältöön. Tietosuoja-asetus meppien mankelissa Europarlamentaarikot neuvottelevat tietosuoja-asetusluonnoksen lopullisesta sisällöstä. Teksti Päivi Männikkö E ryhmien linjauksissa alkaa näkyä eroja. ?Muutosesitykset ovat siis myös ideolo- suostumus, sen on oltava yksiselitteinen ja todellinen. O 26? tietosuoja 2 . Liike-elämä haluaa muitakin mahdollisuuksia. gisia.? Vihreiden ryhmän meppi Jan-Philipp Keskustelua on herättänyt myös kulut- Albrecht on asetusluonnoksen raportoija tajan oikeus pyytää rekisterinpitäjää pois- ratkaisevassa kansalaisvapauksien valio- tamaan hänen henkilötietonsa. Albrecht ihmettelee tätä. uroopan parlamentin käsittelyssä johtuu yksinkertaisesti siitä, ettei nykyistä ?Jo nykyisessä direktiivissä sanotaan, olevaan tietosuoja-asetuksen luon- henkilötietodirektiiviä tai asetusehdotusta että rekisterinpitäjän on poistettava tar- nokseen on tehty mittavat 3 999 tunneta. Yritykset kunnassa ja siten lobbaajien ykköskohde. pelkäävät tästä aiheutuvan lisäkustannuk- Hänen mielestään osa muutosesityksistä sia. Jos tätä ei noudata, rik- muutosesitystä. Hän korostaa, ettei asetus mullista peettomat tiedot. Komission on määrä äänestää asetuksesta 2014 alku- Sosialistiryhmän europarlamentaarikko ehdotuksessa korostetaan, että kun henki- puolella. Dimitrios Droutsas sanoo, että poliittisten lötietojen käsittelyyn vaaditaan kuluttajan Löytyykö yhteinen linja? muutosesitysten kohtalosta ennen kesä- Europarlamentaarikot toivovat, että asetusehdotus hyväksytään tällä vaalikaudella, mutta varautuvat jo hankkeen venymiseen. Tietosuoja-asetus on saanut lobbarit liikkeelle. ?On yrityksiä, jotka haluavat sääntelyyn takapakkia. pohti liberaalidemokraattien ryhmän meppi ja asetusehdotuksen varjoraportoija Sophie in?t Veld. Dimitrios Droutsas ennakoi neuvoston käsittelystä vaikeaa, koska osa jäsenmaista pelaa nyt aikaa. 2013. Myös osa euro- luonnokseen ja miten. Parlamentin parlamentaarikoista on tästä huolissaan. suostumuksen määrittelystä. Sitä ei voi hyväksyä?, sanoo asetusehdotuksen pääraportoija, europarlamentaarikko Jan-Philipp Albrecht. ?On todella huono asia, jos asetuksen hyväksyminen siirtyy seuraavalle vaalikaudelle?, murehti teollisuusvaliokunnan raportoija, kristillisdemokraattien ryhmän parlamentaarikko Seán Kelly. ?Uskon, että tietosuojapaketti menee läpi, mutta tuleeko nykytilaan takapakkia?. Niiden määrä kertoo ennä- nykytilaa vaan vahvistaa ja yhdenmukaistaa koo jo nyt lakia.? tysmäisestä lobbauksesta. säännösten toimeenpanoa. Nykysäännöt huonosti hallussa Kansalaisvapauksien valiokunta äänestää Toukokuussa Brysselissä pidetyssä seminaa- Yritykset pelkäävät lisäbyrokratiaa rissa puhuneita kansalaisjärjestöjen edus- Nyt poliittiset ryhmät neuvottelevat siitä, taukoa. Sen sijaan Jan-Philipp Albrecht uskoo yhteisen linjan löytymiseen, fritz schumann koska asetuksella on kansalaisten tuki. ?Jos kansalaisten tahtoa ei kunnioitettaisi, luottamus unioniin vähenisi huomattavasti.. Kiistaa on esimerkiksi tuksen lopullisesta sisällöstä
Järjestelmän käyttöliittymää luovat Hollywoodista palkatut suunnittelijat, ja sen on tarkoitus muistuttaa tietokonepelejä. 2013 shutterstock Ilmiöt numeroina kansainvälisen oikeuden asiantuntijaa on kirjoittanut kybersodan käsikirjan. Siinä pohditaan, kuinka voimassaolevat kansainväliset sodankäynnin säännökset soveltuvat kybersodankäyntiin. miljardia dollaria USA:n ensi vuoden puolustusbudjetista kuluu kyberpuolustukseen. Yksikön olemassaolon ja sijainnin Shanghaissa vahvisti keväällä tietoturvayhtiö Mandiant. u.s. 121 1 tietomurto johdatti tietoturvayhtiön kyberpalkkasotureiden jäljille. He tekevät tilaustyönä teknisesti yksinkertaisia hyökkäyksiä pääosin yhdysvaltalaisiin ja pakistanilaisiin kohteisiin. on Pohjois-Korean armeijan kyberyksikkö, jonka hakkerit tekivät iskun eteläisen naapurinsa pääkaupunkiin Seouliin huhtikuussa. Hyökkäys lamaannutti Etelä-Korean pankkiautomaattijärjestelmän päiviksi. 110 000 61398 miljoonaa dollaria maksavassa USA:n puolustusministeriön hankkeessa laaditaan valmiiksi ohjelmoituja toimintamalleja erilaisten iskujen, kuten bottiverkon kaatamisen varalle. navy 20 4,7 tietosuoja 2 . Norjalaisen teleyrityksen tietomurtoa tutkinut yhtiö Norman huomasi jälkien johtavan intialaisiin kyberpalkkasotureihin. Näin perussotilas voisi tehdä kyberiskun kirjaimellisesti napinpainalluksella. on Kiinan kansanarmeijan kyberyksikön nimi. Summa kasvaa tämänvuotisesta vajaalla miljardilla, sillä tänä vuonna puolustushallinto käyttää kybertoimintaan 3,9 miljardia. 27. Se tekee edistyneitä kohdennettuja tietoturvahyökkäyksiä ulkomaisten yritysten ja valtionhallintojen järjestelmiin
Vastuulliset tuomittiin yrityksen asiakasrekis- lystä. henkilörekisteririkoksesta, ja konkurssipesä teri on usein rahanar- Asiakasrekisterin myynti yrityksen toi- joutui korvaamaan valtiolle myynnistä saa- voista omaisuutta, jonka minnan päätyttyä on henkilötietolain dun taloudellisen hyödyn, lähes 350 000 myynnillä konkurssipesä mukaan sallittua, mutta rekisteröidyille on markkaa. Täl- tiedotettava siitä. Asiakasrekisteri kaupaksi konkurssin jälkeen Kun firma joutuu konkurssiin, eivät tietosuoja-asiat ehkä ole päällimmäisinä yrittäjän mielessä. Hänen tehtäviinsä kuuluu konkurssin Rekisteröidyille ilmoittamisesta aiheu- lörekisterin käyttötarkoituksen muuttumi- jälkeen muun muassa vastata asiakkaiden tuvat kulut merkitsevät usein huomattavaa 28? sesta. tietosuoja 2 . Henkilötietolaki on silti syytä muistaa tarpeettomaksi käyneen asiakasrekisterin hyödyntämisessä. lovea konkurssipesän varallisuuteen. ?Kun yritystoiminnan taloudelliset edellytykset loppuvat, vähenee usein olennaisesti mielenkiinto asiakassuhteiden varjelemiseen ja tietojen suojaamiseen?, pahoittelee ylitarkastaja Heikki Partanen tietosuojavaltuutetun toimistosta. Ilmoittamisen laiminlyönti voi kuitenkin lisätä konkurssipesän kuluja. Myös rekisterin ostaneiden yritys- voi kattaa velkojaan. Heille on myös varattava ten katsottiin laiminlyöneen velvoitteitaan, laisen asiakasrekisterin henkilötietolain mahdollisuus kieltää tietojensa luovutus koska ne eivät olleet tehneet lakisääteistä mukainen rekisterinpitäjä on pesänhoi- esimerkiksi suoramarkkinointitarkoituksiin. ilmoitusta tietosuojavaltuutetulle henki- taja. 2013. Näin kävi Teksti Kirsi Castrén kuva shutterstock 1991 konkurssiin menneen Uuden Suomen K kustannusyhtiölle, joka myi tilaajarekisterin suoramarkkinointiyhtiöille kysymättä rekisonkurssiin menneen henkilötietojen lainmukaisesta käsitte- teröidyiltä lupaa
Ainoastaan tervey- jen säilyttämisen käytännön kysymyksiin. miten potilasarkiston säilyminen ja säädös- denhuollon potilastietoja pitää säilyttää Tilanteeseen on luvassa helpotusta lähi- ten mukainen käsittely turvataan?, Rautiala määräajan. 2013 29. Lakipaketti sisältää osa oli potilaat lähettäneiden sairaanhoito- ainakin joskus tulee tarvetta selvittää poti- myös säännökset siitä, mihin yksityisen toi- piirien omistuksessa, joten konkurssipesä ei lasmerkintöjä pidemmältä ajalta?, Partanen mijan arkisto siirtyy toiminnan loppuessa, ja joutunut vastaamaan niiden jatkokäsittelyn toteaa. kuka vastaa siirto- ja säilytyskustannuksista. kustannuksista. O tietosuoja 2 . Tarpeeton rekisteri pitää hävittää Tietosuojan lähtökohta henkilötietolainsäädännössä on käyttötarkoitussidonnaisuus. ?Henkilötietojen jatkokäsittely konkurssitapauksissa ei saa johtaa tietojen käyttötarkoituksen kanssa yhteensopimattomaan käsittelyyn?, Partanen sanoo. Konkurssin tehneen yrityksen henkilörekistereistä vastaa pesänhoitaja. Joillakin toimialoilla, esimerkiksi terveydenhuollossa, asiakassuhteet ovat jo ?Lakiuudistus on mielestäni ollut tarpeen jo pitemmän aikaa?, Heikki Partanen sanoo. ?Esimerkiksi hammaslääkärien kuolinpesien osalta on ollut esillä kysymys siitä, mihin potilasarkistot pitää siirtää toiminnan loputtua, kun niitä kuitenkin on säilytettävä pitkään.? Lakiuudistuksen toivottaa tervetulleeksi myös konkurssin tehneen Reumasäätiön pesänhoitaja, asianajaja Pekka Rautiala. irrottaminen ulkopuoliseen käyttöön on Potilastietojen jatkokäsittelyyn uudet säännöt mahdotonta. Lainsäädäntöä on moitittu siitä, ettei se yhteisön omistuksessa, mutta konkurssipe- sellaisinaan salassa pidettäviä, ja tietojen ?Ainakin sellaisissa konkursseissa, joissa aineisto on konkurssiin menneen yhtiön tai Kun asiakasrekisteristä on tullut tarpee- anna riittävästi ohjeita potilasasiakirjo- sässä ei ole varoja, olisi tarpeen säädellä, ton, se on hävitettävä. Se on tarpeen ammattitoimin- vuosina, kun suunnitteilla oleva yksityisen sanoo. nan valvonnan takia. terveydenhuollon lainsäädännön kokonais- Reumasäätiön potilasasiakirjoista valta- ?Valelääkäritapaukset osoittavat, että uudistus valmistuu
Ensimmäiset potilaat Reumasta tulivat meille jo seuraavalla viikolla, eikä potilasasiakirjojen siirtojärjestelyistä ollut vielä silloin selvyyttä?, kertoo hallintojohtaja Veli Penttilä PäijätHämeen sosiaali- ja terveysyhtymästä. Reuman sairaala oli suuri kansallinen toimija, jonka arkistojen kohtaloon kiinnitettiin huomiota monella viranomaistaholla sen toiminnan päättymisen jälkeen. ?Monesti tulee mietityksi, mihin joutuvat pienten yksityisen lääkäriasemien tai ammatinharjoittajien potilaskortistot toiminnan päätyttyä?, Penttilä sanoo. ?Jonkin verran niitä on palautunut meille esimerkiksi, kun ammatinharjoittaja on kuollut ja perikunta toimittaa meille materiaalia.? ?Näkisin, että jonkinlaista riskiä kuitenkin on, etteivät kaikki aineistot palaudu sairaanhoitopiireille asianmukaisesti?, hallintojohtaja arvioi. 2013. Koska arkistoa ei ole kokonaisuudessaan voitu siirtää pois lakkautetusta sairaalasta, on konkurssipesä edelleen toiminnassa. Sairaanhoitopiiri ei ole toistaiseksi löytänyt sopivia tiloja palautettavalle aineistolle, joten arkisto on edelleen sairaalan tiloissa, mistä asiakirjoja tarvittaessa tilataan. Reuman sairaala . Konkurssipesän vastuulle jäi 1 500 hyllymetrin mittainen potilaskertomusarkisto ja runsaasti tutkimusnäytteitä. Reuman sairaala otti vastaan potilaita pääasiassa sairaanhoitopiirien ja Kelan lähetteillä mutta myös yksityisesti. Ison, puolijulkisen, montaa reittiä tulleita potilaita hoitaneen sairaalan alasajossa oli omat haasteensa myös tietosuojanäkökulmasta. ?Kaikki selvittelyyn osallistuneet eivät olleet perillä lainsäädännön sisällöstä?, muistelee hallitusneuvos Pekka Järvinen sosiaali- ja terveysministeriöstä. ?Rekisterinpitoon ja tietosuojaan liittyvät säännök- 30? set eivät ole aivan selkeitä ja yksinkertaisia, ja aluksi vallitsi hiukan erilaisia käsityksiä siitä, kuka vastaa mistäkin.? Julkisen sektorin potilaita toimeksiannosta hoitava yksityinen terveydenhuollon yksikkö toimii potilasrekisterin teknisenä rekisterinpitäjänä, kun taas henkilötietolain mukainen vastuullinen rekisterinpitäjä on palvelun ostava sairaanhoitopiiri tai terveyskeskus. Sosiaali- ja terveysministeriö, Valvira ja Etelä-Suomen aluehallintovirasto neuvottelivat Reuman sairaalan potilasarkistojen sijoituspaikasta lähes vuoden ajan. Lopulta asiakirjat määrättiin aluehallintoviraston päätöksellä siirrettäväksi potilaiden kotikuntien sairaanhoitopiireille. Sairaanhoitopiiri maksaa pesälle vuokraa arkistotiloista ja -palveluista. Reuman sairaalatoiminnan loputtua oli ratkaistavana monia käytännön ongelmia. ?Alkuhämmennys oli suuri. kun iso laiva uppoaa rodeo Kun Reumasäätiö ajautui konkurssiin vuonna 2010, sen omistama, Heinolassa lähes 60 vuotta toiminut, Reuman sairaala lakkautettiin. Siirron kulut lankesivat sairaanhoitopiirien maksettavaksi. Suurin osa Reuman sairaalan potilaista tuli PäijätHämeen sairaanhoitopiiristä. O tietosuoja 2
Potilas voi myös peruuttaa kiellon ja suostumuksen. Taustalla on potilastietojen suojaaminen terveydenhuollon sekavassa hallintorakennelmassa, minkä takia hallinnollisen tietosuojan merkitys on korostunut liikaa. Kansallisten terveydenhuollon tietojärjestelmäpalveluiden (KanTa-palvelut) käyttöönoton jälkeen terveydenhuollon toimintayksikön on informoitava potilasta KanTa-palveluiden käytöstä suullisesti ja kirjallisesti. Kielto tehdään potilaan allekirjoittamalla asiakirjalla. Potilaan kielto-oikeus perustuu siten siihen, että hän on antanut ensin suostumuksen tietojen luovuttamiseen, jonka jälkeen hän voi kieltää sen. Tilanne on erikoinen, koska potilasta pitää informoida kiellon merkityksestä mutta samalla antaa myös päinvastaisia ohjeita kiellon merkityksettömyydestä. Arkistointi jatkuu arkistoinnin sijaan terveydenhuollon toimintayksiköt on valjastettu suostumus- ja kieltoasiakirjojen käsittelyyn ja arkistointiin. Toisaalta Terveyden ja hyvinvoinnin laitos THL on lain vastaisesti ohjeistanut raportissaan (63/2012), että potilas saisi kiellon laadinnan yhteydessä antaa silti luvan tietojen luovuttamiseen hätätilanteissa. Ohje jää kuitenkin vaille merkitystä, koska lainsäädäntö ei tunne hätätilanteen käsitettä eikä THL:llä ole oikeutta säännellä laissa säädettyjä menettelyitä uudelleen ohjein. O EU:ssa parhaillaan valmisteilla olevan tietosuoja-asetuksen eräänä tavoitteena on tietosuojaan liittyvän hallinnollisen taakan vähentäminen. 2013 Hallintohimmelin purkaminen edistäisi tietosuojaa. tun lain mukaan niitä ei voida luovuttaa edes silloin, kun ne olisivat merkityksellisiä potilaan hoitamiseksi. Lisäksi kieltojen hallintaan lisäelementtinsä tuo terveydenhuoltolain mukainen potilaan oikeus kieltää tietojensa luovuttaminen saman sairaanhoitopiirin muille yksiköille. Siitä ei ole kuitenkaan yksityiskohtaista sääntelyä. Ristiriitaisia ohjeita Kun potilas on kieltänyt tietojensa luovuttamisen, sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä anne- tietosuoja 2 . Hallinnollisen taakan keventäminen voisi alkaa tämän hallintohimmelin purkamisesta. Suostumuksen antamisen jälkeen potilas voi kieltää tietojensa luovuttamisen palvelujen antajan tai palvelutapahtuman perusteella. Paperista on tehty tietosuojan merkittävin tae. Kenen etua terveydenhuollon suostumuksenhallinnan järjestelyt ajavat. Se olisi jo itsessään tietosuojaa edistävä teko. Eivät ainakaan potilaan ja terveydenhuollon ammattihenkilön. Näkökulma Terveydenhuollon hallinnollinen taakka vaihtaa paikkaa T erveydenhuollon tiedonhallintaa on kehitetty viimeisen kymmenen vuoden aikana luomalla lainsäädäntöön monimutkainen suostumuksien ja kieltojen verkko, johon potilas omine tietoineen päätyy väistämättä. Lisäksi potilaalta on pyydettävä allekirjoitettu suostumus, jotta palveluista voidaan näyttää potilaan tietoja yksiköiden välillä. Terveydenhuollon tiedonhallinnan ohjaamiseen osallistuvat sosiaali- ja terveysministeriö, THL, Valvira, Kansaneläkelaitos, aluehallintovirastot ja tietosuojavaltuutetun toimisto. Samaan aikaan Suomen terveydenhuollossa tiedonhallinnan tietosuojarakennelma ajaa potilastietojen käsittelyä yhä raskaampaan hallinnollisen taakkaan. Ongelma piilee hallinnollisissa rakenteissa ja epäselvissä toimivaltasuhteissa. Potilasasiakirjojen käsittelyn ja Tomi Voutilainen on Itä-Suomen yliopiston informaatio- ja tietoteknologiaoikeuden professori. 31
2013. 32? tietosuoja 2
Myyjä ei epäile mitään, kun hän avaa tarjouspyynnön liitetiedoston. Lagus kuvat shutterstock Y rityksen myynnissä käsitellään päivittäin useita tarjouspyyntöjä. Myös keskisuuri yritys saattaa joutua kohdennetun hyökkäyksen uhriksi. Teksti Antti J. Lukuohjelman hieman hitaampi käynnistyminen tai uudelleen käynnistyminen kesken latauksen menee tavallisen tietokoneoikkuilun piikkiin. Kun yrityksen ominaan pitämiä tie- toja alkaa löytyä markkinoilta tai kun kilpailija alkaa voittaa tarjouskilpailuja pienellä marginaalilla, heräävät epäilykset tietomurrosta. Selviää, että yritykseen on tehty sähköpostin välityksellä kohdennettu hyökkäys. ?Hyökkäyksellä voi olla useita eri motiiveja. Joskus hyökkääjä pyrkii myös tekemään laitevahinkoja kohteessaan?, Viestintäviraston tietoturva-asiantuntija Juhani Eronen sanoo. Hyökkäykset eivät ole mitään James Bond -tarinoita, sillä Erosen mukaan on viitteitä siitä, että myös keskisuuret yritykset kiinnostavat verkkorikollisia. tietosuoja 2 . 2013 33. Kyse voi olla myös arkaluonteisten tietojen joutumisesta vääriin käsiin tai suoranaisesta vakoilusta. Kohdennettu hyökkäys ei ole tieteistarinaa Verkkorikolliset eivät pidä silmällä vain suuria teknologiafirmoja. Keskimäärin kohteen kannalta on kyse rahanarvoisten tietojen menetyk- Rikollisuus on siirtynyt verkkoon. sestä
Ohjelmistoversiot selmistoversion haavoittuvuutta hyödyntävän Automaattikäynnistys pois päältä hyökkäystavan. Erosen mukaan kohdeorganisaation peli vittämällä rikollinen valitsee sopivan, ohjel- Erosen mukaan yleisin hyökkäystapa on sähköpostilla. ?Ensin selvitetään, kuka yrityksessä ottaa on pelattu viimeistään siinä vaiheessa, kun haittaohjelma pääsee keskeisille palvelimille, kuten Windows-ympäristöjen toimi- Pankit maalitauluna ?Vuoden 2011 lopulla ja seuraavan vuoden alussa meidän verkkopankkimme oli rikollisten maalintauluna muiden pankkien ohella?, kertoo OPPohjolan tietoturvapalveluiden yksikönpäällikkö Timo Rossi. ?Asiakkaiden selaimiin ujutettiin troijalainen, joka muutti tapahtumatietoja.? Nopeasti nousseet hyökkäysvolyymit havaittiin pian valvontajärjestelmien ja operaattoreiden avulla. Rossi kertoo, että myös viranomaisten kanssa tehtiin yhteistyötä. OP-Pohjolan ICT-johtaja Petri Imberg kertoo, että yhtiö on investoinut ohjelmistoihin, tekniikkaan, henkilöstöön ja koulutukseen. ?Lisäksi teemme yhteistyötä kolmansien osapuolten, kuten teleyritysten ja viranomaisten kanssa.? OP-Pohjolan teleoperaattori on varautunut palvelunestohyökkäyksiin. Perinteisten palomuurien lisäksi käytössä on myös sovellustason kontrolleja. Tärkeä puoli tietoturvatyössä on Imbergin mukaan se, että myös asiakkaat huolehtivat tietoturvastaan. Pankki pyrkii silti varautumaan sellaiseen tilanteeseen, jossa riski tulee asiakkaan päivittämättömästä tietokoneesta. tietosuoja 2 . Tässä käytetään esimer- Sähköpostiin sepitetään uskottava tarina, kiksi sosiaalisia verkkoja, kuten LinkedIniä joka tähtää liitetiedoston avaamiseen. tai Facebookia. Kun liitetiedosto avataan, vastaanottajan Sähköposti on yleisin väylä koneelle kopioituu pieni ohjelma, jonka tarkoitus on ladata verkosta varsinaiset hyökkäysohjelmat.? Hyökkäyksen valmisteluissa pyritään selvit- Käyttäjän koneelle piiloutuva etähallit- tämään, millaista tekniikkaa kohteessa käy- tava haittaohjelma (RAT, remote access tro- tetään. Hyökkäykset vähenivät nopeasti sen 34? jälkeen, kun kaikkien maksujen yhteydessä otettiin käyttöön haasteluvun syöttö ja epäilyttävistä maksuista alettiin lähettää tekstiviestivarmennus. Pankit pyrkivät luomaan vahvan luottamuksen pankin ja asiakkaiden välille teknisillä toimilla ja tietoturvaprosesseilla. Käytössä on myös verkkoon tunkeutumisen havainnointipalvelu, joka hälyttää haitallisesta liikenteestä. Jos vieras ottaa yhteyttä tutun yrityksen nimissä, selvitä, onko yhteydenotto aito. Tyypillisessä hyökkäyksessä kohteesta kerä- vastaan esimerkiksi paljon tarjouspyyntöjä. tään ensin tietoja. 2013. Onko yrityksessä Windows XP vai jan) hankkii hyökkääjälle väylän, jolla tämä Windows 7, mitä sovellusohjelmistover- voi ohjata konetta, saada listauksen tiedos- sioita yrityksessä käytetään, mitä IP-osoit- toista tai jopa avata etätyöpöytäyhteyden. teita yrityksellä on
Pitäisikö panostaa ehkäisyyn vai seurausten minimointiin? tai tiedostoja. Kehityspäällikkö Mirva Peltola korjattiin, mutta muuta ei muutettu. USB-tikkujen avulla. Gallup Vaikutuksia voi vähentää alueen hallintapalvelimelle (DC, domain Palvelunestohyökkäysten kohteiksi joutuneet organisaatiot ovat käyneet läpi prosessinsa ja kiinnittäneet huomiota vaikutusten vähentämiseen. controller). 2013 35. Sampo-pankki) Lokeja on hyvä säästää riittävän kauan, 1. Ei ole yllätys, että palvelunes- toturvallisuuden kehitystä. selvittää, mitä on tapahtunut ja sitten jat- tohyökkäyksiä tapahtuu. USB-hyökkäyksessä lisinä päivinä muita mediataloja oli asiakkaisiin. pyritään käyttämään järjestelmäpiirrettä, joutunut palvelunestohyökkäysten 3. Niin sanotusti korkattu kone lähettää tiedostoja kohteesta poispäin. Joskus ohjelmat onkin havaittu vahingossa, kun on ihmetelty, miksi kone on niin hidas, tai on löydetty tuntemattomia hakemistoja Näitä kysyimme: 1. Tämä ominaisuus voidaan ottaa nostava kohde. hyökkäysten havaitsemiseen. Tehtiinkö teillä hyökkäyksen jälkeen muutoksia? 3. Mutta helposti pois käytöstä. 2. Varautumista källä teknologialla niitä ei saada kiinni. Verohallinto on parannettu osana normaalia tie- 1. Kannattaa satsata (autorun). CERT-FI voi auttaa epäilyjen verkkopalvelujen ongelmakohta tapauskohtaisia. Hyökkäykset ovat kuitenkin niin hanka- ?Organisaation kannalta on tärkeätä vahvistamisessa ja tapauksen käsittelyn aloittamisessa?, Eronen neuvoo. Osasitteko odottaa palvelunestohyökkäystä? 2. Käytettyjen ohjelmis- kanavia jakaa sisältöjään. tojen tulee olla ajantasaisia, jotta ne eivät tarjoa hyökkääjien käyttöön tunnettuja haavoittuvuuksia. Organisaation palvelinten lokien pitää Johtaja Jari Julin olla kunnossa, ja niitä pitää myös seurata. Danske Bank (ent. Analysoimme kaikki erityistilanTurvallisuusjohtaja teet jälkikäteen ja ryhdymme tarvit- lasti havaittavia, että Erosen mielestä pel- Petri Puhakainen taessa kehitystoimiin. Organisaation tietoturvapolitii- että nettipalvelumme ovat poissa kan pitää olla ajan tasalla, ja työntekijöiden käytöstä, mutta Ylellä on muitakin tulee noudattaa sitä. Relevantit toimet ovat tuntija-apua. O tietosuoja 2 . Mediatalona Yle on kiin- tannustehotonta. Emme toki halua, minnasta. Hyökkäyksessä hyödynnetty liset haitat. Panostusten hyötysuhde täytyy minen ei juuri eroa muusta tietoturvatoi- miettiä tarkkaan. Aina on 3. Sisäisiä prosesseja on tehostettu tunnistus- ja estojärjestelmät eivät ja tiedottamisen mallit käyty läpi. ole kovin tarpeellisia ainakaan verk- Verkkoliikenteen seurantaa on kopalveluissa. Hyökkäysohjelmia on välitetty myös Pelkkä tekniikka ei riitä tehostettu. Kohdennettuun hyökkäykseen varautu- 3. Eronen kertoo, että Yle Verkkopalveluun kohdistuva hyök- jopa tietoturva-alan konferensseissa on löy- 1. Hyvällä valmistautumisella voi- kaa normaalia toimintaa. Tapausten sel- kokeilijoita. daan ennen muuta rajata mahdol- vittämiseen on usein hyvä hankkia asian- 2. Osasimme odottaa, koska edel- käys ei vaikuta verotukseen vaan tynyt tällaisia välineitä. Kapasiteetin lisääminen on kus- joka käynnistää sovelluksen automaattisesti kohteiksi. Olemme tiedostaneet mahdol- jotta voidaan selvittää, milloin epäilyttävä lisuuden joutua kohteeksi ja myös liikenne on alkanut, sillä kaikkeen tutkimuk- varautuneet niihin. seen tarvitaan havaintomateriaalia. 2
Nykyisin useilla paikkakunnilla kou- yli 6 000 työntekijää. lun ja kodin välinen yhteydenpito on siirty- Suunnittelija Leila Vuori on Helsingin nyt verkkoon, ja sitä kutsutaan sähköiseksi yleissivistävien koulujen oppilashallintojär- reissuvihkoksi. jestelmien pääkäyttäjä. Hänen mukaansa Kodin ja koulun yhteistyöstä säädetään 36? laissa, ja tietotekniikka helpottaa ja moni- sähköinen reissuvihko on nopeuttanut ja tietosuoja 2 . Oppilaiden henkilötietojen käsittely pitää kuitenkin suunnitella ennen kuin se otetaan käyttöön, eikä tiedottamista saa unohtaa. Teksti Markku Summa Kuva Outi Mustonen E puolistaa yhteydenpitoa. Reissuvihko tietää oppilaasta paljon Sähköinen reissuvihko on digiajan koulussa kätevä työkalu. Sähköinen reissuvihko tuli markkinoille noin kymmenen vuotta sitten, ja Suomi kuuluu edelläkävijämaihin. Vuosittain sitä käyttää Helsin- ja vanhemmat kertoivat koululaisen poissa- gissä 65 000 opiskelijaa, 70 000 huoltajaa ja oloista. Nyt reissuvihkosta on käytössä useita sovelluksia. Ei tunnuksia ulkopuolisille nnen vanhaan koululaisen reppuun Helsingin lukioissa ja peruskouluissa sähköi- pakattiin ns. reissuvihko, johon opet- nen reissuvihko otettiin käyttöön vuosina taja kirjoitti viestejä oppilaan kotiin 2006?2007. 2013
Tämä oli signaali siitä, että koulusta saatu informaatio oppilaiden henkilötietojen käsittelystä ja reissuvihon käytöstä ei ole ollut riittävää. ?? Sähköistä reissuvihkoa hankittaessa on ensin pohdittava, mihin tarkoitukseen se tulee. Opetuksen järjestäjä vastaa resursoivat tarpeeksi käyttöönottoon ja hätäviestin kaikille yhdellä klikkauksella?, siitä, että kouluille annetaan tarpeellinen ylläpitoon. Vuori sanoo. ohjaus oppilaiden henkilötietojen käsitte- Sähköinen järjestelmä on lisännyt opettajien myönteistä palautetta. lystä ja rekisterinpidosta. ?Pääkäyttäjä tulee kouluttaa käyttämään sähköistä reissuvihkoa, ja hänelle pitää jär- ?Se vastaa myös rekisteriselosteen laa- jestää riittävät resurssit. O ulkopuolisille. Wilman on ?Kunnat itse päättävät, mitä tietoja kerätään ja mihin tarkoitukseen.. Kun näin on tehty, ?Joidenkin huoltajien mielipahan ai- timisesta ja siitä, että huoltajia ja oppilaita heena voi kuitenkin olla se, että eräät opet- informoidaan henkilötietojen käsittelystä Tapion mukaan Wilma hankitaan nykyi- tajat tekevät oppilaille liiankin yksityiskoh- sekä neuvotaan koulun sähköisten palvelui- sin yleensä koko kuntaan eikä vain yksittäi- taisia merkintöjä tuntien sujumisesta.? den käytössä?, Tamminen-Dahlman sanoo. siin oppilaitoksiin. Vuoren mukaan Helsingissä on panos- ongelmia on syntynyt vähän.? ?On kaikkien edun mukaista, että kunnan tettu paljon lain edellyttämään tietosuo- Ylläpito vaatii resursseja koulut ovat saman sähköisen tietojärjestel- jaan. Sähköisen reissuvihkon sovellusta Wilmaa män piirissä.? ?Esimerkiksi molemmilla huoltajilla on käyttää runsaat 3 000 oppilaitosta, ja sen pii- omat tunnuksensa, eikä tunnuksia anneta rissä on yli miljoona suomalaista. Viranomaistoiminnassa henkilötietojen käsittelyyn vaikuttaa myös julkisuuslaki. Tietosuojavaltuutetun opas voi osaltaan auttaa kuntia reissuvihkon hankinnassa. ?Kuluvan kevään aikana yhteydenotot ovat merkittävästi vähentyneet?, Tammitietosuoja 2 . Opas laadittiin vuosien mittaan sekä rekisterinpitäjiltä että huoltajilta tulleiden yleisempien kysymysten perusteella. Lisäksi palvelimet on suojattu hyvin.? Kaikki käyttäjät ohjeistettava Kunnissa sähköisen reissuvihkon käytöstä Reissuvihkon ostajan muistilista päättää yleensä opetuksen järjestämisestä vastaava toimielin. Huoltajat kyselivät, onko ?? jokin heidän lastaan koskeva merkintä asiaankuuluva. Oppilaiden henkilötietojen käsittely on suunniteltava etukäteen. Käsittelyyn vaikuttavat koululle opetustoimen lainsäädännössä säädetyt tehtävät. Koulussa voidaan kerätä vain sellaisia oppilasta koskevia tietoja, joiden tarpeellisuus pystytään perustelemaan oppilaan opetuksen järjestämisen kannalta. Kodin ja koulun yhteistyön päälinjat vahvistetaan opetuksen järjestäjän opetussuunnitelmassa Opetushallituksen perusopetuksen opetussuunnitelman perusteissa päättämien keskeisten periaatteiden mukaisesti. Henkilötietolaki ohjaa henkilötietojen käsittelyä yleislakina. Se on rekisterinpitäjänä ?? paljon vartijana. ?Olennaista on viedä lasten vanhemmille viestiä siitä, mikä väline sähköinen reissuvihko on ja miten sitä käytetään?, sanoo ylitarkastaja Anne Tamminen-Dahlman tieto- ?? suojavaltuutetun toimistosta. Tietosuojavaltuutettu julkaisi vuodenvaihteessa oppaan koulujen sähköisten reissuvihkojen käytöstä. aiheesta enemmän monipuolistanut koulun ja kodin välistä Tietosuojavaltuutetun opas: www.tietosuoja.fi/uploads/pyt86hz.pdf yhteydenpitoa. ?Huoltaja voi nähdä eri kouluissa olevien lastensa asiat yhden tunnuksen alta. Hän näkee myös lapsen luvattoman poissaolon heti ja voi reagoida siihen saman tien.? nen-Dahlman sanoo. laatinut vaasalainen StarSoft Oy, jossa kehi- Järjestelmässä opettaja voi lähettää ?Edelleenkin meille voi soittaa, mutta yhdellä kertaa oman opetusryhmänsä oppi- useimmiten ongelmiin löytyy vastaus ver- laille tiedotteen ja rehtori kysellä helposti kossa olevasta oppaasta.? huoltajien mielipidettä opetuksesta. tystyö aloitettiin vuonna 2002. Tuotekehityspäällikkö Jarto Tarpion mukaan järjestelmän onnistuneessa tuo- Tietosuojavaltuutetun opas on yleis- tantokäytössä olennaista on, että kunnat ?Lisäksi rehtori voi tarvittaessa lähettää luontoinen. 2013 37. Sen säännöksillä pyritään hyvän tietojenkäsittelytavan luomiseen
Lagus kuva shutterstock O mien laitteiden tuominen töihin on ilmiö, josta meillä on pitkään ollut vain vähän käytännön toteu- tuksia suurissa organisaatioissa. Mobiili tietoturva vaatii säännöt Omien laitteiden tuominen töihin pakottaa työpaikat tarkentamaan kännyköiden ja tablettien käytön pelisääntöjä. Teksti Antti J. Työntekijät haluavat käyttää töissä hyviksi havaitsemiaan matkapuhelimia ja tabletteja, joita markkinoilla on laaja kirjo erilaisilla käyttöjärjestelmillä varustettuina. Harmaan alueen käytännöt Vaikkei ilmiön kehittymisestä mitään tilastotietoa olekaan, tuntuu, että pienemmissä yrityksissä omien laitteiden käyttö on ollut yleistä aina: Sanotaan, että käy ostamassa itsellesi puhelin . 2013. Nyt sen sijaan kirjainlyhenteestä BYOD (bring your own device eli tuo oma laitteesi) on tullut iskusana suurissa työpaikoissa. Sen sijaan monessa suuressa organisaatiossa työntekijöiden toiveita saada valita puhelimensa itse on rajattu siten, että puhelinten hankinta vakioidaan tietynmallisiin laitteisiin. Viestintäviraston CERT-FI:n tietoturvaasiantuntijan Sauli Pahlmanin mukaan tie38? tietosuoja 2 . Enemmän on nähty sitä, ettei omia laitteita sallita. toss?on rahat
O tietosuoja 2 . TeliaSoneran tietoturva-asiantuntija omilla laitteilla ei ole erikseen kielletty. 2013 39. Älä unohda niitä esimerkiksi taksiin tai ravintolaan. Käytä kännykässä ja tabletissa alfanumeerista näppäimistösalasanaa ja, jos mahdollista, myös sisällön salakirjoitusominaisuutta. Lataa kännykkäsovelluksia vain kännyköiden ja käyttöjärjestelmäkauppiaiden omista kaupoista. Päällekirjoitusohjelmia on olemassa. nauhoittavat matkapuhelimella puhuttavat puhelut ja tallettavat nauhoitteet internetiin sovelluksen asentajan käytettäviksi. Jos hävinnyt puhelin palautuu esimerkiksi yrityksen vastaanottoon, siihen on syytä suhtautua varauksella ja varmuuden vuoksi tyhjentää puhelin ennen käyttöönottoa?, Pahlman sanoo. Hyvä keino estää puhelimen luvaton käyttö on käyttää puhelimessa suojakoodia. Muualla sovelluksiin voi sisältyä haittaohjelmia. Tuhoa käytöstä poistettavien kännykät tiedot oikeasti eikä vain niin, että kännykät on luultu tyhjennetyiksi. Lisäksi unohtuneessa känny- puhelin saattaa unohtua. Mobiileista uhista on teiden kirjo kasvaa koko ajan. Ennen laitteen kytkemistä organi- myötä sinne istutetun ohjelman, joka esimerkiksi lähettää kalliita tekstiviestejä tai kopioi koko laitteen sisällön ohjelmantekijälle. CERT-FI:n Sauli Pahlman huomauttaa, että eri käyttöjärjestelmien uudet versiot ovat varsin turvallisia, kunhan sovellukset saation tietojärjestelmään käyttäjän on muistaa ladata ns. Androidin, App- siitä, että työpuhelinten hankinnan rajaa- mobiilitietoturvalle hyvää yleisarvosanaa. len ja Windows Phonen . Tämä tosin koskee useimmiten suuria mobiilisuuteen liittyviä linjauksia?, Holm asiakkaiden tietoutta riskeistä, mutta kuten organisaatioita. Tämä johtuu Veli Holm ei sen sijaan anna yritysten töjärjestelmäperheen . mukaisia lait- misesta huolimatta yhteyttä sähköpostiin Se johtuu hänen mukaansa osin tietämättö- teita. Yrityksessä sähköpostiin. Jos kännykässä ei kässä ovat vaarassa tekstiviestit, kuvat ja muut tiedostot. ?On olemassa myös sovelluksia, jotka Työntekijän muistilista ?? ?? ?? ?? ?? Käytä kännykässä salasanaa Pidä huolta kännykästäsi ja tabletistasi. Strategiassa Kännykkä on tablettia suurempi riski velvoitteet?, Holm sanoo. pitäisi ottaa kantaa siihen, miten laitteita Kännykkää Pahlman pitää vielä tablettiakin hallitaan, millaisia sovelluksia niissä saa suurempana riskinä, sillä matkapuhelin kul- käyttää, ja kuka päättää niiden käytöstä. kee sinnekin, minne tablettia ei kuljeteta: Lisenssisopimus määrittää vastuut ravintolaan, matkoille ja muualle, minne Pahlman näkee, että tietoisuus mobiili- Ihminen on heikoin lenkki laitteiden tietoturvariskeistä on jo kohtuul- TeliaSoneralla on nähty, että mobiililait- ole käytössä suojausta, sillä pääsee helposti lisen hyvällä tasolla. Käyttäjä saattaa ladata tietämät- salauksia?, Pahlman sanoo. tään hyödylliseksi luulemansa sovelluksen Yrityskäytössä oleviin mobiililaitteisiin erikoistuneen Smartphone Solutions Oy:n toimitusjohtaja Veli Holm korostaa hallintaohjelman käyttöä. ?Kun omia laitteita käytetään, niissä pitää ottaa käyttöön organisaatioon hallintaoh- Mobiilistrategia linjaa laitteiden käytön töissä. jelma. Monessa puhelimessa on myös ominaisuus, joka ylikirjoittaa puhelimen muistin, kun suojakoodi on arvattu väärin liian monta kertaa. toturvapolitiikassa saattaa kuitenkin olla ollut niin paljon puhetta. on käytössä kaikkien kolmen suuren käyt- eräänlaisia harmaita sävyjä. Pahlman neuvoo, että suojakoodin pitää olla riittävän monimutkainen ja pitkä, jottei sitä heti arvata. valtuutetusta kaupasta. hyväksyttävä hallintaohjelman tarjoama ja Holmin mukaan esimerkiksi mobiilistra- organisaation määrittämä lisenssisopimus, tegia on tapa linjata laitteiden käyttösään- jossa tarkemmin täsmennetään vastuut ja nöt talon sisällä ja ulkomailla. Pk-yrityksissä käytäntö on sanoo. Soinio huomauttaa, ihminen on heikoin hajanaisempaa, eikä niissä ole pakotettuja lenkki. Näin myydestä ja osin huonosta resursoinnista. Osmo Soinio sanoo, että laitteissa käy- se on siis tavallaan sallittu. ?Mobiililaitteiden hankinnasta päättä- tetään aina perustietoturva-asetuksia, ?Kahden viime vuoden aikana alalla on vät monessa yrityksessä tietohallintoihmi- kuten suojakoodeja ja laitteen tietojen tapahtunut paljon muutoksia. Matkapuheli- set, jotka ovat ylityöllistettyjä ja aliresursoi- salausta. mia pyritään hallitsemaan etähallinnan kei- tuja. Yrityksillä ei myöskään välttämättä ole Teleoperaattori voi yrittää parantaa noin
Hakemuslomakkeen lisäksi lähetetään keksinnön sisältöön liittyvät asiakirjat. Patenttihakemukset suojassa tietovuodoilta Yritykset vartioivat visusti tuotekehittelynsä innovaatioita ja muita liikesalaisuuksiaan. Patenttihakemuksissa salat suojataan puolentoista vuoden ajan. Vain perustiedot julki Teksti Marianne Saine kuva jyrki vesa virasto. Siihen pääsee vain patentti- ja innovaatiolinjan könjohtaja Kristiina Grönlund sanoo. henkilöstö käyttäjätunnuksillaan ja salasanoillaan. Noin neljäsosa hakemuksista tulee yksi- lekirjoitusta ja varmen- tyisiltä keksijöiltä. teita. Hakemusprosessin tietovuodot on Prosessi on paljolti estetty hyvin suojatuilla IT-järjestelmillä ja osaavalla henki- kirjeenvaihtoa hakijan lökunnalla. ja viraston välillä. tutkiva patenttieikä keksinnöistä pyydetä lausuntoja ulkopuolisilta. Sisäinen tietosuoja 2 . 2013. Tavallisessa postissa vastaanottajan on todistettava Patenttihakemuksen käsittely on ensin tiukasti salaista ja suojattua, mutta määräajan jälkeen tiedot julkistetaan kokonaan, vaikka patenttia ei vielä olisi myönnetty. Tutkimustyön tekevät viraston 110 tutkijainsinööriä, Suurin osa patenttihakemuksista tehdään nykyään sähköisesti. Julkistaminen tapahtuu yleensä 18 kuukauden kuluttua hakemuksen saapumisesta. 40? Käsittelijät ovat olleet töissä virastossa jo vuosia. henkilöytensä. Tämä V vaikuttaa osaltaan siihen, ettei tietovuotoja pääse syntyiime vuonna Patentti- ja rekisterihallitukseen saa- mään missään tutkinta- pui 1 827 kansallista ja 1 358 kansainvälistä patent- prosessin vaiheissa. tihakemusta. Liiteasiakirjoja ei yleensä lähetetä viestienvaihdossa ennen hakemuksen julkituloa. Inhimillinen erehdys ainoa riski ?Koska tuotekehittely on salaista, kilpailijat eivät voi va- PRH:ssa patenttihakemuksia käsittelevät henkilöt ovat olleet rautua siihen, että tuotekehitystä tehdään samalla alueella. pitkään viraston palveluksessa, ja osaamista on kertynyt. Julkistaminen on ikään kuin varoitus miettiä, kannattaako Patenttikäsittelyn tietojärjestelmä toimii viraston sisäisessä omaa kehitystyötä jatkaa?, Patentti- ja innovaatiolinjan yksi- verkossa. Säh- Eniten patentteja hakevat perinteisen teollisuuden alat, köiseen viestinvaihtoon joilla on jatkuvaa tuotekehitystä. Niitä hakevat myös yliopis- käytetään sähköistä al- tot ja pk-yritykset. Hakemuksen saavuttua siitä julkistetaan vain patentin hakija, hakemusnumero ja saapumispäivämäärä. Patentti myönnetään vasta, kun on varmistettu, että hakemus ja keksintö täyttävät patenttilain vaatimukset. Suomen Patentti- ja rekisterihallitus on ns
Silloin järjestelmä siirtää patentin kaiken tiedon julkiseen rekisteriin. PRH:n järjestelmäasiantuntija Lauri Sandelin kuvaa julkistamisjärjestelmää lähes idioottivarmaksi. ?Järjestelmässä on vain yksi ainoa muuttuja eli päivämäärä, jolla automaattinen siirto julkiseen rekisteriin tehdään. Tähän ei ole yleensä tarpeen koskea.? Joissakin harvoissa tapauksissa julkistamispäivä syötetään käsin. ?Liki ainoa riski on se, että käyttäjä syöttäisi julkistamis- Tuotekehityksen suojaksi Patentilla sen haltija kieltää muilta keksintönsä ammattimaisen hyväksikäytön. Kielto-oikeus on voimassa niissä maissa, joissa patentti on haettu ja saatu. 2013 41. verkko on teknisesti hyvin suojattu ulkopuolisilta tunkeilijoilta. Tietojärjestelmä laskee patenttihakemuksen julkistamis- ?Patentoinnin perimmäinen tarkoitus on keksinnön julkistaminen?, Patentti- ja innovaatiolinjan yksikönjohtaja Kristiina Grönlund sanoo. päiväksi aina lain määrittämän 18 kuukautta hakemuksen saapumisesta. Tällaista vahinkoa ei kuitenkaan koskaan ole sattunut?, Sandelin sanoo. Patentti on voimassa yleensä korkeintaan 20 vuotta hakemuksen tekemispäivästä. päivän liian aikaiseksi. O tietosuoja 2
42? tietosuoja 2 . 2013
Sen potilas voisi päästä kotiin, jos sinne järjestet- sijaan kanssapotilaita ja muita sairaalassa täisiin kotiapua ja kotisairaanhoitaja. Lääkäri ja hoitaja Potilastoverit ja omaiset kuulolla airaalan miestenosastolla on meneilsaapuvat kolmen hengen potilas- Potilaan yksityisyyden kannalta riskialttiim- huoneeseen. Lääkäri kertoo potilaalle, että ?aika len. Muut telu ja lääkärinkierrot. taloudelliseen tilanteeseen liittyviä asioita tai kysellä päihteiden käytöstä. Riikka Lämsä havainnoi tutkimuksessaan, miten potilashuoneen muut potilaat käyttäytyivät, kun lääkäri seurueineen oli yhden potilaan vuoteen äärellä. ?He käyttäytyvät kuin eivät olisi paikalla, lukevat, järjestelevät tavaroitaan ja ovat tahallaan poissaolevan oloisia. Huhtikuussa tehokas ja nopea tapa järjestää potilaiden organisaatiossa, esimerkiksi kouluissa, vero- tarkastetussa väitöskirjassaan hän esittää tapaamiset ja hoitokeskustelut. Lääkäri astuu sängyn reunalla pia tilanteita sairaalassa ovat tulohaastat- istuvan noin 75-vuotiaan potilaan luo. Tietosuoja on tiukka, kun kyse on potilasasiakirjoista. Missä on silloin potilaan oikeus yksityisyyteen? Teksti Marianne Saine Kuva Maija Nyman S lään lääkärinkierto. 2013 Hän ei toki ehdota keskusteluaiheiden supistamista. 43. Potilas kävijöitä se ei koske. Potilaslaki ei ota kantaa siihen, onko kysyy heti, mitä se maksaa. Hoitaja arvelee, että terveyskeskuksessa tiedetään hinnat. Lääkäri kertoo, että sen kautta voi saada maksuapuakin. Haastattelussa käydään läpi monia muutakin henkilökuntaa aina osastoilla paljon on niitä lisälyöntejä sydämessä, nyt potilaan elämäntilanteen asioita?, Lämsä käyviä kampaajia ja pappeja myöten sitoo on lääkityksiä vaihdettu?. Hoitaja ojentaa potilaan kansion lää- ton käytävällä, kaikkien ohikulkijoiden kuul- osallistuvia lääkäreitä ja hoitajia, kuten kärille. Puhtaasti toimistoissa ja pankeissa?, Lämsä toteaa. parannuksia muun muassa potilaan yksi- lääketieteellisten asioiden lisäksi kierrolla tyisyydensuojaan. voidaan käsitellä potilaan perheeseen ja tietosuoja 2 . Lääkäri jatkaa, että kuvaa. vaitiolovelvollisuus potilaiden asioista. Lääkäri puhuu uusista lääkkeistä ja sanoo kirjoittavansa niistä reseptit. Lopuksi lääkäri toivottaa potilaalle hyvää Vaitiolovelvollisuus ei koske potilaita ja omaisia. suojattava tieto suullista vai kirjallista. Laki velvoittaa pitämään salassa potilasasiakirjoihin sisältyvät tiedot. Potilaat pinteessä Lääkärinkierroilla potilaan koko elämä saatetaan avata muiden potilaiden korviin. Tämä rakentaa sekä potilaalle että lääkärille osaltaan kahdenkeskisyyden illuusiota.? Vaitiolovelvoite koskee vain henkilöstöä potilaat näyttävät keskittyvän omiin touhui- ?Tulohaastattelu saatetaan tehdä osas- Tulohaastatteluihin ja lääkärinkiertoihin hinsa. Juridinen kehitystyö onkin kohdistunut kirjalliseen potilastietoon, kun sähköisen tie- jatkoa kädestä pitäen. donkäsittelyn kehittyminen on tarvinnut Terveyden ja hyvinvoinnin laitoksen eri- pelisääntöjä. koistutkija Riikka Lämsä vietti väitöskirjaa tehdessään pitkiä aikoja potilashuoneissa Lääkärinkierto potilashuoneissa on puo- ?Lääkärinkiertojen tietovuotojen mah- havainnoimassa, minkälaisiin tapahtumiin lestaan ikivanha käytäntö, joskin sinänsä dollisuutta ei sallittaisi missään muussa potilas sairaalassa törmää
2013. Voidaan tella privaatisti. O tietosuoja 2 . aiheesta enemmän Potilaskertomus . Paperikierto ei kor- ta, niin rutiininomainen asia se sairaalan laan hoito tapahtui paljolti potilashuoneissa. vaa tätä eikä ole kattavasti suositeltavaa?, arjessa on.. Vain Lämsä sanoo. Yksittäisen potilaan on liki mahdotonta ?Nykyään potilasta kuljetetaan paljon vaatia, että hänen asioistaan pitäisi keskus- muualle tutkimuksiin ja hoitoihin. Vastauksia saatiin kahdesta sairaanhoitopiiristä. Varsinais-Suomen sairaanhoitopiirissä sairaaloiden käytännöissä on eroja. Tietohallintoylilääkäri Pirkko Kortekangas sanoo, että vanhanmallisella osastokierrolla yksityisyydensuojaa ei voida taata. ?Mutta osassa näistä varsinainen asioiden käsittely tehdään ns. Etnografia potiluudesta sairaalaosaston käytännöissä www.julkari.fi/handle/10024/104408 ?On ymmärrettävää ja tärkeää, että esimerkiksi potilaan toimintakykyä kotona Riikka Lämsä esittää, että potilas tapaisi lääkärin erillisessä huoneessa. kysellään ja talousasiatkin tulevat esille. Siellä lääkärikierron aikana potilastoverit kuuntelevat kuulokkeilla musiikkia. Tampereen yliopistollisen sairaalan gastroenterologian osastolla on kokeiltu lääkärinkierron korvaamista käynnillä kansliassa. Henkilö ottaa sairaalassa Potilailla pitäisi olla mahdollisuus itse vai- hyvin ajatella, että myös tiedollisen yksityi- pikemminkin hyvän potilaan roolin kuin kuttaa siihen, mitä tietoja hän haluaa käsi- syyden vaatimukset voisivat edellyttää poti- hankalan, joka vaatii jotakin ylimääräistä. tellä muiden potilaiden kuullen. laan siirtymistä yksityiseen tilaan.? paikka niiden käsittelyyn on väärä.? ?Yksittäisillä henkilökunnan jäsenillä, lää- ?Nykyään potilaalta pyydetään suostu- ?Jos potilas ei voi liikkua sängystään, jois- kärillä tai muulla, on myös hankalaa muut- muslomake siitä, minne kirjallisia potilas- sakin sairaaloissa kanssapotilaille tarjotaan taa sairaalan käytäntöjä. Jos lääkäri haluaa tietoja voidaan lähettää. Huonokuntoisten potilaiden yksityisyyttä on perinteisillä lääkärinkierroilla parannettu käyttämällä vuoteen ympärillä suojana verhoa. ?Olemme havainneet, että osastoilla on paljon eroja käytännöissä, ja myös siinä, kuinka potilaat voivat kuntonsa puolesta asioida oman potilashuoneen ulkopuolella?, viestintäpäällikkö Elina Kinnunen sanoo. On tärkeää, että musiikkikuulokkeita lääkärinkierron ajaksi. tavata potilaat eri huoneessa, osaston aika- lupa pyydettäisiin myös suulliseen tiedon Erilaisia käytäntöjä on siis jo nyt ja, niitä voi taulu voi mennä sekaisin. O Yksityisyys on arka asia Tietosuoja kysyi seitsemältä sairaanhoitopiiriltä, miten niissä otetaan potilaiden yksityisyys huomioon sairaalan tulohaastatteluissa ja lääkärinkierroilla. Silloin potilaskin voi telleeksi lääkärinkiertojen tietosuoja-asioi- Lääkärinkierto on jäänne ajoilta, jolloin poti- saada tietoa lääkäriltä. Tarvitaan siis jakamiseen. paperikierrolla, jolloin vain välttämättömät asiat käsitellään kasvokkain ja vuoteen ääressä.? Osastokiertoja tehdään myös kutsumalla potilas lääkärin kansliaan. ?Siinä edellytyksenä tietysti on kohtalaisen hyväkuntoinen potilas.? Tulohaastatteluja ei pidetä vuoteen ääressä vaan kansliassa. 44? ?Uudessa yhteispäivystyksessä on pyritty saamaan tulotilanne yksityisemmäksi siten, että tulohaastattelu tehdään eriössä?, Kortekangas sanoo. Pirkanmaan sairaanhoitopiirissä on kokeiltu uusia käytäntöjä erityisesti synnytysosastolla. Jos potilas tähän aktiivisesti kehittää, jos yksityisyyteen halutaan kiinnit- isompaa ja laajempaa keskustelua tilanteen suostuu, tilanne lääkärinkierroillakin voi tää huomiota.? muuttamiseksi?, Lämsä toteaa. olla ok.? Niin kutsuttuja paperikiertojakin sairaa- Eri huone ja potilaan suostumus loissa tehdään. Hän on työskennellyt aiemmin sairaanhoitajana. ?Potilaan ja lääkärin kohtaaminen on ?Työssä ollessani en tullut lainkaan aja- kuitenkin tärkeä asia
He ymmärtävät, että esimerkiksi sosiaalisessa mediassa on kyse vaihtokaupasta: kun annan tietoni, saan vastineeksi hyviä sovelluksia. antero aaltonen Kolmekymppinen Reed nimittää suhtautumistapaa post-yksityisyydeksi. ?Se ei tarkoita, ettei ihminen haluaisi lainkaan yksityisyyttä. Näin kävi Ars Technican testissä. Lehden toimittaja onnistui murtamaan miltei puolet 16 000 testatusta salasanasta. Saksalaisen Die Zeit -lehden haastattelema Reed sanoo, että nuorten asennoituminen on yhdistelmä välinpitämättömyyttä ja käytännöllisyyttä. Aikaa tähän meni muutama tunti. Mutta nuoria ei yllätä se, että Facebook myy heidän tietojaan.? Ruotsin puolustusvoimien radiolaitos FRA on rakentanut oman tunkeutumisen havainto- ja varoitusjärjestelmän (Tekniskt detekterings- och varningssystem TDV) torjumaan viranomaisiin kohdistettuja tietomurtoja. Ruotsalainen Ny Teknik -lehti kertoo, että järjestelmän toiminta perustuu muun muassa signaalitiedustelusta kerättyyn dataan. FRA voi seurata järjestelmällä myös maan sisäistä viestiliikennettä, kun signaalitiedustelussa se saa seurata vain rajat ylittävää liikennettä. FRA on testannut järjestelmää yhden viranomaisen kanssa. Samat ominaisuudet kääntyivät testissä algoritmin tappioksi, koska tiivisteet saatiin myös nopeasti auki. shutterstock FRA seuraa viestiliikennettä entistä laajemmin 45. Se on rakennettu toimimaan nopeasti ja tietokoneen kapasiteettia säästäen. Kuitenkin myös satunnaisia kirjaimia, erikoismerkkejä ja numeroita sisältäneiden salasanojen muuttaminen selkokielisiksi sujui ripeästi. Testissä käytetyistä salasanoista oli luotu tiivisteet MD5algoritmilla. Testiin osallistuneet ammattilaiset onnistuivat murtamaan salasanoista jopa 90 prosenttia yhdessä tunnissa. Osa salasanoista paljastui selkokielisinä äärimmäisen yksinkertaisiksi, ja odotetusti ne saatiin murrettua kätevästi. Selailtua Nuorilta hyvästit tietosuojalle Nuorille tietosuoja ja yksityisyys eivät ole enää yhtä tärkeitä kuin vanhemmille, tietosuojaan hyvinkin tiukasti suhtautuville sukupolville. Tätä mieltä on presidentti Obaman vaalikampanjan teknologiajohtajana toiminut Harper Reed. Ennen laajempia kokeiluja tietosuoja- ja valvontaviranomaiset selvittävät järjestelmän lainmukaisuuden. tietosuoja 2 . 2013 Vahvakin salasana voidaan murtaa hetkessä Kohtuullisen vahva salasana saadaan murrettua selkokieliseksi tekstiksi hetkessä, eikä siihen tarvita edes suurta asiantuntemusta
syyskuuta Mobiilisovellusten tietosuoja: Kenellä on tietosi? 46? shutterstock Omien tietojen tarkastusoikeus . taakka vai tuki rekisterinpitäjälle tietosuoja 2 . 2013 ilmestyy 27. Risuja, ruusuja, kysymyksiä sekä juttuvinkkejä voit antaa toimitukselle sähköpostitse: info@tietosuoja-lehti.fi puhelimitse: 044 310 0093 verkkolehden lomakkeella: www.tietosuoja-lehti.fi -> Palaute Ensi numerossa Muun muassa nämä aiheet ovat esillä seuraavassa Tietosuojassa: Tilauskortti Teollisuusjärjestelmien tietoturva Stuxnetin jälkeen Tietosuoja 3 . kyllä vai ei? Verkossa on myös koko painetun lehden sisältö. Koko lehteä pääsee lukemaan netissä rekisteröitymällä verkkolehden käyttäjäksi lehden takakannen osoiteantero aaltonen kentässä olevan tilausnumeron avulla. www.tietosuoja-lehti.fi Risuja ja ruusuja 3 . 2013. tietosuoja-lehti.fi Lue lisää verkkolehdestä Tietosuojan verkkolehdessä on myös asiaa, jota et voi lukea painetusta lehdestä: Verkkorikollisuus haastaa poliisin Lue, miksi poliisi haluaisi oikeuden toimia verkossa anonyymisti ja miten tietojärjestelmäuudistus tehostaa tietoverkkorikosten tutkintaa. Positiiviset luottotiedot . 2013 Kerro mielipiteesi uudistetusta Tietosuoja-lehdestä, jotta voimme kehittää lehteä lukijoiden toivomaan suuntaan
Jos tilaaja irtisanoo kestotilauksensa tilausjakson alkamisen jälkeen, hän on velvollinen maksamaan irtisanomisen voimaantuloon saakka lähetetyt lehdet. Jos laskutusjakso tai mak-sueriä on maksettu ennen irtisanomisen voimaantuloa, tilaus päätetään maksetun jakson loppuun. Osoitetietoja käytetään ainoastaan kustantajan Stellatum Oy:n omassa toiminnassa. Tilaushinnat ulkomailla 2013 Laskutusväli 12 kuukautta Skandinavian ja Baltian maat 61,10 euroa, sisältää arvonlisäveroa 10 % Muu Eurooppa 63,80 euroa, sisältää arvonlisäveroa 10 % Muut maanosat 62 euroa, arvonlisävero 0 % Asiakasrekisteri Rekisterikuvaus ja -seloste ovat nähtävissä kustantajan Stellatum Oy:n tiloissa Purotie 1 B, 00380 Helsinki. Yhteydenotot tulee tehdä kirjallisina ja allekirjoitettuina em. Tilauksen hinta on tilausjakson alussa voimassa oleva hinta, joka on painettu lehteen. Kestotilauksena tilattu lehti toimitetaan tilaajalle tilausjakso kerrallaan ilman eri uudistusta, kunnes tilaaja joko muuttaa sen määräaikaiseksi tai irtisanoo tilauksen. Kestotilauksen voi irtisanoa ennen uuden tilausjakson alkua. 2013 47. Tilaukset ja osoitteenmuutokset Osoitteenmuutosta tehdessäsi muista ilmoittaa lehden nimi. Tilaajapalvelu/Tietosuoja PL 115 30101 Forssa puhelin 03 4246 5301 faksi 03 4246 5341 tilaajapalvelu@stellatum.fi www.stellatum.fi Tilaushinnat Suomessa 2013 Hinnat sisältävät arvonlisäveroa 10 % Kestotilaus (laskutusväli 12 kuukautta) 55 euroa Määräaikainen (kesto 12 kuukautta) 58,30 euroa Irtonumero 15 euroa Tietosuoja ilmestyy neljä kertaa vuodessa Tilausehdot Hinnat ovat voimassa vuonna 2013 Suomeen tehtyihin tilauksiin. Tilaaja voi kieltää tietojensa käytön markkinointitarkoituksiin ja markkinatutkimuksiin ilmoittamalla asiasta tilaajapalveluun. tietosuoja 21 ?. osoitteeseen tai henkilökohtaisesti rekisterinpitäjän luona. Tilaajan tietoja käytetään asiakassuhteen ylläpitoon ja hoitoon