Tietosuoja 3/2011 - Lehtiluukku.fi

Haluatko ostaa tämän lehden?

Vaikuttaako lehti kiinnostavalta? Voit lukea koko lehden valitsemalla "Lisää ostoskoriin". Mukavia lukuhetkiä!

Olet esikatselutilassa. Lue koko lehti

tietoturvan Ja tietosuoJan erikoisleHti 3/2011 | 14 e tuo tiedoille turvaa Standardi Henkilöstöarvioinnit evästeet Julkinen Hallinto verkkokauppa tietomurrot
44 myös erityisistä tietoturvaloukkauksista eikä vain niiden uhkista. s. s. 21 Teleyrityksen pitää nyt kertoa asiakkailleen 32 perusrekistereillä tehokkuutta ja tietosuojaa 34 sosiaalihuollon tietosuojassa edistystä Työelämän TieTosuoja Henkilöstöarvioinnit yleistyvät, pysyykö tietosuoja mukana. sisällys 3 pääkirjoitus 4 syynissä netissä 3/2011 maiJa vuorela 8 eri mieltä evästeistä Teema: TieToTurvasTandardiT 10 standardinmukaista turvaa 12 selkoa standardiviidakkoon 14 kortin suojaksi 18 tehokas mutta raskas standardi 20 myyjä ei näe kortin tietoja 21 teleasiakkaalle enemmän tietoa 25 suojaudu netissä 26 ei aivan tavallinen tarina 28 perustaso jokaiselle 31 lukuvinkki Profiili: PerusTieTovaranTojaosTo mitä hotelli tietää asiakkaistaan. 45 kolumni 46 lyhyesti on tavallista vakavammat vaikutukset. s. s. 36 36 tutkassa työpaikalla 40 Julkinen tietohallinto yhtenäistyy 42 uusi laki vahvistaa oikeushallinnon tietosuojaa 44 miten on. 26 tutustu verkkolehteen! www.tietosuoja-lehti.fi kannen kuva: eric leraillez 2 TieTosuoja 3/2011 images.com/corbis/skoY Tietoturvayhtiö rsa:n tietomurrolla
Mökin mummon asema paranee. Jos laskutusjakso tai maksueriä on maksettu ennen irtisanomisen voimaantuloa, tilaus päätetään maksetun jakson loppuun. Onko siis niin, että kuluttajien taloudellisia tietoja ymmärretään suojata mutta arkaluontoisia terveystietoja ei. 09 682 0400, Faksi 09 682 1515 tilausHinnat suomessa 2011 kestotilaus 49 euroa (laskutusväli 12 kuukautta). Luottotietoyhtiö on luonut asiakkailleen salattuun yhteyteen perustuvan asiointikanavan. tilauksen hinta on tilausjakson alussa voimassa oleva hinta, joka on painettu lehteen. Valmisteilla olevaan EU:n uuteen tietosuojasäännökseen ollaan sisällyttämässä käsitettä "Privacy by Default". Sen perustelujen mukaan "sähköiseen viestintään käytettävissä olevat tekniikat ja palvelut tekevät helposti mahdolliseksi viestinnän ohjautumisen muulle kuin vastaanottajalle vähäisenkin teknisen vian tai virheen vuoksi." Hiljattain Verohallinto tiedotti, ettei se kysele salassa pidettäviä tietoja sähköpostilla. Eiköhän oikeusasiamieskin ratkaisussaan tarkoittanut, että terveydenhoitoalalla sähköisen asiointi on sallittua, kunhan se tehdään oikein. Yhteydenotot tulee tehdä kirjallisina ja allekirjoitettuina em. tilaajan tietoja käytetään asiakassuhteen ylläpitoon ja hoitoon. vuosikerta | issn 0786-5767 painopaikka Hämeen kirjapaino oy säHköinen leHti www.tietosuoja-lehti.fi 3/2011 JYrki vesa o Miten voin vapautua tietosuojasta? tsikko on lainaus kansanedustaja Osmo Soininvaaran blogista. Tietosuojan kannalta asiassa ei ole suurempaa ongelmaa; terveydenhuollon yksiköillä on kiistatta laissa tarkoitettu asiallinen peruste käsitellä potilaitaan koskevia henkilötietoja. Hyvät lukijat, herättäisikö teidän luottamustanne, jos terveyskeskuksenne lähettäisi terveystietojanne teille postikortilla. kestotilauksena tilattu lehti toimitetaan tilaajalle tilausjakso kerrallaan ilman eri uudistusta, kunnes tilaaja joko muuttaa sen määräaikaiseksi tai irtisanoo tilauksen. 0440 235 939 bouser oy, Jukka tiainen, jukka.tiainen@bouser.fi puh. kestotilauksen voi irtisanoa ennen uuden tilausjakson alkua. Käsitykseni on, että oikeusasiamiehen ratkaisu avaa oikein ymmärrettynä mahdollisuuksia kehittyä ja kehittää. osoitteeseen tai henkilökohtaisesti rekisterinpitäjän luona. Tässä yhteydessä on syytä huomata, että joskus suojaamatonta sähköpostia on verrattu avoimeen postikorttiin. Eri asia siis on, tapahtuuko se salassapitosäännöksiä noudattaen ja tietoturvallisesti. Reijo Aarnio tietosuojavaltuutettu asiakasrekisteri rekisterikuvaus ja -seloste ovat nähtävissä stellatum oy:n tiloissa purotie 1 b, 00380 Helsinki. Jos tilaaja irtisanoo kestotilauksensa tilausjakson alkamisen jälkeen, on hän velvollinen maksamaan irtisanomisen voimaantuloon saakka lähetetyt lehdet. Kaikille näille tahoille asiakkaan luottamus on tärkeää, ja ne ovat osanneet hyödyntää nykytekniikkaa vieläpä joustavin yhteyksin. osoitetietoja käytetään ainoastaan stellatum oy:n omassa toiminnassa. Huolestuttavaa on, ettemme näytä oikein osaavan tunnistaa uuden teknologian mahdollisuuksia. Se on mielestäni paluuta kivikaudelle. Pankit lähes mantran kaltaisesti ohjaavat asiakkaansa asioimaan turvallisen ja tunnistetun yhteyden välityksellä. 23. pääkirjoitus tietoturvan Ja tietosuoJan erikoisleHti sYYskuu 2011 JulkaisiJat tietosuojavaltuutetun toimisto tietosuojalautakunta viestintävirasto päätoimittaJa Hanna tamminen, viestintävirasto hanna.tamminen@ficora.fi toimituspäällikkö eija kara, tietosuojavaltuutetun toimisto eija.kara@om.fi toimitussiHteeri päivi männikkö, stellatum oy paivi.mannikko@stellatum.fi ulkoasu tarja salonen, sininen arkki oy tarja.salonen@sininenarkki.fi toimitusneuvosto reijo aarnio, tietosuojavaltuutettu, pj. tilaaja voi kieltää tietojensa käytön markkinointitarkoituksiin ja markkinatutkimuksiin ilmoittamalla asiasta tilaajapalveluun. ti etoturva n J a t i e to s u o Ja n e r i koi s l e Ht i 3/2011 TieTosuoja 3. määräaikaistilaus 52 euroa (kesto 12 kuukautta). Ensinnäkin sen, että tietoturvasta, salassapidosta ja tietosuojasta viestiminen on kovin vaikeaa. lehti ilmestyy neljästi vuodessa. seuraava numero ilmestyy 14.12.2011. On totisinta totta, että sähköisen viestinnän tietosuojalaki suojaa myös sähköposteja. Lakiin on kuitenkin varta vasten otettu erityinen vaitiolovelvollisuutta ja hyväksikäyttökieltoa koskeva pykälä. tilaajapalvelu/tietosuoja,pl 115, 30101 Forssa puhelin 03 4246 5301, Faksi 03 4246 5341 tilaajapalvelu@stellatum.fi www.stellatum.fi ilmoitusmarkkinointi Ja -varaukset Ds & m marketing oy, Deeli kentala deeli.kentala@dsm.fi, puh. Sen mukaan vastuuta turvallisista asiakasratkaisuista siirretään entistä enemmän palveluntarjoajille. Kirjoittaja moittii eduskunnan oikeusasiamiehen tekemää ratkaisua, jonka mukaan terveydenhuollon yksiköiden ei tule käyttää terveystietojen lähettämiseen sähköpostia. Eräs IT-guruistamme puolestaan kuvasi ratkaisua lähinnä paluuksi kivikauteen. Hänen painavin argumenttinsa oli, että lainsäädäntö suojaa riittävästi myös sähköpostia. | Jukka ihanus, toimitusjohtaja, stellatum oy | eija kara, ylitarkastaja, tietosuojavaltuutetun toimisto | anna lauttamuskauppila, viestintäjohtaja, prH | timo lehtimäki, johtaja, viestintävirasto | nora elers, viestintäjohtaja, Ficom ry | anu talus, eu-asiantuntija, tietosuojalautakunta | eila ratasvuori, hallintojohtaja, Helsingin kaupunki | ahti saarenpää, professori, lapin yliopisto | Hanna tamminen, viestintäjohtaja, viestintävirasto toimituskunta tietosuojavaltuutetun toimisto: eija kara, ylitarkastaja | lauri karppinen, it-erityisasiantuntija | viestintävirasto: ari Husa, tietoturva-asiantuntija | pertti Hölttä, yksikön päällikkö | Hanna tamminen, viestintäjohtaja | Heli alanko, koordinaattori | stellatum oy: päivi männikkö, toimitussihteeri kustantaJa stellatum oy, purotie 1 b, 00380 Helsinki tilaukset Ja osoitteenmuutokset osoitteenmuutosta tehdessäsi muista ilmoittaa lehden nimi. Vastaavasti päätöksiä on niin helppo ymmärtää väärin. Mitä tästä opimme. irtonumero 14 euroa. Hinnat ovat voimassa vuonna 2011 suomeen tehtyihin tilauksiin
Henkilötietolain näkökulmasta kyse voi olla kahdesta tapauksesta, sanoo IT-erityisasiantuntija Lauri Karppinen tietosuojavaltuutetun toimistosta: "Kyseessä on joko toimeksiannosta tapahtuva käyttäjän suostumus tarvitaan Henkilötietolaki velvoittaa verkkosivun ylläpitäjää kertomaan käyttäjälle henkilötietojen keräämisestä ja käsittelystä. Samalla eväste tallentaa IP-osoitteen myös useimmiten käyttäjän tietämättä kävijäseurantaa tarjoavalle yhtiölle. Käyttäjän tietokoneen IPosoite tallentuu sen verkkosivuston palvelimelle, jolla hän asioi. "Käyttäjätietojen tallentaminen on sallittua silloin, kun henkilö antaa siihen asianmukaisen suostumuksen, eli henkilölle on riittävän selkeästi kerrottu, kuka tietoja kerää ja mihin tarkoitukseen, ja mihin tietoja mahdollisesti luovutetaan", korostaa asianajaja Eija Warma asianajotoimisto Castrén & Snellmanilta. t ietot urvan J a t ietosuoJ an erikoisl eHti. Syynissä netissä netinkäyttäjän on vaikeaa välttää verkkosivujen kävijäseurantaa. Teksti: Kirsi Castrén | Kuvitus: Maija Vuorela K 4 TieTosuoja 3/2011 ävijäseurantapalveluja käyttävät monet yritykset ja viranomaisetkin, jotka haluavat tietää, mikä heidän verkkopalveluissaan kiinnostaa vierailijoita eniten. henkilötietojen käsittely verkkosivuston ylläpitäjän puolesta, eli toiminnon ulkoistus, tai sitten henkilötietojen luovutus ulkopuoliselle taholle, mille pitää löytyä henkilötietolain mukaiset perusteet." Kävijäseurantaa toteutetaan käytännössä eväs- teillä eli verkkopalvelun käyttäjän tietokoneelle tallentuvilla tekstitiedostoilla
" Jos evästeet kytkee kokonaan pois, suuri osa sivustoista lakkaa toimimasta oikein. ti etoturva n J a t i e to s u o Ja n e r i koi s l e Ht i 3/2011 TieTosuoja 5
"Ongelmana kuitenkin on, että kun Analytics on yleensä asennettu toimimaan jo palvelun etusivulla, ehtivät käyttäjän tiedot tallentua ennen kuin hän pääsee tutustumaan tietosuojaselosteeseen", tietosuojavaltuutetun toimiston Lauri Karppinen huomauttaa. "Kaikki eivät osaa tai kykene käyttämään evästeiden hallinta-asetuksia, jotka ovat eri selaimissa hyvinkin erilaiset. Suomen lainsäädäntöön direktiivi pantiin täytäntöön viime toukokuussa siten, että pätevä suostumus voidaan antaa selainasetuksissa. selainasetuksia usein vaikea muuttaa Karppinen suhtautuu epäilevästi tavallisen käyttäjän todellisiin mahdollisuuksiin suojata henkilötietojaan selainasetuksia vaihtamalla. Monilla työpaikoilla ja julkisessa käytössä olevilla koneilla eivät ylläpitäjän asettamat rajoitukset salli selainasetusten muuttamista. Henkilötietojen siirto EU:n ulkopuolelle edellyttää käyttäjän suostumusta tai jotakin henkilötietolaissa luetelluista tiedonsiirtomenettelyistä. Monen yrityksen verkkosivuilla on tietosuojaseloste, jossa kerrotaan Analyticsin käytöstä ja mahdollisuudesta estää tietojensa tallentuminen selainasetuksia muuttamalla. Jos kytket evästeet kokonaan pois, suuri osa verkkosivustoista lakkaa toimimasta oikein." Seurantapalvelun käytöstä kertovat yritykset harvoin liittävät tietosuojaselosteeseensa linkkiä palveluun. Mobiililaitteissa ei välttämättä voi muokata asetuksia lainkaan. seuranta alkaa etusivulta Tunnetuin kävijäseurantapalvelu on hakukonejätti Googlen Analytics. Käyttäjällä ei siis ole tosiasiallista mahdollisuutta kieltäytyä seurannasta. kusteltu paljon siitä, millainen suostumus on asianmukainen. Vielä harvempi opastaa selainasetusten muuttamisessa. Warman mukaan viime aikoina on kes- " Käyttäjän tiedot ehtivät usein tallentua ennen kuin hän tutustuu tietosuojaselosteeseen. sivustojen kävijätietoja myös omien palvelujensa kehittämiseen. Google ilmoittaa sivuillaan käyttävänsä muiden käyttäjätiedot maailmalla? Ylikansallisten verkkopalveluyhtiöiden palvelimet ovat usein niin sanottuja pilvipalvelimia, joihin talletettujen tietojen sijainti voi vaihdella maasta toiseen. EU:n sähköisen viestinnän tietosuojadirektiivi vaatii verkkopalvelun tarjoajaa jatkossa pyytämään käyttäjältä erikseen luvan evästeiden asentamiseen koneelle (aiheesta lisää sivuilla 8-9). "Google velvoittaa Analyticsin tilaajan kertomaan kävijälle avoimesti palvelun käytöstä tietosuojaselosteessaan," painottaa Pohjoismaissa Googlea edustavan Google Denmarkin tiedotuspäällikkö Christine Sørensen. Oikeustapauksia Googlen tai muiden kävijäseurantapalveluja tarjoavien yritysten keräämiin henkilötietoihin liittyen ei ainakaan Suomesta vielä ole. 6 TieTosuoja 3/2011 t ietot urvan J a t ietosuoJ an erikoisl eHti
googlea ei näin ollen saatu oikeudelliseen vastuuseen. Julkisilta alueilta otettujen, tunnistettavia henkilöitä esittävien kuvien julkaisu katunäkymäpalvelussa edellyttää nykyisin suomessa tietosuojalautakunnan lupaa. Alun perin Google, kuten muutkin suuret kansainväliset verkkopalveluyhtiöt, piti kiinni tulkinnasta, jonka mukaan IP-osoite ei ole henkilötieto. ti etoturva n J a t i e to s u o Ja n e r i koi s l e Ht i 3/2011 TieTosuoja 7. Ylläpitäjä vastaa kävijätietojen luovutuksesta Google on sitoutunut EU:n tietosuojaperiaatteisiin Safe harbor -sopimuksella. Tietosuojavaltuutetun toimistossa ei Karppisen mukaan ole toistaiseksi paljoakaan tietoa siitä, miten Analytics-palvelun tilaajat ovat käyttäneet toimeksiantosopimuksissaan hyväkseen Googlen tarjoamia vaihtoehtoja. myöskään julkaisupäätöksen tekijää ei pystytty jäljittämään. EU:n tietosuojaviranomaisten näkemyksen mukaan myös paikalliset säännöt tulevat sovellettaviksi." sa. Nykyisin Google myös karkeistaa kävijöiden IPosoitteet, mikäli tilaaja niin haluaa. sørensen ei täsmennä, miten raahen tapauksen kaltaiset vahingot aiotaan jatkossa välttää. "Ylikansalliset yhtiöt vetoavat usein siihen, että heidän kotipaikkansa on Yhdysvalloissa ja näin ollen ne ovat velvollisia noudattamaan ainoastaan kotipaikkansa lainsäädäntöä. EU:n tietosuojavaltuutetut näkivät asian toisin. vaikka kadulta on suomessa laillista katsoa yksityiselle pihalle ilman asukkaan lupaa, täyttyvät salakatselun tunnusmerkit, mikäli apuna käytetään teknistä välinettä, kuten kameraa. raahen tapauksessa teolle ei löytynyt vastuullista henkilöä, koska kuvat oli ottanut kuvausauton katolle asennettu kamera-automaatti. edellytyksenä on muun muassa, että ihmisten ja ajoneuvojen kuvia muokataan siten, ettei asianomaisia voida niistä tunnistaa. google Denmarkin tiedotuspäällikkö Christine sørensen toteaa saman, mikä on luettavissa palvelun verkkosivuiltakin: "palvelussa on vain julkisilta alueilta otettuja kuvia, jotka eivät eroa siitä, mitä kuka tahansa kadulla kävelijä voi nähdä." poliisi tutki helmikuussa 2010 raahessa tapausta, jossa googlen kamera-auto oli kuvannut kotipihallaan alasti oleskelleen miehen. vastaava lupa annettiin aiemmin Fonectalle. google on alkanut elokuussa kerätä katunäkymäpalveluunsa uutta kuvamateriaalia suomesta. "suhtaudumme yksityisyydensuojaan hyvin vakavasti ja noudatamme palvelussamme sen maan lakeja, jossa kuvat on otettu", sørensen vakuuttaa. lautakunta myönsi elokuussa googlelle luvan henkilötietojen käsittelyyn katukuvapalvelussaan. "Näihin tarttuminen on varsin hankalaa", Eija Warma toteaa. Analytics-palvelun tilaajalla on mahdollisuus sopia Googlen kanssa, ettei tietoja luovuteta Googlen omaan käyttöön. Se ei ole kuitenkaan riittänyt estämään yhtiön kiistoja EU:n tietosuojaviranomaisten kans- Kamera-automaatti tallentaa kuvasi GooGlen ja muiden yhtiöiden katunäkymäpalvelut ovat herättäneet pelkoa yksityisyyden loukkauksista meillä ja muualla. tietosuojavaltuutettu on saanut googlen palvelusta lukuisia yhteydenottoja yksityisyydestään huolestuneilta suomalaisilta. omien kasvojen, kodin tai auton joutuminen nettiin katseltavaksi mietityttää. kuva oli julkaistu osittain sumennettuna
Toistuvien käyntien perusteella palveluntarjoaja pystyy kokoamaan käyttäjäprofiilin, jota hyödynnetään mainonnan kohdentamiseen. eri mieltä evästeistä m ainostajat haluavat tietää, millä verkkosivustoilla kuluttajat käyvät. Lainmuutoksen mukaan verkkopalvelun tarjoajalla pitää olla käyttäjän suostumus evästeiden tallentamiseen käyttäjän laitteelle ja evästetietojen käyttöön. Evästeet, käyttäjän tietokoneelle talletettavat tekstitiedostot, keräävät tietoa käyttäjän liikkeistä ja välittävät ne palveluntarjoajalle. Sähköisen viestinnän tietosuojadirektiiviin tehdyn muutoksen mukaan evästeiden käyttöön pitää olla netinkäyttäjän suostumus. Direktiivin muutokset saatettiin Suomessa voimaan sähköisen viestinnän tietosuojalaissa tämän vuoden toukokuussa. Evästeiden käytön pelisääntöjä muutettiin EU:ssa eu-mailla on erilaisia tulkintoja siitä, pitääkö verkkopalvelun tarjoajan pyytää netinkäyttäjältä etukäteen suostumus evästeiden käyttöön. Teksti: Eija Warma | Kuva: Photodisc kaksi vuotta sitten. Tallentamisen tai käytön tarkoituksesta on " 8 TieTosuoja 3/2011 Direktiivin mukaan evästeiden käyttöön pitää pyytää käyttäjän suostumus. t ietot urvan J a t ietosuoJ an erikoisl eHti
Toiset taas vaativat, että käyttäjältä hankitaan nimenomainen suostumus (opt-in). Käytännössä käyttäjältä tulee pyytää suostumus etukäteen. Direktiivin kansallinen täytäntöönpano on herättänyt paljon keskustelua muun muassa Isossa-Britanniassa. Velvoitteita sovelletaan siihen tahoon, joka asettaa evästeitä ja/tai noutaa käyttäjien laitteille tallennettuja evästeiden tietoja. suostumuksesta monta määritelmää Suomen lisäksi ainoastaan muutama jäsenvaltio on saattanut muutokset osaksi kansallista lainsäädäntöä ajoissa. Joissakin maissa on katsottu riittäväksi, että käyttäjällä on mahdollisuus itse säännellä evästeiden käyttöä. Lausunnossa todetaan, että kertasuostumus, joka koskisi kaikkea tulevaa tietojenkäsittelyä olosuhteita tuntematta, ei voi olla pätevä. Näin ollen selaimen kautta annettava suostumus ei voi tietosuojatyöryhmän mu- kaan olla pätevä ennen kuin muun muassa nämä ongelmat saadaan ratkaistua. Ongelmallista on myös se, kuinka kauan suostumus on voimassa, jos käyttäjä ei tiedä mahdollisesti lainkaan evästeiden käytöstä tai tarkoituksista. Suomessa on lähdetty siitä, että käyttäjille täytyy kertoa asianmukaisesti evästeiden käytöstä mutta on riittävää, että käyttäjä itse sääntelee evästeiden käyttöä verkkoselaimen asetuksia muuttamalla. mikä on muiden maiden linja? Useat jäsenmaat ovat eri mieltä EU-maiden tietosuojatyöryhmän näkemyksen kanssa, mikä on poikkeuksellista. Jäsenvaltioilla on erilaisia käsityksiä siitä, millainen käyttäjän suostumus täyttää direktiivin tarkoituksen. ti etoturva n J a t i e to s u o Ja n e r i koi s l e Ht i 3/2011 TieTosuoja 9. Lausunto ei ota kantaa siihen, missä muodossa tiedot annetaan. Suurimmassa osassa maista kansallinen lainsäädäntömenettely on vielä pahasti kesken. Lausunnossa todetaan, että pelkkä selaimen hankkiminen ja sen käyttäminen eivät täytä pätevän suostumuksen edellytyksiä, koska keskivertokäyttäjien tietoteknisissä taidoissa ja tietämyksessä on eroja, eivätkä käyttäjät tiedä, miten heidän verkkokäyttäytymistään seurataan. Lausunnossaan ryhmä toteaa, että direktiivin sanamuodon perusteella suostumus on saatava ennen evästeen asettamista ja/ tai käyttäjän laitteelle tallennettujen tietojen keräämistä. Sen sijaan Suomessa evästeistä ja direktiivin toimeenpanosta ei ole juuri keskusteltu, mikä on osin yllättävääkin. Yleensä jäsenvaltiot noudattavat ryhmän lausuntoja ja kannanottoja hyvinkin tarkasti. Se tyytyy toteamaan, että ne tulee antaa mahdollisimman käyttäjäystävällisesti. Jotta suostumusta voisi pitää pätevänä, käyttäjille pitää antaa riittävästi tietoa evästeistä selkeässä ja kattavassa muodossa. Lausunnossa todetaan, että käyttötottumuksia hyödyntävässä mainonnassa on monta toimijaa, kuten mainosverkkopalvelujen tarjoajat, julkaisijat ja mainostajat. Ehkä keskustelun aika tulee meillä hieman myöhemmin, kun useammat jäsenvaltiot ovat saaneet kansalliset lainsäädäntönsä ajan tasalle ja näemme, ovatko he noudattaneet tietosuojatyöryhmän linjaa pätevän suostumuksen hankkimisessa käyttäjiltä. Hän on erikoistunut yksityisyydensuojaan ja henkilötietojen käsittelyyn liittyviin kysymyksiin. annettava käyttäjälle ymmärrettävät ja kattavat tiedot. internetmainonnasta. tietosuojaryhmä: selaimen käyttö ei riitä suostumukseksi Evästeiden käyttöön vaadittavaan suostumukseen on ottanut kantaa myös EUmaiden tietosuojatyöryhmä lausunnossaan käyttötottumuksia hyödyntävästä aiheeSta enemmän eu:n tietosuojatyöryhmän lausunto 2/2010 käyttötottumuksia seuraavasta internetmainonnasta (Wp 171): http://ec.europa.eu/justice/policies/ privacy/workinggroup > documents adopted > 2010 kirjoittaja asianajaja, ll.m. eija Warma työskentelee asianajotoimisto castrén & snellman oy:ssä
tietoturvastandardit 10 TieTosuoja 3/2011 t ietot urvan J a t ietosuoJ an erikoisl eHti
Luottokorttiyhtiöiden laatima tietoturvastandardi PCI DSS säätelee tarkasti korttitietojen käsittelyä. Useat organisaatiot turvautuvat tietoturvastandardeihin. Verkkokaupoissa PCI DSS -standardi vaatii pysyviä toimintatavan muutoksia, kerrotaan sivuilla 18-19. Miten tällaisten tietoturvariskien toteutumisen voi- si estää. Standardintietoturvastandardi pakottaa toimimaan turvallisesti. mukaista turvaa T ietoturvatuotteita valmistava yhtiö RSA ilmoitti maaliskuussa joutuneensa tietomurron uhriksi. Ilmeisesti kyse oli ajattelemattomuudesta tai teknisestä virheestä. Tietoturvastandardien vyyhteä perataan sivuilla 12-13. Korttimaksamisen maailmassa vannotaan sirun ja standardin nimiin. PCI DSS -standardi esitellään sivuilla 14-17. Keskon kokemuksista PCI DSS -standardin soveltamisesta eric leraillez voit lukea sivulta 20. ti etoturva n J a t i e to s u o Ja n e r i koi s l e Ht i 3/2011 TieTosuoja 11. Niistä ei tosin ole helppo saada kokonaiskuvaa, ja yrityksen tietoturvapäällikkö on paljon vartijana yrittäessään luovia tietoturvastandardien viidakossa
Siksi niissä keskitytään usein tietoturvallisuuden hallintaan, esimerkiksi vastuukysymyksiin. Samoja ilmaisuja täytyy johdonmukaisesti käyttää koko standardidokumentaatiossa", Savola kertoo. jakin on lukuisia erityyppisiä. Tuotteet, palvelut ja tekniset ratkaisut olisivat vertailukelvottomia. "Standardin luonne täytyy tuoda esiin sen alussa; onko standardi esimerkiksi velvoittava vai ohjeellinen. "Jos kysyy yritysten edustajilta, valtaosa varmaan vastaa, että he ovat hyvin aktiivisia." Todellisuudessa varsinkin yleisten tietoturvastandardien käyttöönotto voi silti olla nihkeää. On iso joukko standardeja, joissa on hyviä asioita, mutta yhdessäkään ei ole kaikkia hyviä asioita." soveltaminen vaatii vaivannäköä Siihen, kuinka paljon tietoturvastandardeja Suomessa otetaan käyttöön, on Savolan mukaan vaikeaa vastata tyhjentävästi. "On virallisia standardeja laativia organisaatioita, kuten ISO, (International Organization for Standardization), IEC (International Electrotechnical Commission) ja ITU (International Telecommunication Union). Hän on ISO/IEC-tietoturvastandardisoinnin kansallisen seurantaryhmän puheenjohtaja. Niissä standardisoitava asia jaetaan palasiin, joita eri työryhmät käsittelevät. "Pieni yritys voi käyttää apuna konsulttipalveluita, vaikka konsulteilla onkin toki oma näkökulmansa. tietoturvastandardit Selkoa standardiviidakkoon Teksti: Päivi Männikkö Kuva: Jyrki Vesa tietoturvastandardeista on hyötyä liiketoiminnalle, jos osaa valita oikeat standardit ja toimia niiden mukaan. i lman standardeja tietoturvassa olisi yhtä monta ratkaisua kuin tekijääkin. Standardiviidakko ei varmaan innosta ottamaan yhtä tiettyä ratkaisua käyttöön." Etenkin pienet yritykset ovatkin todellisen haasteen edessä, kun ne yrittävät saada viidakosta selkoa. Ne käsittelevät usein teknisiä ratkaisuja, kuten järjestelmäarkkitehtuureja, tietoliikenteen perustaa ja algoritmeja. Virallisista standardeista sovitaan kansainvälisissä kokouksissa. Ongelmana on usein liika yleisluontoisuus: "Niissä sanotaan, että pitää määritellä tapoja hallita tietoturvariskejä, muttei välttämättä kerrota, miten se pitäisi tehdä", Savola havainnollistaa. Lisäksi on organisaatioita, jotka tekevät epävirallista standardointia", kertoo VTT:n tietoturva-asiantuntija, johtava tutkija Reijo Savola. Ristiriitaista vain on, että tietoturvastandarde- Virallisia tietoturvastandardeja voi soveltaa alalla kuin alalla. "Ideana on, että epävirallisesta maailmasta parhaimmat ratkaisut siirtyvät viralliseen standardisointiin." Käytännössä virallisia ja epävirallisia tietoturvastandardeja sovelletaan rinnakkain. "Mutta kyllä standardimaailma on osasyyllinen tilanteeseen. "Käytännössä yrityksen kannalta epäviralliset standardit voivat olla oleellisempia, jos ne liittyvät suoraan sen tuottamaan palveluun tai tuotteeseen." Esimerkiksi tietyillä kriittisen infrastruktuurin aloilla, kuten pankeissa ja teollisuusautomaatiossa, toimialan omat tietoturvastandardit menevät yleisten standardien yli. 12 TieTosuoja 3/2011 t ietot urvan J a t ietosuoJ an erikoisl eHti. "Mielestäni se kuvastaa integraation puutetta. Osallistujat hiovat standarditekstiä maiden kannanottojen mukaan. Mitään poppakonstia ei ole. Yrityksessä tietoturvasta vastaavat henkilöt ovat avainroolissa tietoturvastandardeihin tutustumisessa, se vaatii heiltä paljon opiskelua." virallisia ja epävirallisia standardeja Epävirallisten tietoturvastandardien laatiminen saa usein alkunsa yrityksen tuotekehityksen tarpeista
Ehkä niitä ei pitäisi lyödä sillä tavalla lukkoon, ettei jotakin ratkaisua voisi korvata myöhemmin paremmalla." Kuinka suuri osa tietoturvastandardeista huomioi riskien muuttumisen. Ryhmässä on tällä hetkellä kuutisenkymmentä jäsentä, mutta lisää kaivattaisiin. "On myös mahdollista, että joku standardin ratkaisu voi pidemmällä tähtäimellä olla vääränlainen. riskiosaamista liian vähän Hyvä tietoturvastandardi jättää liikkumavaraa mutta on toisaalta riittävän yksityiskoh- ti etoturva n J a t i e to s u o Ja n e r i koi s l e Ht i 3/2011 TieTosuoja 13. vain netissä: miksi yritysten kannattaisi olla aktiivisemmin mukana standardisoinnissa. Yritysten olisi silloin helpompi hahmottaa, millaisia standardeja niiden kannattaisi noudattaa ja miten eri lähestymistavat liittyvät solmuttomasti toisiinsa. www.tietosuoja-lehti.fi tainen niissä asioissa, joissa se on tarpeen. Seurantaryhmä valmistelee Suomen kannanotot tietoturvastandardien luonnoksiin. "Se vaatii asiaan paneutumista kansainvälisissä kokouksissa ja varmasti niissä näkyvästi esillä olevien suurten maiden strategiaa." Suomalaiset voisivat Savolan mukaan osaltaan vaikuttaa kehitykseen osallistumalla aktiivisesti kansainväliseen standardisointitoimintaan sekä kansallisen ISO/ IEC-tietoturvastandardisoinnin seurantaryhmän toimintaan. Toki riskitkin muuttuvat. Yritys voi osoittaa tietoturvastandardien mukaista toimintaa sertifioinnilla. ensin pitää kartoittaa oman toiminnan keskeiset riskit. tavoitteena yksi standardiperhe Savolan mukaan olisi toivottavaa, että jossakin vaiheessa tietoturvan teknisten ratkaisujen standardit ja hallinnan standardit yhdistyisivät. "Hyvin pieni osa", Savola naurahtaa. Sertifioinnin edellyttämä runsas dokumentaatio voi viedä voimat. Taustalla täytyy olla riittävästi ymmärtämystä riskeistä. Liika dokumenttikeskeisyys voi viedä resurssit niin, ettei energia riitä varsinaiseen riskitietoiseen jalkautukseen." jä ajatellusti. Ongelmana on, että tietoturvan standardisoinnissa ei mietitä riittävästi riskien merkitystä sekä tekniikan että organisaation näkökulmasta. Yksityiskohtiin liittyvät linjaukset pitää tehdä pieteetillä, jotta standardi ei ohjaa tekemään ratkaisuja, jotka eivät torjukaan riskeTärkeää on myös, että yritys perehtyy hyvin toimintaansa liittyviin tietoturvariskeihin ja valitsee soveltamansa standardit niiden mukaan. Standardeissa tätä onkin yleensä hyvin vaikeaa tehdä yleispätevästi: vastuu laadukkaasta, organisaation erityispiirteet huomioivasta riskienhallinnasta jää organisaatiolle itselleen. vTT:n tietoturva-asiantuntija reijo savolan mukaan tietoturvastandardien kokonaisuuden hahmottaminen vaatii paljon opiskelua erityisesti organisaation tietoturvasta vastaavilta. Se ei ole kuitenkaan ainoa oikea tie tietoturvalliseen toimintaan, Savola miettii. "Varsinaisen toiminnan kannalta olennaista on oikealla tavalla tehty jalkautus
tietoturvastandardit 14 TieTosuoja 3/2011 t ietot urvan J a t ietosuoJ an erikoisl eHti
Alan toimijat ovat ehkä liian vähän kiinnittäneet huomiota siihen, ti etoturva n J a t i e to s u o Ja n e r i koi s l e Ht i 3/2011 TieTosuoja 15. Kuluttajan on oikeutettua olettaa, että hänen maksutietojaan kohdellaan tietosuojalakien edellyttämällä tavalla. Maksukorttien tiedot sekä maksu- ja kassajärjestelmiin rekisteröityvät elektroniset jäljet ovat tietomassaa, joka kiinnostaa rikollisia sen helpon taloudellisen hyödynnettävyyden vuoksi. Kuluttajaa kiinnostaa kuitenkin myös, kuka, miksi ja miten hä- nestä maksutilanteessa tallennettuja tietoja käsitellään. " Sirun ja standardien päämääränä on saada korttirikollisuus kuriin. Kortin suojaksi tietoturvastandardit ja siru suojaavat maksukorttien tietoja. Teksti: Jani Kallio Kuvitus: Leena Kumpulainen m aksaessaan ostoksensa kortilla kuluttaja välttyy monelta riskiltä käteiseen verrattuna
Kenellekään muille kortinkäyttäjän asiat eivät sitten kuulukaan. Vuodesta 2005 lähtien kansainväliset korttitapahtumien välittäjät ja vastuulliset paikalliset toimijat ovat investoineet miljardeja euroja tietoturvastandardin edellyttämiin järjestelmiin ja tietoturvaprojekteihin. Standardi kertoo myös konkreettisesti, mitä pitää tehdä, ja siitä on saatavilla runsaasti tulkintaohjeistusta. myös siru suojaa tietoja 2000-luvun alussa korttimaksamisen kokonaisturvallisuuden ajateltiin yleisesti hoituvan sirumaksamisen 16 TieTosuoja 3/2011 t ietot urvan J a t ietosuoJ an erikoisl eHti. Ja mikä tärkeintä, tekivät siitä sopimusteitse pakollista kaikille niille yrityksille ja yhteisöille, joiden toimintaan korttitietojen käsittely kuuluu jollain tavalla. Hollywood esittelee miltei poikkeuksetta elokuvien jäljityskohtauksissa reaaliaikaista ostosten ja ostospaikkojen jäljittämistä luottokortin tietojen perusteella. Kehitys on näkynyt PCI DSS -sertifioitujen toimijoiden määrän lisääntymisenä, mutta myös siinä, että rikollisten kohteena on useammin yritys, jossa ei ole panostettu standardin edellyttämiin asioihin. suomessa standardi yleistynyt hitaasti Suomessa Luottokunta aloitti valistustyön PCI-standardien tarpeellisuudesta 2005 alussa. Suuret luottokorttiyhtiöt VISA ja MasterCard etunenässä loivat kirjainyhdistelmän PCI (Payment Card Industry) ympärille ohjeistuksen ja valvontakeinot. Määrän tulisi olla lähempänä kahta-kolmeakymmentä. tarkka standardi loi vähimmäisturvan Maksamiseen liittyvien tietojen suojaaminen väärinkäytön estämiseksi ja kortinhaltijan tietosuojan turvaamiseksi vaatii teknisiä ratkaisuja ja moninaisia tehtäviä. Korttimaksamisen toimialan vähimmäistason tietoturva on standardisoitu. tietoturvastandardit " Euroopassa siru tuli ensin, USA:ssa taas standardit. että tietomassa on kiinnostavaa myös kortin käyttäjän yksityisyydensuojan kannalta. Luottokunnassa maksupäätteiltä tiedot siirtävä välityspalvelu on ollut PCI DSS -sertifioitu vuodesta 2005 alkaen ja auditoitu onnistuneesti vuosittain. Sitä maailmalla myös tapahtuu ja toivottavasti silloin asialla on oikeusvaltion periaatteita ja lakeja kunnioittava viranomainen tai rikollisuutta reaaliaikaisesti torjuva toimija. Suomesta löytyy muutamia vastaavalla tavalla sertifioituja palveluja, mutta edelleen liian vähän. Sittemmin PCI DSS -sertifiointi on tarjouskilpailuissa asetettu kriittiseksi laatukriteeriksi ja edellytykseksi ylipäätään toimia korttimaksamisen palveluntarjoajana. Tietoturvastandardi (PCI DSS) määrittelee vähimmäistason ja toimintamallit, joilla korttitietoja suojellaan tietoliikenneverkossa, palvelimilla ja tietojen tallennuksessa. Verkkomaksamisen mahdollistava palvelu sertifioitiin viime vuoden lopulla. Aluksi vastauksena oli täystyrmäys: "tarpeeton juttu korkean turvallisuustason Suomessa", sanottiin
Magneettijuovaan perustuva rikollisten ekosysteemi kuihtuu, ja korttitiedoista tulee vaikeammin hyödynnettäviä. Toisaalta Yhdysvalloissa suurista kauppiasta 97-96 prosenttia on jo sertifioitu www.luottokunta.fi/pci pci Dss sertifioidut palvelut: https://www.pcisecuritystandards. Urkittujen tietojen pohjalta valmistetaan magneettijuovainen kopiokortti, tai tiedot myydään eteenpäin internetin pimeillä kauppapaikoilla. Vastuunjakosäännöt (periaatteella heikoin lenkki maksaa) korjaavat tilannetta koko ajan parempaan suuntaan, mutta kuluttaja joutuu sietämään vielä pitkään ilmiön aiheuttamia harmeja, kuten korttien uusimista ja ylimääräisiä, selvitystä vaativia rivejä laskulla. aiheeSta enemmän pci Dss standardi suomeksi: rikolliset ahtaammalle Kansainväliset korttijärjestöt eivät suinkaan seuraa passiivisina korttirikollisuuden kehittymistä vaan luovat koko ajan uusia ja sopimusten kautta "pakollisia" maailmanlaajuisia tai maanosakohtaisia keinoja. Sirukorttien tietosisällön saa luettua automaatteihin asennettavilla kopiointilaitteilla, ja tunnuslukuja urkitaan varomattomilta näppäilijöiltä. Maailmanlaajuisesti tarkasteltuna sirumaksaminen ja standardit täydentävät toisiaan tärkeällä tavalla. Tietoturvaan on jo siis investoitu, joten siellä voidaan siirtyä seuraavaan heikkoon lenkkiin. Jos kauppiaat Yhdysvalloissa siirtyvät sankoin joukoin sirupäätteisiin, vaikutukset heijastuvat koko korttimaksamisen kenttään. Päämäärä on yhteinen saada tietosuojaakin uhkaava korttirikollisuus kuriin. Nettimaksamisen ja magneettijuovakortteja hyväksyvien kauppiaiden takia rikollisuudelle on jäänyt elintilaa. Merkittävä pankkien investointi sirukortteihin ja kaupan investointi sirumaksupäätteisiin nostivat viime hetkellä Suomen samalle turvatasolle muun Euroopan kanssa. (EMV) investoinneilla. Tuorein osoitus tästä on USA:n VISAn päätös tarjota porkkanaa niille kauppiaille, jotka investoivat sirupäätteisiin. Porkkanana on osittainen luopuminen kauppiaan maksukortin tietoturvastandardin velvoitteista, mikä voi vaikuttaa kummalliselta. ti etoturva n J a t i e to s u o Ja n e r i koi s l e Ht i 3/2011 TieTosuoja 17. Ja juuri tähän taas standardin noudattaminen on lääke. " Korttitiedot ja maksu- ja kassajärjestelmiin kertyvät elektroniset jäljet kiinnostavat rikollisia. standardin mukaisesti ja pienemmistäkin jo 60 prosenttia. Yksittäiset skimmaajat kopioivat joidenkin satojen kuluttajien korttien tietoja, mutta harmit kasvavat, kun kyseessä on useiden satojen tuhansien korttitietojen tietomurrot. Vaatimalla tiukasti sirukorttia maksutilanteessa ja noudattamalla sirumaksamisen käytäntöjä kauppias välttyy merkittävimmiltä korttimaksamisen väärinkäyttöriskeiltä. Kauppiaiden viivyttely sirumaksupäätteiden hankinnassa uhkasi muodostaa Suomesta helpon kohteen Euroopan korttirikollisille. org/security_standards kirjoittaja jani Kallio on luottokunnan riskienhallintajohtaja. Sirukortit eivät silti poistaneet korttirikollisuutta
Koko ympäristö prosesseineen tulee olla dokumentoitu, ja kaikki muutokset tulee tehdä muodollisen muutoshallinnan kautta. PCI DSS -standardi on laadittu siten, että se korvausvastuun, mikäli kaupalta varastetaan korttitietoja. Standardin noudattaminen ei siten ole kertaluontoinen projekti vaan pysyvä toimintatavan muutos. sopimusketjussa kaupalla suuri vastuu Tietoturvastandardi koskee kaikkia niitä tahoja, jotka tallentavat, käsittelevät tai siirtävät maksukorttitietoa. Näin koko organisaation ei tarvitse toimia PCI DSS -standardin edellyttämällä turvallisella mutta raskaalla tavalla. 18 TieTosuoja 3/2011 t ietot urvan J a t ietosuoJ an erikoisl eHti. Yleensä kauppa ei joudu maksamaan korvausta tietomurrosta, jos se on noudattanut tietoturvastandardia. Standardin toteuttamista ei siis kannata jättää IT-osaston tehtäväksi, vaan sille tulee olla johdon vahva tuki. Standardin noudattaminen muuttaa lähes aina verkkokaupan toimintatapaa jollain tavalla. Erityisesti pienten ja keskisuurten verkkokauppojen kannattaa ulkoistaa sen toteuttaminen maksujen käsittelyyn erikoistuneelle yritykselle mahdollisimman laajasti. Standardia laiminlyönyt kauppa voi sen sijaan joutua maksamaan huomattavan suuria vahingonkorvauksia. Kauppiaiden taas kannattaa siirtää vastuut palveluntarjoajilleen siltä osin kuin ne ovat vastuussa kaupan maksukorttitietojen turvallisuudesta. Lisäksi standardissa on vaatimuksia kausittaisille tehtäville, kuten palomuurisääntöjen katselmoinnille ja lokien valvonnalle. Standardiin ei kannata suhtautua välinpitämättömästi. Tämä tietysti helpottaa verkkokauppiaiden standardihankkeita ja vastaavasti voi vaikeuttaa sen toteuttamista muunlaisissa ympäristöissä. Standardin noudattaminen on monessa tapauksessa totuttua raskaampaa. Sen noudattamatta jättäminen saattaa pahimmillaan johtaa siihen, että verkkokauppa ei enää saa ottaa vastaan maksukorttimaksuja. koko organisaation asia Maksukorttien PCI DSS -tietoturvastandardissa on yli 200 yksityiskohtaista vaatimusta, joista osa edellyttää mittavia investointeja. Teknisten vaatimusten lisäksi standardissa on myös vaatimuksia esimerkiksi henkilökunnan palkkauksesta ja koulutuksesta, fyysisestä suojauksesta ja tietoturvallisuuden hallinnasta. soveltuu parhaiten toteutettavaksi verkkokauppaympäristössä. Sopimusketjussa myös korvausvelvoite siirtyy lenkiltä toiselle: tilittäjät siirtävät kauppiaalle vahingon- maksaminen erilleen muista järjestelmistä Yrityksen toiminnan kannalta paras tilanne saavutetaan yleensä erottamalla maksukorttitietoa käsittelevät järjestelmät muista. Tyypillisesti sopimusketju muodostuu siten, että maksukorttiyhtiö (esimerkiksi VISA), vaatii tilittäjää (esimerkiksi Luottokuntaa), siirtämään standardin noudattamisvelvoitteen omille asiakkailleen eli kauppiaille. tietoturvastandardit maksukorttien tietoturvastandardi vaatii verkkokaupoissa pysyviä toimintatavan muutoksia. Teksti: Niki Klaus ja Pekka Viitasalo l Tehokas mutta raskas standardi uottokorttiyhtiöiden ylläpitämän tietoturvastandardin (PCI DSS) tarkoituksena on suojata maksukorttitietoja, etenkin kortin numeroa. Sen noudattaminen ei kuitenkaan perustu lakeihin tai asetuksiin, vaan tavallisesti sen käyttöönottoa edellytetään sopimuksessa. Vaatimukset ulottuvat hyvin laajalle koko organisaatioon
Maksamisen ulkoistaminen voidaan toteuttaa esimerkiksi siten, että ostosten maksuvaiheessa asiakas siirretään verkkokauppiaan sivuilta palveluntarjoajan sivulle. Riskejä voivat aiheuttaa esimerkiksi tilanteet, joissa verkkokaupan järjestelmät ovat käsitelleet korttitietoja ennen siirty- kirjoittajat niKi Klaus on pci-liiketoiminnan vetäjä ja PeKKa Viitasalo johtava konsultti nixu oy:ssä. Maksamisen ulkoistavan kauppiaan on tärkeää muistaa siirtää vastuu maksukorttitiedon turvallisesta käsittelystä maksuja käsittelevälle toimittajalle. nixu täytyy hävittää tehokkaasti esimerkiksi yli- ti etoturva n J a t i e to s u o Ja n e r i koi s l e Ht i 3/2011 TieTosuoja 19. Maksukorttien tietoturvastandardi sopii parhaiten verkkokauppoihin. ulkoistaminen ei poista tietoturvariskejä Verkkokaupan maksamisen ulkoistaminen siten, että verkkokauppias itse ei käsittele maksukorttitietoa, voi oikein tehtynä pudottaa verkkokauppiaan omat järjestelmät pois PCI DSS -standardin vaikutusalueelta. Mikäli vanhoja korttitietoja ei tuhota huolellisesti, verkkokauppa ei täytä standardia ja tiedot voivat joutua vääriin käsiin. Tämän ja muiden riskien vuoksi onkin erittäin suositeltavaa huolehtia verkkokaupan tietoturvallisuudesta riippumatta siitä, missä määrin standardin vaatimukset koskevat kauppiaan ympäristöä. Kaikki tieto kirjoittamalla levyn tyhjä tila. Useiden verkkokauppiaiden kannattaakin harkita maksamisen ulkoistamista standardia noudattavalle palveluntarjoajalle. Vanhan tiedon tuhoaminen saattaa olla varsin monimutkaista, sillä tietoa on voinut kerääntyä useisiin paikkoihin, kuten lokeihin, tilapäisiin tiedostoihin, muistivedoksiin tai virtuaalimuistitiedostoihin. Jos hyökkääjä saa haltuunsa verkkokauppiaan sivuston, hän voi vaikkapa siirtää asiakkaan selainistunnon väärennetylle maksusivustolle ja sitä kautta saada haltuunsa asiakkaiden korttitiedot. Vastuu PCI DSS -standardin noudattamisesta ei poistu, mutta sovellettavat vaatimukset putoavat murto-osaan. Näissä tapauksissa verkkokaupan pitää tuhota korttitiedot sellaisista järjestelmistä, joissa ei noudateta standardia. Asiakas syöttää maksukorttinumeronsa palveluntarjoajan sivulle, joten verkkokauppias ei missään vaiheessa, edes tilapäisesti, käsittele asiakkaan kortin numeroa. Jäljelle jää kuitenkin muita tietoturvariskejä, jotka on syytä huomioida. Standardin toteuttaminen vaatii tyypillisesti merkittäviä investointeja, vaikka maksukorttitietoa käsitteleviä järjestelmiä olisi vain muutamia ja ne olisi erotettu muista järjestelmistä. Mikäli sopimukset eivät ole kunnossa ja asiakkaiden maksukorttitietoja kaikesta huolimatta käytetään väärin, voi vastuu jäädä verkkokauppiaalle. scanstockpHoto " mistä standardin noudattamiseen tai ennen verkkomaksujen ulkoistamista
Keskon kaupoissa kaikkien maksukortteja ja niihin liittyviä tietoja käsittelevien työntekijöiden on vuosittain osallistuttava tietoturvakoulutukseen. Maksuympäristö on alusta lähtien rakennettu maksukorttien tietoturvastandardin (PCI DSS) vaatimusten mukaiseksi. Näin varmistutaan siitä, että myöskään ulkopuoliset henkilöt eivät voi kerätä maksukorttitietoa. Maksukorttitietojen poistaminen kassajärjestelmistä vaatii erityistä huolellisuutta, sillä on voitava varmistua siitä, että kaikki hakemistot ja välimuistitkin ovat puhtaita. Varmennusta varten sen saa kuitenkin kertoa puhelimessa suoraan kortista lukien. Aineistot inventoidaan säännöllisesti ja tuhotaan turvallisesti säilytysajan päätyttyä. Näissäkään tapauksissa kassahenkilöt eivät saa ottaa ylös korttinumeroa. Näin jokainen tietää, miten toimia poikkeustilanteissa. Asiakkaille maksukorttiympäristön tur- vallisuuden lisääminen tarkoittaa sitä, että korttitietojen vuotamisen riski on erittäin korttitiedot pois kassajärjestelmistä Parhaillaan menossa oleva siirtyminen keskitettyyn tapahtumien käsittelyyn tarkoittaa käytännössä sitä, että kassajärjestelmiin aikaisemmin talletetut maksukorttitiedot poistetaan kokonaan. Kaikki tehdyt toimet kirjataan aineistopäiväkirjaan. Kauppojen henkilökunta tarkastaa sirukorttilaitteet ja kassalaitteistot päivittäin mahdollisten ylimääräisten laitteiden varalta. Kun kaupassa on käytössä turvallisen maksamisen laitteistot ja toimintaympäristöstä on siivottu tai turvallisesti arkistoitu arkaluontoiset maksukorttitiedot, ei edes oman henkilökunnan, saati ulkopuolisten ole mahdollista saada kirjoittaja jari törmälä on kesko oyj:n tietoturvapäällikkö. tietoturvastandardit kaupan maksujärjestelmät voidaan rakentaa siten, että edes henkilökunta ei voi saada haltuunsa asiakkaiden korttitietoja. Koska kauppaan ei enää tallennu maksukorttitietoja, kaupan henkilökunnalta vaa- ohjeet poikkeustilanteita varten Normaalitilanteessa kaupan henkilökunnan ei tarvitse erikseen huolehtia maksukorttitietojen turvallisuudesta. Lisäksi rikollisten kiinnostus maksukorttitietoihin pienenee, kun järjestelmissä ei ole talletettuna lainkaan heille rahanarvoista tietoa. K pieni. esko panostaa kauppojensa korttimaksamisen turvallisuuteen uudistamalla kauppojen maksuympäristöt. 20 TieTosuoja 3/2011 t ietot urvan J a t ietosuoJ an erikoisl eHti scanstockpHoto myyjä ei näe kortin tietoja. Kassajärjestelmien toimittajat vastaavat siivouksesta, ja Kesko varmistuu toteutuksen onnistumisesta erillisillä tarkastuksilla. Teksti: Jari Törmälä dittavat toimet on voitu rajata mahdollisimman vähäisiksi. Uudistukset ulottuvat haltuunsa järjestelmästä kokonaisia maksukorttitietoja. Korttitiedot siirtyvät sirukorttipäätteestä jatkokäsittelyyn salattuina turvallisia yhteyksiä pitkin. Poikkeustilanteissa, kuten maksukortin toimintavirheissä, kassahenkilöltä vaaditaan oikeanlaista toimintaa maksukorttitietojen turvallisuuden ylläpitämiseksi. kassojen sirukorttilukijoista aina keskitettyyn tapahtumien käsittelyyn. Mahdollisten arkistointia vaativien sähköisten tai paperisten aineistojen säilyttäminen ja käsittely turvallisesti on ohjeistettu kauppojen henkilökunnalle
Liittymien numeroita oli väliaikaisesti Suomen Nume- ropalvelun valtakunnallisessa tietokannassa, josta numeropalveluyritykset saavat puhelinnumeronsa. uhkat voivat kohdistua myös henkilötietoihin. K dosta. uluneen kevään ja kesän aikana teleyritys DNA:n asiakkaiden salaisia puhelinnumeroita päätyi julkiseen jakeluun. Teleasiakkaalle enemmän tietoa Teksti: Kirsi Miettinen | Kuvitus: Maija Vuorela teleyrityksen pitää nyt kertoa asiakkailleen myös erityisistä tietoturvaloukkauksista eikä vain niiden uhkista. Tietovuoto tapahtui DNA:n järjestelmäpäivityksen yhteydessä ja koski kaikkiaan yli 37 000 liittymävaihDNA otti kirjeitse yhteyttä kaikkiin tietovuotoaikana liittymää vaihtaneisiin, joiden numerot olivat ti etoturva n J a t i e to s u o Ja n e r i koi s l e Ht i 3/2011 TieTosuoja 21
Loukkauksen voidaan katsoa vaikuttavan haitallisesti tilaajan tai käyttäjän henkilötietoihin tai yksityisyyteen, jos siihen sisältyy esimerkiksi väärän henkilöllisyyden käyttämistä tai maineen vahingoittumista. Samalla sääntelyä selkeytettiin, kun viranomaisille ja tilaajille sekä käyttäjille tehtävät ilmoitukset erotettiin omiksi pykälikseen. Komissio ilmoitti viime vuoden lopulla 22 TieTosuoja 3/2011 t ietot urvan J a t ietosuoJ an erikoisl eHti. Heille on myös kerrottava, mistä he voivat saada lisätietoja. Teleyrityksen ilmoitusvelvollisuutta Viestintävirastolle koskevissa säännösmuutoksissa kyse oli varsin pienistä muutoksista. Säännökseen lisättiin velvollisuus ilmoittaa tietoturvaloukkauksista eikä vain niiden uhkista. DNA:n ilmoitus Viestintävirastolle oli ensimmäinen, joka on tehty toukokuussa voimaan tulleen sähköisen viestinnän tietosuojalain muutoksen mukaisesti. " DNA otti yhteyttä kaikkiin, joiden numerot olivat saattaneet vaihtua salaisista julkisiksi. pantu täytäntöön sähköisen viestinnän tietosuojalain muutoksin. Hallituksen esityksen mukaan yrityksen on ilmoitettava asiakkailleen esimerkiksi sellaisesta tietoturvaloukkauksesta, joka vaa- komissio haluaa laajentaa ilmoituspakkoa EU:ssa on halua ulottaa ilmoituspakko koskemaan muitakin kuin sähköisen viestinnän palveluntarjoajia. saattaneet muuttua väliaikaisesti salaisesta julkisiksi. Tällaisia voisivat hallituksen esityksen mukaan olla tilanteet, joissa tiedot ovat olleet asianmukaisesti suojattuja palveluntarjoajan osoittamalla tavalla, tai jos varhainen ilmoittaminen haittaisi loukkauksen tutkimista. ilmoitusvelvoite direktiiviin EU:ssa annettiin hiljattain sähköisen viestinnän tietosuojadirektiivin muutos, jolla säädettiin henkilötietoihin kohdistuvaan tietoturvaloukkauksen ilmoitusvelvollisuudesta. Ilmoituksessa on hallituksen esityksen mukaan annettava tiedot toimenpiteistä, joita palveluntarjoaja on toteuttanut loukkausten selvittämiseksi. Niitä ovat palvelut, jotka perustuvat tunnistamis- tai paikkatietojen käsittelyyn, kuten käyttäjän sijaintiin perustuva mainonta ja reittineuvonta. Suomessa direktiivin säännökset on asiakkaita myös neuvottava Säännökset teleyritysten ja lisäarvopalvelujen tarjoajien velvollisuudesta ilmoittaa erityisistä tietoturvaloukkauksista ja -uhkista viipymättä tilaajille ja käyttäjille on sähköisen viestinnän tietosuojalain muutoksella koottu pykälään 21 a. Viestintävirasto on katsonut, että kyse oli tietoturvauhkasta, ei -loukkauksesta. Euroopan parlamentti totesi päätöslauselmassaan sähköisen viestinnän tietosuojadirektiivistä, että käyttäjien intressi saada tietää tietoturvaloukkauksista ei selvästikään koske vain sähköistä viestintää. Ilmoitusvelvollisuus koskee teleyritysten ohella sähköisen viestinnän tietosuojalaissa tarkoitettujen lisäarvopalveluiden tarjoajia. Direktiivissä ilmoitettaviksi henkilötietoihin kohdistuviksi tietoturvaloukkauksiksi määritellään tilanteet, joissa viestintäpalvelussa käsiteltyjä henkilötietoja vahingossa tai laittomasti tuhotaan, hävitetään, muutetaan, annetaan käyttöön tai luovutetaan ilman lupaa. Niin ikään uutta, direktiiviin perustuvaa sääntelyä on, että teleyritysten ja lisäarvopalvelujen tarjoajien on säilytettävä tiedot tekemistään ilmoituksista. DNA teki asiasta myös ilmoituksen Viestintävirastolle, joka on tehnyt tapauksessa tiivistä yhteistyötä tietosuojavaltuutetun toimiston kanssa. Viestintävirasto voi antaa tarkempia määräyksiä ilmoitusten sisällöstä ja muodosta esimerkiksi määrittelemällä ne olosuhteet, joissa tietoturvaloukkauksesta ei tarvitsisi ilmoittaa asiakkaille. Lisäksi tilaajille ja loukkauksen kohteiksi joutuneille on kerrottava käytettävissä olevista toimenpiteistä ja niiden kustannuksista. Tämäntyyppisten tietoturvaloukkausten ilmoittaminen olisi ollut mahdollista myös aiemman sääntelyn perusteella, mutta direktiivin muutoksella henkilötietojen tietoturvaloukkaukset sisällytettiin nimenomaisesti myös ilmoitusvelvollisuuden piiriin. Hallituksen esityksessä todetaan kuitenkin selkeästi, että ilmoitusvelvollisuuden piiriin sisältyvät myös henkilötietoihin kohdistuvat tietoturvaloukkaukset. rantaa tilaajan tai käyttäjän henkilötietojen luottamuksellisuuden
" Teleyrityksen on ilmoitettava myös henkilötietoihin kohdistuvasta loukkauksesta. ti etoturva n J a t i e to s u o Ja n e r i koi s l e Ht i 3/2011 TieTosuoja 23
Ilmoitusvelvollisuudella yritetään silti esimerkiksi ehkäistä identiteettivarkauksia. Tehokkaampi mutta epärealistinen tavoite olisi pystyä estämään kaikki tietosuojaloukkaukset ennalta. Tällaisten seikkojen tiukoilla EU-tason määrittelyillä saattaa olla myös haittapuolensa. Ilmoitusvelvollisuutta koskevaa lainsäädäntöä laadittaessa on kuitenkin harkittava " Komissio haluaa ulottaa ilmoitusvelvollisuuden kaikille aloille. monia seikkoja, jotta sääntelyllä saavutettaisiin toivotut tavoitteet, eikä siitä aiheutuisi hyötyihin nähden kohtuutonta taakkaa esimerkiksi viranomaisille ja henkilötietoja käsitteleville tahoille. tarkoituksenmukaista käyttöä. Myös Euroopan tietosuojaviranomaisten työryhmä kannattaa komission lähestymistapaa. Perushavaintona on, että niissä yksin tietosuojaloukkausten määritelmät vaihtelevat laajasta suppeaan. tietosuojaloukkauksen määrittely hankalaa Joissakin EU:n jäsenmaissa on jo laintasoisia tai suositusluontoisia säännöksiä tietosuojaloukkausten yleisestä ilmoitusvelvollisuudesta. Pitäisikö ilmoituksen tekemiselle olla määräaika. Ilmoituksen saaneiden henkilöiden oletetaan ryhtyvän varotoimiin ja havaitsevan paremmin tietojensa epätavallinen käyttö. Mittarit voisivat olla sekä määrällisiä (esimerkiksi kuinka monen henkilön tiedoista on kyse) että laadullisia (onko kyse arkaluontoisista tiedoista). malttia tarvitaan Ilmoitusvelvollisuuden laajentaminen tietosuojaloukkauksiin vaatisi muidenkin näkökohtien harkitsemista: päättäisikö palveluntarjoaja aina ilmoituskynnyksen ylittymisestä. Miten monikansallisesti toimivat palveluntarjoajat toteuttaisivat ilmoitusvelvollisuuttaan. Tulisiko ilmoituksen sisällöstä olla tarkempia säännöksiä tai ohjeita. Komission odotetaan julkistavan ehdotuksensa henkilötietodirektiivin uudistamisesta aivan lähiaikoina. Keinoksi on ehdotettu riskianalyysiä: ilmoitusta ei tarvittaisi esimerkiksi sellaisissa tapauksissa, joissa tiedot on suojattu väärinkäytöltä teknisesti riittävän hyvin. Siitä taas voi seurata informaatioähky, joka heikentää ilmoitusten toivottua tehoa. http://ec.europa.eu/justice/policies/privacy/workinggroup > documents adopted > 2011 euroopan verkko- ja tietoturvavirasto enisan raportti Data breach notifications in the eu: www.enisa.europa.eu/act/it/library/deliverables/dbn 24 TieTosuoja 3/2011 t ietot urvan J a t ietosuoJ an erikoisl eHti. tutkivansa, voitaisiinko henkilötietojen suojaa koskevissa loukkauksissa ottaa käyttöön yleinen ilmoitusvelvollisuus. Koska Euroopassa jo säädetyn ilmoitusvelvollisuuden toimivuudesta on saatu tähän mennessä varsin vähän tietoa, olisi toivottavaa, että uutta lainsäädäntöä valmisteltaessa maltti olisi valttia. Selvää lienee, että laaja määrittely johtaa helposti myös runsaampaan ilmoitusmäärään. Lieneekin todennäköistä, että ehdotus sisältää ilmoitusvelvollisuutta koskevat säännökset. Samalla myös viranomaiset saattavat kuormittua tavalla, joka haittaa niiden resurssien aiheeSta enemmän sähköisen viestinnän tietosuojadirektiivin muutokset (2009/136/eY) sähköisen viestinnän tietosuojalain muutokset (365/2011) Hallituksen esitys sähköisen viestinnän tietosuojalain muuttamisesta (He 238/2010 vp) euroopan tietosuojaviranomaisten työryhmän työasiakirja 1/2011 on the current eu personal data breach framework and recommendations for future policy developments: kirjoittaja Kirsi miettinen on lainsäädäntöneuvos liikenne- ja viestintäministeriön viestintäpalveluyksikössä
Kukaan ei saa ilman laissa säädettyä oikeutta tai viessuojaa. Vaikka palvelun kieli olisi suomi, ei palvelu ole välttämättä toteutettu Suomessa eikä tietojen käsittelyssä noudateta Suomen lainsäädäntöä. Suomalaisten viestintäpalvelujen tarjoajien on huolehdittava palvelujensa tietoturvasta ja viestinnän luottamuksellisuuKaikissa maissa laki ei takaa viestin- www.ficora.fi/viestinsuojaus antero aaltonen nän luottamuksellisuudelle yhtä hyvää ti etoturva n J a t i e to s u o Ja n e r i koi s l e Ht i 3/2011 TieTosuoja 25. suojaudu netissä s desta. netinkäyttäjän kannattaa miettiä, mitä viestintäpalveluja käyttää ja minkälaisia suojaustoimia niissä tarvitaan. uomessa sähköisen viestinnän luottamuksellisuus on turvattu laissa. Viestintävirasto on koonnut verkkoon ohjeita siitä, miten voit suojata · sähköpostiviestinnän · nettisurffailun · pikaviestinnän ja · langattoman lähiverkon. tinnän osapuolen suostumusta käsitellä toisen henkilön viestejä tai viestintään liittyviä tunnistamistietoja
tavallinen tarina ei aivan tietoturvayhtiö rsa:ta vastaan tehdyn tietomurron vaikutukset ovat huomattavasti tavanomaista vakavammat. Teksti: Antti Kiuru Kuva: Images.com/ Corbis/SKOY 26 TieTosuoja 3/2011 t ietot urvan J a t ietosuoJ an erikoisl eHti
Rikolliset varastavat verkon käyttäjiltä luottokorttinumeroita ja pankkitunnuksia näppäinlyöntejä tallentamalla, ja samalla tavalla voi varastaa myös muita selaimen eri kenttiin kirjoitettavia tietoja. Tietoturvaviranomaisena olemme sitä mieltä, että asioita ei pidä jättää sattuman varaan. Tieto, olkoonkin omasta mielestä kuinka vähäpätöistä tahansa, kiinnostaa aina jotakin toistakin. Nykyisin niitä ei enää voi noutaa verkosta, vaan ne toimitetaan toisella tapaa asiakkaille. Tämän ajattelemattomuuden tai teknisen virheen seurauksena RSA on ilmoittanut vaihtavansa kaikki avainlukugeneraattorit uusiin. tallentavat haittaohjelmat ovat internetin arkipäivää. Kun yritys saa sarjan uusia avainlukugeneraattoreita, niiden ja palvelimen synkronoimiseen käytetään niin sanottua siemenlukutiedostoa, joka haetaan RSA:n verkosta. Murtautujat ovat saaneet haltuunsa siemenlukutiedostoja ja mahdollisesti myös tietoja, joilla SecurID-laitteet voidaan yksilöidä niitä tilanneisiin yrityksiin. Numerosarja saattaa vaikuttaa satunnaiselta, mutta se muodoste- avainlukugeneraattorit kannattaa vaihtaa Mitä RSA:lta varastuilla tiedoilla sitten tehtiin. Palvelin on sen jälkeen synkronoitu avainlukugeneraattorin kanssa ja ikään kuin "tietää" kunkin sille syötetyn avainlukugeneraattorin senhetkisen numerosarjan. Tekijät olivat syötetään yrityksen tiloissa olevalle RSA:n palvelimelle. RSA nimittäin valmistaa SecurID-tuotteita, joita käytetään vahvaan tunnistautumiseen yrityksissä ja valtionhallinnoissa. Itse hyökkäyksessä ei ollut mitään uutta. Avainlukugeneraattorissa toteutetaan vahvan tunnistautumisen kantavaa ajatusta: käyttäjä tunnistetaan salasanan ja käyttäjätunnuksen lisäksi avainlukugeneraattorin ja sen sisältämän tiedon avulla. " Tunnuksesi ovat rahanarvoista tavaraa. tunnuksille on kysyntää Jätetään kuitenkin hetkeksi uhkakuvien maalailu ja katsotaan asiaa hieman tarkemmin. Maailmanlaajuisesti SecurID-tuotteita on yli 40 miljoonalla käyttäjällä muun muassa puolustusteollisuudessa, pankeissa ja muissa kriittisen infrastruktuurin toimijoissa. Tiedolle on markkinoita, markkinat täytyy vain ensin löytää. päässeet RSA:n sisäverkkoon tekemällä kohdistetun hyökkäyksen yrityksen työntekijöitä vastaan. Sen vaikutukset kuitenkin poikkesivat useista muista vastaavanlaisista. Jälkiviisaana voisi todeta, että siemenlukuja sisältäviä tiedostoja ei koskaan olisi saanut säilyttää verkossa, vaikka niiden hakeminen sieltä käyttöönottovaiheessa varmaan tuntuukin helpolta. Se tapahtui samalla tavalla kuin valtaosassa nykyisistä hyökkäyksistä, lähettämällä työntekijöille sähköpostissa hyväksikäyttökoodia sisältävä liitetiedosto. Joku voisi myös ajatella, että uhka ei kosketa omaa yritystä tai oman yrityksen työntekijöitä, koska "meillä ei ole mitään kiinnostavaa tietoa". Tiedostoja ei nimittäin ilmeisesti ole poistettu sen jälkeen kun asiakkaat ovat ne hakeneet omille palvelimilleen. On tietenkin ilmiselvää, että juomapakkauksia valmistavan yrityksen tietojen varastaminen verrattuna esimerkiksi puolustusteollisuuden tai valtionhallinnon salaisuuksiin on vaikutuksiltaan eri skaalalla. Tunnuksesi ovat rahanarvoista tavaraa, ja niiden markkinat löytyvät verkosta. Lisäksi siemenlukujen toimittamiseen SecurID-asiakkaille on tehty muutoksia. Murtautujan tarvitsisi siis tietää myös nämä kolme tietoa sekä osata avainlukugeneraattorin kloonaus ja synkronointi. m aaliskuussa tietoturvatuotteita valmistava yhtiö RSA ilmoitti joutuneensa tietomurron uhriksi. Numerosarja vaihtuu uuteen minuutin välein. Juuri tämän tapauksen julkitulon jälkeen RSA ilmoittikin vaihtavansa avainlukugeneraattorit uusiin. syynä ajattelemattomuus tai tekninen virhe Kun avainlukugeneraattori annetaan työntekijälle, muutama sen generoima numerosarja ja avainlukugeneraattorin tietoja ti etoturva n J a t i e to s u o Ja n e r i koi s l e Ht i 3/2011 TieTosuoja 27. Se on avaimenperän kokoinen laite, jonka ruudulla näkyy kuusinumeroinen numerosarja. Tunnistautumiseen tarvitaan siis jotakin, minkä vain käyttäjä tietää sekä jotakin ainutlaatuista, mitä käyttäjällä on. kirjoittaja antti Kiuru on tietoturva-asiantuntija viestintävirastossa toimivassa kansallisessa tietoturvaviranomaisessa cert-Fi:ssä. Yhdysvaltalainen puolustusteollisuuden yritys Lockheed-Martin ilmoitti huhtikuussa torjuneensa tietomurtoyrityksen, jossa sen mukaan käytettiin hyväksi RSA:n murrossa varastettuja SecurID-tietoja. Näiden tietojen joutuminen varkaiden käsiin mahdollistaisi avainlukugeneraattorien kloonaamisen. Tyypillisesti RSA:n SecurID-tuotteita käytetään niin sanotussa avainlukugeneraattorissa. RSA ei ole kertonut tarkalleen, mitä tietoja varkaat saivat haltuunsa, mutta on oletettu, että kyseessä olisivat juuri siemenlukutiedot ja muita tietoja, joilla SecurID-laitteita voitaisiin yksilöidä niitä tilanneisiin yrityksiin. Avainlukugeneraattoreita käytettäessä käyttäjällä on myös henkilökohtainen PIN-koodi (jonka käytön yritys voi tosin kytkeä pois päältä), käyttäjätunnus ja salasana yrityksen verkkoon. Tietomurron tehneet rikolliset saivat arvioiden mukaan haltuunsa avainlukugeneraattoreiden käyttöönotossa tarvittavia tietoja. Pelkän avainlukugeneraattorin kloonaus ei kuitenkaan anna viholliselle avaimia kaupunkiin. Väärin ajateltu. Sen vuoksi olemme kehottaneet vaihtamaan avainlukugeneraattorit uusiin heti kun mahdollista. Uhka vaikuttaisi siis melko vähäiseltä - kunnes muistetaan, että näppäinlyöntejä taan RSA:n omalla algoritmilla, eli numerot noudattavat tiettyä kaavaa
" Henkilötietolain mukaan toimiva virasto saavuttaa perustason pienellä lisätyöllä. 28 TieTosuoja 3/2011 t ietot urvan J a t ietosuoJ an erikoisl eHti
Lisäksi pakissa on sähköinen henkilöstön tietoturvakoulutuspaketti tenttikysymyksineen. Hyvää apua saa Valtion IT-palvelukeskuksesta. Kun virasto saavuttaa perustason, se voi julkisen tietoaineiston lisäksi käsitellä suojaustason IV eli rajoitetun käytön tietoaineistoa. systemaattinen dokumentointi on perustana Valtiokonttorissa toimivan Valtion IT-palvelukeskuksen tietoturvapäällikkö Kimmo Rousku muistuttaa, että mikäli organisaatio on kehittänyt tietoturvallisuuttaan henkilötietolain edellyttämällä tavalla, se on joko saavuttanut tai saavuttaa pienellä lisätyöllä perustason. Siinä edellytetään, että kaikki valtionhallinnon organisaatiot sekä niille palveluita toimeksiannosta tuottavat toimitJos organisaatio ei ole vielä aloittanut tietoturvatasoprojektia, nyt on Rouskun mielestä korkea aika. Tietoturva-asiantuntijana ja yhtenä yhteishankkeiden vastuuhenkilönä toimiva Kirsi Nurmi esimerkiksi työskentelee oman työnsä lisäksi ti etoturva n J a t i e to s u o Ja n e r i koi s l e Ht i 3/2011 TieTosuoja 29. Perustaso jokaiselle useimmat valtion virastot saavuttavat tietoturvan perustason ilman merkittäviä lisäinvestointeja. Jokainen hanke koostuu 18 työpajatilaisuudesta, joissa käydään läpi tietoturvatasokokonaisuus ja annetaan käytännön ohjeita ja valmiita mallipohjia, työkaluja ja hyviä käytäntöjä tietoturvatasojen saavuttamiseksi. Lisäksi valtiovarainministeriö kustantaa osallistuville virastoille neljän henkilötyöpäivän verran tietoturvakonsultointia. Perustason saavuttamiseksi viraston on täytettävä kymmenen asetuksessa mainittua vaatimusta. aikaa ja vaivaa se silti vaatii, joten valmistelu on syytä aloittaa viimeistään nyt. Teksti: Marjo Rautvuori Kuvat: Olli Häkämies saatioissa tarvita kalliita lisäinvestointeja, koska valtaosa tehtävästä työstä on olemassa olevien menettelyjen ja dokumentaation kehittämistä, jalkauttamista ja koulutusta. Syksyllä julkaistaan myös johdon verkkokoulutus ja oma kokonaisuus tietoaineistojen käsittelemisestä. tajat ja alihankkijat saavuttavat tietoturvallisuuden perustason syyskuun loppuun 2013 mennessä. Asetuksessa määritetään myös salassa pidettävien tietojen suojaustasot ja turvallisuustasoluokat. "Perustasolla tulee kyetä määrittämään pääprosessit ja varmistamaan, että toiminta tapahtuu suunnitellulla tavalla." Perustason saavuttamiseen ei useimmissa organi- neljä vaihetta Valtion IT-palvelukeskuksesta voi myös vuokrata tietoturvapäällikön. Valtion IT-palvelukeskus tarjoaa valtionhallinnon organisaatioille myös tietoturvallisuuden työkalupakkia, joka sisältää materiaalia tarvittavista asiakirjoista ja hyvistä käytännöistä. Näin varmistetaan, että tietojen käsittelysäännöt ovat yhdenmukaisia kaikissa valtionhallinnon virastoissa. Se toteuttaa valtionvarainministeriön julkisen hallinnon ICT-toimintayksikön toimeksiannosta kolme tietoturvallisuusasetuksen täytäntöönpanoa tukevaa yhteishanketta vuosina 2011-2013. Määrämuotoinen dokumentointi on kuitenkin työlästä, päivitystarve on jatkuva, ja henkilöstölle on tarjottava koulutusta. T tietoturvan perustason saavuttamisessa valtaosa työstä on olemassa olevien menettelyjen ja dokumentaation kehittämistä, jalkauttamista ja koulutusta, sanovat tietoturva-asiantuntija kirsi nurmi ja tietoturvapäällikkö kimmo rousku valtion itpalvelukeskuksesta. apua tarjolla ietoturvallisuusasetus on ollut voimassa pian vuoden
"taustalla meillä on kahden ison organisaation yhdistäminen reilut kaksi vuotta sitten. " Perustason saavuttanut virasto voi käsitellä julkista ja rajoitetun käytön tietoaineistoa. Muilta oppiminen on tehokas keino terVeyden ja hyvinvoinnin laitos on ryhtynyt toteuttamaan tietoturvan perustasoa muun muassa osallistumalla valtion it-palvelukeskuksen yhteishankkeeseen. Nurmi sanoo, että tietoturvallisuuden kehittäminen voidaan jakaa neljään vaiheeseen. Neljännessä ja viimeisessä vaiheessa luodaan tietoturvallisuuden hallintamenettelyt. "silti asia on toimintamme kannalta tärkeä, ja olemme olleet pitkään mukana yhteisissä tietoturvahankkeissa." aiheeSta enemmän valtionhallinnon tietoturvallisuuden johtoryhmä vaHtin ohje tietoturvallisuusasetuksen toimeenpanosta: www.vm.fi/vahti > voimassa olevat tietoturvaohjeet ja -määräykset seuraavat valtionhallinnon organisaatioille tarkoitetut tietoturvan yhteishankkeet käynnistyvät lokakuussa 2011 ja tammikuussa 2012. Liian korkeasta tietoturvallisuudesta ei tule maksaa ylihintaa, toisaalta riman alituksia ei saa tapahtua", Nurmi huomauttaa Kolmannessa vaiheessa luodaan menettelyt riskienhallintaan ja häiriötilanteiden varalle. kun asiat pitää hoitaa useiden välikäsien kautta, on todenmukaisen tilannekuvan ylläpitäminen organisaation tietoturva-asioista vaikeaa." karppinen muistuttaa, että tietosuojavaltuutetun toimistolla on ohjaava ja neuvova rooli, eikä se käsittele juurikaan korkeampien suojaustason tietoa toisin kuin esimerkiksi ministeriöt. Nurmi suosittelee myös tietoturvakäsikirjan laatimista, jotta tietoturvallisuuden hallinnan kokonaisuus saadaan yksiin kansiin. Esimerkiksi palveluja kilpailuttaessa viraston pitää varmistaa, että palvelu täyttää tietoturvatason vaatimukset. myös tietoturvakoulutuksia on menossa kaiken aikaa. tuotamme julkista tietoa, lakisääteistä terveydenhoitoon liittyvää tietoa ja myös ehdottomasti salassa pidettävää tietoa, kuten yksittäisten henkilöiden terveystietoja." mukana työssä on iso joukko väkeä eri puolilta taloa. "Tietoturvatasojen saavuttaminen ei ole yksittäinen projekti, vaan siitä pitää tulla normaaliin toimintaan integroitu jatkuva, säännöllinen kokonaisuus", Nurmi toteaa. alkukartoituksen, sisäisen auditoinnin, uuden kartoituskierroksen ja ohjeiden päivittämisen jälkeen laitos aloittaa nyt tietoturvallisuuden hallintajärjestelmän rakentamista. Nurmen mukaan organisaatioilla on paljon yhteisiä, hallinnonalasta riippumattomia tietoturvaelementtejä. lehtinen sanookin muistuttavansa usein, että tiedon omistajien pitää pohtia, miten he haluavat tietoa käsiteltävän. "samalla kun päätetään hallinnollisen tietoturvan hallinnasta, pitää huolehtia ihmisten omasta käyttäytymisestä sekä tiedon käytettävyydestä ja eheydestä." vuokralla viikoittain sekä valtiovarainministeriössä että ulkoministeriössä. Ensin tunnistetaan tietoturvatarpeet ja -lähtökohdat: "Näin saadaan alustava näkemys tarvittavan tietoturvallisuuden hallinnan kattavuudesta ja tietoa, jolla voidaan perustella tietoturvatyö muulle organisaatiolle ja johdolle." Toisessa vaiheessa kuvataan tärkeät toiminnot ja arvokas tieto-omaisuus. Hallintajärjestelmän avulla organisaatio varmistaa, että tietoturvallisuutta kehitetään jatkuvasti. "me olemme pieni organisaatio, jonka tietohallinto on hyvin pitkälle ulkoistettu. "Suojattavien kohteiden rajaamisessa tulee olla huolellinen. tiedon laajuus ja sen asettamat haasteet tiedon käsittelylle vaikuttavat meillä menettelytapoihin. ulkoistetun paletin hallintaa tietosuojavaltuuten toimiston it-erityisasiantuntija lauri Karppinen toteaa oman organisaationsa tietoturvatasotyön erityispiirteeksi ja tärkeimmäksi osa-alueeksi tietynlaisen paletin hallinnan. tietoturvapäällikkö Tuija lehtisen mukaan tärkein perustason saavuttamisen keino on oman laitoksen, hallinnonalan ja koko valtionhallinnon parhaiden käytäntöjen vertailu. lisätietoa yhteishankkeista ja liittymiset valtion it-palvelukeskuksen työkalupakkiin: tietoturva.vip@valtiokonttori.fi 30 TieTosuoja 3/2011 t ietot urvan J a t ietosuoJ an erikoisl eHti
Asianajajat Peter Nordbeck ja Anna Nordén ovat perehtyneet sähköisen kaupankäynnin oikeudellisiin kysymyksiin. Kirja sopii erinomaisesti kaikille pilvipalveluiden parissa työskenteleville niin juristeille kuin IT-ammattilaisille sekä palveluiden toimittajan että ostajan roolissa. Kirja on jaettu kolmeen osaan. kirjan luki asianajaja eija Warma. Cloud Computing a Practical introduction to the legal issues. rättsinformatik: inblickar i e-samhället, e-handel och e-förvaltning kirjoittajat cecilia magnusson sjöberg, peter nordbeck, anna nordén, Daniel Westman julkaisija studentlitteratur ab 2011. Pilvipalveluista helppolukuisesti Cloud Computing A Practical Introduction to the Legal Issues on ammattilaisen kirjoittama helppolukuinen ja käytännönläheinen kuvaus pilvipalveluihin liittyvistä riskeistä ja keskeisistä oikeudellisista kysymyksistä. Jokaisen luvun lopussa on erinomainen tiivistelmä luvun keskeisistä asioista. Kirjan kirjoittaja, asianajaja Renzo Marchini, on perehtynyt informaatioteknologiaan, sähköiseen kaupankäyntiin, tietoturvaan ja tietosuojaan liittyviin asioihin. Daniel Westman on oikeusinformatiikan tohtoriopiskelija. Kirjoittajat edustavat sekä tiede- että yritysmaailmaa. Toinen osa käy läpi sähköisen kaupankäynnin vaiheet markkinoinnista kirjanpitoon asti. Kolmannen osan aiheena on julkishallinnon sähköiset palvelut. Kirja kertoo, miten verkkopalvelut ovat muuttaneet sääntelyä ja miten toisaalta pykälät ohjaavat tekniikan hyödyntämistä. Kirja on tarkoitettu etenkin oikeustieteen opiskelijoille. Kirja pureutuu erityisesti pilvipalveluihin liittyviin tietosuoja- ja tietoturvakysymyksiin, lisensointiin ja palvelutasoihin. kirjoittaja renzo marchini julkaisija british standard institute 2010. ti etoturva n J a t i e to s u o Ja n e r i koi s l e Ht i 3/2011 TieTosuoja 31. Ensimmäisessä käsitellään yksityisyydensuojaa, tietoturvaa ja vastuukysymyksiä. Kirjoittaja on lisännyt tekstiin käytännön vinkkejä, jotka helpottavat käsiteltävän asian ymmärtämistä. Professori Cecilia Magnusson Sjöberg johtaa Tukholman yliopiston oikeusinformatiikan laitosta. lukuvinkki 3/2011 informaatio-oikeutta tuleville juristeille Keväällä ilmestynyt Rättsinformatik: inblickar i e-samhället, e-handel och e-förvaltning käsittelee verkkomaailman oikeudellisia kysymyksiä
Myös kansainväliset asiat ovat ryhmän asialistalla. le kivijalalle muodostavat perustietovarannot, aikaisemmin perusrekistereiksi kutsutut valtakunnalliset tiedostot, joitten avulla hallintomme toiminnat on mahdollista toteuttaa yksilönsuojaa kunnioittaen ja samalla turhaa byrokratiaa välttäen. Perustietovarantojaosto etsii alansa kehittämiskohteita, tunnistaa tietojen uusia käyttömahdollisuuksia ja tekee tilaa innovaatioille. Sen tehtäväksi on määritelty ennen kaikkea tiedostoista vastuussa olevien organisaatioitten yhteistyön kehittäminen. Kuntien keskeistä asemaa selittää sekin, että perustietovarantojen ajantasaisuus perustuu monilta osin kuntien toiminnoista kerättyihin tietoihin. Nämä rekisterit sisältävät tiedot väestöstä, rakennuksista ja huoneistoista, kiinteistöistä sekä yrityksistä. Tietosuojan huomioimiseksi jaosto on asettanut tietosuojan ydinryhmän. Perustietovarantojaosto on etsinyt kohteita, joitten avulla Suomi voisi ottaa tietoyhteiskuntakehityksessä, jos ei tiikerinloikkaa, kuitenkin reippaita askelia eteenpäin. Toimintamalli on taannut ainutlaa- työryhmä seuraa tietosuoja-asioita Koska kehittämisen tarpeita on runsaasti, jaosto on päättänyt keskittää voimansa tiettyihin kohteisiin. 32 TieTosuoja 3/2011 t ietot urvan J a t ietosuoJ an erikoisl eHti. Jotta perustietovarantojaoston työskentelyssä olennainen ei unohtuisi, kaikkea rekisterihallinnon parissa tehtävää kehitystyötä tarkastellaan tietosuojan silmälasien läpi. Perusrekistereillä tarkoitetaan tärkeimpien tietojärjestelmien muodostamaa kokonaisuutta. Vankan lisäarvon näin rakentuneel- Yksi jaoston merkittävimmistä toimintakohteista on kuntien tietohuolto, muodostavathan kunnat merkittävän osan tietovarantojemme asiakaskunnasta. Jotta perusrekistereistä vastaavat organisaatiot voisivat vielä aiempaakin tuloksekkaammin tuottaa yhteiskunnan tarvitsemia tietoaineistoja, Julkisen hallinnon tietohallinnon neuvottelukunta (JUHTA) on asettanut Perustietovarantojaoston. profiili: perustietovarantojaosto Perusrekis tehokkuutta ja tietosuojaa perustietovarantojaosto tiivistää suurten rekisterinpitäjien yhteistyötä. Teksti: Hannu Luntiala s uomalainen hallinto rakentuu monen tekijän; luottamuksen, asiantuntemuksen, kehittyneen lainsäädännön ja teknologian varaan. Se myös esittelee onnistuneita käytännön ratkaisuja uusille tahoille; eläkeasioista, sosiaali- ja terveydenhuollosta sekä liikenteen kulkuneuvoista vastaaville viranomaisille. ainutlaatuinen ja tarpeellinen kokonaisuus Suomalainen perustietovarantoihin perustuva toimintamalli on tulosta asiantuntijaorganisaatioiden määrätietoisesta kehitystyöstä, verkostomaisesta toimintatavasta sekä hallinnon ja yritysten ammattimaisesta yhteistyöstä. Eräs jo alkuvaiheessa toteutettu hanke on ollut tähänastisten onnistuneitten käytännön toteutusten esitteleminen julkaisussa. Ryhmän asiantuntijat ovat ottaneet kehittämiskohteikseen sähköisen asioinnin eri teemat, tietojen tarkastusoikeuden toteuttamistavat ja kehittämistarpeet sekä tuoreimpina kysymyksinä tietotilinpäätöksen ajankohtaiset kysymykset
Myös uusi hallitusohjelma kiinnittää muutamassa kohdassa huomionsa perustietovarantojen laatuun ja näitten yhä laajempaan hyödyntämistarpeeseen. " Väestönlaskenta tehdään Suomessa kokonaan rekistereiden perusteella. Perustietovarantojaosto · toimiijulkisenhallinnontietohallinnonneuvottelukunta JuHtan yhteydessä. · Jaostonjäsenet:Eläketurvakeskus,Kansaneläkelaitos, liikenteen turvallisuusvirasto trafi, maa- ja metsätalousministeriö, maanmit-tauslaitos, oikeusministeriö, patentti- ja rekisterihallitus, sosiaali- ja terveysalan lupa- ja valvontavirasto valvira, kuntaliitto, terveyden ja hyvinvoinnin laitos, tietosuojavaltuutetun toimisto, tilastokeskus, valtiovarainministeriö, verohallinto, viestintävirasto, väestörekisterikeskus ja ympäristöministeriö. www.vm.fi > julkisen hallinnon iCT-toiminta > juHTa > Perustietovarantojaosto kirjoittaja Hannu luntiala on perustietovarantojaoston puheenjohtaja ja väestörekisterikeskuksen ylijohtaja. Paitsi ylpeydenaiheeksi, saavutuksesta saattaisi olla jopa Suomen vientituotteeksi. Tämä on selkeä osoitus asiakokonaisuuden merkityksestä hallintotoiminnassamme. vrk ti etoturva n J a t i e to s u o Ja n e r i koi s l e Ht i 3/2011 TieTosuoja 33. Se on monessa Euroopankin valtiossa vasta kaukainen haave. Ensiarvoisen tärkeää onkin, että varannoista vastuussa oleville organisaatioille taataan nykyisessä, joskus ikuiselta vaikuttavassa talouden turbulenssissa, kohtuulliset toiminnan kehittämisen edellytykset. · PerustietovarantojaostonpuheenjohtajaonVäestörekisterikeskuksen ylijohtaja Hannu luntiala ja varapuheenjohtaja maanmittaus-laitoksen ylijohtaja arvo kokkonen. Tämän toteutuessa voittajia ovat kaikki; hallinto, yritykset ja yksittäiset kansalaiset. · Jaostontoimikausionkolmivuotinenjaulottuuvuoden 2012 loppuun asti. stereillä scanstockpHoto tuisen, maailman huippuluokkaa edustavan tietojärjestelmäkokonaisuuden, jota tullaan maailman eri puolilta yhä uudestaan hämmästelemään
Uuden selvityksen perusteella lainsäädännön noudattamisessa on kuitenkin edelleen selkeitä puutteita. Edellinen vastaava selvitys sosiaalihuollon sektorille tehtiin vuonna 2008, ja siihen verrattuna edistystä näyttää tapahtuneen. Tietosuojavaltuutetun tänä kesänä tekemään kyselyyn vastanneista yksityisistä palveluntarjoajista joajia. palveluntarjoajat ovat kiinnittäneet enemmän huomiota tietosuojaan, joskin parannettavaa on vielä. Sosiaalihuollon tietosuojassa edistystä osiaalihuollon palveluntarjoajat pitävät tietosuojaa erittäin tärkeänä. Vastanneista noin 60 on yksityisiä sosiaalihuollon palveluntar- 94 prosenttia kokee tietosuojan erittäin tärkeänä, julkisen sektorin toimijoista 82 prosenttia. tietosuojavastaavan toimenkuva yhä epäselvä Tulosten perusteella yhä useampi sosiaalihuollon palveluntarjoaja on nimennyt tietosuojavastaavan. Viidenneksellä vastanneista yksiköistä tietosuojavastaava on siis kuitenkin yhä nimeämättä. Tulosten perusteella lähes kaikki tietosuojavastaavat hoitavat tehtävää muiden tehtäviensä ohella. " 34 TieTosuoja 3/2011 Tietosuojavastaavan toimenkuva hakee yhä muotoaan. t ietot urvan J a t ietosuoJ an erikoisl eHti. Sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annettu laki ja henkilötietolaki asettavat velvoitteita sosiaalihuollon rekisterinpitäjille. Edellisessä kyselyssä tietosuojavastaavan oli nimennyt vain kolmannes vastaajista, nyt 79 prosenttia. Sekä julkisella että yksityisellä oli useimmin valittu organisaatioon yksi tietosuojavastaava. Vastauksia saatiin vajaa 300, ja vastausprosentti on noin 70. Selvitys lähettiin kaikille kunnille, erityishuoltopiireille ja alueellisesti suurimmille yksityisille so- Teksti: Mari Pietiäinen s siaalihuollon organisaatioille
Vastaajien mukaan tietosuojavastaavan toimenkuvaa ei ole organisaatiossa rajattu selkeästi, tehtävän hoitamiseen ei ole varattu riittävästi aikaa ja on epäselvää, kenen tulisi olla tietosuojavastaava. Selvitys osoittaa, että tietosuojavastaavan toimenkuva on sosiaalihuollossa edelleen epäselvä. Syiksi siihen, ettei lokivalvontaa tehdä, mainittiin muiden muassa resurssipula ja se, ettei asiakastietojärjestelmä mahdollista vielä tällaista valvontaa. kirjoittaja korkeakouluharjoittelija mari Pietiäinen teki tietosuojavaltuutetun toimistossa selvityksen sosiaalihuollon tietosuoja- ja tietoturvaasioista. Vastanneista yksiköistä vain alle puolet oli antanut tietosuojakoulutusta enemmistölle tai kaikille työntekijöilleen. Toimintaohjeet väärinkäytösten varalle on laatinut vain noin 60 prosenttia vastaajista. valtaosa tiedottaa asiakkaille Sosiaalihuollon asiakkaiden informointi on tulosten perusteella toteutunut hyvin: noin 85 prosenttia vastaajista on tiedottanut asiakkaille asiakastietojen käsittelystä. Säännöstä ohjeiden antamisesta kirjallisesti noudatetaan nihkeämmin. Sosiaalihuollon palveluntarjoajat opastavat työntekijöitä melko säntillisesti: Sekä tämänvuotiseen että vuoden 2008 kyselyyn vastanneista noin 85 prosenttia on ohjeistanut henkilökuntaa sähköisten asiakastietojen käsittelemisestä. Eniten asiakkaita on informoitu siitä, mihin tarkoitukseen tietoja käytetään ja asiakkaan oikeudesta tarkastaa omat tietonsa. Tämänvuo- lokivalvonta yleistynyt hieman Lokivalvonnassa eli sähköisten asiakastietojen käytön seurannassa on otettu pieniä edistysaskelia. Tulosten perusteella enemmistö, noin 62 prosenttia, on joko sitä mieltä, että toimenkuva ei ole selkeä tai että se hakee vielä muotoaan. Hieman yli puolet vastaajista ilmoitti valvovansa asiakastietojen käsittelyä lokitietojen avulla, kun aiemmassa selvityksessä vain noin kolmannes ilmoitti valvovansa. Koulutuksessakin olisi kohennettavaa. aiheeSta enemmän kyselyn tarkemmat tulokset ovat tietosuojavaltuutetun toimiston verkkosivuilla www.tietosuoja.fi kohdassa ajankohtaista. Olisi kuitenkin tärkeää, että loputkin 15 prosenttia huolehtisivat informointivelvollisuudestaan. kirjalliset ohjeet uupuvat usealta yksiköltä Laissa velvoitetaan vastaavaa johtajaa antamaan kirjalliset ohjeet ja kouluttamaan henkilökuntaa asiakastietojen käsittelystä. tietosuojavastaava on nimettynä vastaava johtaja on laatinut kirjalliset ohjeet henkilökunnalle työntekijöiltä on otettu kirjallinen salassapito- ja käyttäjäsitoumus asiakastietojen käsittelyä valvotaan lokitietojen avulla asiakkaita on informoitu asiakastietojen käsittelystä 2008 kysely 32 % 34 % 66 % 30 % 80 % 2011 kysely 79 % 63 % 78 % 57 % 85 % tämänvuotisen kyselyn viisi keskeisintä tulosta verrattuna vuoden 2008 kyselyn tuloksiin. ti etoturva n J a t i e to s u o Ja n e r i koi s l e Ht i 3/2011 TieTosuoja 35. Kirjallisissa ohjeissa käsitellään muiden muassa vaitiolovelvollisuutta, asiakirjasalaisuutta, salassapito- ja käyttäjäsitoumuksen edellyttämistä työntekijöiltä, sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annettua lakia, henkilötietolakia ja asiakkaan suostumusta asiakastietojen luovuttamiseen. Tietosuojavastaavan tärkeimmiksi tehtäviksi kyselyyn vastanneet määrittelivät osallistumisen tietosuoja- ja tietoturvaohjeiden valmisteluun ja ylläpitoon, henkilökunnan tukena toimimisen ja yksikön käytänteissä olevien puutteiden tuomisen johdon tietoisuuteen. tisten vastausten perusteella vain 63 prosentissa organisaatioista vastaava johtaja on laatinut henkilökunnalle asiakastietojen käsittelystä kirjalliset ohjeet
Paljon käytetty työkalu on esimerkiksi niin kutsuttu 360 asteen arviointikysely, jossa henkilön toimintaa arvioivat esimies, alaiset ja työtoverit. Arvioinnin toteutus vaatii ammattitaitoa, eikä vähiten tietosuojan ja yksityisyyden turvaamiseksi. 36 TieTosuoja 3/2011 t ietot urvan J a t ietosuoJ an erikoisl eHti. työelämän tietosuoja Tutkassa työpaikalla Henkilöstöarviointi koettelee työntekijän yksityisyyden rajoja. Teksti: Kirsi Castrén e rilaiset henkilöstöarvioinnit yleistyvät yrityksissä ja organisaatioissa, usein osana laajempaa henkilöstön kehittämistai valmennusohjelmaa. "Näin pyritään hakemaan henkilön toimintaympäristöstä monipuolista palautetta siitä, miten eri toimijat hänet näkevät", kertoo henkilöstöjohtaja Leena Kinnunen Promenade Researchista. Arvioijat ovat esimiestä lukuunottamatta yleensä nimettömiä
"Tulokset käydään ulkopuolisen arviointiorganisaation edustajan avustuksella yhteisesti läpi, jotta ne ymmärretään oikealla tavalla ja, mikä tärkeintä, jotta niitä osataan käyttää oikein toiminnan kehittämiseen", kertoo henkilöstöjohtaja Juha Pentti. "Raportti kuuluu lähtökohtaisesti vain arvioinnin kohteelle, ja hän päättää sen julkistamisesta", Kinnunen painottaa. Lain mukaan tietojen keruu edellyttää henkilön suostumusta, ja myös niiden luovutuksesta on sovittava hänen tulokset oikeaan valoon Työpaikoilla on vaihtelevia käytäntöjä siitä, millä tavoin arviointituloksia hyödynnetään. ti etoturva n J a t i e to s u o Ja n e r i koi s l e Ht i 3/2011 TieTosuoja 37 sanoF-aventis "esimies ei saa säilyttää tarpeetonta henkilöstöön liittyvää tietoa", sanof-aventiksen henkilöstöjohtaja sari ek-petroff sanoo.. TeliaSonerassa esimiehet esittelevät omat arviointituloksensa tiimin yhteisessä palaverissa. TeliaSonerassa esimiehillä on mahdollisuus ennen toteutusta ottaa kantaa arviointilomakkeisiin henkilöstöosaston kanssa pidetyissä palavereissa. Myös alaisten vertaisarvioiden tulokset käsitellään tiimissä. "Edellytys arvioinnille on, että kaikki tiimin jäsenet hyväksyvät sen ja pitävät sitä "Jo arvioinnin suunnittelussa on hyvä käydä läpi käytännön tietosuojakysymykset, esimerkiksi, missä ja miten kauan aineistoa säilytetään", Kinnunen tähdentää. promenaDe researcH scanstockpHoto itsensä kanssa. "Yksilön tietosuojan kannalta ei ole oikein näyttää raporttia esimerkiksi hänen esimiehelleen ennen kuin hänen kanssaan on siitä keskusteltu." mielekkäänä", Pentti painottaa. ammattimaisuus tärkeää Henkilöstöjohtajien mukaan TeliaSoneran ja Sanof-Aventiksen henkilöstö on suhtautunut arviointeihin pääosin myönteisesti. arvioitava päättää julkistamisesta Tunnistettavaa henkilöä koskevat arviointitulokset ovat henkilötietoja, jotka muodostavat henkilötietolaissa tarkoitetun henkilörekisterin. "tietosuoja on hyvä käydä läpi jo arvioinnin suunnittelussa", korostaa henkilöstöjohtaja leena kinnunen promenade researchista. " Arvioinnin toteutus vaatii ammattitaitoa. Esimerkiksi lääkeyhtiö Sanof-Aventiksessa arviointiraportin saavat vain henkilö itse, hänen esimiehensä ja henkilöstöosaston edustaja, kertoo henkilöstöjohtaja Sari EkPetroff
"uskallan sanoa, että arvioija ei ole edes ammattitaitoinen, jos hän ei tuo esiin niin keskeistä asiaa kuin arvioinnin vapaaehtoisuutta." esimerkiksi työpaikalla pitkään jatkunut arviointikäytäntö ei tarkoita, että siihen olisi saatu kohteen suostumus. "arvioijan tulisi huolehtia siitä, että henkilö voi antaa tietoisen suostumuksen, eikä arvioija saa ylittää suostumuksen rajaa esimerkiksi siirtymällä kyselyssä henkilökohtaisempiin asioihin ja ominaisuuksiin", koskinen huomauttaa. TeliaSonerassa ja Sanof-Aventiksessa henkilöstön edustajien yleisimmin esittämät kysymykset koskevat arviointitietojen säilytysaikaa ja sitä, ketkä näkevät tulokset. Vaikutelmani on, että osallistujat ovat kokeneet ne hyvin tarpeellisiksi. siitä ei voi sopia kollektiivisesti, eikä sitä voi toisen puolesta antaa esimerkiksi henkilöstön edustaja." työelämän tietosuojalain mukaan työnantaja saa kerätä vain välittömästi työsuhteen kannalta tarpeellisia henkilötietoja. työelämän tietosuoja teliasonera Vaikka Sanof-Aventiksessa arviointeihin ei yleensä erikseen pyydetä suostumusta, ei Sari Ek-Petroffin mukaan toistaiseksi vielä kukaan ole kieltäytynyt: "Arvioinnit ovat osa kokonaistoimintaamme ja liittyvät olennaisesti muiden muassa johtamiseen ja palkitsemisjärjestelmiin. Ammattimainen ote näissä asioissa on tärkeä", Pentti sanoo. " Työntekijältä täytyy saada henkilökohtainen suostumus testiin. Arviointiin on aina pyydettävä suostumus "Kun HenKilöä arVioidaan sellaisilla mittareilla kuin esimerkiksi 360 asteen arviointi, on kyse voimakkaasti yksityisyyteen liittyvästä asiasta", toteaa työoikeuden professori seppo Koskinen lapin yliopistosta. Säilytysaika on tiukasti sidoksissa tietojen käyttötarkoitukseen: "Esimerkiksi, kun rekrytoinnit on tehty tai arviointien perusteella kehityskeskustelut käyty, ei arvioilla tee enää mitään", Ek-Petroff sanoo. Sanof-Aventiksessa arkaluontoiset tiedot ovat paitsi salasanojen, usein myös salauksen takana. 38 TieTosuoja 3/2011 t ietot urvan J a t ietosuoJ an erikoisl eHti. "Henkilöarvioinnit ovat arkoja asioita, tiedot lukkojen takana Henkilöarvioinnit kuuluvat työelämän tietosuojalain perusteella yhteistoimintamenettelyn piiriin. Lain mukaan henkilörekisterin ylläpitäjän tulee huolehtia siitä, etteivät tiedot pääse vääriin käsiin. Hän näkee tärkeänä henkilöstön ohjeis- "Henkilöarvioinnit ovat arkoja asioita, joissa ei pidä toimia harrastelijamaisesti", teliasoneran henkilöstöjohtaja Juha pentti muistuttaa. joissa ei pidä toimia harrastelijamaisesti, sillä niillä pystyy käsittääkseni pahimmillaan myös tulehduttamaan työyhteisön ilmapiiriä. koskinen korostaa osallistumisen vapaaehtoisuutta myös silloin kun arviointia käsitellään yhteistoimintamenettelyssä: "suostumus arviointiin tulee kysyä nimenomaisesti. arvioitavan tulee saada tutustua lomakkeiden sisältöön ennen päätöstään arviointiin osallistumisesta. lainsäädäntö pyrkii suojaamaan yksilön päätäntävaltaa hänen henkilötietojaan koskevissa kysymyksissä. Onhan kyse itsensä kehittämisestä ja uuden oppimisesta." Sekä Ek-Petroff että Juha Pentti suosittelevat ammattiavun käyttöä kyselyjen toteutuksessa
näiden psykologisten- tai muiden testien ja niiden perusteella tehtyjen arviointien tekemiseen tarvitaan työntekijän tai työnhakijan suostumus. se voi olla nimenomainen tai käydä ilmi myös asiayhteydestä eli siitä, että työntekijä tai työnhakija osallistuu testin tekemiseen ja arviointiin. aiheeSta enemmän tietosuojavaltuutetun toimiston työelämän tietosuoja -käsikirja: www.tietosuoja.fi > oppaat > asiaa tietosuojasta -sarja ti etoturva n J a t i e to s u o Ja n e r i koi s l e Ht i 3/2011 TieTosuoja 39. niihin ei tarvita työntekijän erillistä suostumusta. Julkisissa organisaatioissa arviointien painopiste on usein palkkausjärjestelmään liittyvissä esimiehen ja alaisen välisissä tulos- ja kehityskeskusteluissa. tyypillisesti testaaminen annetaan ulkopuolisen toimeksisaajan tehtäväksi. Kehityskeskusteluissa täytettyjä alkuperäisiä arviointilomakkeita ei Tullihallituksessa lainkaan toimiteta henkilöstöhallintoon, vaan ne jäävät esimiehen säilytettäviksi. mikäli testituloksia on tarkoitus julkistaa työpaikalla esimerkiksi työtovereille, on syytä varmistaa, että tähän on peruste, vaikkapa työntekijän suostumus. työnantajan pitää kuitenkin informoida työntekijää ennen kuin työsuoritearvioinnin tietoja käytetään häntä koskevassa päätöksenteossa. On kuitenkin syytä erikseen varmistaa, että arviointikyselyt varmasti tulevat määritellyiksi tähän kategoriaan", hän opastaa. Testit ja kehityskeskustelut kaksi eri asiaa erilaisia testejä Käytetään sekä työnhakijoiden että työntekijöiden henkilökohtaisten ominaisuuksien sekä tietojen ja taitojen arvioinnissa. työnantajan omassa toiminnassa tapahtuvasta työntekijöiden henkilötietojen käsittelystä ei tarvitse ilmoittaa tietosuojavaltuutetulle, mutta kaikista henkilöstöhallinnon rekistereistä tulee laatia kaikkien saatavilla oleva rekisteriseloste. "Kehityskeskusteluista tulee henkilöstöosastollemme tieto vain kokonaispistemäärästä, jonka mukaan palkkauksen henkilökohtainen osa muodostuu", tulliylitarkastaja Ulla-Maija Larsen kertoo. "Lomakkeita on tarve säilyttää korkeintaan muutama vuosi, niin kauan kuin niillä on palkkauksellista merkitystä", Larsen sanoo. tällaisesta ulkoistamisesta pitää tehdä ilmoitus tietosuojavaltuutetulle. testit ovat työnantajan toiminnan kannalta asiallisesti perusteltavissa työnhakuvaiheessa sekä muun muassa urasuunnittelun ja työorganisaation kehittämisen tilanteissa. kyseeseen tulevat useimmiten esimiehet ja henkilöstöhallinnon työntekijät. Näin on esimerkiksi Tullihallituksessa. Ylitarkastaja mia murtomäki, tietosuojavaltuutetun toimisto kehityskeskustelut luottamuksellisia Henkilö- ja soveltuvuusarviointien tulokset ovat salassa pidettävää tietoa paitsi henkilötietolain, myös julkisuuslain näkökulmasta. Tarpeettomien henkilötietojen oikeanlaisesta hävittämisestä on hyvä muistuttaa aika ajoin. vastaavasti henkilö- ja soveltuvuusarviointialan yritysten tulee tehdä tietosuojavaltuutetulle toimintailmoitus. sen sijaan esimerkiksi työntekijän työsuorituksen arvioinnit tai kehityskeskustelujen yhteydessä palkkaperustetta varten tehdyt työsuoritearvioinnit kuuluvat yleensä työnjohto-oikeuden piiriin. tamisen arkaluontoisten tietojen käsittelyssä. työnantaja rekisterinpitäjänä päättää, kenen tehtäviin näiden tietojen käsittely asiallisesti perustellen kuuluu, mahdollisimman rajatusti ja tietosuojaa kunnioittaen. "Henkilöstöosastolla nämä asiat tiedetään, mutta olen huomannut, että esimiehille saattaa joskus kertyä heidän omista tiiminjäsenistään tietoa, josta he eivät välttämättä tule edes ajatelleeksi, että tämä on henkilötietoa, jota en ehkä saisi säilyttää." Samaan kiinnittää huomiota Promenade Researchin Leena Kinnunen: "Monilla organisaatioilla on ohjeistus siitä, miten arkaluontoisia dokumentteja säilytetään. testituloksia ja niiden perusteella tehtyjä arviointeja koskevat henkilötietolain suojaamisvelvoite ja vaitiolovelvollisuus, julkishallinnossa myös julkisuuslain salassapitovelvoite
Työtä koordinoi valtiovarainministeriöön keväällä perustettu julkisen hallinnon ICT-toiminto." Tietohallintolain ulkopuolelle jäävät muun muassa eduskunta, Kela, Suomen ulkisen sektorin tietohallinto yhtenäistyy tulevina vuosina, kun syyskuun alussa voimaan tullutta lakia julkisen sektorin tietohallinnon ohjauksesta aletaan toteuttaa käyPankki ja yliopistot. "Lain toimeenpanon myötä julkisen 40 TieTosuoja 3/2011 t ietot urvan J a t ietosuoJ an erikoisl eHti. "kun julkisen hallinnon sähköinen asiointi yhtenäistyy ja tulee helpommaksi, sen suosion uskotaan lisääntyvän", kuntait-yksikön päällikkö ville-veikko ahonen sanoo. hallinnon tietojärjestelmät keskustelevat paremmin keskenään, päällekkäisyydet poistuvat ja saadaan tietoa, minkälaista kehittämistä eri yksiköissä tapahtuu", kertoo KuntaIT-yksikön päällikkö Ville-Veikko Ahonen valtiovarainministeriöstä. Hän korostaa, että virastojen ei tarvitse välittömästi ryhtyä lain edellyttämiin toimenpiteisiin. Ketään ei jätetä pulaan. Myös tietoturvan tasossa on ollut eroja. Kuntia laki koskee vain lakisääteisten tehtävien osalta. julkinen tietohallinto yhtenäistyy toistensa kanssa keskustelevat tietojärjestelmät parantavat asiakaspalvelua, mutta tietoturvasta on pidettävä huolta. Teksti: Markku Summa Kuvat: Marko Oja / valtiovarainministeriö j tiedot yhdestä paikasta Tietohallinnon erilaiset ongelmat ovat olleet virastoissa arkipäivää. Valtiovarainministeriöstä tulee jo syksyn aikana ohjeistusta ja opastusta." Ensimmäiset versiot julkisen hallinnon yhteisestä kokonaisarkkitehtuurista julkaistaan syksyllä, ja myös koulutusta on suunnitteilla. Se takaa, että tieto ei ole tännössä. "Pyrimme siihen, että enää ei tarvitse viedä samaa tietoa eri järjestelmiin, vaan se on yhdessä paikassa sikäli kuin tietosuojakäytäntö sen sallii. "Riittää, kun hallinto on kuulolla. Pääosin tämä on johtunut siitä, että kun ohjaus on puuttunut, on ollut monenlaisia paikallisia ratkaisuja. "Sen jälkeen uuteen yhtenäiseen käytäntöön on pitkät siirtymäajat ja toimeenpano tapahtuu vaiheittain. Laki edellyttää valtion ja kuntien viranomaisten käyttävän tietohallinnossaan yhtenäistä kokonaisarkkitehtuuria ja yhteisiä palveluita sekä järjestelmien olevan yhteentoimivuuden kuvausten ja määritysten mukaisia. Kokonaisarkkitehtuurin sisältöä koskevia julkisen hallinnon suosituksia (JHS), standardeja ja asetuksia valmistellaan todennäköisesti vasta vuodesta 2012 lähtien
Aikaisemminkin ohjeita kyllä saattoi antaa, mutta niiden noudattamatta jättämisestä ei aiheutunut seuraamuksia. Lisäksi usean rekisterin hoito vaatii yleensä enemmän resursseja." "Tietoturvahaasteita on pohdittu julkisessa hallinnossa monesta näkökulmasta. "Kysymys ei ole valvonnasta vaan auttamisesta. "keskitetyllä ohjauksella tavoitellaan säästöjen lisäksi sitä, että tietohallinto palvelisi paremmin uusia toimintatapoja", julkisen hallinnon ict-johtaja timo valli sanoo. yhdessä järjestelmässä ajantasaista ja jossakin toisessa vanhentunutta", Ahonen toteaa. Sillanpään mukaan tietoturvan kannalta ei ole eroa, haetaanko tieto yhdellä pyynnöllä useammasta rekisteristä vai tehdäänkö esimerkiksi kaksi tai kolme kyselyä peräkkäin. vallilla on yli kahdenkymmenen vuoden työkokemus tietohallinnon tehtävissä. kyseessä on viiden vuoden määräaikainen tehtävä. Tietoturvaan tulee vain siinäkin tilanteessa kiinnittää riittävästi huomiota, muistuttaa valtionhallinnon tietoturvallisuuden johtoryhmän (VAHTI) sihteeristön puheenjohtaja, tietoturvallisuusasiantuntija Juhani Sillanpää. tietohallinnon keskitetyssä ohjauksessa tukeudutaan yhtenäiseen arkkitehtuuriin. se muodostettiin irrottamalla valtiovarainministeriön hallinnon kehittämisosastosta valtion it-toiminnan johtamisyksikkö, kuntait-yksikkö ja turvallisuusverkkoyksikkö. "Muutama keskitetty rekisteri, joiden tietoturva on hyvin hoidettu, on ehdottomasti turvallisempaa kuin se, että tiedot ovat hajallaan monessa tietoturvaltaan eritasoisessa rekisterissä ja niitä haetaan usealla eri tavalla. ict-toiminto edistää valtion ja kuntien välistä tietohallintoyhteistyötä sekä vastaa julkisen hallinnon tietoturvallisuuden yleisestä kehittämisestä ja valtionhallinnon tietoturvallisuuden ohjauksesta. Tietoturva on valtionhallinnon yksiköissä pääosin hyvällä tasolla, mutta erojakin on. toiminto on suoraan valtiovarainministeriön kansliapäällikön alaisuudessa. "Erityisen tarkka pitää olla tietojärjestelmiin tehtävien muutosten yhteydessä. ict-johtaja vetää valtiovarainministeriöön maaliskuussa perustettua julkisen hallinnon tieto- ja viestintäteknistä toimintoa. Valtionhallinnon yksiköitä laki velvoittaa pyytämään valtiovarainministeriön lausunnon yli viiden miljoonan euron tietohallintoinvestointeihin. "perustietovarantojen parempi hyödyntäminen ja tietojen yhteiskäytön lisääminen mahdollistavat julkisten palvelujen hoitamisen entistä tuottavammin." suojattu ja keskitetty rekisteri turvallisin Hallinnon tietojärjestelmien täytyy keskustella keskenään; se on osa nykyaikaista asiakaspalvelua. Sillanpää arvioi, että yhtenäiset ohjeet parantavat julkisen hallinnon tietoturvaa entisestään. Jokainen yksittäinen rekisteri voidaan tehdä tietoturvalliseksi, mutta yhtenäinen rekisteri takaa parhaiten tietojen eheyden. Asia, joka on tähän asti ollut kunnossa, saattaa ti etoturva n J a t i e to s u o Ja n e r i koi s l e Ht i 3/2011 TieTosuoja 41. Tähän mennessä Suomessa on onnistut- tu hyvin: suuria järjestelmävirheitä ei ole tapahtunut, mutta myös se mahdollisuus täytyy koko ajan ottaa huomioon", Sillanpää sanoo. yllättäen muutostyön jälkeen aiheuttaa ongelmia", hän muistuttaa. "Vaikka nyt voidaan antaa velvoittavia normeja, todennäköisesti tullaan määrittelemään lähinnä linjauksenomaisesti, minkälainen tietoturvan taso tulee saavuttaa." tarkkana järjestelmämuutoksissa Sillanpää korostaa, että tietoturvatyö on jatkuvaa haavoittuvuuksien tunnistamista ja niiden eliminoimista. Kaikkien etu on, että julkisen hallinnon suuret it-hankkeet ovat budjetiltaan ja aikataulultaan realistisia ja että ratkaisuja mahdollisiin epäkohtiin etsitään jo etukäteen", Ahonen korostaa. Timo Valli aloitti julkisen hallinnon ICT-johtajana julKisen Hallinnon iCt-joHtajana aloitti heinäkuussa filosofian maisteri, mba timo valli. ohjauksen välineenä toimii myös syyskuussa voimaan tullut tietohallintolaki. "Yhteiset it-palvelut, kuten tunnistuspalvelu, asiointitili ja palvelualusta, tuovat viranomaisille selviä taloudellisia säästöjä ja edesauttavat varsinaisten asiakaspalvelujen kehittämistä", valli sanoo. viimeiset kaksitoista vuotta hän on ollut pirkanmaan sairaanhoitopiirin tietohallintojohtaja
uusi laki oikeushallinnon keskeisillä rekistereillä on nyt yksi rekisterinpitäjä. Teksti: Markku Summa Kuva: Rodeo vahvistaa oikeushallinnon tietosuojaa v iime vuoden joulukuussa voimaan tullut laki oikeushallinnon valtakunnallisesta tietojärjestelmästä selkeytti henkilötietojen viranomaisille. "Enää ei tarvitse kysyä erikseen eri tuomioistuimilta tai syyttäjänvirastoilta. Rekisterinpitäjän tehtävänä on myös valvoa tietojen käyttöä. käsittelyn pelisääntöjä. Aina henkilö ei edes ole tiennyt, mistä rekisteristä aloittaa tietojen tarkistaminen", Rekisterityksikön toimialajohtaja, Marjatta Syväterä kertoo. Lain mukaan oikeushallinnon alan tietojärjestelmien ja rekisterien rekisterinpitäjänä toimii Oikeusrekisterikeskus. Oikeusrekisterikeskus välittää tietojärjestelmän avulla oikeushallinnon viranomaisten ilmoittamia ratkaisutietoja muille niitä tarvitseville rekisteri- tai täytäntöönpano- kansalaisen tiedot yhdellä pyynnöllä Yksi rekisterinpitäjä helpottaa viranomaisten ja kansalaisten asiointia merkittävästi. "Lisäksi myös tutkimus- ja tietopyynnöt voi tehdä keskitetysti meille." 42 TieTosuoja 3/2011 t ietot urvan J a t ietosuoJ an erikoisl eHti. Virasto myös vastaa tietojen luovutuksista muille viranomaisille ja kansalaisille. Lainmuutoksen jälkeen siitä tuli myös muiden tuomioistuinten, syyttäjien ja oikeusaputoimistojen käytössä olevien tietojärjestelmien rekisterinpitäjä. Se on jo aiemmin ollut rikosrekisterin, sakkorekisterin, konkurssi- ja yrityssaneerausrekisterin sekä velkajärjestelyrekisterin ja liiketoimintakieltorekisterin rekisterinpitäjä. Kansalainen voi tarkistaa omat lainkäyttöasioita koskevat tietonsa yhdellä pyynnöllä Oikeusrekisterikeskuksesta
nioittaen. "Edetty oikeassa järjestyksessä" Omat tietonsa voi nyt tarkistaa yhdellä pyynnöllä. oiKeusHallinto ei ole ensimmäisten, mutta ei myöskään viimeisten joukossa tekemässä tarvittavia tietosuojauudistuksia tietojärjestelmäänsä. tähän tallennetaan järjestelmistä 1) ja 2) poistettuja tietoja ja tietoja muista rekistereistä. Viimeistään sen jälkeen henkilötietojen käsittelyn oikeushallinnossa on oltava Kolmen osan tietojärjestelmä oiKeusHallinnon valtakunnallinen tietojärjestelmä jakautuu eri käyttötarkoitusten mukaan kolmeen osaan: 1) ratkaisu- ja päätösilmoitusjärjestelmä. on selvää, että tietoturvan pitää olla kunnossa, muuta vaihtoehtoa ei ole", hän korostaa. onnistunut muutos edellyttää hyvää johtamista." tietosuojaa on tarkasteltu myös arkaluonteisten tietojen näkökulmasta. Lain voimassaoloaikana ei ole vielä ehditty tehdä kovin paljon konkreettisia toimenpiteitä. "Yhteiskunnassa on voitava käsitellä ja siirtää sähköisesti arkaluonteisiakin tietoja. tuottaa tilastoja ja tietoaineistoja oikeusministeriölle ja oikeushallinnon viranomaisille. tietoja välitetään niitä tarvitseville täytäntöönpano- ja rekisteriviranomaisille koskien muiden muassa vankeuden ja sakon täytäntöönpanoa, rikosrekisteriä, ajoneuvoliikennerekisteriä. Kesäkuun alussa tuli mahdolliseksi luovuttaa sähköisesti velkomustuomioita koskevia tietoja. välittää oikeushallinnon viranomaisille tietoja vireillä olevan asian käsittelemiseksi ja valvonta- tai kehittämistehtävän suorittamiseksi sekä yleisölle tietoja tuomioistuimissa käsittelyssä olevista asioista. 3) raportointi-, tilasto- ja arkistojärjestelmä. "Nyt olemme panostaneet siihen, että henkilötietojen käsittelyä koskevat säännöt otetaan huomioon uusissa, tekeillä olevissa tietojärjestelmissä." Myös nykyisin käytössä oleville tietojärjestelmille on laadittu valvontasuunnitelma. siirtymäaikaa riittävästi Uudistus on mittava työhaaste Oikeusrekisterikeskukselle. Myös poistoajat on määritelty; esimerkiksi milloin tieto tuomiosta tai syyttäjän päätöksestä jättää syyttämättä poistetaan tietojärjestelmästä. lain edellyttämällä tasolla. ti etoturva n J a t i e to s u o Ja n e r i koi s l e Ht i 3/2011 TieTosuoja 43. Laissa on säädetty tarkasti oikeushallinnon viranomaisten ja Oikeusrekisterikeskuksen oikeudesta käyttää ja luovuttaa tieTiedot, joita viranomaiset tarvitsevat asioita ratkaistessaan tai muuten toiminnassaan, tulevat Syväterän arvion mukaan siirtymään sujuvasti oikeushallinnon viranomaiselta toiselle. uusia sähköisiä palveluja Uudistus tuo vauhtia oikeushallinnon sähköisten palveluiden kehitystyöhön. siihen muidenkin viranomaisten pitää panostaa viimeistään silloin, kun eu:n henkilötietodirektiivi uudistuu. "lisäksi tietovarannot on kuvattu kattavasti. " toja. monella hallinnonalalla ei tunneta riittävän hyvin organisaation ulkopuolisia tiedontarpeita." tiedon laatu pitää ottaa huomioida erityisesti, kun tieto liikkuu eri hallinnonalojen välillä. Siirtymäaikaa on 1.12.2015 asti. Kansalaiset voivat tehdä sähköisesti haastehakemuksen tuomioistuimelle velkomusasiassaan ja siirtää saatavan perimisen edelleen ulosottoon sähköisellä hakemuksella. 2) Diaari- ja asianhallintatietojen valtakunnallinen käsittelyjärjestelmä. Arkaluonteisia tietoja luovutetaan jatkossakin tietosuojaa kun"Uudistuksen lähtökohtana oli myös parantaa entisestään henkilötietojen suojaa." Laki säätelee muun muassa, mitä tietoja saa luovuttaa, kenelle ja mihin tarkoitukseen. "Päänavaus on jo tehty, ja suunnitelmissa on tuoda lisää sähköisiä palveluita sikäli kuin se vain on mahdollista", Marjatta Syväterä sanoo. oikeushallinnon uudistus on aarnion mielestä kivijalka, jonka päälle voidaan rakentaa sähköisiä palveluja. aarnio on tyytyväinen siitä, että oikeusrekisterikeskus kiinnittää huomiota myös tietojen käsittelyn ja luovutuksen lainmukaisuuden valvontaan. oikeushallinnossa tietosuoja on lainsäädännöllisesti riittävällä tasolla uudistamishankkeen toteuduttua, sanoo tietosuojavaltuutettu reijo aarnio: "pitkä siirtymäaika viestii sitä, että järjestelmä pyritään saamaan kaikin puolin lain edellyttämään kuntoon ennen kuin se otetaan käyttöön. vastuusuhteet selviksi Oikeushallinnon kannalta lakiuudistus tuo selkeyttä aikaisemmin hankaliksi koettuihin vastuusuhteisiin
Tämä koskee niitä asiakkaita, jotka eivät ole käyttäneet kielto-oikeuttaan." Hotellit keräävät asiakkaistaan muitakin tietoja. "Avainkorttijärjestelmään tallentuu vain se, että tiettyä koodattua avainta on käytetty huoneen lukossa tiettyyn aikaan. Tallentimesta tiedot häviävät tietyn ajan kuluttua." Huoneiden aVainKorteistaKin Varmaan Kertyy tietoja. miKsi. kysymyksiä voi lähettää osoitteeseen info@tietosuoja-lehti.fi t ietot urvan J a t ietosuoJ an erikoisl eHti. "Takuutarkoituksessa. Sinne ei viedä asiakkaan nimitietoja. "Jos hotellin yleisissä tiloissa ja kulkuväylillä on kameravalvontaa, se johtuu turvallisuustekijöistä. "Yhden vuoden ajan. Yleispätevää säilytysaikaa ei voi esittää." markkinointiin sekä liiketoiminnan ja asiakaspalvelun kehittämiseen. 44 TieTosuoja 3/2011 Futureimagebank asKarruttaaKo joKin henkilötietojen suojaan, yksityisyyteen, viestinnän luottamuksellisuuteen tai tietoturvaan liittyvä asia. Hotelli voi halutessaan käyttää niitä myös asiakaspalveluun ja suoramarkkinointiin, jos matkustaja ei ole tätä kieltänyt." "MaRa on laatinut matkustajatietojen käsittelystä käytännesäännöt." KuinKa Kauan matKustajatietoja säilytetään. Huonetta varatessa pyydetään yhteystiedot ja esimerkiksi kanta-asiakastiedot. "Majoitus- ja ravitsemistoiminnasta annetun lain nojalla hotelli on velvollinen keräämään majoittujista lain vaatimat matkustajatiedot", lakimies Kai Massa Matkailu- ja Ravintolapalvelut MaRa ry:stä kertoo. Tiedot, joita tarvitaan tämän jälkeen esimerkiksi asiakassuhteen hoitamiseen, voidaan siirtää vaikkapa asiakasrekisteriin. Tallentavassa järjestelmässä tiedot säilyvät tietyn ajan, mikä palvelee selvitettäessä esimerkiksi vahingontekoja tai rikoksia. Hotelli voi lain nojalla viedä lomakkeen tiedot matkustajarekisteriin. "Yleisen järjestyksen ja turvallisuuden ylläpitämiseen, rikosten ennalta estämiseen ja selvittämiseen sekä tilastointiin. Hotellissa käytetyistä palveluista ja kanta-asiakaseduista kertyy myös tietoja. lähetä kysymyksesi meille, me etsimme sille sopivan vastaajan. miten on? 3/2011 mitä hotelli tietää asiakkaistaan? miKsi HotelliasiaKKaan on täytettäVä matKustajailmoitus. Niitä kerätään asiakassuhteen hoitamiseksi, entä miKsi Hotelleissa on ValVontaKameroita. "Se määrittyy hotellin käyttötarpeesta käsin. Tallentamiseen on syynä turvallisuustekijöihin liittyvä kulunvalvonta." myös luottoKorttia. asiaKKailta Voidaan Pyytää miHin tietoja Käytetään. Korttitietoja käsitellään standardien mukaisesti ja korttiyhtiön sääntöjä ja ohjeita noudattaen." miten PitKään näitä muita tietoja säilytetään
kolumni 3/2011 Timo Laitinen T Johto näyttää tietä ehdäänpä aikamatka 1970-luvulle, jolloin meillä ei ollut vielä tiedon valtateitä. Keinoja on monia, mutta oman esimerkin ohella yksi vanha totuus pätee: "sitä saat, mitä mittaat". Monen mielestä on naiivia todeta, että ylimmän johdon esimerkki ja tuki on ratkaisevaa tietoturvallisuuden kehittämisessä, mutta niin se vain on. Sen sijaan autojen valtateitä oli, ja liikennemäärät kasvoivat kovasti. Riskienhallinta kuuluu hyvään johtamiseen kaikilla yhteiskunnan lohkoilla, ja tietoturvallisuudesta huolehtiminen on osa tätä. Myös tietoturva-asioissa on riskejä, joita kannattaa sietää - kunhan se on tietoista. Tältä osin tietoturvaan liittyvä riskienhallinta ei ole teknologiaa vaan asennetta ja käyttäytymistä. Kukapa haluaisi toistuvasti saada laiskanläksyjä. Tietoturvallisuusasetuksen mukaan valtionhallinnon organisaatioiden on saavutettava tietoturvan perustaso syyskuun loppuun 2013 mennessä. Oleellista on kuitenkin muistaa, että sama virkavelvollisuus edellyttää virastoilta ja laitoksilta tietoturvallista toimintaa myös ennen määräaikaa. Tänä päivänä toteutuvan tietoturvariskin aiheuttama toiminnan häiriö ja/tai keskeytys on vähintään yhtä vakava kuin tulipalon, joka tekee tuhojaan ilman henkilövahinkoja. Ylimmällä johdolla on tietoturvassa eniten menetettävää; siksi kannattaa nöyrästi uskoa sekä tietoturvaammattilaisten neuvoja että jokapäiväistä arkijärkeä. kittäviä toimenpiteitä: nopeusrajoituksia, tiukempia promillerajoja, ajovalopakkoja jne. Tällöin oikeanlainen reagointi on nopeaa mahdollisen riskin toteutuessa. Tältä osin valtionhallinnon ylimmän johdon rooli tulee jo virkavelvollisuutena. Ylin johto ei kykene omin voimin havaitsemaan tietoturvariskejä samalla tavalla kuin esimerkiksi perinteisiä liikenne- ja paloturvariskejä. Miettikäämme siis, mitä ja missä puhumme, miten ja missä erilaisia viestivälineitä käytämme, ja missä niitä säilytämme. Jos ylimmän johdon asialistalla on riittävän usein tietoturvallisuuteen liittyviä asioita ja kysymyksiä, arvioinneista puhumattakaan, oppivat muutkin sen aika nopeasti. Kuten autoteillä, myös organisaatioissa ihminen itse on tunnetusti suurin riskitekijä. Niin, ja vähän lisää luovuutta ja epäloogisuutta salasanoihin. Tietoturvallisuus on useimmiten näkymätöntä, mutta niin on tietoturvattomuuskin. Valtionhallinnossa on usein (ja ehkä valitettavasti) " Jos tietoturva on johdon asialistalla riittävän usein, muutkin oppivat sen aika nopeasti. timo laitinen on valtiokonttorin pääjohtaja. ti etoturva n J a t i e to s u o Ja n e r i koi s l e Ht i 3/2011 TieTosuoja 45 valtiokonttori. Luulen, että tuolloin todella harvassa, jos missään, organisaatiossa ylin johto totesi, ettei liikenneturvan kehittäminen koske meitä. Saati, että olisi sallinut itselleen ja kuljettajilleen vapaat nopeudet ja vaikkapa rattijuoppouden. Liikenneturvallisuuden edistämiseksi tehtiin merperinteenä edetä tämänkaltaisissa asioissa säädösteitse. Riskienhallinta on nimensä mukaisesti hallintaa, ei täydellistä välttämistä
Haittaohjelmien aiheuttamat ongelmat ovat vähentyneet. lyhyesti 3/2011 Tietoyhteiskuntapykälät yhteen lakiin Sähköistä viestintää ja tietoyhteiskunnan palvelujen tarjontaa koskevia säännöksiä on tällä hetkellä hajallaan useissa eri laeissa. "Tavoitteena on, että säännökset vastaavat nykyajan kysymyksiin. Valtionhallinnon tietoturva kohentunut Tietoturvaongelmien määrä on vähentynyt ministeriöissä sekä valtion virastoissa ja laitoksissa. Uusi vuokrauksen tietosuojaohje opas- viestintäpolitiikan hallinnonalan säädösten kokoaminen tietoyhteiskuntakaareksi sisältyy kataisen hallituksen ohjelmaan. Erityistoimenpiteitä aiheuttaneiden ulkopuolisten hyökkäysten määrä aleni myös. Tarkoituksena on poistaa päällekkäisyydet sekä selkeyttää säännökset ja saattaa ne ajan tasalle. Kaikki kyselyn saaneet 78 organisaatiota vastasivat. Melkein kaikissa ministeriöissä sekä valtion virastoissa ja laitoksissa on nimetty tietoturvallisuusvastaava. Kesällä taipaleensa aloittanut Kataisen hallitus haluaa koota pykälät yhteen lakiin. Tietoyhteiskuntakaari käsittää arviolta kymmenen lakia ja runsaat 400 pykälää. Liikenne- ja viestintäministeriö aloitti monivuotisen lakihankkeen syyskuussa. Hän pitää sähköisen viestinnän alan aktiivista osallistumista hankkeeseen välttämättömänä: "Alan kannalta kyseessä on iso edunvalvontaprojekti, jossa on mahdollista tehdä muutoksia." nessä organisaatiossa, kun vuonna 2009 niistä kärsi melkein joka viides. Tietoyhteiskuntakaareksi nimettyyn lakiin kerätään viestintäpolitiikan hallinnonalan keskeiset säännökset. Asuntoa etsivän pitää usein antaa itsestään tietoja jo hakuvaiheessa, ja vuokrasopimuksen teossakin kysytään henkilötietoja. Edelliseen vuoteen verrattuna kyselystä jäivät pois yliopistot ja korkeakoulut niiden itsenäistyttyä valtionhallinnosta. Niitä sattui viime vuonna joka kymmenen- tutustu verkkolehteen! www.tietosuoja-lehti.fi 46 TieTosuoja 3/2011 valtioneuvoston kanslia t ietot urvan J a t ietosuoJ an erikoisl eHti. Sen takia on arvioitava uudelleen koko tietoyhteiskunta- normiston pohjaa", asunto- ja viestintäministeri Krista Kiuru sanoi mediatapaamisessa syyskuun alussa. Tiedot perustuvat valtiovarainministeriön toukokuussa ministeriöille, virastoille ja laitoksille tekemään kyselyyn. Kyselyn mukaan tietoturvatyöhön käytetään entistä enemmän rahaa ja henkilöstön työaikaa. Järjestelmä tai sen osa oli viime vuonna pois käytöstä haittaohjelmien vuoksi viidellä prosentilla, kun vuonna 2009 näin kävi 15 prosentille valtionhallinnon yksiköistä. Tietosuojaohje neuvoo vuokraisäntää Vuokra-asuntojen markkinoilla eletään vuoden kiireisimpiä aikoja, kun uudet ja vanhat opiskelijat etsivät uutta kotia
Norjan tietosuojaviranomaisen mukaan tulevat toimet riippuvat Facebookin vastauksista, mutta se haluaa joka tapauksessa jatkaa rakentavaa keskustelua yhtiön kanssa. Tykkää-, etsi kavereita- ja kasvojentunnistussovellusten kautta Facebook saa tietoja muiden kuin jäsenten kuvista ja sähköpostiosoitteista. Viranomaiset haluavat myös tietää, millaisia tietoja Facebook kerää sellaisista käyttäjien ystävistä, jotka eivät itse kuulu Facebookiin. Tietoja myös säilytetään sen jälkeen kun käyttäjä on poistanut ne profiilistaan. kilta, ketkä saavat kerätä ja käsitellä käyttäjien henkilötietoja ja IP-osoitteita. Valitus koskee myös uutta kasvojentunnistussovellusta, jota opiskelijat pitävät yksityisyydensuojan vastaisena. Tarkastus Facebookin tiloihin oli viranomaisen mukaan suunnitteilla muutenkin. Facebookin vastauksia odotettiin elokuun loppuun mennessä. Tietosuojaviranomaisia kiinnostaa myös, luovuttaako Facebook keräämiään tietoja eteenpäin muille yrityksille. Sovelluksen käyttöön ei kuitenkaan kysytä käyttäjän lupaa. Sovellus ehdottaa kuvaa lataavalle kuvassa esiintyviä kavereita. Uusilta asukkailta saa kysyä henkilötiedot, tulot, ja luottotiedot sekä sopimuksen tekovaiheessa todistukset maksukyvystä, kuten palkkatodistukset. taa vuokranantajia ja välitysliikkeitä tietosuoja-asioissa. Tietosuojavaltuutetun hyväksymän ohjeen ovat laatineet vuokralaisten, vuokranantajien, isännöitsijöiden ja kiinteistönvälittäjien edunvalvontajärjestöt. Facebook perustelee sovellusta sillä, että se nopeuttaa käyttäjien merkitsemistä kuviin. Valitus on osoitettu Irlannin tietosuojaviranomaiselle, koska Facebookin Euroopanpääkonttori on Irlannissa. He ovat listanneet valitukseen 16 seikkaa, joissa yhtiö on heidän mukaansa rikkonut säännöksiä. Hän on yhdessä opiskelijatovereidensa kanssa tehnyt valituksen, jonka mukaan Facebook rikkoo eurooppalaista henkilötietolainsäädäntöä. Opiskelija uhmaa yhteisöpalvelua Facebook on tietosuojaviranomaisten lisäksi saanut uuden päänvaivan itävaltalaisesta oikeustieteen opiskelijasta Max Schremsistä. Nyt yhtiö on julkaissut toiminnon, jolla käyttäjä voi kieltää sovelluksen käytön profiilissaan. Tietosuojaviranomaisia kiinnostavat myös Facebookin yksityisyysasetukset: missä määrin käyttäjä voi muuttaa itse asetuksia, ja voiko Facebook tai joku kolmas osapuoli muuttaa niitä. Tätä mieltä ovat pohjoismaiden tietosuojaviranomaiset, jotka lähestyvät yhtiötä kirjeellä. Opiskelijat arvostelevat voimakkaasti Facebookin tapaa kerätä oletuksenomaisesta runsaasti henkilötietoja, usein ilman nimenomaista käyttäjän suostumusta. Pohjoismaat odottavat vastauksia Facebookilta Parannuksista huolimatta yhteisöpalvelu Facebookin tavoissa käsitellä käyttäjiensä henkilötietoja on yhä epäselvyyksiä. Jos käyttäjä haluaa rajoittaa tietojensa käyttöä, hänen on itse osattava säätää yksityisyysasetuksiaan tiukemmiksi. Ohjeessa kerrotaan, mitä tietoja vuokralaiselta voi kysyä ja kerätä, miten tietoja voi säilyttää ja millaisissa tilanteissa niitä saa luovuttaa edelleen. Kirjeessä viranomaiset kysyvät Faceboo- ti etoturva n J a t i e to s u o Ja n e r i koi s l e Ht i 3/2011 TieTosuoja 47. Jos yhtiö tallentaa nämä tiedot, ei-käyttäjien mahdollisuudet vaikuttaa tietojensa käsittelyyn ovat olemattomat. Opiskelijat esittelevät valituksensa nettisivuillaan Europe versus Facebook. Der Spiegel -lehden mukaan (8.9.2011) tavanomaisen kirjeenvaihdon sijasta Irlannin tietosuojaviranomainen aikoo tehdä tarkastuksen yhtiön konttoriin Dublinissa