Tietosuoja 3/2013 - Lehtiluukku.fi

Haluatko ostaa tämän lehden?

Vaikuttaako lehti kiinnostavalta? Voit lukea koko lehden valitsemalla "Lisää ostoskoriin". Mukavia lukuhetkiä!

Olet esikatselutilassa. Lue koko lehti

tietoturvan ja tietosuojan erikoislehti 3 • 2013 Valtion kybervalmius paranee Älypuhelimesi tietää sinusta paljon Älä tingi riskienhallinnasta piia-noora kauppi: luottamusta ei ole varaa menettää 15€
tietosuoja 3 • 2013. Automaation tietoturva varmistaa jatkuvuutta 8 14 Teollisuuden standardityö etenee 15 Kolumni olli häkämies 16 Asiantuntijalta Riskienhallinnasta ei ole varaa tinkiä Ari Andreasson ja Juha Koivisto 18 Rekisteröi tämä Ev.lut. 3 • 2013 20 Sisältö 4 Pääkirjoitus 5 Lyhyesti 7 Miten on. kirkon jäsenrekisteri ari korkala 19 Kysy meiltä 20 Piia-Noora Kauppi Luottamusbisneksen edunvalvoja 24 Lait ja säädökset 26 Mobiililaite on henkilörekisteri taskussa 29 Gallup Arkikäytössä mobiilit riskit eivät huoleta 8 Tietoturvan ja tietosuojan erikoislehti Syyskuu 2013 Julkaisijat Patentti- ja rekisterihallitus Tietosuojavaltuutetun toimisto Tietosuojalautakunta Viestintävirasto Päätoimittaja Hanna Tamminen, Viestintävirasto hanna.tamminen@ficora.fi Toimitussihteeri Päivi Männikkö, Stellatum Oy paivi.mannikko@stellatum.fi Toimituspäälliköt Eija Kara, tietosuojavaltuutetun toimisto, eija.kara@om.fi Anna Lauttamus-Kauppila, Patentti- ja rekisterihallitus, anna.lauttamus-kauppila@prh.fi Ulkoasu Tarja Salonen, Sininen Arkki Oy tarja.salonen@sininenarkki.fi Kannen kuva Olli Häkämies 2
vuosikerta ISSN 0786-5767 Painopaikka Hämeen kirjapaino Oy LIINPAIN PA RAARLAI A UT UT 441441 209209 Painotuote Painotuote E UOT OT OTE U OT Toimitusneuvosto puheenjohtaja, Reijo Aarnio Sari Laine-Lassila, FiCom ry Jukka Ihanus, Stellatum Oy Eila Ratasvuori, Helsingin kaupunki Ahti Saarenpää, Lapin yliopisto Anu Talus, oikeusministeriö ja toimituspäälliköt HIILIN E HIILIN E 16 36 ClimateCalc ClimateCalc CC-000025/FI CC-000025/FI HÄMEEN HÄMEEN KIRJAPAINO KIRJAPAINO OYOY tietosuoja 3 • 2013 3. tietosuoja-lehti.fi 30 Lautakunnasta kuuluu 32 Omien tietojen tarkastuspyyntö paikan päällä 32 35 Näkökulma Avoin data julkisen ja yksityisen rajapinnassa 36 Uusi kaapeli turvaamaan Suomen tietoliikennettä 38 Taustaselvitykset lainsäätäjän syynissä 41 Ilmiö numeroina 42 Kyberturvallisuuskeskus käyntiin ensi vuonna maija nyman 44 Salakuunteluskandaalin seuraukset 45 Selailtua 46 Verkkolehdessä ja seuraavassa numerossa matias uusikylä / Tekes Tämän asenteen pitää muuttua! Toimituskunta Ari-Matti Husa, Elina Koskipahta ja Erika Leinonen, Viestintävirasto Lauri Karppinen, tietosuojavaltuutetun toimisto Olli Ilmarinen, Patentti- ja rekisterihallitus sekä toimituspäälliköt Kustantaja Stellatum Oy Purotie 1 B 00380 Helsinki Ilmoitusmarkkinointi Anne Paavilainen, Stellatum Oy puh. 0400 435 636 anne.paavilainen@stellatum.fi 25
Samalla valtiohallinnon tarpeisiin on muokattu Viestintäviraston tietoturvaloukkausten havainnointi- ja varoitusjärjestelmä (GovHAVARO). Kyberturvallisuudesta voi tehdä mahdollisuuden. Tämä järjestelmä tunnistaa pilottiorganisaatioiden verkoista lähtevästä ja sinne saapuvasta liikenteestä tietoturvan vaarantumiseen liittyviä jälkiä. Kyberturvallisuuskeskuksesta tulee juuri niin hyvä kuin me siitä yhdessä luomme. Lisäksi Viestintävirastolta on toivottu jalostuneempia tuotteita: pikatilannekuvaa, kohdennettuja toimialakohtaisia tuotteita, yleistajuisia ohjeita, tilastoja ja pitkän aikavälin trendejä. Tietoturvaloukkausten ennaltaehkäisy, havainnointi, tietoturvaloukkausten ratkaisu ja tietoturva-asioista tiedottaminen ovat jo entuudestaan Viestintäviraston vahvaa osaamista. Kyberturvallisuuskeskuksesta tulee juuri niin hyvä kuin me siitä yhdessä luomme. Virastolla on laajat kansalliset ja kansainväliset yhteistyöverkostot. Keskeisenä osana toimintaa tulee olemaan yhteistyöverkostojen tehostaminen ja niiden osaamisen kehittäminen. tietosuoja 3 • 2013. Sähköisen viestinnän turvaamisessa on syytä pohtia asioita tiedon luottamuksellisuuden, eheyden ja saatavuuden näkökulmasta. Kyberturvallisuuskeskuksen tavoitteena on parantaa eri toimijoiden tilannetietoisuutta tarjoamalla niille ajantasaista, koottua ja analysoitua tietoa haavoittuvuuksista, häiriöistä ja niiden vaikutuksista. Valtiohallinnon tietoturvapalveluita (GovCERT) tullaan tarjoamaan pilottiorganisaatioille Valtion IT-palvelukeskuksen kautta. Kirsi Karlamaa Viestintäviraston Turvallisuus-toimialan johtaja 4. Tähän tehtävään tulemme tarvitsemaan poikkihallinnollisesti eri toimijoiden yhteistyötä, asiantuntemusta, analysointikykyä ja tiedonvaihtoa. Virasto tulee parantamaan kokonaisvaltaista tilannetietoisuutta ja tilanneymmärrystä eri toimijoiden välillä. Pääkirjoitus 3 • 2013 Kyberturvallisuus – mahdollisuuksia, yhteistyötä ja luottamusta Tärkeä osa toimintaa on myös tiedon luottamuksellisuus, se, että jaamme ja luokittelemme tietoa oikein. Kyberturvallisuus on kaikkien asia. Viestintäviraston tuottamat tietoturvapalvelut laajenevat myös valtionhallintoon. Virasto on valmistellut tulevia tehtäviä yhteistyössä sidosryhmien kanssa – sidosryhmillä on silminnähtävä tarve analysoituun tilannekuvaan kybertapahtumien hallitsemiseksi, ennaltaehkäisemiksi ja ennen kaikkea päätöksenteon tueksi. Kaapo Kamu V iestintäviraston kyberturvallisuuskeskus perustetaan valtioneuvoston kyberturvallisuusstrategian mukaisesti. Yhteistyötä tehdään sekä yksityisen että julkisen sektorin kanssa, kansalaisia ja kuluttajia unohtamatta
Työryhmän näkemyksen mukaan erityisen tärkeää on, että profiloinnin kohteella olisi muuta henkilötietojen käsittelyä laajemmat tiedonsaantioikeudet ja mahdollisuudet vaikuttaa tietojensa käsittelyyn. tietosuoja 3 • 2013 Valtionhallinnon tietoturvallisuuden johtoryhmä VAHTI n uusi ohje neuvoo toimitilojen tietoturvallisuudessa. Työryhmän mukaan erityisesti paikannukseen perustuvat palvelut profilointimahdollisuuksineen voivat olla vakava uhka tietosuojalle, jos riskejä ei pyritä minimoimaan. yrittäjille, joille on myönnetty niin sanottu turvakielto ja jotka eivät siksi halua ilmoittaa yhteystietojaan julkisiin rekistereihin. Profiloinnissa voidaan kiinnittää huomiota esimerkiksi henkilön taloudelliseen tilanteeseen, terveyteen tai sijaintiin. Profilointia koskevaa artiklaa pitäisikin muuttaa siten, että se kattaisi koko prosessin henkilötietojen käsittelyineen. Työryhmä arvostelee valmisteilla olevaa EU:n tietosuoja-asetusta siitä, että siinä säännellään vain profiloinnin lopputulosta. Lyhyesti itella Profilointi huolettaa viranomaisia Turvakiellon saaneille yrittäjille oikeus postilokeroosoitteeseen Kun uusi yritys ilmoitetaan kaupparekisteriin, tarvitaan yrityksen osoite kadunnimineen. Rekisterinpitäjät pitäisi esimerkiksi velvoittaa anonymisoimaan tiedot tai muuttamaan ne pseudonyymeiksi. 5. Ohje antaa suuntaviivoja sekä uusien laitetilojen suunnitteluun että jo käytössä olevien turvallisuuden parantamiseen. Aikaisemmin Itella ei myöntänyt postilokero-osoitetta ennen kuin yritys oli kaupparekisterissä. Profilointia on eritasoista, joten profilointia pitäisi luokitella sen sisältämien riskien mukaisesti. Tämä on tuottanut ongelmia sellaisille Euroopan tietosuojaviranomaisten työryhmä on huolissaan profiloinnista ja sen kohteena olevien henkilöiden tietosuojasta. Profiloinnilla tarkoitetaan henkilötietojen käsittelyä, joka tähtää henkilön käytöksen, tapojen ja mielenkiinnon kohteiden analysointiin ja ennakointiin. Usein henkilöitä profiloidaan heidän tietämättään. Nyt käytäntöä on muutettu siten, että turvakiellon saaneet henkilöt voivat hakea Itellalta postilokero-osoitetta jo ennen rekisteröintiä ja ilmoittaa kaupparekisteriin katuosoitteen asemesta postilokeron. Turvakielto on maistraatin määräämä väestötietojärjestelmän tietojen luovutuskielto, joka rajoittaa voimakkaasti henkilön yhteystietojen luovuttamista jopa viranomaisille
Vireillä on sektori- ja toimintokohtaisia hankkeita muiden muassa vaikutustenarvioinnin, tietosuoja-arkkitehtuurin, tunnistamistietojen käsittelyn sekä pilvipalvelujen tietosuojan standardisoimiseksi. vastaa hakutuloksista; Espanjan vai USA:n USA:n Googlelle sillä perusteella, että haku- Google. nia muuttamaan hänen nimellään tehtä- Näin ollen Googlella ei ollut velvollisuutta vää hakua siten, ettei ilmoituslinkki näkyisi poistaa linkkiä hakutuloksista. huutokauppaa koskevasta ilmoituksesta Julkisasiamies toteaa, että henkilötieto- espanjalaisessa lehdessä. Asia eteni oikeuteen, sellä on toimipaikka Espanjassa, ja se tarjoaa joka pyysi ennakkoratkaisua EU-tuomiois- palveluja Espanjassa asuville. tuloksissa. Tietosuojavaltuutetun toimisto osallistui standardiluonnoksen käsittelyyn Euroopan tietosuojaviranomaisten työryhmässä. Yleinen kehysstandardi on vasta alkua tietosuojakäytäntöjen standardisoinnissa. tietoja julkaisijan pyyntöjen tai ohjeiden Tapauksessa oli kyse asunnon pakko- vastaisesti. Tietosuojastandardin tarkoitus on tehostaa turvallisuusstandardien soveltamista painottamalla henkilötietojen käsittelyn näkökulmaa. Lyhyesti Hakukoneyhtiö ei ole nettisisällön rekisterinpitäjä Mikäli EU:n tuomioistuin noudattaa julkis- käsittelee henkilötietoja hakutulosten muo- asiamiehen ratkaisuehdotusta, hakukone- dostamiseksi. Se ei tee hakukoneen palve- yhtiö ei ole rekisterinpitäjä, kun se käsittelee luntarjoajasta rekisterinpitäjää indeksin henkilötietoja hakutulosten muodostami- sisältöä lukuun ottamatta, ellei se käsittele seksi. Julkisasiamiehen mukaan Google koneisiin liittyvää henkilötietojen käsittelyä Spain oli tässä vastaava toimija, sillä yrityk- ei tehdä Espanjassa. sessa tuli noudattaa Espanjan ja EU:n tieto- Julkisasiamies Niilo Jääskisen ratkaisu- shuterstock Tapauksessa pohdittiin myös sitä, kumpi Google Spainin mukaan asia kuului suojalainsäädäntöä. Ilmoituksessa direktiivissä ei ole säädetty yleistä oikeutta mainittiin asunnon omistajan nimi. Pohjoismaiset poliisit tiivistävät yhteistyötä tietoverkkorikollisuuden torjunnassa. Standardissa esitetään organisaatiota, teknisiä ratkaisuja ja menettelytapoja koskevat yleiset tietosuojan perusteet. Henkilö pyysi Google Spai- dot eivät olleet puutteellisia tai virheellisiä. tietosuoja 3 • 2013. Ilmoituksen tie- tuloslistassa. Maiden poliisiylijohtajat ovat päättäneet tehostaa tiedustelutietojen vaihtoa, perustaa yhteisiä tutkintaryhmiä, analysoida verkkorikollisuuteen liittyviä ilmiöitä ja vaihtaa kokemuksia työmenetelmistä. Kun tulla unohdetuksi siten, että rekisteröity omistaja kymmenen vuotta myöhemmin voisi rajoittaa omien intressiensä vastais- ”googlasi” nimensä, linkki ilmoitukseen oli ten tietojen julkaisemista. Siksi tapauk- tuimelta. Standardi hyväksyttiin puolitoista vuotta sitten. 6. ehdotuksen mukaan hakukone indeksoi ja Tietosuojastandardin suomennos julki Kansainvälisestä yleisestä tietosuojastandardista ISO/IEC 29100 on julkaistu suomennos
Eikö pitäisi ennemmin pyrkiä koko EU:n kattavaan lakiin. Tieto sosiaali- ja terveydenhuoltopalvelujen asiakkuudesta on julkisuuslain mukaan salassa pidettävä. Kansalaisten sähköisiä oikeuksia puolustava Electronic Frontier Finland ry (Effi) perusti heinäkuussa kansalaislakialoitteen. Maat sitoutuvat kehittämään kyberharjoituskonseptia eteenpäin sekä määrittelemään yhdessä yhteiset suorituskykyvaatishuterstock mukset kyberharjoitusten ja -koulutuksen alalla. Lyhyesti scanstockphoto Lastensuojelusta tuli postia Apulaisoikeusasiamies Maija Sakslin muistuttaa viranomaisia siitä, että asiakkaalle toimitettavien lähetysten lähettäjätiedot eivät saa vaarantaa asiakkaan yksityisyydensuojaa. ”Tällä hetkellä lainsäädännössä on kriminalisoitu vain valtion vakoileminen, ei kansalaisten”, Effin varapuheenjohtaja Ville Oksanen perustelee. Ehdotus koskisi henkilötietojen massakäsittelyä ilman lainmukaista perustetta. ”Ei missään tapauksessa”, Oksanen sanoo. Lähettäjätiedoksi riittää esimerkiksi kunnan Suomi mukaan kyberharjoitusyhteistyöhön nimi ja asianomaisen viranomaisen postilaatikkonumero (PL). Eikö urkinta ole meillä jo kiellettyä. Suomi on pieni maa. Aloitteessa vaaditaan myös viranomaisilta ja yrityksiltä tarkempaa raportointia kansalaisten tietojen käsittelystä. Mistä niiden pitäisi raportoida. Perusturvakuntayhtymä oli lähettänyt asiasta kannelleelle henkilölle kirjeen, jossa lähettäjäksi oli merkitty kuntayhtymän lastensuojeluyksikkö. Miten on. Suomi on liittynyt Euroopan puolustusviraston (EDA) kybertyötä tukevaan aiesopimukseen. Samat tiedot pitäisi kuitenkin saattaa kaikkien saataville.” Ehdotus velvoittaisi myös teleyritykset kertomaan, mitä tietoja ne luovuttavat ja keräävät asiakkaistaan. Siinä rikoslakiin ehdotetaan uusia säännöksiä henkilöihin kohdistuvasta vakoilusta. Suomen lisäksi hankkeeseen osallistuvat Viro, Alankomaat ja Itävalta. tietosuoja 3 • 2013 ”Teletunnistetietojen tallennusdirektiivissä velvoite tiedottaa tietojen käsittelystä koskee vain jäsenmaiden raportointia komissiolle. ”Jos Suomeen rakennettaisiin läpinäkyvä järjestelmä, johon sisältyisivät suhteellisen vakavat sanktiot, se olisi houkutteleva tekijä datakeskusbisneksen kannalta.” 7. Näin ollen myös asiakassuhteeseen liittyvät tai niitä kuvaavat tiedot ovat salaisia
Automaation 8. tietosuoja 3 • 2013
tietoturva varmistaa jatkuvuutta Teollisuudessa on viime vuosina kiinnitetty entistä enemmän huomiota automaation tietoturvaan, mutta vielä on parannettavaa. Teksti Antti J. Lagus Kuvat Ari Korkala, tekes, metso ja vacon tietosuoja 3 • 2013 9
Tietohallinnon kannalta tärkeintä on, haittaohjelman paljas- että järjestelmien tietoturva on kunnossa. Hän työskentelee Vies- perinteisesti pyritty suojaamaan pitämällä Suojauksista huolimatta järjestelmä ei ole sanalla sanoen aukoton. laitteita useilta eri toimittajilta, ja laitteiden Toki tuotannon ohjaukseen tarvitaan tie- huolto tehdään mielellään etäyhteyksien toa automaatiojärjestelmistä, mutta auk- kautta. tietosuoja 3 • 2013. Tässä piilee yksi teollisuusyrityksen kojen määrä niiden rajapinnassa pidetään haasteista, sanoo tietoturva-asiantuntija pienenä. Erika Suortti-Myyry. A siantuntijat ovat herän- rimpana haasteena ovat automaation ja neet teollisuusauto- tietoturvan erilaiset tarpeet sekä tietohal- maation tietoturvaan linnon ja automaation asiantuntijoiden jo ennen suurta kohua vuoropuhelu erilaisista lähtökohdista huoli- aiheuttaneen Stuxnet- matta. Muutama vuosi sitten paljastunut Automaatioasiantuntijat taas korostavat Stuxnet kuitenkin toi teollisuuden tietotur- sitä, että tuotanto toimii tauotta. Tietoturvatestausta parannetaan Tehtaan omat palomuurit ja toimistover- Automaatiojärjestelmissä on tyypillisesti kot pidetään erillään automaatioverkosta. vauhat kertaheitolla myös johdon tietoisuuteen. Tietohallinto ja automaatio puheväleihin Teollisuuden automaatiojärjestelmät on ”Automaatioihmisten keskustelu ITihmisten kanssa ei aina ole ollut helppoa, tosin tämä on muuttunut viime vuosikymmenen aikana”, Metso Automationin projektipäällikkö Markku Tyynelä sanoo. 10. ne tehdasverkon sisällä omassa verkossaan. tumista. Teollisuudessa tietoturvan yhtenä suu- tintävirastossa toimivassa CERT-FI:ssä. ”Monitoimittajaympäristössä tämä voi tarkoittaa, että kukin toimittaja tulee jär- Automaatiojärjestelmillä on jopa vuosikymmenten elinkaari
Neste Oilin tietohallintojohtaja Tommi Tuovila arvioi, että teollisuusautomaatio ja muu tietotekniikka lähestyvät toisiaan. Metso Automationin vetä- työasemalta toiselle hyödyntämällä Win- tunut standardeja siitä, mitä järjestelmään mässä tapaustutkimuksessa perinteisten dows-käyttöjärjestelmän haavoittuvuuksia. Tämä näkyy jo käyttöjärjestelmien ja tietoliikennelaitteiden yhdenmukaistumisessa. Järjestelmässä ei vikaa Automaatiolaitteiden ja -ohjelmisto- Hiljattain Metso Automation osallistui Teke- Peruskäyttöjärjestelmiä hyödyntämistä jen toimittajat ovat asiakkaiden toiveiden sin Diamonds-hankkeeseen, jossa tutkittiin teollisuusautomaatiossa on pidetty myös vuoksi alkaneet jo lisätä tietoturvapiirteitä mallipohjaisia tietoturvatestaus- ja valvon- riskialttiina. Automaatio ja perus-IT lähestyvät toisiaan Ennen vanhaan teollisuusautomaatiossa käytettiin paljon omia, vain automaatiokäyttöön luotuja erikoisjärjestelmiä. Neste Oililla koko yrityksen tietoturvasta vastaa tietohallinto. määrämuotoisten tietoturvatestien rinnalle Ratkaisuna onkin esitetty oman käyttöjär- Automaatiojärjestelmissä ei vanhastaan kehitettiin uusia satunnaismenetelmillä jestelmän luomista nimenomaan automaa- ole esimerkiksi tehty varsinaista tietoturva- luotuja testimenetelmiä, jotka vastaavat tion tarpeisiin. Esimerkiksi Stuxnet levisi järjestelmiinsä, mutta vielä ei ole muodos- tamenetelmiä. Markku Tyynelä kertoo, että naismenetelmätesteillä voidaan varmistua systeemitekniikan laitokselta ei usko, että esimerkiksi Metso Automationissa tietotur- paremmin myös siitä, että järjestelmä toi- teollisuuden oma käyttöjärjestelmä ratkai- vatestaukseen on käytetty myös kolmansia puu erilaisista uhkatilanteista. tulisi kuulua. tietosuoja 3 • 2013 11. osapuolia todentamaan, että automaatio- operationaalisten järjestelmien suoraviivai- Asiakasyritysten intressissä kuitenkin olisi, järjestelmän ohjausyksiköiden tietoturva on suudesta.” että kaikki käyttävät samaa menetelmää”, asiallisesti toteutettu. testausta, vaikka normaalit testausrutiinit paremmin todellisuutta, muun muassa ver- Automaation tietoturva-asiantuntija Jari ovatkin sisältäneet myös tietoturvaan liit- kosta mahdollisesti tulevia syötteitä. Satun- Seppälä Tampereen teknillisen yliopiston tyviä testejä. (Windows, eri Unixit, Linux) kovennettuja versioita. sisi tietoturvaongelmat. ”Perus-IT:n puolella voitaisiin ottaa oppia jestelmään sisään omalla menetelmällään. Tuovila luonnehtii teollisuusautomaation ja muun tietohallinnon rajaa ”veteen piirretyksi viivaksi”. Nyt automaation ja perusinformaatioteknologian raja-aita on madaltanut, ja teollisuudessa käytetään peruskäyttöjärjestelmien ”Automaatioihmisten keskustelu IT-ihmisten kanssa ei aina ole ollut helppoa” projektipäällikkö Markku Tyynelä sanoo. hän lisää. Tuovilan mielestä tietojärjestelmien laadussa on monesti ollut toivomisen varaa. Kun samankaltaisia käyttöjärjestelmiä hyödynnetään talon kaikissa toiminnoissa, myös tietohallintoyksiköiden ja sitä kautta tietoturvan rooli automaatiossa kasvaa. Tietoturvatestaus on vielä kehittyvä alue
He voivat tehdä virheitä, ja he ovat alttiita tanto-optimointien varastaminen tai hait- ”Yksinkertaisesti toteutettava tietoturva, erilaisille manipulointiyrityksille.” taohjelmien levittäminen laitteiden kautta joka ei vaadi yliopistotutkintoa, parantaisi vaikuttaisi liiketoimintaan. ottaa kantaa siihen, miten vaikkapa tuo- siaan kuntoon. Tämä on tehty kovennus”, Seppälä sanoo. aiheesta enemmän Luettavaksi Tuotannon Automaatioseuran julkaisu Teollisuusautomaation tietoturva CERT-FI:n nettisivuilta: www.cert.fi > Palvelut > Hvk-toimijoille > Tietoa toimijoille > Julkaisut ”Ongelma ei ole käyttöjärjestelmässä lintaan. ”Käyttäjille tulee usein halu asentaa Alihankkijoilta vauhtia uudistuksiin tietoturva on olennainen asia kilpailukyvyn ja järjestelmän luotettavuuden kannalta”, Seppälä sanoo. tietosuoja 3 • 2013. On myös ymmärrettävä, että Stuxnetkin pääsi alun perin suljettuun järjestelmään tiettävästi muistitikun kautta, Seppälä muistuttaa. käytäntöjä. O lyttämistä yrityksen normaaliin riskienhal- Välttämättä mitään ei tapahdu, jos asiakas 12. Yrityksen johdon pitää esimerkiksi ei vaadi alihankkijoitaan laittamaan proses- vaan ihmisissä, jotka käyttävät järjestelmiä. ja keskisuurissa yrityksissä edistyminen on hänen mukaansa halpa tapa levittää tieto- Hän peräänkuuluttaa tietoturvan sisäl- ihmisistä kiinni: joko tehdään tai sitten ei. ”Tietoturva on olennaista järjestelmän luotettavuuden kannalta”, automaation tietoturva-asiantuntija Jari Seppälä sanoo. turva-ajattelua ja siirtää osaamista. Tällöin rikotaan automaatiota varten automaation tietoturvaongelman, pienissä näytetyön teettämistä yrityksessä. automaatiota ohjaaviin tietokoneisiin myös Vaikka lähes kaikki isommat yritykset ovat- Yhtenä ratkaisumallina Seppälä ehdot- muita ohjelmia, esimerkiksi toimistosovel- kin Jari Seppälän mukaan ymmärtäneet taa automaation tietoturvaan liittyvän opin- luksia
Loppuvuoden aikana mukaan tullaan liittämään vielä joitain yrityksiä ja valtionhallinnon yksiköitä. Liikenteestä etsitään CERT-FI:n ylläpitämän tunnistetietokannan avulla merkkejä haittaohjelmaliikenteestä tietosuoja 3 • 2013 ja muista tietoturvaa vaarantavista tartunnoista. koonsa, jossa ei ole mukana esimerkiksi tehtaan toimistojärjestelmää. 13. Viestintäviraston turvallisuussääntelyryhmän päällikkö Jarkko Saarimäki kertoo, että CERT-FI:n käyttämä tunnistetietokanta eroaa kaupallisista tuotteista. Sekään ei estä inhimillisiä virheitä, minkä vuoksi lokit ja kontrollit pitää laittaa kuntoon. ”Kokoamme omista lähteistämme tietokantaa, jolla pystymme havaitsemaan sellaisia uhkia, joita kaupallisesti saatavilla olevat palvelut eivät välttämättä tunnista.” Kun järjestelmä havaitsee liikenteen joukosta esimerkiksi jostakin yrityksestä lähtevää haittaliikennettä, CERT-FI ottaa yhteyttä yritykseen, jotta siellä voidaan ryhtyä toimiin uhan poistamiseksi. Havaro analysoi ja varoittaa Viestintäviraston yhteydessä toimiva CERT-FI tarjoaa yhteistyössä Huoltovarmuuskeskuksen kanssa HAVARO-palvelua, jonka avulla havaitaan huoltovarmuuskriittisiin yrityksiin kohdistuvia tietoturvaloukkauksia. Palvelussa seurataan asiakasorganisaatioon tulevaa ja sieltä lähtevää internetliikennettä tavanomaista tunkeutumisyrityksiä havainnoivaa IDS-järjestelmää vastaavalla tavalla. 4. Myöhemmin niiden asentaminen on kallista tai mahdotonta. Jos se jää erilliseksi prosessiksi, on vaarana, että esimerkiksi päivitykset unohtuvat. muita järjestelmiä ei voida täysin eriyttää, minimoi yhteydet niiden välillä ja valvo näitä yhteyksiä. Tietoturva pitää nostaa osaksi normaalia huoltotoimintaa. Todennäköisin uhka tietoturvalle tulee omasta henkilökunnasta. Palvelun piirissä on elokuussa viitisentoista yritystä. Koska teollisuusautomaatiojärjestelmää ja 5. Tietoturvapolitiikan noudattaminen on tärkeätä. ”Voimme varoittaa kaikkia suomalaisia toimijoita siitä riippumatta, ovatko he järjestelmän käyttäjiä vai eivät”, Saarimäki sanoo. Tietoturvapiirteet kannattaa ottaa huomioon jo järjestelmän suunnitteluvaiheessa. Eriytä teollisuusautomaatio omaan verk2. 5 Viisi vinkkiä 1. 3
”Standardisointi etenee vaikuttavuusjärjestyksessä: ensin standardisoidaan alue, jonka vaikuttavuus on kaikkein suurin. Tuloksena muun muassa julkaisimme raportin yhdessä tietoturvayhtiöiden Nixu ja F-Secure kanssa”, Kuivalainen sanoo. Tuoteryhmäjohtaja Janne Kuivalaisen mukaan Vaconin asiakkaille tilanteesta ei ollut ongelmia tai uhkaa. tietosuoja-lehti.fi Ethernet tuli – onko teollisuus valmis. Standardityö aloitettiin vuosituhannen alussa yleisistä tietoturvakäytännöistä ja järjestelmätason tietoturvavaatimuksista. Vaconilla ei ollut Stuxnetin tilanteeseen osaa eikä arpaa, eikä sillä ollut vaikutusta yhtiön toimintaan. Nyrkkisääntönä työntekijällä tulisi olla pääsy vain niihin järjestelmiin, joita hän työssään tarvitsee, ja eri verkkojen välillä tulisi sallia vain toiminnan kannalta tarpeellinen tietoliikenne. Ne on katsottu tarpeellisiksi, koska esimerkiksi käyttövarmuus on automaatiossa tärkeämpää kuin muussa tietotekniikassa. Teollisuuden standardityö etenee Stuxnet-kohun aikaan taajuusmuuttajia valmistava suomalaisyritys Vacon sai kansainvälistä näkyvyyttä, kun ilmeni, että Stuxnet onnistui ohjaamaan taajuusmuuttajien toimintaa. tietosuoja 3 • 2013. Hänen mukaansa Stuxnetillä ei ole ollut kovin suurta merkitystä sellaisille teollisuudenaloille, joille tietoturvan riskienhallinta on tiivis osa liiketoimintaa. Kokonaisuudesta edetään kohti automaation kenttälaitetasoa, joka on vielä luonnosvaiheessa. Toimistoverkon ja tuotantoverkon rajapinta on tietoturvan kannalta yksi kriittisimpiä. Haittaohjelman komennossa taajuusmuuttajat vaihtoivat moottorien kierrosnopeuksia, mikä oletettavasti vahingoitti uraanin rikastusprosessia. Tällä rajapinnalla saattaa nykyisin olla sellaistakin tietoliikennettä, jota siellä ei tarvita, kuten sähköpostia. Taajuusmuuttajat toimivat automaatiojärjestelmän niille antamien ohjeiden mukaan. Päivi Männikkö 14. Teollisuuden tietoturvan parantamisen kulmakivenä Kuivalainen pitää automaatiojärjestelmien omien tietoturvastandardien laatimista. Vähemmän riskialttiilla aloilla Stuxnet on lisännyt johdon tietoisuutta tietoturvauhkista. ”Mutta kävimme tietysti läpi omat käytäntömme. Kyllä ne laitestandarditkin vielä tulevat.” Kuivalaisen mukaan standardityö on järkevää aloittaa järjestelmätasolta siksikin, että automaatiolaitteet ja -järjestelmät ovat yhä useammin verkottuneita toisiinsa ja myös muihin tietoverkkoihin
Jokainen organisaatio pitää yllä omia, itsenäisiä paikallisjärjestelmiään ja huolehtii tarvittavasta palvelutasosta sekä siitä, että muiden tarvitsemat tiedot ovat käytettävissä, tietojen käyttöön liittyvät rajoitukset huomioiden. Internetissä välitettävä tieto on suojattu ja tietoturva on tältä osin varmistettu. Tämän takia samaa tietoa on tallennettu moniin eri rekistereihin. Esimerkiksi kansalaisille on tarjottava mahdollisuus omien tietojensa tarkistamiseen, niiden käytön seuraamiseen ja hyödyntämiseen sähköisissä palveluissa. Tiedon käytöstä kerätään lokitiedot, joiden perustella pystytään todistamaan tiedon tarkoituksenmukainen ja oikeutettu käyttö. Sikäläisen X-väylän kautta on saatavana noin 2 000 eri palvelua. Seurauksena voi olla luottamuksen mureneminen, joka saattaa estää kansalaisia ja yrityksiä toimimasta verkossa tai lisäämästä siellä palveluitaan ja asiointiaan. Tieto on käytettävissä laajasti ja helposti. Kaikilta osapuolilta edellytetään vahvaa tunnistautumista henkilökortin tai mobiilivarmenteen avulla. Tiedon käytön luottamuksellisuus edellyttää myös käyttäjien vahvaa tunnistautumista. Uudenlaiset tiedonvälitystavat haastavat aikaisemman ajatuksen siitä, kenellä on oikeus käyttää mitäkin tietovarantoja. Haasteeseen on herätty. Virossa vastaava väylä on ollut käytössä jo vuodesta 2001 alkaen. Tätä varten on olemassa salausalgoritmeja ja menetelmiä, kuten SSL-suojausmenetelmä. Tiedot ovat käytettävissä eri tietovarantojen välillä salattuina internetin kautta. Valtiovarainministeriössä suunnitellaan parhaillaan uudenlaista tiedonvälityskonseptia, niin sanottua palveluväylää. Nyt tiedonvälitys perustuu usein internet-verkkoon eikä erikseen rakennettuun kahdenväliseen yhteyteen tai sisäiseen verkkoon. Esimerkiksi samaa tietoa päätöksentekoon tarvitsevat organisaatiot ovat joutuneet tekemään erillisiä, päällekkäisiä ratkaisuja. 15. Palveluväylän ulkopuolelle voidaan jättää esimerkiksi valtion turvallisuuteen liittyviä tietoja, jotka ovat käytettävissä vain sisäisen, erikseen rakennetun verkon välityksellä. Palveluväylän avulla voidaan välttää päällekkäisyyksiä, koska se mahdollistaa tiedon tallentamisen kertaalleen ja sen käytön alkuperäisestä tietovarannosta. Salauksella varmistetaan, että vaikka ulkopuolinen saisi viestin haltuunsa, salausta ei kyetä aukaisemaan. Kolumni Kahdenvälisestä tiedonvälityksestä kohti yhteentoimivuutta Mirjami Laitinen V iimeaikaiset tietovuodot ja urkinnat ovat lisänneet epäluuloja internetissä liikuteltavan tiedon salassa pysymistä kohtaan. tietosuoja 3 • 2013 Mirjami Laitinen on Sitran vanhempi neuvonantaja. Tieto on saatavilla standardoitujen ja avoimien rajapintojen yli tietoa tarvitseville ja siihen oikeutetuille tahoille. Kahdenvälisellä tiedonsiirrolla on lisäksi katsottu voitavan taata tiedon luottamuksellisuus ja saatavuus, kun tietoja on saanut käyttöönsä vain niihin oikeutettu organisaatio tai henkilö. Sen tavoitteena on, että tieto on mahdollisimman laajasti ja helposti kansalaisten, yritysten ja julkisen hallinnon palvelujen käytettävissä. Nykyisin Suomessa julkisten organisaatioiden ja yritystenkin väliset yhteydet ja tiedonvälitys perustuvat hyvin erilaisiin, usein tiettyä tehtävää varten tehtyihin ratkaisuihin. Kansalaisportaalissa käyttäjä näkee itseään koskevat tiedot sekä lokitiedot niiden käytöstä
Näissä niin sanotuissa yksityisissä pilvipalveluissa voidaan yleensä sopia ja varmistaa tietoturva-asiat siten, että riskit ovat pienemmät. Your Own Device) nähdään usein varsinkin talouspuo- panostaa entistä enemmän tietoturvan ja tietosuojan 16. Monesti ongelmana on myös, että tietoturvaan liittyvä Tämä on hyvä huomioida vähintäänkin varautumisessa. Teksti Ari Andreasson ja Juha Koivisto T toturvariskejä. Asiantuntijalta Riskienhallinnasta ei ole varaa tinkiä Teknologia ja palvelutuotannon ulkoistaminen tuovat uudentyyppisiä tietoturvahaasteita erityisesti julkiselle sektorille. BYOD (Bring myös imagosta ja palvelujen laadusta. Yhteys julkisiin pilvipalveluihin muodos- rasta. Esimerkiksi tukipalveluiden antaminen voi Kuntaliitokset ja monituottajaorganisaatiot alihankkija- olla vaikeaa. Kyse on siis Omien laitteiden käyttö työpaikalla eli ns. tioissa. Luottamuksen menettämisen jälkeen Omat laitteet tuovat vastuukysymyksiä tilanteen korjaaminen on erittäin vaikeaa. Myös sovellusten käyttöohjeiden tekemi- verkostoineen ovat rantautuneet useiden kuntien toi- nen voi vaikeutua, kun eri laitteissa jo sovelluksen käyn- mintamalliksi. Asiaan liittyy paljon ohjeita Pilvipalveluita mainostetaan luotettavina, ja usein ja säädöksiä sekä huolestuttavia ne onkin suojattu esimerkiksi yksittäisten palvelimien uutisia, jotka askarruttavat johtopor- hajoamisilta. huonompi kuin omassa verkossa olevilla palveluilla. muilta osin. tietolähteisiin tuovat mahdollisuuksia mutta lisäävät tie- Erityisesti julkinen sektori on voimakkaassa muutos- lella kustannuksia säästävänä, mutta samalla ei muisteta prosessissa ja uudentyyppisten tietoturvahaasteiden huomioida sen aiheuttamia kustannuksia ja haasteita edessä. Tämän asenteen pitää muuttua! Tietojärjestelmiin tallennetaan paljon salassa pidettäviä tietoja, ja alati muuttuva laitekanta sekä tiedon tallennuspaikat aiheuttavat sen, että organisaation pitää Pilvipalveluita voidaan toteuttaa myös suoraan tietylle organisaatiolle. riskienhallintaan. tietosuoja 3 • 2013. riskienhallinta on puutteellista tai kokonaan tekemättä. Pilvipalveluita on yleensä helppo ottaa käyttöön, mutta julkisissa pilvipalveluissa on usein erittäin vaikeaa vaikuttaa tietoturvaan, kuten varmuuskopiointiin tai tietojen saamiseen pois palvelusta tarvittaessa. Pilvessä on odotettua enemmän riskejä Ajankohtaisia tietoturvahaasteita ovat erilaiset pilvipalvelut sekä omien laitteiden käyttö työssä. Palveluja ostetaan yhä enemmän ulkopuolelta. Organisaatioiden pitäisikin kiinnittää enemmän huomiota riskienhallintaan. tetaan kuitenkin useiden operaattoreiden kautta, jolloin Usein organisaatioiden haasteena on, että tietotur- todennäköisyys palvelun saatavuuteen on käytännössä van toteuttamiseen ei ole käytössä riittäviä resursseja. Julkisissa pilvipalveluissa organisaatio tai varsinkaan loppukäyttäjä ei yleensä tiedä, minne tiedot tallentuvat, ietoturva on päivänpolttava pu- eli pysyvätkö ne esimerkiksi EU:ssa, ja kuka tietoihin pää- heenaihe useimmissa organisaa- see loppujen lopuksi käsiksi. Ajasta ja paikasta riippumattomat rat- nistäminen voi tapahtua eri tavalla, tai laitteista saattaa kaisut ja niiden kytkeytyminen saumattomasti erilaisiin puuttua sovelluksen tarvitsemia peruspalveluita
Erityisen tärkeä on olla tietoturvapolitiikka, johon liittyy tai jonka alle kuuluu tarkempia muita periaatteita, määräyksiä ja ohjeita, kuten käyttövaltuus- ja mobiililaitepolitiikat. Tärkeintä on jatkuvuus Kukaan ei tällä hetkellä tiedä, mitä tulevaisuus tuo tul- Käyttösitoumus on osa perehdytystä Tampereen kaupunki laati ympäryskuntien kanssa yhteisen seudullisen tietoturvapolitiikan sekä otti käyttöön sähköisesti hyväksyttävän tietojen ja tietojärjestelmien käyttö- ja salassapitositoumuksen. Vaikea kysymyksiä. Ohjeet ja jalkautus kuntoon Tietoturvariskien hallitsemiseksi organisaation pitää laatia tietojensa ja tietojärjestelmiensä käyttäjille ajanmukaiset määräykset ja ohjeet. Se kyllä tiedetään, että talous on tiukoilla ja muutospaineita tietoturva- ja tietosuojalainsäädän- tietosuoja 3 • 2013 17. Tietoturva- ja tietosuoja-asioiden jalkauttamiseksi Tampereella laadittiin myös erillinen henkilöstön tietoturvaopas. Se myös takaa esimiehelle oikeusturvaa siitä, että asioista on kerrottu työntekijöille. Artikkelin kirjoittajat Ari Andreasson ja Juha Koivisto työskentelevät Tampereen kaupungin tietohallintoyksikössä tietoturva- ja tietosuoja-asioiden parissa. Miten varmistetaan, että laitteesta ei pääse hait- ajan tasalla. Myös salassapidon merkitystä on korostettava säännöllisesti. lessaan. Sitoumusta käsiteltiin myös yhteistyöryhmän pääluottamusmiesjaoston kokouksessa, koska sitoumuksessa kerrotaan muun muassa, että tietojärjestelmässä käynnit kirjautuvat lokitiedostoihin ja niitä valvotaan. Tietojärjestelmien väliset eri aikakausina rakennetut rajapinnat pitää tarkastaa tietoturvaongelmien varalta ja tehdä tarvittavat korjaustoimet. O taohjelmia työnantajan verkkoon. Saako mästä parasta mahdollista arviota kehityksestä ja varau- työnantaja asentaa työntekijän laitteeseen etähallin- tumasta tulevaan. Erittäin tärkeää on myös varautua erilaisiin häiriötilanteisiin. Kaikkea tätä pitää valvoa ja huolehtia siitä, että ohjeet ja suunnitelmat ovat vastuutettu pidettäväksi ajantasaisina. Tiedottaminen tietojärjestelmien käyttökatkoksissa pitää suunnitella sekä laatia varasuunnitelmat siihen, kuinka toiminta saadaan tarvittaessa pidettyä pystyssä ilman sähköisiä tietojärjestelmiä. Tärkeintä on muistaa, että tietotur- taan liittyviä tuotteita esimerkiksi tyhjentääkseen työn- vassa ei ole kyse projektista vaan prosessista. Sitoumus on hyvä tapa kertoa työntekijöille tietojen ja tietojärjestelmien käyttöön liittyvistä ehdoista, eli se toimii osana perehdytystä. Hyviä keinoja kirjallisten ohjeiden lisäksi ovat auditorioluennot sekä verkkokoulutukset. Omien laitteiden työkäyttöön liittyy myös vastuu- nön uudistamiseen tulee myös kansainvälisesti. Ei siis pidä antajan tiedot (ja samalla käyttäjänkin tiedot, jos niitä syyllistyä siihen, että asiat laitetaan hetkellisesti kuntoon ei voida erotella) laitteesta varkaus- ja katoamistapauk- ja viiden vuoden päästä tarkastetaan, ovatko ne vielä sissa. Verkkoliikenteen suojaaminen ja hallinta on ensiarvoisen tärkeä suunnitella ja toteuttaa huolella. Ohjeet on myös jalkautettava. Kuka maksaa laitteen ohjelmistolisenssit, tulevaisuuden ennustettavuus ei kuitenkaan estä teke- ja mitä niille tapahtuu työsuhteen päättyessä. He ovat kirjoittaneet kirjan Tietoturvaa toteuttamassa sekä yhdessä tietosuojavaltuutetun toimiston ylitarkastaja Arto Ylipartasen kanssa Tietosuojavastaavan käsikirjan
Se ei silti ole lähiaikojen edesmenneistä, kirkosta eronneista sekä hankelistalla, Koivula sanoo: niin sanotuista viitehenkilöistä, kuten kirkkoon kuuluvien kanssa naimisissa olevista. Rekisteröi tämä Ei ihan tavallinen jäsenrekisteri Evankelisluterilaisten seurakuntien jäsenet ovat nyt yhteisessä tietojärjestelmässä. Seurakunnilta pyydetään tietoja esimerkiksi biologisten sukulaisten selvittämiseksi, ”Seurakuntien jäsentietojärjestelmät mihin on lainsäädännössä omat pykälänsä. Tietoja käytetään seurakuntien se on vielä kesken. alkoivat olla vanhoja, ja niissä oli muun Viranomaisille, kuten poliisille ja sairaaloille, muassa puutteita tietoturvassa. Tavoitteena on, että kaikkien Suomen evankelisluterilaisten seurakuntien kirkonkirjat 1870-luvulta 1960-luvulle sekä perhelehdet ovat digitoituina vuoden 2014 loppuun mennessä. Kirjurissa on käynnissä mittava, vain paperimuodossa olevien tietojen digitoiminen järjestelmään. ”Yhteiseen tietojärjestelmään on kaksi merkittävää syytä”, Kirkkohallituksen projektipäällikkö Veijo Koivula sanoo. Teksti Päivi Männikkö Kuva henna aaltonen / KT K aikkien yli 400 seurakunnan jä- Koivulan mukaan tietojen säilytysajoista senten tiedot on nyt yhdistetty on käyty neuvonpitoa tietosuojavaltuute- samaan tietokantaan. Esimerkiksi kirkosta uusi jäsentietojärjestelmä, Kirjuri, eronneesta säilytetään tieto rippikoulun otettiin käyttöön viime vuonna. Evankelisluterilaisen kirkon jäsenet asioi- Useita miljoonia rekisteröityjä vat kotipaikkansa seurakunnan tai seurakuntayhtymän kanssa. toimintaan ja viranomaistehtäviin. Tulevina vuosina on tarkoitus siirtyä valtakunnalliseen pal- Kirjuri sisältää perustietojen (nimi, syn- veluun, eli kansalainen voisi asioida missä tymä- ja kuolinajat, yhteystiedot) lisäksi seurakunnassa tahansa. Seurakunnat ovat pitäneet kirjaa jäsenistään vuosisatoja, ensin kirkonkirjojen ja myöhemmin perhelehtien avulla. suorittamisesta siltä varalta, että henkilö haluaa liittyä kirkkoon takaisin. Kohti valtakunnallista ja sähköistä asiointia kista ev.lut. 18. Toinen syy luovutetaan tietoa esimerkiksi lähiomai- on asiakaspalvelun parantaminen.” sista, jos tietoja ei löydy väestötietojärjes- Esimerkiksi perunkirjoitukseen tarvitaan sukuselvitys, johon tulevat tiedot kaiedesmennyt on ollut. seurakunnista, joiden jäsenenä Digitointiurakka jatkuu ”Jäsenrekisteri- ja viranomaistehtävien hoidossa riittää nyt haasteita.” O tietosuoja 3 • 2013. telmästä. Kirkon tun toimiston kanssa. Tulevaisuudessa tiedot voidaan toimittaa yhdellä todistuksella. Edellytyksenä on tiedot henkilön perhesuhteista ja kirkolli- kuitenkin valtakunnallisten selailu- ja kir- sista toimituksista, kuten rippikoulun suo- jausoikeuksien antaminen seurakunnille, ja rittamisesta. Joskus tulevaisuudessa Kirjuriin aiotaan Järjestelmään rekisteröityjen lukumäärä rakentaa myös sähköinen asiointipalvelu, lasketaan miljoonissa: Kirkon nykyisten jossa ihmiset pääsisivät tarkastelemaan jäsenten lisäksi Kirjuri sisältää tietoja myös omia tietojaan
Henkilötietolain mukainen omien tietojen tarkastusoikeus koskee myös tallentavasta kameravalvonnasta kertyviä omia kuvia. Lisäksi, jos palvelussa olleita haavoittuvuuksia, joiden kautta siihen on murtauduttu, ei ole vielä korjattu, julkistettu palvelu toimisi houkuttimena tietomurtajille. Porraskäytävän kameravalvonnassa lainmukainen peruste on asukkaiden turvallisuuden tai omaisuuden suojan varmistaminen. Kyseisessäkin tapauksessa suostumuksen pyytäminen olisi ainakin hyvien tapojen mukaista. Osa palveluista oli jo poistettu käytöstä, tai käytöstä oli poistettu ainakin palvelun se osa, johon oli murtauduttu. Kysy meiltä Syyskuussa paljastui tietomurtovyyhti, jossa murtauduttiin kymmeniin suomalaisiin verkkopalveluihin. Asuintalojen porraskäytävät ovat rikoslaissa tarkoitettuja kotirauhan piiriin kuuluvia alueita. Rekisterinpitäjän on laadittava henkilötietolain mukainen rekisteriseloste, josta ilmenee tietojen käsittelyn peruste eli asukkaiden turvallisuuden tai omaisuuden suojan varmistaminen. Näin käyttäjien riskit kasvaisivat. Askarruttaako jokin henkilötietojen suojaan, yksityisyyteen, viestinnän luottamuksellisuuteen tai tietoturvaan liittyvä asia. Onko tämä laillista puuhaa. Lähetä kysymyksesi meille, me etsimme sille sopivan vastaajan. Siihen on oikeastaan useampia syitä. Toisaalta henkilötietolakia ei sovelleta sellaiseen henkilötietojen käsittelyyn, jota henkilö tekee omiin henkilökohtaisiin tarkoituksiinsa. Tällaisesta saattaa olla kyse, kun laittaa ottamansa kuvan omaan, rajatulle kaveripiirille tarkoitettuun profiiliinsa. Kysymykseen vastasi tietoturva-asiantuntija Jarna Hartikainen Viestintäviraston CERT-FI:stä. Koulutoveri kuvasi tytärtäni kännykkäkameralla ja pisti kuvat omaan Facebook-profiiliinsa tyttäreni vastalauseista huolimatta. Aluksi ei ollut varmaa tietoa siitä, onko kaikkiin tutkinnan alla olleisiin palveluihin todella onnistuttu murtautumaan. Kysymyksiin vastasi tarkastaja Pirjo Helén tietosuojavaltuutetun toimistosta. Toki valvonnasta olisi silti hyvä tiedottaa osakkaille yhtiökokouksessa. Talon sisäänkäynnin yhteydessä pitäisi olla kameravalvonnasta kertova tiedote ja järjestelmän ylläpitäjän yhteystiedot. Kameravalvonnan pitää olla kaikilta osin henkilötietolain mukaista toimintaa. Siksi palvelun nimi on julkaistu vasta, kun on tiedetty, että haavoittuvuudet on paikattu, eikä murtautuminen niitä hyödyntäen onnistu. Valokuva, josta henkilö on tunnistettavissa, on henkilötietolain mukainen henkilötieto. Rekisterinpitäjän on myös nimettävä henkilöt, jotka saavat käsitellä kameravalvonnasta kertyviä henkilötietoja. Tietosuojavaltuutettu on kannanotos- tietosuoja 3 • 2013 saan todennut, että suostumuksen pyytämiseen olisi pyrittävä aina, kun yksityisyydensuojan voidaan edes epäillä vaarantuvan. Tietosuojalautakunnan mukaan porraskäytävän kameravalvontaan ei välttämättä edellytetä asiakkaiden suostumusta, kun käsittelyn perusteena on asukkaiden turvallisuuden tai omaisuuden suojan varmistaminen. Yleensä ottaen kuvien julkaisu netissä edellyttää pääsääntöisesti kuvattavan suostumusta. Oliko koulutoverilla tähän oikeus. Kuvaaminen on mahdollista vain, kun se on välttämätöntä rekisterinpitäjälle kuuluvan tehtävän suorittamiseksi. Kysymyksiä voi lähettää osoitteeseen info@tietosuoja-lehti.fi 19. Yhtiökokous päätti asennuttaa kerrostalon rappukäytävään tallentavat valvontakamerat. . Ensimmäisiin palveluihin on murtauduttu jo kesällä 2012. Miksi julkisuudessa ei ole kerrottu kaikkien murron kohteiksi joutuneiden palvelujen nimiä
Luotta 20. tietosuoja 3 • 2013
F inanssialan keskusliiton (FK) ikkunoista Helsingin Bulevardilla avautuu sankan sumun ympäröimä maisema. FK on pankki- ja vakuutusalan edunvalvojana varoitellut päättäjiä tulevaisuuden haasteista ja vaatinut sääntelyn keventämistä, jotta liiketoiminnan tielle ei kasautuisi tarpeettomia esteitä. tietosuoja 3 • 2013 21. ”Henkilötietojen käsittely on niin olennainen osa finanssialan kestävää toimintaa, että on hyvä, että se on tarkkaan säädeltyä.” Jos tietosuoja-asetus hyväksytään asetuksen muodossa, se on sellaisenaan jäsenmaissa sovellettavaa lainsäädäntöä. Kauppi ottaa esimerkiksi asetusluonnoksessa olevat henkilötietojen käsittelyn perusteita koskevat artiklat, jotka eivät ole yhtä yksityiskohtaiset ja tarkkarajaiset kuin henkilötietolaissa. Elokuisena aamuna sää näyttää symboloivan Suomen talouden epäselviä näkymiä. FK:n mielestä olisi tärkeää, että jäsenmaat voisivat tarvittaessa poiketa asetuksesta kansallisella erityislainsäädännöllä. Teksti Päivi Männikkö Kuvat Olli Häkämies ”Poliitikko on poliitikko 24/7, tässä työssä on työajat ja yleensä vapaat viikonloput”, entinen europarlamentaarikko ja nykyinen Finanssialan keskusliiton toimitusjohtaja Piia-Noora Kauppi vertaa. Sumuisena aamuna alan haasteita henkilötietojen käsittelyssä pohtii FK:n toimi- tusjohtaja Piia-Noora Kauppi. Hän paljastaa, että ainakaan henkilötietolain keventämistä liitto ei toivo, päinvastoin: ”Henkilötietojen käsittelyn tulisi jatkossakin olla mahdollista suomalaisen nykysääntelyn mukaisessa laajuudessa ja perusteella.” Tarkka sääntely sopii Henkilötietolain tulevaisuus on epäselvä valmisteilla olevan EU:n yleisen tietosuoja-asetuksen takia. musbisneksen edunvalvoja Pankki- ja vakuutusalalla henkilötietojen käsittely on välttämätöntä, eikä siinä ole varaa epäonnistua, sanoo Finanssialan keskusliiton toimitusjohtaja Piia-Noora Kauppi. FK pelkää, että asetus voisi heikentää pankki- ja vakuutusalan toimintaedellytyksiä Suomessa
taa – vaikka ne voivat olla samassa konser- ?. Hän huomauttaa, että finanssitavaratalo ”Usein sitten taustalla todellisia päätök- toiminnan edellytys, koska henkilötiedot siä hoitavat eri henkilöt, eli lainan myöntää ovat välttämättömiä päätösten tekemiseksi eri henkilö kuin vakuutuksen.” kestävästi. ”Mutta toisaalta direktiivi on mahdollistanut kansallisten erityispiirteiden huomioon ottamisen, ja se on ollut hyvä asia.” Finanssikonsernilla ei ole varaa töppäilyihin Pankki- ja vakuutusalalla ovat viime vuosina puhaltaneet muutoksen tuulet. ”Yhtään asiakasta ei ole varaa menettää tietosuoja 3 • 2013. Kauppi myöntää, että harmonisoinnissa on alan kannalta myös myönteisiä puolia. Verkkopankkihuijauksen uhriksi joutuminen on usein hirveä shokki. Ja myös siitä on tiukat säädök- ?. Luottamus on avainasemassa kilpaillulla alalla. ”Ensinnäkään pankki- ja vakuutustoimin- ?. Yhdenmukaistaminen helpottaisi erityisesti kansainvälisten yritysten toimintaa, joihin useat finanssikonsernitkin lukeutuvat. Finanssialan keskusliiton toimitusjohtaja 2009– Euroopan parlamentin jäsen (Kokoomus/EPP) 1999–2009 Europarlamentissa Kauppi oli mm. nissa – ei voi harjoittaa samassa juridisessa yrityksessä. mukaansa toimiva tietosuoja on terveen 22. talous- ja raha-asioiden valiokunnan sekä oikeudellisten asioiden valiokunnan jäsen. Kaupin mukaan pankkien ja vakuutusyhtiöiden sulautuminen täyden palvelun finanssitavarataloiksi ei kuitenkaan tuota tietosuojariskejä. Hänen mipisteessä tai verkkopankissa. Piia-Noora Kauppi ?. oikeustieteen kandidaatti set, että arkaluonteisia tietoja, esimerkiksi vakuutusyhtiön korvauskäsittelyn yhteydessä saamia terveydentilatietoja, ei voi luovuttaa pankille markkinointi- tai muihin tarkoituksiin”, Kauppi painottaa. parantaa asiakaspalvelua, kun vakuutus- ja Kauppi allekirjoittaa väitteen tietosuo- pankkiasiat voi hoitaa yhdellä käynnillä toi- jasta finanssialan liiketoimintaetuna. Euroopan komissio haluaa kuitenkin yhdenmukaistaa jäsenmaiden pykäliä ja käytäntöjä, koska niissä on suuria eroja, vaikka ne perustuvat samaan henkilötietodirektiiviin. Kun ennen vanhaan asuntolaina haettiin pankista ja henkivakuutushakemus terveysselvityksineen jätettiin vakuutusyhtiölle, hoituvat pankki- ja vakuutusasiat nyt usein yhdeltä luukulta
sen takia, että olisi edes epäilys siitä, että asioita ei ole hoidettu kunnolla.” tietosuoja-lehti.fi Ikäihmiset verkkopankissa Tietojen siirrettävyys: hypetystä vai kuluttajan etu. En muista tämänhetkistä Facebook-kaverien lukumäärää, mutta he ovat sellaisia, jotka joko olen tavannut tai ollut vähintäänkin digimaailmassa yhteyksissä. ohella syynä saattaa olla se, että verkko- ”Jos Tupas-tunnistamista ryhdytään käyttämään esimerkiksi sellaisissa viran- Viranomaispalveluita siirretään verk- omaispalveluissa, joissa siltä vaaditaan vielä pankkijärjestelmät ovat olleet käytössä jo koon kiihtyvällä vauhdilla, ja myös euroop- enemmän, ei ole alan intressissä rakentaa kauan, ja suomalaiset osaavat käsitellä jär- palainen lainsäädäntö pakottaa miettimään sitä ilmaiseksi.” O jestelmiä ja tunnuksiaan varovaisesti. nusten suosiota, mutta käyttötottumukset enemmän. Toki Suomessakin on silti valistuksen tarvetta.” Samaan aikaan valistusta tarvitsee uusi käyttäjäkunta, ikäihmiset, jotka ovat siirtyneet sankoin joukoin konttoreista verkkopankkien käyttäjiksi. Kauppi arvioikin, että alan on pitänyt panostaa tietoturvaan muita tystenkin sähköisissä palveluissa. Mutta Tupas-standardin Kaupin mukaan finanssiala haluaa jatkaa päästä käsiksi, vorot iskevät kiinni heikoim- kehittäminen on aika kallista ja aikaa vie- Tupas-standardin kehittämistä, mutta jokin paan lenkkiin eli asiakkaaseen. Ja ihmiset ovat tottuneet sii- ansaintalogiikka siinä on oltava. ”En ole mitenkään fundamentalisti näissä asioissa. ”Ja kun me olemme ihmisiä, niitä tapahtuu varmasti jatkossakin.” Tupas ei ole hyväntekeväisyyttä Finanssialalle on Suomessa siunaantunut eräänlainen luottamuksen portinvartijan rooli, koska meillä verkkopalveluihin kirjaudutaan pankkien Tupas-tunnisteilla. vahvan sähköisen tunnistamisen ja sähköi- Vuonna 2012 suomalaisilla Tupas-tun- sen allekirjoittamisen palveluita uudella nisteilla tehtiin 32 miljoonaa tunnistusta- tavalla. En hyväksy kaveriksi kaikkia sellaisia, joita en ole koskaan tavannut.” ne ovat ylivoimaisesti suosituin vahvan tunnistamisen tapa niin viranomaisten kuin yritietosuoja 3 • 2013 23. ”Väitän, että valistus on myös mennyt perille ja ihmiset ovat aika varovaisia. Harvinaisen kielen Kauppi muotoilee. Kun pankin kriittisiin järjestelmiin ei kittävästi menoja. Vajaalla viidellä miljoonalla suomalaisella on käytössään verkkopankkitunnukset, ja 3 Kolme kysymystä sosiaalisesta mediasta Miten Finanssialan Keskusliitto on mukana somessa. Verkkopank- vää puuhaa. Finanssilaitosten tietojärjestelmissä liikkuu paljon rahaa, ja siksi ne ovat otollisia kohteita rikollisille. distuneita onnistuneita murtautumisia tai edes vakavasti otettavia yrityksiä.” ”Yleiskäsitys on, että se ei ole bisnestä, mutta se ei tällä hetkellä tuo myöskään mer- muuttuvat hitaasti ja toisaalta verkkopalvelut hyvinkin nopeasti. ”Kun tulin taloon, perustimme ensimmäiset Twitter-tilit, menimme Facebookiin ja veimme YouTubeen erilaisia videoita. Jokaisesta tapahtumasta kilah- seeraama mobiilivarmenne ei ole ainakaan nattaneet: FK:n tiedossa ei ole suomalaisten taa senttejä pankkien kanssaan. Minusta on hyvä, että palautetta tulee, on se sitten kriittistä tai myönteistä.” Onko sinulla erilliset työ- ja yksityiselämän profiilit. ”Se on huomattavasti asiallisempaa kuin mistä minulla on aikaisemmin kokemusta. Huijauksissa ja luvattomassa käytössä avainasemassa on kuitenkin kuluttaja, Kauppi huomauttaa. Teleyritysten pari vuotta sitten lan- ”Mutta Suomessa panostukset ovat kan- pahtumaa. Facebookissa on henkilökohtaisenkin puolen juttuja, jotka näkyvät aika laajalle joukolle. Pankeilla ei olekaan tietoturvan suhteen varaa höllätä, vaan turvaratkaisuja pitää kohentaa koko ajan. Nyt olemme myös SlideSharessa.” Millaista palautetta saat somessa. Kauppi korostaa kuluttajavalistuksen merkitystä verkkopankkihuijausten kitkemisessä. Twitterissä on pääosin työhön ja julkiseen minään liittyviä asioita. kihuijausten määrä on meillä silti kansainvä- hen, että Tupas on maksuton kuluttajalle”, lisesti katsottuna pieni. Kuinka hyvä vielä onnistunut horjuttamaan pankkitun- finanssilaitosten kriittisiin järjestelmiin koh- bisnes tunnistaminen on alalle
Hyökkäyksestä elintärkeään tietoinfrastruktuuriin, kuten voimaloihin, liikenneverkkoihin ja julkisiin verkkoihin, voisi saada viiden vuoden vankeusrangaistuk- kielto tai julkisten tukien menettäminen. Direktiiviluonnos vaatii muun muassa tietomurrosta ja viestintäsalaisuuden loukkaamisesta enimmillään kahden vuoden vankeusrangaistuksen. Komissio antoi ehdotuksensa telemarkkinoiden uudistuspaketiksi syyskuussa. tietosuoja 3 • 2013. Lainsäädäntöehdotuksen tarkoituksena on yhdenmukaistaa pelisääntöjä ja viranomais- Lex Nokia vaihtaa lakia Kiistellyt ns. Lex Nokia -säännökset siirretään sähköisen viestinnän tietosuojalaista lakiin yksityisyyden suojasta työelämässä. Bottiverkkojen käytöstä tai luomisesta tulisi määrätä vähintään kolmen vuoden vankeusrangaistus. 24. Siirto ja sen yhteydessä tehtävät mahdolliset muutokset valmistellaan työ- ja elinkeinoministeriön johdolla kolmikantaisesti. Nykyisin jotkut EU-maat, kuten Hollanti, ovat jo säätäneet kansallisella tasolla verkkoneutraliteetista. Toteutuessaan direktiivi yhdenmukaistaa tietoverkkoihin kohdistuneista hyökkäyksistä annettavia tuomioita jäsenmaissa. Rangaistusvaatimus ei koske vähäisiä tapauksia, ja vähäisen futureimagebank tapauksen määrittely jää jäsenvaltioiden vastuulle. Tällä tarkoitetaan sitä, että tietyntyyppistä verkkoliikennettä tai tiettyyn osoitteeseen kohdistuvaa liikennettä ei saisi rajoittaa ilman lainmukaista perustetta. Lait ja säädökset Tietoverkkorikoksista kovemmat rangaistukset Euroopan parlamentti ja neuvosto ovat päässeet alustavasti sopuun verkko- ja tietoturvadirektiivin sisällöstä. jäsenvaltioilla on kaksi vuotta aikaa saattaa se osaksi Rangaistuksena voisi olla esimerkiksi liiketoiminta- kansallista lainsäädäntöä. Lex Nokia -pykälät siirtyvät näin liikenne- ja viestintäministeriön vastuulta työ- ja elinkeinoministeriölle. Yrityksillekin voitaisiin määrätä rangaistus tie- Kun neuvosto on hyväksynyt direktiivin virallisesti, toverkkorikoksista, jotka on tehty niiden hyväksi. sen. Siirto tehdään tietoyhteiskuntakaaren valmistelun yhteydessä. valvonnan käytäntöjä. Neutraalille netille pelisäännöt Mikäli Euroopan komission lainsäädäntöehdotus toteutuu, EU-maihin tulee yhteiset säännöt niin sanotulle verkkoneutraliteetille. Komission mukaan nykyisin EU:n telemarkkinasäännöksiä sovelletaan eri maissa eri tavalla
valvonta-asioissa oikeus hyödyn- Uuteen lupa-asioiden rekisteriin tää esimerkiksi poliisiasiain tieto- talletettaisiin ainoastaan rajavyö- järjestelmän tietoja ilman erityisiä hykelupiin ja -ilmoituksiin liittyviä poikkeusperusteita. tietojen käsittelyä rajavartiolai- Muutosta perustellaan käyt- toksessa. Ilmoituksen sisältöä on täsmennetty asetuksen liitteessä. Näin rajavartijoilla olisi taisiin kahdeksi eri rekisteriksi. Jos tietoturvapoikkeamalla on todennäköisesti haittavaikutuksia asiakkaiden henkilötiedoille tai yksityisyydelle, palveluntarjoajan on ilmoitettava siitä myös asiakkaille. Valvonta-asioiden rekiste- liittyvissä tehtävissä muiden rekis- riin talletettaisiin rajavartiolaitok- terien käyttömahdollisuus on raja- sen valvontatehtävissä saatuja tie- tumpi. Komissio antoi asetuksen sähköisen viestinnän tietosuojadirektiivin nojalla. Lait ja säädökset EU kiristää tietoturvaloukkausten ilmoitusvelvollisuutta. toja. Lupa-asioihin tietoja. Biopankin tiedonannosta ja suostumusasiakirjasta säädetään tarkemmin sosiaali- ja terveysministeriön asetuksilla. Sen lupahallinnon ja tötarkoitussidonnaisuuden vaati- valvontatehtävien rekisteri jaet- muksella. antero aaltonen Ilmoitus vuorokauden kuluessa Rajavalvonnan rekisterit selkeämmiksi Eduskunta käsittelee lainmuu- myös rajatarkastukset ja muu raja- tosta, joka selkeyttäisi henkilö- valvonta. Lain voimaantulon jälkeen uusien näytteiden keräämiseen biopankkia varWikimedia Commons ten tarvitaan potilaan kirjallinen suostumus. Ennen lain voimaantuloa potilaan hoidon tai aloitetun tutkimuksen yhteydessä kerätyt näytteet voidaan kerätä biopankkiin, mikäli eettinen toimikunta pitää siirtoa hyväksyttävänä ja tietojen siirrosta tiedotetaan rekisteröidyille. Alustavaa ilmoitusta on täydennettävä ja tarvittaessa päivitettävä viimeistään kolmen päivän kuluttua. Valvontatehtäviin kuuluisivat Biopankkilaki astui voimaan Uusi biopankkilaki ja siihen liittyvät asetukset tulivat voimaan syyskuun alussa. Elokuussa voimaan tulleen komission asetuksen mukaan palveluntarjoajan on ilmoitettava kansalliselle viranomaiselle henkilötietojen vaarantumiseen johtaneesta tietoturvapoikkeamasta 24 tunnin kuluessa sen havaitsemisesta, jos tämä on käytännössä mahdollista. tietosuoja 3 • 2013 25
sovellukset keräävät hänen henkilötieto- onko ongelma puhelimessa, sovelluksessa jaan. EU:n tietosuojaviranomaisten taessa, sovellusten käyt- mihin heidän henkilötietojaan on tallen- mukaan laitteen IP-osoite on henkilötieto, täjätilejä avattaessa ja nettu, tai miten käyttäjä voi lopettaa pal- sillä sen perusteella on usein – joskaan ei sovelluksia käytettäessä velun. Lisätietoa käyttäjä saa palvelukohtaisesta tietosuojaselosteesta. verkkokäyttäytyminen ja laitteen sijaintitie- älypuhelimeensa 37 so- Tietosuojavaltuutetun toimisto saa mobii- dot, mikäli ne ovat yhdistettävissä tiettyyn vellusta. kuten puhelinvalmistaja, teleoperaattori, toimivaltakysymykset. Sovellusmaailmassa henkilötietoja eivät ole takaa löytyviin dokumentteihin ei ole hyvä Toimijoiden määrä on ongelmallinen vain nimi ja osoite, vaan myös esimerkiksi ratkaisu.” Sovellus ei ole pelkästään tuote eikä pel- 26. rajojenkin yli, sillä monet sovelluskehittä- kevat lainsäädökset jakautuvat kolmen eri Nokian kehittelemissä mobiilisovelluk- jistä ovat ylikansallisia yrityksiä. suostumusta mahdollisimman varhaisessa Lait laahaavat mobiiliteknologian perässä Tähän etsitään vastauksia tietosuojaval- Tietosuojaviranomaisten näkökulmasta tuutetun toimiston viranomaisille järjestä- älypuhelinsovellusten luonne ja useat eri mässä seminaarissa loka-marraskuun tait- toimijat mutkistavat tietosuojan toteutta- teessa. Tietosuojaviranomaisten työryhmä vaati huhtikuisessa kannanotossaan mobii- käsittelevät tyypillisesti useat eri tahot, Viranomaisia puolestaan askarruttavat lisovellusten tietosuojan tiukentamista. Sovelluksen käyttäjän henkilötietoja vai palvelussa. ”Siksi olemmekin ajatelleet, että suostumusdialogin piilottaminen pitkiin, linkkien tietosuoja 3 • 2013. kästään palvelu vaan laitteeseen ladattava Harva lukee tietosuojaselosteen sovellus, joka toimii yhteen palvelun kanssa. Niitä hankit- lisovellusten käyttäjiltä kyselyjä eniten siitä, henkilöön. vaiheessa. Käyttäjän on usein vaikea mieltää, aina – mahdollista yksilöidä käyttäjä. viranomaisen kesken, joiden erilaiset toi- sissa käyttäjälle pyritään kertomaan hen- mintatavat tarvitsevat nyt yhteensovitta- kilötietojen käsittelystä ja kysymään siihen mista. mista. Verkko-ostamista, Työryhmä korosti erityisesti sitä, että henki- sovelluskehittäjä ja mainostaja. Teksti Kirsi Castrén kuva shutterstock K eskivertokuluttaja lataa kuluttajansuojan toteutumisen kannalta. Henkilörekisteri taskussa Älypuhelimella voi tehdä helposti mitä vain – paitsi säilyttää yksityisyytensä. ”Yleinen arkikokemus kertoo, etteivät ihmiset tietosuojaselosteita kovin paljon lue,” sanoo tietosuojalakimies Mikko Niva. Sovellusten kuluttajansuojaa, tietosuojaa sekä sähköi- lötietojen käsittelyyn tulee aina pyytää käyt- tallentamat henkilötiedot saattavat liikkua sen viestinnän luottamuksellisuutta kos- täjän suostumus
tietosuoja 3 • 2013 27. Tietosuojasta voi kertoa ymmärrettävästi kuvakkeilla
maallikon sisäistettävissä. Siksi tarvitaan vähintään laitteen ID tai IP-osoite, ettei Pekan pelitulos päädy Lauran laitteeseen”, Kuusniemi havainnollistaa. Hän peräänkuuluttaa käyttäjiltä aktiivisuutta. pyynnöstä. Niillä käyttäjälle voidaan tiedottaa esimerkiksi tilanteista, joissa paikkatiedon tallennus on käytössä. omaisten vaatimat juridiset asiat, on myös Mikko Nivan mukaan tietojen säilytysajat Tietosuojaseloste laaditaan myös viranomaisia varten. Nokialla on tarkoitusta varten luotu säännöstö. ”Se, mitä henkilötietoja pelattaessa käyttäjästä tallentuu, vaihtelee riippuen pelistä ja palvelualustasta”, kertoo lakimies Leena Kuusniemi peliyhtiö Roviolta. ”Käyttäjät voisivat perehtyä laitteisiinsa paremmin. Usein on tarjolla erilaisia blokkeja ja filttereitä, mutta niitä ei osata käyttää.” Lasten opastaminen mobiilisovellusten tietosuojaasioihin on vanhempien harteilla. ”Nyt laki on erilainen eri maissa, ja kuitenkin palvelut ovat mobiileja ja ylittävät rajat helposti.” Kuusniemen mielestä kuluttajan tärkein tietosuojaa koskeva päätös on laitteen ja sen käyttöjärjestelmän valinta. ”Ei kukaan lähettäisi lastaan liikenteeseen yksinään opettamatta sääntöjä ja varautumaan myös sääntöjen rikkojiin”, Kuusniemi vertaa. mukaan Nokia on ajanut muun muassa kansainvälisessä standardointiorganisaatiossa ISO:ssa aloitetta siitä, että tietosuoja huomioitaisiin standardisonnissa nykyistä listaa asiaa esimerkillä sovelluksesta, jonka ”Yritämme testaamalla saada kiinni tarkoitus on opastaa käyttäjä lähimmälle sovellukset, jotka mahdollisesti valehtele- ”Siten yksityisyydensuoja-asiat eivät jäisi huoltoasemalle. aseman. ”Tiedot myös hävitetään hyvinkin nopeasti käyttäjän 28. ”Luonnollisesti laitteen ja serverin välillä pitää olla jotakin liikennettä, ja sen pitää mennä oikeaan osoitteeseen. Mikko Niva havainnol- jäävät monilta sovelluskehittäjiltä huomiotta. Se ei kuitenkaan voi vaikuttaa siihen, miten sovellus hyödyntää saamaansa tietoa. tietosuoja 3 • 2013. Nivan Käyttäjien henkilötietoja saatetaan hyödyntää luvatta esimerkiksi mainonnassa. Nokia valvoo sovelluksia, jotka hyväksytään sen omaan sovelluskauppaan. vat käyttäjälle henkilötietojen käytöstä tai yksittäisten sovelluskehittäjien tietoisuu- ”Käyttäjä antaa sovellukselle komennon. Yhtä hyvin sovellus voi valehdella Tietosuojaselosteet laaditaan paitsi käyttäjille, myös viranomaisille osoitukseksi lain- käyttäjälle, ja sijaintitiedolla tehdäänkin jotain muuta.” Sovelluskehittäjillä paljon opittavaa mukaisesta toiminnasta. Tietosuojaselosteet laaditaan paitsi käyt- käyttöjärjestelmästä hänen sijaintitietonsa täytyisi toisin kuin niiden oletetaan käyttäy- täjille, myös viranomaisille osoitukseksi lain- ja selvittää sen avulla lähimmän huolto- tyvän”, Niva sanoo. Rovion Angry Birds -peliä voi pelata verkossa paitsi rekisteröityneenä käyttäjänä myös ns. vieraana, jolloin tietoja ei juuri tallennu. Näitä pyyntöjä tulee aika ajoin.” Jos Kuusniemi saisi esittää yhden toivomuksen lainsäätäjille, se olisi lainsäädännön harmonisointi. Tuore, maailmalla jo kokeiltukin tapa kertoa tietosuojasta ymmärrettävästi ovat puhelimen näytön kuvakkeet. Käyttäjä, tunne laitteesi Mobiilipelit käyttävät runsaasti paikkatietoja, ja ne sisältävät myös paljon kohdennettua mainontaa. Käyttäjää voidaan hämätä Mobiililaitteen tietoturvallisuus perustuu käyttöjärjestelmään. ”Meillä on todella pitkä excel-taulukko muun muassa IP-osoitteiden ja laitetunnisteiden säilytysajoista eri palveluissa.” Lainsäädännön lisäksi tai siitä huolimatta mobiilisovellusten käytäntöihin vaikuttavat voimakkaasti teknologiastandardit. Emme voi kuiten- den tai pikemminkin tietämättömyyden Sovellus käy käyttäjän luvalla hakemassa kaan taata, etteivät jotkut sovellukset käyt- varaan.” O paremmin. eivät kerro siitä mitään. Rovio pyrkii anonymisoimaan käyttäjien tiedot mahdollisuuksien mukaan. mukaisesta toiminnasta. Haasteena onkin Sovellusten keräämiä henkilötietoja saa laatia seloste, joka paitsi sisältää kaikki viran- säilyttää rekisterissä vain tarpeellisen ajan
2. 117:sta sovelluksesta eniten tilinumerostani olen hyvin tarkka. Facebookiin Spotifyta ja nettiä. töissä ei sellaista ole. Omassa puhelimessani pelejä, Trackeriä ja sähköpostia. Työpuhelimessa menen aina selaimen kautta. tehdä sen. YouTubesta käytän Facebookia, Twitteriä, TripAd- kuuntelen musiikkia ja WhatsAppiä visoria, WhatsAppia ja Google+:saa. Kotipuhelimessa pääasiassa Sports 1. Jossakin asiayhteydessä se on käy- 2. Tarvittaessa osaan 2. sekä käytän selainta. Jotkut ovat sitä mieltä, ettei mutten ole huolissani, koska en laita Tarja Pousár heillä ole mitään salattavaa, mutta sovelluksiin omia tietojani. Mitä sovelluksia käytät älypuhelimellasi. En ole niin herkkä yksityisyyden- Nokia 1. 2. helimessa laskinta ja sääsovellusta. Markus Aso Raisa Korolainen työnjohtaja ravintolapäällikkö Turku Tampere 1. 2. grillityöntekijä Tampere 3. Jos täytyy myksiäni. Kaikkia mahdollisia tietoja kerä- nyt mielessä, mutta en ole tarkemmin tään. Periaatteessa, mutten ole Tatu Sahrman perehtynyt asiaan. Työpuhelimessa lisäksi tiedonhakua, navigointia ja kuvaviestejä. Työpu- vain sähköpostia. 1. Arkikäytössä ei häiritse. 3. Huolestuttaako sinua tietojesi käsittely. yhteystietoja muistaakseni ainakin. En sitä mitenkään panikoi. Omassa puhelimessani käytän eniten sosiaalista mediaa, kalenteria, kameraa, sähköposteja, tekstiviestejä ja sääpalveluita. Tuntuu, että paljon enemmän kuin suojautua proxien kautta reitittä- tiedänkään. Sijaintia, puhelutietoja ja miettinyt. Kyllä. Nykyään kaikki on mahdollista, 3. mennä ”tutkan alta”, tiedän miten 3. 3. yrittäjä yksityisyydensuoja kuuluu perusoi- Vihti keuksiin. Sotustani ja 1. tietosuoja 3 • 2013 29. sovellukset panevat merkille mielty- 3. Olen huomannut, että mällä. Oma kännykkäni on älypuhelin, kotona. Teksti ja kuvat Pirita Männikkö Gallup Arkikäytössä riskit eivät huoleta Näitä kysyimme: 1. Myös pelejä. Käytän samaa älypuhelinta töissä ja suojasta tuolla tasolla. Tiedätkö, mitä henkilötietoja sinusta kerätään, kun käytät sovellusta. 2. Aika pitkälti. Sitä painaa her- Luna Luoto teknologiasuunnittelija kästi ”hyväksy”-nappia
Rekisterinumeron perusteella auton senhetkisen omistajan tiedot saa puhelimitse erilaisista palveluista, joten tieto on saatavissa helposti ja kohtuullisin kustannuksin. Huoltotietorekisteri olisi myös jäänyt vaillinaiseksi, koska autoja huoltavat myös yksityishenkilöt. Omistaja voidaan tunnistaa epäsuorasti Henkilötiedolla tarkoitetaan kaikenlaisia tunnistettua tai tunnistettavissa olevaa henkilöä koskevia tietoja. dollistaa henkilön erottamisen muista henkilöistä. Tiedustelussa korostettiin, ettei tietokannassa ollut kyse henkilötiedoista vaan autojen tiedoista. Lautakunta korosti sitä, että asiakassuhteisiin perustuvassa tietojenkäsittelyssä asiakkaan suostumuksella on erityisen suuri merkitys. Huoltotiedot olisi kerätty autoliikkeiden ja korjaamoiden asiakasrekistereistä. Sen mukaan auton rekisterinumero on henkilötieto. O tero pajukallio T ietosuojalautakunnal- tietosuoja 3 • 2013. Komissio on henkilötietodirektiiviä koskevassa taustamuistiossaan todennut, että ajoneuvon rekisterinumero on direktiivin tarkoittama henkilötieto, koska sen avulla henkilö voidaan tunnistaa epäsuorasti. Lautakunnasta kuuluu Auton rekisterinumero on henkilötieto Tietosuojalautakunta on linjannut henkilötiedon määritelmää muun muassa vuonna 2010 antamassaan päätöksessä. ta pyydettiin kantaa siihen, onko autojen huoltotietojen kerää- minen tietokantaan ja julkaiseminen verkkosivustolla henkilötietojen käsittelyä. Auton viemistä huoltoon ei myöskään voi pitää asiakkaan suostumuksena luovuttaa huoltotietoja muualle kuin korjaamon asiakasrekisteriin. Huoltosivusto ei täyttänyt lain vaatimuksia Lautakunta selvitti asiaa hakemuksena saada käsitellä henkilötietoja ja hylkäsi hakemuksen. Näin ollen rekisteri ei olisi täyttänyt henkilötietolain vaatimusta tietojen virheettömyydestä. Huoltotietorekisterin tarkoituksena oli ilmoittaa kaikille Suomessa rekisteröidyille autoille tehdyt huoltotoimet ja siten antaa avointa tietoja autojen kunnosta. Lautakunnan mukaan huoltotietorekisterissä on kyse henkilötietojen käsittelystä, koska auton rekisterinumero mah- 30. Lautakunnan mielestä henkilötietolain vaatimus käyttötarkoitussidonnaisuudesta ei täyttyisi, koska autoliikkeillä ja korjaamoilla ei ole velvollisuutta luovuttaa asiakkaiden tietoja tähän tarkoitukseen. Tunnistettavissa olevana pidetään henkilöä, joka voidaan tunnistaa suoraan tai epäsuorasti
pyydetään täyttämään rekisteritietojen tarkastuspyyntö- Pari pyyntöä vuodessa Sisustusketju Ikeaan kerääntyy asiakkaiden henkilötietoja ”Samalla tarkistetaan asiakkaan henkilötiedot voimassaolevasta henkilötodistuksesta”, Weurlander kertoo. ”Kirjalliset, allekirjoitetutkin tietopyynnöt varmistetaan tietosuoja 3 • 2013. Näin on Tietosuojan vastuuhenkilö käsittelee Ikeassa kaikki tarkas- esimerkiksi Suomessa”, Ikean asiakaspalvelujohtaja Camilla tuspyynnöt. Yhtiön sisäisen ohjeistuksen mukaan asiamies huomautti viime joulukuussa erästä rekisterinpi- tietojaan pyytävä ohjataan tavaratalojen asiakaspalve- täjää siitä, ettei omien tietojen tarkastusta tarvitse pyytää luun. Eduskunnan oikeus- olisi mahdollinen. Weurlander sanoo. 32. Jos asiakas saapuu paikalle henkilökohtaisesti, häntä kirjallisesti. Sen voi myös tehdä käymällä henkilökohtaisesti rekisterinpitäjän luona. yrityksen toimipaikkaan tarkastuspyyntöä teke- Pyynnöt ovat olleet kirjallisia, mutta suullinen pyyntökin mään voi tulla yllätyksenä. Teksti Marianne Saine Kuva Maija Nyman T ätä ei aina muisteta henkilötietoja keräävissä Ikean asiakkaat kyselevät tallennettuja henkilötieto- organisaatiossa, vaan kansalaisen ilmestyminen jaan Weurlanderin mukaan harvoin, pari kertaa vuodessa. ”EU-maissa pohjana ovat EU-direktiivit, mutta jos kansal- Tietoja ei tarvitse antaa heti linen lainsäädäntö on tiukempaa, noudatamme sitä. Useimmiten tarkastuspyyntö tehdään kirjallisesti. massiivinen määrä kanta-asiakaskorteista, tilauksista ja verk- Tarkastuspyyntölomakkeessa asiakas voi valita, haluaako kokaupasta. Ikea on kansainvälinen konserni, mutta asiakas- hän tarkastaa kaikki tietonsa, pelkät kameravalvonnan tie- tietojen käsittely räätälöidään kunkin maan lainsäädännön dot tai tietyn ajanjakson tiedot. mukaan. lomake. Yhtiö on tarkka henkilöyden toteamisesta. Tarkastuspyyntö paikan päällä Kansalaisella on lain antama oikeus tarkastaa henkilörekisteriin tallennetut tietonsa
”Pyrimme Ikeassa siihen, että asiakas saa selvityksen viimeistään kahden viikon kuluessa.” vielä soittamalla asiakkaalle, jos pyynnössä on asiakkaan puhelinnumero. Rekisteritietoja ei tarvitse antaa asiakkaalle heti, vaikka hän saapuisi rekisterinpitäjän toimipaikkaan henkilökohtaisesti. Onhan joissakin tapauksissa pieni mahdol- Kamera valvoo kassojakin lisuus, että kirjallisen pyynnön tekijä onkin muu henkilö”, Tallentavan kameravalvonnan kuva ja ääni ovat henkilötie- Weurlander toteaa. Lain mukaan tiedot on annettava ilman aiheetonta viivytystä. tolain mukaisia tietoja, joten kansalainen voi pyytää nekin tietosuoja 3 • 2013 33. Omia tietoja ei tarvitse pyytää kirjallisesti. Takaraja on kolme kuukautta
Prosessi tarkennuksi- hyväksymään kameravalvonta. liittää tarkastusoikeuspyyntöön oma kuvansa. Puhelimitse pyyntöä ei voi tehdä. Rekisterinpitäjän ei tarvitse antaa pyydettyjä tietoja heti, mutta ne on annettava ilman aiheetonta viivytystä ja ymmärrettävässä muodossa. neen on myös aika työläs. Poik- Jos asiakas haluaa tarkastaa kameravalvonnan tietonsa, häneltä kysytään muun muassa haluttua ajankohtaa ja vaatetusta. Jokaisella, myös alle 18-vuotiaalla, on oikeus tarkastaa itseään koskevat henkilörekisteriin talletetut tiedot. 34. Tarkastuspyyntö tehdään rekisterinpitäjälle kirjallisesti, allekirjoitetulla tai vastaavasti varmennetulla asiakirjalla tai henkilökohtaisella käynnillä rekisterinpitäjän luona. keuksena muista Ikeassa on itsepalvelukassat, joita kuvataan ”Jos tiedustelun tulee pitkän ajan jälkeen kuvaamis- kameroilla. ?. ?. ?. O tietosuoja 3 • 2013. Ikea-tavaratalojen yleisestä kameravalvonnasta kerrotaan pääovella, kuten muissakin vastaavissa yrityksissä. ?. ”Käyntiosaston kertominen on tietysti tärkeää, ja tunti on riittävän tarkka määre.” Kameravalvonnan tietopyynnöissä vastausaika vaihtelee enemmän. Lähde: Tietosuojavaltuutetun opas Henkilörekisteriin talletettujen tietojen tarkastaminen www.tietosuoja.fi > Oppaat tarkastettavikseen. Itsepalvelussa maksavaa pyydetään erikseen hetkestä, tallennusta ei ehkä enää ole. Tiedot on annettava ilman aiheetonta viivytystä. Asiakkaalle lähetettävästä tallen- Kameravalvonnan avulla tavaratalo varmistaa, että asiakas maksaa kaikki tuotteet. Tiedon etsimiseksi on syytä ilmoittaa ”Kamerat on suunnattu niin, ettei kuvasta ei voi saada sel- paikka ja mahdollisimman tarkka aika, jolloin kuvaaminen ville esimerkiksi asiakkaiden maksukorttien tunnuslukuja”, olisi tapahtunut. Tarkastusoikeus on myös alaikäisellä ?. Tällöin tulee varautua todistamaan henkilöllisyytensä. Tarkastusoikeuden käyttö samoihin tietoihin on maksutonta kerran vuodessa. Joskus pyynnön esittäjän voi olla tarpeen Weurlander sanoo. teesta pitää esimerkiksi poistaa muut henkilöt”, Weurlander sanoo. Pyynnön esittäjä on yleensä viranomainen rikosasiaa selvittäessään”, Weurlander kertoo. ”Yksityishenkilö ei ole koskaan Suomen Ikeassa halunnut tarkistaa kameravalvontatietojaan
yhdistysaktiivin henkilötiedot ovat julki- netuista henkilötiedoista on julkisuuslain perusteella julkisia. arkaluonteiseksi tiedoksi muun tietovarannoissa säilytetään runsaasti hen- muassa henkilön etnisen alkuperän, yhteis- kilötietoja. 35. vuutta halutaan lisätä entisestään julkaise- ja terveysalan, uskonnon ja elämänkatso- Julkisten verkkopalveluiden välityksellä malla niitä verkossa kansalaisten käyttöön muksen, maanpuolustuksen, ammattien ja avattavia tietoja ei voi eikä tulisi voida ar- ja liike-elämän jalostettaviksi. ten henkilötietojen avaamista laajasti verkkopalveluiden kautta yleiseen käyttöön. Vaikeudet todennäköisesti arkaluonteisten tietojen mukaiset perus- lisääntyvät, kun arvioidaan sinänsä julkis- teet. Jokainen itse päättää ja asettaa rajoja sille, mitä jakaa ja avaa sosiaaliselle yhteisölleen – paitsi jos joku toinen jakaa yhteisiä asioita enemmän. Yhdis- vioida pelkästään rekisterikohtaisesti tai Tietojen avaamisen tysten puheenjohtajien yksittäisinä tietoina. Yksityisyyden ja henkilötietojen suoja on jäänyt vähäi- Kaikki avoin data on periaatteessa yhdisteltävissä. Arkaluonteisia ovat myös terveyden- tiä koskevat perustiedot. semmälle pohdinnalle. Niitä ovat muiden tilaa ja vammaisuutta kuvaavat tiedot. Perustietovarannoissa laajasti henkilötietoja logiikaltaan keskenään ristiriidassa, eikä nii- suuslain mukaan julkisia, mutta henkilötie- den soveltaminen käytännössä ole aivan tolain mukaan niiden käsittelyyn on oltava yksinkertaista. Julkista mutta arkaluonteista Bisnes tuo lisähaasteita Perustietovarantoihin tallennettujen henkilötietojen avaaminen julkisten verkkopalve- Yhdistysrekisterin tiedot ovat erinomainen luiden kautta vaatii perusteellisen arvioin- esimerkki henkilötietojen suojan kysymyk- nin julkisen tiedon ja yksityisyydensuojan sistä julkisen ja yksityisen välisessä rajapin- välillä. Arvioinnin taustalla suunnittelussa on painot- ja nimenkirjoittajien tie- pitää olla ajatus siitä, että kaikki julkisten dot ovat periaatteessa verkkopalveluiden sisältämä tieto olisi viime ja käytännössä julkisia, kädessä yhdisteltävissä ja analysoitavissa. Henkilötietolaki taas rajaa mahdollisuuksia jakaa ja käsitellä näitä tietoja. Tämä ei liene toivottavaa. perus- säätää ns. Nyt tietojen saata- kunnan, kulttuurin, taiteen, tieteen, sosiaali- tuo tämä lisähaasteen asian arvioimiselle. Henkilötietolaki taas Viranomaisten hallinnoimissa ns. muassa nimi, henkilötunnus, osoitetiedot, Kun vertailee yhdistysten toimialoja ja kansalaisuus ja äidinkieli sekä tiedot perhe- arkaluonteisen tiedon määritelmää, ei voi suhteista, syntymästä ja kuolemasta. Julkisuuslaki ja henkilötietolaki ovat tietosuoja 3 • 2013 Juha Viertola on Patentti- ja rekisterihallituksen yhdistys- ja säätiörekisteripäällikkö. Näkökulma Avoin data julkisen ja yksityisen rajapinnassa Juha Viertola F acebook, Twitter, LinkedIn… elämää ja kokemuksia jaetaan sekä töistä että vapaa-ajalta kirjoituksin, kuvin ja videoin. dostaa laajan profiilin aina harrastuksista tunut teknisten ratkaisujen kehittäminen. elinkeinojen sekä politiikan alueilla. Esimerkiksi väestötietojärjes- kunnallisen, poliittisen ja uskonnollisen telmään rekisteröidään suomalaisten ja vakaumuksen sekä ammattiliittoon kuulu- Suomessa asuvien ulkomaalaisten yksilöin- misen. lähtökohtana on julkisten verkkopalvelui- Suomessa löytyy yhdistyksiä jokaiselta den sisältämien tietojen jatkokäsittelymah- Viranomaistoiminnan keskeisiin periaat- elämän osa-alueelta. ja ne ovat yhdistysre- Tällöin yksittäisistä henkilöistä voisi muo- kisterissä. välttyä huomaamasta, että melko usein Pääosa perustietovarantoihin tallen- omistuksiin ja perhesuhteisiin asti. Yhdistyksiä toimii lii- dollisuus ja kaupallinen hyödyntäminen, teisiin kuuluu julkisuus. Kun avoimen datan periaatteiden nassa
”Liiketoimintasuunnitelma on edelleen tekeillä. Lagus kuva matias uusikylä / Tekes S 36. kitaan myös erilaisia rahoitusvaihtoehtoja. Liikenne- suus olisi, että valtionyhtiö omistaisi kaapelin, ja sitä vuok- ja viestintäministeriön rakennusneuvos Juha Parantainen rattaisiin kansainvälisten verkkokuitukapasiteettitoiminnan kertoo, että kierrokselta saatuja lausuntoja on hyödynnetty periaatteiden mukaan. alittava tietoliikennekaapeli. tietosuoja 3 • 2013. Tavoitteena on, että Yhteyksien pitää toimia aina kaapelin asennustöihin päästäisiin vuonna 2014 Liiketoimintasuunnitelman valmistamisen yhteydessä tut- tai 2015. uomen ja Saksan välille on suunnitteilla Itämeren kaapelin liiketoimintasuunnitelmaa laadittaessa. Yksi mahdolli- Kaapelihanke oli lausuntokierroksella keväällä. Viime vuoden kesäkuussa valmistuneen selvityksen mukaan kaapeliyhteys maksaisi noin 50 miljoonaa euroa. Teksti Antti J. Se tarkentuu koko ajan, ja syksyn aikana syntyy erilaisia toteutusvaihtoehtoja”, Parantainen sanoo. Uusi kaapeli turvaamaan Suomen tietoliikennettä Itämeren alittavan tietoliikennekaapelin toivotaan poikivan uusia datakeskusinvestointeja. Kaapelin rakennustöiden aloittaminen riippuu liiketoimintasuunnitelman valmistumisesta
Murmans- alkaen saanut seurata Ruotsin rajat ylittävää tietoliikennettä kissa sijaitsevan kytkentäpisteen ja Suomen läpi kulkevien eli harjoittaa niin sanottua signaalitiedustelua. 37. useiden maiden ja näiden aluevesien halki”, Juha Parantainen sanoo. Yhden kuituparin liikennettä pitää ohjata jollekin toiselle reitille. Suunniteltu kapasiteetti vastaa moninkertaisesti Suomen koko nykyistä liikennetarvetta. Kaapelin pituus on reitistä riippuen 900–1300 kilometriä. tarpeen ennen muuta vaihtoehtoisten reittien saamiseksi Itämeren tietoliikennekaapeliin on suunniteltu asennet- siltä varalta, että yhteyksiin tulee laajamittaisia häiriöitä ja tavan kuudesta kahdeksaan kuituparia. Se herätti kaapelireittien kautta Itämeren kaapeli voitaisiin kytkeä aikoinaan keskustelua suomalaisten viestiliikenteen luot- osaksi informaation Koillisväylää. Ennemminkin tässä lähdetään venäläisistä toimijoista. tamuksellisuudesta. ?. Signaalitiedustelun mahdollisuus ei vaikuta Myös tietoliikenteen Koillisväylä suunnitteilla Eräs venäläinen yritys suunnittelee yhteyden rakentamista Ruotsin puolustusvoimien radiolaitos FRA on vuodesta 2009 Aasiasta Lontooseen Koillisväylää hyödyntäen. Uusi yhteys on Parantaisen mukaan merkiksi pankkitoiminta on hyvin riippuvainen siitä, että yhteydet Euroopassa toimivat”, Parantainen sanoo. O Tietoliikennekaapeli yhdistää Suomen Eurooppaan ?. Isot on hyvin suurta, kaapeliin tulee riittävästi kapasiteettia, sillä datakeskukset, kuten Googlen datakeskus, pitävät tärkeänä yksi kuitupari riittää koko Suomen nykyiseen liikenteeseen. Suomen tietoliikenneyhteydet kulkevat nykyisin Ruotsin ja Tanskan kautta. nettä, kun nykyinen yhteys kulkee eteläisempiä reittejä Parantaisen mukaan signaalitiedustelu ei kuitenkaan ole tietoliikennekaapelihankkeen taustalla. Tätä ei kuiten- optiona mutta korostaa, että sen toteuttaminen on kiinni kaan koettu ongelmana. Yhteyksien pitää olla toiminnassa nopeutta on myös nostettu. sitä, että on olemassa useita vaihtoehtoisia tietoliikennereit- Teknisin päivityksin olemassa olevien kaapeliyhteyksien tejä muuhun maailmaan. koko ajan”, Parantainen sanoo. Signaalitiedustelun takia suomalaiset ”Näin saataisiin nykyistä lyhempi yhteys Manner-Euroo- teleyritykset siirsivät suomalaisasiakkaidensa sähköposteja pasta Aasiaan. ”Kun kaapelihanke lähti liikkeelle pari, kolme vuotta sit- Hän pitää Koillisväylän kaapelia hyvin mielenkiintoisena ten, signaalitiedustelusta kyllä keskusteltiin. Hankkeelle etsitään edelleen rahoi- elinkeino- ja huoltovarmuuspoliittisesta näkökulmasta. ?. kapasiteetti on 10 terabittiä sekunnissa. Esi- tusta. ?. ”Taustalla on myös isona asiana se, että Suomessa halu- Vaikka tekninen kehitys ja tietoliikenteen määrän kasvu taan kehittää datakeskus- ja pilvipalveluliiketoimintaa. Vuonna 2014 tai 2015 aloitettaviksi suunnitellut rakennustyöt kestävät kaksi avovesikautta. tietosuoja 3 • 2013 Uusi kaapeli tulee Saksan ja Suomen välille. Tämä nopeuttaisi ja varmistaisi tietoliiken- välittäneet palvelimet Ruotsista Suomeen
Lakiuudistuksessa toksen tarkoituksena on laajentaa että tarpeettomia selvityksiä tehdään vuo- suostumusmenettelyä tarkennetaan siten, henkilöiden ja yritysten luotettavuuden sittain noin 23 000. tietosuoja 3 • 2013. Suostumusmenettelyä tarkennetaan Määräaikaisten työsuhteiden yleisty- Viranomaiset tekevät taustaselvityksiä misen ja toimintojen ulkoistamisen seu- työnantajan hakemuksesta työnhakijoista rauksena turvallisuusselvitysten määrä on ja työntekijöistä, jotka työskentelevät laissa duskunta käsittelee paraikaa hal- kasvanut huikeasti viime vuosina. Työntekijä saisi selvityksestä todis- mitä tehtäviä varten ja millä tavalla turvalli- työnantajan on jo työpaikkailmoituksessa tuksen, joka olisi pääsääntöisesti voimassa suusselvitys voidaan tehdä. kallispoliisin yksikköön. Taustaselvitykset Lakiesitys antaisi luvan ulottaa työntekijöiden turvallisuusselvitykset nykyistä useampiin tehtäviin ja lisäisi selvitysten keinovalikoimaa. Teksti Kirsi Castrén kuvat scanstockphoto, shutterstock kerrottava, että tehtävän täytössä tullaan viisi vuotta. E parantaa työntekijän tiedonsaantimahdollisuuksia. Samasta henkilöstä on että suostumuksen antaessaan henkilö kuit- arvioinnissa käytettävää tietopohjaa, mutta enimmillään saatettu laatia jopa kahdeksan taa saaneensa tiedon selvityksen tarkoituk- myös lisätä menettelyn avoimuutta ja selvitystä vuodessa. sesta, tietojen käytöstä ja oikeuksistaan. Lakimuu- työtä: oikeusministeriön työryhmä arvioi, kirjallista suostumusta. Lakiesitys karsisi turhaa työtä kirjaa- Lainsäädäntöneuvos Wallin muistuttaa, malla turvallisuusselvitykset yhteen rekis- että laissa on erittäin tarkat säännökset siitä, ”Uutta on muun muassa se, että jatkossa teriin. Viran- mainituissa tehtävissä. tekemään turvallisuusselvitys”, kertoo lain- Uudistus keskittäisi suppeiden turval- säädäntöneuvos Anna-Riitta Wallin oikeus- lisuusselvitysten laatimiset 3–5:een pai- ministeriöstä. 38. Perusmuotoiset ja Tarpeettomia karsitaan laajat selvitykset tehtäisiin jatkossakin suojelupoliisissa ja kaikki puolustushallinnon Henkilöturvallisuusselvityksiä on kolmea eri alaan kuuluvat turvallisuusselvitykset Pää- tasoa; suppeita, perusmuotoisia ja laajoja. Nykyisinkin selvi- lituksen esitystä turvallisuusselvi- omaiset tekevät runsaasti päällekkäistä tyksen tekeminen edellyttää aina kohteen tyslain uudistuksesta. Selvitykset koostuvat pääasiassa rekisteritietojen, muun muassa poliisin ja oikeushallinnon rekisterien, tarkistuksista. esikunnassa
kintaamme.” O 39. tietosuoja 3 • 2013 jan harkinnan tueksi tiettyjä rekisteritarkas- uudistuksena. ville viranomaisille. Haastattelut mahdollisiksi kaikissa selvityksissä Työntekijän haastattelu on kuulunut tähän miten niin, etteivät ole katsoneet voivansa asti vain laajojen selvitysten menetelmäpa- ottaa selvityksessä mahdollisesti tietoonsa lettiin, mutta jatkossa se olisi mahdollista kaikissa selvityksissä. kantaa yksittäistapauksiin. Yksinään se ei Työntekijällä on tiedonsaantioikeus turval- likkö Mika Susi muistuttaa. että saamme esittää selvityksen kohteelle kansalaisella ei ole tarkastusoikeutta”, Wal- ”Suojelupoliisi vain luovuttaa työnanta- kysymyksiä, jotka saattaisivat vaikuttaa har- lin kertoo. ”Vuorovaikutusta lisätään uudessa laissa tuutettu, jolle kansalainen voi halutessaan tehdä tarkistuspyynnön. Toiminnallisen rekisterin tieto- jille.” ”Suostumus on ensisijaisesti avoimuu- Tuloksesta aina kirjallinen tieto Työntekijällä on oikeus saada viranomai- jen lainmukaisuutta valvoo tietosuojaval- Lakiehdotuksessa esitetään perustetta- selta tieto selvityksen tuloksesta. tullutta rikosasiaa puheeksi työntekijän tai työnhakijan kanssa. lainsäätäjän syynissä Tarkistaa saa, muttei valittaa tuksen tuloksia”, lausuntotoimiston pääl- den toteuttamisen keino. muodosta henkilötietojen käsittelyn perus- lisuusselvityksessä käytetyistä rekistereistä ”Rekrytointipäätöksen tekee aina työn- tetta.” lukuun ottamatta suojelupoliisin toiminnal- antaja. Nykyisin vaksi arviointikriteerilautakunta, joka antaisi riittää suullinen tieto, lakiuudistuksen jäl- yleisiä tulkintasuosituksia selvityksiä laati- keen työntekijä saisi myös kirjallisen kopion. Työnantajat ovat lainsäädäntöneuvos Anna-Riitta Wallinin mukaan tulkinneet lakia tähän asti useim- Samasta henkilöstä on tehty jopa 8 selvitystä vuodessa. Lausunnosta ei kuitenkaan voi valittaa. Se ei kuitenkaan ottaisi Viranomaisen harkinnassa on, ilmoittaako selvityksessä ilmenneestä rikostiedosta työnantajalle. Tämä on asia, jota joudumme usein lista rekisteriä ja eräitä puolustushallinnon korostamaan tiedonsaantioikeuden käyttä- rekistereitä. Suojelupoliisin Mika Susi pitää haastattelun käytön laajenemista tervetulleena siten, että työnantaja ja työnhakija voivat Selvityksen kohde voi siis tarkastaa tie- keskustella rikostiedosta sillä edellytyksellä, tonsa ja vaatia oikaisemaan mahdolliset vir- ”Suojelupoliisin kannalta on olennaista, että tieto ei ole peräisin rekisteristä, johon heet
Myös räjähdysaineiden valmistuksessa työskentelevien tai arvokuljetusten hoitavien taustan saisi selvittää. jen turvallisuus. ”Emme myöskään ole mielellämme murentamassa työntekijän yksityisyyttä esimerkiksi pankkisalaisuuden osalta.” Tehtäväjoukon laajeneminen lisäisi ennen kaikkea julkishallinnolle tehtäviä selvityksiä. Lakiehdotuksen mukaan myös yrityksen taloudellista tilaa ja sitoumustenhoitokykyä voitaisiin selvittää. Selvitysten tekemisessä saisi myös käyttää entistä useampia rekistereitä. Lakiuudistus mahdollistaisi yritysturvallisuusselvitykset myös kansallisissa hankkeissa, joissa viranomaisen sopimuskumppanina toimiva yritys käsittelee salassa pidettävää tietoa. Lakiuudistus mahdollistaisi turvallisuusselvitykset entistä useammissa tehtävissä, muun muassa yhteiskunnan välttämättömän infrastruktuurin hoitamiseen liittyvissä energia- ja elintarvikehuollon tehtävissä ja tietoliikenteessä. Yritysselvityksistä vastaavassa suojelupoliisissa aiotaankin helpottaa menettelyä räätälöidyin ratkaisuin. Heikentääkö uudistus työntekijän yksityisyyttä. Silloin yritysten intressit jäävät turvaamatta, vaikka ne on kirjoitettu lakiin”, sanoo johtava asiantuntija Jyrki Hollmén Elinkeinoelämän keskusliitosta. Laki oikeuttaisi edelleen selvitykset julkisen talouden tai erittäin merkittävän yksityisen edun suojaamiseksi. ”EK pitää palkansaajajärjestöjen käsitystä yksityissektorin riskien merkityksestä kansantalouden kannalta huolestuttavana”, Hollmén kommentoi. tietosuoja 3 • 2013. Elinkeinoelämä onkin arvostellut lakiehdotusta tältä osin. ”Mitä tulee yritysten taloudellisten etujen ja liikesalaisuuksien turvaamiseen, katsomme, että henkilön luotettavuus on pitkälti varmistettavissa huolellisella rek- rytointiprosessilla”, sanoo lakimies Paula Ilveskivi Akavasta. Yrityksissä ei myöskään ymmärretä työntekijäjärjestöjen huolta lakiesityksen vaikutuksista yksityisyydensuojaan. Yritysselvityksiä myös kotimaisissa hankkeissa Yritysten luotettavuutta arvioivia yritysturvallisuusselvityksiä on tähän asti voitu tehdä ainoastaan kansainvälisten tietoturvallisuusvelvoitteiden perusteella, kun ulkomaalainen yritys on halunnut varmistaa suomalaisyrityksen luotettavuuden. Perusmuotoisessa ja laajassa selvityksessä voitaisiin hyödyntää kohteen koulutus- ja työuratietoja sekä muun muassa luottotieto- ja ulosottorekisterien tietoja. Selvityksessä katsastetaan muun muassa yrityksen vastuuhenkilöiden taustat sekä tietojärjestelmien ja tilo- 40. ”Joissakin tapauksissa riittävät esimerkiksi rekisteritarkastukset yrityksen taustasta ja henkilöturvallisuusselvitykset”, lausuntotoimiston päällikkö Mika Susi toteaa. ”Pelkona on, että kun poliisihallinnon kuorma kasvaa lisääntyvien julkishallinnon turvallisuusselvitysten vuoksi, ei selvityksiä voida tehdä siinä määrin kuin nykyisin. Palkansaajakeskusjärjestöt Akava, SAK ja STTK vastustavat lain soveltamisalan laajentamista liiketaloudellisten intressien perusteella. Elinkeinoelämän edustajat ovat moittineet lakiehdotusta yrityksille kohtuuttoman raskaaksi
13 000 tietosuoja 3 • 2013 Walmart shutterstock 600 000 eksabittiä on tutkimusyritys IDC:n arvio hyödynnettävissä olevan big datan määrästä vuonna 2020. haitilaista lähti maan pääkaupungista Port-auPrincestä tuhoisan maanjäristyksen jälkeen tammikuussa 2010. 15 miljoonaa ihmistä käyttää Facebookin Social Calendar -sovellusta, joka muistuttaa heitä syntymäpäivistä ja muista heidän sinne tallentamistaan merkkipäivistä. Yksi eksabitti vastaa miljardia gigabittiä. Siinä etsitään tutkimusmenetelmiä ja liiketoimintamalleja niin sanotun big datan hyödyntämiseen. Kun maassa myöhemmin samana vuonna puhkesi vakava koleraepidemia, tietojen perusteella kyettiin nopeasti selvittämään, minne päin pahimmilta kolera-alueilta tulleet ihmiset olivat menneet ja näin suuntaamaan apua näille alueille. Karoliinisen instituutin ja Columbia Universityn tutkijat selvittivät anonymisoitujen teletunnistetietojen perusteella, minne nuo ihmiset menivät. Big datalla tarkoitetaan valtavia, jäsentelemättömiä tietovarantoja ja niiden jalostamista. 41. Yhdysvaltalainen kauppaketju Walmart osti sovelluksen viime vuonna. Ilmiö numeroina 27 suomalaista yritystä ja 10 tutkimuslaitosta on mukana Tekesin rahoittamassa Data to Intelligence -tutkimusohjelmassa. Sovelluksen sisältämillä tiedoilla sillä ainakin on hyvä mahdollisuus seurata kuluttajien sosiaalista verkostoa
tietosuoja 3 • 2013. Keskuksen tarkoituksena on toimialajohtaja Kirsi Karlamaan mukaan yhdistetyn kyberturvallisuuden tilanTeksti Markku Summa kuva shutterstock nekuvan tuottaminen ja ylläpitäminen sekä tiedon kerääminen ja jakaminen kybertapahtumista eri toimijoille. V iestintävirastoon perustetaan Kyberturvallisuuskeskus, joka pohjautuu valtioneuvoston hyväksymään kyberturvallisuusstrategiaan. ”Uudet tehtävät parantavat Viestintäviraston nykyisten 42. Kyberturvallisuus käyntiin ensi vuonna Kyberturvallisuuskeskus vahvistaa Viestintäviraston tietoturvapalveluita. Asiakkaita ovat kaikki teleyritykset, huoltovarmuuskriittiset toimijat kuten sähköyhtiöt, kaikki viranomaiset, eri yhteisöt ja myös kansalaiset
suunniteltava ympärivuorokautisen tieto- ”Tilannetietoisuus paranee, samoin turvatoiminnan tehtäviin kuuluu valtionhal- kuin analysoidun tiedon jakaminen. turvallisuuspalveluista tulee juuri niin hyviä ”Valtionhallinnon kyberturvallisuus pa- kuin kumppaneilla on halua ja varaa panos- ranee merkittävästi, koska tällä hetkellä taa. toimivat.” Kasvua tarpeen mukaan Viestintävirasto pohtii parhaillaan yhdessä liikenne- ja viestintäministeriön kanssa, minkälaisia kyberturvapalveluja maahan syntyy. GovHAVARO on Viestintäviraston tuottaman teknisten tietoturvaloukkausten havainnointi- ja varoituspalvelun HAVAROn valtionhallinnon tarpeisiin muokattu versio. Uusia palveluja valtionhallinnolle GovCERT- ja GovHAVARO -palveluilla parannetaan tietoturvaloukkausten käsittelyä valtionhallinnossa. Myös linnon tietoturvaloukkausten havainnointi, verkostojen vuorovaikutus lisääntyy.” poikkeamiin reagointi ja tietoturvallisuuden Hän korostaa, että vahvistetuista kyber- tilannekuvan hallinta. Reagointikyvyssä on ollut puutteita erityisesti silloin, kun tietoturvapoikkeama on vaatinut laajaa tai usean toimijan yhteistyötä. GovCERT-palvelulla tarkoitetaan valtionhallinnon tietoja viestintäjärjestelmiin sekä organisaatioihin kohdistuvien tietoturvaloukkausten ennaltaehkäisyyn, havainnointiin ja ratkaisuun tähtääviä toimia sekä tietoturvatiedottamista. ympärivuorokautinen. Se auttaa merkittävästi tilannekuvan luomisessa.” ”Toivomme, että yhteistyöverkostomme sekä yksityisen että julkisen sektorin kanssa Useilla EU-mailla on jo resurssit kyberuhkien torjuntaan. meillä ei ole riittävän kattavaa reaaliaikaista ”Jokainen julkishallinnon organisaatio tilannekuvaa valtionhallinnon tietojen, tie- vastaa edelleen omista tietojärjestelmis- tojärjestelmien ja tietoverkkojen tietotur- tään. ”Syksyllä jalkaudumme yhteistyökump- Ympärivuorokautisen tietoturvatoimin- Rahoitus on myönnetty vuodesta 2014 paneidemme ja asiakkaidemme pariin työ- nan kehittämisen vahvistettu budjetti tälle alkaen. semme tietoa kentän tarpeista ja toiveista.” CERT- ja GovHAVARO- palveluille myönnet- Reagointikyky paranee Valtionhallinnossakin varaudutaan Kun kyberturvallisuuskeskus perustetaan, Samaan aikaan menossa on erityisesti val- jatkorahoitus on vuoden 2014 talousarvio- Viestintäviraston reagointikyvystä tulee tionhallinnon reagointikykyä tehostava esityksessä”, Janhunen sanoo. Helppo työ- lisuuskeskusta. Toiminta rahoitetaan sekä verova- pajojen merkeissä kertoaksemme, mitä vuodelle on 600 000 euroa. tietoturvatehtävien hoitamista”, Karlamaa sanoo. ”Aikaa on vuoden 2013 loppuun, mutta 43. Suunnitelmissa on, että vuoden 2015 alussa henkilökunnan määrä olisi kymmenen”, Karlamaa kertoo. Tarvittaessa asiantuntijapalveluita ostetaan viraston ulkopuolelta, kuten tähänkin asti. Hankkeen tuloksena syntyvät palvelut Tarkoitus on Karlamaan mukaan kasvaa täydentävät Viestintäviraston kyberturval- portaittain tarpeen mukaan. taan entistä kattavammin loukkauksista ja poikkeamista. ”Ensi vuonna on tarkoitus palkata asian- keskus tuntijoita kuuden henkilötyövuoden verran. Karlamaan mukaan hanke (SecIT). Hankepäällikkönä toimiva uudet palvelut auttavat virastoa myös mui- valtiovarainministeriön erityisasiantuntija den organisaatioiden reagointikyvyn tuke- Kirsi Janhunen kertoo, että hankkeessa misessa. Odotamme nyt, että meille ilmoite- vallisuudesta”, Janhunen sanoo. Tämän lisäksi roin että Viestintäviraston tietoturvapalve- olemme tekemässä ja erityisesti saadak- tietoturvaloukkausten havainnoinnin Gov- luistaan keräämillä käyttömaksuilla. Keskeiset palvelut tuote- sarka ei tule olemaan, sillä kyberuhat näyt- taan valtion keskitettyjen toimialariippu- tävät koko ajan lisääntyvän ja monimutkais- mattomien ICT-palveluiden eli TORIn kautta tuvan. O tietosuoja 3 • 2013 tiin lisäbudjetista vajaa miljoona euroa. Palvelu on ollut huoltovarmuuskriittisen elinkeinoelämän käytössä jo vuodesta 2011 alkaen ja laajenee nyt valtionhallintoon. yhteistyössä Viestintäviraston kanssa. Sen tuottaa Viestintävirasto, ja sitä tarjotaan valtion organisaatioille Valtion IT-palvelukeskuksen kautta
Tietojen- USA:n kauppaministeriön laatimista tieto- etenemistä. O 44. Safe Harbor koostuu toivotaan lainsäädäntöprosessin pikaista roolin tilanteen selvittämisessä. keruuta tutkii muun muassa EU:n ja USA:n suojaperiaatteista ja ohjeista, jotka komissio Komissaari Reding on asettanut julki- viranomaisten ryhmä, jossa on edustettuna on hyväksynyt. Heinäkuussa antamassaan päätöslau- selvittää Safe Harboria ja muita EU-kansa- selmassa parlamentti päätti, että kansa- laisille tarkoitettuja tietosuojamenettelyitä. Redingin mukaan EU:n viranomaiset ovat keränneet USA:n lain- julkistaa arvionsa Safe Harborista vuoden viestinä on, että eurooppalaisten kulutta- säädännön nojalla. ja sitä täydentävä poliisiasioiden tietojen- tusten määrä ja eriävät mielipiteet kynnys- julkisuudessa, että tietosuojaviranomais- Komissaari Viviane Reding on urkinta- käsittelyä koskeva direktiivi ennen touko- ten ryhmä pitää velvollisuutenaan tutkia skandaalin jälkeen kommentoinut Safe kuun eurovaaleja. Hän on myös todennut, jupakkaa myös itsenäisesti. tusta, jonka säätämistä parlamentissa ovat vapaa alue. Jäsenmaiden ja omaisten työryhmä. Komissio aikoo omaiselle NSA:lle. Hän myös arvelee, että loppuun mennessä. EU-maista saa siirtää henki- suudessa aikarajaksi ensi kevään Euroo- muun muassa Euroopan tietosuojaviran- lötietoja sellaisille USA:han sijoittuneille yri- pan parlamentin vaalit. tietosuoja 3 • 2013. Kirjeessään Harboria vähemmän mairittelevasti “mah- että Eurooppa tarvitsee tiukat tietosuoja- oikeusasioiden komissaari Viviane Redin- dolliseksi porsaanreiäksi”, koska se sallii säännöt, joista on vastusta Googlelle, Face- gille Kohnstamm toteaa, että ensinnäkin tietojensiirrot USA:an, jossa tietosuojan bookille tai jopa USA:n turvallisuusviran- pitäisi saada selkoa siitä, mitä tietoja USA:n taso on EU-maita alempi. Paitsi että eurooppa- hidastaneet ennätysmäinen muutosehdo- laisten viestintää on salakuunneltu laajamit- Miten käy Safe Harborin. Sen tulokset kootaan päätös- Potkua asetusneuvotteluihin nut tähän mennessä ainakin sen, lauselmaan, josta parlamentin on tarkoitus EU:ssa valmistellaan yleistä tietosuoja-ase- että Eurooppa ei ole urkinnasta äänestää tammikuussa. taisesti vuosia, on myös selvinnyt, että osa Urkintaskandaali on herättänyt kysymyksiä kysymyksistä. sopimusten säännöksiä. Salakuunteluskandaalin seuraukset Euroopassa kaivataan tiukempaa tietosuojaa. Salakuunteluskandaali on EU-maista on ollut juonessa mukana. EU:n ja USA:n välisen Safe Harbor -järjestel- vauhdittanut ainakin kannanottoja, joissa Euroopan unioni on ottanut aktiivisen män tulevaisuudesta. Työryhmän puheen- tyksille, jotka ovat mukana Safe Harbor-jär- europarlamentin täytyy hyväksyä asetus johtaja Jacob Kohnstamm on ilmoittanut jestelmässä. Myös kansalaisva- jien tiedoilla rahaa tekevän täytyy noudat- laajamittainen tietojenkeruu muista kuin pauksien valiokunta aikoo tutkinnassaan taa eurooppalaista lainsäädäntöä. Teksti Päivi Männikkö kuva shutterstock S USA:n kansalaisista ei vastaa Euroopan neu- tietosuoja-lehti.fi voston tietosuoja- ja tietoverkkorikollisuus- Miten Suomen teleyritykset suojaavat viestintää urkinnalta. laisvapauksien valiokunta suorittaa asiasta alakuunteluskandaali on paljasta- tutkinnan. Myös europarlamentti penkoo jupakkaa
Berners-Lee sanoo, että internetistä on tullut hengitysilman kaltainen itsestäänselvyys. Tällaisessa maailmassa kan- demokratian pelisääntöjä”, lehti toteaa. joittaa. kastelee Ruotsin roolia turvallisuuspolitiikan tietosuoja 3 • 2013 shutterstock Kuka sammutti netin. Kyse on nyt viestiliikennettä. World Wide Webin keksijä Tim BernersLee on huolissaan siitä, että viranomaiset ja yritykset haluavat kontrolloida internetiä. Schleswig-Holsteinin osavaltion tietosuojaviranomainen Thilo Weichert suosittelee käyttämään saksalaisia sähköpostin palveluntarjoajia, koska Saksan tietosuojalainsäädäntö on monia muita maita selkeämpi – ja sitä myös noudatetaan. Netinkäyttäjien pitäisi voida luottaa tahoihin, jotka päättävät nettiyhteyksien ylläpidosta ja netin tietoturvallisuudesta, Berners-Lee pohtii. omiensa vakoilun kohteiksi. 45. Lehden mukaan yhteistyössä on neeseen salakuuntelukohuun, kun paljas- ollut kyse Venäjältä tulevasta viestiliiken- tettiin, että armeijan radiotiedustelulaitos teestä, jonka signaalitiedusteluun Ruotsilla FRA olisi antanut NSA:lle pääsyn suureen on perusteltu turvallisuusintressi ja jossa osaan Ruotsin kautta kulkevaa ulkomaista se on yksi maailman parhaista. Svenska Dagbladetin pääkirjoitus tar- salaiset voivat ajan mittaan joutua myös USA:n salakuunteluskandaali saattaa tuoda Eurooppaan uusia bisnesmahdollisuuksia. Selailtua shutterstock Salakuuntelija-Ruotsin identiteettikriisi Ruotsi joutui mukaan kesästä asti vello- valossa. Esimerkiksi ruotsalaiset tuskin vas- nyt terrorismin vastaisen taistelun aikana Lehden mukaan turvallisuusviranomai- kuka tahansa voi joutua terroriepäillyksi ja silla pitää olla mahdollisuudet toimia nyky- siksi salakuunneltavaksi. tilanteessa, jossa kaikki valtiot salakuun- ”Kaikessa tiedustelutoiminnassa pitää televat lähialueitaan ja vaihtavat tietoja Kotimaisessa vara parempi kunnioittaa kansalaisten yksityisyyttä ja keskenään. Jos näin on, FRA:n yhteis- siitä, mille tahoille annetaan signaalitiedus- työ NSA:n kanssa olisi oletettua tiiviimpää. Business Insiderin siteeraamassa puheessaan hän viittaa viime aikojen urkintakohuun ja Egyptin kansannousuun, jota presidentti Hosni Mubarak yritti hillitä katkaisemalla egyptiläisiltä yhteyden internetiin. Kylmän sodan aikana tiedusteluyh- koskien Venäjän armeijan liikkeitä Karja- teistyö rajoittui valtiolliselle tasolle, mutta lassa. Egyptin tapahtumat herättivät monet huomaamaan, että internet voidaan kytkeä pois heidän ulottuviltaan. Lehti arvioi, että asiakasryntäys voi johtua osittain siitä, että saksalaisia tietoverkkoja on alettu markkinoida yhtenä maailman turvallisimmista. Der Spiegel kertoi syyskuussa, että saksalaiset sähköpostin palveluntarjoajat ovat saaneet merkittävästi lisää uusia asiakkaita viime viikkoina. Dagens Nyheterin pääkirjoituksessa telun perusteella saatuja tietoja, lehti kir- paljastukseen suhtaudutaan huolestu- tustaisivat tietojenvaihtoa Suomen kanssa neesti
Lue verkkolehdestä, mitä teleyritykset vastasivat. Hypetystä vai kuluttajan etu. Ethernet tuli – onko teollisuus valmis. Valmisteilla olevan EU:n tietosuoja-asetuksen mukaan asiakas saisi ottaa henkilötietonsa mukanaan vaihtaessaan palveluntarjoajalta toiselle. www.tietosuoja-lehti.fi Tilauskortti Ensi numerossa Muun muassa nämä aiheet ovat esillä seuraavassa Tietosuojassa: Tietomurtoihin voi varautua Tietosuoja 4 • 2013 ilmestyy 29.11. Urkitaanko meitäkin. Työntekijä tarkastelussa: henkilöstöarvioinnit ja tietosuoja shutterstock Ovatko pilvipalvelut riski julkisella sektorilla. tietosuoja-lehti.fi Lue lisää netistä Viestintävirasto kysyi suomalaisilta teleyrityksiltä, miten ne suojaavat asiakkaidensa viestintää urkinnalta. tietosuoja 3 • 2013. Risuja, ruusuja, kysymyksiä sekä juttuvinkkejä voit antaa toimitukselle sähköpostitse: info@tietosuoja-lehti.fi puhelimitse: 044 310 0093 verkkolehden lomakkeella: www.tietosuoja-lehti.fi -> Palaute 46. Verkkolehdessä kerrotaan, miksi näin voi käydä. Koko lehteä pääsee lukemaan netissä rekisteröitymällä verkkolehden käyttäjäksi lehden takakannen osoitekentässä olevan tilausnumeron avulla. Risuja ja ruusuja Kerro mielipiteesi uudistetusta Tietosuoja-lehdestä, jotta voimme kehittää lehteä lukijoiden toivomaan suuntaan. Ethernet-verkossa oleva laite voi paljastaa tuotannosta liikaa. corbis skoy Verkossa on myös koko painetun lehden sisältö. Mistä siinä on kyse
Tilaukset ja osoitteenmuutokset Osoitteenmuutosta tehdessäsi muista ilmoittaa lehden nimi. Tilaajan tietoja käytetään asiakassuhteen ylläpitoon ja hoitoon. Kestotilauksena tilattu lehti toimitetaan tilaajalle tilausjakso kerrallaan ilman eri uudistusta, kunnes tilaaja joko muuttaa sen määräaikaiseksi tai irtisanoo tilauksen. Kestotilauksen voi irtisanoa ennen uuden tilausjakson alkua. Tilaajapalvelu/Tietosuoja PL 115 30101 Forssa puhelin 03 4246 5301 faksi 03 4246 5341 tilaajapalvelu@stellatum.fi www.stellatum.fi Tilaushinnat Suomessa 2013 Hinnat sisältävät arvonlisäveroa 10 % Kestotilaus (laskutusväli 12 kuukautta) 55 euroa Määräaikainen (kesto 12 kuukautta) 58,30 euroa Irtonumero 15 euroa Tietosuoja ilmestyy neljä kertaa vuodessa Tilausehdot Hinnat ovat voimassa vuonna 2013 Suomeen tehtyihin tilauksiin. osoitteeseen tai henkilökohtaisesti rekisterinpitäjän luona. tietosuoja 31 •• 2013 47. Tilaaja voi kieltää tietojensa käytön markkinointitarkoituksiin ja markkinatutkimuksiin ilmoittamalla asiasta tilaajapalveluun. Osoitetietoja käytetään ainoastaan kustantajan Stellatum Oy:n omassa toiminnassa. Tilauksen hinta on tilausjakson alussa voimassa oleva hinta, joka on painettu lehteen. Tilaushinnat ulkomailla 2013 Laskutusväli 12 kuukautta Skandinavian ja Baltian maat 61,10 euroa, sisältää arvonlisäveroa 10 % Muu Eurooppa 63,80 euroa, sisältää arvonlisäveroa 10 % Muut maanosat 62 euroa, arvonlisävero 0 % Asiakasrekisteri Rekisterikuvaus ja -seloste ovat nähtävissä kustantajan Stellatum Oy:n tiloissa Purotie 1 B, 00380 Helsinki. Jos laskutusjakso tai mak-sueriä on maksettu ennen irtisanomisen voimaantuloa, tilaus päätetään maksetun jakson loppuun. Yhteydenotot tulee tehdä kirjallisina ja allekirjoitettuina em. Jos tilaaja irtisanoo kestotilauksensa tilausjakson alkamisen jälkeen, hän on velvollinen maksamaan irtisanomisen voimaantuloon saakka lähetetyt lehdet