Tietosuoja 4/2011 - Lehtiluukku.fi

Haluatko ostaa tämän lehden?

Vaikuttaako lehti kiinnostavalta? Voit lukea koko lehden valitsemalla "Lisää ostoskoriin". Mukavia lukuhetkiä!

Olet esikatselutilassa. Lue koko lehti

TieToTurvan ja TieToSuojan erikoiSlehTi 4/2011 | 14 e Tiedot turvassa? Palveluntarjoaja vastaa tiedoista SoSiaalinen media TerveydenhuolTo TieToyhTeiSkunTakaari varjo-iT verkkokaupaT
s. 43 kolumni 44 lyhyesti 46 Tietosuojan vuosihakemisto pykälät uuteen uskoon Tietoturvallisuus on usein työntekijän varassa. s. 26 Tutustu verkkolehteen! kannen kuva: eric leraillez maija vuorela www.tietosuoja-lehti.fi 2 TieTosuoja 4/2011. 42 30 patentti- ja rekisterihallitus: näköalapaikalla 33 Tietoturvaloukkausten raportointi: Surffaajan suojaksi 36 näin arvioit tietoturvariskit 39 Tietoyhteiskuntakaari: 42 miten on. Sisällys 3 pääkirjoitus 4/2011 onko verkkopalvelusi turvallinen? s. s. 39 Säilytetäänkö sinun potilastietosi pysyvästi. 12 Teema: PalvelunTarjoajan velvollisuudeT 4 vastuu on rekisterinpitäjällä 6 uusyrittäjää ei neuvota tietosuojasta 10 rekisteritietojen tarkastus etanapostin varassa 12 kauppias vastaa verkkokaupan turvallisuudesta 16 raportointi auttaa noudattamaan lakia 22 Terveydenhuollon hankintaketju haastaa tietosuojan 25 palveluntuottaja puun ja kuoren välissä Työelämän TieTosuoja leena kumpulainen 26 Työntekijä tietoturvan heikoin lenkki? Profiili Tietoyhteiskuntakaarihanke parantaa sähköisen viestinnän lainsäädännön laatua
Tämä koskee myös niitä toimintoja, joilla havainnoidaan tietoturvaloukkauksia ja verkkohyökkäyksiä. lehti ilmestyy neljästi vuodessa. kestotilauksena tilattu lehti toimitetaan tilaajalle tilausjakso kerrallaan ilman eri uudistusta, kunnes tilaaja joko muuttaa sen määräaikaiseksi tai irtisanoo tilauksen. 0440 235 939 Bouser oy, jukka Tiainen, jukka.tiainen@bouser.fi puh. osoitteeseen tai henkilökohtaisesti rekisterinpitäjän luona. 09 682 0400, Faksi 09 682 1515 TilauShinnaT SuomeSSa 2011 kestotilaus 49 euroa (laskutusväli 12 kuukautta). Tätä on tarkoitus edistää muun muassa laajentamalla CERT-palvelujen tarjontaa valtionhallintoon ja varmistamalla tietoturvavelvoitteiden ottaminen huomioon tieto- ja viestintäjärjestelmissä. Tietomurrot rikollisuuden lajina ovat valitettavasti lisääntyneet. 23. Sähköisten palveluiden käytön laajenemisen edellytyksenä on, että käyttäjät voivat luottaa palvelujen, niitä tarjoavien järjestelmien ja tietoverkkojen turvallisuuteen. jos laskutusjakso tai maksueriä on maksettu ennen irtisanomisen voimaantuloa, tilaus päätetään maksetun jakson loppuun. osoitetietoja käytetään ainoastaan Stellatum oy:n omassa toiminnassa. Tekijät on tärkeää saada vastuuseen teoistaan. yhteydenotot tulee tehdä kirjallisina ja allekirjoitettuina em. Luottamusta tietoyhteiskuntaan voidaan lisätä määrittelemällä nykyistä selkeämmin palvelujen tarjoajien vastuut ja velvollisuudet liittyen palvelujen tuottamiseen ja tietojen käsittelemiseen turvallisesti. | jukka ihanus, toimitusjohtaja, Stellatum oy | eija kara, ylitarkastaja, tietosuojavaltuutetun toimisto | anna lauttamuskauppila, viestintäjohtaja, prh | Timo lehtimäki, johtaja, viestintävirasto | nora elers, viestintäjohtaja, Ficom ry | anu Talus, eu-asiantuntija, tietosuojalautakunta | eila ratasvuori, hallintojohtaja, helsingin kaupunki | ahti Saarenpää, professori, lapin yliopisto | hanna Tamminen, viestintäjohtaja, viestintävirasto ToimiTuSkunTa Tietosuojavaltuutetun toimisto: eija kara, ylitarkastaja | lauri karppinen, iT-erityisasiantuntija | viestintävirasto: ari husa, tietoturva-asiantuntija | pertti hölttä, yksikön päällikkö | hanna Tamminen, viestintäjohtaja | heli alanko, koordinaattori | Stellatum oy: päivi männikkö, toimitussihteeri kuSTanTaja Stellatum oy, purotie 1 B, 00380 helsinki TilaukSeT ja oSoiTTeenmuuTokSeT osoitteenmuutosta tehdessäsi muista ilmoittaa lehden nimi. Mitä jos kyseessä olisivat olleet arkaluonteiset potilastiedot. Tilauksen hinta on tilausjakson alussa voimassa oleva hinta, joka on painettu lehteen. Tietyillä toimialoilla tietoturvan merkitys toiminnalle on elintärkeä, ja sen mukaisesti ne ovat joutuneet erityisesti panostamaan tietojärjestelmiensä ja -yhteyksiensä turvallisuuteen sekä arkaluontoisen tiedon suojaamiseen. Asta Sihvonen-Punkka Viestintäviraston pääjohtaja aSiakaSrekiSTeri rekisterikuvaus ja -seloste ovat nähtävissä Stellatum oy:n tiloissa purotie 1 B, 00380 helsinki. irtonumero 14 euroa. vuosikerta | iSSn 0786-5767 painopaikka hämeen kirjapaino oy Sähköinen lehTi www.tietosuoja-lehti.fi 4/2011 anna huovinen H Tilauksessa tietoturvallinen arki ämmästys - tyrmistys - huolestuminen. Tietoturvallisuuden merkitys sähköisessä viestinnässä ja palveluiden käytössä on korostunut. Tietovuodoista ja -murroista on tullut arkipäivää. Nyt tietomurron kohteena olivat nimi-, yhteys- ja henkilötunnustiedot. pääkirjoitus TieToTurvan ja TieToSuojan erikoiSlehTi joulukuu 2011 julkaiSijaT tietosuojavaltuutetun toimisto tietosuojalautakunta viestintävirasto pääToimiTTaja hanna Tamminen, viestintävirasto hanna.tamminen@ficora.fi ToimiTuSpäällikkö eija kara, tietosuojavaltuutetun toimisto eija.kara@om.fi ToimiTuSSihTeeri päivi männikkö, Stellatum oy paivi.mannikko@stellatum.fi ulkoaSu Tarja Salonen, Sininen arkki oy tarja.salonen@sininenarkki.fi ToimiTuSneuvoSTo reijo aarnio, tietosuojavaltuutettu, pj. CERT-FI on ollut mukana kehittämässä huoltovarmuuskriittisten yritysten toimintaedellytyksiä ja rakentaa parhaillaan näille Huoltovarmuuskeskuksen rahoittamana tietoturvaloukkausten havainnointijärjestelmää. Viestintäviraston uusi strategia asettaa tavoitteeksi viestintäverkkojen ja -palvelujen tietoturvallisuuden kehittämisen. hinnat ovat voimassa vuonna 2011 Suomeen tehtyihin tilauksiin. Tilaaja voi kieltää tietojensa käytön markkinointitarkoituksiin ja markkinatutkimuksiin ilmoittamalla asiasta tilaajapalveluun. ti etotu rva n ja t i e tos uoj a n e r i koi s l e ht i 4/2011 TieTosuoja 3. Asiantuntijamme ovat todenneet, että yleensä tietoturvaloukkausten kohteet tietävät asiasta viimeisinä. Nämä olivat todennäköisesti päällimmäisiä tuntemuksia ympäri Suomea, kun tuhansia suomalaisia koskettanut tietovuoto tuli ilmi marraskuisena viikonloppuna. määräaikaistilaus 52 euroa (kesto 12 kuukautta). Mutta myös tilaisuus on tehnyt varkaan. 16 000 tavallisen suomalaisen henkilötiedot oli läväytetty nettiin kaikkien saataville ja kat- seltaviksi. Tällaisia toimialoja ovat muun muassa energia-, elintarvike-, rahoitus- ja terveydenhuolto sekä tietoyhteiskuntaan kuuluvat toiminnat (tietoliikenne, tietotekniikka, elektroniikkateollisuus sekä sähköinen ja painettu joukkoviestintä). Seuraava numero ilmestyy 13.3.2012. Tilaajan tietoja käytetään asiakassuhteen ylläpitoon ja hoitoon. kestotilauksen voi irtisanoa ennen uuden tilausjakson alkua. Organisaatioiden suojaukset tietoturvauhkia vastaan ovat kirjavia ja monesti ilmeisen riittämättömiä. Tämän vuoden maaliskuussa yhdysvaltalainen tietoturvayhtiö RSA ilmoitti tietomurrosta yhtiön SecurID-tuotteiden turvallisuuteen, ja huhtikuussa puolestaan Sony PlayStation Network -käyttäjien luottokortti- ja henkilötietoja varastettiin. Viestintäviraston ympärivuorokautisesti päivystävä CERT-FI-yksikkö sai tiedon netissä leviteltävästä henkilötietolistasta, mistä käynnistyi heti laaja viranomaistoimien sarja. Tilaajapalvelu/Tietosuoja,pl 115, 30101 Forssa puhelin 03 4246 5301, Faksi 03 4246 5341 tilaajapalvelu@stellatum.fi www.stellatum.fi ilmoiTuSmarkkinoinTi ja -varaukSeT dS & m marketing oy, deeli kentala deeli.kentala@dsm.fi, puh. jos tilaaja irtisanoo kestotilauksensa tilausjakson alkamisen jälkeen, on hän velvollinen maksamaan irtisanomisen voimaantuloon saakka lähetetyt lehdet
palveluntarjoajan velvollisuudet 4 TieTosuoja 4/2011 t ietot urvan j a t ietosu oja n erikoisl ehti erina kim/Tongro image STock/corBiS/Skoy
Kokeilusta kerrotaan sivuilla 1011. on rekisTerinPiTäjällä viestintäviraston syksyiseen kyselyyn vastanneista yrityksistä yli puolet arvioi tietoturvariskinsä pieneksi. Tietoturvan ja tietosuojan raportointi antaa johdolle ajantasaisen kuvan siitä, miten organisaatio toteuttaa vastuutaan tietojen suojaamisesta. Vinkkejä turvalliseen verkkopalveluun annetaan sivuilla 1215. Yrityksen on pyynnöstä kerrottava asiakkaalle, mitä tietoja hänestä on tallennettu asiakasrekisteriin. ekisterinpitäjä vastaa asiakastiedoista, mutta van yrittäjän neuvonnassa vähälle huomiolle. Tietosuojan toimitus selvitti, miten asiakastietojen tarkastus sujuu käytännössä. Silloin kun verkkokaupan tietoturvallisuudesta ei ole huolehdittu asianmukaisesti, syynä on yleensä ollut tietämättömyys tai välinpitämättömyys. mahtaisiko tulos olla toisenlainen, jos kysely tehtäisiin nyt, loppuvuoden tietovuototapausten jälkeen? vastuu r tietosuoja- ja tietoturva-asiat jäävät aloittaMoni pienyrittäjä ei osaa edes kaivata opastusta, todetaan sivuilla 69. Raportoinnista kerrotaan sivuilla 1619. ti etotu rva n ja t i e tos uoj a n e r i koi s l e ht i 4/2011 TieTosuoja 5
palveluntarjoajan velvollisuudet " Pienyrittäjän motivaatio ei tahdo riittää tietosuoja-asioihin. 6 TieTosuoja 4/2011 t ietot urvan j a t ietosu oja n erikoisl ehti
Korteissa oli asiakkaan nimi ja puhelin"Koska kortisto oli perinteinen pahvikortisto, eikä asiassa ollut mitään epäselvyyksiä, en ottanut mitenkään selvää henkilötietoasioista", Vuorenmaa kertoo. Hän on ryhtynyt tekemään kortteihin muistiin- ti etotu rva n ja t i e tos uoj a n e r i koi s l e ht i 4/2011 TieTosuoja 7. Ammattitaitoinen kampaaja kyselee asiakkaalta tietoja hänen terveydentilastaan ennen permanentin tai kestovärjäyksen tekemistä. Ensimmäisen oman kampaamonsa hän avasi helmikuussa. Hän osti kampaamon eläkkeelle jääneeltä yrittäjältä. Kampaamoalalla on yleistä, että asiakastiedot ostetaan kaupan mukana. asiakkaiden tietosuoja jää kuitenkin uuden yrittäjän tietopaketeissa vähälle huomiolle, eikä moni pienyrittäjä edes osaa sitä kaivata. Teksti: Marianne Saine | Kuva: CJ Åhman "kukaan asiakas ei ole vielä kieltänyt tekemästä asiakaskorttia", sanoo tänä vuonna yrityksen perustanut kampaaja marika vuorenmaa. m numero. arika Vuorenmaa työskenteli vielä viime vuonna tuolinvuokraajana toisen kampaamossa. Kauppaan kuului myös asiakaskortisto. "Esimerkiksi sädehoito estää permanentin tekemisen kokonaan", Vuorenmaa sanoo. Uusyrittäjää ei neuvota tietosuojasta yrityksen perustaja joutuu setvimään monenmoista sääntöä ja pykälää ennen kuin ovet avataan ensimmäisille asiakkaille
omia vastuita ja velvollisuuksia ei välttämättä kuitenkaan tunneta. kyselyssä ilmeni, että yritykset etsivät tietoa tietoturvasta yleisimmin internetistä, tietoturvayrityksiltä tai muilta yhteistyökumppaneilta. joka viides vastaaja kertoi kohdanneensa työssään tilanteita, joissa olisi tarvinnut tietoturvatietoa, mutta sitä ei löytynyt. "Tietoturvaan ja yksityisyydensuojaan liittyvät lait on tiedostettu yrityksissä. lain tulkintaan kaivataan siis apua. lisää netissä: yrittäjän linkkivinkit www.tietosuoja-lehti.fi kuinka vakava tietoturvariski mielestäsi kohdistuu yrityksesi toimintaan tietoturva-asioissa tällä hetkellä? kaikki vastaajat, n=440 "Useimmat aloittavat yritykset ovat niin pieniä, ettei niillä ole isoja asiakasmääriä ja rekistereitä. vain neljä prosenttia piti riskiä suurena. Yritykset luottavat tietoturvaansa SuomalaiSet pk-yritykSet eivät koe tietoturvariskiään suureksi. "Tottakai, koska asia on eri yhteyksissä noussut esille. Yrittäjä ei motivoidu tietosuoja-asioihin", Tuominen sanoo. "Syksyiset tietovuototapaukset osoittavat, että yrityksissä on paljon tekemistä tietojen suojaamisen osaamisessa", sanoo viestintäviraston verkot ja turvallisuus -tulosalueen johtaja Timo Lehtimäki. kyselyyn vastasi 440 yritystä, jotka työllistävät 5100 työntekijää. viestintäviraston syksyiseen kyselyyn vastanneista yrityksistä 60 prosenttia arvioi tietoturvariskinsä olevan pieni. viestinvirasto teetti syys-lokakuussa 2011 Taloustutkimuksella kyselyn, jossa selvitettiin suomalaisten pienten ja keskisuurten yritysten tietoturvatietämystä. "Silloin tietosuoja-asiat otetaan toki esiin neuvonnassa. ti etotu rva n ja t i e tos uoj a n e r i koi s l e ht i 4/2011 TieTosuoja 9. Tarkistamme infomateriaalin ja pohdimme, missä määrin uusien yrittäjien tietämystä tietosuojaasioista voisi kehittää." Suuri 4 kohtalainen 28 pieni 60 ei osaa sanoa 0 8 10 20 30 40 50 60 70 80 90 100 viestintäviraston kyselyyn vastanneista yrityksistä 60 prosenttia arvioi tietoturvariskinsä olevan pieni. lisäksi kaivataan tietoa siitä, miten tietoturvaloukkauksen sattuessa toimitaan ja mistä saa apua", Timo lehtimäki kuvaa. lokakuussa käynnistettiin myös hanke, jolla pyritään parantamaan pk-yritysten tietoturvatietoisuutta. Tällaiset tilanteet ovat yleensä liittyneet uuden tuotteen valintaan, koettuun tietoturvauhkaan tai turvalliseen viestintään asiakkaan kanssa. Tietoturvallisuuden kokonaiskuvan ymmärtäminen ja osaamisen taso kuitenkin vaihtelee yrityksissä. Uusi yrittäjä ohjataan tietosuojavaltuutetun nettisivuille saamaan lisätietoja." Nyrki Tuominen lupaa, että tietosuoja-asiat otetaan yritysvalmennuksessa tarkempaan käsittelyyn. Liikeideaa pohdittaessa saatetaan silti huomata, että uuden yrityksen toiminnassa syntyy iso asiakasrekisteri. yritykset kaipaavat konkreettisia ohjeita ja valmiita ratkaisuja. mahdollisia uhkatilanteita ei aina tiedosteta. vain neljä prosenttia piti riskiä suurena
palveluntarjoajan velvollisuudet 12 TieTosuoja 4/2011 t ietot urvan j a t ietosu oja n erikoisl ehti
KPMG:n tietoturvallisuuspalveluista vastaava Mika Laaksonen kehot- taa verkkopalvelujen tarjoajia laittamaan perusasiat kuntoon. 4/2011 TieTosuoja 13. Vuoden alkupuoliskolla suomalaiset ostivat verkkokaupoista yli viidellä miljardilla eurolla, mikä on 15 prosenttia edellisvuotta enemmän. Kun verkkopalvelujen määrä vain kasvaa, kuinka huolehditaan siitä, että asiakastiedot eivät pääse vuotamaan ulkopuolisille. Samaan aikaan verkkokauppa jatkaa Suomessa tasais- ta kasvuaan. " Säännöllinen tietoturvatestaus kannattaa. kauPPias vasTaa verkkokaupan turvallisuudesta jotta tietovuotoja ei tapahtuisi, asiakastietojen turvallinen käsittely pitää huomioida jo verkkopalvelua suunniteltaessa. Teksti: Marjo Rautvuori | Kuvitus: Leena Kumpulainen v ti etotu rva n ja t i e tos uoj a n e r i koi s l e ht i erkkopalvelujen tietoturvallisuus on jälleen tapetilla, kun loppusyksystä kymmenien tuhansien suomalaisten asiakastietoja on päätynyt bittiavaruuteen kaikkien saataville
Sopiva menetelmä on aina kompromissi käytettävyyden ja tietoturvan välillä. Salasanan palautustoiminto pitääkö käyttäjän tietää muuta kuin sähköpostiosoitteensa. Eri toimialoilla on myös omia säädöksiään. Vaatimuksia voi silti soveltaa vapaaehtoisesti tällaisessakin tilanteessa. kuittaus ei saa perustua puhtaasti ostajan selaimen välittämään tietoon. Puutteita näkyy esimerkiksi suoramarkkinointisäännösten noudat- Verkkokauppias, tarkista nämä! VinkeikSi Verkkokaupan tekniseen toteutukseen ja sen tietoturvaan mika laaksonen antaa seuraavat asiat: Huomioi yleisimmät haavoittuvuudet oWaSp on tietoturvaa edistävä nettiyhteisö, joka on nimennyt verkkopalvelujen kymmenen yleisintä haavoittuvuutta (oWaSp Top 10). Vaatimukset koskevat kuitenkin vain osaa verkkokauppojen palvelimista, sillä kaikilla palvelimilla ei välttämättä toimii vaatimusten mukaisesti. Tekninen tietoturva voidaan ainakin pääosin kattaa luottokorttitietojen PCI-vaatimukset toteuttamalla. varmista, että sivuston toteutuksessa ja testauksessa on huomioitu nämä haavoittuvuudet. Rekisteröintitietojen välittäminen sähköpostilla Sähköpostikuittauksessa ei koskaan saa näkyä käyttäjän syöttämää salasanaa eikä muitakaan henkilötiedoiksi luokiteltavia tietoja. Toimiva palautusmenetelmä on itse asiassa varsin yksinkertainen: lähetetään salasana ennalta määrättyyn sähköpostiosoitteeseen ja pyydetään käyttäjää vaihtamaan se seuraavan kirjautumisen yhteydessä. Tällöin on huolehdittava siitä, ettei maksukuittausta pysty väärentämään. Niitä, joiden palvelimet ovat osittain tai kokonaan ulkoistettuja, Laaksonen suosittelee pyytämään varmennusraporttia (ISAE) luotetulta kolmannelta osapuolelta. palveluntarjoajan velvollisuudet "Verkkokauppojen kehittäjien, toteuttajien, ostajien ja tilaajien pitäisi alusta alkaen tiedostaa tietoturva-asioiden tärkeys ja niihin mahdollisesti liittyvät ongelmat." " Tietoturvaongelmat johtuvat usein tietämättömyydestä tai välinpitämättömyydestä. käsitellä luottokorttitietoja. Laaksosen mukaan verkkopalvelujen Tietosuoja tunnetaan huonosti Laaksosen mukaan verkkokauppiaat jättävät usein myös tietosuojan vaatimukset huomioimatta. on myös oltava tarkkana, jos palvelussa käytetään ulkopuolelta linkattua materiaalia, kuten kuvia. https://www.owasp.org > Top Ten Salaa liikenne koko sivuston käyttö tulisi salata, eli https-salauksen pitäisi olla pakotettuna alusta asti, eikä vain kirjautumis- ja maksamisvaiheissa. Laaksosen mukaan verkkokaupan tietoturvan tilasta saa parhaiten tietoa säännöllisellä tietoturvatestauksella. Sillä voidaan varmistaa, että palvelun tuottaja suurimmat tietoturvaongelmat liittyvät hyvin tiedossa oleviin teknisiin ongelmiin, kuten syötteentarkastuksen tai sessionhallinnan puutteellisuuteen. Linkki verkkomaksupalveluun usein kauppiaat käyttävät ulkopuolisia maksupalveluita. pystytäänkö ne tarjoamaan https:n yli vai pitäisikö ne siirtää omalle palvelimelle? 14 TieTosuoja 4/2011 t ietot urvan j a t ietosu oja n erikoisl ehti. "Iso kysymys on tietysti se, mitkä ovat todellisuudessa pienen verkkokaupan taloudelliset ja muut resurssit huomioida kaikki edellä oleva." yleisimmät haavoittuvuudet tiedossa Silloin kun verkkokaupan tietoturvallisuudesta ei ole huolehdittu asianmukaisesti, syynä on yleensä ollut tietämättömyys tai välinpitämättömyys. joidenkin sivustojen vaatimat turvakysymykset vaikuttavat turhilta. maksupalvelun ja kauppiaan palvelun välille tarvitaan erillinen tarkistusyhteys
Oikeusministeriön mukaan vireillä ei tältä osin ole lain uudistamiseen tähtääviä hankkeita. Finnair vannoo PCI:n nimiin SuomalaiSet oStaVat verkosta eniten matkailuun ja liikenteeseen liittyviä tuotteita ja palveluja. verkkokauppamme toimittaja on pci-sertifioitu, eli sen toiminta on luottokorttiyhtiöiden pci-dSS-standardin vaatimusten mukaista", Finnairista kerrotaan. yrityksen verkkoasiantuntijat pitävät turvallisuuden varmistamista verkkokaupan tärkeimpänä asiana. Finnairissa seurataan maailman tietoturvatilannetta jatkuvasti ja tiiviisti. Ilmoittamatta jättäminen saattaa tosin vaikuttaa palveluntarjoajan vastuuseen aiheutuneista vahingoista. EU:ssa valmistellaan parhaillaan henkilötietodirektiivin uudistamista. Ongelmana on heikko tietämys verkkopalvelun tarjoajan lakisääteisistä velvoitteista. kysymykseen, onko verkkokauppa-alan tietoturvatilanne muuttunut vuosien varrella, Finnairin asiantuntijat vastaavat näin: "uusia uhkia tulee jatkuvasti, ja niitä on vaikea ennalta arvata. Marraskuisen tietovuodon yhteydessä Viestintävirastossa toimiva kansallinen tietoturvaviranomainen CERT-FI huomautti, ettei palveluntarjoajilla ole nimenomaista velvollisuutta ilmoittaa vuodosta asiakkailleen. Komissio on ilmoittanut selvittävänsä, voitaisiinko henkilötietojen suojaa koskevissa loukkauksissa ottaa käyttöön yleinen ilmoitusvelvollisuus. mahdollisia uhkia voidaan kuitenkin tunnistaa ja poistaa, ja siihen käytetään resursseja." tamisessa ja henkilötietojen keräämisessä. Lait jätetään huomiotta varsinkin rajat ylittävässä kaupassa, jossa tosin haastetta tuo tietosuojan ja siihen liittyvien vaatimusten vaihteleva taso eri maailmankolkissa. riittääkö lainsäädäntö? Verkkokaupoissa sovelletaan henkilötietolain säännöksiä henkilötietojen käsittelystä ja rekisterinpitäjän velvollisuuksista, kuten velvollisuudesta huolehtia tietojen suojaamisesta. aiheesTa enemmän Cert-Fi:n ohje 1/2011 turvallisesta verkkopalvelusta: www.cert.fi > ohjeet > 2011 ti etotu rva n ja t i e tos uoj a n e r i koi s l e ht i 4/2011 TieTosuoja 15. "Tähän liittyy sekin, että Suomessa ei tietovuodon sattuessa ole pakollista informoida asiasta niitä tahoja, joiden tietoja on vuodettu." Tietosuojavaltuutetun toimiston tietoon ei ole tullut, että henkilötietolain soveltamisessa verkkokauppaan olisi noussut esiin ongelmia. Finnairin verkkokauppa on toiminut vuodesta 1998. Tietokantoihin murtautumista ja tietojen vuotamista nettiin ei pelätä, koska pci-sertifioituun toimittajaan luotetaan. pyrimme tunnistamaan ja poistamaan mahdollisia uhkia. "verkkokaupan tilannetta seurataan, ja käytössä ovat kattavat suojausjärjestemät. Oikeusministeri Anna-Maja Henriksson ei kommentoinut Tietosuojalle tietosuojaloukkausten ilmoitusvelvollisuuden mahdollista laajentamista kaikkiin palveluntarjoajiin. Verkkokauppojen suurimpina yksittäisinä tietosuojaongelmina Laaksonen pitää evästeiden käyttöä ja siitä tiedottamista sekä henkilötietojen keräämisen ja käsittelyn valvonnan ja sanktioiden vaikeutta ja puutetta
Johdon tarvitsema tilannekuva voidaan tuottaa tietoturva- ja tietosuojaraportoinnilla. Sitä voi lisäksi terävöittää asettamalla tietosuojalle ja tietoturvalle raportoitavia tavoitteita. Tietojen käsittelyä tarkastetaan yhä enemmän Valtiontalouden tarkastusviraston (VTV) tarkastustoiminnan tavoitteena on vastuullistaa hallitusta ja hallintoa hyvään tuloksellisuuteen sekä toimimaan lain ja hyvän hallinnon periaatteiden mukaisesti. VTV kohdentaa tarkastustoimintaansa riskianalyysin perusteella. Viraston johdolla on oltava riittävä kuva tietojen käsittelystä, jotta se pystyy teen sekä oikeiden ja riittävien tietojen tuottamiseen johtamista ja ohjausta varten. T tekemään tietoa ja tiedon käsittelyä koskevia päätöksiä. Arvioinnin perusteella viraston päällikkö antaa lausuman sisäisen valvonnan tilasta ja olennaisimmista kehittämistarpeista. Tilivelvollisuuden vaatimus ja ulkoisen tarkastuksen vastuullistavuus ulottuvat myös tiedon käsittelyyn, tietohallintoon, tietoturvallisuuden ja tietosuojan järjestelyihin ja ohjaukseen sekä riskienhallintaan. Johto tarvitsee tilannekuvaa myös raportoidakseen tilinpäätöksessä ja toimintakertomuksessa sisäisestä valvonnasta, riskien hallinnasta, toiminnan laillisuudesta sekä laadusta. Tiedon käsittelyn näkökulmasta keskeiset sisäisen valvonnan toimenpiteet liittyvät tietojen käsittelyn laillisuuiedon merkitys viranomaisten voimavarana ja sen käsittelyyn liittyvät velvoitteet ovat lisääntyneet. Arviointi- ja vahvistuslausuma konkretisoi johdon vastuuta sisäisen valvonnan ja riskienhallinnan järjestämisestä. Koska tiedon merkitys on kasvanut hallinnossa, myös tarkastustoimintaa suunnataan entistä enemmän tietojen käsittelyyn. palveluntarjoajan velvollisuudet raportointi auttaa noudattamaan lakia Tietoturvan ja tietosuojan raportointi antaa johdolle ajantasaisen kuvan siitä, miten organisaatio toteuttaa vastuutaan sisäisestä valvonnasta ja toiminnan lainmukaisuudesta. Teksti: Jaakko Hamunen Toimintakertomus käsittää arvioinnin sisäisen valvonnan ja siihen sisältyvän riskienhallinnan asianmukaisuudesta ja riittävyydestä. Tarkastusvirasto tarkastaa ja valvoo valtion talouden- virastojen raportoitava sisäisestä valvonnasta Viraston ja laitoksen johdon tulee allekirjoittaa vuosittain tilinpäätös ja siihen kuuluva toimintakertomus. 16 TieTosuoja 4/2011 t ietot urvan j a t ietosu oja n erikoisl ehti
Tarkastuksissa on kiinnitetty huomiota hankkeiden tuloksellisuuteen sekä lain noudattamisen ja hyvän hallinnon periaatteiden toteutumiseen. Sisäinen valvonta vTv:ssä VTV pyrkii luomaan omasta toiminnastaan riittävän kuvan päätöksentekoaan varten, osoittamaan toimintaansa kohdistuvien laillisuusvaatimusten toteutumisen sekä sisäisen valvonnan ja riskien hallinnan riittävyyden myös tietosuojan ja tietoturvallisuuden osalta. Asetuksen myötä tietoturvallisuuden arviointi ja raportointi on perusteltua sisällyttää yhdeksi merkittäväksi osaksi viraston sisäistä valvontaa ja riskienhallintaa ja siitä annettavaa johdon arviointi- ja vahvistuslausumaa. Tarkastusviraston johdolle raportoidaan tiedon käsittelyyn liittyvien tulos- ja laatutavoitteiden toteutumisesta sekä tietosuojasta ja tietoturvasta osana yksiköiden raportointia ja erillisillä tietoturvaraporteilla. Laadukas lainsäädäntö on yksi VTV:n ulkoisen tarkastuksen pysyvistä tarkastusalueista, ja virasto onkin kiinnittänyt huomiota tietojenkäsittelyä koskevan lainvalmistelun laatuun ja lainsäädännön ongelmakohtiin. vTv vTv:lla laaja tiedonsaantioikeus VTV:lla on perustuslaissa säädetty oikeus saada viranomaisilta ja muilta valvontansa kohteina olevilta kaikki tehtävänsä hoitamiseksi tarvitsemansa tiedot. Tiedonsaantioikeus ulottuu myös salassa pidettäviin tietoihin. Valtionhallintoa velvoittaa valtioneuvoston asetus tietoturvallisuudesta, joka tuli voimaan lokakuussa 2010. Valtionhallinnon kanssa tapahtuvan tiedonvaihdon turvaamiseksi ja yhdenmukaistamiseksi VTV:ssä on annettu vastaavat menettelyt sisältävä oma määräys tietoturvallisuudesta. Tietoturvallisuus osaksi riskienhallintaa VTV:n suorittamassa tilintarkastuksessa arvioidaan muun muassa viraston toimintakertomusta ja sisäisen valvonnan menettelyjä. Sillä on osaltaan haluttu myös varmistua, että virasto on kyennyt raportoimaan oikeat ja riittävät tiedot taloudesta ja toiminnasta. VTV:n tekemissä tietojärjestelmätarkastuksissa tietoturvallisuus on ollut merkittävässä roolissa. VTV:n on siten pystyttävä käsittelemään vastaanottamiaan tietoja yhtä turvallisesti kuin tietojen luovuttamiseen velvolliset virastot. valtiontalouden tarkastusviraston tietosuojan ja tietoturvallisuuden raportointi. hoidon näkökulmasta perus- ja ihmisoikeuksien toteutumista. Tietoturvallisuuteen ja tietosuojaan liittyviä tulosja laatutavoitteita mittareineen on asetettu muun muassa kirjaamo- ja arkistotoimelle, vakavien tieto- ti etotu rva n ja t i e tos uoj a n e r i koi s l e ht i 4/2011 TieTosuoja 17. VTV ei eduskunnan virastona kuulu valtionhallinnon tietoturvallisuusasetuksen soveltamisalaan. Tuloksellisuustarkastuksen kohteena on ollut tietoyhteiskuntahankkeita sekä suuria tietojärjestelmähankkeita
" Tietoturvaraportoinnin tulisi olla osa sisäistä valvontaa ja riskienhallintaa. turvapoikkeamien lukumäärälle, tietoturvallisuuden kehittämiselle, tietojärjestelmien käytettävyydelle ja kehittämiselle sekä kirjasto- ja tietopalveluille. Ulkopuolisille palveluntuottajille on asetettu raportointivelvoitteita tietoturvaan liittyen. Tietoturvaraportti kahdesti vuodessa VTV:n johto saa kaksi kertaa vuodessa käsiteltäväkseen erillisen tietoturvallisuusraportin. Osana sisäisen valvonnan ja riskienhallinnan raportointiaan yksiköt raportoivat johdolle myös merkittävistä tietosuoja- ja tietoturva-asioista. Kirjaamo- ja arkistotoimen tavoitteet on johdettu lainsäädännön velvoitteista koskien asiakirjojen säilyttämistä sekä asiakirjapyyntöjen käsittelyä. perustuslain lisäksi hyvästä hallinnosta säädetään hallintolaissa (434/2003). Tulos- ja laatutavoitteiden toteutumista seurataan kuukausittain ja niistä raportoidaan johdolle vähintään kerran vuodessa. palveluntarjoajan velvollisuudet lisää netissä: Tietosuojavaltuutettu reijo aarnion mietteitä tulevasta uudesta henkilötietodirektiivistä, joka lisää palveluntarjoajan velvoitteita. Lausumassa käsitellään myös tietoturvallisuusriskien hallinnan asianmukaisuutta ja riittävyyttä sekä kehittämistarpeita. VTV:n johtoryhmä käsittelee toisen raportin sisäisen valvonnan arviointi- ja vahvistuslausuman yhteydessä helmikuussa. arkistolaissa arkistoinnin edellytetään tukevan arkistonmuodostajan tehtäviä, oikeutta saada tietoja julkisista asiakirjoista, oikeusturvan ja tietosuojan huomioimista sekä toimivan tutkimuksen tiedon lähteenä. niiden hallintatoimenpiteet, tehdyt ja tulevat kehittämistoimenpiteet sisältäen riskiarviointien tai ulkoisten vTv Raporteissa käsitellään tietoturvapoikkeamat ja 18 TieTosuoja 4/2011 t ietot urvan j a t ietosu oja n erikoisl ehti. VTV:n henkilöstö ja yksiköt ilmoittavat havaitsemistaan tietoturva- ja tietosuojapoikkeamista esimiehelle ja tietoturvapäällikölle. laissa edellytetään, että rekisterinpitäjä noudattaa hyvää tietojenkäsittelytapaa ja toteuttaa tarpeelliset tekniset ja organisatoriset toimet henkilötietojen suojaamiseksi. Vakavista poikkeamista raportoidaan viraston johdolle välittömästi. auditointien tuloksena esitettävät uudet kehittämistoimenpiteet, muutokset tietoturvatasossa, tietoturvakoulutus sekä tietoturvatoiminnan resurssien käyttö. henkilötietolaissa säädetään henkilötietojen käsittelyn yleisistä periaatteista ja rekisteröidyn oikeuksista. Tietoturvallisuusasetuksessa määritellään tietoturvallisuuden perustaso ja siihen liittyen velvollisuus kartoittaa tietoturvariskit. kirjoiTTaja Jaakko Hamunen on valtiontalouden tarkastusviraston tietojohtaja. julkisuuslain mukaan viranomaisen tulee huolehtia asiakirjojen ja tietojärjestelmiin sisältyvien tietojen saatavuudesta, käytettävyydestä ja suojaamisesta sekä eheydestä hyvän tiedonhallintatavan toteuttamiseksi. Lisäksi johdolle odotetaan raportoitavaksi tietosuoja- ja tietoturvaosaamisesta ja sen kehittämistarpeista. www.tietosuoja-lehti.fi Lainsäädäntö ohjaa toimimaan tietoturvallisesti erityiSeSti tietoon liittyVät viraston toiminnan laillisuusvaatimukset lähtevät perustuslaissa (731/1999) säädetyistä perusoikeuksista ja lainalaisuusperiaatteesta. Tällä hetkellä raportoinnin keskeisimmät haasteet liittyvät tietoturva- ja tietosuojapoikkeamien riittävään tunnistamiseen ja läpinäkyvyyteen. yksityiskohtaisempia velvoitteita tiedon käsittelyyn on muun muassa henkilötietolaissa (523/1999), arkistolaissa (831/1994) ja julkisuuslaissa (621/1999) sekä sen nojalla annetussa valtioneuvoston asetuksessa tietoturvallisuudesta (681/2010)
moni muu asia odottaa lisäselvityksiä. Teksti: Päivi Männikkö | Kuvitus: Shutterstock 4/2011 TieTosuoja 19 i nternetin yhteisöpalvelu Facebook työllistää eurooppalaisia tietosuojaviranomaisia. Facebookin Euroopan-yhtiön toimis- to on Irlannissa, joten Irlannin tietosuojaviranomaisen tehtävänä on arvioida, käsitteleekö Facebook eurooppalaisten käyttäjiensä henkilötietoja EU:n lainsäädännön mukaisesti. ti etotu rva n ja t i e tos uoj a n e r i koi s l e ht i. kysymyksiä enemmän kuin vastauksia pohjoismaiden tietosuojaviranomaisten ja yhteisöpalvelu Facebookin neuvonpidossa selvisi, että Facebook katsoo kuuluvansa henkilötietodirektiivin soveltamisalaan
Tarkennuksia saataneen viimeistään Irlannin tietosuojaviranomaisen tarkastuksessa. Mitä Pohjoismaat halusivat tietää? Viranomaiset kysyivät, katsooko Facebook toimintansa kuuluvan EU:n henkilötietodirektiivin piiriin. Pohjoismaat halusivat myös selvyyttä siihen, missä määrin käyttäjä voi vaikuttaa yksityisyysasetuksiin. Mitkä seikat käyttäjien oikeuksissa vaativat tarkennuksia? Miten käyttäjien henkilötietoja käsitellään ja yksityisyysasetuksia muutetaan. Viranomaisia kiinnosti, mitä tietoja yhtiö kerää heistä. Pohjoismaiden tietosuojaviranomaiset puolestaan ovat selvittäneet Facebookin tietosuojakäytäntöjä. Yhtiöltä kysyttiin myös, mitä käyttäjien antamia henkilötietoja se käyttää Mitkä asiat jäivät epäselviksi? Käyttäjien roolissa ja oikeuksissa on vielä tarkennettavaa, samoin kolmansien osapuolten asemassa. He esittivät Facebookille lisäkysymyksiä, joihin yhtiö vastasi syyskuussa. tolakia ja kuuluu siten Irlannin tietosuojavaltuutetun lainvalvonnan piiriin. Tykkää-, etsi kavereita- ja kasvojentunnistussovellusten kautta Facebook saa myös ei-jäsenten ja kirjautumattomien jäsenten henkilötietoja. Sen sijaan useat muut vastaukset jättivät tarkentamisen varaa. Ennen kaikkea: kerrotaanko käyttäjille tietosuojakäytännöistä riittävän selvästi ja pyydetäänkö heiltä suostumusta. Toisaalta käyttäjät myös tuottavat itse tietoja, ja käyttäjien roolin monimuotoisuus mutkistaa tietosuojakäytäntöjen arviointia. Mitä vastauksista selvisi? Yhtiö totesi, että se soveltaa eurooppalaista henkilötietodirektiiviä ja Irlannin henkilötie- 20 TieTosuoja 4/2011 t ietot urvan j a t ietosu oja n erikoisl ehti. Teknisen alustan toimintaa ja paikkatietojen käsittelyä on myös selvitettävä lisää. " Käyttäjien oikeuksissa on vielä tarkennettavaa. itse ja mitä se luovuttaa esimerkiksi sovellusten tarjoajille ja mainostajille
" Mitä ovat kolmannet osapuolet? Facebook tarjoaa alustan muille toimijoille, jotka tuottavat sovelluksia ja kohdennettua mainontaa sekä perustavat erilaisia ryhmiä ja sivuja. Kenen puoleen käyttäjä kääntyy, jos hän haluaa tietää, mitä tietoja kolmansien osapuolten palvelut keräävät hänestä. Palvelussa siis käytetään seurantaevästeitä. Se valmistunee vuoden 2012 alussa. Yhtiöön sovelletaan yleensä sen maan henkilötietolakia, jossa sillä on edustus. Kolmansien osapuolten rooli vaikeuttaa Facebookin tietosuojan arviointia. Mitä tietoja ne saavat käyttäjistä. Facebookissa voi myös ottaa käyttöön paikannussovelluksen, jossa käyttäjä ilmoittaa sijainnistaan matkapuhelimella. Arvion perusteella Euroopan tietosuojaviranomaiset päättävät jatkotoimista. Ovatko EU-maat yhtä mieltä siitä, että Facebookiin sovelletaan Irlannin henkilötietolakia? Henkilötietodirektiivi edellyttää, että Euroopassa henkilötietoja käsittelevällä yhtiöllä on edustus Euroopassa. Yleisesti ottaen mobiili- ja muun teknologian käytön kasvu on lisännyt paineita analysoida paikkatietoa entistä tarkemmin. suojaviranomaisten mielestä yhtiöön pitäisi soveltaa myös Saksan tietosuojalainsäädäntöä, koska henkilötietojen käsittelyllä on vaikutuksia saksalaisiin käyttäjiin. Mitä tapahtuu seuraavaksi? Irlannin tietosuojaviranomainen tekee tarkastuksen Facebookin Euroopan-yhtiöön ja laatii siitä oikeudellisen arvion. Käyttäjille esimerkiksi lähetetään kohdennettua mainontaa, joka perustuu näiden profiileihinsa tekemiin päivityksiin. Kuinka yksilöityä tietoa mainostajat saavat näistä päivityksistä? Oikeudellinen arvio Facebookista valmistuu vuoden 2012 alussa. kirjautuneina. Mikä teknisessä alustassa mietityttää. Miten käyttäjän oikeudet otetaan siinä huomioon? Esimerkiksi Facebook tietää käyttäjiensä nettisurffailusta silloinkin, kun he eivät ole juttu perustuu tietosuojavaltuutettu reijo aarnion haastatteluun, norjan tietosuojaviranomaisen selvitykseen ja pohjoismaiden tietosuojaviranomaisten Facebookille lähettämään tiedusteluun. ti etotu rva n ja t i e tos uoj a n e r i koi s l e ht i 4/2011 TieTosuoja 21. Esimerkiksi Saksan tieto- Mitä tapauksesta voi oppia jo nyt? Henkilötietojen käsittely kannattaa suunnitella hyvin etukäteen. Evästeiden käyttö taas edellyttää Euroopassa nykyään käyttäjän etukäteissuostumusta. Ennen kuin käyttäjien henkilötietojen käsittelyä muutetaan, palveluntarjoajan pitää miettiä, miten muutokset vaikuttavat käyttäjiin. Onko niiden palvelujen rekisterinpitäjänä Facebook vai palveluntarjoaja. Facebookin kohdalla on keskusteltu siitä, pitäisikö muillakin EU-mailla kuin Irlannilla olla toimivaltaa. Pyydetäänkö käyttäjältä suostumus paikkatietojen keräämiseen, ja miten käyttäjä voi vaikuttaa niiden käsittelyyn
Terveydenhuollon TekeS/paSi hyTTi 22 TieTosuoja 4/2011 t ietot urvan j a t ietosu oja n erikoisl ehti
"Tarkoituksena on, että terveydenhuoltolain mukaiset sairaanhoitopiirin sisäiset tietojen luovutuskiellot toimisivat myös earkistossa. arkistoon on suunnitteilla myös toiminto, jossa potilas voi itse valvoa tietojensa luovutusta organisaation tasoisten lokitietojen avulla. Lähivuosina valmistuvaa eArkistoa säätelee asiakastietolaki, jossa on omat määräyksensä suostumuksenhallinnasta. Potilaslain mukaan tietoja voi luovuttaa yksiköstä toiseen vain, jos potilas antaa siihen luvan. hilkka mieTTinen "palautetta lainsäädännön tulkinnan hankaluudesta on tullut etenkin julkisten organisaatioiden tietosuojavastaavilta ja juristeilta", sanoo kehittämispäällikkö maritta korhonen Terveyden ja hyvinvoinnin laitokselta. toiminnan seurantaa ja laadunvalvontaa varten. Lakien toteuttaminen käytännössä edellyttää muutoksia myös paikallisissa ja alueellisissa järjestelmissä." hankala suostumuksenhallinta Terveydenhuollon lainsäädäntö on murrosvaiheessa. Tilanne tiedetään Terveyden ja hyvinvoinnin laitoksella, joka vastaa terveydenhuollon asiakastiedon sähköisen käsittelyn suunnittelusta ja ohjauksesta. potilas voi halutessaan rajata suostumustaan esimerkiksi sulkemalla sen ulkopuolelle tietyt hoitoyksiköt tai hoitojaksot. Esimerkiksi Tampereen kaltaisessa tilanteessa, jossa palveluntuottajalla on yhteys kunnan tietojärjestelmään, järjestelmän käytön muussa kuin toimeksiannossa määritellyssä tarkoituksessa estävät jo lisenssisyyt. Viime toukokuussa voimaan tulleen terveydenhuoltolain mukaan sairaanhoitopiirin sisällä tietoja voi luovuttaa, ellei potilas sitä kiellä. "Samaan aikaan kuin lait muuttuvat, ollaan ottamassa käyttöön kansallisia palveluita, eArkistoa ja reseptitietokeskusta. sestä potilastietojen luovuttamiseen. ellei potilas anna suostumustaan, hänen tietojensa luovutukseen sovelletaan potilaslakia ja terveydenhuoltolakia. Toimeksiantajille ja palveluntuottajille päänvaivaa aiheuttaa esimerkiksi se, että voimassa olevissa laeissa säädetään eri tavoin potilaan suostumuksen pyytämi- 24 TieTosuoja 4/2011 t ietot urvan j a t ietosu oja n erikoisl ehti. Liiketoiminnassa tietoja ei silti saa käyttää. "On vaikea sanoa, kuinka asiakkaat ja työntekijät ymmärtävät eri lainsäädäntöjen vaatimukset ja kuinka järjestelmäntoimittajat osaavat tehdä ohjelmistonsa siten, että kielto- ja suostumuksenhallinnan kaikki eri variaatiot pystytään hallinnoimaan teknisesti", Ari Andreasson pohtii. "Palautetta lainsäädännön tulkinnan hankaluudesta on tullut etenkin julkisten organisaatioiden tietosuojavastaavilta ja juristeilta", Maritta Korhonen kertoo. näin potilaan tarvitsee tehdä kyseiset kiellot vain kerran", selventää maritta korhonen Terveyden ja hyvinvoinnin laitokselta. "Jos potilas on antanut suostumuksensa eArkiston käyttöön, yksityislääkäri voi hakea hoitosuhteen niin edellyttäessä hänen tietonsa sieltä", vahvistaa kehittämispäällikkö Maritta Korhonen Terveyden ja hyvinvoinnin laitokselta. " Tietosuojarikkeiden pois kitkeminen on sekä tilaajan että tuottajan etu. eArkistossa rekisterien rajat joustavat potilaan luvalla kun kanSallinen sähköinen potilastiedon arkisto (earkisto) tulee voimaan vuonna 2014, terveydenhuollon yksiköt voivat saada potilaan hoitotiedot käyttöönsä yli organisaatiorajojen. arkiston käyttö perustuu potilaan suostumukseen, joka annetaan kerran. Tilannetta helpottaa tulevaisuudessa kansallinen sähköisen potilastiedon arkisto (eArkisto), johon on koottu sekä yksityisen että julkisen sektorin potilastiedot. Terveydenhuoltolain mukaan potilaan tietoja voidaan tarvittaessa luovuttaa sairaanhoitopiirin sisällä, ellei potilas sitä kiellä. Vaikka potilas antaisikin suostumuksensa tietojen käyttöön, eivät ostopalvelusopimukset välttämättä salli sitä. Hankalia tilanteita saattaa syntyä, kun aiemmin ostopalveluna hoidettu potilas tulee myöhemmin yksityisvastaanotolle
Yksityinen terveydenhuollon tuottaja toimii kilpailutilanteessa, jossa julkisuuteen tulleet tietosuojarikkomukset saattavat vaarantaa yrityksen maineen ja sen myötä koko toiminnan. Ostopalveluyrityksen kohdalla kyse on myös yrityksen toimeksiantajasta. Esimerkiksi ekstranetin käyttö, jossa asiakasorganisaatioilla on mahdollisuus katsoa palveluraportteja organisaationsa terveystilanteesta, edellyttää vahvaa tunnistautumista. Suhtaudumme asiakkaidemme yksityisyyteen erittäin vakavasti", Otala sanoo ja havainnollistaa asiaa anekdootilla tosielämästä: "IT-puolen edustajana pystyn pitkäänkin puhumaan asiaa potilastietojärjestelmästämme, mutta minulla ei ole pääsyä tuotantoympäristöön. "Joskus yrityksistä toivotaan meiltä sentyyppisiä tietoja työntekijöistä, joita emme voi antaa. Nämä tilanteet ovat meille aina hankalia. Otala huomauttaa, että palveluntuottajan maineen kannalta olisi äärimmäisen vakavaa, jos toimeksiantajan työntekijöillä olisi aihetta pelätä terveystietojensa joutumista asiattomasti työnantajan käsiin. sapitositoumuksen, jota edeltää perehdytys tietosuoja-asioihin. Terveystalo vaatii työntekijöiltään salas- julkisen kuin yksityisenkin sektorin työnantajilta. Suomen suurin työterveyspalvelujen tuottaja on Terveystalo. Potilastietojen käyttölokeja valvotaan tietohallintojohtaja Tuomas Otalan mukaan sekä pistokokein että erityisohjelmistolla, joka on suunniteltu etsimään väärinkäyttötilanteita heuristisen analyysin "Tilanteissa, joissa tietosuojalainsäädäntö on ristiriitainen, valitsemme aina tiukemman tulkinnan. Jos käyttäisin järjestelmää, se johtaisi välittömästi tietosuojarikkomukseen." "olen muutaman kerran hyvinkin suoraan joutunut sanomaan työnantajalle, että emme voi antaa arkaluonteisia tietoja", Terveystalon tietohallintojohtaja Tuomas otala kertoo. Toimeksiantajan tiedot suojaan kilpailijoilta Ostopalveluyritys huolehtii paitsi potilaidensa, myös toimeksiantajiensa tietosuojasta. Työnantajat utelevat terveystietoja Otalalla on kokemusta tilanteista, joissa työterveyshuollon asiakkaan yksityisyyttä joudutaan suojaamaan hänen työnantajaltaan. "Vaikka raportit eivät sisällä yksittäisten potilaiden tietoja, haluamme varmistaa, ettei jää mahdollisuutta harmittaviin tilanteisiin tietojen joutuessa vääriin käsiin. Teksti: Kirsi Castrén | Kuva: Terveystalo Palveluntuottaja Työterveyshuollossa palveluntuottaja joutuu joskus hankaliin tilanteisiin, kun toimeksiantaja haluaa tietää liikaa työntekijöistään. puun ja kuoren välissä T avulla. yöterveyshuolto on laajimmin ulkoistettu terveydenhuollon osa-alue. Soisin yritysten tietosuojaymmärryksen olevan tässä suhteessa hiukan syvällisempi." "Arkaluontoisten tietojen antaminen on meille täysin mahdotonta, ja olen muutaman kerran hyvinkin suoraan joutunut kertomaan, että emme voi niitä antaa." Asiattomia kyselyjä tulee Otalan mukaan yhtä lailla ti etotu rva n ja t i e tos uoj a n e r i koi s l e ht i 4/2011 TieTosuoja 25. Esimerkiksi asiakkaan kilpailijayritys saadessaan tiedot voisi tehdä joitakin tulkintoja vaikkapa yrityksen sairaspoissaolotilanteesta", Tuomas Otala kuvaa
Työelämän tietosuoja Työntekijä heikoin lenkki? tietoturvan 26 TieTosuoja 4/2011 t ietot urvan j a t ietosu oja n erikoisl ehti
Arkaluontoisimpiin henkilötietoihin kuuluvat terveydenhuollon potilastiedot. potilastietojen urkinta on yleisen syytteen alainen henkilörekisteririkos, josta voidaan tuomita sakkoja ja vahingonkorvauksia. Sosiaalinen media on julkisen ja yksityisen välimaastoa, jossa työntekijän voi olla vaikea mieltää, mitä työpaikan asioista voi sanoa ja mitä ei. Facebookin viesteissä liikkuu jopa liikesalaisuuksia, sillä moni olettaa palvelun vastaavan tietoturvaltaan sähköpostia. oikeustapauksissa saatetaan edellyttää ohjeistuksen dokumentointia. "Työnantaja voi viedä väärinkäytön poliisitutkintaan jo henkilörekisteririkkomuksena, kun urkkija ei ole noudattanut työnantajan henkilötietojen käsittelystä antamia suojausmääräyksiä", ylipartanen selvittää. enemmän tietoa, josta osa saattaa olla salassa pidettävää. Tahattomia tietovuotoja tapahtuu, kun tekniikkaan luotetaan liikaa. "Toivoisin kaikilta terveydenhuollossa toimivilta ryhtiliikettä ja selkärankaa sekä työnantajilta suunnitelmallista toimintaa ja asioihin tarttumista silloin, kun on aihetta tarttua. uhrilla on tästä huolimatta mahdollisuus vaatia vahingonkorvauksia vielä kolme vuotta sen jälkeen kun sai tiedon tapahtuneesta. Työnantaja vastaa henkilötietolain mukaan rekisterinpitäjänä siitä, etteivät työpaikalla säilytettävät henkilötiedot päädy vääriin käsiin. Toisaalta käyttölokien ansiosta siitä myös jää helpommin kiinni. Urkinnan kitkeminen koko työyhteisön asia Sini SairaanHoitaJa katsoi samassa terveyskeskuksessa hoidossa olleen ex-miehensä potilastietoja, vaikka ei ollut hoitanut häntä. Tahallisia ja tahattomia tietovuotoja tapahtuu miltei alalla kuin alalla. uskon, että esimerkiksi henkilöt, joiden saamista tuomioista on viime aikoina julkisuudessa kerrottu, tiesivät tekevänsä väärin, mutta houkutus oli niin suuri." koskinen näkee urkintatapausten ennaltaehkäisyn myös työyhteisökulttuurin asiana. Paperiarkistojen vaihduttua sähköisiksi tietokannoiksi tietojen luvaton käyttö on entistä helpompaa. henkilörekisteririkoksissa syyteoikeus vanhenee kahdessa vuodessa. Tehyn kehittämisyksikön johtaja Marja-Kaarina Koskinen ei kuitenkaan halua sälyttää vastuuta urkinnoista työnantajalle. kolmannes tietosuojavaltuutetun poliisille tai syyttäjälle antamista lausunnoista koskee terveydenhuoltoa. Työnantaja on vastuussa siitä, miten työntekijöitä perehdytetään potilastietojen käyttöön. "Terveydenhuollon tietosuojavastaavilta olen kuullut, että potilaiden tekemien lokivalvontakyselyjen määrä lisääntyy jatkuvasti", kertoo ylitarkastaja Arto Ylipartanen tietosuojavaltuutetun toimistosta. Se on ainoa tapa kitkeä pois tällaiset tapaukset." ti etotu rva n ja t i e tos uoj a n e r i koi s l e ht i 4/2011 TieTosuoja 27. organisaation tietosuoja ja tietoturva ovat työnantajan vastuulla mutta käytännössä useissa tilanteissa työntekijän varassa. Teksti: Kirsi Castrén Kuvitus: Maija Vuorela "s Tahallisia ja tahattomia tietovuotoja tapahtuu miltei joka alalla. ähköiset välineet helpottavat työtä mutta asettavat työntekijän paljon vartijaksi. Napin painalluksen päässä on usein aiempaa monin verroin Urkinnat terveydenhuollossa herättävät julkisuuteen päätyessään erityistä pahennusta. "en usko tietämättömyyden olevan syynä kenelläkään, joka urkintaan syyllistyy. rikosoikeudellinen vanhenemisaika ei sido myöskään työnantajaa, joka voi ryhtyä työoikeudellisiin toimenpiteisiin myöhemminkin ja antaa urkkijalle huomautuksen tai varoituksen, ääritapauksessa jopa purkaa työsuhteen. Vaikka omat älypuhelimet ja kannettavat saattavatkin olla nopeampia ja kiinnostavampia kuin työnantajan tarjoamat välineet, eivät ne välttämättä ole tietoturvaltaan yhtä varmoja
"Tiivistetysti voisi sanoa, että yksi ongelma on siinä, että liikesalaisuuksista ylipäätään keskustellaan sosiaalisen median palveluissa", toteaa asianajaja Pekka Kiviniemi kalliolaw asianajotoimisto oy:stä. "on tilanteita, joissa työnantajayhteisö enemmän tai vähemmän aktiivisesti suosittelee tai jopa edellyttää sellaisten palvelujen käyttöä, joiden tietoturva on täysin olematon, kuten esimerkiksi Facebookia." palveluja voi helposti tulla käyttäneeksi myös suorastaan laittomasti, ellei lue tarkkaan käyttöehtoja. kaukokatseinen yhtiö ohjeistaa työntekijät sosiaalisen median työkalujen käytöstä. 28 TieTosuoja 4/2011 t ietot urvan j a t ietosu oja n erikoisl ehti. omien asioiden ajaminen loukkaamalla työnantajaa tai työtovereita voi johtaa kunnianloukkaukseen", selventää palvelualojen ammattiliitto pamin lakiosaston päällikkö Markku Kuoppamäki. kun työntekijä kommentoi työnantajaansa julkisesti, hän tasapainoilee perustuslaillisen sananvapautensa ja työlainsäädännön lojaalisuusvelvoitteen välillä. verkkopalvelujen ajattelematon käyttö ei kuitenkaan aina ole yksin työntekijän syytä. Työelämän tietosuoja Paljastukset riski liiketoiminnalle " Fiksu työnantaja opastaa henkilöstöä somen käytöstä. milla myyJä tuskailee Facebookissa työpaikkansa ongelmia. kiista ei ehtinyt oikeuteen asti. pam on käsitellyt esimerkiksi tapausta, jossa työntekijän työsuhde oli päätetty, kun hän oli Facebookissa kritisoinut asiakasyritystään hygienian laiminlyömisestä. vastaava tapaus Saksassa käsiteltiin hiljan euroopan ihmisoikeustuomioistuimessa, joka kallistui sananvapauden kannalle. Sosiaalisen median harkitsematon käyttö on todellinen riski yritystoiminnalle silloin, kun se johtaa liikesalaisuuksien paljastumiseen. "Työpaikan epäkohdista voi toki puhua julkisesti, jos arvostelu liittyy yleisiin asioihin. "esimerkiksi yrityksen verkkosivuilta kopioitu valokuva saattaa olla kuvatoimistolta lisensoitu, eivätkä kuvan käyttöoikeudet salli sen käyttämistä sosiaalisen median palveluissa niiden käyttöehdoista johtuen", kiviniemi havainnollistaa. pomo saa kuulla päivityksestä ja pyytää millan puhutteluun
cerT-Fi-yksikön päällikkö Erka Koivunen viestintävirastosta ei niele työnantajatahon huolta varjo-iT:stä sellaisenaan: "Työnantajan tulisi huolehtia salassa pidettävien tietojen suojauksesta niin hyvin, että julkisia tai luokittelemattomia sisältöjä, kuten esimerkiksi intranetiä ja internetsähköpostia, voisi huoletta käyttää muillakin kuin työnantajan laitteilla." esimerkiksi sähköpostilla välitettävät salassa pidettävät tiedot tulisi koivusen mukaan suojata salakirjoittamalla ne tai käsittelemällä niitä erillisissä järjestelmissä. yhdysvaltalaisen tutkimuksen mukaan jopa kolmannes työntekijöistä on tyytymätön työpaikkansa tietotekniikan kehitysvauhtiin. Varjo-IT yleistyy Suomessakin iiro inSinööri käyttää töissä omaa kannettavaa ja älypuhelinta, koska työpaikan laitteet ovat hankalampia ja hitaampia käyttää. moni käyttää työtehtävissään mieluummin omaa älypuhelintaan ja tietokonettaan. myös Suomessa niin sanottu varjo-iT nostaa päätään. "omien laitteiden avulla näihin ´sisempiin suojakuoriin´ ei tulisi olla pääsyä." " Salaisuudet pitää suojata niin hyvin, että julkisia tietoja voi käsitellä omillakin laitteilla. ti etotu rva n ja t i e tos uoj a n e r i koi s l e ht i 4/2011 TieTosuoja 29. Salauksen purkamiseen vaadittavien avainten ja asiakirjanhallintajärjestelmään tarvittavien tunnistautumisvälineiden tulisi olla käytettävissä vain työnantajan tarjoaman ja kovennetun järjestelmän kautta. omien laitteiden käytössä piilee kuitenkin tahattomien tietovuotojen riski, mikäli laitteet eivät ole turvallisia
"jos hanke toteutuu, kaikki eu-maat pyritään varmaan saamaan mukaan. Tietosisältöjäkin pitäisi sitten vakioida," patentti- ja rekisterihallituksen pääjohtaja rauni hagman sanoo. 30 TieTosuoja 4/2011 t ietot urvan j a t ietosu oja n erikoisl ehti. profiili: prh näköalapaikalla jos eu:n komission vihreässä kirjassa esittämät ajatukset toteutuvat, jossakin vaiheessa kaikkien eu-maiden kaupparekisteritiedot ovat yhteisessä käytössä
Sielläkin neuvonta rajoittuu rekisteröintiasioihin. Ylimmästä hallinnoinnissa. elinkeinoelämän edunvalvojat toivovat, että kaupparekisteriin merkittävien henkilötietojen julkisuutta rajoitettaisiin. prh kannattaa henkilötietojen julkisuuden rajaamista, pääjohtaja rauni hagman sanoo. Bisneksen pyörittämisessä neuvominen ei kuulu meidän rooliimme", Hagman sanoo. PRH toimii muutenkin näköalapaikalla, koska sen rekistereihin merkitään käytännössä jokainen suomalainen yritys, yhdistys ja säätiö. Kun yrittäjä tulee rekisteröimään toimintan- Tietojärjestelmät uusiksi Tulevaisuudessa yrittäjän asiointi PRH:n kanssa sujuu sähköisesti. henkilötietojen keräämisen ja julkistamisen muutokset edellyttävät kaupparekisterilain muuttamista. Sillä on Hagmanin mukaan yhteisiä piirteitä toiminimien ja tavaramerkkien hallinnoinnin kanssa. asiaa vuonna 2009 selvittäneen työryhmän näkemys oli, että osoitetietojen tallentamisesta kaupparekisteriin voitaisiin luopua kokonaan ja henkilötunnuksen julkisuutta voitaisiin rajata. Esimerkiksi verkkotunnusta hakevan pitää vakuuttaa, että tunnus ei riko olemassa olevaa tavaramerkkiä tai toiminimeä. kerroksesta avautuvat näkymät Kiasmaan ja Mannerheimin patsaalle. Tästä toiminnasta syntyy mittava tietoaineisto, jota tarjoamme asiakkaiden ja muiden valtionhallinnon toimijoiden käyttöön. "mutta niin kauan kuin se pykälä on kaupparekisterilaissa, meidän on pakko toimia sen mukaisesti." verkkotunnus ja toiminimi yksilöivät yrityksen Edellisen kerran Rauni Hagmania haastateltiin Tietosuojaan viisi vuotta sitten, tuolloin Viestintäviraston pääjohtajan ominaisuudessa. "Jos valtionhallinto huolehtii nimenomaisista viranomaisfunktioista, muu sitten ilmeisesti hoituu jollakin muulla lailla", Hagman viittaa valtionhallinnon tuottavuustavoitteisiin. "Meillä myös myönnetään ja meiltä löytyvät tiedot teollisoikeuksista eli tavaramerkeistä ja patenteista sekä niiden sisällöistä." kuka auttaa yrittäjää? Uuden yrityksen ensiaskeliin kuuluu verkkotunnuksen ja toiminimen hankkiminen. PRH:n pääjohtaja hänestä tuli vuonna 2010. lakiesitys on valmis, ja se yritetään saada eduskunnan käsiteltäväksi vuonna 2012. heidän henkilötietonsa tosin ovat verkossa täysin laillisesti kaupparekisterilain perusteella. Rekistereistä saa selville muun muassa, ketkä istuvat yritysten hallintoelimissä, pääjohtaja Rauni Hagman toteaa. Miten hän vertailee kahden valtionhallinnon viraston roolia suomalaisessa tietoyhteiskunnassa? ti etotu rva n ja t i e tos uoj a n e r i koi s l e ht i 4/2011 TieTosuoja 31. patentti- ja rekisterihallitus tiivistää yhteistyötä viestintäviraston ja tietosuojaviranomaisten kanssa. Teksti: Päivi Männikkö Kuva: Olli Häkämies "PRH:n tehtävänä on luoda yrityksille ja yhteisöille oikeudellinen perusta samoin kuin myöntää tunnusmerkeille ja keksinnöille teollisoikeudellinen suoja. "Me neuvomme siinä, miten yritys rekisteröityy ja mitä tietoja sen täytyy toimittaa. Viraston lähivuosien tärkein strateginen painopistealue on Henkilötiedot kaikkien saatavilla loppuVuoden tietoVuototapaukSet ovat levittäneet kymmenien tuhansien suomalaisten henkilötietoja nettiin. Yhdistykset ja asunto-osakeyhtiöt voivat rekisteröidä toimintansa maistraateissa. Viestintäviraston tehtäviin kuuluu viestintäkentän rakenteista ja viestinnän toimivuudesta huolehtiminen." Erilaisista rooleista huolimatta virastot tiivistävät yhteistyötään Viestintäviraston toimialaan kuuluvassa verkkotunnusten sa kaupparekisteriin, miten PRH neuvoo sitä yritystoiminnan kiemuroissa, esimerkiksi asiakastietojen käsittelyssä. yritysten vastuuhenkilöille ja taloyhtiöiden hallitusten jäsenille tilanne on tuttu. PRH on mukana Viestintäviraston perustamassa hankkeessa, jossa pyritään parantamaan pk-yritysten tietoturvatietoisuutta. P atentti- ja rekisterihallituksen (PRH) toimitilat sijaitsevat Helsingin ytimessä, eduskunnan lisärakennusta vastapäätä
lehden muut julkaisijat ovat tietosuojalautakunta, tietosuojavaltuutetun toimisto ja viestintävirasto. · Työntekijöitä noin 500 · Pääjohtaja Rauni Hagman · Rekisteröi yritykset, säätiöt ja yhdistykset. Esimerkiksi kaupparekisteritietoja voi jo hakea verkossa reaaliaikaisesti. profiili: prh tietojärjestelmien uudistaminen, jota tehdään pala kerrallaan. Viimeksi mainitusta on toivottu pankkitunnisteiden korvaajaa, mutta sen käyttöönotto on edennyt hitaasti. Tietojen yhteiskäyttö korostaa rekisterinpitäjän vastuuta tiedoista, jotta kukin viranomainen pääsee käsiksi vain sen toimintojen kannalta tarpeellisiin henkilötietoihin. "Jos lakia pystyttäisiin tekemään vähän yksinkertaisemmaksi, se heijastuisi suoraan tietojärjestelmämäärittelyihin ja toteutukseen sekä viime kädessä hintaan." Kaupparekisterijärjestelmän uudistus on sidoksissa toiseen suureen hankkeeseen, PRH:n ja Verohallinnon yhdessä hallinnoiman yritys- ja yhteisötietojärjestelmän (YTJ) uudistamiseen. PRH:ssa mobiilivarmenteen käytössä on otettu ensiaskelia. Eräs suurimmista hankkeista on kaupparekisterin uusi sähköinen tietojärjestelmä, josta on jo osia valmiina. Henkilön tunnistautumiseen on jo koeteltuja keinoja; verkkopankkitunnukset, kansalaisvarmenne ja uusimpana mobiilivarmenne. · Tutkii ja myöntää patentit, hyödyllisyysmallit, tavaramerkit ja mallisuojan. Hagmanin mukaan mobiilivarmenteen käyttö on tarkoitus tehdä mahdolliseksi myös yrityksille. varmenteen yleistyminen ratkaisu tunnistuspulmiin Kun sähköinen asiointi PRH:n kanssa on yritysten ja yhteisöjen arkea, herää kysymys siitä, miten niiden nimissä toimivat henkilöt tunnistetaan. Kesästä lähtien yhdistyksen nimissä toimivat ovat voineet tunnistautua ja allekirjoittaa sähköiset ilmoitukset rekisteritiedot yhteiskäyttöön Yrittäjän tarvitsee lähivuosina ilmoittaa yrityksen tiedot vain yhdellä luukulla, sillä tarkoituksena on, että rekisteritiedot olisivat saumattomasti kaikkien viranomaisten käytössä. 32 TieTosuoja 4/2011 t ietot urvan j a t ietosu oja n erikoisl ehti. PRH:n kannalta läheisimpiä tietojen yhteiskäytön kumppaneita ovat Väestörekisterikeskus ja Verohallinto, Maanmittauslaitos sekä Tilastokeskus. Koko hanke on määrä saada valmiiksi 2013 loppuun mennessä, vuoden aiottua myöhässä. · Tarjoaa koulutus- ja tietopalveluja. www.prh.fi myös palvelu, jossa osakeyhtiön voi perustaa verkossa. myös mobiilivarmenteella. YTJ:hin tulee Patentti- ja rekisterihallitus · Perustettiin 1942, mutta viraston historia alkaa senaatin manufaktuurijohtokunnan perustamisesta vuonna 1835. Lainsäätäjälläkin on tässä roolinsa, ja Rauni Hagman heittääkin pallon kadun toiselle puolelle eduskuntaan: "Varsinkin kaupparekisterilain muutos on kyllä aika olennainen." " PRH pyrkii sähköisen asioinnin edelläkävijäksi julkishallinnossa. PRH Tietosuojan julkaisijaksi patentti- ja rekisterihallitus tulee mukaan Tietosuojan julkaisijayhteisöön 1.1.2012 alkaen. Kun YTJ:n uusi järjestelmä otetaan käyttöön, yrityksen tiedot ilmoitetaan ja käsitellään sähköisesti. "Onko tarpeen, että valtionhallinnossa kehitetään tähän uusi tunnistamisratkaisu?", Hagman pohtii. "Vuosina 20082009 yritysten perustaminen tyssäsi, ja meidän niistä saamamme tulot vähenivät aika dramaattisesti, joten meidän piti laittaa hanke odottamaan parempia aikoja." Hankkeen etenemiseen vaikuttaa myös kaupparekisterilaki
Nykyiset haittaohjelmat pyrkivät käyttäytymään niin, että niiden verkkoliikennettä ei erota tavallisesta ti etotu rva n ja t i e tos uoj a n e r i koi s l e ht i 4/2011 TieTosuoja 33. Tietojen keräämiseen he käyttävät haittaohjelmia, jotka tarkkailevat käyttäjän näppäinpainalluksia ja www-selailua tai varastavat dokumentteja käyttäjän tietokoneelta. surffaajan suojaksi Tietoturvaloukkauksista automaattisesti raportoivat palvelut auttavat pitämään suomalaiset tietoverkot puhtaina. Teksti: Juhani Eronen Kuvitus: ScanStockPhoto k ymmenet tuhannet suomalaiset tietokoneen käyttäjät joutuvat vuosittain jonkinlaisen tietoturvaloukkauksen uhriksi, usein tietämättään. Tavallisin syy on haittaohjelmatartunta. Verkkorikolliset haalivat netinkäyttäjien henkilötietoja voidakseen käyttää niitä hyväkseen tai myydä eteenpäin. Käyttäjän tietokonetta voidaan myös etäkäyttää esimerkiksi roskapostin lähettämiseen
Suuren tietomäärän käsittelyyn on luotava automaattisesti toimivia työkaluja. viestintäviraston määräys 13 velvoittaa internet-operaattoreita perustamaan väärinkäytösten käsittelyä varten abuse handling -toiminnot. 34 TieTosuoja 4/2011 " Suomen tietoverkot ovat maailman puhtaimpia. t ietot urvan j a t ietosu oja n erikoisl ehti. lähes poikkeuksetta nykyiset haittaohjelmat ovat etähallittavia ja muunneltavissa erilaisiin tarpeisiin. Se raportoi havaituista tietoturvaloukkauksista automaattisesti sen kohteeksi joutuneen asiakkaan internet-operaattorille. Verkon tietoturvaongelmia havainnoidaankin nykyisin yleisesti vapaaehtoisvoimin. Siksi käyttäjän koneelle pesiytynyttä haittaohjelmaa ei välttämättä huomaa sen paremmin käyttäjä kuin internet-operaattorikaan. " Tietoturvaloukkauksista kertyvien tietojen käsittelyyn tarvitaan automaattisia työkaluja. internet-käytöstä. Harvan yrityksen ydinliiketoimintaan kuuluu internetin turvallisuudesta huolehtiminen. Monet yrityksetkin tekevät arvokasta työtä tietoverkkorikollisten toiminnan estämiseksi. autoreporter on ihmistä nopeampi Tietoja verkon tietoturvaloukkauksista voi siis tulla yllättävistäkin lähteistä. etähallittavien haittaohjelmien verkkoa kutsutaan bottiverkoksi. abuSe Handling abuse on yleisnimitys tietoverkkojen väärinkäytöksille, kuten tietomurroille ja haittaohjelmien levitykselle. Sen sijaan monet tietoturva-ammattilaiset pyrkivät töidensä ohella tai harrastuksekseen pitämään verkkoa puhtaana. Ongelmaksi muodostuu pian se, että tietoja kertyy paljon. Autoreporter lähetti viime vuonna lähes 250 000 ilmoitusta tietoturvaloukkauksista ja haittaohjelmista. Sivulliset, uhrit ja netin supersankarit Haittaohjelma havaitaan kuitenkin silloin kun sen tekijä ryhtyy käyttämään hallitsemiaan koneita: kotikäyttäjä alkaa kiinnittää huomiota oudon hitaasti toimivaan koneeseensa, tai verkkopalvelun ylläpitäjä näkee sivustolla ongelmia. Aktiivisimpia toimijoita on leikkisästi kutsuttu internetin supersankareiksi. Edes koneelle asennettu virustarkistusohjelma ei välttämättä huomaa haittaohjelmatartuntaa. abuse handling on tietoturvaloukkauksia ja väärinkäytöksiä vastustavaa toimintaa. Vapaaehtoisorganisaatiot ja joukkovoima ovat osoittautu- Termit tutuiksi HaittaoHJelmat Ja bottiVerkot haittaohjelmista puhutaan useilla eri nimillä, kuten virukset, madot, botit ja troijan hevoset, jotka ovatkin haittaohjelmien erilaisia toimintoja sisältäviä alalajeja. Usein hyökkäyksen huomaavat myös sivulliset, kuten kasvaneita liikennemääriä tai skannausyrityksiä ihmettelevät operaattorit tai huijaussivustoille osuneet käyttäjät. neet tehokkaiksi verkkojen turvaamisessa. Hyökkääjien toimista jääviä jälkiä seuraamalla ja analysoimalla voidaan löytää muita uhreja ja pyrkiä tekijöidenkin jäljille. Viestintävirastossa toimiva kansallinen tietoturvaviranomainen CERT-FI otti vuonna 2006 käyttöön automaattisen raportointipalvelun Autoreporterin. Operaattorin tehtäväksi jää ottaa yhteyttä asiakkaisiinsa ja selvittää tilannetta heidän kanssaan. Tärkeä osa tietoturvaloukkauksien käsittelystä vastaavien CERT-ryhmien työtä onkin verkottua ja muodostaa luottamuksellisia suhteita, jotta ne saisivat tietoja loukkauksista
Suomessa toimii viestintäviraston yhteydessä kansallinen cerT-Fi-tietoturvayksikkö. Suurimmalla osalla valtioista on yksi tai useampia cerT-toimijoita, joiden vastuulla on valtiollisia, siviili- ja sotilasjärjestelmiä. Ensi vaiheessa käyttöön tulevat valmiit julkisten tietojen kerääjät. Hankkeeseen on liittynyt CERT-EE:n ja CERT-FI:n lisäksi joukko muita eurooppalaisia CERT-toimijoita ja operaattoreiden tietoturvaryhmiä. Hankkeessa kehitetty tekninen alusta, AbuseHelper, edistää Autoreporterin kaltaisen automaattisen raportoinnin käyttöönottoa CERT- ja Abuse-ryhmissä, sillä se tekee tietojenvaihdosta joustavampaa ja helpottaa uusien tietolähteiden käyttöönottoa. myös monilla yrityksillä on muun muassa tuotteista, verkoista ja palveluista vastaavia cerT-ryhmiä. Suomi myös sijoittuu kärkijoukkoon maailman verkkojen tietoturvaa mittaavissa vertailuissa. abusehelper lisää raportoinnin joustavuutta CERT-FI on esitellyt Autoreporter-järjestelmän hyötyjä muille CERT-toimijoille ja verkkojen turvaamisesta vastaaville tahoille. ti etotu rva n ja t i e tos uoj a n e r i koi s l e ht i 4/2011 TieTosuoja 35. Samassa ajassa CERT-FI:n päivystäjät käsittelivät vajaat 5 000 tapausta. Tietoturvaloukkausten raportointiin saadaan näin lisää joustavuutta. Viron CERT-toimijan CERT-EE:n vuonna 2009 aloittamassa hankkeessa kehitetään uusia työkaluja tietoturvaloukkauksiin liittyvän tiedon keräämistä, välittämistä ja raportointia varten. Microsoft nosti Suomen viimeisimmässä verkkojen turvallisuutta mittaavassa Security Intelligence -raportissaan maailman viiden parhaan maan joukkoon. pitkää ketjua havainnoijalta eri välittäjätahojen ja operaattorien kautta asiakkaille. Järjestelmän tekninen toteutus ei kuitenkaan sovi sellaisenaan muiden toimijoiden tarpeisiin. kirjoiTTaja JuHani eronen on tietoturvaasiantuntija viestintävirastossa toimivassa kansallisessa tietoturvaviranomaisessa cerT-Fi:ssä. CERT-FI ottaa AbuseHelperin käyttöön Autoreporterpalvelun tekniseksi alustaksi kuluvan vuoden lopulla. Konsepti on kansainvälisesti palkittu CERT-toimijoiden kattojärjestön parhaat käytännöt -kilpailussa vuonna 2009. Autoreporter ja hyvin toimiva yhteistyö operaattorien kanssa ovat osoittautuneet tehokkaaksi tavaksi pitää suomalaisia verkkoja puhtaina haittaohjelmista. käytännön työssä eri cerT- ja abuse-ryhmät ovat jatkuvasti yhteydessä toisiinsa. Eräänä tavoitteena on yhdenmukaistaa ja automatisoida tietoturvaloukkauksen raportoinnin Cert cerT tarkoittaa tietoturvaloukkauksien käsittelystä vastaavaa ryhmää. Käyttöön tulee myös uusi reaaliaikainen tiedonsiirron kanava CERT-FI:n ja asiakkaiden välillä sekä mahdollisuus räätälöidä helpommin tiedonkeruuta ja raportointia asiakkaan tarpeisiin
Ihannetapauksessa tietoturvariskien hallinta nivotaan osaksi koko organisaation toimintaa. Aina tarvitaan organisaation johdon sekä muiden sisäisten toimijoiden välinen yhteinen näkemys siitä, mitä tietoturvalla tarkoitetaan ja mitä se kattaa. Tavoitteet selviksi Riskienarvioinnin tulee aina perustua organisaation asettamiin tavoitteisiin. Ydinkysymyksenä on, mitkä ovat organisaation olemassaolon tarkoitukseen ja toiminnan jatkuvuuteen liittyvät tavoitteet ja miten ne muuttuvat, kun toiminnan painopiste muuttuu. Nekään eivät ole pysyviä eivätkä " 36 TieTosuoja 4/2011 Tarvittaessa tietoturvariskeille voi määritellä pääpainopistealueet. t ietot urvan j a t ietosu oja n erikoisl ehti. Joissakin yrityksissä se käsitetään sentään hieman laajemmin, mutta sitä ei varsinaisesti johda kukaan. Oleellinen kysymys on, kehitetäänkö tietyn osa-alueen, kuten IT:n, riskienhallintaa, vai ulotetaanko tietoturvariskien arviointi organisaation kaikille osa-alueille. näin arvioit tietoturvariskit Tietoturvapolitiikan perustana on riskien johdonmukainen analysointi. Teksti: Lassi Väisänen T ietoturvariskien arviointi on osa kokonaisvaltaista riskienhallinnan ja arvioinnin prosessia. Näin se osaltaan parantaa liiketoiminnan kannattavuutta ja jatkuvuutta pitkällä aikavälillä. siten, että se perustuu organisaation virallisiin tai epävirallisiin periaatteisiin. Riskienhallinnan tulisi olla johdonmukaista Organisaatioista vielä suuri joukko kokee tietoturvariskien hallinnan erilliseksi pakkopullaksi, joka vastuutetaan kokonaisuudessaan yhdelle yksikölle tai työntekijälle. Se on kuin hyvän keiton maustamista: siinä tulee olla tarvittavat ainekset oikeassa suhteessa. kenelle tietoturva kuuluu? Tietoturvariskien hallinnassa kuten riskienhallinnassa yleensäkin lähestymistavan on oltava kokonaisvaltainen. Organisaatio on sitoutunut erilaisiin lakeihin, normeihin ja sisäisiin ohjeisiin ja politiikkoihin. Tavoitteiden ja määritysten avulla voidaan arvioida sitä, miten riskit toteutuessaan tulevat vaikuttamaan organisaation toimintaan mahdollisine taloudellisine, toiminnallisine tai muine seurauksineen
Tiedon muulla muodolla tarkoitetaan kaikkea sitä tietoa, jota käsitellään esimerkiksi keskusteluissa ja raporteissa. Tänä vuonna suomennettu standardi SFS-ISO 31000 Riskienhallinta periaatteet ja ohjeet esimerkiksi opastaa riskien arvioinnissa ja raportoinnissa. Erilaiset seurannan ja suunnittelun sovellukset tuottavat sähköisessä muodossa paljon sellaista arkaluonteista tietoa, joka on myös ulkopuolisten ymmärrettävässä muodossa. Viimeksi mainitulla tarkoitetaan esimerkiksi tilan- ti etotu rva n ja t i e tos uoj a n e r i koi s l e ht i 4/2011 TieTosuoja 37. Apuna voi käyttää vaikkapa kaaviota, josta käyvät ilmi organisaation tietojärjestelmien keskinäiset suhteet sekä rajapinnat ulkoisiin tietojärjestelmiin. Sen hallinta ja valvonta on avuksi viitekehys Riskienarviointi on tehokkaampaa, kun riskejä analysoidaan systemaattisesti erilaisten viitekehysten kautta. Tieto voidaan jakaa esimerkiksi kolmeen osa-alueeseen; prosessoinnissa syntyvään tietoon, hiljaiseen tietoon ja muuhun tietoon. Riskienarvioinnin menetelmiä on monia riskeille painopistealueet Tarvittaessa tietoturvariskeille voi määritellä pääpainopistealueet. Toisaalta tietoturvatoimintaa on kehitetty paljolti juuri tämäntyyppisen tiedon suojaamiseksi. Tietojärjestelmät voidaan asettaa tärkeysjärjestykseen esimerkiksi niiden fyysisen sijainnin tai sisällön mukaan tai sen perusteella, mikä merkitys niillä on tietoturvariskien tai toiminnan kannalta. laSSi väiSänen Tietoturvan riskikeskittymiä. välttämättä täydellisesti sidoksissa toiminnan muutoksiin. tietoturvamielessä vaikeaa. Hiljainen tieto on organisaation ja yksilöiden osaamista. Organisaation sisällä on päätettävä, millaisten tietojen tietoturvariskejä ryhdytään arvioimaan. Riskikeskittymiä voi tarkastella myös käyttäjänhallinnan kannalta: Otetaanko riskienarvioinnissa huomioon kaikki organisaation järjestelmät kulunvalvonnasta tuotannollisiin järjestelmiin sekä hallinnon sovelluksista intra- ja ekstranetiin tai asiakkaiden järjestelmiin? eri tietotyypeissä erilaiset riskit Organisaatioissa syntyy erilaista tietoa, jonka suojaamisesta pitää huolehtia. Kansainvälinen standardisoimisjärjestö ISO valmistelee myös riskienhallinnan soveltamisopasta. Useat ohjeet ja standardit kehottavat lähestymään riskejä tavoitteiden näkökulmasta. Tämä asettaa tietoturvalle ja siihen liittyvien riskien tunnustamiselle ja hallinnalle omat vaatimuksensa. Tietoturvariskien arvioinnissa on huomioitava se, miten tietojärjestelmien hallinnointi, toiminnallisuus tai laatu voivat aiheuttaa tietoturvariskejä ja edelleen miten ne voivat vaikuttaa muun muassa organisaation liiketoiminnallisiin tavoitteisiin. netta, jossa tietojärjestelmä ei ole jostakin syystä käytettävissä
Sovittujen pelisääntöjen mukaisesti tehdyistä arvioista voidaan koostaa riskinäkymiä. Riskejä tulisi arvioida säännöllisesti, mutta tarkasteluajankohdat voivat vaihdella toimintokohtaisesti. Toimijoita ovat organisaatio itse sekä sen yhteistyökumppanit ja asiakkaat. " kannalta. Ihannetapauksessa tietoturvariskien hallinta nivotaan osaksi koko organisaation toimintaa. eri tarpeisiin ja tilanteisiin. Tiedonkäsittely kattaa kaikki kolme tiedon lajia. Menetelmiä ja kriteerejä voi tarkastella esimerkiksi säätelyn, tiedonkäsittelyn ja toimijoiden kannalta. Riskienarvioinnin työkalut ja menetelmät tulisi tarjota keskitetysti, mutta ne suunnitellaan ja niistä sovitaan osa-aluekohtaisesti yhdessä. Näin esimerkiksi tietoturvariskejä pystytään arvioimaan ja arvottamaan sekä ohjeiden toteuttamisen että poikkeamien vaikutusten näkökulmista. Tietoturvariskit voidaan määritellä näistä näkökulmista ja näin konkretisoida niitä eri tahojen kuka arvioi ja kuinka usein? Riskienhallintaa pitäisi johtaa prosessina, joka kuuluu organisaatiossa usean eri toimijan vastuulle. Säätely sisältää organisaation toimintaa koskevat lait, ohjeet ja politiikat. 38 TieTosuoja 4/2011 t ietot urvan j a t ietosu oja n erikoisl ehti. kirjoiTTaja laSSi VäiSänen on riskienhallinnan konsultti ja Suomen riskienhallintayhdistyksen toiminnanjohtaja. Näin riskienarvoinnissa huomioidaan eri toimijoiden näkökulmat
Sventon mukaan FiCom oli jo pitkään kantanut huolta siitä, että sähköisen viestinnän kasvaviin haasteisiin haetaan vastauksia tekemällä uutta lainsäädäntöä. 4/2011 TieTosuoja 39. Pykälät uuteen T uskoon ti etotu rva n ja t i e tos uoj a n e r i koi s l e ht i Tietoyhteiskuntakaarihanke parantaa sähköisen viestinnän lainsäädännön laatua. Teksti: Markku Summa Kuvitus: Maija Vuorela eleyritysten edunvalvontajärjestön FiCom ry:n toimitusjohtaja Reijo Svento on tyytyväinen: FiComin ja muiden elinkeinoelämän edunval- vontajärjestöjen ehdottama hanke sähköisen viestinnän laajaksi ja monimutkaiseksi käyneen lainsäädännön kokonaistarkastelusta on käynnissä
"Tämä on liikenne- ja viestintäministeriön historian laajin hanke. Tarkoitus on, että neljän vuoden kuluttua olisi yksi laki ja ehkä vain noin 400 pykälää." kaan turha, mutta useat asiat voidaan sanoa toisinkin ja ehkä siellä on myös poiston paikkoja. Hankkeen vetäjän, viestintäneuvos Sanna Helopuron mukaan kyse on niin mittavasta kokonaisuudesta, että työ saattaa kestää useita vuosia. Ne pitää automaattisesti ottaa huomioon. kiviidakon, josta operaattoreiden pitää olla perillä. "Myös hallinnon kannalta on järkevää, että sääntelyä tarkastellaan perusteellisesti ja muun muassa käsitteiden määritelmät katsotaan uudelleen. Tämä ja kaikki muu hankkeeseen sisältyvä työ edistää lainsäädännön eheyttä." Mikään pykälä ei liene Helopuron mu- "Selvitimme viime keväänä koko sen la- taryhmää ja esiteltiin teemat, joihin kiinnitetään työssä erityisesti huomiota. Varsinainen työ aloitettiin syyskuussa sidosryhmille pidetyllä tilaisuudella. Lopputuloksena oli kahdeksan liuskaa erilaisia lakeja ja määräyksiä." "Se on mittava määrä sääntelyä. · · · · · · · " Tarkoituksena on, että neljän vuoden kuluttua olisi yksi laki ja noin 400 pykälää. 40 TieTosuoja 4/2011 t ietot urvan j a t ietosu oja n erikoisl ehti. EU-direktiivit ja kansainväliset sopimukset vaikuttavat taustalla. Ajankohta käynnistää tällainen hanke on Tietoyhteiskuntakaareen koottavat lait Sähköisen viestinnän tietosuojalaki 516/2004 Viestintämarkkinalaki 393/2003 Laki radiotaajuuksista ja telelaitteista 1015/2001 Laki lapsipornografian levittämisen estotoimista 1068/2006 Laki televisio- ja radiotoiminnasta 744/1998 Verkkotunnuslaki 228/2003 Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista 617/2009 · Laki eräiden suojauksen purkujärjestelmien kieltämisestä 1117/2001 · Laki eräiden radiotaajuuksien huutokaupoista 462/2009 · (Laki tietoyhteiskunnan palvelujen tarjoamisesta 458/2002) laki tietoyhteiskunnan palvelujen tarjoamisesta kuuluu oikeusministeriön valmisteluvastuulle, mutta sen on hallitusohjelmassa sovittu tulevan osaksi tietoyhteiskuntakaarta. Tietoyhteiskuntakaarihankkeen päättymiselle ei ole asetettu ehdotonta takarajaa. "Osa pykälistä siirretään sellaisenaan, mutta todennäköisesti muutoksiakin tapahtuu." Myös käsitteiden määritelmät tullaan käymään tarkasti läpi. Tavoitteena neljäsataa pykälää Liikenne- ja viestintäministeriön hallinnonalaan kuuluvan sähköisen viestinnän säädösviidakon perkaaminen sai alkusysäyksensä keväällä, kun hanke kirjattiin hallitusohjelmaan. " miten." Kokonaisuuden hallinta ei onnistunut enää sen paremmin toimijoilta kuin viranomaisiltakaan. sidosryhmien palautteen perusteella oikea. keskustelut oikeusministeriön kanssa lain siirtämisestä ovat meneillään. Silloin alettiin koota hankkeen seuran- kohti eheämpää säännöstöä Helopuro kertoo, että hankkeen lähtökohtana olivat elinkeinoelämän edustajilta tulleet viestit, joiden mukaan normistoa on liikaa ja se on yhä vaikeammin hallittavissa. Käymme läpi kymmenen lakia ja noin 460 pykälää. Voimassa olevia lakeja ei tulla Helopuron mukaan laittamaan peräkkäin yhden otsikon alle, vaan tarkoitus on luoda rakenteellisesti uusi kokonaisuus ja oma logiikkansa. Johtopäätös oli, että jotakin pitää tehdä pikimKokonaisuuden hallinta ei onnistunut enää sen paremmin toimijoilta kuin viranomaisiltakaan. painopistealueita ja yleishuoltoa Tarkoitus on tehdä viestintälainsäädännöstä harmoninen kokonaisuus
huomattavan markkinavoiman sääntely ja yhteenliittäminen 3. hänen mukaansa parin viime vuosikymmenen aikana sääntelyä on syntynyt nopealla vauhdilla asioista, joita ei ole välttämättä aina riittävästi ymmärretty. "kehitystä ei myöskään ole aina osattu ennakoida oikein. kuluttajansuojaa koskevien säännösten tarkistaminen 6. sähköisen viestinnän ja sähköisten palveluiden tietoturvan ja jatkuvuuden turvaaminen 4. "EU-komissio tulee antamaan ehdotuksen sähköisen allekirjoituksen direktiiviksi mahdollisesti kesäkuussa 2012. Asiassa ei siksi kannata vielä olla kansallisesti aktiivinen." "Avoimuus lähtökohdaksi" kanSalaiSten sähköisiä oikeuksia puolustava yhdistys eFFi ry pitää tietoyhteiskuntakaarta tarpeellisena hankkeena. jotkut lait kaipaavat päivittämistä tai kumoamista kokonaan." Tarvainen korostaa, että hanke pitää viedä läpi avoimuutta ja keskustelua arvostaen. Myös Viestintäviraston juristit antavat vahvan panoksensa. Sidosryhmät mukana talkoissa Hankkeeseen on kutsuttu mukaan sidosryhmiä mahdollisimman laajasti: muun muassa tv- ja radiotoimijat, teleyritykset, työmark- valmista tällä vaalikaudella Teleyritysten edunvalvoja pitää keskeisten sidosryhmien kutsumista mukaan hankkeeseen tervetulleena asiana. "Näin saamme lisää myös osaavia resursseja." Hanke työllistää liikenne- ja viestintäministeriön viestintäpolitiikan osaston lakimiehet päätoimisesti. varapuheenjohtaja Tapani Tarvaisen mukaan nyt oli korkea aika aloittaa hajallaan olevan sähköisen viestinnän lainsäädännön kokoaminen yhdeksi kokonaisuudeksi. viranomaisten avustamisesta aiheutuvat kustannukset 5. Hän pitää sidosryhmien laaja-alaista osallistumista ensiarvoisen tärkeänä, sillä sitä kautta saadaan ajankohtaista tietoa heidän näkökannoistaan ja tarpeistaan. toimilupajärjestelmän uudistaminen 2. yleishuolto: päällekkäisten säännösten poistaminen, sääntelyn vähentäminen ja selkeyttäminen. "Kakkosvaihe eli se, kun työ siirtyy koskemaan myös muita ministeriöitä, jää seuraavalle vaalikaudelle." ti etotu rva n ja t i e tos uoj a n e r i koi s l e ht i 4/2011 TieTosuoja 41. Työ pitää tehdä huolellisesti, vaikka aikataulu venyisi." kinakeskusjärjestöt, kansalaisjärjestöt, Viestintävirasto sekä Kuluttajavirasto. "Se ei tiedä hyvää, jos asia viedään läpi kovalla kiireellä. Tässä vaiheessa siihen ei ole kaavailtu muutoksia. kun lakeja yhdistellään, esimerkiksi jonkin lain substanssi saattaa muuttua. viranomaisverkkojen käyttäjäryhmät 7. Mukana on myös eri ministeriöitä, kuten oikeusministeriö, valtiovarainministeriö, sisäministeriö, työ- ja elinkeinoministeriö, puolustusministeriö sekä opetus- ja kulttuuriministeriö. "Olemme informoineet sidosryhmiä eri tavoin ja pidämme ovet edelleen auki", Sanna Helopuro sanoo. Myös laki vahvasta sähköisestä tunnistamisesta sisältyy hankkeeseen. Painopisteet ovat: 1. Hän arvioi, että ensimmäinen vaihe saadaan vietyä läpi kuluvalla vaalikaudella, kuten suunnitelmiin on kirjattu. "FiCom tulee asettamaan edustajansa hankkeen ohjausryhmään ja työryhmiin", toimitusjohtaja Reijo Svento sanoo
päivänä syntyneiden asiakastiedot." "Kun KanTa eli terveydenhuollon valtakunnallinen tietojärjestelmä on valmis, arkistolaitos voi antaa luvan säilyttää kaikkien potilastietoja pysyvästi pelkästään sähköisinä. Niissä säilytetään myös 8. mikSi Heidän potilaStietonSa Säilytetään SatoJa VuoSia. onko otantaa muuallakin. Valtionhallinnossa asiakirjat siirretään Kansallisarkistoon tai maakunta-arkistoon 40 vuoden kuluttua niiden laatimisesta." "Myös Ruotsissa, Norjassa ja Tanskassa on toimittu näin 1980-luvulta alkaen ja Virossa 2000-luvulta alkaen." 42 TieTosuoja 4/2011 anTero aalTonen aSkarruttaako Jokin henkilötietojen suojaan, yksityisyyteen, viestinnän luottamuksellisuuteen tai tietoturvaan liittyvä asia. päivinä syntyneiden potilasasiakirjat, jotka säilytetään pysyvästi. "Ei voi. "Sitä on tehty myös eläkevakuutuslaitoksissa, vankeinhoidossa, työvoimatoimistoissa ja kuntien sosiaalipalvelujen laitoksissa. Uusin arkistolaitoksen päätös syntymäpäiväotannan käytöstä potilasasiakirjoihin on vuodelta 2009." koSkeeko otanta Vain JulkiSta terVeydenHuoltoa. lähetä kysymyksesi meille, me etsimme sille sopivan vastaajan. Sitä uudempiakin tietoja tutkijat voivat saada, mutta heidän on sitouduttava olemaan käyttämättä niitä asianosaisen tai hänen omaistensa vahingoksi tai halventamiseen." miSSä tietoJa Säilytetään. Julkisuuslain mukaan asiakirjojen yleinen salassapitoaika on 25 vuotta, arkaluonteisissa tiedoissa pidempi. päivänä ja siitä varsin onnellinen, koska meidän otannassa mukana olevien tietojen perusteella tutkijat päättelevät, miten muina päivinä syntyneet keskimäärin ovat eläneet." poiStetaanko aSiakirJoiSta Henkilötiedot. "Ei poisteta, eikä asiakirjoja anonymisoida. kysymyksiä voi lähettää osoitteeseen info@tietosuoja-lehti.fi t ietot urvan j a t ietosu oja n erikoisl ehti. miten on? 4/2011 Säilytetäänkö potilastietoni pysyvästi? Keskeisimmät potilasasiakirjat säilytetään 12 vuotta potilaan kuolemasta tai 120 vuotta potilaan syntymästä. Poikkeuksia ovat kuukauden 18. Tiedot eivät leviä arkistosta, mutta 18. tai 28. "Otantaa noudatetaan kunnallisessa ja yksityisessä sekä vankeinhoidon terveydenhuollossa." miten kanta Vaikuttaa otantaan. ja 28. Heistä saadaan yksityiskohtaista tietoa kätilön pöydältä aina patologin pöydälle asti." miHin lakiin otanta peruStuu. "Arkistolaki antaa arkistolaitokselle toimivallan päättää siitä, mitkä tiedot säilytetään pysyvästi tutkimusta ja muita tiedontarpeita varten. "Esimerkiksi terveyskeskuksesta ne siirretään aikanaan kunnan keskusarkistoon. päivänä syntyneellä ei ole oikeutta tulla unohdetuksi." "Olen itse syntynyt 18. Silloin syntymäpäiväotannasta todennäköisesti luovutaan." Voiko otannaSta pääStä poiS. "Satunnaisotanta olisi ollut liian työläs. Niin valittiin tietyt kuukauden päivät, joina syntyneiden tiedot säilytetään pysyvästi. "1960-luvun lopulla pohdittiin, miten turvataan tutkijoiden tarve saada viranomaisarkistoista yksilötason tietoa, kun kaikkia viranomaisten asiakastietoja ei kustannussyistä voi säilyttää", kertoo ylitarkastaja Markku Leppänen Kansallisarkistosta
Kolmivuotias tyttäreni osaa itsenäisesti siirtyä Barbiesta H.C. Pelikonsolei- Ongelmat juontuvat siitä, että kuluttajan hankkimien tiedostojen käyttöoikeuksia rajataan erilaisilla teknisillä välineillä. Ne ovat omiaan vähentämään halua käydä verkkokauppaa. " Vertaisverkon tuotteiden käyttö on helpompaa kuin rehellisesti hankitun aineiston. den, sähkökirjalukijoiden ja sormitietokoneiden valmistajat haluavat näemmä kidnapata kuluttajan omakseen. Kuinka kauan me siedämme holhoamista ja nirppanokkaisuutta? Kimmo Tuominen on Jyväskylän yliopiston kirjaston johtaja. ti etotu rva n ja t i e tos uoj a n e r i koi s l e ht i 4/2011 TieTosuoja 43. Yksikään iHelpoista laitteista ei tarjoa kunnollisia mahdollisuuksia mediatiedostojen lainaamiseen, jälleenmyyntiin tai varmuuskopiointiin. Vietettyään unettoman yön koti-isä ryhdistäytyi: hän otti ruuvimeisselin pesuaineihottuman punastuttamaan käteensä ja irrotti tiskikoneen tekoälymoduulin. Käyttökokemus on toki mukava; sovellukset avautuvat ja sulkeutuvat klikkauksella tai sormenpainalluksella. Angry Birds on ostettava uudelleen, jos haluaa kurittaa sikoja sekä Applen että Nintendon tarjoamissa toimintaympäristöissä. Andersenin satujen pariin ja näpsäyttää sähkökirjan sivuja kääntävän automaattilukijan Kaiken käyttäjäystävällisyyden keskellä en voi välttyä holhotuksi tulemisen tunteelta. Niinpä piratismin kiusaus kasvaa: vertaisverkoista löytyvät tuotteet eivät ole enää lukittuja, joten niiden käyttö on helpompaa kuin rehellisesti hankitun aineiston. Kahvikuppeihin ja ruokalautasiin pinttynyt lika irtosi yhdellä pesukerralla. Helppouden julkisivun takana on meiltä kuluttajilta lu- kittu maailma. Toimenpiteen aikana tiskikone siteerasi toistuvasti pesijänoikeuksia käsittelevää lakia, joka kielsi tekemästä muutoksia kodinkoneen konepellin alle, mutta lopulta se vaikeni. Ne tavoittelevat kokonaisvaltaista sisältöteollisuuden monopolia, joka iHelppouteen vedoten estää kalliiden härpättimien monipuolisen käytön. Samalla kun nämä niin sanotut kopiosuojaukset tukevat laitevalmistajien pyrkimyksiä mediamaailman yksinvaltiuteen, ne estävät tiedostojen mielekkään käytön. kolumni 4/2011 Kimmo Tuominen Nirso tiskikone ja muita sähköisen maailman ihmeitä O päälle. lipa kerran nirppanokkainen tiskikone. Viimeksi mainittu oli nöyränpuoleinen heppu: hän tiskasi kahvikupit käsin ja tiskaisi varmaan vielä tänäkin päivänä, ellei tiskikone olisi asettanut uusia ehtoja: "Minä pesen vain teevateja, en ruokalautasia." Nykyään meidän iHelpot laitteemme toimivat nirson tiskikoneen logiikalla. "Minä suosin lautasia ja vierastan kahvikuppeja", kone julisti kiireiselle koti-isälle. Siitä päivästä alkaen digitaalinen tiskimasiina toimi mukisematta siinä tehtävässä, johon se oli alun perin rekrytoitu. Viime aikojen tutkimustulosten mukaan kopiosuojaukset lisäävät piratismia ja haittaavat viatonta kuluttajaa enemmän kuin rikollista. Akateemisesta kirjakaupasta hankittu sähkökirja ei avaudu Amazonin Kindle-lukijalla, eikä Sonyn pelejä ei voi pelata Microsoftin konsolilla. Se katsoi voivansa valita ne astiat, jotka ylipäätään suostui pesemään
Niiden on kuitenkin noudatettava tiettyjä vähimmäisvaatimuksia matkustajien yksityisyyden suojaamiseksi. Yhteisten ratkaisujen ohjaus -yksikölle kuuluvat yhteisten ratkaisujen elinkaaren ohjaus ja hallinta. Strateginen ohjaus -yksikkö vastaa strategisista tavoitteista, rakenteellisesta oh- 44 TieTosuoja 4/2011 t ietot urvan j a t ietosu oja n erikoisl ehti. Elintarviketurvallisuusvirasto Evira antoi maahantuoja Kespro Oy:lle määräyksen selvittää muut oliivien ostajat ja ottaa heihin yhteyttä. Matkustajilla on myös oikeus kieltäytyä skannerilla tehtävästä tarkastuksesta. Ennakkoratkaisun mukaan määräys rikkoi sähköisestä kaupankäynnistä annettua direktiiviä ja perusoikeuksia, kuten henkilötietojen suojaa. Musiikkiyhtiöiden kattojärjestö Musiikkituottajat jätti marraskuussa Helsingin ja Vantaan käräjäoikeuksiin hakemukset, joilla se pyytää, että käräjäoikeudet määräävät Soneran ja DNA:n estämään asiakkaidensa pääsyn Pirate Bay -vertaisverkkopalveluun. Säilykettä oli myyty kolmessa K-ruokakaupassa yhteensä noin 160 kappaletta. Ennakkoratkaisun vaikutukset Suomessa jäävät nähtäviksi tuomioistuimissa. Valtion IT-toiminnan johtamisyksikkö ValtIT:n, KuntaIT:n ja Turvallisuusverkkoyksikkö TUVEn tilalle perustettiin kolme uutta yksikköä. Toinen heistä menehtyi. Hermomyrkky botuliinia sisältänyt säilyke johti Helsingissä kahden henkilön sairastumiseen. Vaatimukset ja suositukset -yksikkö vastaa julkisen hallinnon kokonaisarkkitehtuuriin, perustietovarantoihin ja valtionhallinnon tietoturvallisuuteen liittyvistä asioista. Kespro haki tarvittavat tiedot manuaalisesti kanta-asiakasjärjestelmästä erillisestä ostotapahtumajärjestelmästä saadun numeron avulla. Suomessa skannereita on kokeiltu Helsinki-Vantaan lentokentällä. Euroopan komissio ehdottaa EU-tason lainsäädäntöä lentokenttien turvatarkastuksissa käytettäville henkilöskannereille. Elisa on valittanut päätöksestä hovioikeuteen. Tähän mennessä henkilöskannerien käyttöön on sovellettu kansallisia säännöksiä. Lyhyesti 4/2011 Myrkkyoliivien ostajat jäljitettiin asiakasrekistereistä Myrkyllinen oliivisäilyke aiheutti poikkeuksellisen tilanteen lokakuussa, kun samaa säilykettä ostaneiden henkilötiedot piti selvittää kaupan asiakasrekistereistä. EU-tuomioistuin: Suodatus ei saa rikkoa perusoikeuksia EU:n tuomioistuimen ennakkoratkaisun mukaan kansallisen tuomioistuimen määräys, jolla teleoperaattori velvoitetaan suodattamaan nettiliikennettä laittoman lataamisen estämiseksi, on unionin oikeuden vastainen. Komissio ehdottaa sääntelyä henkilöskannereista JulkICT:n organisaatio uusiksi Valtiovarainministeriön julkisen hallinnon ICT-toiminto organisoitiin uudelleen marraskuun alussa. Skannattu kuva ei saa esimerkiksi olla yhdistettävissä tarkastettavaan henkilöön, eikä kuvia saa säilyttää, kopioida, tulostaa tai palauttaa käyttöön. Komission ehdotuksen mukaan jäsenmaat saavat halutessaan käyttää skannereita. Määräyksiä säätelevissä kansallisissa laeissa on kuitenkin huomioitava unionin lainsäädännöstä johtuvat rajoitukset. Ennakkoratkaisussa todettiin, että tekijänoikeuksien edustajat voivat hakea tuomioistuimelta määräystä teleoperaattoria vastaan, kun tekijänoikeuksien loukkaamiseen käytetään operaattorin palveluita. Belgialainen tuomioistuin oli määrännyt teleoperaattorin estämään laittoman latauksen kaikkea sen asiakkaiden nettiliikennettä seuraavalla pysyvällä suodatusjärjestelmällä. Kanta-asiakas- ja ostotapahtumajärjestelmien tietojen yhdistely oli epätavallista mutta lainmukaista: henkilötietolain pykälän 8 mukaan henkilötietoja saa käsitellä, jos se on yksittäistapauksessa tarpeen rekisteröidyn elintärkeän edun suojaamiseksi. Aiemmin lokakuussa Helsingin käräjäoikeus velvoitti Elisaa estämään asiakkailtaan pääsyn Pirate Bay -palveluun. Skannereita on arvosteltu niiden mahdollisista vaikutuksista terveyteen ja yksityisyydensuojaan. Henkilöskannerit paljastavat sellaiset vaatteiden alle piilotetut esineet, jotka eivät näy metallinpaljastimissa. "Jopa arkaluonteisia tietoja saa silloin käsitellä", tietosuojavaltuutettu Reijo Aarnio sanoo. "Kanta-asiakastietojen käyttö tällaisiin tarkoituksiin täytyy kuitenkin pitää poikkeustapauksena." jauksesta ja arvioinnista
Kokeilu alkoi marraskuussa ja kestää helmikuun puoliväliin 2012 asti. Tutustu verkkolehteen! www.tietosuoja-lehti.fi Varmennettu laiteidentiteetti parantaa tietoturvaa Tietoverkkojen tarkoituksena on tarjota palveluja ajasta ja paikasta riippumatta kaikille halukkaille. Kuopion kokeiluyksiköissä arkistoon tallennetaan ensimmäisessä vaiheessa potilaan henkilötietojen lisäksi potilaskertomusteksti ja diagnoosit, hoitotyön yhteenveto, laboratoriotutkimukset, kuvantamistutkimusten pyynnöt ja lausunnot sekä riski- ja lääkitystiedot. Julkisen terveydenhuollon yksiköiden pitää ottaa arkisto käyttöönsä viimeistään syyskuussa 2014 ja yksityisen terveydenhuollon vuotta myöhemmin. Varmennetuista laiteidentiteeteistä olisi hyötyä erityisesti maksutapahtumissa. marraskuuta. Valtakunnallinen potilastietoarkisto otetaan käyttöön vaiheittain. Tätä kuvitteellista tilannetta harjoiteltiin USA:n ja EU:n viranomaisten yhteisessä tietoturvaharjoituksessa Brysselissä marraskuun alussa. Cyber Atlantic 2011 -harjoitukseen osal- cability of Host Identities in Securing Network Attachment and Ensuring Service Ac- ti etotu rva n ja t i e tos uoj a n e r i koi s l e ht i jean hin/corBiS/Skoy listui 16 EU-maata. Lisäksi muutama jäsenmaa oli mukana tarkkailijoina. Tietoturvaviranomaiset ovat päässeet ryhmän jäljille ja seuraavat sen tekemisiä. Jotta tämä onnistuisi joustavasti, verkot voivat joutua muodostamaan dynaamisesti linkittyviä verkkorakenteita. Seppo Heikkisen väitöstutkimus Appli- EU ja USA yhteisharjoituksessa Hakkeriryhmä tekee kohdennetun pitkäaikaisen hyökkäyksen EU-maan tietoturvaviranomaisen tietojärjestelmään. Niillä osapuolten osallistuminen voidaan todentaa kiistattomasti. Ryhmän tähtäimessä olevat tiedot koskevat useita EU-maita, ja USA:ssa pelätään, että hyökkäys saattaa kohdistua Atlantin toisellekin rannalle. Valtakunnalliset käytännöt ja julkisen terveydenhuollon yksiköiden liittymisaikataulut täsmennetään Kuopion kokemusten perusteella. Dynaamisuuden varjopuolena on, että osapuolten identiteeteistä ei välttämättä voida olla varmoja. si varmennettuja laiteidentiteettejä. Kun käyttäjä esimerkiksi maksaa satunnaisen langattoman lähiverkon käytöstä, hän voisi varmistua siitä, että laskutus perustuu ainoastaan tapahtuneeseen käyttöön. Potilastietoarkisto kokeilussa Kuopiossa Valtakunnallinen sähköinen potilastietoarkisto on edennyt kokeiluvaiheeseen Kuopiossa. 4/2011 TieTosuoja 45. Tutkija Seppo Heikkinen ehdottaa tietoliikennetekniikan väitöskirjassaan ratkaisukrapiScan SySTemS countability (Laiteidentiteettien soveltuvuus verkkoon liittymisen turvaamiseen ja palvelun vastuullisuuden varmistamiseen) tarkastettiin Tampereen teknillisen yliopiston tieto- ja sähkötekniikan tiedekunnassa 25. Kyseessä oli ensimmäinen kerta, kun USA ja EU-maat harjoittelivat yhdessä kriittisen infrastruktuuriin kohdistuvan tietoturvahyökkäyksen varalta. Tarkoituksena on varastaa sieltä salaista tietoa ja julkaista se netissä. Laiteidentiteettien avulla osapuolet ovat paremmin suojattuja väärinkäytöksiltä, kuten palvelun käytön kiistämiseltä tai palvelun ennenaikaiselta päättämiseltä
25 älyä sähköverkkoihin marjo rautvuori ............................. 31 Työelämän tietosuoja Työpaikoilla parannettavaa terveystietojen käsittelyssä mia murtomäki ja heikki huhtiniemi .................................... 20 yksityisyys pakkokeino loukkaa aina yksityisyyttä marjo rautvuori ............................... 31 Tietoturva Teleasiakkaalle enemmän tietoa kirsi miettinen ............................... 32 Henkilörekisterit Sosiaalihuollon tietosuojassa edistystä mari pietiäinen .............................. 41 miten on? käyttääkö naapuri Wlanverkkoani. 20 Profiili: reTki reTki luotsaa tutkijoita rekisterimaailmassa ........................ 4 eri mieltä evästeistä eija Warma ...................................... 34 sähköinen tunnistaminen laki avasi tietä uusille palveluille kirsi miettinen ............................... 28 Henkilötiedot identiteettiohjelma valmistui, työ jatkuu päivi männikkö .............................. 4 kolumni pullean kirjekuoren arvoitus harri Saukkomaa ........................... 43 kolumni nettivoimaa vai -vainoa. 28 Sähköistyvä asianhallinta haastaa organisaatiot markku Summa ............................. 38 Työelämän tietosuoja Tutkassa työpaikalla kirsi castrén .................................. .................................. 26 perustaso jokaiselle marjo rautvuori ............................. 36 Tietokone kortissa marjo rautvuori ............................. 12 kortin suojaksi jani kallio ...................................... Tuomo Tuikka ................................ 14 Tehokas mutta raskas standardi niki klaus ja pekka viitasalo .......... 36 Profiili: Tietoturva ry verkostoitujan keidas juha-matti laurio ........................... 45 lyhyesti ........................................ 14 julkiset tietoaineistot auki tietosuojasta tinkimättä kirsi castrén .................................. 32 lainsäädäntö vaikea sähköisen viestinnän tietosuojalaki Sanna helopuro ............................. Saara Taalas ................................... 17 Tietosuoja 3/2011 Pääkirjoitus miten voin vapautua tietosuojasta. 21 ei aivan tavallinen tietomurto antti kiuru ..................................... 18 myyjä ei näe kortin tietoja jari Törmälä ................................... 8 lapset ja nuoret netin riskit eivät hetkauta päivi männikkö .............................. 3 yksityisyys Syynissä netissä kirsi castrén .................................... 44 lyhyesti ...................................... 46 Teema: lähilukuteknologia nFc:n käyttöönotto edistyy rainer Salonen .............................. 10 vain hipaisu riittää. Tietosuojan hakemisto 2011 Tietosuoja 1/2011 Pääkirjoitus anonymisoinnin vaikea taito reijo aarnio ..................................... 4 Teema: Tietoturvastandardit Selkoa standardiviidakkoon päivi männikkö .............................. 22 viranomaisille oma turvallisuusverkko esko vainio .................................... 3 Tietosuoja 2/2011 Pääkirjoitus your personal data has been stolen Timo lehtimäki ................................ 32 Profiili: Perustietovarantojaosto perusrekistereillä tehokkuutta ja tietosuojaa hannu luntiala .............................. 10 ylimmän johdon asiaksi päivi männikkö .............................. ..................................... reijo aarnio ..................................... 28 lukuvinkki ..................................... 40 uudistuva henkilötietodirektiivi komissio haluaa kokonaisvaltaista tietosuojaa anu Talus ....................................... 15 Tarhapäivä alkaa tunnisteesta outi rouru-kuivala, pekka nivala, kari kivistö ja Sivi holtinkoski ........ 22 Teema: Tietojohtaminen Bisneksen kovaa ydintä markku Summa ............................. 44 yksityisyys virtuaalikaupungissakin on oikeus yksityisyyteen kirsi castrén .................................... 18 avoin tieto taipuu liikeideaksi kirsi castrén .................................. 3 Tietoturva virastot pitkällä tietoturva-asetuksen soveltamisessa kirsi castrén .................................. 36 46 TieTosuoja 4/2011 t ietot urvan j a t ietosu oja n erikoisl ehti. 26 Tilannekuva osaksi tietojohtamista pertti hölttä ................................... 45 miten on? Tallennetaanko suomalaiset verkkosivut. 31 älykkäät verkot koko koti netissä marjo rautvuori ............................
30 ti etotu rva n ja t i e tos uoj a n e r i koi s l e ht i 4/2011 TieTosuoja 47. ... kirsi castrén .................................. 8 Tiedot turvassa? Palveluntarjoaja vastaa tiedoista on osa liiketoimintaa Tiedot turvassa? Palveluntarjoaja vastaa tiedoista ÄlykkÄÄt sÄhköverkot katukuvapalvelut rekisteritutkimus työelÄmÄ eu Pakkokeinolaki ToimikorTiT Wlan Turvallisuusverkko JulkiseT TieToaineisToT SoSiaalinen media TerveydenhuolTo TieToyhTeiSkunTakaari varjo-iT verkkokaupaT Tietohallinto julkinen tietohallinto yhtenäistyy markku Summa ............................. 44 kolumni johto näyttää tietä Timo laitinen ................................. 10 kauppias vastaa verkkokaupan turvallisuudesta marjo rautvuori ............................. 40 uusi laki vahvistaa oikeushallinnon tietosuojaa markku Summa ............................. 12 raportointi auttaa noudattamaan lakia jaakko hamunen ........................... 45 lyhyesti ...................................... 46 rekisteritietojen tarkastus etanapostin varassa marianne Saine ............................. 43 lyhyesti ...................................... 16 Tietoturva Tietoturvaloukkausten raportointi: Surffaajan suojaksi juhani eronen ................................ 33 näin arvioit tietoturvariskit lassi väisänen ............................... 22 palveluntuottaja puun ja kuoren välissä kirsi castrén .................................. 39 Henkilörekisterit Terveydenhuollon hankintaketju haastaa tietosuojan kirsi castrén .................................. ...................................... 6 Profiili: Patentti- ja rekisterihallitus näköalapaikalla päivi männikkö .............................. 26 Teema: Palveluntarjoajan velvollisuudet uusyrittäjää ei neuvota tietosuojasta marianne Saine ............................... 3 Työelämän tietosuoja Työntekijä tietoturvan heikoin lenkki. 36 Tietoyhteiskuntakaari: pykälät uuteen uskoon markku Summa ............................. 14/11 tietoturvan ja tietosuojan erikoislehti 1/2011 | 14 e TieToTurvan Ja TieTosuoJan erikoislehTi 2/2011 | 14 e TieToTurvan ja TieToSuojan erikoiSlehTi 4/2011 | 14 e Hipaisun voimalla NFC tulossa s. 42 kolumni nirso tiskikone ja muita sähköisen maailman ihmeitä kimmo Tuominen .......................... 46 Tietosuoja 4/2011 Pääkirjoitus Tilauksessa tietoturvallinen arki asta Sihvonen-punkka ..................... 8 Tietojohtaminen s. 25 miten on? Säilytetäänkö potilastietoni pysyvästi. 42 miten on? mitä hotelli tietää asiakkaistaan. 44 Tietosuojan hakemisto 2011 .........