Tietosuoja 4/2012 - Lehtiluukku.fi

Haluatko ostaa tämän lehden?

Vaikuttaako lehti kiinnostavalta? Voit lukea koko lehden valitsemalla "Lisää ostoskoriin". Mukavia lukuhetkiä!

Olet esikatselutilassa. Lue koko lehti

tietoturvan ja tietosuojan erikoislehti 4/2012 | 15 ? HALLITSE RISKIT Näin suojaat tietosi ja varaudut ongelmiin fiksusti Sähköposti \ Tietosuoja-asetus \ Suoramarkkinointi \ BYOD \ Biopankit
22 ja 32 32 Mistä sähköpostille toimiva salausmenetelmä? Työelämä 37 Tietosuojavaltuutetun toimisto 25 vuotta 38 Biopankkilain tulkinnanvaraisuus heikentää tietosuojaa 41 Tuleva biopankki testaa jo suostumuslomakkeita 42 Miten on? 43 Lyhyesti Tutustu 46 Vuosihakemisto 2012 verkkolehteen! Kannen kuva: Eric Leraillez 2?TIETOSUOJA 4/2012 www.tietosuoja-lehti.fi Biopankkitoiminta edellyttää kokonaisvaltaista tietosuojaa. s. Schmidt: ?Haavoittuvuustestaus on kaikkien velvollisuus? Teema: Riskienhallinta 6 Riskillä vaan? 8 Hataran tietoturvan kavalat seuraukset 12 Viisas varautuu verkkohyökkäykseen . 34 Onko tietokoneeni bottiverkossa? Kolumni 31 Kohdennettu mainonta . hyödyksi vai haitaksi? s. Sisällys 4/2012 3 Pääkirjoitus 4 Howard A. 38 tekes, markus sommers 34 Sähköinen suoramarkkinointi työpaikalla on taitolaji 36 Markkinoijien laintuntemus on usein heikkoa. 42 Maija Nyman 14 Tietosuojan laiminlyönti voi käydä kalliiksi 17 Tietoturvaloukkaus on riski myös maineelle 18 Varaudu riskeihin 21 Oma laite ei käy kaikkeen Miten salaat sähköpostiviestisi? s. ja pyytää apua ajoissa Gallup Työsähköpostiin ei saa lähettää mitä tahansa mainontaa. 22 Ammattilainen suojaa viestinsä Profiili 24 Suomen Internet-yhdistys: Toimivan internetin puolesta 27 Tietosuoja-lehti uudistuu Uudistuva tietosuojalainsäädäntö 28 Yhteisille säännöille kyllä, byrokratialle ei s
Tilaaja voi kieltää tietojensa käytön markkinointitarkoituksiin ja markkinatutkimuksiin ilmoittamalla asiasta tilaajapalveluun. 4/2012 TIETOSUOJA. Osoitetietoja käytetään ainoastaan Stellatum Oy:n omassa toiminnassa. Lehti ilmestyy neljästi vuodessa. Seuraava numero ilmestyy 11.3.2013. Hiekka valuu tiimalasissa V uoden päästä valtion viranomaisten tietoturvallisuuden on oltava selvästi yhtenäisempää kuin nyt. Valtionhallintoa koskevan tietoturvallisuusasetuksen voimaantulon siirtymäaika päättyy 1. Silti vieläkään kaikki valtion virastot tai laitokset eivät ole sisäistäneet asetuksen velvoittavuutta, saati tehneet päätöksiä asiakirjojen luokittelusta. On kuitenkin huomioitava, että tietoturvallisuuden perustaso on saavutettava siirtymäajan puitteissa, onpa virastossa tehty luokittelupäätös tai ei. Asetuksessa säädettyjen suojaustasojen tarkoitushan on toteuttaa tarvittavat suojaustoimenpiteet siitä riippumatta, onko tieto alun perin turvallisuusluokiteltua tai muuten salassa pidettävää. Asetuksessa määritellyn tietoturvallisuuden perustason saavuttaminen mahdollistaisi sen, että suojaustason IV asiakirjoja käsitellään ja suojataan koko valtionhallinnossa samalla tavalla. | Lauri Karppinen, IT-erityisasiantuntija?|?Viestintävirasto: Ari-Matti Husa, tietoturva-asiantuntija. |?ISSN 0786-5767 PAINOPAIKKA Hämeen Kirjapaino Oy Sähköinen lehti www.tietosuoja-lehti.fi ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i Asiakasrekisteri Rekisterikuvaus ja -seloste ovat nähtävissä Stellatum Oy:n tiloissa Purotie 1 B, 00380 Helsinki. 4/2012 kaapo kamu Pääkirjoitus tietoturvan ja tietosuojan erikoislehti JOULUKUU 2012 Julkaisijat Patentti- ja rekisterihallitus tietosuojavaltuutetun toimisto tietosuojalautakunta Viestintävirasto Päätoimittaja Hanna Tamminen, Viestintävirasto hanna.tamminen@ficora.fi Toimituspäällikkö Eija Kara, tietosuojavaltuutetun toimisto eija.kara@om.fi Toimitussihteeri Päivi Männikkö, Stellatum Oy paivi.mannikko@stellatum.fi ulkoasu Tarja Salonen, Sininen Arkki Oy tarja.salonen@sininenarkki.fi Toimitusneuvosto Reijo Aarnio, tietosuojavaltuutettu, pj.. |?Ahti Saarenpää, professori, Lapin yliopisto. erittäin salainen asiakirja. |?Anna Lauttamus-Kauppila, viestintäjohtaja, PRH. Tämä tiimalasi kun ei ole käännettävissä lisäajan toivossa... Rauli Paananen Viestintäviraston NCSA-FI-yksikön päällikkö 24. Tällöin asiakirjaa lähettävän tahon ei tarvitsisi kohdentaa erityisiä toimenpiteitä asiakirjan vastaanottajaan sen tietoturvallisuuden tason toteamiseksi. Yhtenä tietoturvallisuusasetuksen tarkoituksena on viedä Suomea kohti kansainvälistä yhteensopivuutta. |?Eija Kara, ylitarkastaja, tietosuojavaltuutetun toimisto. Niin kauan kuin valtionhallinnon viranomaiset eivät osaa luokitella tietojaan yhteismitallisesti, tulemme tekemään yli- ja aliluokittelua. Yliluokittelu johtaa pahimmillaan liiallisiin ja turhiin tila- ja turvallisuusinvestointeihin, aliluokittelu salassa pidettävien tietojen vuotamiseen julkisuuteen. Tämä on se todellisuus, jonka Viestintäviraston NCSA-FI-yksikkö kohtaa joka päivä muiden tarkastusmandaatin omaavien viranomaisten ohella. Tuntuu siltä, että luokittelupäätöksen lykkäämisellä yritetään saada lisäaikaa tietoturvallisuuden korotetun tason saavuttamiselle. Vierailuni komissioon vuonna 2007 vahvisti käsityksiäni, että meidän järjestelmässämme on jotain vialla. Stellatum Oy: Päivi Männikkö, toimitussihteeri KUSTANTAJA Stellatum Oy, Purotie 1 B, 00380 Helsinki Tilaukset ja osoitteenmuutokset Osoitteenmuutosta tehdessäsi muista ilmoittaa lehden nimi. Tilaajapalvelu/Tietosuoja,PL 115, 30101 Forssa Puhelin 03 4246 5301, Faksi 03 4246 5341 tilaajapalvelu@stellatum.fi www.stellatum.fi Ilmoitusmarkkinointi ja -varaukset DS & M Marketing Oy, Deeli Kentala deeli.kentala@dsm.fi, puh. lokakuuta 2013. aivan oikein: yksi . Jos laskutusjakso tai maksueriä on maksettu ennen irtisanomisen voimaantuloa, tilaus päätetään maksetun jakson loppuun. | Tietosuojavaltuutetun toimisto: Eija Kara, ylitarkastaja. |?Jukka Ihanus, toimitusjohtaja, Stellatum Oy. |?Nora Elers, viestintäjohtaja, FiCom ry | Anu Talus, EU-asiantuntija, tietosuojalautakunta. Tuolloin komissiossa oli tuotettu yksi . Olisiko kuitenkin jo aika saada yhteiset asiakirjojen luokitteluperusteet koko valtionhallintoon ja sitä kautta myös valtiolle palveluita tuottaville yritykselle. |?Hanna Tamminen, viestintäjohtaja, Viestintävirasto Toimituskunta PRH: Olli Ilmarinen, viestintäasiantuntija. |. Tilaajan tietoja käytetään asiakassuhteen ylläpitoon ja hoitoon. Kestotilauksen voi irtisanoa ennen uuden tilausjakson alkua. 3. Olisiko meillä jotain oppimista tiedon luokittelusta ja suojaamisesta Brysselin suunnasta? Olen itse työskennellyt valtion palveluksessa sotilas- ja siviilitehtävissä kohta 25 vuotta ja nähnyt satoja salaiseksi tai erittäin salaiseksi luokiteltuja dokumentteja. osoitteeseen tai henkilökohtaisesti rekisterinpitäjän luona. Kestotilauksena tilattu lehti toimitetaan tilaajalle tilausjakso kerrallaan ilman eri uudistusta, kunnes tilaaja joko muuttaa sen määräaikaiseksi tai irtisanoo tilauksen. Tilauksen hinta on tilausjakson alussa voimassa oleva hinta, joka on painettu lehteen. Uskallan väittää, että nyt, talouskriisin jälkeen tai seurauksena sellaisia ei edelleenkään ole kuin satakunta. Olemme siis perusasioiden äärellä. Jos tilaaja irtisanoo kestotilauksensa tilausjakson alkamisen jälkeen, on hän velvollinen maksamaan irtisanomisen voimaantuloon saakka lähetetyt lehdet. |?Eeva Lantto, lakimies?|?Hanna Tamminen, viestintäjohtaja?|? Elina Koskipahta, tiedottaja. vuosikerta. |?Timo Lehtimäki, johtaja, Viestintävirasto. Yhteydenotot tulee tehdä kirjallisina ja alle kirjoitettuina em. 0440 235 939 TILAUSHINNAT SUOMESSA 2012 Kestotilaus 54,50 euroa (laskutusväli 12 kuukautta). Määräaikaistilaus 57,77 euroa (kesto 12 kuukautta). Irtonumero 15 euroa. Hinnat ovat voimassa vuonna 2012 Suomeen tehtyihin tilauksiin. |?Eila Ratasvuori, hallintojohtaja, Helsingin kaupunki
?Haavoittuvuustestaus on kaikkien velvollisuus? 4?TIETOSUOJA 4/2012 t ietot urvan j a t ietosuoj an erikoisl ehti
Tietoturva-asiantuntija Howard A. Seminaariin osallistui yli 100 tietoturva-ammattilaista. ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i ? Vahvasti salatut tiedot ovat verkkorikolliselle käyttökelvottomia. 4/2012 TIETOSUOJA. Hän jättäytyi pois Valkoisen talon Salaa tieto varkaalle kelvottomaksi tietoturvaneuvonantajan tehtävästä toukokuussa ?Vanhalla hakkeri 1.01 -kaudella pyrittiin pääse- 2012. Ja viiden tai kymmenen vuoden kuluttua, kun tietokonekapasiteetin ?Yli neljä viidennestä tietoturvasta on kiinni hyvästä jatkuva tehostuminen tämän ehkä mahdollistaisi, hygieniasta?, Schmidt huomauttaa. Tällä hän tar- varastetulla tiedolla ei enää todennäköisesti ole sen koittaa tietoturvakäytäntöjä ja niiden noudatta- alkuperäistä arvoa. Nyt ministeritkin ranomaisia ja eri tahojen yhteistyötä. ovat kiinnostuneita tietoturvasta, sillä se Schmidtin mukaan tietoturva-asioissa on aina vaikuttaa nyky-yhteiskunnan toimintakykyyn; sii- tehty yhteistyötä: Jo silloin, kun Sunin ja Oraclen hen, että saamme sähköä ja rahaa seinästä sekä sekä Microsoftin keskinäinen julkinen esiintymi- vettä hanasta. nen muistutti amerikkalaistyylistä televisiopainia, Tietoturvauhkiin voi ja pitää varautua jo etukäteen. josta kukaan ei ollut kuullutkaan ? Jos hyökkääjä pääsee varotoimista huolimatta oli löydetty merkittävä tietoverkkojen toimintaan sisään, pitää varmistaa, että se tieto, johon hän vaikuttanut haavoittuvuus. Toisaalta Schmidt Kybertsaari-lisänimen saanut Schmidt on Microsoftin ja eBayn entinen tietoturvajohtaja, ja hän on toiminut USA:n presidenttien Bill Clintonin, Geor- näkee, että niin sanotuissa edistyneissä uhissa on kyse vanhoista asioista. Tähän myös ollut oululaisen tietoturvayrityksen Code- päästään vahvalla salauksella, joka tarkoittaa käy- nomiconin hallituksessa. tännössä, ettei salausta pystytä purkamaan edes Noudata hyviä käytäntöjä tehokkaimmilla tietokoneilla. 5. Schmidtin kulissien takana yhtiöt toimivat yhdessä tietoturvaasioissa. mielestä haavoittuvuustestaus on kaikkien velvol- Yhteistyön tarpeellisuus on korostunut kaiken lisuus. \ mista. USA:n presidenttien tietoturvaneuvonantajana toiminut Howard A. Hän muistuttaa, että on huomattavasti hal- aikaa, kun rikollisilla on käytössään entistä tehok- vempaa toimia etukäteen kuin koettaa minimoida kaampia välineitä. Vain käsitteet ovat uusia. vonantajana. Lagus | Kuva: Antti Aimo-Koivisto, Lehtikuva K ymmenen vuotta sitten tuskin yksikään Jäljelle jäävän viidenneksen selättämiseen tarvi- pääministeri olisi edes tiennyt, mitä ovat taan muun muassa CERT-FI:n kaltaisia tietoturvavi- niin sanotut bottiverkot. Esimerkiksi haittaohjelmia voi vahinkoja jälkikäteen. ostaa jopa verkkokaupasta. Schmidt. Teksti: Antti J. Sittemmin Schmidt on pääsee käsiksi, on hänelle käyttökelvotonta. Schmidt osallistui Viestintäviraston ja Huoltovarmuuskeskuksen järjestämään seminaariin Helsingissä lokakuun lopussa. Nyt käytetään kehittyneitä liitetiedostoja, tämään seminaariin. palvelunestohyökkäyksiä ja muita, mutta tavoit- ge W. Schmidt osallistui lokakuussa Viestintäviras- mään vieraaseen verkkoon ja jättämään sinne ta- ton ja Huoltovarmuuskeskuksen Helsingissä järjes- kaovi. Ennakointi tulee huomattavasti halvemmaksi kuin vahinkojen korjaaminen, muistuttaa USA:n presidenttien tietoturvaneuvonantaja Howard A. Bushin ja Barack Obaman tietoturvaneu- Suomeen Schmidt tutustui ensimmäistä kertaa vuoden 2001 terrori-iskun jälkeen, kun Oulun teena on yhä päästä käsiksi tietoon tai rahoihin?, Schmidt sanoo. yliopistossa
Riskienhallinta 6?TIETOSUOJA 4/2012 t ietot urvan j a t ietosuoj an erikoisl ehti
Miksi opiksi ei oteta. Apua saa, kun sitä pyytää, vakuuttaa CERT-FI:n päällikkö Erka Koivunen sivuilla 12?13. Tietosuojan laiminlyönti voi käydä organisaatiolle kalliiksi. Riskillä vaan? Miten sinun työpaikallasi on varauduttu tietoturvaloukkaukseen? T ietosuojavaltuutetun tarkastuksessa paljastui, että useat pienet sähköisen asioinnin tarjoajat olivat joutuneet lopettamaan toimintansa kokonaan tietoturvaloukkauksen jälkeen. 7. Lue tarkastuksen tuloksista sivuilta 8?10. Kun nettirosvot hyökkäävät verkkopalveluun, älä jää tuleen makaamaan. Lue sivulta 21, miten niihin varaudutaan. ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i 4/2012 TIETOSUOJA. Juristit ottivat laskimen käteen sivuilla 14?16. Tietovuoto on kolaus yrityksen maineelle. Lue viestinnän ammattilaisen vinkit sivulla 17. Fiksu organisaatio torjuu riskejä etukäteen, neuvovat riskienhallinnan asian- leena kumpulainen tuntijat sivuilla 18?20. Muotikäsite BYOD pitää sisällään riskejä organisaation tietoturvalle
Tämä johtaa yllättäviin seurauksiin, kun tietoturva pettää. ämän päivän verkottuneessa maailmassa yhä useampia palveluja tarjotaan ja käytetään internetin välityksellä. Riskienhallinta Hataran tietoturvan T Vain harvan verkkopalvelun tietoturva perustuu riskianalyysiin. Tietosuojavaltuutetun toimisto halusi selvittää, miten rekisterinpitäjät ja palveluntarjoajat ovat huomioineet velvoitteen sekä miten henkilötietojen suoja toteutuu tietoverkkoympäristössä. 8?TIETOSUOJA 4/2012. Asioinnin ja palvelu- jen siirtyessä verkkoon myös henkilötieto- jen käsittely siirtyy asiakaspalvelun tiskiltä internetiin. Asiakastietojen käsittelyn kannalta Teksti: Lauri Karppinen Kuva: Rodeo avainasemassa ovat verkkopalvelujen tuottamisesta vastaavat rekisterinpitäjät, joilta henkilötietolaki edellyttää asianmukaisia toimia tietojen suojaamiseksi tietoturvauhilta ja väärinkäytöksiltä. Rekisterinpitäjille laissa asetettu yleinen henkilötietojen suojausvelvoite on ollut voimassa jo 13 vuotta
vain 46 prosenttia toimivalta CERT-FI-tietoturvaviranomaiselta Alle puolet tuntee lain vaatimukset yhteystietoja sellaisista suomalaisista verk- Selvityspyynnössä verkkopalveluita pyydet- Vastaajien piirissä esiintyi myös selviä kopalveluista, jotka olivat joko joutuneet tiin vastaamaan kysymyksiin, joilla selvitet- ongelmia tunnistaa omaa rooliaan henki- tietoturvaloukkauksen tai -uhan kohteeksi tiin toimijoiden tuntemusta henkilötietolain lötietojen käsittelyn ulkoistamistilanteissa. tai joista oli muusta syystä tehty tietoturvail- rekisterinpitäjille asettamasta suojausvel- Useat yritykset, jotka olivat ulkoistaneet moitus CERT-FI:lle vuoden 2011 loka-, mar- voitteesta sekä sitä, miten henkilötietojen verkkokauppansa teknisen toteutuksen tuutetun toimisto pyysi Viestintävirastossa . kavalat seuraukset Selvityspyyntö tietomurtojen kohteille teista toimitti vastauksensa tietosuojaval- Henkilötietolaki velvoittaa rekisterinpi- Vuonna 2011 paljastui useita tietomurtoja, tuutetun toimistolle annettuun määräai- täjät toteuttamaan tarpeelliset tekniset ja joiden yhteydessä varastettiin kymmenien- kaan mennessä, vain viidennes oli vastannut organisatoriset toimenpiteet henkilötieto- tuhansien kotimaisia internetpalveluja käyt- kaikkiin esitettyihin kysymyksiin. jen suojaamiseksi laittomalta käsittelyltä. täneiden henkilöiden tietoja. 9. kertoi tuntevansa henkilötietolain vaatimukset näiltä osin. ras- tai joulukuun aikana. Saamiensa tietojen pohjalta tietosuojavaltuutettu lähetti selvityspyynnön 74 yksityiselle ja julkiselle verkkopalvelulle, joiden toimintaan arvioitiin liittyvän henkilötietojen käsittelyä. Tietosuojaval- Vaikka 92 prosenttia tarkastuksen koh- suoja toteutettiin verkkopalvelussa. Alle puolet vastaajista . Kohteiksi valikoitui kattavasti kaikenkokoisia yrityksiä, verkkopalvelujen ja -kauppojen tarjoajia sekä julkisyhteisöjä. ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i ? Palveluntarjoaja vastaa myös ulkoistetusta henkilötietojen käsittelystä. 4/2012 TIETOSUOJA
Riskienhallinta alihankkijalle, eivät mieltäneet lainkaan palvelun käyttäjille, joiden henkilötiedot oli- vastaavansa myös ulkoistetun verkkokaup- vat mahdollisesti olleet uhattuina tai louk- pansa henkilötietojen käsittelystä. Pienet kauksen kohteina. Samat van useita palveluita. yleiset virheet muun muassa salasanojen Tietosuojavaltuutetun toimisto tuleekin käsittelyssä ja verkkopalvelujen ohjelmoin- korostamaan toiminnassaan verkkopalve- nissa toistuvat palvelusta toiseen. luiden rekisterinpitäjien ohjausta ja neu- Tietomurto kaataa pienet yritykset vontaa tietoturvallisuusvelvoitteiden täyt- kirjoittaja tämisessä yhteistyössä CERT-FI:n kanssa sekä jatkamaan suomalaisten verkkopal- Lopuksi vielä kysyttiin, oliko tietoturvail- velujen tietoturvallisuuden tason seuraa- moituksen taustalla olleesta tietoturvalouk- mista. Toisaalta kuiten- tietoturvaloukkauksia sekä tietoturvatoi- kin samat yleiset virheet näyttävät vaivaa- minnan yleisessä organisoinnissa. \ Lauri Karppinen on IT-erityisasiantuntija tietosuojavaltuutetun toimistossa. \ kauksesta tai sen uhasta ilmoitettu verkko- 10?TIETOSUOJA 4/2012 t ietot urvan j a t ietosuoj an erikoisl ehti. Valmisteilla oleva EU:n yritykset näyttivät keskittyvän yksinomaan tietosuoja-asetus tulee asettamaan tällai- maksuvälinetietojen suojaamiseen. sen velvoitteen kaikille rekisterinpitäjille. Vain harvan verkkopalvelun tietoturvalli- Tietoturvaloukkaus ei muuttanut toimintatapoja suuden organisointi perustui riskianalyysiin, Verkkopalveluilta tiedusteltiin myös, mihin siin tietoturvallisuuden pettäessä; Pienten toimiin ne olivat ryhtyneet CERT-FI:lle teh- yritysten ja yhteisöjen kohdalla toteutu- dyn tietoturvailmoituksen johdosta. neet tietoturvaloukkaukset olivat useassa mikä näytti johtaneen yllättäviin seurauk- Huolestuttavan suuressa osassa yrityk- tapauksessa johtaneet suoraan tietoturva- siä, miltei kolmanneksessa, tietoturvalouk- loukkauksen kohteeksi joutuneen verkko- kaus tai -uhka ei vastausten perusteella ollut palvelun toiminnan lopettamiseen. johtanut minkäänlaisiin toimenpiteisiin tietoturvallisuuden parantamiseksi. ? Henkilötietojen suojausvelvoite on ollut voimassa jo 13 vuotta. Seuranta jatkuu Vastaajien koko näkyi selvästi verkko- Kaiken kaikkiaan selvityksen pohjalta voi- palvelujen tietoturvallisuuteen käytettyjen daan todeta, että suomalaisten verkkopal- resurssien määrässä, mikä tuli esiin erityi- velujen tietoturvallisuuden organisoinnissa sesti vastaajien kyvyssä havaita ja torjua ja tasossa on suuria eroja
ja pyytää apua ajoissa Kun nettirosvot hyökkäävät verkkopalveluun, ei ylläpitäjän kannata jäädä tuleen makaamaan. Apua on saatavilla, ja sitä kannattaa pyytää. Teksti: Kirsi Castrén | Kuva: Nina Kellokoski T ?Kun haittaohjelma annetaan virustorjuntayhtiölle, se lähtee kiertoon eri virustorjuntayhtiöille ympäri maailmaa?, Koivunen muistuttaa. ?Uskoisin, että kotimaiseen virustorjuntayhtiöön voi luottaa, mutta muiden maiden virustorjuntayhtiöissä saattaa olla jonkin tiedusteluelimen agentti sijoitettuna ietomurron osuessa kohdalle tilanteen ratkaisussa on muun muassa yhtiön sisälle. Henkilötietolaki telee koneet kaatamaan kohteena olevan sanoo. kuitenkin velvoittaa rekisterinpitäjää suo- verkkosivuston haluamanaan ajankohtana. Hänen tiedossaan on tapauksia, joissa jaamaan henkilötiedot riittävästi, ja suojaus- ?Kun hyökkääjällä on tilanteessa etu- palveluntarjoaja on vienyt haittaohjelman velvoitteen laiminlyönti voi johtaa syyttee- lyöntiasema, toimii uhri aina puutteellisen virustorjuntayhtiön tutkittavaksi mutta ei seen henkilörekisteririkkomuksesta. tiedon varassa. Vakavasta luntarjoajia vastaan?, kertoo päällikkö Erka on huomannut vakoilun?, hän varoittaa. tietoturvaloukkauksesta selviytymiseen harvoin kuitenkaan riittävät palveluntarjoajan omat tai teleyrityksenkään keinot. Koivunen. ?Jos hyökkäyksestä ei voida meille kertoa oletetun salassapitotarpeen vuoksi, tai ?Jos organisaatiolla on aitoja salaisuuksia, pitäisi olla harkintaa, kehen voi luottaa.? Viestintävirastossa toimiva kansallinen jos meitä kielletään pyytämästä lisätietoa tietoturvaviranomainen CERT-FI auttaa suomalaiselta teleyritykseltä tai ulkomai- Tietomurroista ilmoittaminen pian pakollista palveluntarjoajia tietoturvauhkien torjumi- selta toimijalta, se vähentää mahdollisuuk- Suomessa toistaiseksi vain teleyrityksillä sessa. siamme auttaa.? on velvollisuus ilmoittaa tietoturvalouk- Tiedon panttaus haittaa avunsaantia Ei ensimmäisenä virustorjuntayhtiöön Esimerkiksi bottiverkon kautta toimivassa Kun palvelun jumittumisen syynä on hait- tamaan viranomaiselle tietoturvaloukkauk- palvelunestohyökkäyksessä hyökkääjä taohjelma, saattaa taustalla olla isompia sesta, jossa henkilötiedot ovat saattaneet ottaa haittaohjelman avulla haltuunsa jopa asioita kuin ensi arvaamalta uskoisikaan. vaarantua. kauksesta Viestintävirastolle. CERT-FI:n tuoma lisäarvo ole ilmoittanut siitä Viestintävirastolle. 12?TIETOSUOJA 4/2012 Erka Koivunen vakuuttaa kuitenkin, että t ietot urvan j a t ietosuoj an erikoisl ehti. Räätälöity haittaohjelma toi- moni organisaatio jättää julkisuu- siinä, että voimme selvittää, onko samaa mii tällöin maalinosoituksena, jonka tarkoi- den pelossa ilmoittamatta tapah- hyökkäysalustaa käytetty muitakin palve- tus on näyttää, milloin kohdeorganisaatio tuneesta viranomaisille. Riskienhallinta Viisas varautuu verkkohyökkäykseen . EU:ssa on kuitenkin valmisteilla tietosuoja-asetus, jossa kaikki rekisterinpitäjät velvoitetaan ilmoit- tuhansia pääasiassa kotitietokoneita, jotka ?Jotkut räätälöidyt haittaohjelmat viit- Tietomurto on rikoslain mukaan useim- saattavat sijaita useissa eri maissa, ja ryhmit- taavat valtiolliseen vakoiluun?, Koivunen miten asianomistajarikos
menetetään lokitiedot ja niiden myötä mahdollisuus oppia tapahtuneesta. ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i 4/2012 TIETOSUOJA. 13. Tois- asiantuntijasta, jolle annettiin tulosta- taiseksi emme ole joutuneet tekemään voitteeksi havaittujen tietoturvapoikkea- tutkintapyyntöjä.? mien määrän puristaminen radikaalisti alas. Tietoturvaongelmia ei pidä säikähtää turvallisuutta ennalta ehkäisevästi, orga- ?Sen sijaan, että olisi parannettu tietonisaatiossa käytännössä tärveltiin tietotur- Internetissä, jos missä, pätee sanonta, että vapoikkeamien raportointikanava, jotta rikollinen on aina poliisia askeleen edellä. poikkeamat eivät tulisi tietoon ja estäisi Sen sijaan, että pistettäisiin pää pensaaseen, Koivunen kannustaa parantamaan tietoturvapoikkeamien havaitsemista. ?Mitä nopeammin poikkeamat havaitaan ja mitä tulospalkkioiden laukeamista.? ?Sitä saa, mitä mittaa ja mistä palkitsee; sillä kertaa saatiin silmänlumetta ja silmänpalvontaa?, Koivunen toteaa. \ tehokkaammin vahinkoa pyritään rajoittamaan, sitä nopeammin päästään palaamaan normaaliin CERT-FI:n päällikkö Erka Koivunen neuvoo, ettei tietomurron kohteeksi jouduttaessa kannata heti asentaa järjestelmää uudelleen, sillä ?siivouksessa. CERT-FI:ltä voi tulla rauhallisin mielin pyytämään apua tietoturvaloukkauksissa. ?Pyrimme keskustelemaan tietoturva- päiväjärjestykseen.? Koivunen kertoo tosielämän esimerkin entisestä kollegastaan, tietoturva- ongelmista rakentavassa hengessä
Riskiin puolestaan liit- Henkilötietolain mukaan rekisterinpitäjä on velvol- tyy taloudellinen vahinko. linen korvaamaan sen taloudellisen ja muun vahin- Oman haasteensa tuovat henkilötiedot ja niiden Tietosuojasäännösten noudattamatta jättämiseen gon, joka on aiheutunut rekisteröidylle tai muulle liittyvät taloudelliset riskit voidaan jakaa kolmeen ryh- henkilölle lain vastaisesta henkilötietojen käsittelystä. mään: 1) lakiin perustuva vahingonkorvausvastuu, Rekisterinpitäjän vastuu on luonteeltaan ankaraa, 14?TIETOSUOJA 4/2012 t ietot urvan j a t ietosuoj an erikoisl ehti. Yhtiöt ja organisaatiot ovat tänä päivänä löön, kuten yrityksen johtohenkilöön tai yksittäiseen enenevässä määrin riippuvaisia tiedon saatavuudesta, käyttömahdollisuuksista ja hyödyntämisestä. työntekijään. sääntely. Niistä voidaan rangaistuksena ietoyhteiskunta ja tiedon käsittely on eden- tuomita sakkoja tai enintään yksi vuosi vankeutta. nyt pisteeseen, jossa tietosuojan merkitys Nämä seuraamukset ovat luonteeltaan henkilökoh- korostuu lähes kaikilla liiketoiminnan alueil- taisia ja kohdistuvat siten aina yksittäiseen henki- la. Henkilötietojen käsittelyyn liittyy paitsi Huolellisuus ei vapauta vahingonkorvausvastuusta mahdollisuuksia, myös riskejä. Riskienhallinta Tietosuojan laiminlyönti voi käydä kalliiksi Mitä tietosuojasäännösten noudattamatta jättäminen maksaa? 2) maineriski ja tästä seuraavat taloudelliset menetykset sekä 3) sopimusperusteinen korvausvastuu. Lisäksi on syytä huomata, että henkilötietojen sääntelyn rikkomisesta ja laiminlyönnistä voi seurata myös rikosoikeudellinen vastuu muun muassa Teksti: Otto Markkanen ja Eija Warma T henkilörekisteririkkomuksen tai henkilörekisteririkoksen muodossa
Käräjäoikeus totesi, ettei työnantaja palkkiot asianajajille ja tietotekniikan asiantuntijoille. kyennyt näyttämään toteen aiheutunutta vahinkoa, Lisäksi tietomurron yhteydessä Sonyn osakkeen hinta eikä korvausta tuomittu maksettavaksi. Vahingonkor- murtojen, aiheuttama maineriski sekä tästä aiheutu- vauslaista johtuvien sääntöjen mukaan vahingonai- vat taloudelliset menetykset. heuttajan on korvattava tällainen vahinko vain laissa Äkillisten tilanteiden, kuten erityisesti tietomur- luetelluissa poikkeustapauksissa. Tapauksen hin- voi sulkea pois. talapuksi on arvioitu jopa 171 miljoonaa dollaria. Vahingon toteennäyttämisen haasteellisuutta Sonyn kärsimiin taloudellisiin tappioihin sisäl- havainnollistaa Helsingin käräjäoikeuden ratkaisu tyvät esimerkiksi korvausten maksaminen niille, vuodelta 2011. 15. Työnantaja oli vaatinut työntekijältä joiden henkilötietoja on viety, yksittäiset markki- vahingonkorvausta väittäen, että työntekijän sosiaa- nointi- ja asiakaskampanjat vanhojen asiakkuuksien lisessa mediassa työnantajastaan esittämät negatiivi- säilyttämiseksi, asiakaspalvelukustannukset, tieto- set ilmaukset olivat aiheuttaneet vahinkoa työnanta- verkon turvallisuuden kehittäminen sekä erinäiset jan toiminnalle. Vaikka tapaus laski pörssissä kokonaisuudessaan 12 prosenttia, mikä sinänsä ei liity henkilötietolain soveltamiseen, on se vastaa noin 3,6 miljardin dollarin arvonmenetystä. omiaan osoittamaan vahingon toteennäyttämisen Vaikka tapaus Sony ei ole suomalainen esimerkki, haasteita tilanteessa, jossa vahingollinen teko on liit- eivätkä kustannukset välttämättä Suomessa nousisi tynyt vain tiedon käsittelyyn. vastaaviin lukemiin, on julkisuudella myös Suomessa ? Sopimukset ovat entistä suuremmassa roolissa tietosuojariskien hallinnassa. ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i 4/2012 TIETOSUOJA. Esimerkkinä voidaan On siten epäselvää, missä määrin tällainen vahingon- mainita peliyhtiö Sonyyn kohdistuneet tietomurto- korvausvastuu voisi toteutua käytännössä. Niin ikään huono julkisuus täjä on ilman eri perusteita velvollinen korvaamaan voi vaikuttaa kielteisesti liikevaihtoon vaikkapa silloin, kaiken taloudellisen vahingon, jonka vahingon kärsijä kun asiakkaat siirtyvät käyttämään kilpailijayrityksen on voinut näyttää aiheutuneen henkilötietolain nou- palveluita tai lopettavat palvelun käytön. dattamatta jättämisestä. Pahimmillaan suurella julkisuudella voi olla vahin- Suomessa henkilötietolain mukaista vahingonkor- gollisia vaikutuksia jopa yksittäisen yhtiön pörssi- vausvastuuta ei ole sovellettu merkittävissä määrin. kursseihin ja markkina-arvoon. Lainsään- tapaukset vuonna 2011, joissa yhtiön asiakastietoja nös on kuitenkin sovellettavissa, eikä tällaista riskiä varastettiin tietomurron seurauksena. Sen sijaan henkilö- tojen, selvittäminen voi vaatia yritykseltä merkittäviä tietolaissa tällaista rajoitusta ei ole, vaan rekisterinpi- taloudellisia panostuksia. scanstockphoto silloin, kun tämä osoittaa toimineensa kaikin puolin Huono maine karkottaa asiakkaat huolellisesti. Suomessa toistaiseksi merkittävin ja konkreettisin lii- eli rekisterinpitäjä ei voi vapautua vastuusta edes Henkilötietolain säännösten noudattamatta jät- ketoimintaan liittyvä riski henkilötietojen käsittelyssä tämisestä seuraava vahinko on lähes poikkeuksetta on julkisuuteen tulevien tapahtumien, kuten tieto- muuta kuin henkilö- tai esinevahinkoa
\ käsistä. Mikäli ehdotus tulee voimaan lyn ulkoistaminen tarkoittaa tosiasiallisen kontrollin tämän sisältöisenä, voi tietosuojasäännösten noudat- osittaista luovuttamista pois rekisterinpitäjän omista tamatta jättäminen käydä hyvinkin kalliiksi. Toisaalta sopimusperusteiset korvaus- jaa taloudellisia riskejä vastaan. OTM, Otto Markkanen on erikoistunut teknologiaan ja tietosuojaan liittyviin kysymyksiin. Viime toimeksisaaja sitoutuu hyvittämään rekisterinpitä- aikoina on muun muassa havaittu esimerkkejä tilan- jälle tämän kärsimän vahingon. Enimmil- täjä silti rekisteröidylle tai muille kolmansille tahoille lään nämä sanktiomaksut olisivat nykyisen ehdotuk- aiheutuneista vahingoista. sen mukaan jopa 2 prosenttia yrityksen maailmanlaa- Käytännössä kuitenkin henkilötietojen käsitte- juisesta liikevaihdosta. Tällaisella ja tietosuojaan panostamisella onkin havaittu Tulevaisuudessa kovemmat sanktiot? olevan merkittävää vaikutusta asiakkaan ja palvelun- Suomessa henkilötietojen käsittelyn sääntöjen nou- tarjoajan väliseen luottamussuhteeseen. dattaminen on toistaiseksi perustunut suuressa sissa tilanteissa tietosuojasäännösten noudattami- määrin yleiseen lainkuuliaisuuteen eikä niinkään Toimeksisaaja voi joutua korvausvastuuseen kustannusriskien välttämiseen. Vaikka vahinko aiheu- vollisuuden maksaa hallinnollisia sanktiomaksuja tuisi toimeksisaajan toiminnassa, vastaa rekisterinpi- säännösten noudattamatta jättämisestä. Eija Warma on erikoistunut yksityisyydensuojaan ja henkilötietojen käsittelyyn liittyviin kysymyksiin. \ 16?TIETOSUOJA 4/2012 t ietot urvan j a t ietosuoj an erikoisl ehti. Toistaiseksi tällaiset kustannusriskit liittyvät suurelta osin kielteisestä jul- Yritykset sopivat tietojenkäsittelypalveluita hankkies- kisuudesta koituvaan taloudelliseen vahinkoon. saan yhä enenevässä määrin nimenomaisesti myös Varsinaiset henkilötietolain nojalla tuomittavat tietosuojaan liittyvistä kysymyksistä. Sopimuksilla on siten teista, joissa asiakkaat lopettavat palvelun käytön tai yhä merkittävämpi rooli myös tietosuojasäännösten vaihtavat palveluntarjoajaa, mikäli palveluntarjoa- riskienhallintamekanismina. jan tietosuojassa on epäilty olevan puutteita. Kuten yllä mainitusta vastuut ja niihin liittyvät riskit ovat yleistymässä, ja Sonyn tapauksesta käy ilmi, henkilötietojen käsitte- sopimuksia käytetään riskienhallinnan keinona myös lyyn ja erityisesti tietovuotoihin liittyvät vahingot voi- henkilötietojen käsittelyssä. vat olla taloudellisesti huomattavia. Tulevaisuudessa tilanne saattaa kuitenkin muut- Erityisenä esimerkkinä voidaan mainita henkilötie- tua. Henkilötietolain mukaan koskevaksi asetukseksi. Pelkästään vahingonkorvaukset puolestaan ovat suhteellisen sovellettavan lain ei katsota tarjoavan riittävää suo- harvinaisia. Riskienhallinta merkittävä vaikutus yhtiöiden liiketoimintaan. Nykymuodossaan se toisi rekisterinpitäjä ei voi ulkoistaa lainmukaista vastuu- rekisterinpitäjille ja henkilötietojen käsittelijöille vel- taan kolmannelle osapuolelle. Euroopan komissio on tammikuussa 2012 anta- tojen käsittelyn ulkoistamiseen liittyvät palvelusopi- nut ehdotuksensa uudeksi henkilötietojen sääntelyä mukset, kuten pilvipalvelut. Tämän vuoksi osapuolet sopivat sopimuksin yhä enenevässä määrin siitä, miten ja missä tilanteissa kirjoittajat Lue lisää maineriskistä seuraavalta sivulta. Kirjoittajat työskentelevät Asianajotoimisto Castrén & Snellman Oy:ssä. Asianajaja, LL.M
Erityistä huomiota pitää kiin- turvan hoidosta. \ mäinen askel. Sii- panostuksia. Tietoturvaloukkaus on riski myös maineelle Kriisiskenaarion teko ja harjoittelu antavat hyvät edellytykset selvitä hallitusti tietosuojaloukkausten aiheuttamista imagokolhuista. Teksti: Marjo Rautvuori M aine on herkkä kokonaisuus. nittää ?entä jos. Se ei onnistu palokunnaltakaan ilman neen menetys voi olla kuolinisku yrityksen tijat hallitse aina kokonaisuutta. Tarvitaankin oivallusta, johdonmukaista toimintaa, kou- koko toiminnalle. koko organisaation tietotaito, kun mieti- lutusta ja harjoittelua. Meillä Suomessa yritysjohto ei vieläkään tiedosta riittävästi tietosuojaloukkauksiin liittyviä riskejä, vaikka tietoisuus onkin lisääntynyt. tään, mihin kaikkeen tietosuojaloukkausten uhka tai toteutuminen voi vaikuttaa.? Vältä perusvirheet Kirjattu riskienhallintasuunnitelma ohjeistaa ja antaa toimintamalleja ja työkaluja, mutta vasta kunnollinen harjoittelu takaa riittävät valmiudet tositilanteessa. Se kuitenkin ymmärretään, että tieto- Siikanivan mielestä suuri osa kriiseistä ei Silloin jokaiselle on selvää oma rooli ja sen vuoto on kolaus yrityksen maineelle. Heikkoja signaaleja ei noteerata eikä Hyvä maine kestää kolhujakin vuotaneisiin yrityksiin. omassa organisaatiossa olevaa tietoa huo- Tommi Siikanivan kokemuksen mukaan mioida ja hyödynnetä.? aikaa riskikartoituksen ja riskienhallinta- Kartoita riskit Tietosuojauhkiin kannattaakin varautua paitsi tietojen suojaamisen, myös maineen- Kun sitten kriisi iskee, sen hoidossa tehdään kolme perusvirhettä: suunnitelman tekoon kuluu pari kolme kuukautta, ja työ vaatii organisaatiolta selkeitä ?Asiaan reagoidaan liian myöhään. Siikaniva työskentelee maineenhal- Kun organisaation riskienhallintasuunnitelma on kerran tehty, sen mukaan on toimittava, sitä on päivitettävä ja valmiuksia lintaan erikoistuneessa konsulttitoimisto Palokuntakin harjoittelee Pohjoisranta Burson-Marstellerissä. Suuri osa kriiseistä tulee yrityksen sisältä. tetaan parhaiten se, että maine vahvistuu. Riskien ja niiden todennäköisyyksien Tietosuojaloukkausten uhriksi joutumisessa Eikä hyvä maine romutu pienistä kolhuis- arviointi on riskienhallintamatkan ensim- ei kuitenkaan ole aina kyse huonosta tieto- takaan. Taitava hakkeri tunkeutuu ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i on ylläpidettävä aktiivisesti. 17. Tänä synny lainkaan itse tilanteesta vaan siitä, edellyttämät toimet, vastuut ja velvoitteet. vuonna suomalaisille yritysjohtajille teh- että tilanteeseen suhtaudutaan löysästi: dyssä kyselyssä valtaosa oli sitä mieltä, että ?Luotausmekanismit eivät ole kun- mediajulkisuus vaikuttaa kielteisesti tietoja nossa. -kriisiskenaarioihin ja niiden kyllä järjestelmään kuin järjestelmään, jos Sen voi menettää hetkessä perusteelliseen perkaukseen. Toimia ei voi kokonaan ulkois- hen ei suhtauduta riittävän vakavasti, ja taa, vaikka asiantuntija-apua kannattaakin Viestintäkonsultti ja partner Tommi Sii- käyttäytymisestä uupuu aito välittäminen. hyödyntää. kanivan mukaan ennakointiin ja ongelmien Ja kolmanneksi, tietoa ei anneta riittävästi hoitoon soveltuvat yleiset kriisiviestinnän ja avoimesti.? hallinnan kannalta. ohjeet. Eivät edes IT-asiantun- hyvin. Näin varmis- 4/2012 TIETOSUOJA. Myös nopeu- haluaa. pistämällä ongelmatilan- den vaatimus korostuu. Syttymissyystä riippumatta tulipalo on teessa pään pensaaseen tai ?Vaikeuskerrointa lisää tietosuoja-asioi- sammutettava mahdollisimman ripeästi ja lausumalla pari harkitsematonta sanaa. Mai- den moniulotteisuus
Riskienhallinta Varaudu riskeihin 18?TIETOSUOJA 4/2012 t ietot urvan j a t ietosuoj an erikoisl ehti
Myös vaatimustenmukaisuuden hallinta projekteihin ja turvallisuuteen. Lagus R iskienhallinta ei koostu pelkästään riskeistä vaan myös mahdollisuuksista. Kun näitä tarkastel- voidaan kytkeä riskienhallintaan. Vaatimukset pitää laan yhdenmukaisin välinein, voi johto ottaa kantaa huomioida riskeinä: mitä tehdään, jos vaatimus ei oikeisiin asioihin. toteudukaan toivotulla tavalla? Riskienhallinta tulisi sisällyttää niin strategiselle Riskienhallinnassa on useita osatekijöitä, mikä tasolle kuin vuosisuunnitelmien ja projektien sekä merkitsee, että kunkin organisaation pitää selvittää vaikkapa tiedon turvaamisen tasolle. asiat omista lähtökohdistaan. Riskit voivat liittyä esimerkiksi organisaation toimintaan, toimintaympäristöön, talouteen, hen- Johdolle tarvitaan tarpeellista tietoa päätöksen- kilöstöön, prosesseihin, toimittajiin, alihankkijoihin, teon tueksi. Näin ne tehdään ymmärrettä- Tärkeää on, että viitekehys, kuten riskienhallintapo- viksi.? litiikka, on mietitty, sillä muuten riskienhallintatyö Sopii kaikenkokoisille Riskienhallinnan käsitteestä on paljon eri tulkintoja. alkaa rönsyillä eri suuntiin, eivätkä siitä saatavat hyödyt ole parhaiten ulosmitattavissa.? Moni mieltää sen teknisen tason asiaksi. Kansainvälisillä 4/2012 TIETOSUOJA. KAAPO KAMU Tietoturvaloukkaus on riski, joka voi toteutua. Fiksu organisaatio ehkäisee riskejä johdonmukaisella riskienhallinnalla. Teksti: Antti J. Riskienhallinta on monessa Euroopan ulottua koko organisaation toimintaan. maassa Suomea pidemmällä, minkä vuoksi sen järjestämisestä saatetaan kysyä yhteistyökuvioita aloi- ITELLA tettaessa. ?Riskienhallinnan rakentaminen aloitetaan ylhäältä alaspäin?, neuvoo Itellan turvallisuusja riskienhallintajohtaja Markku Rajamäki. ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i Jos vaikkapa eurooppalaisille markkinoille tähtäävässä yrityksessä ei ole hoidettu asioita systemaattisesti, eteen voi tulla hankaluuksia. Riskienhallinnan sateenvarjon pitää kuitenkin mintakenttä. Kun tunnistetaan riskit, löydetään mahdollisuudet ?Myös uusien ja pienten yritysten pitäisi ajatella riskejä heti alusta lähtien?, sanoo Viestintäviraston turvallisuuspäällikkö Jani Arnell. päästä tavoitteeseen tai saavuttaa toivottu tilanne. 19. Sen sijaan Osa laadunvarmistusta taloudelliset riskit ovat luonteeltaan kovin toisen- On myös tärkeää miettiä, mikä on organisaation toi- laisia. Viestintäviraston tur- Itellassa riskienhallintatyö on kiinnitetty muun muassa strategia- ja vuosisuunnitteluprosessiin. vallisuuspäällikkö Jani Arnellin mukaan riskienhallinta sopii kaikenkokoisille yrityksille. ?Olemme selvittäneet, mitä riskejä liittyy yrityksen ?Myös aloittavissa ja pienemmissä yrityksissä strategisiin tavoitteisiin?, turvallisuus- ja riskienhallin- pitäisi ajatella riskejä, muun muassa tietoa ydinosaa- tajohtaja Markku Rajamäki sanoo. misesta sekä avainhenkilöiden lähtöä, jo alusta läh- ?Kun riskit on tunnistettu, niiden todennäköisyys tien?, Arnell sanoo. ja vaikutus arvotetaan, minkä jälkeen riskit priorisoi- ?Käytännön tapoja toteuttaa on monenlaisia. daan ja vastuutetaan
Ylhäältä lähdettäessä aiheesta enemmän myös johdon kiinnittäminen prosessiin on helpompaa. ?Itella on prosessitalo, jossa toiminta usein ylittää liiketoiminnan sisäisiä rajaaitoja. \ Toinen kompastuskivi riskienhallinnan rakentamisessa saattaa hänen mukaansa olla se, että sitä lähdetään rakentamaan yksityiskohdista. Riskinottokyky voidaan sitoa myös esimerkiksi yrityksen taseeseen tai liikevaihtoon. Aika usein tällöin on kyse siitä, että riskienhallinnan toteutus on jäänyt puolitiehen. ?Jos riskienhallinta näyttää ylimääräiseltä, se johtuu usein siitä, ettei sitä ole Millainen on riskinkantokyky? Keskeisiä riskejä tulee verrata riskinkantokykyyn. Esimerkiksi finanssialalla säätely ja sen myötä tarve riskienhallintatyölle lisääntyy todennäköisesti entisestään. Älä jätä puolitiehen Riskienhallintaa pidetään joskus pakollisena pahana. Toiminta helpottuu, kun on olemassa koko organisaation toimintatavat?, Pk-yrityksen riskienhallintasivusto: www.pk-rh.fi Eurooppalainen riskienhallinnan tietopankki menetelmistä ja työkaluista www.enisa.europa.eu/rmra \ Rajamäki sanoo. Merkittäviä riskejä voivat olla myös jonkun avainhenkilön poistuminen tai imagon vahingoittuminen. viety loppuun saakka eli olennaiseksi osaksi tuettavaa prosessia, esimerkiksi strategiaa tai projektinhallintaa. Organisaation on pyrittävä hallitsemaan riskejään niin, että kokonaisuus pysyy kantokyvyn puitteissa. Tämä voi joskus edellyttää myös sitä, että joitakin riskejä täytyy poistaa kokonaan esimerkiksi lakkauttamalla niihin liittyvä projekti. Mitkä riskit ovat liikaa? Kokonaisuuteen liittyy myös riskinottohalu; ylimmän johdon määritelmä siitä, millaisia riskejä organisaatio ei halua toiminnassaan ottaa. Kun kaikki toimivat yhden toimintamallin mukaan, ei yritykseen synny useita saarekkeita, joilla kullakin on vähän erilainen näkökulmansa. Riskienhallinta ? Myös aloittavien ja pienten yritysten tulisi ajatella riskejä. kentillä kannattaakin Arnellin mielestä hyödyntää siellä tunnettuja välineitä yhteensopivuuden varmistamiseksi. Se, miten säännelty toimiala on, vaikuttaa paljon riskienhallintaan. \ 20?TIETOSUOJA 4/2012 t ietot urvan j a t ietosuoj an erikoisl ehti. Lähestymistavan pitää olla ylhäältä alaspäin. Riskienhallinnan on oltava osa organisaation toiminnanohjausta. Monesti Riskienhallinnan peruspilarit Määrittele tavoitteet Johdolla pitää olla käytettävissään tarpeellinen tieto esimerkiksi tavoitteita uhkaavista riskeistä, jotta löydetään tavat, joilla päästään tavoitteisiin. Kun tavoitteet on määritelty, tarvitaan politiikka ja organisaatio ja menetelmät sekä raportointitavat. riskienhallinta myös kytketään osaksi laadunvarmistustyötä. Monissa tilanteissa ei tarvitsekaan puhua riskienhallinnasta vaan on kyse johtamisen osasta?, Itellan Markku Rajamäki sanoo. Yhteinen toimintamalli Kun riskienhallinnan peruspilarit on selvitetty, voidaan viitekehikkoa käyttää erilaisten riskien, kuten tietojärjestelmäriskien, vakavuuden arviointiin organisaatiotasoisesti. Monille yrityksille riskienhallinta tulee ulkoisena vaatimuksena
\ toturvatason. ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i 4/2012 TIETOSUOJA. Oma laite ei käy kaikkeen Nykyään yksi merkittävistä tietotekniikkariskeistä liittyy omien laitteiden käyttöön töissä. Teksti: Antti J. Yrityksessäkin laitteiden käyttö voi tuoda lisätä työtehoa, mutta riskit pitää miettiä, millaisille uhille sen tiedot altistuvat, jos pitää silti muistaa ottaa huomioon: mihin omia laitteita työntekijöiden omat laitteet eivät täytä tietoturvapoli- voi käyttää ja mihin ei? tiikan vaatimuksia. Ei pääsyä salaisuuksiin Laitteet etähallinnan piiriin ?Organisaation näkökulmasta laite, jonka turvallisuudesta Niin mukavalta kuin idea omien tuttujen laitteiden tuomi- ei ole varmuutta, on turvaton. Niissä laitteella otetaan töissä omia laitteitaan, on oma nelikirjaiminen turvallinen ja vahvasti todennettu pääteyhteys palveli- lyhenteensä: BYOD (Bring Your Own Device). meen, jossa ohjelmistot ja tiedot sijaitsevat. Omalla laitteella olevat henkilökohtaiset tie- ?Käytännössä omia laitteita ei tulisi käyttää otettaessa dot, kuten valokuvat, poistetaan etähallinnan kautta, jos yhteyttä esimerkiksi toiminnanohjaus-, asiakkuudenhal- laite on esimerkiksi joutunut vääriin käsiin. Esimerkiksi Itellassa niiden tulee olla hankintaohjeen mukaisia. Arnellin mukaan luokitellun tiedon käsittelyssä omien lait- ?Kun käyttöalustojen määrä vain lisääntyy kaiken aikaa, teiden käyttöön pitää aina suhtautua suurella varauksella. organisaation täytyy ottaa kantaa siihen, mihin siellä on Ongelmia tulee omien laitteiden hallinnasta ja sen varmis- mahdollisuus laajeta?, Itellan turvallisuus- ja riskienhallin- tamisesta, että laitteet täyttävät jatkuvasti tarpeellisen tie- tajohtaja Markku Rajamäki pohtii. Laitteiden Paremman käyttäjäkokemuksen seurauksena omien pitää silti olla organisaation hallittavissa. Sillä ei voi lähtökohtaisesti sesta töihin kuulostaakin, työntekijän pitää varautua siihen, kytkeytyä kaikkiin järjestelmiin?, Viestintäviraston turvalli- että ne otetaan yrityksen tietoturvakäytäntöjen ja etähal- suuspäällikkö Jani Arnell sanoo. linnan piiriin. Lagus | Kuva: Shutterstock T ietotekniikkamaailmassa rakastetaan lyhenteitä. Viranomaistoiminnassa on Arnellin mukaan jonkin Niinpä tälläkin ilmiöllä, jossa työntekijät käyttävät verran apua virtuaali-istunnoista. 21. Varmuuskopi- linta- tai sähköpostijärjestelmiin, jos ne sisältävät salassa ointi on hyvä tapa varautua tähän. pidettävää tietoa.? Kartoita uhkat Organisaatio voi rajata etähallinnan piiriin otettavia laitteita
Ja vaikka niitä ei salauksena. tarvittaisi, kaikki sähköpostin webmailja mobiiliso-vellukset eivät osaa purkaa salausta. Salaatko sähköpostiviestiesi sisällöt. Tietoturva ry:n puheenjohtaja Juha Lappi vertaa. Näitä kysyimme : 1. Toiset turvautuvat salaukseen etupäässä tarvittaessa . Salaus kolmaskin salausmenetelmä . (Lue lisää sähköpostiviestien salausmenetelmistä sivuilta 32?33.) ?Salaisin kaiken viestinnän, mikäli mi- Johtaja Timo Lehtimäki Viestintäviraston verkot ja turvallisuus -tulosalue tään kynnystä siihen ei olisi?, sanoo turval- 1. kaiken lisäksi voi jäädä tekemättä esimerkiksi siksi, että vastaanottajalle helppo, kun siinä ei ole tar- lähettäjällä ei ole varmuutta siitä, onko vetta omille välineille. Jos salaat, millä tavalla? Jotkut asiantuntijat salaavat melkein kaiken sähköpostiviestintänsä. Salaustarve lisuuspäällikkö Arttu Lehmuskallio Telia- tulee puhtaasti turvaluokittelun mukaisesti. Soneralta. 2. Salaan eri metodiikoilla tai ohjelmistoilla köpostin salausmenetelmillä. Salaan sähköpostiviestit tarvittaessa. Vastaajat suojaavat viestejään yleisillä säh- 2. Kaikki vastasivat myöntävästi. ?Enhän lähetä luottamuksellista mate- riaalia postikortilla, vaan laitan viestit kirjeisiin!. Salausmenetelminä on toimikortti virka- Lehmuskallio viittaa kynnyksillä eri sa- varmenteella tai PGP. Miksi? 2. Salaan, mutta en kaikkia. \ Tietohallintojohtaja 22?TIETOSUOJA 4/2012 t ietot urvan j a t ietosuoj an erikoisl ehti. Sitä voi kuvailla vaik- vastaanottajalla käytössään tarvittavat kapa sähköpostipalveluun integroituna välineet ja ohjelmistot. Jotkut vas- riippuen sisällöstä. taajista suosivat yhtä salaustapaa, kun taas toisilla on käytössään kokonainen menetelmien kirjo. kun on lähetettävä luottamukselliseksi tai salaiseksi luokiteltavaa aineistoa tai kun vastaanottaja sitä toivoo. Ei yhtä oikeaa menetelmää Tietohallintojohtaja Ari Uusikartano ulkoasiainministeriö 1. Gallup Ammattilainen suojaa viestinsä Asiantuntijat eivät elättele harhaluuloja sähköpostiviestinnän tietoturvallisuudesta. Teksti: Päivi Männikkö K ysyimme tietoturvan ammattilaisilta, salaavatko he sähköpostiviestejään. Käytössäni on kyllä lausmenetelmien vaatimuksiin
Normaalissa sähköpostiviestinnässä en salaa sähköpostejani. 23. Salaan, jos lähetän sellaista tietoa, että teja salaamattomina internetin yli. Käytän meidän tuottamaamme sähkö- 2. Luottamuksellinen tai salainen paneillemme lähetettävät viestit, jotka materiaali on politiikassamme lähtökoh- sisältävät luottamuksellista kaupallista tai taisesti sisäistä. teknistä tietoa. 2. Erikoistilanteissa, joissa Sovellan tätä myös ulkoiseen viestintään, vaikka ko. Käytössäni on salausratkaisu, jolla voin suuksista; varmennepohjainen salaus, tie- suojata viestit helposti. Sähköpostissa itsessään ei luottamuksellista aineistoa. ole suojausta, ja näin luottamuksellisuutta 2. Salaan viestini. Tietoturvapäällikkö Hellevi Huhanantti Väestörekisterikeskus Puheenjohtaja Juha Lappi Tietoturva ry 1. Salaan se edellyttää salausta, enkä tiedä, onko myös viestit aina silloin, kun asiakas vaatii yhteys kohteeseen salattu. viestiensä salausta. 2. Mutta kun puhu- muiden työntekijöidemme käytössä. Lue lisää sähköpostin salausmenetelmistä sivuilta 32?33. Tietoturva-asiantuntija Erkki Mustonen F-Secure linen ja/tai salainen aineisto pitää salata. 1. Lisäksi minulla on doston salaus, jatkossa salattu sähköposti. S/MIME-varmenne salausta varten, mutta Kyberturvallisuusjohtaja Jarno Limnéll Stonesoft sen käyttö on hankaluudesta johtuen todella vähäistä. taan ?confidential-tasosta. Salaan tilanteesta riippuen. Käytän PGP-salausohjelmaa. Salaan sellaiset asiakkaillemme tai kump- kekaan. Se on myös postin salauspalvelua. 1. tai sitä ylem- Apulaisjohtaja Kimmo Rousku Valtion IT-palvelukeskuksen tietoturvapalvelut mistä tasoista, en saa lähettää sähköpos- 1. Käytän eri salaustapoja riippuen vas- edellyttävä viestintä tulee suojata muutoin. taanottajan sähköpostin salausmahdolli- 2. politiikka ei tätä sinänsä kos- on pakko lähettää salaista materiaalia Turvallisuuspäällikkö Arttu Lehmuskallio TeliaSoneran Computer Security Incident Response Team olevista, käytämme ratkaisua, jossa vas- 1. Firmallani meen. taholle, joka ei käytä kumpaakaan yllä taanottaja saa salaamattoman ainutkertaisen linkin postiin ja salasanan puheli- on politiikka, jonka mukaan luottamuksel- ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i 4/2012 TIETOSUOJA. Salaan sähköpostiviestini, jos lähetän 1. Sisäiseen viestintään S/MIME-varmen- 2. Käytän omaa ratkaisuamme. ne, ulkoiseen PGP
Tietosuoja on hyvin merki- Tämä on erittäin varteenotettava riski nykykehityksen valossa?, Tommi Karttaavi sanoo. Turvallisuuden lisääminen rajoittaa aina ? Internetistä ei saa tulla liian turvallinen. 24?TIETOSUOJA 4/2012 jonkun oikeuksia. ?Reaalimaailmassa on pitkät perinteet siitä, mitä ja miten paljon rajoitetaan turvallisuuden nimissä. Tuolloin internet oli vielä toisia tietosuoja-asioista, vaikka pitäisi olla lähinnä yliopistopiirien väline. ?Nyt kun tuo tavoite on saavutettu, toi- esimerkiksi Facebookia käyttäessä?, Suvilehto huomauttaa. Karttaavi lisää, että kaikkea ei voi säätää kuten erilaisten tilaisuuksien järjestäminen, lailla. Jokaisen pitäisikin hänen mukaansa kansainvälinen yhteistyö sekä yhteiskun- perehtyä siihen, mitä tietosuoja tarkoittaa nallinen vaikuttaminen?, puheenjohtaja ja ottaa itse enemmän vastuuta omasta tie- Tommi Karttaavi sanoo. Teksti: Markku Summa Kuva: Olli Häkämies minnassamme painottuvat uudet asiat, tosuojastaan. Hallituksen varajäsen Jyry Suvilehto ?Sitä paitsi lainsäädäntö kulkee autta- pitää ykköstavoitteena sitä, että internet on mattomasti yleensä muutaman askeleen tulevaisuudessakin järkevä ja kestävä. teknisen kehityksen jäljessä.? Tietosuoja on internetin ydintä Kaikkia uhkia ei voi torjua Tietosuoja ja tietoturva eivät ole yhdistyk- Yhdistystä huolettavat pyrkimykset torjua sen toiminnan ydinasioita, mutta niitä seu- kaikki kuviteltavissa olevat internetin käyt- rataan aktiivisesti. töön liittyvät uhat. ?Tietotekniikan liitossa on tietoturvaan ?Internetistä ei saa tulla liian turvallinen. erikoistunut yhdistys, jonka kanssa emme Jos kontrollia lisätään, internet hajoaa osiin. halua kilpailla. Digitaalisessa maailmassa tapahtuu helposti ylilyöntejä?, Suvilehto lisää. Lisääntyvät haittaohjelmat ovat sekä t ietot urvan j a t ietosuoj an erikoisl ehti. Profiili: Suomen Internet-yhdistys Toimivan internetin puolesta Netinkäytön liiallinen valvonta huolettaa Suomen Internetyhdistystä. S uomen Internet-yhdistys perustet- tyksellinen asia internetin kehityksen kan- tiin levittämään tietoutta Internet- nalta?, Karttaavi sanoo. verkosta ja sen käytöstä vuonna ?Valitettavasti ihmiset eivät ole kovin tie- 1994
?Liityin yhdistykseen 2009. Sen ensisijainen ongelma on ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i Suomen Internet-yhdistyksen puheenjohtaja Tommi Karttaavi (vas.) työskentelee Kuntaliiton tietoyhteiskuntayksikössä. ?Ensi vuonna aion väistyä sivuun oltuani yhdistyksen hallituksessa 15 vuotta, joista puheenjohtajana 13.? Jyry Suvilehto (oik.) opiskelee tietotekniikkaa Aalto-yliopistossa. Olisi äärimmäisen vaikea toteut- ?Vanha järjestelmä IPv4 ei ole tehoton taa sellainen kielto, että viestien lähettäjän tai turvaton. Hallituksen varajäsen olen ollut vajaan vuoden.? 4/2012 TIETOSUOJA. 25. Karttaavin että Suvilehdon mukaan kasvava jälkien salaaminen ei olisi mahdollista?, Kart- ongelma, johon on jo herätty. Se on Karttaa- ?Tässäkin teknologia kulkee lainsäädän- vin mukaan tulossa, mutta pitkällä viiveellä. nön edellä. He muistutta- taavi toteaa. vat kuitenkin, että ei ole internetin syy, kun ihmiset tekevät rikoksia. Yhdistys liputtaa sen puolesta, että inter- Harvalla on kiire uuteen osoitejärjestelmään netiä on mahdollisuus käyttää myös ano- Internetin ajankohtaisia uudistuksia on nyymisti. uusi osoitejärjestelmä IPv6
\ t ietot urvan j a t ietosuoj an erikoisl ehti. Esimerkiksi kuin EU-tasolla yhdessä muiden kansallis- Helsingin kaupungin nettisivujen verkko- 26?TIETOSUOJA 4/2012 ?Nämä kaikki ovat asioita, jotka ovat nuksia hallinnoiva kansainvälinen järjestö ten yhdistysten kanssa?, Suvilehto sanoo. onkin kyrillisen koppaan. aakkoston k eikä latinalaisen aakkoston k. Verkkotunnukset haastavat tavaramerkit Toinen internetin uudistus koskee verkko- Sivustoa saattaa hallinnoida joku muu taho kuin Nokia ja erilaisia variaatioita on liikaa, että Nokia voisi varmuuden vuoksi varata kaikki turvatakseen brändinsä.? tunnuksia eli domain-päätteitä. Profiili: Suomen Internet-yhdistys Suomen Internet-yhdistys ? Perustettu vuonna 1994. \ www.siy.fi ? Jokaisen pitäisi ottaa enemmän vastuuta omasta tietosuojastaan. osoitteiden riittävyys. Pyrimme ICANN päätti kesällä 2011 internetin nimi- vaikuttamaan kehityksen niin Suomessa järjestelmän vapauttamisesta. Erilaisten kohteiden, tunnus voisi olla .helsinki. jotka tarvitsevat IP-osoitteen, määrä kasvaa Uusista verkkotunnuksista ei Tommi vielä nopeammin kuin internetin käyttäjien Karttaavin mukaan aiheudu merkittäviä määrä?, hän sanoo. tietoturvaongelmia. Jyry Suvilehto kertoo, että uudessa jär- ?Tavaramerkkien haltijat sen sijaan jou- jestelmässä oli suunnitteluvaiheessa paljon tunevat tekemään suojaavia rekisteröintejä ominaisuuksia, joita vanhasta puuttui. jopa satoihin uusiin domain-päätteisiin. ?Vuosien kuluessa IPv4:ä on uudistettu ICANN on kyllä pyrkinyt parantamaan tava- siinä määrin, että se ajaa saman asian kuin ramerkkien suojelumekanismeja, mutta uusi.? nähtäväksi jää, miten hyvin ne käytännössä Lisäksi erilaisilla vippaskonsteilla osoitteiden määrä on saatu riittämään. ?Tästä syystä hyvin harvalla on kiire vaihtaa vanha uuteen.? toimivat.? Oma ongelmansa on kansainvälistetyissä osoitteissa, Jyry Suvilehto sanoo: ?i-latinalaisten merkkien tukeminen IPv6 tulee Suvilehdon mukaan jossakin osoitteissa johtaa siihen, että käyttäjä ei vaiheessa leviämään kaikkien käyttöön, välttämättä huomaa menevänsä no?ia. mutta vanhaa ei tulla heittämään romu- com-osoitteeseen jossa . Vuodesta 1999 lähtien yhdistys on toiminut myös kansainvälisen Internet Societyn (ISOC) Suomen osastona, nimellä ISOC Finland. ? Tietotekniikan liiton jäsenyhdistys, jäseniä on 120. ? Jäsenkunta koostuu tietotekniikan parissa työskentelevistä, mutta mukana on myös muun muassa sellaisia lakimiehiä ja markkinoinnin ammattilaisia, jotka kokevat internetin liittyvän keskeisesti heidän työhönsä. ? Hallituksen puheenjohtaja on Tommi Karttaavi. Verkkotun- agendallamme tavalla tai toisella
?TietosuojaUudistunut Tietosuoja ilmestyy maaliskuussa 2013. lehti uudistuu Tietosuoja-lehti kysyi tänä syksynä osalta lukijoistaan mielipiteitä lehdestä osana sen sisällöllistä uudistusta. Näkemykset ovat osaltaan vaikuttamassa lehden ensi vuoden muutoksiin. 27. Toimitus kiittää lukijakyselyyn vastanneita arvokkaasta palautteesta. 3/2012 tietosuo van ja tietotur isl jan eriKo | 15 ? ehti DET: IKEUis O N Ä J I K n E T ffaaja syy sä Sur uo \ tietos Kunnat ja-asetus ta \ urKin \ tietom asumin urrot \ ? liisi en \ Po Uudistuksia alkaen numerosta 1/2013: ? Päätoimittajana on Viestintäviraston Verkot ja turvallisuus -tulosalueen johtaja Timo Lehtimäki. ? Toimitusneuvoston jäsenmäärä kasvaa, mikä näkyy lehdessä sisällön monipuolistumisena. ? Lehden rakenne muuttuu: Lyhyesti-palsta ja kolumni siirtyvät lehden alkuun. ? Tietosuojalautakunnan toiminta ja päätökset ovat nykyistä näkyvämmin esillä. ? Kuvitus muuttuu. ? Logo ja kansi uudistetaan. Tietosuoja ilmestyy ensi vuonnakin 4 kertaa, ja se käsittelee nykyiseen tapaan tietosuojan, tietoturvan, yksityisyyden ja viestinnän luottamuksellisuuden ajankohtaisia asioita. Lehteä julkaisevat tietosuojavaltuutetun toimisto, tietosuojalautakunta, Viestintävirasto sekä Patentti- ja Rekisterihallitus. ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i 4/2012 TIETOSUOJA
Asetuksen tärkeimpiä tavoitteita ovat sääntelyn yksinkertaistaminen ja yhdenmukaistaminen sekä hallinnollisen taakan keventäminen. Euroopan komissio antoi ehdotuksen yleisestä tietosuoja-ase- tuksesta tammikuussa 2012. Uudistuva tietosuojalainsäädäntö Yhteisille säännöille kyllä, byrokratialle ei Yritysten mielestä EU:n tietosuojaasetusehdotuksessa on kannatettavia periaatteita, mutta niiden toteuttamisen pelätään lisäävän merkittävästi hallinnollista taakkaa yrityksissä. Teksti: Päivi Männikkö | Kuva: Shutterstock B rysselin hallintokortteleiden käytävillä käydään nyt kovaa vääntöä komission ehdottaman tietosuojalainsäädännön uudistuspaketin sisällöstä. Asetusehdotuksella komissio pyrkii nyt siihen, että tietosuojan pelisääntöjä toteutettaisiin joka maassa samalla tavalla. Yritysten mukaan ehdotus johtaisi yritysten sisäisen byrokratian kasvuun tuomatta vastaavasti merkittäviä uusia hyötyjä. Yhden luukun periaate saa kehuja Kärjistetysti EU:ssa on nyt 27 hieman erilaista mallia, joilla henkilötietodirektiivin vaatimuksia toteutetaan kansallisessa lainsäädännössä ja viranomaistyössä. Asetus on EU-maita suoraan velvoittavaa lainsäädäntöä. Useaan jäsenvaltioon sijoittautuneet yritykset toimivat 28?TIETOSUOJA 4/2012 t ietot urvan j a t ietosuoj an erikoisl ehti. Asetusehdotusta käsitellään neuvostossa ja Euroopan parlamentissa vuonna 2013. Komission asetusehdotusta on luettu yrityksissä vaihtelevin reaktioin
Käytännössä ehdottaa parannuksia tai kieltää käsittelyn. henkilötietojen käsittely pitää dokumen- Yrityksiä uudet menettelyt ja niistä laa- toida ja arvioida, toteutuvatko asetuksen ditut pykälät kummastuttavat, koska vas- velvoitteet. tuulliset yritykset ovat ennenkin arvioi- Puhelinyhtiö Nokian tietosuojalakimie- ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i neet vaikutuksia osana henkilötietolain 4/2012 TIETOSUOJA. Tietosuojavel- merkittävästi yksityiskohtaisempaa säänte- voitteet tulisi kirjata lyä?, huomauttaa Elinkeinoelämän keskus- asetukseen selvästi liiton asiantuntija Niina Harjunheimo. mutta jättää käytän- ?Henkilötietodirektiivissä on reilut 30 nön toteutus rekiste- ? Pelisääntöjen pitäisi olla mahdollisimman selkeät. artiklaa, komission ehdotuksessa reilut 90 rinpitäjien huoleksi. ehdotuksen mukaan pääasiassa yhden hen Mikko Nivan mielestä tilivelvollisuu- maan tietosuojaviranomaisen kanssa, jolla den käsitettä tulkitaan ehdotuksessa liian on oikeus valvoa organisaation henkilötie- jäykästi: ratkaisevaa näyttäisi olevan rekis- tojen käsittelyä kaikissa EU-maissa. 29. Viran- terinpitäjän koko, ei niinkään tietojenkäsit- omaislinjan yhtenäistämiseksi jäsenmaiden telyn luonne. Viranomaisen tehtävä artiklaa sekä runsaasti valtuussäännöksiä, on neuvoa ja valvoa. joiden nojalla komissio voisi antaa vielä asetusta yksityiskohtaisempaa sääntelyä.? Harjunheimon mukaan byrokratiaa on vähennettävä neuvottelujen aikana. Hallinnollinen taakka siirtyy yrityksille Komission tavoitteena on keventää rekis- ?Tavoitteena tulee olla helposti sovellet- terinpitäjien hallinnollista taakkaa vähen- tavat yleissäännökset, kuten oikeusministe- tämällä viranomaiselle tehtäviä etukä- riökin on linjannut.? teisilmoituksia. Sen käsittelyn jokainen vaihe tehdään lainsää- perusteella tietosuojaviranomainen voi dännön mukaisella tavalla. Esimerkiksi tietosuojavastaa- tietosuojaviranomaiset tekevät yhteistyötä van nimeämistä vaaditaan vain vähintään ja vaihtavat tietoja entistä tiiviimmin. 250 työntekijän organisaatiolta. Yhden luukun periaate saa yrityksiltä kiitosta. ?Säännösten yhdenmukaistaminen ja yhden toimivaltaisen viranomaisen malli ?Esimerkiksi sovelluskehittäjällä ei välttämättä ole 250 työntekijää, mutta siellä voi kuitenkin olla kymmenien tai satojen miljoonien käyttäjien henkilötietoja.? tekevät EU:ssa toimimisen helpommaksi?, ?Meidän mielestämme rekisterinpitä- sanoo internetyhtiö Googlen policy mana- jällä pitää olla organisaation luonteen huo- ger Martin Ruby. mioiva sekä käsiteltävän tiedon laatuun ja Paljon uusia pykäliä riskeihin sovitettu, johdonmukainen lähestymistapa tietosuojaan?, Niva tiivistää. Komissio haluaa yksinkertaistaa tietosuo- Hän peräänkuu- jasääntelyä, mutta asetusehdotus saattaa luttaa lisää jousta- elinkeinoelämän mukaan johtaa päinvas- vuutta siihen, miten taiseen lopputulokseen. rekisterinpitäjä järjes- ?Ehdotus sisältää nykyistä henkilötieto- tää sisäisen toimin- direktiiviä ja kansallista henkilötietolakia tansa. Rekisterinpitäjän on kyet- tietojen käsittelyä, rekisterinpitäjän tulee tävä itse todentamaan, että henkilötietojen tehdä arvio käsittelyn vaikutuksista. Yritysten mukaan uudet Tilivelvollisuuden toteutus turhan säänneltyä menettelyt, vaikutustenarviointi ja ennakkohyväksyntä, kuitenkin lisäävät yritysten sisäistä hallinnollista työtä. Uutuutena ehdotuksessa edellytetään, että Jos henkilötietojen käsittelyyn liittyy eri- rekisterinpitäjät noudattavat tilivelvollisuu- tyisiä riskejä, esimerkiksi arkaluonteisten den periaatetta
\ suunnittelu- ja huolellisuusvelvoitetta. Ehdotuksen mukaan vaikutustenarviointiin on myös pyydettävä rekisteröityjen näkemyksiä suunnitellusta henkilötietojen käsittelystä. todella nopeita ja joustavia, ja se tuo tietosuojan suunnittelulle erityisiä vaatimuksia. Se täytyisi myös asetuksessa ymmärtää.? Korkeat sakot ihmetyttävät ?Ajatuksena kaunis mutta käytännössä Asetusehdotuksessa tietosuojaviranomai- johtaa hirveään byrokratiaan?, kommentoi set saavat oikeuden määrätä sakkoja tie- lakimies Saara Lifflander tavaratalokon- tosuojaa laiminlyönneille rekisterinpitäjille. serni Stockmannista. Summat vaihtelevat 250 000 eurosta tai ?Myös ennakkohyväksynnät tuovat 0,5 prosentista maailmanlaajuisesta liike- todella paljon byrokratiaa, josta piti päästä vaihdosta aina miljoonaan euroon tai 2 pro- eroon.? senttiin liikevaihdosta asti. Tuotekehityksen vaatimuksia ei ole huomioitu vat ylimitoitetuilta?, sanoo lakimies Jaakko ?Taloudelliset seuraamukset vaikuttaLindgren IT-palveluyritys Tiedosta. Nokian ja muiden paikkatietoja hyödyntä- ?Suomessa lähdetään yleensä siitä, että vien yritysten kannalta erityisen tärkeää on, seuraamukset ovat linjassa aiheutetun vaatiiko tuleva asetus vaikutustenarvioin- Profilointi: uhka vai etu? vahingon kanssa. Oikeus tulla unohdetuksi ei kuitenkaan välttämättä ole nopea tie kiusallisen menneisyyden pyyhkimiseen pois netistä. \ 30?TIETOSUOJA 4/2012 t ietot urvan j a t ietosuoj an erikoisl ehti. Tässä seuraamukset ovat tia ja ennakkohyväksyntää paikkatietojen Lisää netissä: osin irronneet tästä periaatteesta.? käsittelylle. www.tietosuoja-lehti.fi Saara Lifflander arvostelee sitä, ettei ?Melkein kaikki älypuhelimen sovelluk- viranomaisille jätetä harkintavaltaa. Sak- set käyttävät paikkatietoja. Uudistuva tietosuojalainsäädäntö Oikeus tulla unohdetuksi ei ulotu kauas Jos asetus toteutuu ehdotuksen esittämässä muodossa, tulevaisuudessa käyttäjä voi pyytää palveluntarjoajaa poistamaan hänen tietonsa verkkopalvelusta. Tätä mieltä on internetyhtiö Google. Informaatioteknologian kaikki mahdollinen paperi kulkee viran- tuotekehityssyklit voivat kuitenkin olla Euroopan tietosuojaviranomaisten työryhmän lausunto tietosuojalainsäädännön uudistuspaketista: http://ec.europa.eu/justice/dataprotection/index_en.htm > Article 29 Working Party \ omaiselle.. Eihän yhdellä- koa rapsahtaa niin inhimillisen erehdyksen kään tietosuojavaltuutetulla riitä resurssit, kuin tahallisen piittaamattomuuden aiheut- jos pelkkä paikkatiedon käsittely jo johtaisi tamista laiminlyönneistä. ennakkohyväksyntämenettelyyn?, Mikko Niva korostaa. ?Ylipäätään ehdotuksen taustalla on selvästi ollut perinteinen näkemys, jossa tuo- aiheesta enemmän Mikko Niva pohtii myös, onko seuraamusten painopiste asetettu oikein, kun se näyttäisi olevan viranomaisten kanssa toimimiseen liittyvissä laiminlyönneissä. tekehityshanke etenee kuukausien ajan ?Se ohjaa riskienhallintaan vakavasti tiettyjen selvien vaiheiden kautta, ja kaikki suhtautuvia yrityksiä varmistamaan, että dokumentoidaan. Policy manager Martin Rubyn mukaan oikeus tulla unohdetuksi on periaatteena kannatettava mutta vaikeasti toteutettavissa. ?Kun julkaisee netissä jotakin eikä myöhemmin enää halua sen olevan julkista, voi ottaa tiedot pois tililtään tai sulkea nettisivunsa. Mutta tieto voi silti olla tallella netissä?, Ruby huomauttaa. ?Joku muu on voinut tallentaa tiedot omalle sivulleen tai tililleen, ja tätä on äärettömän vaikeaa, ellei mahdotonta jäljittää.? ?Enkä usko että kukaan haluaa, että yksityinen yritys seuraa, mitä tietoa netistä ladataan ja kuka sitä lataa?, Ruby lisää
Jos nettikävijä hakee mat- toisen päätöksen sen sallimisesta tai kieltämisestä. Mutta kaa, selaimelle näytetään todennäköisesti matkamainoksia. koska verkkomainontaa kohdennetaan vielä suhteellisen Evästeet eivät kuitenkaan yksinään rekisteröi henkilötietoja. vähän, kohdentamisen kieltäminen ei vaikuta mainonnan Mainostaja ei siis tiedä, kuka istuu ruudun takana, ainoas- määrään, ainoastaan sen kiinnostavuuteen. \ taan, missä selain liikkuu. Moni kuluttaja kokee varmasti, että on hyödyllistä saada häntä kiinnostavaa mainontaa. 31. Kuvaketta klikkaamalla kuluttaja saa lisätietoja kohdentamisesta, tietojen kerääjistä ja siitä, miten kohdentamisesta voi päästä eroon. Kaikissa EU-maissa käytössä tumassa verkkoon, jossa käyttäjien kiinnostuksenkohteita oleva ohjeistus on sivustolla www.youronlinechoices.com, seurataan klikkausten perusteella. ja siihen ovat sitoutuneet myös suuret amerikkalaisyritykset Klikkaukset aktivoivat pieniä tiedostoja, evästeitä, jotka muistavat selaimeen liittyvät käyttäjätunnukset ja salasanat Google, Microsoft ja Yahoo. Evästeet tilastoi- Ala on sitoutunut auttamaan kuluttajia ymmärtämään, vat sivustot, jossa selain käy, ja määrittävät sillä perusteella miksi mainontaa kohdennetaan, jotta he voivat tehdä tie- kävijän mielenkiinnon kohteet. Sähköisen viestinnän tieto- ja IAB Finlandin tietosuojatyöryhmän puheenjohtaja. ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i 4/2012 TIETOSUOJA. Verkkomai- tuu, ettei mainonnan merkitystä kuluttajille ja nonta-alan järjestö IAB Finland on ohjeistanut jäseniään koko yhteiskunnalle tunneta riittävän hyvin. lain edellyttämistä evästesäännöistä. Mainonta edistää myyntiä ja lisää yritysten työllistä- Alan mielestä mainonnan kohdentamisesta on avoimesti mismahdollisuuksia. Kolumni 4/2012 Petra Wikström M MTV Oy Kohdennettu mainonta . Usein tun- ne tulee voida kieltää selainasetusten avulla. Ilman mainontaa ei ole suomalaisia kerrottava kuluttajille. hyödyksi vai haitaksi? ainonnan määrästä ja muodoista käydään suojalain mukaan evästeiden käytöstä on tiedotettava, ja aika ajoin tunteikasta keskustelua. Vaikka mainonnan kokonaismäärä ei tällä teisesti laatinut kohdennetun verkkomainonnan ohjeet. hetkellä kasva, verkkomainonta on vuosittain noin 15 prosentin nousussa. Jotta mainonta olisi tehokasta, viestejä suunnataan tietyille kohderyhmille. Tästä syystä IAB:n eurooppalainen mediasisältöjä, joiden parissa suomalaiset viettävät yli 7 kattojärjestö on muiden alan järjestöjen kanssa oma-aloit- tuntia päivässä. Televisiossa, radiossa ja printtimediassa on aina kohdennettu mainontaa mieltymysten mukaan. Nyt sama käytäntö on rantau- ? Niiden mukaan kuluttajille kerrotaan kuvakkeella, mitkä Mainostaja ei tiedä, kuka istuu ruudun takana. hänen näkemistään mainoksista ovat kohdennettuja. Suomalaiset mainosverkostot ottavat kuvakkeen käyttöön 2013 alussa. sekä tietyt valinnat, kuten kieliasetukset. Jotkut taas eivät halua, että Petra Wikström on MTV MEDIAn yhteiskuntasuhdejohtaja heidän surffailuaan seurataan
Mistä sähköpostille toimiva salausmenetelmä? ? Vaikka viestin sisältö on salattu, välitystiedot ja otsikko eivät välttämättä ole. 32?TIETOSUOJA 4/2012 t ietot urvan j a t ietosuoj an erikoisl ehti
Viestin salaamista var- ole kovin turvallinen. Vastaanottaja saa ranomaisesta CERT-FI:stä mainitsee salauskeinoista linkin www-palveluun, josta viestin voi käydä luke- ensimmäisinä avoimen lähdekoodin PGP:n ja siru- massa joko kerran tai määräajan. kortilla olevaa varmennetta käyttävän S/MIMEn. Varmenteen käyttö vaatii perehtymistä Lisäksi Husa mainitsee viestien salaamisen paikallisesti ja salasanan toimittamisen jotakin toista kanavaa pitkin vastaanottajalle. Sähköpostin salaamiseen ja purkamiseen voidaan ?Yksinkertaisimmillaan tämä voi olla salasanalla käyttää Väestörekisterikeskuksen myöntämää äly- suojattu pakattu zip-tiedosto, joka ei kuitenkaan kortilla olevaa varmennetta. Tällöin lähettäjällä ja vastaanottajalla käyttö viestien salaamiseen vaatii tuen sähköpos- täytyy yleensä olla käytössä sama salausohjelmisto.. \ tiohjelmalta. ?Esimerkiksi Outlook osaa käyttää varmenteita viestien salaamiseen, mutta ominaisuuden käyttö vaatii jonkin verran perehtymistä?, toteaa Husa. PGP perustuu luottamusverkostoon Avoimen lähdekoodin ratkaisu PGP on käytössä erityisesti tietoturvayhteisöissä ja ?nettinörteillä. muutenkin. ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i Miten tietoturvan ammattilaiset salaavat sähköpostinsa? Lue sivuilta 22?23. 4/2012 TIETOSUOJA. Julkisia postikorttiin: kumpaankaan ei kannata kir- avaimia voi tallentaa julkisiin avainpalvelimiin, joista joittaa tietoa, joka on tarkoitettu vain vas- lähettäjä voi etsiä niitä.? taanottajan nähtäväksi. Tiedostojen salaamista varten ten tarvitaan vastaanottajan julkinen avain, joka löy- on myös salaukseltaan kehittyneempiä, kaupallisia tyy VRK:n sivujen varmennehausta. Jos haluaa lähettää salattavaa luottamuksellista tietoa sähköpostissa, sähköposti pitää salata. 33. tai sitten ei. Sisältöä voi suojata Ratkaisuissa on eroja myös salaamiseen ja salauksen purkuun tarvittavien avainten kannalta. PGP perustuu käyttäjien luottamusverkkoon, kun taas Väestörekisterikeskuksen varmennejärjestelmässä avainten varmentaminen on keskitettyä. Sähköpostien salausta ei tehdä yleisesti yksinkertai- ?Yksinkertaistetusti sirukortin varmenteet var- sesti siitä syystä, että helppoa, kaikissa järjestelmissä menteet on allekirjoittanut valtio, PGP-avaimet taas toimivaa salausmenetelmää ei kerta kaikkiaan ole. ovat muiden PGP-käyttäjien allekirjoittamia?, Husa On kuitenkin joitakin keinoja, joilla viestin sisältöä matkalla lähettäjältä vastaanottajalle voi suojata. tiivistää. Samalla täytyy muistaa, että vaikka viestin sisältö Muitakin keinoja on salattaisiinkin, viestin välitystiedot ja otsikko eivät Muita sähköpostin salauskeinoja voivat olla erilaiset pääsääntöisesti ole salattuja. ?turvapostijärjestelmät?, joissa viesti lähetetään ja Tietoturva-asiantuntija Ari-Matti Husa Viestintä- salataan joko sähköpostipalvelimeen asennetun lisä- virastossa toimivasta kansallisesta tietoturvavi- osan avulla tai webmailin kautta. Yksinkertaista . Varmenteiden ohjelmistoja. Sähköpostien salaus ontuu, koska käytössä ei ole helppoa ja kaikissa järjestelmissä toimivaa menetelmää. Teksti: Marjo Rautvuori | Kuva: Rodeo S alaamatonta sähköpostiviestiä verrataan ?Tälle löytyy kohtuullinen tuki joihinkin ohjelmis- viestinnän luottamuksellisuuden kannalta toihin, esimerkiksi Mozilla Thunderbirdiin
Tämä saattaa johtaa virheelliseen lopputulokseen, eikä se ole riittävä menettelytapa?, Lankinen huomauttaa. t ietot urvan j a t ietosuoj an erikoisl ehti. Työsäh- osoittautunut vaikeaksi, mikä myös on aiheuttanut köpostilaatikoihin tulvivat mainosvies- yhteydenottoja?, Lankinen kertoo. tit ovat poikineet viime vuosina aiempaa enemmän kyselyjä tietosuojavaltuutetun toimistolle. ?Työntekijät ja esimiehet ovat kyselleet B2B-mark- Titteli ei aina kerro työtehtävää kinoinnin pelisäännöistä?, kertoo ylitarkastaja Hanna Sähköisen viestinnän tietosuojalain mukaan yhtei- Lankinen. sölle saa lähettää suoramarkkinointia, ellei yhteisö ?Tähän on ollut tarvetta, koska he ovat kokeneet, ole sitä kieltänyt. Tätä ei aina ole huomioitu, mikä erillistä maksua. on aiheuttanut kanteluita tietosuojavaltuutetulle?, Lankinen kertoo. ? Kun markkinoija ostaa osoiterekisterin, hänestä tulee rekisterinpitäjä. 34?TIETOSUOJA 4/2012 Työntekijän työtehtävien selvittäminen markkinointia varten riittävän tarkasti ei aina ole helppoa. ?Pelkästään työntekijän tittelin tai ammattinimikkeen perusteella ei pidä päätellä, mitä työtehtäviä hänelle kuuluu. Työntekijöiden sähköpostiosoittei- että työsähköpostiosoitteisiin on lähetty suoramark- siin saa kuitenkin lähettää markkinointia vain, jos sii- kinointia, joka ei ole liittynyt vastaanottajien työteh- hen on ennakkosuostumus, tai jos tarjottava tuote tai täviin tai yrityksen toimintaan ylipäänsä.? palvelu liittyy henkilön työtehtäviin. Suoramarkkinointiviestissä on aina oltava lähet- ?Pelkkä viestin liittyminen jollain tavoin vastaan- täjän yhteystiedot, ja vastaanottajalle on tarjottava ottajan työhön ei riitä, vaan sen on liityttävä työteh- mahdollisuus kieltää markkinointi helposti ja ilman täviin olennaisesti. Työelämä Sähköinen suoramarkkinointi työpaikalla on taitolaji Työntekijän sähköpostiosoite on lailla rauhoitettu mainosviesteiltä, jotka eivät liity työtehtäviin. Teksti: Kirsi Castrén | Kuva: Maija Nyman Y ritysten yrityksille suuntaama sähköinen ?Suoramarkkinoinnin kieltäminen on ajoittain suoramarkkinointi kasvaa kohisten
Se on tietovaranto Rekisterin hankkija on rekisterinpitäjä kuluttajille ja yrityksille, mutta ei roskapostiyrittä- Yritysten yrityksille tekemää mainontaa varten on jille, jotka keräävät yhteystietoja myydäkseen niitä kaupan valmiita yhteystietorekistereitä. Yh- tapauskohtaisesti ja työnantajan työnjohto-oikeuden teystietojen keräämiseen roskapostittajat käyttävät pohjalta, koska työnantajalla on oikeus päättää, mitä hakurobotteja. Kun mark- Opasmedian Yritysoppaassa sadattuhannet yri- ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i 4/2012 TIETOSUOJA. ?Yksittäisen työntekijän työtehtävät määräytyvät eteenpäin tai lähettääkseen niihin roskapostia. 35. Hakurobottien tunnistamiseksi ja työtä kukin tekee.? torjumiseksi palvelussa on portinvartijaohjelmisto. Tie tukkoon hakuroboteilta toja laiteta suojaamattomalle verkkosivulle?, Tuomai- ?Sähköinen markkinointi on tällä hetkellä nopeimmin nen neuvoo ja muistuttaa samalla roskapostisuodat- kasvava markkinoinnin osa-alue?, vahvistaa toimitus- timien pitämisestä ajan tasalla. johtaja Mika Tuomainen Opasmedia Oy:stä. ?Yksi keino torjua roskapostia on, ettei yhteystie- tykset julkaisevat yhteystietonsa
Saa- spämmirekisteritoimittajia, jotka myyvät jakeleeko sitä eteenpäin organisaatios- tamme kysyä markkinointia varten esimer- joko varastettuja tai generoituja päättäjien, saan?, hän pohtii. Usein saadessani laitonta markkinoin- kuluttajamarkkinointiin. kokoama markkinointirekisteri, tia soitan viestin lähettäjälle ja kerron, miksi Esimerkiksi ravintola saattaa lähettää jonka tiedot yrityksistä perustu- sen lähettäminen on laitonta. \ 36?TIETOSUOJA 4/2012 t ietot urvan j a t ietosuoj an erikoisl ehti. \ Markkinoijien laintuntemus on usein heikkoa Ammattilainen peräänkuuluttaa alan osaamista ja vastuuta yrityksille suunnattavassa suoramarkkinoinnissa. kiksi, kuka yrityksessä vastaa henkilöautojen tyypillisesti toimitusjohtajien sähköposti- hankinnasta?, havainnollistaa toimitusjoh- osoitteita. Yleensä saan lounaslistansa säännöllisesti lähialueen vat viranomaislähteisiin ja puhe- vastaukseksi, että mainostoimisto suositteli kaikkien yritysten sähköpostiosoitteisiin toimimaan näin?, Viljanen kertoo. ilman ennakkosuostumusta. limitse tehtyihin taustaselvityksiin. Puhelinkeskustelussa kysytään tiedot muun muassa Laittoman sähköisen mainonnan yleisty- yrityksen kokoluokasta, liikevaihdosta ja mistä työpaikoilla selittää osaltaan markki- työntekijöiden asemavaltuutuksista. nointikanavan halpuus printtimediaan ver- ?Yhdessä yrityksessä talousjohtajan rattuna. Viljasen mielestä esimerkkitapauksessa liikutaan kuitenkin harmaalla alueella. ?Saattaisi ehkä olla perusteltua lähettää lounaslista esimerkiksi yrityksen henkilös- tehtäviin voi kuulua tietohallinto, toisessa ?Markkinoille on syntynyt niin sanottuja töasioista vastaavalle, joka sitten päättäisi, on tätä varten tietohallintopäällikkö. Näitä rekistereitä myydään hal- taja Marko Viljanen. valla yrityksille, joilla ei juuri ole varaa teh- ?Mainostoimisto sanoi näin? Viljasen kokemusten mukaan monissa suo- dä muunlaista markkinointia, kukkakauppiaista alkaen?, Viljanen kuvaa. A Harmaan alueen lounaslistat säädäntö tunnetaan huonosti. Teksti: Kirsi Castrén ramarkkinointia tekevissä yrityksissä lain- Rekistereitä myydään Viljasen mukaan jopa ?Toimitusjohtajana saan paljon markki- tarkoituksiin, jotka ovat lähtökohtaisesti nointiviestejä, joista vain harva liittyy työ- laittomia, kuten yrityksille suunnattavaan siakasvalinta.fi on JM Tieto Oy:n höni. xxx Työelämä ? Vastaanottaja saa kieltäytyä markkinoinnista. Lisää netissä: Näin torjut laittoman mainonnan. www.tietosuoja-lehti.fi kinoija ostaa rekisterin, hänestä tulee samalla henkilötietolain tarkoittama rekisterinpitäjä, jota koskevat lain velvoitteet henkilötietojen suojaamisesta, säilyttämisestä ja asianmukaisesta käytöstä. aiheesta enemmän Tietosuojavaltuutetun toimisto pyrkii selvittämään alan kokonaistilannetta sekä edistämään lainmukaisia toimintatapoja muun muassa siten, että se järjestää suoramarkkinoinnista kaksi työpajatilaisuutta joulukuussa 2012. Niissä aihetta käsitellään viranomaisten, yrittäjäjärjestöjen sekä suoramarkki- Tietosuojavaltuutetun toimiston Sähköisen suoramarkkinoinnin ohjeet: www.tietosuoja.fi/26256.htm \ nointialan edustajien kesken
Teks- säädäntö ei pysy perässä. Keskeistä tässä on Lähteinä on käytetty Reijo Aarnion esitelmää Knowri§ht-tapahtumassa 26.11.2012 sekä tietosuojavaltuutetun toimiston vuosikertomusta 2011 ja tulossopimusta 2012. 4/2012 TIETOSUOJA. On siis selvää, että tarkastukset ovat tehoton tapa lisätä luottamusta?, Aarnio sanoo. Ohjaustyön strategiana onkin ongelmien ennaltaehkäisy. Uusiin ilmiöihin uudistettu tietosuojalainsäädäntö on tari, meili ja netti olivat jo tuttuja käsitteitä. pitää soveltaa hyväksi havaittuja yleisiä hyväksytty ja sitä ryhdytään soveltamaan Sen sijaan sosiaalisesta mediasta ei moni- periaatteita. käytännössä. Tietosuojavaltuutetun toimisto 25 vuotta Ydintehtävänä on yhä luottamuksen turvaaminen. Teksti: Päivi Männikkö K ?Luottamuksen lisääminen on edelleen ydinkysymys.? sidosryhmäyhteistyö esimerkiksi edunvalvontajärjestöjen kanssa. Tietosuojaval- Tietosuojavaltuutetun toimisto on viettä- sähköposteista ja internetistä oli- tuutetun toimiston visio vuosille 2011?2020 nyt juhlavuotta työn merkeissä: toimisto on vat kuulleet lähinnä tietoliikenteen onkin: tietosuoja on menestystekijä. järjestänyt sidosryhmille työpajoja tietosuo- Rekisterinpitäjät tulisi saada ymmärtä- asiantuntijat. Toimistolle strategia, arvot ja visio ovat jan ajankohtaisista teemoista, kuten suoramarkkinoinnista ja tietomurroista. Kun nykyinen tietosuojavaltuutettu päivittäisen päätöksenteon työvälineitä. Reijo Aarnio aloitti virassaan vuonna 1997, Maailma muuttuu niin nopeasti, että lain- Työtä riittää lähivuosinakin, kun EU:n tietoyhteiskunta näytti toisenlaiselta. Internetissä ihmiset jakavat tava tehtävä yhteiskunnassa, jossa tietojen Aarnio sanoo. henkilökohtaisia tietoja itsestään. käsittely liittyy lähes kaikkeen toimintaan. ?Esimerkiksi verotustiedot pysyvät Suo- Haasteena on 20 työntekijän toimiston voi- messa julkisina niin kauan kunnes edus- mavarojen riittävyys. kunta toisin päättää.. Suomessa mahdollinen tuleva kaan ollut kuullut, pilvipalveluista ja big datasta puhumatta. Kun nyt lähestymme vuotta 2013, kaikki Painopiste on ennaltaehkäisyssä tietosuoja-asetus ei näytä merkitsevän suurta mullistusta: Aarnion mukaan moni EU-tason uutuus on jo pitkään ollut Suo- edellä lueteltu kuuluu keittiösanastoon. Toimiston tehtävänkuva on laaja: henkilö- Tietoverkoissa liikutellaan terveystietoja ja ja luottotietojen käsittelyä koskevien asioi- Uusi asetus jättää yllättävän paljon liik- luottokorttien numeroita maiden ja maan- den ratkaiseminen ja seuraaminen on kat- kumavaraa kansalliselle lainsäädännölle, osien välillä. Lisäksi tieto- Esimerkiksi EU-kansalaisille tehtyjen suojavaltuutettu on perustanut pysyviä kyselyjen valossa ihmiset eivät luota siihen, yhteistyöryhmiä esimerkiksi sosiaali- ja ter- että heidän henkilötietonsa ovat turvassa veydenhuoltoon sekä opetusalalle. tietoverkoissa. un tietosuojavaltuutetun toimisto mään, että kuluttajien vahvempi luottamus Tietosuoja-asetus lähiajan tärkein hanke perustettiin 1987, tekstiviesteistä, lisäisi palveluiden käyttöä. \ Kaikesta päätellen tietosuojavaltuutetun toimiston työsarka ei tule ainakaan vähenemään. Tietosuojasta menestystekijä Vaikka tietoyhteiskunta on muuttunut ja tulee muuttumaan, Reijo Aarnion mielestä yksi asia on pysyvää: ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i men henkilötietolaissa. ?Suomessa on noin miljoona tietojärjestelmää, ja tietosuojavaltuutetun toimisto tekee vuodessa noin 20 tarkastusta. 37
Biopankkilain tulkinnanvaraisuus heikentää tietosuojaa 38?TIETOSUOJA 4/2012 t ietot urvan j a t ietosuoj an erikoisl ehti
Biopankissa olevia on käytännössä aina kysymys arkaluonteis- näytteitä voi käyttää kaikkiin biopankin toi- ten henkilötietojen käsittelystä?, muistuttaa minta-alueen mukaisiin tutkimuksiin, kun tietosuojavaltuutettu Reijo Aarnio. aiemmin näytteen antajan suostumus kattoi vain tietyn sairauden. Biopankkilain voimaantulon ajankohta sen muista.? Ongelmallinen laaja suostumus ?Näytteiden ja niihin liitettyjen tietojen Biopankkilain mukaan sillä pyritään tuke- koodaaminen ei vielä muuta aineistoa tun- maan ihmisperäisten näytteiden nykyistä nisteettomaksi?, hän jatkaa. laajempaa ja tehokkaampaa tutkimuksel- on vielä avoin. Suostumuk- huollon yksiköillä olevat vanhat näytteet tunnisteet eivät lähtökohtaisesti mahdol- sesta voi kieltäytyä, ja sen voi peruuttaa. voidaan siirtää biopankkeihin. Terveyden- todennut, että vaikka käytettävissä olevat kysymättä uusia suostumuksia. 39. Laki tulee saamaan lopulli- EU:n tietosuojaviranomaisten työryhmä sen hahmonsa ensi vuonna valmistuvissa on henkilötiedon käsitettä koskevassa lau- asetuksissa. sunnossaan 4/2007 käsitellyt myös välillistä Suostumus uuden näytteen tallentami- hallussa) mahdollistavat henkilön erottami- tunnistettavuutta: lista käyttöä ottamalla käyttöön laajan suostumuksen käsitteen. Laajan suostumuksen perusteella luovuttajan näytteitä voidaan käyttää biopan- seen biopankkiin pyydetään aina potilaalta ?Tietosuojatyöryhmä on lausunnossa kin toiminta-alueen mukaisiin tutkimuksiin tai tutkimuksen osallistujilta. tekes, markus sommers Biopankissa olevat kudos- ja solunäytteet sekä niihin liitetyt tiedot ovat koodattuinakin arkaluonteisia henkilötietoja, jos koodaus voidaan purkaa. Teksti: Kirsi Castrén E duskunnan lokakuussa hyväksymä Henkilöllisyys ei saisi paljastua myöskään taa silti olla ?tunnistettavissa?, koska tunnis- biopankkilaki mahdollistaa ihmis- näytteiden yhteydessä käytettävistä poti- teet yhdistettyinä muihin tietoihin (joiden peräisten kudos- ja solunäyttei- lastiedoista. ei välttämättä tarvitse olla rekisterinpitäjän den hyödyntämisen tutkimukseen ?Biopankkitoiminnassa ja -tutkimuksessa nykyistä laajemmin. Jos henkilö lista henkilön tunnistamista, henkilö saat- ?Tärkeää onkin, että biopankkitutkimuk- ei halua, että hänen näytteensä siirretään seen näytteitä ja arkaluonteisia henkilötie- biopankkiin, hän voi pyytää sen poistamista. toja luovuttavat henkilöt todella ymmärtä- tekes, markus sommers Arkaluonteisten tietojen käsittelyä Laki herätti valmisteluvaiheessa runsaasti keskustelua yksityisyydensuojasta. Biopankissa tutkijat eivät saa tietoonsa näytteen antajan henkilöllisyyttä ilman erillistä suostumusta, vaan näytteet koodataan. ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i ? Biopankkilakia täydennetään 2013 valmistuvilla asetuksilla. vät, mitä laajan suostumuksen antaminen käytännössä tarkoittaa?, Aarnio painottaa. Hänen mukaansa laaja suostumus on osin ongelmallinen henkilötietojen käsittelyn näkökulmasta. ?Tietosuojalainsäädäntö edellyttää jo tällä hetkellä sitä, että henkilötietojen käsittelyyn oikeuttava suostumus on vapaa- 4/2012 TIETOSUOJA
Uusi laki edellyttää, että biopankin perustamisesta ilmoitetaan valtakunnalliseen rekisteriin, jota ylläpitää Valvira. Suurin olemassa oleva tutkimusnäytekokoelma on Terveyden ja hyvinvoinnin laitoksen hallussa, ja siitä perustetaan biopankki. Biopankkitoiminnan arvioidaan laajenevan kaikkiin yliopistosairaaloihin lähivuosina. Arkaluon- Tietosuojavaltuutettu toi biopankkilain teisten tietojen osalta edellytetään myös valmistelun yhteydessä esille sen, että tieto- nimenomaisuutta, joka entisestään koros- suoja-asetuksen vaatimuksiin olisi kiinnitet- taa suostumuksen yksilöintivaatimusta.? tävä huomioita jo lain valmisteluvaiheessa. Tietosuoja on onnistumisen edellytys Näin biopankkitoimijoiden oikeussuoja, toiminnan edellytykset ja siihen ohjatut taloudelliset investoinnit eivät vaarannu odotet- Tietosuojavaltuutettu korostaa kannatta- tavissa olevan lainsäädännön muutoksen vansa biopankkitoimintaa. johdosta. ?Tietosuojan integrointi kokonaisvaltai- ?Nähtäväksi jää, mikä tulee olemaan kan- sesti biopankkitoimintaan on toiminnan sallisten erityislakien suhde tietosuoja-ase- onnistumisen edellytys,. \ t ietot urvan j a t ietosuoj an erikoisl ehti. Esimerkiksi verinäytteistä voidaan ja samoin biopankkitoimijoiden oikeustur- tutkia valtavan monenlaisia asioita, jopa van?, Aarnio sanoo. sellaisia, jotka vaikuttavat yksilöä laajem- ?Luottamuksen vaarantumisen myötä myös koko biopankkitoiminnan onnistuminen voi olla vaakalaudalla.? EU uudistaa tietosuojalainsäädäntöä EU:n henkilötietodirektiiviä suunnitellaan korvattavaksi tietosuoja-asetuksella. 40?TIETOSUOJA 4/2012 minkin hänen sukulaisiinsa?, Viinikka toteaa. ?Toisaalta uusilla menetelmillä saadaan tavattoman paljon tärkeää uutta tietoa sairauksien synnystä ja hoidosta.? Viinikka näkeekin biopankkilain keskeisenä tavoitteena yksityisyydensuojan ja tutkimuksen edistämisen tavoitteiden yhteensovittamisen. \ Mikä biopankki? Ihmisistä kerätyistä solu- ja kudosnäytteistä pitää muodostaa biopankki, jos niitä säilytetään vastaisuuden varalle lääketieteelliseen tutkimuskäyttöön. Biopankkilaki sääntelee biopankin perustamista ja toimintaa. hän sanoo. tukseen?, Aarnio pohtii. Biopankkilain valmistelun yhteydessä lakiin sisältyvästä tulkinnanvaraisuudesta. Biopankkilaki on tutkijalle tervetullut Se voi hänen mukaansa johtaa tilanteeseen, Helsingin ja Uudenmaan sairaanhoitopiirin jossa biopankkitoimijat eivät pysty hahmot- tutkimusjohtaja Lasse Viinikka oli lausun- tamaan kokonaisuudessaan henkilötietojen nonantajana mukana biopankkilain valmis- käsittelyä koskevaa lainsäädäntökehystä. telussa. tietosuojavaltuutettu toi esiin huolensa ?Pahimmillaan tämä voi vaarantaa sekä ?On välttämätöntä suojata potilaiden näytteitä luovuttavien henkilöiden että hei- yksityisyys ja siihen liittyvät oikeudet nyky- dän lähiomaistensa henkilötietojen suojan aikana. ? wikimedia commons Verinäytteistä voidaan tutkia jopa asioita, jotka vaikuttavat luovuttajan sukulaisiinkin. Vastasyntyneeltä otetaan verinäyte biopankkia varten Tukholmassa 2012. Ruotsissa kaikilta vuonna 1975 ja sen jälkeen syntyneiltä kerätään verinäyte hoito- ja tutkimustarkoituksiin. Ruotsin biopankkilaki astui voimaan 2003. ehtoinen, yksilöity ja tietoinen. Laki koskee sekä tutkimusta että taudin määritystä varten kerättyjä näytteitä. Aiemmin näytekokoelmista ei ole ollut yhtenäistä rekisteriä. Verinäytteet muodostavat biopankin, jota ylläpitää Tukholman Karoliininen sairaala
41. Tuleva biopankki testaa jo suostumuslomakkeita Lain voimaantuloa odoteltaessa Turussa suunnitellaan biopankin käytäntöjä. ?Ihmiset ovat erilaisia; jotkut haluavat antaa suostumuksensa lääketieteelliseen tutkimukseen eivätkä halua miettiä asiaa tarkemmin?, Laitinen sanoo. ?Toiset taas, kuten esimerkiksi potilasjärjestöjen ja median edustajat, haluavat tietää asioista hyvinkin tark- Teksti: Kirsi Castrén T kaan ja ymmärtää näytteen tutkimuskäytön koko kaaren. Heillä on oltava tämä tieto käytettävissään.? ?Kaikille yhteisen suostumuslomakkeen pitää kuitenkin urkuun on perusteilla Varsinais-Suomen ja Satakunnan sairaanhoitopiirin sekä Turun yliopiston yhteinen Länsi-Suomen biopankki. Harvinaisen sairauden kohdalla ei eri organisaatioille sairaalan ulkopuolelle ja jopa ulko- paljasteta esimerkiksi potilaan ikää vaan ainoastaan ikäluokka?, Laitinen kuvaa. \ maille? ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i 4/2012 TIETOSUOJA. Lain voimaan tuloa ja biopankille sen jälkeen anottavaa Valviran lupaa odoteltaessa Turussa suunnitellaan jo biopankin käy- olla riittävän yksinkertainen, jotta se on ymmärrettävä.? Harkinnassa kaksivaiheinen suostumusmenettely Missä vaiheessa potilaalta tullaan kysymään suostumus terveydenhuollon eri rekis- täntöjä. tereiden käyttöön? ?Tiedotteita hahmotellaan ja suostumuslomak- ?Asia on vielä pohditta- keet näytteen antajille ovat vana, mutta ehdotukseni testattavina potilailla?, ker- on, että perusbiopankkia too professori Tarja Laiti- varten kysyttäisiin potilaal- nen Turun yliopistosta. ta suostumus käyttää sairaalan omia potilasasiakirjoja.? Sairaalapotilaille annettekes, matias uusikylä tavassa suostumuslomakkeessa kerrotaan, että näytettä käytetään lääketieteelliseen perustutkimukseen tai muuhun terveys- koisalat, joihin kuuluvia sairauksia kyseisessä sairaalassa hoidetaan. Tarkka mutta selkeä lomake huollon rekisteristä, tarvittaisiin seuraavan vaiheen lupa, samoin kuin jos halutaan luovuttaa potilaan tieteelliseen tutkimukseen sekä tuotekehitykseen. Tutkimusalueet kattavat kaikki eri- ?Jos halutaan tietoja jostain muusta terveyden- henkilötietoja eteenpäin?, Laitinen kaavailee. Tunnistettavuus häivytetään Länsi-Suomen biopankissa potilaan henkilötiedot tullaan suojaamaan näytteiden numeerisen koodauksen lisäksi Lomakkeessa ovat biopankkilakiin sisältyvät maininnat siten, että näytteisiin liitettävät potilastiedot eivät ole alku- siitä, että potilaalla on oikeus saada tietoa tutkimuksista, peräisessä muodossaan. joihin hänen näytettään on käytetty, rekistereistä, joista hänen tietojaan on kysytty sekä tieto siitä, minne hänen näytteensä on luovutettu. Potilasasiakirjoista käytetään vain tutkimuksen kannalta merkittävää, rakenteistetussa muodossa olevaa tietoa. ?Tiedoista ei peitetä vain henkilötunnusta vaan myös Ymmärtävätkö potilaat muotoilusta, että heidän näy- muita tunnistamista mahdollistavia tekijöitä, kuten sai- tettään voidaan tutkimusyhteistyön puitteissa luovuttaa rauden harvinaisuutta
Tällaisella orjakoneiden verkostolla FI:stä. rikollinen voi tehdä esimerkiksi palvelunesto- Etähallittavasta haittaohjelmasta tuleekin yleensä havainto hyökkäyksiä. Yhden poistaminen ei siis vielä takaa, että kone olisi ?puhdas?.. Kysymyksiä voi lähettää osoitteeseen info@tietosuoja-lehti.fi Mitä koneelleni sitten pitäisi tehdä? ?Tarvittavat toimenpiteet riippuvat kyseessä olevasta haittaohjelmasta?, Husa sanoo. Pahimmillaan koneen puhdistaminen vaatii käyttöjärjestelmän ja ohjelmistojen täydellisen uudelleenasennuksen ja jopa kiintolevyn käynnistyslohkon uudelleenkirjoittamisen. Virustorjuntaohjelmat voivat kyetä poistamaan joitakin haittaohjelmia. ?Kokemustemme mukaan haittaohjelmatartunnan saaneet koneet ovat kuitenkin usein ?moniongelmaisia?, eli niissä voi olla useita eri haittaohjelmia. \ 42?TIETOSUOJA 4/2012 t ietot urvan j a t ietosuoj an erikoisl ehti. 4/2012 photodisc Miten on? Mistä tiedän, onko koneeni osa botnetiä? B otnetit eli bottiverkot ovat valitetta- Mistä näkee, onko oma kone van tuttuja ainakin tietoturvalouk- verkkorikollisen hallinnassa? kauksia koskevasta uutisoinnista. ?Haittaohjelmat pyrkivät pysymään huomaamattomina?, Verkkorikollinen levittää haittaoh- sanoo tietoturva-asiantuntija Ari-Matti Husa Viestintäviras- jelmaa, jonka avulla hän saa tietokoneita hal- tossa toimivasta kansallisesta tietoturvaviranomaisesta CERT- lintaansa. Lähetä kysymyksesi meille, me etsimme sille sopivan vastaajan. Bottiverkon orjakoneet voivat jostain muualta; tietokone on esimerkiksi liikennöinyt osoit- sijaita eri puolilla maailmaa. teeseen, jossa on ollut tai on edelleen ohjelman käyttämä komentopalvelin. ?CERT-FI välittää teleoperaattoreiden kautta päivittäin suomalaisille internet-käyttäjille satoja ilmoituksia haittaohjelmatartunnoista. Operaattoriltasi voi siis tulla ilmoitus asiasta.? Askarruttaako jokin henkilötietojen suojaan, yksityisyyteen, viestinnän luottamuksellisuuteen tai tietoturvaan liittyvä asia
\ rodeo ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i 4/2012 TIETOSUOJA. Erityisen Lisäksi toimisto on julkaissut erillisen arvottiin kolme Lippupalvelun lahjakort- vakavaksi murron tekee se, että DigiNota- ohjeen lokitietojen käsittelystä luvattoman tia, jotka on toimitettu voittajille. Ryhmä Kuluttajavirasto valmistelee yhdessä mui- ehdottaa, että tulevassa asetuksessa hen- den Pohjoismaiden kuluttajaviranomais- kilötieto määriteltäisiin siten, että tietoko- ten kanssa linjausta markkinoinnista so- neen IP-osoitetta pidettäisiin pääsääntöisesti henkilötietona. siaalisessa mediassa. Kuluttajavirasto oli pyytänyt Viestin- Viranomaisten mielestä ehdotuksen tävirastoa arvioimaan, voidaanko sähköisen määritelmä voi kaventaa tulkintaa liiaksi viestinnän tietosuojalakia soveltaa somessa. esimerkiksi IP-osoitteiden kohdalla. Kysely lähetettiin puraportin mukaan tapaus oli arvioituakin osalle lehden tilaajista. pahempi. Lokitiedoilla tarkoitetaan tietojärjestelmän toiminnastaan tallentamia tietoja. Vastaajat lukisivat mieluiten asiantun- Loppuraportin mukaan hyökkääjä onnis- Lokitiedoista voidaan selvittää esimerkiksi, tevaa, ajankohtaista ja uutta tietoa tuovaa tui saamaan hallintaansa kaikki yrityksen mitä tietoja on käsitelty, miten ja kenen toi- Tietosuoja-lehteä. Miltei kaikki vastanneet kahdeksan varmenteita luovaa palvelinta. mesta. 43. Myös tämän sähköpostipalvelun saamasta kritiikistä on keskittynyt henkilö- välityksellä lähetettävään suoramarkkinoin- tiedon määrittelyyn. \ Tietosuojaviranomaiset: IP-osoite on yleensä henkilötieto Sähköisen viestinnän tietosuojalain mukaan sähköiseen suoramarkkinointiin pitää pääsääntöisesti pyytää lupa etukäteen. Ohjeeseen on koottu vat samalla palvelimella, ja ilmeisesti hyök- parhaita käytäntöjä lähinnä julkisen tervey- kääjä oli muokannut lokitietoja. denhuollon esimerkkien pohjalta. Tietomurto johti yhtiön konkurssiin. DigiNotarin tietomurrosta on kerrottu www.tietosuoja.fi > Oppaat > Käytönvalvonnan ohjeet \ tarkemmin Tietosuojassa 1/2012. Lyhyesti 4/2012 Kiitos lukijakyselyyn vastanneille Varmennemurto oli luultuakin vakavampi Uusia ohjeita käytönvalvonnasta Tietosuoja-lehti kysyi tänä syksynä lukijoi- Alankomaalaisen varmenneyritys DigiNo- Tietosuojavaltuutetun toimisto on julkais- densa näkemyksiä lehdestä osana lehden tarin tietoturvahyökkäystä käsitelleen lop- sut kokonaan uusitun ohjeen lokitiedoista. sisällöllistä uudistusta. Varmenne- pyyntö selvittää mahdollista luvatonta hen- tietojärjestelmät ja niiden lokitiedot sijaitsi- tarkempaa tietoa sivulla 27. \ Yhtiö ilmeisesti myös havaitsi murron kilötietojen käsittelyä. Näin voidaan valvoa esimerkiksi hen- suosittelevat lehteä kollegoilleen. Hyökkääjä on saattanut myöntää varmen- kilötietojen käsittelyn lainmukaisuutta. Kyselyyn nopeasti vastanneiden kesken teita, joita ei vielä ole tunnistettu. Henkilötietojen suo- tiin sovelletaan sähköisen viestinnän tieto- jan ja asetuksen tulevaisuuden kannalta on suojalakia. kuitenkin välttämätöntä, että henkilötieto määritellään mahdollisimman laajasti. Näin todetaan Viestintäviraston lausunnossa. Lukijaky- Alankomaiden kansallisessa tunnistautu- Ohjeessa asiakasaloitteisesta käytönval- selyn tulokset ovat osaltaan vaikuttamassa misjärjestelmässä. vonnasta neuvotaan muun muassa, miten lehden ensi vuoden muutoksiin, joista on Somen suoramarkkinointikäytännöt pohdinnassa rekisterinpitäjän tulisi käsitellä asiakkaan vasta kuukautta myöhemmin. Sosiaalisen median (some) palvelun aikajanaan tai yhteisön sisäiseen markkinointiin lakia ei voi Euroopan tietosuojaviranomaisten työ- soveltaa. Jos sen sijaan somen palveluntarjoaja ryhmä toivoo, että tulevassa EU:n yleisessä tarjoaa ennalta rajaamattomalle käyttäjä- tietosuoja-asetuksessa henkilötieto määri- kunnalle myös tavanomaista sähköposti- teltäisiin mahdollisimman laajasti. palvelua, palveluntarjoaja katsotaan tele- Työryhmän mukaan osa ehdotuksen yritykseksi. Kiitämme rin myöntämiä varmenteita käytettiin myös henkilötietojen käsittelyn selvittämiseksi. kaikkia vastaajia mielenkiinnosta
Kelan tulisi myös antaa lerille, jonka mukaan tietoturvaongelmat toimintaohjeet asiakaspalvelussa tapahtu- eivät olleet riittävä peruste sille, että asia- van kuvaamisen varalta. Tietosuojavaltuutettu: Sähköposti ei sovi salaisuuksien lähettämiseen Tietosuojavaltuutetun kannanoton mukaan viranomaisen tarjoamien sähköisten asioin- kas ei voi panna vireille toimeentulotuki- paikka, eikä Kelan asiakkuuskaan sinällään asiaansa sähköisesti. Puutteita havaittiin mm. tietoturvapolitiikassa ja -johtamisessa, toimitilaturvallisuudessa, IT-katastrofeihin varautumisessa ja ulkoistamisessa. Porvari huomasi, että pk-yrityksissä ei kerätä tietoturvallisuutta koskevia tietoja järjestelmällisesti eikä kattavasti. marraskuuta. Kaupunki X lupaa. \ ole salassa pidettävä tieto. Viranomainen ei kuitenkaan voi Pajuoja muistuttaa Kelaa asiakkaiden yksi- ohjata tai suositella asiakasta lähettämään tyisyydestä huolehtimisesta. salassa pidettäviä tietoja tietoturvatto- ?Kelan asiakaspalvelutila on kaikille avoin Tietoturvassa johtaminen on tekniikkaa tärkeämpää Oikeusasiamiehelle kannellut henkilö oli valokuvannut Kelan Tampereen-toimiston Yrityksissä tekninen tietoturva vie liikaa huo- Jos viranomainen ilmoittaa sähköpos- tiloissa ja julkaissut netissä kuvan asiakas- miota, vaikka se ei merkittävästi paranna tie- tiyhteystietonsa, asiakkaille on samassa palvelutilanteesta. Tietoturvassa keskitytään joihinkin osa-alueisiin ja akuuttien ongelmien poistoon, mutta kokonaisvaltainen kehittämisote puuttuu. Paavo Porvarin väitöstutkimus Information security in business management, proces- scanstockphoto ses and personnel activity (Tietoturvallisuus 44?TIETOSUOJA 4/2012 liiketoiminnan johtamisessa, prosesseissa ja henkilöiden toiminnassa) tarkastettiin Aalto-yliopiston sähkötekniikan korkeakoulussa 16. Y kanteli kuvaajia ottamaan yhteyttä henkilökuntaan söstä. \ kaupungin toiminnasta apulaisoikeuskans- ennen kuvaamista. \ t ietot urvan j a t ietosuoj an erikoisl ehti. Kuitenkin suuri osa Kelassa käsiteltävistä asioista sisältää Apulaisoikeusasiamies: Kelassa kuvaamisesta on hyvä neuvotella ensin asiakasta koskevaa salassapidon alaista tietoa?, apulaisoikeusasiamies perustelee. Suurempi yhteydessä kerrottava paitsi henkilötieto- kiinnittää toimiston huomiota yksityisyy- merkitys on organisatorisilla toimilla, kuten jen käsittelystä, myös sähköpostin tietotur- densuojan epäkohtaan. johtamisella ja henkilökunnan valmiuksilla. massa sähköpostissa. variskeistä. Apulaisoikeusasiamiehen mukaan Kela Tähän tulokseen tuli tekniikan lisensiaatti Paavo Porvari väitöstutkimuksessaan. Väitöksessä kartoitettiin yhden kaupungin ja yhdeksän yrityksen tietoturvallisuuden tilan ja lisäksi yhden konsernitason yrityksen tietoriskit. \ tipalvelujen tulee olla tietoturvallisia ja on tärkeää, että sellaisia kehitetään ja otetaan Eduskunnan apulaisoikeusasiamies Jussi käyttöön. Asiakkaiden yksityisyyden kannalta tunnistettavissa olevaksi, kun hän on osoi- kielsi, koska työntekijöillä ei ole käytössään on kuitenkin perusteltua, että Kela neuvoo tettavissa (singled out) ryhmästä tai yhtei- suojattua sähköpostijärjestelmää. Lyhyesti 4/2012 Työryhmä ehdottaa, että henkilötiedon Kannanotto liittyy tapaukseen, jossa ei voi kokonaan kieltää valokuvaamista asia- määritelmää tarkennettaisiin asetusehdo- henkilö Y halusi täydentää toimeentulotu- kaspalvelutiloissaan tai edellyttää kuvaus- tuksessa siten, että ihminen katsottaisiin kihakemustaan sähköpostitse. Kantelija oli halunnut toturvallisuutta kokonaisuutena
\ lisäksi käyttäjät eivät nyt pääse myöskään julkishallinnon yksikölle. teoksiin, jotka on lisätty Pirate Bayhin esto- www.vm.fi/vahti > Voimassa olevat tietoturvaohjeet > 2012 \ Korkein oikeus ei käsittele Pirate Bay -estoa määräyksen antamisen jälkeen. Kantelija toteaa myös, että eston takia käyttäjät eivät voi poistaa tunnuksiaan palvelusta tai käyttää henkilötietodirektiivin Korkein oikeus ei ota käsiteltäväkseen mukaista omien rekisteritietojensa tarkas- teleoperaattori Elisan valitusta Pirate Bay tusoikeutta. Eri palveluiden usei- Helsingin käräjäoikeus on määrännyt Elisan, TeliaSoneran ja DNA:n estämään väli- Ministeriöiden ja valtion virastojen on saa- den kymmenien tietosuojaehtojen kokoa- aikaisesti asiakkaidensa pääsyn sivustolle. vutettava vähintään tietoturvallisuuden minen yhdeksi selosteeksi herätti jo etu- Hovioikeus on vahvistanut Elisaa koskevan perustaso syyskuun loppuun 2013 men- käteen huolta käyttäjien saaman tiedon käräjäoikeuden päätöksen kesällä 2012. nessä. Hänen mukaansa myös perusteltu sadalla yksilöidyllä teoksella, Ohje on suunnattu julkishallinnolle sekä perehdytys tietojärjestelmän käyttöön oli joiden tekijänoikeutta oli loukattu. Niiden niille yrityksille, jotka toimittavat palveluja ollut puutteellista. \ -verkkopalvelun estomääräyksestä. 45. Lisäksi vartija oli käyttänyt toisen vartijan tunnuksia ja tehnyt niilläkin kyselyitä vankitietojärjestelmään. Tuomitun vartijan mukaan kyselyt liittyivät virkatehtävien hoitamiseen ja osan kyselyistä ovat tehneet toiset vartijat hänen tunnuksillaan. \ yksityishenkilö on tehnyt oikeuskanslerille kantelun Elisan Pirate Bay -tuomiosta. ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i 4/2012 TIETOSUOJA. Vaatimus perustuu valtionhallinnon kattavuudesta. TeliaSoneran ja DNA:n päätösten hovioi- tietoturvallisuusasetukseen. keuskäsittely on vielä kesken. Ranskan tietosuojaviranomaisen teke- Tietoturvallisuuden perustasoon kuuluu, män selvityksen pohjalta Euroopan tieto- Estomääräystä hakivat tekijänoikeuksia että organisaatio on suunnitellut menette- suojaviranomaiset vaativat nyt Googlea Suomessa suojelevat järjestöt sillä perusteel- lyt poikkeuksellisten tilanteiden varalle. parantamaan ehtojaan. la, että Pirate Bayssa on ladattu ja jaettu lait- Organisaation on määriteltävä siltä ja jokai- Tietosuojaviranomaisia hiertää erityi- tomasti tekijänoikeuksien alaista aineistoa. selta sen palvelulta ja järjestelmältä edelly- sesti se, että Google yhdistelee laajalti sen tettävä varautumisen taso. eri palveluista kertyvää käyttäjätietoa. Kir- Tietokone-lehden mukaan suomalainen Tietoturvauhkiin varautumisen paran- jeessään (16.10.2012) viranomaiset vaativat, tamiseksi ja käytäntöjen yhdenmukaista- että Google pyytää käyttäjiltä luvan tieto- Lehden mukaan kantelija pitää lukui- miseksi Valtiohallinnon tietoturvallisuuden jen yhdistelemiseen ja samalla kertoo sel- sien verkkotunnusten asettamista sulkulis- johtoryhmä VAHTI on julkaissut ohjeen ICT- keästi, mitä tietoja, miten ja miksi se kerää talle laittomana, koska estoa oli aikoinaan varautumisen vaatimuksista. ja yhdistelee. Päätöksen perusteella Elisan on jatkettava asiakkaittensa pääsyn estämistä The Pirate Bay -palveluun. VAHTI neuvoo varautumisessa Googlelta vaaditaan parempaa selostetta Googlen uusittu tietosuojaseloste saa sapiskaa Euroopan tietosuojaviranomaisilta. Yhtiö korvasi aiemmat ehtonsa yhdellä tietosuojaselosteella. Vanginvartijalle sakkoa urkinnasta Tutustu verkkolehteen! Hyvinkään käräjäoikeus on tuominnut vanginvartijan sakkorangaistukseen tuotta- www.tietosuoja-lehti.fi muksellisesta virkavelvollisuuden rikkomisesta ja tietomurrosta. Käräjäoikeuden mukaan miehen käyttäjätunnuksilla oli tehty vajaan vuoden aikana kyselyjä 3 352 eri henkilön tietoihin
12 Tekijä: Mieluummin porkkanaa kuin keppiä Kirsi Castrén ................................... 20 Kolumni Potilaan yksityisyys on pyhä asia Johanna Saukkomaa ....................... 22 Kyberpuolustus on pienelle maalle mahdollisuus Catharina Candolin ......................... 30 Miten on? Mitä kanta-asiakasohjelma tietää minusta. 15 Piratismi aisoihin varoituskirjeillä? Marjo Rautvuori .............................. 28 Microsoftissa tehdään läsnätyötä Marianne Saine .............................. 3 Teema: Sähköinen tunnistaminen Uudistuva henkilötietodirektiivi Työelämän tietosuoja Euroopan tietosuojasääntely muuttuu Eija Warma ja Otto Markkanen ....... \ Tietosuojan hakemisto 2012 Tietosuoja 1/2012 Pääkirjoitus Osaammeko reagoida? Reijo Aarnio ...................................... 20 Profiili: Puolustusvoimat Tiedonhallinta murroksessa Juha Mattila .................................... 8 Arviointi lisää tietojärjestelmien turvallisuutta Marianne Saine .............................. 41 Toisen kirjettä ei saa avata luvatta . 31 Tietoturva Kasvumahdollisuuksia laillisille nettipalveluille Antti Kotilainen ............................... 34 Tietoturva Gallup Profiili: Verohallinto Varovasti somessa .......................... 13 Hyvät salasanat on pakko säilöä Marjo Rautvuori .............................. 19 Odotettu uudistus lisää yhteistyötä Markku Summa .............................. 20 Mikä tukkisi tietovuodot? Päivi Männikkö ............................... 18 Kolumni Mediakasvatus Pitääkö paikantamista pelätä? Marianne Saine ................................ 29 Yksityisyys Tietosuojaloukkaukset valokeilassa Kirsi Castrén.................................... 32 Goodbye, Facebook kotikonstein Marianne Saine .............................. 36 Henkilötiedot Yhteystiedot salaiset Kirsi Castrén ................................... 42 Miten on? Mitä tietoja sirukortissani on. 46 Tietosuoja 3/2012 Pääkirjoitus Ohjelmistoteollisuudelle mahdollisuus Reijo Aarnio ...................................... 26 Gallup Työtoverin sähköpostiin ei kosketa ... 13 Tietotilinpäätös . 33 Tietoturva IPv6 on täällä Juhani Juselius ................................ 44 Mobiilivarmenteelle lisää käyttöä Marjo Rautvuori ................................ 44 Lyhyesti ........................................ 30 Alueellistaminen vauhditti etätyötä Marianne Saine .............................. 45 Lyhyesti ........................................ 10 Teleyritykset eivät suostu nettipoliiseiksi Marjo Rautvuori .............................. 22 Verokarhu elää tietojärjestelmistä Päivi Männikkö............................... 40 Yhdessä verkkovihollista vastaan Päivi Männikkö ............................... 16 EU:ssa vaikeaa rajanvetoa Iiro Loimaala ................................... 3 Yksityisyys Kun valvojasta tuleekin urkkija Kirsi Castrén ..................................... ........ 46 Tietosuoja 2/2012 Pääkirjoitus Taruista tavaksi? Timo Lehtimäki ................................. 10 Biometriset tunnisteet verkossa Päivi Männikkö ............................... 14 1 käyttäjätunnus, 122 verkkopalvelua Mikael Linden ................................. 3 Yksityisyys Teema: Laatua tietojärjestelmiin Tietosuojastandardi kulkee direktiivin linjoilla Frank Dawson ja Antti Saari .............. 22 t ietot urvan j a t ietosuoj an erikoisl ehti. ........................................ 4 Laura ja Niko verkossa Päivi Männikkö ............................... 24 Työelämän tietosuoja Tietoturva ei estä etätyötä Marianne Saine .............................. 4 Teema: Tekijänoikeudet Katoaako käyttäjän tila verkossa? Päivikki Karhula .............................. 8 Nimellä, nimimerkillä vai molemmilla? Kirsi Castrén ................................... 18 Yhteentoimivuus parantaa laatua Markku Summa .............................. 6 Voiko varmentajaan luottaa? Marjo Rautvuori ................................ 16 ?Ei raporttia raportoinnin vuoksi? Päivi Männikkö ............................... työpaikallakaan Kirsi Castrén ................................... 36 Suuret yritykset valikoituvat tietoturvaloukkausten kohteiksi Kaisa Saario .................................... 38 46?TIETOSUOJA 4/2012 Onko työpaikkasi tietoturvassa USB:n mentävä aukko? Marjo Rautvuori .............................. 18 ACTA jatkaa kulkuaan Kirsi Castrén ja Päivi Männikkö ...... ei taakka vaan tuki Heikki Huhtiniemi ..........................
Lagus .................................. 42 Lyhyesti ........................................ 12 Tietosuojan laiminlyönti voi käydä kalliiksi Eija Warma ja Otto Markkanen ....... 21 Gallup Ammattilainen suojaa viestinsä ...... 43 Tietosuojan hakemisto 2012 ....... 1?4/12 TieToTurvan ja TieTosuojan eriKoislehTi 1/2012 | 15 ? tietoturvan ja tietosuojan erikoislehti 2/2012 | 15 ? tietoturvan ja tietosuojan eriKoislehti Tietojärjestelmät ja tietojen käsittely Laadulla vai tuurilla? 3/2012 | 15 ? Surffaaja syynissä HALLITSE RISKIT tunnistaminen? Näin suojaat tietosi ja varaudut ongelmiin fiksusti Paikantaminen \ muistitikut \ sähköPosti \ kyberturvallisuus \ tietosuojaloukkaukset \ iPv6 Henkilötiedot Henkilötunnus osakeluetteloon vai ei? Marianne Saine .............................. 32 Työelämä Sähköinen suoramarkkinointi työpaikalla on taitolaji Kirsi Castrén ................................... 45 ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i 4/2012 | 15 ? TEKIJÄNOIKEUDET: Minne menet, TieTosuoja-aseTus \ KyberpuolusTus \ eTäTyö \ sosiaalinen media \ TieTovuodoT tietoturvan ja tietoSuojan erikoiSlehti Kunnat \ tietosuoja-asetus \ urKinta \ tietomurrot \ asuminen \ Poliisi Tietosuoja 4/2012 Pääkirjoitus Hiekka valuu tiimalasissa Rauli Paananen ................................ 36 Tietosuojavaltuutetun toimisto 25 v. Päivi Männikkö ............................... 24 Asunto-osakeyhtiölaki paransi tietosuojaa Marianne Saine .............................. 37 Terveydenhuolto Biopankkilain tulkinnanvaraisuus heikentää tietosuojaa Kirsi Castrén ................................... hyödyksi vai haitaksi? Petra Wikström ............................... 34 Markkinoijien laintuntemus on usein heikkoa Kirsi Castrén ................................... 3 Tietoturva ?Haavoittuvuustestaus on kaikkien velvollisuus? Antti J. 17 Varaudu riskeihin Antti J. 28 Kolumni Kohdennettu mainonta . 4 Teema: Riskienhallinta Hataran tietoturvan kavalat seuraukset Lauri Karppinen ................................ 38 Tuleva biopankki testaa jo suostumuslomakkeita Kirsi Castrén ................................... 18 Oma laite ei käy kaikkeen Antti J. 27 SähköpoSti \ tietoSuoja-aSetuS \ Suoramarkkinointi \ BYoD \ Biopankit Uudistuva tietosuojalainsäädäntö Yhteisille säännöille kyllä, byrokratialle ei Päivi Männikkö ............................... 30 Tietoturva Ylläpitäjä: päivitä, päivitä! Marianne Saine .............................. 44 Lyhyesti ........................................ 28 Profiili: Kuntaliitto Kuntien asialla Päivi Männikkö ............................... 36 Onko sinun henkilötietojasi urkittu?... Lagus .................................... 38 Oikaisu Virhe Tietosuojan 2/2012 jutussa..... 42 Miten on? Saako tietojani julkaista työpaikan nettisivuilla?.................................... 31 Tietoturva Mistä sähköpostille toimiva salausmenetelmä? Marjo Rautvuori .............................. 47. Lagus .................................. 22 Profiili: Suomen Internet-yhdistys Toimivan internetin puolesta Markku Summa .............................. 39 Työelämän tietosuoja Kieku tuntee virkamiehen Markku Summa .............................. ........... 33 Gallup Käyttövaltuudet ja lokiseuranta ovat arkipäivää ...................................... 26 Uudistuva tietosuojalainsäädäntö Tietosuoja-asetukseen kannattaa varautua Markus Salminen ............................ 41 Miten on? Onko koneeni osa botnetiä. 46 4/2012 TIETOSUOJA. 24 Tietosuoja-lehti uudistuu ............ 8 Viisas varautuu verkkohyökkäykseen Kirsi Castrén ................................... 14 Tietoturvaloukkaus on riski myös maineelle Marjo Rautvuori .............................. 40 Suurin muutos henkilöstöhallinnossa Markku Summa .............................