Tietosuoja 4/2014 - Lehtiluukku.fi

Haluatko ostaa tämän lehden?

Vaikuttaako lehti kiinnostavalta? Voit lukea koko lehden valitsemalla "Lisää ostoskoriin". Mukavia lukuhetkiä!

Olet esikatselutilassa. Lue koko lehti

tietoturvan ja tietosuojan erikoislehti 4 • 2014 15€ Omavalvonta tulee terveydenhuoltoon PALOMUURI EI RIITÄ ETÄTYÖSSÄ MIRJAMI LAITINEN: Tietosuoja ei ole Henkilötiedot liitävät pian taivaalla DIGITALISOINNIN este
OLLI HÄKÄMIES 4 • 2014 Sisältö 4 Pääkirjoitus 5 Lyhyesti 7 Miten on. 8 Verkkopalveluissa vastuuta ei voi ulkoistaa 15 Kolumni 16 Asiantuntijalta Lentävä rekisteri Laura Tarhonen ja Piia Nyström 18 Rekisteröi tämä Kolmen miljoonan rekisteri 19 Kysy meiltä 20 Mirjami Laitinen: Sähköisen asioinnin puolestapuhuja 20 ”Ajattele, kuinka monta kertaa samaa tietoa on käsitelty ja tallennettu moneen eri paikkaan!” Tietoturvan ja tietosuojan erikoislehti Joulukuu 2014 Julkaisijat Patentti- ja rekisterihallitus Tietosuojavaltuutetun toimisto Tietosuojalautakunta Viestintävirasto 24 Lait ja säädökset 26 Omavalvontasuunnitelma on tietosuojan työkalu 30 Suomalainen erikoisuus pitää pintansa Päätoimittaja Hanna Tamminen, Viestintävirasto hanna.tamminen@ficora.fi Toimitussihteeri Päivi Männikkö, Stellatum Oy paivi.mannikko@stellatum.fi Toimituspäälliköt Eija Kara, tietosuojavaltuutetun toimisto, eija.kara@om.fi Anna Lauttamus-Kauppila, Patentti- ja rekisterihallitus, anna.lauttamus-kauppila@prh.fi Ulkoasu Tarja Salonen, Sininen Arkki Oy tarja.salonen@sininenarkki.fi KANNEN KUVA OLLI HÄKÄMIES 2. tietosuoja 4 • 2014
0400 435 636 anne.paavilainen@stellatum.fi 26. tietosuoja-lehti.fi 36 32 Turvallisen etätyön resepti 35 Gallup Etätyöstä sovitaan aina työnantajan kanssa 36 Varma salaus, epävarma ihminen 39 Näkökulma Veikö varas identiteetin. 40 Stadi säästää Ahjolla 43 Hakukoneyhtiöt paljon vartioina 44 Ilmiö numeroina SHUTTERSTOCK 45 Selailtua 46 Verkkolehdessä ja seuraavassa numerossa Toimituskunta Eija Alavesa ja Erka Koivunen ja Nelli-Maija Melin, Viestintävirasto Lauri Karppinen, tietosuojavaltuutetun toimisto Olli Ilmarinen, Patentti- ja rekisterihallitus sekä toimituspäälliköt Kustantaja Stellatum Oy PL 20 00381 Helsinki Ilmoitusmarkkinointi Anne Paavilainen, Stellatum Oy puh. vuosikerta ISSN 0786-5767 Painopaikka Hämeen kirjapaino Oy LIINPAIN PA RAARLAI A UT UT 441441 209209 Painotuote Painotuote E UOT OT OTE U OT Toimitusneuvosto puheenjohtaja, Reijo Aarnio, tietosuojavaltuutetun toimisto Sari Laine-Lassila, FiCom ry Jukka Ihanus, Stellatum Oy Eila Ratasvuori, Helsingin kaupunki Kimmo Rousku, Valtori Ahti Saarenpää, Lapin yliopisto Anu Talus, oikeusministeriö ja toimituspäälliköt OLLI HÄKÄMIES ”On huono tilanne, jos kansalaiset ja elinkeinoelämä eivät saa vastauksia ongelmiinsa.” HIILIN E HIILIN E 30 ClimateCalc ClimateCalc CC-000025/FI CC-000025/FI HÄMEEN HÄMEEN KIRJAPAINO KIRJAPAINO OYOY tietosuoja 4 • 2014 3
Jouko Koitto jaostopäällikkö Patentti- ja rekisterihallituksen yritys- ja yhteisölinja 4. Nyt 2010-luvulla ajantasaisen tiedon saaminen elinkeinonharjoittajista on entistä tärkeämpää, ja sähköiset välineet ja rekisterit tarjoavat siihen hyvät mahdollisuudet. Yrityksen tietoja saatetaan muuttaa laittomilla keinoilla, ja yritystä voidaan sen jälkeen käyttää talousrikosten välineenä. Vanhentuneet yhteystiedot voivat johtaa siihen, että yritykselle tarkoitetut yhteydenotot eivät koskaan tavoita elinkeinonharjoittajaa, jos lähettäjä ei enää ota osoitetietoja omasta asiakasrekisteristään. Tarkemmat tiedot löytyvät kaupparekisteristä. Syyskuusta lähtien myös kaupparekisteriin merkittyjen osakeyhtiöiden ja asunto-osakeyhtiöiden vastuuhenkilöiden muutokset on voinut tehdä sähköisesti. Hyvin pitkään muuttumattomina olleet tiedot saattavat antaa aiheen olettaa, että yritys ei tosiasiassa harjoita elinkeinotoimintaa. Sähköisten palvelujen käyttö on paperi-ilmoitusta turvallisempaa, koska sähköisen ilmoituksen allekirjoittaja tunnistetaan luotettavasti; palvelu edellyttää käyttäjältä suomalaista henkilötunnusta ja henkilökohtaista verkkopankkitunnusta tai sirullista henkilökorttia. Nekin ovat saatavissa maksua vastaan kellonajasta riippumatta joko Patentti- ja rekisterihallituksen tai yhteistyökumppaneiden palveluista. tietosuoja 4 • 2014. Sähköisessä palvelussa henkilön oikeus ilmoituksen tekemiseen tarkistetaan reaaliaikaisesti, koska yritys- ja yhteisötietolain mukaan muutosilmoituksen allekirjoittajana voi olla vain tietyssä asemassa yrityksessä oleva henkilö. He tekivät senaatille aloitteen, joka johti kaupparekisterin perustamiseen 1896. Pääkirjoitus 4 • 2014 Ajantasainen tieto vähentää väärinkäytösten riskiä E Yritysten tiedoissa tapahtuneiden muutosten ilmoittamiseen on käytettävissä entistä paremmin myös sähköisiä palveluja. MIRJA LEHIKOINEN linkeinoelämässä toimivat tarvitsevat ajantasaisia tietoja toisistaan. Rekisteritietojen ajantasaisuus on kaikkien etu. Yhteystietojen muutokset on voinut ilmoittaa sähköisesti vuodesta 2009 alkaen, ja nyt jo yli 65 prosenttia yhteystietomuutoksista ilmoitetaan sähköisesti. Ne päivittyvät välittömästi yritys- ja yhteisötietorekisteriin. Rekisteritietojen ajantasaisuus on kaikkien etu. Yritys- ja yhteisötunnusrekisteriin merkityt yrityksen perustiedot ovat kaikkien käytössä maksutta sähköisessä tietopalvelussa (www.ytj.fi). Samalla on tullut entistä välttämättömämmäksi tarjota palveluja, joilla muuttuneet tiedot saadaan nopeasti kaikkien käyttöön. Henkilö voi ilmoittaa myös itse eroamisensa jostakin tehtävästä sähköisesti, jolloin hän voi itse saada muuttuneen tiedon nopeasti rekisteriin, eikä yhtiön mahdollinen viivyttely aiheuta hänelle hankaluuksia. Tämän totesivat jo kauppiaskokouksen osallistujat Turussa 1884
5. Tiedot pitäisi otossa. Esimerkiksi kehonsa suorituskyvystä voi Kannanotossa korostetaan, että käyt- kerätä tietoa älykellon avulla tai saunan täjällä on oltava mahdollisuudet päättää panna päälle internetin välityksellä. Käyttäjä saa Euroopan tietosuojaviranomaisten kannan- myös perua suostumuksen. Laitteeseen mitkä kaikki tahot käsittelevät hänen tie- kertyvä raakadata pitäisi yhdistellä ja jalos- tojaan. Raaka- olla mukavaa saada dataa päivän fyysisen data tulisi tuhota heti, kun sitä ei enää tar- rasituksen määrästä, mutta hän ei ehkä vita. usein jalostaa ja yhdistellä siten, että niiden Tietosuojaviranomaiset neuvovat val- perusteella voidaan tehdä päätelmiä hen- mistajia rakentamaan laitteisiin varoitus- kilön ominaisuuksista, käyttäytymisestä toimintoja, jotka aktivoituvat, kun laitteen ja sijainnista. Esinei- omien tietojensa käytöstä koko älylaitteen den internetissä on valtavasti bisnesmah- elinkaaren ajan. tietosuoja 4 • 2014 Viestintäviraston Kyberturvallisuuskeskus on julkaissut ohjeen YKSITYI- SYYDENSUOJASTA INTERNETPALVELUJEN SOPIMUKSISSA. Käyttäjä ei aina edes tiedä, sensorit alkavat kerätä dataa. SHUTTERSTOCK Lyhyesti Tietosuoja on somessa, ole sinäkin! Twitter: @Tietosuoja Facebook: www.facebook.com/ Tietosuoja Kellosi tietää rasvaprosenttisi Useat kulutustavarat keräävät sensoreilla haluaisi, että datan pohjalta jalostettu arvio ympäristöstään tietoa ja ovat yhteydessä hänen kunnostaan olisi netissä tai kulkeu- internetiin ja muihin viestintäverkkoihin. tallentaa siten, että käyttäjä voisi halutes- Älylaitteiden keräämiä tietoja voidaan saan siirtää ne toiseen laitteeseen. Häntä on informoitava dollisuuksia mutta myös käyttäjiä koske- henkilötietojen käsittelystä ja häneltä on via tietoturva- ja tietosuojauhkia, todetaan pyydettävä siihen suostumus. tuisi vakuutusyhtiölle. Esimerkiksi älykellon käyttäjästä voi taa ennen sen siirtämistä laitteesta. Ohjeessa kerrotaan, miten verkkopalvelusopimus syntyy ja millaiset sopimusehdot vaikuttavat käyttäjän yksityisyyteen
tietosuoja 4 • 2014. Oy, joka voi nyt tehdä virallisia kansalli- Hyväksyntä perustuu lakiin tietoturval- seen turvallisuusauditoinnin KATAKRI- lisuuden arviointilaitoksista. Valtakunnansyyttäjänviraston mukaan vastuullisten selvittäminen oli poikkeuksellisen hankalaa muun muassa valvontaohjeiden puutteellisuuden takia. sertifioinnit ja VAHTI-toimitilaturvallisuus- Hyväksynnän sai KPMG IT Sertifiointi arvioinnit. Lyhyesti ENSIMMÄINEN ARVIOINTILAITOS HYVÄKSYTTY Viestintäviraston Kyberturvallisuuskes- tavoitteena on täydentää pätevyysaluetta kus hyväksyi lokakuussa Suomen ensim- kattamaan tietoturvallisuuden hallintajär- mäisen tietoturvallisuuden arviointilai- jestelmien standardin (ISO 27001) mukaiset toksen. Käräjäoikeus pui epäiltyjen rekisteriä Poliisin epäiltyjen rekisterin ylläpitoon liittyvien epäselvyyksien käsittely jatkuu Helsingin käräjäoikeudessa. Buttarelli on nykyinen Euroopan apulaistietosuojavaltuutettu ja Wiewiórowski Puolan tietosuojavaltuutettu. Rekisteriin on tallennettu myös sellaisten henkilöiden nimiä ja puhelinnumeroita, joiden ei ole epäilty syyllistyvän tai myötävaikuttavan rikoksiin. Syytteen saaneista yksi on Poliisihallituksen virkamies ja kaksi Keskusrikospoliisin päällystöön kuuluvaa poliisimiestä. Parlamentin kansalaisoikeuksien valiokunnan äänestyksessä lokakuussa Buttarelli ja Wiewiórowski saivat ehdokkaista eniten ääniä. Apulaisvaltakunnansyyttäjä Jorma Kalske nosti lokakuussa syytteet kolmea henkilöä vastaan tuottamuksellisesta virkavelvollisuuden laiminlyönnistä. 6. Laiminlyönnit liittyvät rekisterin tietosisällön valvontaan. mintaa. Yrityksen pä- toturvallisuuden arvioinnissa ainoastaan tevyysalue kattaa tietojen rajoitettua käyt- Viestintäviraston tai sen hyväksymän tie- töä koskevan suojaustason IV mukaiset toturvallisuuden arviointilaitoksen palve- arvioinnit. Viestintävirasto hyväksyy arviointi- Hyväksyntä on voimassa helmikuu- ANTERO AALTONEN hun 2015 asti, johon mennessä yrityksen laitokset sekä ohjaa ja valvoo niiden toi- EUROOPAN UUDEKSI TIETOSUOJAVALTUUTETUKSI on nimitetty Giovanni Buttarelli ja apulaistietosuojavaltuutetuksi Wojciech Wiewiórowski. Valtionhallin- kriteeristöön ja valtionhallinnon tietotur- non viranomaiset voivat kesäkuusta 2015 vaohjeen VAHTI-kriteeristöön perustuvia alkaen käyttää tietojärjestelmiensä tie- tietoturvallisuusarviointeja. luja
Lyhyesti Sormenjäljet myös henkilökortteihin Sisäministeriö on asettanut työryhmän selvittämään henkilökorttilainsäädännön muutostarpeita, muun muassa sormenjälkitietojen tallentamista henkilökorttiin. Näin ollen passien ja henkilökorttien turvatekijöiden tulisi olla samankaltaiset soveltuvin osin. Pankin on rahanpesulain 20 §:n nojalla silti selvitettävä, onko asiakas, tietosuoja 4 • 2014 hänen perheenjäsenensä tai läheinen yhtiökumppaninsa viimeisen vuoden aikana toiminut toisessa valtiossa merkittävässä poliittisessa tehtävässä.” Mistä tietää, kysyykö pankki rahanpesulain takia vai muusta syystä. ”Rahanpesulaki asettaa pankeille velvollisuuden tuntea asiakkaansa. Asettamispäätöksessä hanketta perustellaan sillä, että myös henkilökortteja käytetään matkustusasiakirjoina. Henkilöllisyyden varmistamisen ohella tämä tarkoittaa tietojen hankkimista mm. Miksi pankkiasiakkaalta kysytään henkilötietoja. ”Tätä laki ei tyhjentävästi määrittele. Millaisia tietoja pankki saa kysyä. Keskeistä on, että pankin on tunnettava asiakkaansa niin hyvin, että se pystyy ehkäisemään asiakkaan normaalista palvelujen käytöstä poikkeavat tai muusta syystä epäilyttävät tapahtumat.” ”Ajokortin tiedot ovat tarpeen, jotta jälkeenpäin voidaan selvittää, mihin asiakirjaan henkilöllisyyden todentaminen on perustunut. Miten on. Puolueen jäsenyydestäkin kysyttiin. asiakkaan taustoista, toiminnasta ja palvelujen käytöstä. ”Suuntaa antaa rahanpesulain 10 §, jossa luetellut tiedot pankin on säilytettävä asiakassuhteen ajan. Nykyinen rahanpesulaki tuli voimaan vuonna 2008”, sanoo johtava asiantuntija Mika Linna Finanssialan keskusliitosta. Työryhmän toimikausi päättyy kesäkuussa 2015. Lain 23 §:n nojalla ilmoitusvelvollisuuden suorittamiseksi hankitut tiedot on pidettävä erillään asiakasrekisteristä, eli niiden käyttäminen markkinointiin on kiellettyä.” ”Muilta osin tietojen hankkimista ohjaa tarkoitussidonnaisuus: kysyttävien tietojen tulee olla tarpeellisia rahanpesun tai terrorismin rahoituksen torjunnan kannalta.” 7. Pankin kanssa yrityksensä asioita puhelimessa hoitanut yllättyi, kun häneltä kysyttiin ensimmäiseksi ajokortin numeroa. Sen sijaan puoluekannan selvittely ei ole tarpeen eikä sallittuakaan
tietosuoja 4 • 2014. VASTUUTA 8
Vetää syvään henkeä ja kahlata läpi ohjeita, lakeja ja asetuksia. Asiat on selvitettävä ihan itse. TEKSTI RIITTAMAIJA STÅHLE KUVAT SHUTTERSTOCK, SARI SNÄLL/VIESTINTÄVIRASTO, DANSKE BANK, KULUTTAJALIITTO tietosuoja 4 • 2014 9. ei voi ulkoistaa Kun päässä pyörii miljoona villiä ideaa sähköisen palvelun perustamisesta, kannattaa ottaa aikalisä
10. tietosuoja 4 • 2014
jotta asiakkaalle voidaan lähettää tekstietosuoja 4 • 2014 Uudella yrittäjällä rahoitus on usein epä- Turvallisen palvelun rakentaminen vaatii 11. Pal- hyvä joskus miettiä, miksi tiettyjä tietoja velu voidaan hankkia joko Suomesta tai kysytään. Jarkko Saarimäki. ”Esimerkiksi henkilötietolaista tuleva velvoite suojata henkilötiedot kohdistuu lähes kaikkiin palveluihin.” varmaa, joten palvelu teetetään siellä, mistä ”Sähköisen palvelun käyttäjän taas on sen halvimmalla saa tai se tehdään itse. ”Kaikki asiat on arvioitava omaan palveluun kohdistuvien riskien näkökulmasta, sillä yleistä, kaikkiin palveluihin soveltuvaa ohjetta ei ole olemassakaan.” Palvelua toteutettaessa on huomioitava myös lainsäädännön sille asettamat velvoitteet, kuten asiakastietojen käsittelyssä nou- Huolellinen ylläpito takaa laadun. liikeidean keksineen ydinbisnestä ei useim- ”Palvelun perustajan pitää viedä standar- miten ole erilaisten alustojen tietoturvaomi- dit käytännön tasolle”, sanoo Viestintäviras- naisuuksien tunteminen ja kauppapaikan ton Turvallisuussääntely-ryhmän päällikkö tekninen perustaminen nettiin. Esi- luotettavuus kilpailevat keskenään”, sanoo merkiksi puhelinnumeroa saatetaan kysyä, Saarimäki. datettava henkilötietolaki. Turvallisuus on huomioitava niin palvelua perustettaessa kuin sitä ylläpidettäessäkin, muistuttavat päällikkö Jarkko Saarimäki ja lakimies Eija Alavesa Viestintävirastosta. Hyvän sähköisen pimein. Yrittäjän tueksi tar- Sähköistä palvelua perustettaessa vaakaku- jolla on kuitenkin erilai- pissa painavat toiminnan turvallinen järjes- sia standardeja ja parhaita käytäntöjä pilvin täminen ja houkuttavuus. Joskus käytettävyys ja suuskeskuksen lakimies Eija Alavesa. köisen palvelun perustamiseen ei ole olemas- Etsi luotettava kumppani sa. V almista sabluunaa tur- tiviesti silloin, kun verkkokaupasta tehty vallisen ja hyvän säh- tilaus on noudettavissa. Hyvä sähköisen palvelun tarjoaja kansainväliseltä palveluntarjoajalta. selvittää tämän asiakkaille kysymättäkin”, ”Palveluntarjoajien joukkoon mahtuu täydentää Viestintäviraston Kyberturvalli- monenlaisia yrittäjiä
kiteyttää monimutkaista lakitekstiä. Asetelmat olivat mutta oman työn osuus on silti suurin. ”Palveluun kohdistuvat riskit on kartoi12. turvallisuutta niin sähköistä palvelua perus- tyjen oikeudet toteutuvat. on huomioitava. Sanoma on Palveluntarjoajan pitää varmistaa palvelui- toimenpiteitä sekä ikuisesti jatkuvaa uusien selkeä: suunnittele ja määrittele. Liiketoiminta on Karppisen mukaan aina riskinottamista. Sekä Alavesa että Saarimäki korostavat perusjuridiikaksi, jolla taataan henkilötietojen käsittelyn perustaso. ”Palvelun teknisen toteuttamisen voi Perustettaessa kuntoon laitettu sähköinen Tietosuojavaltuutetun toimisto on järjes- ostaa ulkoa, mutta vastuuta ei voi ulkoistaa. Viisi vinkkiä 1. Kartoita palveluun kohdistuvat riskit 2. Selvitä turvavaatimukset 3. Säilytä tiedot oikein ja luottamuksellisina 4. Huomioi tietosuoja 5. Ylläpidä palvelun tasoa jatkuvasti ja järjestelmien käytettävyys. Lisäksi palvelun käytöstä aivan toiset kuin nyt”, Karppinen selvittää. noarvo. Henkilötietolain lisäksi tulee noudattaa uudempia toimialatai toimintakohtaisia erityissäädöksiä. Tietoturva ja tietosuoja heittävät kansalais- Siinä tulee mitatuksi myös tietosuojan pai- ten ajatuksissa joskus iloista kuperkeikkaa. Täysin turvallista palvelua ei ole olemassa. Kannattaa tehdä omia selvityksiä ja kysyä neuvoja asiasta enemmän on jäätävä riittävät jäljet – lokitiedot – jälkikäteen tapahtuvaa selvittämistä varten.” Tietoturvallisuus on prosessi, ei projekti. tamuksellisten tietojen tunnistamisesta ja suojaamisesta”, Saarimäki sanoo. Laki määrittelee ne ehdot, joiden mukaan henkilötietoja voidaan käsitellä niin, että palveluun rekisteröi- Prosessi, ei projekti Yrittäjän pitäisi jo suunnitteluvaiheessa Henkilötietolakia Karppinen luonnehtii Tietoturvan on säilyttävä laitteesta riippumatta. ”Luotettavan kumppanin valintaa ei voi liikaa painottaa. 5 ”Mobiili on pankkialalla suurin murros pitkään aikaan”, sanoo Danske Bankin viestintäpäällikkö Teppo Havo. den käytön turvallisuus ja huolehtia luot- riskien tunnistamista. Rekisterinpitäjän on estettävä henkilötietojen joutuminen vääriin käsiin”, Karppinen tettaessa kuin sitä ylläpidettäessä. ”Tietosuojan toteuttaminen edellyttää hyvää tietoturvaa”, sanoo tietosuojavaltuutetun toimiston IT-erityisasiantuntija Lauri Karppinen. Viranomaisilta saa ohjeita, sina ja oikeina sekä tietosuojanäkökohdat vat vielä lähtökiidossa. ”Asiakas on pidettävä ajan tasalla. ”Tietoturvan pitää olla asianmukaisella tasolla, mutta liioitella ei tarvitse”, sanoo Eija Alavesa. palvelu vaatii jatkuvaa ylläpitoa, jatkuvia tänyt kampanjoita pk-yrittäjille. Tietoturvalla tarkoitetaan niitä hallinnol- ”Jos joku menee pieleen, asiakkaille pitää lisia ja teknisiä toimenpiteitä, joilla varmis- viestiä nopeasti. miettiä, mikä on riittävän korkea tietoturvan taso juuri hänen palvelulleen. Käsitteet hukassa Tavoitteet ovat selkeät, mutta kaikki ei aina suju kuin Strömsössä. paljon perehtymistä. Jarkko Saarimäki listaa kuitenkin asioita, joita sähköisen palvelun tietoturvallisuuden kannalta on otettava huomioon. Salailu ei tässä asiassa pit- tetaan tietojen luottamuksellisuus, eheys källe kanna.” O tietosuoja 4 • 2014. Liiketoiminnan aloitta- tettava, ulkoiset turvavaatimukset huomi- ”Henkilötietolaki on peräisin vuodelta misen huumassa monet tärkeät asiat saat- oitava, tiedot säilytettävä luottamukselli- 1999, jolloin verkkopalvelut Suomessa oli- tavat unohtua. Tärkeää on, että asiakkaille kerrotaan, miksi tietoja kerätään ja mihin niitä aiotaan käyttää. Perustaso taattu Palveluntarjoajan kannalta keskeiseen lainsäädäntöön kuuluvat henkilötietolaki ja sähköisen viestinnän tietosuojalaki, jonka pykälät sisällytetään vuoden 2015 alussa voimaan tulevaan tietoyhteiskuntakaareen. tietäviltä”, Saarimäki neuvoo. Tietosuojalla taas tarkoitetaan henkilön yksityisyyden suojaamista erilaisten henkilöön liittyvien tietojen käsittelyssä
Mobiilipalvelut tuovat pankeille uusia haasteita. Sosiaalisessa mediassa ihmiset jakavat tietoa aktiivisesti.” 13. tietosuoja 4 • 2014 ”Haasteita tulee siitä, että erilaisia laitteita käytetään eri tavoin”, Havo sanoo. Asiakkaat luottavat pankkiinsa ja tietävät, että tiedoista pidetään hyvää huolta”, sanoo Danske Bankin viestintäpäällikkö Teppo Havo. MOBIILIPALVELUT ovat haaste pankeille Pankkitoiminta on erittäin säädeltyä. ”Sosiaalisen median kanavat helpottavat viestintää omien kanaviemme lisänä. Tietoturvan pitää säilyä yhtä tasokkaana laitteesta riippumatta.” Danske Bank on nostanut aktiivisen asiakasviestinnän esiin kaikissa kanavissa. ”Kun mobiililaitteella tarkistaa saldoaan linja-autossa, kannattaa olla tarkkana. ”Luotettavuus on koko toiminnan kulmakivi. Nyt Danske Bank arvioi, että ensi vuonna mobiilipankkipalveluihin on jo enemmän sisäänkirjautumisia kuin tavalliseen verkkopankkiin. Ensimmäinen mobiiliverkkopankki lanseerattiin vuonna 2010
”Valtio on ulkoistanut sähköisiin palveluihin pääsyn pankeille. ”Ihmiset ovat joskus kovin hyväuskoisia”, sanoo Kuluttajaliiton johtava lakimies Tuula Sario. tietosuoja 4 • 2014. Isojen verkkokauppojen kanssa ei ole ongelmia, mutta yksityishenkilöiden välisessä kaupanteossa niitä riittää. Kun hienon laitteen sijaan tuleekin vessapaperia, ollaan ongelmissa”, Sario kuvailee. Sinisilmäisyydestä sakotetaan ”Ei ole keinoa, jolla ihmistä voi suojella omalta typeryydeltä”, puuskahtaa Kuluttajaliiton johtava lakimies Tuula Sario ja toivoo, että sähköisessä kaupassa ihmiset painaisivat enteriä hieman hitaammin. Uusi direktiivi takaa pankkitunnukset kaikille.” 14. Kaiken kaikkiaan suomalaiset ovat Sarion mukaan melko tyytyväisiä verkkopalveluihin ja verkkokauppaan. Onneksi EU tulee ja pelastaa. ”Rahaa lähetetään holtittomasti satoja euroja tuntemattomalle ihmiselle. ”Suomalaiset ovat joskus kovin sinisilmäisiä. Valitettavasti suomalainen laatu ja kiinalainen hinta eivät kohtaa verkossakaan.” Suuri ongelma liittyy Sarion mukaan julkisiin verkkopalveluihin. Maksuhäiriöisillä ei ole mitään mahdollisuuksia päästä verkkopalveluihin, koska he eivät saa pankkitunnuksia tai heillä ei ole varaa maksaa operaattorin vaatimaa mobiililaitteen takuumaksua
Sisäministeriö esittää, että suojelupoliisi siirrettäisiin Poliisihallituksen alaisuudesta suoraan sisäministeriön alaiseksi poliisiyksiköksi. Laillisuusvalvonta on vahva elementti johtamisen tukena, ja se otetaan sisäministeriön hallinnonalalla erittäin vakavasti. tietosuoja 4 • 2014 Päivi Nerg on sisäministeriön kansliapäällikkö. Sisäministeriön hallinnonalan tavoitteena on, että Suomi on Euroopan turvallisin, yhdenvertaisin ja oikeudenmukaisin maa. Ministeriön alaisuuteen siirtyminen vastaisi viranomaissektorin kehityssuuntaa muissa Euroopan unionin jäsenmaissa. Turvallisuussektorilla toiminnan sopeutuksen rajat tulevat nopeasti vastaan. Sisäisen laillisuusvalvonnan keskeisiä tehtäviä ovat henkilörekistereiden käytön valvonta, kanteluiden käsitteleminen ja valvontatarkastukset. Meihin tulee voida luottaa, ja meidän on oltava luottamuksen arvoisia. Ajankohtainen esimerkki lainsäädännön ja organisaation kehittämisestä on suojelupoliisin asemaa koskevat muutokset. Eettiset periaatteet, hyvä johtaminen ja ajantasainen valvonta luovat pohjaa sille, että voimme uskottavasti hakea uusia toimivaltuuksia ja uusia resursseja. Meihin on luotettava, jotta valtuuksiamme voidaan lisätä. Työmme vankka eettinen pohja rakennetaan jo koulutusvaiheessa. Esityksen mukaan sisäministeriö vastaisi jatkossa suojelupoliisin toiminnallisesta ohjauksesta, tulos- ja resurssiohjauksesta sekä laillisuusvalvonnasta. Laillisuusvalvonnalla pyritään estämään ennalta mahdolliset virheet mutta myös paljastamaan ja saattamaan asianmukaiseen menettelyyn virheellinen toiminta. Oikeusvaltioperiaatteiden ja ihmisoikeuksien toteutumisen noudattaminen ovat laillisuusvalvonnan peruskiviä. Taloudelliset paineet ovat kovat. Tavoitteena on lisätä valtiojohdon mahdollisuuksia vaikuttaa suojelupoliisin tiedonhankinnan suuntaamiseen ja siten parantaa suojelupoliisin kykyä tuottaa sisäistä turvallisuutta sekä ulko- ja turvallisuuspoliittista päätöksentekoa palvelevaa tietoa. Ne ovat myös pohja organisaatiomuutoksillemme, joita tarvitsemme hoitaaksemme perustehtäväämme. Työnantajan velvollisuus on ylläpitää ja kehittää vahvaa sitoutumista ammattiin sekä näyttää esimerkkiä. 15. Laillisuusvalvonnan ensisijainen tavoite on edistää hallinnonalalle asetettujen tehtävien toteutumista sekä ylläpitää ja vahvistaa kansalaisten luottamusta ministeriön ja hallinnonalan toiminnan lainmukaisuuteen. Luottamusta meihin on oltava, jotta valtuuksiamme voidaan lisätä. Tämän saavuttamiseksi huolehdimme strategisen johtoajatuksemme mukaisesti ihmisten turvallisuudesta, rakennamme kilpailukykyistä yhteiskuntaa sekä varmistamme ihmisten yhdenvertaisen ja oikeudenmukaisen kohtelun. Kolumni Tavoitteena olla luottamuksen arvoinen PÄIVI NERG S isäasiainhallinnossa sattuu ja tapahtuu. Rajan tunnistaminen ja tunnustaminen on vastuullamme. Mikä kantaa yksittäisten tapahtumien ylitse. Sisäministeriö on lähettänyt lausunnolle luonnoksen hallituksen esitykseksi poliisin hallintolain muuttamiseksi. Valmistuvat poliisit, pelastajat, rajavartijat ja upseerit vannovat ammattivalan. Kehittämisessä turvallisuusviranomaisten lainsäädännön muutostarpeet, organisaatiomuutokset, yhteistyön välttämättömyys ja digitalisaation täysimääräinen hyödyntäminen haastavat sekä virkamiehet että päättäjät
Yksityi- -periaatteen mukaan, koska erilaisiin käyttötarkoituksiin sen ja ei-yksityisen käytön raja on kuitenkin usein häilyvä voidaan käyttää kyvyiltään erilaisia lennokkeja. Sotilaallisissa ja rikos- 16. Asiantuntijalta Lentävä rekisteri Lennokit ovat tulevaisuuden ”älypuhelimia”. Käytännössä tämä tarkoit- joissa sovelletaan yleissääntelyä. Tulevaisuudessa lennokit hoita- Henkilötietolain tarkoituksena on toteuttaa yksityis- vat rajavalvontaa, postinjakelua ja elämän suojaa ja muita yksityisyydensuojaa turvaavia kohdistettua mainontaa puhumattakaan niiden mah- perusoikeuksia silloin, kun käsitellään henkilötietoja. sen lennokkien yksityisyydensuojasta. Ehkä pian lennokki valvoo lasten leik- lyn yleisistä periaatteista sekä rekisterinpitäjän velvolli- kejä päiväkodissa tai koulun pihalla. ja saattaa ylittyä esimerkiksi siinä vaiheessa, kun henkilö Seuraavassa lennokkien käyttöä ja tietosuojaa on tarkasteltu yksityisestä ja kaupallisesta näkökulmasta, jakaa kotialbuminsa internetissä. Tästä saattaa olla kyse esimer- telyyn. Kaikki tarvittava tekniikka on jo olemassa. On materiaali muodostaa henkilörekisterin siltä osin kuin myös uutisoitu, että presidentti Obama antaisi asetuk- siinä esiintyy tunnistettavia henkilöitä. Kymmenissä osavaltioissa joko on jo lennokkeja vissa. nollinen henkilö käsittelee henkilötietoja omaa yksi- sempaa kuin Euroopassa, jossa se perustuu yleissään- tyistä käyttöään varten. torjunnallisissa käyttötarkoituksissa henkilötietojen Uutiskuvauksessa lakia sovelletaan rajatusti käsittelyn tulisi lähtökohtaisesti perustua erityislainsää- Toimitukselliseen ja taiteelliseen käyttöön henkilötieto- däntöön. Ne tulevat joka paikkaan ja mullistavat tapojamme tehdä asioita. lakia sovelletaan rajoitetusti. merkiksi tallennettu äänitiedosto, valokuva tai video- Yhdysvalloissa on jo herätty sääntelemään lennok- kuva voi olla henkilötieto, jos ihminen on tunnistetta- keja. ihmiskontaktien vähenemisestä, mutta eiköhän lenno- Lennokkien käytön kannalta olennaista on, että esi- keista saada sovellus myös treffiseuran metsästämiseksi. Moni voi huolestua suuksista ja rekisteröidyn oikeuksista. Esimerkiksi perinteisen turvakameran tallentama koskevaa sääntelyä tai sitä harkitaan parasta aikaa. TEKSTI LAURA TARHONEN JA PIIA NYSTRÖM G oogle, Facebook ja Amazon ovat Yksityiskäytön raja on häilyvä ilmoittaneet ottavansa käyttöön Suomalaisen tietosuojalainsäädännön suhtautumista lennokkeja, ja Disney aikoo hyö- lennokkeihin on lähtökohtaisesti tarkasteltava yleis- dyntää niitä huvipuistoissaan. sääntelyn eli henkilötietolain kautta. Henkilötietolakia ei sovelleta tilanteissa, jossa luon- Yhdysvalloissa tietosuojasääntely on sektorikohtai- tietosuoja 4 • 2014. dollisista käyttötarkoituksista rikostentorjunnassa ja Laissa säädetään muun muassa henkilötietojen käsitte- armeijan leivissä. Lennokkeja koskevia tietosuojakysymyksiä ei kiksi silloin, jos yksityishenkilö kerää kameralennokilla kuitenkaan ole mahdollista arvioida ”one size fits all” kuva- tai äänimateriaalia omaan kotialbumiinsa
Ideaalitilanteessa lennokkivalmista- kien tallentama ääni- tai kuvamateriaali tai biometrinen jat ottaisivat tietosuojan oletusarvoisesti huomioon jo tieto voi olla yrityksille samalla tavalla arvokasta valuut- tehdessään valintoja siitä, mitä kaikkea tietoa laitteen taa kuin asiakasrekisterit. Esimerkiksi rikosoikeudelli- kilötietoja ei saa käsitellä ennen keräämistä määritellyn nen sääntely, kuten kunnianloukkaus tai yksityiselämää käyttötarkoituksen vastaisesti. Hen- ole sääntelyn ulkopuolella. Rekisterinpitäjän tulisi pohtia, mihin käyttötar- Lennokeilla tehtävä tiedonkeruu yksityisiin, toimi- koitukseen tietoja kerätään, ovatko tiedot tarpeellisia tuksellisiin tai taiteellisiin tarkoituksiin ei kuitenkaan toiminnan kannalta, ja mihin tietoja luovutetaan. On hyvä muistaa, että suostumuksen tulee olla yksiselitteinen ja ennen tietojen käsittelyä annettu. taa sitä, että näitä tarkoituksia varten henkilötietoja saa myös tulla osaksi asiakasrekisteriä, jos esimerkiksi verk- käsitellä varsin vapaasti. Lisäksi on syytä huomata, liikkuu paikasta toiseen, koska tällöin informointia on että jos lennokkien käyttöä vaikkapa journalistisiin tar- vaikea toteuttaa esimerkiksi kiinteillä kylteillä. tus. Suostumus tulee myös aina voida peruuttaa. Lennokin avulla on mahdollista tavoittaa laajoja alueita ja ihmismääriä nopeassa ajassa, jolloin esimerkiksi tiedon anonymisoin- Lennokeilla on laaja kaupallinen potentiaali. Laura Tarhonen ja Piia Nyström työskentelevät liikenne- ja viestintäministeriössä viestintäpolitiikan osastolla. liittyvää informaatiota ei juridisesti kohdella henkilötie- Tietosuojavelvoitteiden arvioinnissa on keskeistä tolain mukaisena henkilörekisterinä, vaikka henkilöt oli- lennokkien ja niiden keräämän tiedon käyttötarkoi- sivatkin tunnistettavissa. Siksi esimerkiksi uutisjutun tai kokauppa toimittaa paketin asiakkaalle lennokilla ja tal- toimintaelokuvan kuvamateriaalia tai muuta henkilöön lentaa asiakasrekisteriin tiedot kuljetuksesta. Informoinnissa vertailukohtaa voidaan hakea kameravalvonnasta, josta on loukkaava tiedon levittäminen, saattaa tulla sovelletta- tiedotettava avoimesti valvottavalla alueella. Lennok- nin merkitys kasvaa. koituksiin haluttaisiin rajoittaa, tulisi tilannetta arvioida myös sananvapauskysymyksenä. Kaupallinen käyttö vaatii perusteen Tekniikan kehittyessä lennokkien, kuten muidenkin älylaitteiden, kyky kerätä tietoa erilaisilla kameroilla, sensoreilla ja mittareilla kasvaa nopeasti. rekisteröidyn suostumus. Lisäksi rekisterinpitäjän on informoitava rekisteröityä henkilötietojen käsittelystä ja annettava mahdollisuus omien tietojen tarkastamiseen. Tietojen käsittelylle on myös oltava peruste. Lennokkien keräämä tieto voi on teknisesti mahdollista kerätä ja käsitellä. Lennok- vaksi lennokilla kerättävän tiedon alkuperäisestä käyt- kien kohdalla tämä voi olla ongelmallista, jos lennokki tötarkoituksesta riippumatta. Asiakaspalvelussa se voi olla niin sanottu yhteysvaatimus tai Kuvaava lennokki vastaa kameravalvontaa. O tietosuoja 4 • 2014 17
työtehtävissä tarvitsevilla asiakkaan TE-toi- myös tarpeelliset korjaukset”, Tuominen miston virkailijoilla. Työttömien työnhakijoiden lisäksi rekis- joitetulla kirjeellä tai asioinnin yhteydessä. Rekisterin käyttäjäoikeuksien ajan liittyvät tiedot poistetaan tietojärjestelmästä tasalla pitäminen ja käytönvalvonta ovat kahden vuoden kuluttua merkinnästä. Tällä hetkellä tietoja on nisteriö. Niin ikään rekisteriin tallenne- toimittamiaan terveydentilatietoja, jos niillä ”Tietojen tarkastaminen pyritään toteut- taan tietoja tarjotuista töistä ja koulutuksista on esimerkiksi merkitystä työllistymisessä. ”Työ- ja koulutusmahdollisuuksia tarjotaan myös TE-toimiston hallinnollisten rajojen ohi. Rekisteröi tämä Kolmen miljoonan rekisteri Työ- ja elinkeinohallinnon henkilöasiakkaiden rekisterissä on laaja kirjo kansalaisia. Työnhakijasta kerätään muun muassa työhistoriaan, koulutustaustaan ja työnhakuun liittyviä tietoja työllistymissuunnitel- Rekisterissä voi olla asiakkaasta hänen maa varten. käsittelystä huolehtivat työ- ja elinkeinotoi- tiin ja sen mahdollisiin erityisjärjestelyihin mistot. sanoo. kulunut viisi vuotta, ellei tieto ole tarpeen tietosuoja 4 • 2014. tamaan ensisijaisesti henkilökohtaisen asia- sekä esimerkiksi soveltuvuustestauksista ja Näiden tietojen käyttöoikeus on vain niitä kaspalvelun yhteydessä, jolloin tehdään työkykyarvioinneista. tai lokiin merkintä, joita voidaan tarvittaessa hakijana tai siihen liittyviä yhteydenottotie- tutkia”, Tuominen sanoo. Käyttöä ei ole tehdyistä merkinnöistä jää tietokantaan ja/ henkilöasiakas on ollut rekisteröitynä työn- rajattu yksittäiseen TE-toimistoon. TE-toimistosta. Ehdokkaita etsitään avoimiin ”Tietojen katselusta ei jää merkintää.” Kaikki asiakasta koskevat tiedot poistetaan, kun asiakkuuden päättymisestä on työpaikkoihin koko rekisteristä”, sanoo neu- Säilytysajoissa on eroja votteleva virkamies Taisto Tuominen työ- ja Rekisterissä olevat omat tietonsa saa näh- säännöksiin perustuvan tehtävän hoitami- elinkeinoministeriöstä. O 18. Katselusta ei jää lokimerkintää Käyttöoikeus rekisteriin on niillä työ- ja elin- käyttäjäoikeuden myöntäjän vastuulla. toja”, Tuominen täsmentää. tävikseen TE-toimistolle osoitetulla allekir- seksi tai vireillä olevan asian johdosta. ”Asiakkuuteen ja asiointiin liittyvät tiedot keinohallinnon virkamiehillä, joilla se on ”Rekisteriin kirjautumisista ja rekisteriin tarkoittavat esimerkiksi ajanjaksoja, jolloin työtehtävien vuoksi tarpeen. TEKSTI PÄIVI MÄNNIKKÖ seen TE-toimistoon työttömäksi työnhakijaksi, hänen tietojaan tallennetaan työ- ja elinkeino- SCANSTOCKPHOTO K un henkilö ilmoittautuu paikalli- hallinnon asiakastietojärjestelmän henkilöasiakkaiden rekisteriin. Lisätietoja tarkastamisoikeudesta saa yrittäjistä sekä kuntouttavaan työtoimin- Rekisterinpitäjä on työ- ja elinkeinomi- taan osallistuvista. terissä on tietoja muiden muassa vuorot- ”Myös psykologin asiakastietojen näky- Kirjallista tulostetta rekisterissä olevista teluvapaalla olevista, kotoutettavista maa- vyyttä on rajattu TE-toimiston psykologei- tiedoistaan pyytää vuosittain noin 120 hen- hanmuuttajista, starttirahaa saavista uusista hin.” kilöä. Asiakastietojen tallentamisesta ja Lain mukaan asiakkuuteen sekä asioin- noin kolmesta miljoonasta henkilöstä
Tietosuojavaltuutetun toimisto on saanut lukuisia yhteydenottoja koskien www.kukasoitti.com -sivustoa. oph.fi/julkaisut/2013/julkisuus_ ja_tietosuoja_opetustoimessa Kysymyksiin vastasi tietosuojavaltuutetun toimistosta tietopalvelusihteeri Hanna Pentti. Salaamisessa on huomioitava myös salauksen vahvuus ja salausavainten hallinta. Kysy meiltä MITÄ KÄNNYKÄLTÄ VAADITAAN, että se täyttää valtionhallinnon suojaustason IV vaatimukset. Emme ole käytettävissä olevien resurssien perusteella pystynyt selvittämään, mistä tiedot ovat peräisin ja kuka tai mikä taho tosiasiallisesti ylläpitää kyseistä sivustoa. com, LLC. verkkotunnuksen on rekisteröinyt yhdysvaltalainen GoDaddy. Opetushallituksen oppaan ”Julkisuus ja tietosuoja opetustoimessa” (2013) mukaan tieto siitä, että henkilö on koulun oppilas, on julkinen, ellei tiedon antamisella paljastu muulla perusteella salassa pidettävä seikka (esimerkiksi sairaus, vammaisuus tai se, että oppilas saa erityistä tukea). Julkisesti saatavilla olevien tietojen mukaan verkkotunnus www.kukasoitti.com on rekisteröity yhdysvaltalaiselle Registration Privatelle ja ko. Viestintävirasto käyttää suojaustason IV vaatimusten arvioinnissa kansallista turvallisuusauditointikriteeristöä (KATAKRI, versio II). SAAKO KOULU KERTOA KYSYJÄLLE, onko tietynniminen henkilö siellä oppilaana. Mistä se on voinut saada tietoni. Yksityiskohtaisia vaatimuksia on useita. Lähetä kysymyksesi meille, me etsimme sille sopivan vastaajan. Askarruttaako jokin henkilötietojen suojaan, yksityisyyteen, viestinnän luottamuksellisuuteen tai tietoturvaan liittyvä asia. Opas on luettavissa Opetushallituksen verkkosivuilla www. Tietosuojavaltuutetun toimisto on tehnyt poliisille virkaapupyynnön asian selvittämiseksi. Vaatimuksiin kuuluvat myös laitteeseen tallennettavien tietojen ja muistikortin salaaminen sekä laitteen ja palveluiden välisen tietoliikenteen salaaminen. Voitte halutessanne tehdä asiasta itse poliisille tutkintapyynnön. Kysymyksiä voi lähettää osoitteeseen info@tietosuoja-lehti.fi tietosuoja 4 • 2014 19. Niin ikään salasanojen ja PIN-koodien tulee olla riittävän laadukkaita. OSOITTEENI JA PUHELINNUMERONI OVAT SALAISIA. Voinko tehdä asiasta rikosilmoituksen. . Nyt Kuka soitti -nettisivusto on julkaissut sekä osoitteeni että puhelinnumeroni kaikelle maailmalle. Kysymykseen vastasi päällikkö Aki Tauriainen Viestintävirastosta. Mobiilikäyttöjärjestelmät eroavat toisistaan, joten arvioitavat turvakontrollit ja niiden riittävyys vaihtelevat. Niistä tärkeimpiä ovat etähallinta eli mahdollisuus tyhjentää laite ja sulkea se verkosta sekä mahdollisuus rajoittaa laitteeseen asennettavia sovelluksia keskitetysti organisaation toimenpitein
20. tietosuoja 4 • 2014
TEKSTI PÄIVI MÄNNIKKÖ KUVAT OLLI HÄKÄMIES Säästöpaineet ovat lisänneet viranomaisten intoa sähköistää palveluja. Miksi viranomaispalvelujen digitalisointi on niin hankalaa. Julkishallinnossa on viime vuosikymmeninä aloitettu useita sähköisen asioinnin hankkeita, jotka ovat edenneet aiottua hitaammin ja kovemmin kustannuksin. Jäätyään eläkkeelle hän siirtyi neuvonantajaksi Sitraan, jossa hänen tehtävänään on muun muassa saada julkisen sektorin toimijat yhdessä kehittämään sähköisiä palveluita. Sähköisen asioinnin puolestapuhuja Viranomaispalvelujen digitalisoinnin toivotaan helpottavan arkea, lisäävän tuottavuutta ja säästävän kuluja. tietosuoja 4 • 2014 H ST, SADe, KanTa, viranomaisverkko Virve... Verohallinnon entisellä pääjohtajalla ja Sitran nykyisellä neuvonantajalla Mirjami Laitisella on digitalisoinnista vuosikymmenten kokemus. Käyttäjämäärissäkään ei ole aina ollut hurraamista. Kysytään Mirjami Laitiselta. Pitkän työuran Verohallinnossa tehnyt Laitinen on perehtynyt asia- kaspalvelun kehittämiseen ja osallistunut useisiin sähköisen asioinnin kehittämishankkeisiin. 21. ”Kun resurssit niukkenevat, yhteinen tahtotila löytyy”, Mirjami Laitinen sanoo
Työryhmä esitti raportissaan muun muassa viranomaisten muun muassa perusrekisterien tiedot olisi- pitää olla niin, ettei tiedonkulku katkea jon- sähköisten palvelujen määrän merkittävää vat saatavilla avoimien rajapintojen yli kai- kin organisaation rajalla tai tieto kulje pit- lisäämistä, jotta Suomesta tulisi tietoteknii- kille tietoja tarvitseville palveluille, käyttö- kospuilla.” kan soveltamisen kärkimaa. Tästä hyvänä esimerkkinä on hänen tietosuoja 4 • 2014. Palveluväylän kannalta keskeistä on myös, että vuosien vatvomisen jälkeen saa- ”Se ei olekaan helppo tehtävä ja kaipaa ihan uudenlaista ajattelua – monesti koko toiminnan uudistamista”, Laitinen sanoo. Sitran vanhempi neuvonantaja 2013– ICT 2015 -seurantaryhmän jäsen Verohallinnon pääjohtaja 2007–2012 työskenteli Verohallinnossa yli 40 vuotta menettelyjen ja verotusprosessien kehittämisen parissa hallintotieteiden kandidaatti ”Työssäni on paljon vanhastaan tuttua, kuten aloitteiden ja lausuntojen laatimista, keskustelujen käynnistämistä esitelmiä pitämällä sekä ihmisten kutsumista pyöreän pöydän tapaamisiin ja seminaareihin. Näin asiakkaan ei tar- menteilla. Kyse on ihmisten kohtauttamisesta siten, että mahdollinen muutostarve tunnistetaan ja muutos käynnistyy”, hän luonnehtii. taan, että mahdollisimman moni tuntisi ole- väylään. Laitinen huomauttaa, ettei tavoit- taan ratkaisua kansallisessa palveluarkkiteh- jestelmien yhteentoimivuutta: teena pitäisi niinkään olla palvelujen mää- tuuriohjelmassa. Vuosikymmenten aikana valtiolle ja kunnille aloitettu teknisistä tiedonsiirtoyhteyksistä, Usein paperimaailman toimintoja halu- on kertynyt lukematon määrä tietojärjestel- vaikka yleensä varoitellaan etenemästä tek- taan sähköistää miettimättä, ovatko ne yli- miä, joiden välinen tiedonsiirto on räätälöity niikka edellä. Rakenteilla olevan palveluväylän kautta 22. Mirjami Laitinen ?. ”Haasteena on, miten palveluita tehdään taisiin aikaan kansallinen sähköisen tunnis- Hän peräänkuuluttaa kansallisesti skaa- kustannustehokkaasti, laadukkaasti ja käyt- tamisen ratkaisu. ?. Tarkoitus on, että ensi ke- Kun infrastruktuuri saadaan kuntoon, pääs- ”Keskeinen kysymys on, miten kansa- väänä osa perustietovarannoista, kuten tään itse asiaan eli toimivien ja kustannuksia laisten ja yritysten arkea helpotetaan ja taa- väestötietojärjestelmä, on liitetty palvelu- säästävien sähköisten palvelujen luomiseen. Nyt tähän hae- väylähanke parantaa tiedonvälitystä ja jär- toisin. Laitinen on mukana myös ICT2015-työryhmän seurantaryhmässä. vansa mukana yhteiskunnan kehityksessä”, Laitinen sanoo. vitsisi verkossa jatkaa reaalimaailmasta Ensin infra kuntoon Julkisten palvelujen digitalisointi on näin tuttua luukulta toiselle juoksemista. ?. ?. Laitinen sanoo, että palvelu- päätään tarpeellisia tai voisiko ne toteuttaa joka järjestelmälle erikseen. Sähköisessäkin maailmassa mointi. Myös kansalaiset Mitä muuta hyötyä viranomaispalvelu- voivat palveluväylän kautta hallinnoida Prosessit uusiksi omia tietojaan. jen digitalisoinnista voisi olla. valtuudet huomioiden. ?. Myöhemmin ratkaisua lautuvia, yhteisesti toteutettuja poikkihal- täjäystävällisesti.” aiotaan täydentää rooli- ja valtuutusvar- linnollisia palveluja. ”Meillä on tiet ja sillat, jotta päästään pai- rän lisääminen vaan palvelutarpeen mini- kasta toiseen
Laitinen miettii hetken ja keksii sitten esi- ”Olen useasti todennut, että meillä on merkiksi terveydenhuollon, jossa leikkauk- ollut käytettävissä ihan liikaa rahaa”, Laiti- sia ja osaa hoitotoimista ei vielä voi suorittaa nen sanoo. Automatisointi voisi vähentää jaamista lukuun ottamatta. Olen Yammerissa, LinkedInissä ja Twitterissä. ”Some on kyllä hyvä väline kuulostella, mitä on meneillään, mutta ajankäytöllisesti siellä aktiivisesti toimiminen ei ole kovin tehokasta, kun töistäkin pitäisi selviytyä. Mutta mielipiteeni somesta ei ole kovin positiivinen.” Miksi ei. Yksityiselämässä tapaan ihmisiä mieluummin muuten enkä kerro edes rajatulle ystäväjoukolle henkilökohtaisia kuulumisiani somessa.” väärinkäytösten varalle. telyn automatisoinnille ja hoitamiselle ver- telmiä ja tietovarastoja ja epäonnistuneita kossa.” kokeiluja. ”Kyllä. Olen niin kykyjeni kuin passiivisuuteni huomioon ottaen liian monessa paikassa mukana, ja siksi mukana olo on enemmänkin passiivista seurailua. Laitinen ottaa esimerkiksi ajatuksen kan- ”Mutta kun käsitellään tietoa ja hallinto- siinäkin, että heillä ei ole ollut painolasti- sallisesta tulorekisteristä, joka ”olisi oivalli- asioita, en näe mitään estettä niiden käsit- naan menneisyyden vanhoja tietojärjes- nen yhteinen tietovarasto palveluväylälle”. Sitä paitsi somessa on niin paljon asioita ja ilmiöitä, että kuka edes kykenee poimimaan olennaisia?” Ilmeisesti näet somen ennen kaikkea työvälineenä. tannuksetkin tuntuvat siellä olleen murtoosa suomalaisten epäonnisiin hankkeisiin syytämistä miljoonista. Monessa tapauksessa automatisointi edellyttää luottamusta kansalaisiin, Laitinen korostaa. Laitinen huomauttaa, että Virossa Ketterästi kokeilemaan Pitkospuista pitäisi päästä Palveluväylälle. tietosuoja 4 • 2014 23. Facebookissa en ole. Hän visioi, kuinka toimeentulohakemuksen ja koko prosessin voisi automatisoida, kun perustoimeentulotuelle on määritelty kriteerit. Palveluiden suunnittelussa pitäisikin lähtökohtana olla luottamus oikein toimimiseen eikä rakentaa järjestelmiä kaikkien kuviteltavissa olevien yksittäisten Julkisten palvelujen sähköistämisessä ver- on myös lähdetty rohkeasti kokeilemaan ja kehittämään asioita. ”Kyllä, mutta huonosti. Meillä ollaan ennakkoluuloisempia ja arempia kokeilemaan myös 3 tailukohdaksi otetaan yleensä Viro, jossa sähköinen henkilökortti on kaikilla ja julkiset palvelut verkossa. entinen työpaikkansa Verohallinto, joka Tietosuoja ei ole este automatisoi verotuksen käsittelytoiminto- Lehdissä uutisoidaan säännöllisesti käräjille jaan. tällaista inhimillisestä uteliaisuudesta joh- ”Pitäisi ajatella, mikä ihan oikeasti helpottaa asiakkaan elämää ja mitä asiakas tarvitsee, eikä lähteä vain viranomaisen tai muun palvelua tarjoavan organisaation näkökulmasta.” Automatisointi vaatii luottamusta tietosuoja-lehti.fi Näin palvelu automatisoidaan tuvaa tietojen väärinkäyttöä, kun ihmisen osuus tietojenkäsittelyssä vähenisi. Tietoihin oikeutetut saisivat sieltä tarvitsemansa tulotiedot, ja kansalainen olisi omien tietojensa omistaja. Osasyy Viron menestystarinaan lienee edes etäyhteyden kautta. Tukipäätöksenkin voisi automatisoida ja saada samassa istunnossa, jos kriteerit täyttyvät. Sen seurauksena kansalaisen ei enää asti edenneistä tapauksista, joissa viran- tarvitse tehdä veroilmoitusta sen paremmin omainen on urkkinut kansalaisen henki- paperilla kuin sähköisestikään tietojen kor- lötietoja. Reaaliaikaiset tulotiedot, kuten palkkojen, eläkkeiden ja sosiaalietuuksien maksutiedot kerättäisiin automaattisesti tulorekisteriin. Onko jotain toimintaa, jota ei vain voi hoitaa sähköisesti. Digitalisoinnin kus- epäonnistumisen pelossa. ”Pitäisi kuitenkin hyväksyä epäonnistu- miset, sillä niitä tulee pakostikin.” O Kolme kysymystä somesta Käytätkö sosiaalisen median palveluita. Palveluväylälle menevä kansalainen voisi ottaa esille hakemuksen, johon tuen hakemiseen vaikuttavat tiedot tulisivat automaattisesti palveluväylän tietovarannoista
Tietoyhteiskuntakaari sääntelee myös palveluista ja internetliittymäpalveluista. Tallentamista koskevia pykäliä muutet- Eduskunnan hyväksymän lausuman tiin valiokuntakäsittelyssä. ryhmä. Sähköisen viestinnän tieto- ei enää säilytetä. Lait ja säädökset Tietoyhteiskuntakaari voimaan 2015 Ensi vuonna voimaan astuva tietoyhteiskuntakaari korvaa kahdeksan sähköisen viestinnän lakia. ANTERO AALTONEN Tietoyhteiskuntakaari muuttaa myös .fi-verkkotunnusten jakelua ja hallinnointia. Uuden säänte- mukaan välitystietojen säilytystä kos- lyn mukaan säilytysvelvoite koskee vain kevan sääntelyn muutostarpeita pohti- erikseen nimettyjä teleyrityksiä. Taus- matkapuhelinverkon puhelu- ja tekstivies- talla on EU-tuomioistuimen huhtikuussa tipalvelutietoja säilytetään 12 kuukautta. Kaari ulottaa käyttäjän yksityisyydensuojaa ja palvelujen tietoturvaa käsittelevät säännökset koskemaan kaikkia internetin viestintäpalvelujen tarjoajia, kun ne tähän asti ovat velvoittaneet vain teleyrityksiä, yhteisötilaajia ja lisäarvopalvelun tarjoajia. suojalaissa olevat säännökset on siirretty Säilytysaikoja on porrastettu siten, että uuteen lakiin mutta rajatummin. Viestintäviraston tiedonsaantioikeudet ja määräystoimivalta varautumiseen laajenevat. tekemä ratkaisu, jonka mukaan teletun- Muiden palvelujen tietoja säilytetään nistetietojen tallentamista koskeva direk- nykyistä lyhyemmän aikaa; liittymäpalve- tiivi on EU:n perusoikeuskirjan vastainen lujen tietoja 9 kuukautta ja internetpuhe- ja siten laiton. Uusi sääntely koskee siten myös esimerkiksi sosiaalisen median sisällä välitettyjä luottamuksellisia viestejä. linpalvelujen tietoja 6 kuukautta. välitystietojen (aikaisemmin tunnista- Sen sijaan esimerkiksi lankapuhelinten ja mistietojen) säilyttämistä viranomaistar- sähköpostipalvelujen tunnistamistietoja peita varten. tietosuoja 4 • 2014. Jatkossa jen todennäköinen yleistyminen voi lisätä niitä säilytetään matkapuhelinten puhelu- tarvetta tarkastella välitystietojen säilytys- ja tekstiviestipalveluista, internetpuhelin- velvoitteita uudelleen. Laissa maan tulisi asettaa laajapohjainen työ- luetellaan säilytettävät välitystiedot. Valiokuntakäsittelyssä arvioitiin, Uusi sääntely rajaa myös niitä palve- että esimerkiksi internetpuhelinpalvelu- luja, joista tietoja säilytetään. Syyskuun 2016 jälkeen Viestintävirasto ei enää välitä tunnuksia, vaan niiden jakelusta huolehtivat viraston hyväksymät verkkotunnusvälittäjät. Uusi lainsäädäntö kiristää teleyritysten velvoitteita varautua tietoliikenteen katkoksiin ja muihin poikkeustilanteisiin. Teletietojen säilytykseen muutoksia 24
häirinnän ja tietojärjestelmän häi- Tarkoituksena on, että uusi Lakiesityksen mukaan data- rinnän törkeistä tekomuodoista lainsäädäntö tulisi voimaan syys- vahingonteon, viestintäsalaisuu- enimmäisrangaistus olisi viisi kuussa 2015, johon mennessä den loukkauksen ja tietomurron vuotta vankeutta. tietosuoja 4 • 2014 25. Tietoverkkori- nostettaisiin kahdesta vuodesta telmässä – esimerkiksi päätelait- koksia koskevia säännöksiä muu- kolmeen vuoteen vankeutta. vakuuttaneet pyrkivänsä siihen, että olisi kyse toisen henkilötietojen oikeudet- neuvottelut tietosuoja-asetuksesta saa- tomasta käytöstä kolmannen osapuolen taisiin pikaisesti päätökseen. Esityksen mukaan identiteettivarkaudessa tensa ensimmäisten kuuden kuukauden aikana. Uusi komissio aloitti toimikautensa IDENTITEETTIVARKAUDESTA RIKOS Hallituksen esityksessä tietoverkkorikossään- marraskuun alussa. Oikeus- ja sisäasioiden neuvosto saavutti lokakuussa osittaisen FUTUREIMAGEBANK yhteisymmärryksen rekisterinpitäjän ja käsittelijän velvoitteita koskevasta asetusehdotuksen neljännestä luvusta. Törkeän taisiin siten, että se koskisi paitsi enimmäisrangaistuksiin ehdote- tietomurron enimmäisrangaistus televerkossa, myös tieto-järjes- taan pidennyksiä. direktiivi on pantava täytäntöön. kosdirektiivin vaatimuksia. Sovittu näkemys voi kuitenkin vielä muuttua, kun neuvosto käsittelee ehdotuksen muita lukuja. Identiteettivarkaus olisi asianomistajari- oikeus-, kuluttaja- ja tasa-arvoasioista vastaava komissaari V?ra Jourová ovat kos, ja enimmäisrangaistus olisi sakkoa. Da- teessa – välitettävänä olevan tie- tetaan vastamaan tietoverkkori- tavahingonteon, tietoliikenteen don oikeudetonta hankkimista. Sen jälkeen neuvottelut jatkuvat parlamentin ja komission kanssa. Europarla- erehdyttämiseksi. Lisäksi varkauden tulisi mentin kansalaisoikeuksien valiokunnan aiheuttaa uhrilleen taloudellista vahinkoa tai kuulemisessa Jourová kertoi tavoitteek- muuta vähäistä suurempaa haittaa, käytän- seen, että tietosuojan uudistuspaketti nössä selvittelykuluja tai runsasta vaivannä- saataisiin valmiiksi hänen toimikau- köä asian oikaisemiseksi. enimmäisrangaistus nostettaisiin Viestintäsalaisuuden loukkaus- nykyisestä yhdestä vuodesta kah- ta koskevaa säännöstä laajennet- KOMISSAARIT HOPUTTAVAT tietosuoja-asetusta EU:n tietosuoja-asetuksen neuvottelut jatkuvat. Sähköisistä sisä- nöksistä ehdotetaan, että identiteettivarkaus markkinoista vastaava komissaari ja säädettäisiin rangaistavaksi itsenäisenä rikok- varapuheenjohtaja Andrus Ansip sekä sena. Lait ja säädökset tietosuoja-lehti.fi Lisää pykäliä netissä Verkkorikoksista ehdotetaan pidempiä tuomioita Tietoverkkorikoksista annettaviin teen vuoteen vankeutta
tietosuoja 4 • 2014. Omavalvonta 26
hän kannustaa. Sosiaalihuollon pal- sesta. suunnitelman sisällön ja kommentointi- ”Kun yksiköt liittyvät Kansalliseen Terveysarkistoon (Kanta), käydään tietosuojaan ja lokakuussa. velunantajan toiminnassa muuttuu, se ”Siten ei suunnitelmalle tarvitse THL:n täytyy muuttaa myös omavalvontasuun- määräyksen tultua enää välttämättä tehdä nitelmassa, jotta mahdollisessa viranomais- muuta kuin viimeinen tarkistus ja varmistaa, tarkastuksessa palvelunantajalla on näyttää että kaikki kohdat on varmasti huomioitu”, ajantasainen asiakirja”, Stormbom sanoo. ”Kun jokin tietosuojaan liittyvä asia pal- tietosuoja 4 • 2014 pyynnön terveydenhuollon yksiköille vasta telmien auditointivaatimuksissa. Suunnitelmaa voi valmistella niiden pohjalta varsin pitkälle. -turvaan liittyvät kysymykset läpi, mutta Stormbomin mukaan omavalvonta- joskus saattaa käydä niin, ettei niiden yllä- suunnitelman perusta on paljolti sama kuin pitoon saada riittävää jatkuvuutta.” aikaisemmissa tietohallinnon ja tietojärjes- Suunnitelma on tarkoitettu jatkuvasti päivitettäväksi asiakirjaksi. TEKSTI KIRSI CASTRÉN KUVAT PIXHILL Taustalla on huoli tietosuojan tason säilymisestä. suunnitelma on tietosuojan työkalu Terveydenhuollossa omavalvontasuunnitelma jatkaa siitä, mihin auditointi päättyy. 27. huhtikuuta ja hyvinvoinnin laitos THL. 2015. L akiin sosiaali- ja terveyden- Auditointi pohjana huollon asiakastietojen säh- Terveydenhuollon yksiköissä omavalvon- köisestä käsittelystä teh- tasuunnitelmia valmistellaan kiireen vilk- tiin keväällä muutos, jonka kaa. Lakiuudistuksen taustalla on ollut huoli Määräajat saattavat vaikuttaa tiukoilta tietosuojan tason säilymisestä, kertoo THL:n etenkin, kun THL lähetti omavalvonta- lakimies Tanja Stormbom. Lain toimeenpanoa ohjaa Terveyden velunantajien määräaika on 1. Tämän vuoden aikana Kantaan liitty- mukaan yksiköiden pitää vien yksiköiden tulee laatia suunnitelma laatia omavalvontasuunni- 1.1.2015 mennessä ja muiden yksiköiden telma tietoturvan ja tietosuojan toteuttami- liittymisen yhteydessä
taa, johon liittyy seuranta”, sanoo ylitarkas- Tietosuojan käytännöissä on auditoinneista huolimatta yhä eroja terveydenhuollon yksiköiden välillä. HUS:lla tätä on ennakoitu 28. ”Tietosuojavastaava saattaa olla nimet- Sisäiset ohjeet tarkasteluun Helsingin ja Uudenmaan sairaanhoitopiiri liittyy Kanta-palveluihin joulukuussa. Tuotepäällikkö Riitta Luhtalan ensivaikutelma suunnitelman vaatimuksista on, etteivät ne tuo paljoakaan uutta tietojärjestelmien auditointiin. ”Suunnitelman on koettu kokoavan omavalvontasuunnitelmassa ne joudutaan asiat, jotka asiakas- ja potilastietojärjestel- dokumentoimaan, ja niiden toteutumista Malliksi muille aloille män käytössä sekä arkaluontoisten tietojen myös seurataan. taja Arto Ylipartanen tietosuojavaltuutetun toimistosta. ”Sen laatiminen edellyttää nähdäkseni syvällisempää paneutumista kuin auditointi-ilmoitus.” Suunnitelma ohjaa yksiköitä paitsi suunnittelemaan, myös dokumentoimaan, todentamaan ja seuraamaan toimintaansa. Osaksi toimintaa tynä, mutta hänen roolinsa ei ole tiedossa, ”Toivoisin, että omavalvontasuunni- THL:n kehittämispäällikkö Riitta Konttisen tai hänellä ei ole oman työnsä ohella riittä- telma jalkautettaisiin osaksi yksikön toimin- mukaan omavalvontasuunnitelman mal- västi aikaa tehtävänsä hoitamiseen.” tasuunnitelmaa, jotta se ei jää paperinma- lipohjasta saatu palaute on ollut pääosin myönteistä. jatkuvuussuunnitelmalla. ”Omavalvontasuunnitelma on oma-aloit- käsittelyssä tulee huomioida, jotta käyttö teista, aktiivista ja suunnitelmallista toimin- olisi tietoturvallista”, hän sanoo. Lokivalvonta ja tietosuojavastaava löytyvät auditointivaatimuksistakin, mutta kuisena asiakirjana mappeihin”, Konttinen sanoo. HUS suoritti auditoinnin ensimmäisen kerran kaksi vuotta sitten sähköiseen lääkemääräykseen liittymisen yhteydessä ja jälleen viime keväänä potilastiedon arkistoon liittymisen ehtona. tietosuoja 4 • 2014. Omavalvontasuunnitelma on paraikaa koostettavana. Yksi lakiuudistuksen tavoitteista on luoda jatkuvuutta tietosuojaan ja -turvaan. ”Toisaalta on hyvä, että suunnitelmassa tulee tarkastetuksi, että asiakirjat, kuten tietosuojaohjeet, ja kaikki muu on ajan tasalla”, Luhtala pohtii. Yhtenä tietohallinnossa usein liian vähälle huomiolle jäävänä asiana Konttinen nostaa esiin tietosuojavastaavan aseman. ”Siinä kuvataan esimerkiksi, kuinka toimitaan silloin, kun järjestelmät eivät ole käytettävissä tietojärjestelmän yllättävän katkoksen tai vaikkapa versionvaihdon takia”, Luhtala kuvaa. Auditointi ja suunnitelma luovat kehittämisen kulttuuria. Ylipartasen mukaan tätä kautta tuottavuus ja tehokkuus lisääntyvät. ”Esimerkiksi lokivalvonnan määrä ja systemaattisuus vaihtelevat paljon”, Konttinen kertoo
”Näissä tapauksissa ongelmien viiveetön ratkaiseminen on luonnollisesti meille korkeimman prioriteetin tehtävä”, vakuuttaa johtaja Matti Häkkinen. Prosessi on jatkuvampi kuin mitä asiakkaille näkyy: Uranusta on auditoitu sekä lääkinnällisiä laitteita koskevan EU-direktiivin vaatimuksesta että Kantapalveluihin liittymisen yhteydessä, minkä lisäksi tulevat yrityksen sisäiset auditoinnit. Tietotilinpäätöstä varten löytyy opas toimiston verkkosivuilta. TÄRKEÄT KÄSIKIRJAT TIETOSUOJAVASTAAVILLE TILAUKSET INFO@TIETOSANOMA.FI KYSY MEILTÄ TARJOUSTA MYÖS MUISTA TIETOTURVAKIRJOISTA! Tietosuojavastaavan käsikirja 1 Andreasson, Koivisto, Ylipartanen 39,40 € | Tietosanoma 2014 tietosuoja 4 • 2014 Tietosuojavastaavan käsikirja 2 Andreasson, Koivisto, Ylipartanen 39,40 € | Tietosanoma 2014 Tietosanoma Oy Bulevardi 19 C 00120 Helsinki www.tietosanoma.fi info@tietosanoma.fi 09 694 0752 29. Auditoinnit ja omavalvontasuunnitelma luovat jatkuvan kehittämisen kulttuuria. Uudistettu asiakastietolaki lisää myös järjestelmätoimittajien vastuuta tuotteesta ja mahdollisten virheiden korjaamisesta. ”Omavalvontasuunnitelma tiivistää verkoston yhteistyötä ja terävöittää vastuualueita aina tietoliikennetoimittajia myöten aikaisempaa tiiviimmäksi paketiksi”, sanoo palvelujohtaja Juha Sorri IT-palveluyritys CGI:stä. ”Omavalvontasuunnitelma on linjassa tietotilinpäätösajattelun kanssa ja myös EU:ssa valmisteilla olevan tietosuoja-asetuksen kanssa, jossa puhutaan tilintekokykyisyydestä”, Ylipartanen sanoo. CGI:n tietojärjestelmä Uranus on käytössä muun muassa HUS:ssa. CGI:ssä pulmatilanteet pyritään tunnistamaan ja ennaltaehkäisemään. ”Potilasturvallisuus, henkilökunnan osaaminen ja oikeusturva paranevat, ja asiakkaan ja potilaan tietosuoja turvataan.” ”Samalla organisaatio edistää imagoaan luotettavana palvelujen antajana.” Tietosuojavaltuutetun toimisto on lanseerannut jo aiemmin ajatuksen tietotilinpäätöksestä, vuosittain tehtävästä selvityksestä, jossa kerrotaan, mikä on tietosuojan ja -turvan tila organisaatiossa. ”Uskon omavalvontasuunnitelman tulevan ensin käyttöön sosiaali- ja terveydenhuollossa ja sitä kautta laajemmallekin.” O Suunnitelma paketoi vastuut ja velvoitteet Sosiaali- ja terveydenhuollon tietojärjestelmät ovat monen toimijan yhteistä kenttää. ”Auditoinnissa vastuullamme on osoittaa, että meillä on sekä vaatimusten mukaiset tuotteet että tarvittava tietämys, jotta asiakas pystyy ottamaan sovelluksen käyttöön.” ”Asiakkaan puolestaan on omassa auditoinnissaan osoitettava, että on jalkauttanut sovelluksen ja käyttää sitä kuten olemme ohjeistaneet”, Sorri kuvaa. Testauksesta huolimatta joskus ongelma tai sovellusvirhe jää havaitsematta ja päätyy tuotantokäyttöön saakka
Nurmi arvelee syyksi muksesta antaa määräyksiä, esimerkiksi takunnan linjauksiin, ei vain omiin tai toi- tiedon puutetta. Puheenjohtajana koko lautakun- tosuojan, julkisuuden ja salassapidon käsitteet. tietosuoja 4 • 2014. Tie- nen erikoisuus, jolla ei ole suora- tosuojalautakunnan puheenjohtajan Pekka Tavanomaiseen ja henkilötietolain mu- naista vertailukohtaa maailmalla. Esimerkiksi Google sai luvan kuvata Suomessa katukuvapalvelua varten, kunhan henkilöitä ei voi TEKSTI PÄIVI MÄNNIKKÖ KUVA OLLI HÄKÄMIES T tunnistaa kuvista tai vaikkapa auton rekisteietosuojalautakunta on suomalai- tajansuojalainsäädännön esimerkkiin. Suomalainen erikoisuus pitää pintansa Tietosuojalautakunnalla on paikkansa myös tulevassa EU:n tietosuoja-asetuksessa, sanoo puheenjohtaja Pekka Nurmi. Nurmen mukaan perusteluina oli muun kaiseen rekisterinpitoon lautakunnan lupaa Se on meillä tärkein henkilötieto- muassa, että yhdelle viranomaiselle ei saisi ei yleensä tarvita, mikäli lainsäädäntö mah- antaa liian suurta toimivaltaa. Tiedon puute vaivaa Lautakunnan puoleen käännytään lähinnä uudenlaisiin ja epätavallisiin toimintatapoihin liittyvissä kysymyksissä. asioissa päätösvaltainen viranomainen. tavat perusperiaatteet ovat hyvin kirkkaat.” 30. saatioista. myös vaikeana. Lautakunnan tekemien ratkaisujen määrä on pysynyt pienenä, vuosittain va- käsittelyyn tai tietosuojavaltuutetun hake- ”Myös valtuutettu, koska hän vedota lau- jaassa kymmenessä. Henkilötietolainsäädäntöä pidetään Suomeen 1980-luvulla laadittu kahden nan 26-vuotisen taipaleen toiminut Nurmi tietosuojaviranomaisen, tietosuojavaltuu- jäi eläkkeelle oikeusministeriön lainvalmis- ”Kuitenkin normaalin toiminnan tarvit- tetun ja lautakunnan malli perustuu kulut- teluosaston päällikön virasta viime vuonna. dollistaa tietojen käsittelyn. Lautakunta voi rekisterinpitäjän hake- muksesta myöntää luvan henkilötietojen ”Luulen, että kaikki ovat olleet aika tyytyväisiä malliin”, hän sanoo: rikilpien perusteella. mistonsa virkamiehen näkemyksiin.” että jopa päättäjiltä menevät sekaisin tie- Rekisteröidyt eli ihmiset, joiden tietoja on Jäseniä tietosuojalautakunnassa on seit- henkilörekisterissä, eivät voi saada asiaansa semän, ja he tulevat eri toimialoilta ja organi- käsiteltäväksi lautakunnassa. Tietovajeesta kertoo sekin, kieltää tietojen lainvastaisen käsittelyn
Asetuksen mukaan viran- asiat mahdollisimman pragmaattisesti ja sanaa toimivaltakysymyksissä ei ole vielä omainen voisi määrätä rekisterinpitäjälle vähin resurssein, mutta on raja, jonka ala- sanottu. tettu itsenäinen viranomainen”. 31. van seikan, tietosuojavaltuutetun toimiston asetuksessa. Lautakunta ”On huono tilanne, jos kansalaiset ja poikkeustapauksissa. Nyt eläkkeellä voisi olla jopa helpompaa jatkaa, kun ei ole mitään sidonnaisuuksia.” Toimivalta puntarissa paikkansa, mutta se on vähän erilainen Nurmen mukaan lautakunnalla on nyt ”aika kuin nyt.” ”Sakkopykälät ovat sinänsä tervetulleita, kunhan ne antavat riittävästi ohjausta lavea” lupatoimivalta, joka perustuu henki- Hän ei usko asetuksen horjuttavan lau- mutta myös harkintavaltaa, koska tilanteet lötietodirektiivin mahdollisuuteen ratkaista takunnan asemaa tietosuojaviranomaisena. Määräystoi- kunhan on tietyillä toimivaltuuksilla varus- mivalta on suppeampi. Tulevaisuu- telyä käytännössä. ja rekisterinpitäjät voivat olla kovin erilaisia.” kansallisella tasolla tilanteita, joihin lain kir- Niitä voi jäsenmaassa olla ”isokin joukko, jain ei anna suoraan vastausta. ”Se on mietinnässä. laiminlyönneistä roimankokoisen sakon. Toimivaltasoppaa on Sakoissa pitäisi olla myös harkintavaltaa kuitenkin hämmentämässä komissio, jolle Tietosuoja-asetus muuttaa joka tapauk- asetusluonnos antaisi runsaasti päätös- sessa suomalaista hallinnollisten sanktioi- ”Suomessa koetetaan aina hoitaa kaikki valtaa täsmentää säännöksiä. räyksensä tueksi. Esimerkiksi Resurssipula uhkaa itsenäistä asemaa Nähtäväksi jää, kuinka laajan toimival- Saksassa on yksi liittovaltion tason tietosuo- Suomen tietosuojaviranomaisten tulevai- lan lautakunta ja muut kansalliset viran- javaltuutettu ja lisäksi jokaisella 16 osaval- suudessa Nurmi näkee yhden huolestutta- omaiset saavat tulevassa EU:n tietosuoja- tiolla omansa. Nurmi huomauttaa, että EU:ssa on ollut Suomessa tietosuojavaltuutetulla ei tapana antaa komissiolle päätösvaltaa vain nykyisin ole sakotusoikeutta. puolelle mentäessä ei saada enää mitään lisää toimivaltaa valvoa ja linjata sään- dessa resursseja vaatii myös tietosuoja-asetuksen mukainen jäsenmaiden viranomaisten yhteistyöelin. puolestaan ei ole juuri koskaan käyttänyt elinkeinoelämä eivät saa vastauksia ongel- mahdollisuutta asettaa uhkasakko mää- miinsa.” O ”Jos tähän suuntaan mennään, niin varmasti lautakuntatyyppiselle ratkaisulle on tietosuoja 4 • 2014 lisäarvoa”, Nurmi varoittaa. tietosuoja-lehti.fi Rekisterinpitäjä: älä tee näin Valitusoikeuteen tulossa rajoituksia Tietosuojalautakunnan kolmivuotinen kausi päättyy vuoden lopussa. Asetusluonnos lupaa niille pitkäaikaisen resurssipulan. Jatkaako Pekka Nurmi puheenjohtajana. Lopullista den käytäntöä
tietosuoja 4 • 2014. 32
”Tabletti, älypuhelin tai kotitietokone on Uuden työntekijän perehdyttämisessä nykytekniikalla mahdollista yhdistää orga- tietoturva-asioihin tarvitaan nk. tietoverkkoa: omat työvälineet ja työpaikan. etätyössäkään varmaan juuri sen takia, että kennellä kotona pari päivää viikossa. TEKSTI KIRSI CASTRÉN KUVA MAIJA NYMAN Y hä useampi työntekijä tekee SYKEn henkilökunnasta suuri osa tekee etätyötä. toteaa vanhempi tietoturvakonsultti Erkki Mustonen F-Securelta. Allekirjoittaessaan sen työntekijä tiikkakeskuksen johtaja. Monella työ- ”Jotkut asiat saattavat tuntua hyvinkin triviaaleilta heistä, jotka niitä tekevät arkirutiinina, mutta niiden avaaminen uusille työntekijöille on tärkeää”, Furman sanoo. Tieto- ihmisille on selvää, että he käsittelevät herk- turvankaan ei tarvitse olla este, ainakaan kiä asioita, joissa tulee toimia talon sääntö- tekniikan puolesta. Vaikka pelisäännöt etätyölle työtä tekevällä on kotona rinnakkain kaksi olisi laadittukin, voi valvonta olla vaikeaa. Lähes joka kolmas pal- etätyötä, ja aineistot sisältävät luottamuk- kansaaja tekee etätyötä ainakin sellista tietoa esimerkiksi luonnonsuojeluun satunnaisesti ja joka kymmenes ja tutkittaviin yrityksiin liittyen. Rajaukset vähintään viikoittain, kertoo työ- ja elinkei- sen suhteen, mitä töitä voi viedä kotiin, ovat noministeriön vuoden 2013 työolobaro- tapauskohtaisia, ja niistä keskustellaan. hiljaista nisaation tietoverkkoon täysin turvallisesti”, tietoa. Turvallisen etätyön resepti Salatut verkkoyhteydet eivät riitä takaamaan tietoturvaa. metri. sitoutuu noudattamaan talon tietoturva33. jen mukaan”, Furman sanoo. Talon sääntöjen mukaan tietosuoja 4 • 2014 ”Tietoturvaongelmia ei meillä ole ollut Työmatkoissa säästyy aikaa, jos voi työs- ”On tärkeää olla varovainen niitä käyttäessään, ettei satu vahinkoja.” ”Tietoturvaa ei voi irrottaa muusta yritys- Sopimuksia ja luottamusta kulttuurista”, sanoo Eeva Furman, Suomen ”Etätyön tietoturva lähtee jo työsopimuk- ympäristökeskuksen (SYKE) ympäristöpoli- sesta. Tarvitaan myös perehdytystä, sopimista ja ennen kaikkea luottamusta. paikalla etätyön esteenä on puuttuva tieto- Hän mainitsee esimerkkinä sen, että etä- turvaohjeistus. Turvalliseen etätyöhön tarvitaan kuitenkin muutakin kuin tekniikkaa. Etätyö haastaa johtajan
rilla vaan sähköisesti. eivät pääse kuulemaan puheluita.” Ennen kuin työntekijä aloittaa etätyön, ?. LähiTapiolassa etätyötä tekevät asiantuntijoiden lisäksi myös korvauskäsittelijät. lisuutta”, painottaa palvelupäällikkö Tiina jat, jotka etätyöntekijöillä on koneissaan. edellytykset. Harkitse, tarvitaanko etätyöhön ryhtyvälle työntekijälle erillistä etätyösopimusta. ”Siksi kotona ei käsitellä asiakirjoja pape- Esimiehen muistilista ?. Silloin jouduttaisiin myös miettimään, onko luottamusta riittävästi, jotta henkilö voi tehdä etätyötä.” laan ja kotona ylityönä. Käytössä voi tällöin olla oma tietokone tai puhelin. Pienenä, mutta etätyön tietoturvaa huomattavasti parantavana toimen34. Myös omien laitteiden käytöstä pitäisi sopia. Työnantajilla on mahdollisuus valvoa etä- Hän vertaa tilannetta siihen, että pankki työtä myös teknisesti, esimerkiksi lokiseu- vaatii asiakkaan käyttävän verkkopankkia Tiina Tapanainen valittiin Vuoden 2014 etä- rannalla ja tarkkailemalla verkkoliikennettä. Huomioi mahdollisen etätyön tietoturvavelvoitteet jo työsopimuksessa. Kouluta ja perehdytä. että tietosuojaan liittyviä asioita pidetään ”Mikäli väärinkäytöksiä havaittaisiin, nii- arjen tekemisessä koko ajan esillä ja niistä hin puututtaisiin. tietosuoja 4 • 2014. Organisaatioissa, jotka kuuluvat yhteistoimintalainsäädännön piiriin, tulee asiasta myös käydä työpaikalla yhteistoimintamenettely, jossa työntekijöitä kuullaan. Kun töitä siirretään virallisesti etätyönä teh- Tapanainen vakuutusyhtiö LähiTapiolasta. Kerro, mitä merkitsee tietoturva osana organisaationne työkulttuuria ja miten se toteutetaan etätyössä. Kuten muissakin tietoturva-asioissa, älä päästä etätyön tietoturvavaatimuksia unohtumaan. taiseksi liian harva työnantaja kuitenkaan huomaa lisätä työsopimukseen pykäliä työn- oli etätyön uudistaminen koskemaan asia- ”Nähdäkseni teknistä valvontaa tehdään Asiakaspalvelua etänä tekijän omien laitteiden tietoturvasta. useimmiten vasta, kun laki sitä vaatii, kuten esimerkiksi terveydenhuollon organisaatioissa, joiden edellytetään seuraavan asiakastietojen käyttölokeja”, hän sanoo. ettei siitä ole kulunut liian pitkää aikaa. Yhtenä perusteena Erkki Mustosen mukaan kuitenkin harvoin. Etätyön käsite on rinnalle määräaikainen työsopimus, jossa usein itsestäänselvinä, Tapanainen pahoit- kuitenkin veteen piirretty viiva, sillä monet yhtenä kohtana ovat tietoturva-asiat. Työntekijän teknisestä valvonnasta ja sen menetelmistä, tapahtuu valvonta sitten työpaikalla tai etätyössä, tulee työelämän tietosuojalain mukaan informoida työntekijöitä. ”Työnantajalla on oikeus edellyttää työntekijältä, että hän huolehtii oman laitteensa muistutellaan.” Tekninen valvonta harvinaista tietoturvasta asianmukaisella tavalla”, Erkki Mustonen huomauttaa. ”Etätyötä lähdettiin suunnittelemaan alun perin turvallisuusnäkökulmasta”, hän kertoo. O kaspalvelutehtäviä. Puhelinpalvelua kotoa käsin voidaan tehdä vain, jos ulkopuoliset ?. Läpinäkyvä muovi estää näkyvyyden näy- täviksi, työnantaja vastaa kotityöpisteen tölle muualta kuin suoraan edestä. riittävän hyvin suojatulla laitteella. Päivitä ja kertaa. Tois- työjohtajaksi Työterveyslaitoksen ja Micro- Niihin turvaudutaan tietoturvakonsultti softin äänestyksessä. telee. ohjeistusta ja salassapito- ja vaitiolovelvol- piteenä Tapanainen mainitsee näytönsuo- Entä omat laitteet. Keskustelussa työntekijän kanssa varmistetaan, että kotona on etätyölle riittävät ?. esimies tarkistaa, että hän on suorittanut yrityksen oman tietoturvakoulutuksen ja ?. hoitavat työasioita joskus myös työmatkal- Tapanainen korostaa kuitenkin, että etä- ”Työyhteisössä esimiehen vastuulla on, työssä tietoturva perustuu luottamukseen. Selvitä keskustelussa, täyttyvätkö työntekijän kotona tietoturvallisen etätyön edellytykset. tietoturvasta ja varmistaa sen usein jopa Säännöllisen etätyön aloittavalle tehdään LähiTapiolassa perustyösopimuksen Arkipäivässä tietoturva-asioita pidetään käymällä paikan päällä
Nordeassa yksiköt määrittelevät täyttää tietoturvallisuuden vaati- itse, mitkä ovat sellaisia tehtäviä, 1. Nordeassa tietoturvakoulutus on pakollinen kaikille työnte- misaikaa. Eni- merkiksi suunnittelijat ja toimis- tojen ja tietojen suojauksen on ten etätyötä tekevät asiantuntijat. Etätyöstä sovitaan oman esi- tää aina sopimista. toissa ratkaisutyötä tekevät asia- oltava samaa tasoa kuin työnan- Esimerkiksi asiakaspalvelussa etä- kas- ja vakuutussihteerit. Samalla käydään työjärjestely ei toimi, voi esimies välittömästi muuttaa tai rajoittaa Nordea läpi ja sovitaan käytännön järjes etätyösopimusta ilman irtisano- telyt. 3. Työtilan tulee 1. sestä etätyöstä tehdään kirjallinen tietosuoja 4 • 2014 35. tietokonetta, ei kotikonetta. tehtävää työtä. KONEella etätyötä tehdään pää- tavia tietoja. Etätyötä tekevän työntekijän tulee käyttää työssään KONEen 2. Miten etätyön tekijät perehdytetään etätyön tietoturvanäkökohtiin. Kelassa etätyötä tekevät esi- mukset, ja käytettävien ohjelmis- joissa etätyötä voidaan tehdä. toimintaohjeilla. Etuustyössä käsiteltävän mate- Tuija Jokinen riaalin on oltava pelkästään säh- Kela köisessä muodossa. Ohjeistamme etätyötä tekeviä NÄITÄ KYSYIMME: työntekijöitä KONEen standardien ja tietoturvapolitiikan mukaisilla 1. Millaiset ammattiryhmät tekevät teillä etätyötä. Tiedot eivät saa paljastua pankin kannalta salaiseksi katsot- ulkopuolisille. 3. Onko teillä etätyössä rajoituksia esimerkiksi työtehtävien suhteen. Gallup Etätyöstä sovitaan aina työnantajan kanssa sopimus. tajan tiloissa. Etätyöpisteessä ei saa käsitellä ja turvataan tietojen luottamuk- KONE esimerkiksi asiakastietoja tai muita sellisuus. viin tarkoitetuista sovelluksista on muksen. Toimihenkilön vaitiolo- Satunnaisesta etätyöstä sovitaan käytettävissä vain varsinaisessa sitoumus koskee myös kotona esimiehen kanssa ja säännölli- työpisteessä. Etätyössä noudatetaan Henkilöstöpalvelujohtaja kijöille. Etätyön tekeminen edellyt- oikeus tarvittaessa tutustua työs- 2. 2. Lisäksi osa työtehtä- on allekirjoittanut vaitiolositou- sääntöisesti asiantuntijarooleissa. miehen kanssa. 2. Tiedottaja Marko Mettenranta Työsuhdepäällikkö 3. Jokainen kelalainen 1. Tehtäviä ei sinänsä ole rajattu, mutta luonteeltaan tehtävät ovat yksinsuoritettavia tai puhelinpalavereihin osallistumista. Mikäli etä- kentelytiloihin. Työnantajalla on työ ei ole käytännössä mahdollista. Muita rajoituksia ei ole. Kelan tietoturvallisuusperiaatteita Satu Kukkonen 3
VARMA SALAUS epävarma ihminen 36. tietosuoja 4 • 2014
Pilvipalvelujen salauskeinoja tutkitaan Murtamattomat algoritmit Salaustutkimuksessa eräs ajankohtainen aihe on pilvipal- Asiantuntijoiden mukaan nykyaikaisella salauksella saavu- veluiden turvallisuus ja se, miten salausmenetelmät taipu- tetaan käytännössä murtamaton salaus. Salaus voidaan murtaa avaintenhallinnassa tapahtuneen laiminlyönnin vuoksi, toteaa myös Aalto-yliopiston tietojen- Organisaation ei kannata salata kaikkia tietojaan, sillä käsittelytieteen kryptologian professori Kaisa Nyberg. ”Jos avaintenhallintaa ei hoideta hyvin, vaarantuu koko viestintä”, Hakala sanoo. suuri osa tiedosta ei ole niin tärkeää, että sitä kannattaisi ”Vaikkapa Yhdysvaltain kansallisen turvallisuusviran- salata. TEKSTI ANTTI J. ”Yksi tapa, jota tutkitaan, on hukuttaa tietoa suuriin tietomääriin ja laittaa väliin sen verran melua ja virhettä, että kokonaisuus menee mössöksi. Tietoturvaongelmat eivät johdu salauksen pettämisestä. Kaiken tiedon salaaminen ei myöskään ole kustan- omaisen NSA:n tunkeutumisessa johonkin järjestelmään nustehokasta. Esi- tietojärjestelmien haavoittuvuuksia etsivät tahot käyttävät merkiksi verkkopankin nettiyhteydet sala- tietoturvan heikoimpia lenkkejä. Ylläpitäjän tuleekin varmistaa, ettei samasta asiasta tule useita versioita. Esimerkiksi ylei- vat suurten datamäärien salaamiseen pilvessä. ongelmia. Viestintäviraston erityisasiantuntija Risto Hakala kertookin, että tutkijat kehittelevät vielä tutkimusvaiheessa olevaan kvanttitieto- Yrityksissä tarvittaisiin salausteknistä asiantuntemusta. Salaukseen ja sen purkamiseen käytettävien avain- lukon kuvasta. Tavallinen kuluttaja ei näe salausta johtuvatkin muista asioista kuin salauksesta tai sen puut- muusta kuin selaimen laitaan ilmestyvästä teesta. syydestä”, Nyberg sanoo. Salausta käytetään luottamuksellisuuden varmistami- seen, mutta puhekielessä salauksella tarkoitetaan usein myös tiedon eheyden ja autenttisuuden varmistamista. Monet tietoturva-aukot taan. Autenttisuus puolestaan merkitsee, että ollaan varmoja viestinnän toisesta osapuolesta. tietosuoja 4 • 2014 37. Sen sijaan esimerkiksi viranomaisen on syytä on saattanut olla jopa kyse erityyppisistä salaovista järjes- tunnistaa, mitkä sen tiedoista ovat julkisuuslain mukaisesti telmiin”, Nyberg sanoo. LAGUS KUVA SHUTTERSTOCK S alaustekniikkaa eli kryptologiaa käytetään Koska AES-salaus on kuitenkin käytännössä murtamaton, yleisesti erilaisissa internetpalveluissa. Nybergin sesti tietoliikenteen salaukseen käy- mukaan kaikki tieto voidaan salata, tettävään AES-algoritmiin perustuvaa mutta pilvessä suurten tietomassojen salausta ei ole onnistuttu murtamaan. Esimerkiksi AES-salauksesta ei ole hyötyä, jos avainta pidetään näkyvillä. salassa pidettäviä. Eheys tarkoittaa sitä, ettei tietoa ole muutettu. versionhallinnan kanssa tulee helposti Periaatteessa se kuitenkin olisi mahdollista, jos salauksen selvittämiseen olisi käytettävissä riittävästi laskentakapasiteettia. ten hallinta on tärkeässä roolissa. Tällöin konemaailmaan uusia salausmene- puhutaan differentiaalisesta yksityi- telmiä
malaisista ja eurooppalaisista salaustuot- suomalaisista yrityksistä. ”Jos tavallista sähköpostia ei salata millään tavoin, se on helposti muiden luetta- Laboratorio ei olisi estänyt UM:n tietomurtoa. Komentaja Topi Tuukkanen tutkimuskeskuksen tietoverkkosodankäynnin tutkimusalalta sanoo, että laboratoriosta on tarkoitus tulla siemen ja ydin kansalliselle osaamisverkostolle. päristö, jossa perehdytään kryptologian menetelmiin. Professori Suomessa on monia yrityksiä, jotka teke- elämässä. Tuukkanen näkee, että vaikka kryptolaboratorio olisi perustettu jo 10 vuotta sitten, tunkeutumista ulkoministeriön tietoverkkoon ei olisi estetty. Tuukkasen mukaan Suomeen pystytetään muun muassa pienemmässä mittakaavassa laskentaym- 38. Salaustekniset heikkoudet syynissä Osana puolustusvoimien tutkimuslaitosta toimiva kryptolaboratorio on aloittanut toimintansa vähin erin. Salaus ei yksin suojaa tunkeutumiselta, mutta jos tiedot on salattu, niistä ei ole tunkeutujalle hyötyä. Strategian taustamuistion mukaan kyberturvallisuuden tutkimuksen tasoa nostetaan ja tutkimusedellytykset turvataan, jotta kyetään jatkuvasti tuottamaan sekä perustutkimuksella että soveltavalla tutkimuksella korkeatasoisia uusia innovaatioita ja tieteellisiä läpimurtoja. Usein heikkous on saatettu jättää tuotteeseen jopa tarkoituksellisesti, mutta niihin syyllistyneiden tahojen jahtaaminen ei Tuukkasen mukaan ole puolustusvoimien tehtävä. O KRYPTOLABORATORIOSTA ydin kansalliselle osaamisverkostolle Puolustusvoimien yhteyteen on perusteilla kansallinen kryptolaboratorio. Verkostoja ja laskentakapasiteettia ”Meillä on muutama ihminen, jotka osaavat puhua kryptokieltä. Ohjelmistotuotteisiin on saattanut jäädä ohjelmointivirheen vuoksi salaustekninen heikkous, jollaisia tutkimuskeskuksessa etsitään stressitestein. väitellyt Hakala työskenteli aiemmin Aaltoyliopiston kryptologian tutkimusryhmässä. TOR-verkot ovat saaneet nimensä sipulinkaltaisesta toimintatavastaan, jossa viesti Salaustekniikan osaajille Nyberg näkisi kulkee useamman solmun kautta siten, Viestintävirastossa erityisasiantuntijana että vastaanottaja ei voi selvittää, kuka oli kolmisen kuukautta työskennellyt Hakala lähettäjä (TOR = the onion router). min. Tällaista näkee, että alan osaajille olisi kysyntää anonymiteettiä tarvitaan silloin, kun luotta- enemmänkin. ”Yrityksissä tarvittaisiin salausteknistä asiantuntemusta. Tieto voidaan salata tarvittaessa jollakin salausmenetelmällä. Salauksesta ei näissä verkoissa varsinaisesti ole kyse, sillä TOR ei salaa tietoa. TOR ei salaa tietoa Kiinnostus anonyymiä TOR-verkkoa koh- Kryptologeille olisi tarvetta mielellään enemmän käyttöä käytännön taan on kasvanut viime vuosina. Kryptologiasta tohtoriksi muksellisen tiedon lähettäjä ei halua paljastaa henkilöllisyyttään. Alan tutkimusta Nyberg pitää Nyberg kertoo erään opiskelijansa opinnäy- vät salaustuotteita. sanoo. Viestintävirasto onkin hyvin kansainvälisenä, mutta kansainvä- tetyöstä, jossa selvitetään anonymiteettiä julkaissut vuodesta 2010 lähtien listaa suo- liset opiskelijat eivät välttämättä saa töitä TOR-verkoissa. Kryptolaboratorio myös tarjoaa laskentakapasiteettiaan muiden viranomaisten ja tutkijoiden käyttöön. Niitä ei uskalleta muokata tai jos muokataan, on mahdol- vissa, vaikka se johdettaisiin TOR-verkon lista, että tehdään suuria virheitä”, Nyberg läpi”, Nyberg kiteyttää. Muualla opiske- teista, jotka ovat viraston tarkastamia ja lijat työllistyvät opiskelumaihinsa parem- hyväksymiä. Harvoin vikaa on algoritmeissä. tietosuoja 4 • 2014. Verkoston keskeinen työmuoto on tapaamisten järjestäminen ja alan ammattilaisten keskinäisen vuorovaikutuksen tiivistäminen”, Tuukkanen sanoo. Heitä ei ole kovin monta suomalaisissa yliopistoissa eikä yritysmaailmassa. Mitään Yhdysvaltojen armeijan ja NSA:n Fort Meaden useiden hehtaarien rakennuskompleksin vastinetta Suomeen ei olla rakentamassa. Nyt rakennetaan tietoturvajärjestelmiä, ja niihin otetaan valmiit salausjärjestelmät. Laboratorio vastaa muun muassa kansallisessa kyberturvallisuusstrategian toimeenpano-ohjelmassa esitettyihin tarpeisiin
SEPPO VIRTANEN H mahdollista selvittää. omaiselle voitaisiin määrittää velvoite avus- aiheuttamat ongelmat henkilön jokapäiväi- taa uhria. teettivarkauden tuominen rikosnimikkeeksi Virheellisten rekisterimerkintöjen sel- on turhaa, mikäli riittäviä tutkintamenetel- vittäminen ja poistaminen on erittäin tär- miä ei voida laillisesti käyttää. naa tai puhelinliittymiä. Siinä käsiteltiin myös lainsäädännön muutostarpeita koskien identiteettivarkauksia. Näkökulma Veikö varas identiteetin. Mikäli hen- sin tiedoista löytyy virheellinen merkintä, on vaikea antaa, sillä se kehittyy jatkuvasti kilö saisi identiteettivarkauden uhrin statuk- jota ei ole aikanaan poistettu. Mietinnössä nousee esille huoli identiteettivarkauden tutkinnallisesta merkittävyydestä: voidaanko käyttää niin pitkälle meneviä tutkintamenetelmiä, että rikos on Seppo Virtanen on sulautettujen tietoliikennejärjestelmien dosentti Turun yliopistossa. Termin tarkkaa määritelmää identiteettivarkauden uhriksi. seen elämään voivat olla hyvin kauaskantoi- Varastetulla identiteetillä pyritään usein hankkimaan taloudellista hyötyä esimer- Erityisesti tarvitaan toimintaohjeet, joi- kiksi hankkimalla pikavippejä, pankkilai- den avulla uhrin toipumista identiteetti- set, joten rikoksen jälkihoidon pelisäännöt pitää määritellä selkeästi. Yksityishen- uusia keinoja hyväksikäyttää toisen identi- ongelmiensa ratkomista. Vuosien jäl- uudenlaisten tietoteknisten toimintaympä- sen viranomaiselta, olisi hänen helpompaa keen merkinnän syntytilannetta ja oikeelli- ristöjen kehittyessä: ne mahdollistavat aina edistää identiteettivarkaudesta johtuvien suutta on haastavaa määrittää. Toinen motiivi on muunlaisen vahingon aiheuttaminen uhrille, esimerkiksi loukkaava esiintyminen tai vaikkapa uhrin sähköliittymän sulkeminen. Samalla viran- kilöön kohdistuneen identiteettivarkauden teettiä. Pelkän identi- taan uhrille kattavat toimintaohjeet. Huoli on aiheellinen, varkaudesta voidaan edistää. tietosuoja 4 • 2014 39. Uhrin Kun asiaton taho saa hankittua itselleen jonkun toisen identiteetin toteamiseen vaadittavat varmenteet tai asiakirjat väärin- Tärkeää olisi linjata periaatteet, joiden on vaikeaa saada esimerkiksi lainaa tai tiet- käyttötarkoituksessa, puhutaan identiteet- mukaan henkilön katsotaan joutuneen tyä työtehtävää, jos luottotiedoista tai polii- tivarkaudesta. TY/HANNA OKSANEN uhrin identiteetillä sosiaalisessa mediassa direktiivin kansallista täytäntöönpanoa valmistelleen työryhmän mietintö valmistui keväällä 2014. Esimerkiksi vaikka usein identiteettivarkauteen liittyy Yhdysvalloissa liittovaltion kauppakomissio enkilön identiteetti on arvota- myös muita epäiltyjä rikoksia, joiden vaka- FTC ylläpitää palvelua, jossa voi ilmoittautua varaa, ja siksi se on myös epäre- vuus voisi mahdollistaa kattavampien tut- identiteettivarkauden uhriksi, ja jossa anne- hellisten tahojen mielenkiinnon kintamenetelmien käytön. keää identiteettivarkauden jälkeen. EU:n tietoverkkorikos- Pelkän identiteettivarkauden tuominen rikosnimikkeeksi on turhaa. Oikeusministeriö on selvittänyt identiteettivarkauksiin liittyvän lainsäädännön kehittämistarpeita. kohde
Paperittomuus on totta Kaupungin käsittelemä asia tulee vireille joko ulkopuoli- 40. Lausuntopyynnöt sa- Ahjolla tavoitellaan säästöjen lisäksi myös entistä suu- moin kuin päätösesitykset, esi- rempaa läpinäkyvyyttä, kun asioiden valmistelusta ja pää- tyslistat ja kokouspöytäkirjat töksistä saa enemmän tietoa netistä. Ahjossa oma, selainpohjainen käsittelyjärjestelmänsä. Keski- Luottamushenkilö kirjautuu järjestelmään vahvasti tun- tetty kirjaamo kirjaa asian Ahjoon, skannaa mahdolliset nistautuen joko toimikortilla tai mobiilivarmenteella. sesta yhteydenotosta tai sisäisessä valmistelussa. Asian käsittely kaupungin sisällä tapahtuu kokonaan Kokousmenettelykin järjestetään Ahjossa. vaille valmis pöytäkirja. He kirjoittavat muutosesityksensä suoraan siihen”, Katja Räisänen mainitsee. tietosuoja 4 • 2014. Stadi säästää AHJOLLA Helsingin kaupunki otti ensimmäisenä käyttöön sähköisen asianhallintajärjestelmän, Ahjon. Nyt järjes- ”Paperit jäävät kirjaamoon. Ahjossa. Valmistelija ei enää saa käsi- telmä kattaa kaikki toimielimet ja päätöksen- teltäväkseen paperinivaskaa vaan skannatut ja muut sähköi- tekoon osallistuvat virastot. Onko kaupungin laaditaan siinä. Helsingillä on käy- set asiakirjat”, Antti Peltonen kertoo. kanssa asioivien tietosuoja silti edelleen turvassa. Toimi- asiapaperit ja lähettää asian Ahjossa valmisteluun oikeaan elinten kokouspäätöksistä syntyy automaattisesti stilisointia virastoon. Asiakkaan tietosuoja hoituu napin painalluksella ja paperipinot alkavat olla historiaa. Ahjosta istahtivat kertomaan johtava asiantuntija Katja Räisänen ja hallintopäällikkö Antti Peltonen. ”Luottamushenkilöillä on Läppäri korvasi paperipinot. TEKSTI MARIANNE SAINE KUVAT JYRKI VESA, SEPPO LAAKSO A hjon käyttö aloitettiin kesällä 2011. tössä muitakin asiahallintajärjestelmiä, joilla tehdään esimerkiksi toimeentulotuen päätökset
Luottamuselinten esityslistat ja pöytäkirjat ovat olleet netissä jo ennen Ahjoa. Tietosuoja on automatisoitu Helsingin avoimuuslinjauksen mukaisesti internetiä käytetään yhä enemmän tiedonanto- ja jakelukanavana. ”Samalla on kuitenkin varmistettava, ettei asiakkaan tietosuojaan liittyviä yksityiskohtia lipsahda nettiin”, Peltonen Ahjossa oli aluksi lastentauteja. Järjestelmä osaa tehdä asiasta kaksi versiota, täydellisen version tietosuoja 4 • 2014 henkilö- ja muine tietoineen ja toisen julkaisuversion, jossa henkilötiedot on korvattu tähtimerkein. Julkaisuversio siirtyy napin painalluksella omalle nettisivulleen. Nyt ne ilmestyvät nettiin samanaikaisesti, kun ne lähetetään toimielimen jäsenille. Viranhaltijapäätöksetkin on julkaistu netissä jo vuoden ajan. 41. Ahjossa tietosuojaa on pystytty automatisoimaan. ”Kyselyt Ahjon tukipalveluun ovat vähentyneet romahdusmaisesti.” toteaa. Johtava asiantuntija Katja Räisänen ja hallintopäällikkö Antti Peltonen kertovat, että puutteita on korjattu, ja palaute on alkanut olla myönteistäkin. Henkilötietojen poistaminen asiakirjasta hoidetaan kirjaimellisesti napin painalluksella, joka merkitsee henkilötietoja sisältävät kentät
Hän korostaa ennakkosuunnittelun tärkeyttä. Esimerkiksi päätöstekstiä laativa asiantuntija näppäilee Ahjoon erilaisia käsitte42. Automaattiset henkilötietokentät voidaan merkitä lyyn liittyviä ohjeita henkilötietomerkinnöistä lähtien. ”Salassa pidettävät asiat merkitään sellaisiksi omalla näppäimellään. ”Ainakin suurimmissa kaupungeissa sitä kannattaa harkita”, Peltonen sanoo. Kannattiko investointi. Tällainen voi olla asia, jossa on paljon henkilötietoja”, Räisänen mainitsee. Helsinki on ollut edelläkävijä sähköiseen asianhallintajärjes- Ahjo-järjestelmällä tavoitellaan päätöksenteon avoimuu- telmään siirtymisessä. Kun esimerkiksi kahdeksankymmentäviisi valtuutettua sai aiemmin satojen sivujen kokouspaperit, niiden printtaaminen ja kuljettaminen postitse tai lähetillä oli varsin kallista”, Peltonen sanoo. Esimerkiksi tasolla säästöjä ei ole vielä tutkittu, mutta näppituntuma omat prosessit joutuu käymään tarkkaan läpi. Myös neu- näyttää niitä syntyneen. Euro- ”Kyllä, mutta kehittämistie on ollut pitkä. ”Vaikka asia olisi julkinen ja saatavissa kirjaamosta, sitä ei ehkä ole syytä julkaista netissä. Prosessit menivät uusiksi Säästöä syntyy vat aikaa ja rahkeita”, Räisänen vastaa. Kaikkea ei voi julkaista netissä Ahjossa on myös painike ’Ei internetiin’. vottelut laitetoimittajien kanssa ja kilpailuttaminen vaati- ”Näkyvin hyöty Ahjosta on ollut ajan ja paperin säästö. Ahjo on vähentänyt avustavaa työtä. Ennen Ahjossa luotuun aineistoon. Nyt telyvaiheet. ”Järjestelmää ei kannata luoda vanhoja prosesseja varten, vaan ne on syytä läpivalaista ja luoda tarpeen vaatiessa uusia, jotka soveltuvat sähköiseen järjestelmään.” O tietosuoja 4 • 2014. liitteitä ei julkaista netissä. Ne poistuvat kokoussovelluksista automaattisesti kokouksen jälkeen”, Räisänen kertoo. den lisäksi ekologisuutta ja kustannustehokkuutta. Toiminnon ulottamista skan- hän siirsi päätösehdotuksen avustajalleen, joka hoiti käsit- nattuun aineistoon eli päätösten liitteisiin selvitellään. Ahjon käyttöönotossa 2011 neuvoivat Aino Sarkki, Johan Bengström ja Jaana Ilvonen. Helsingin kaupunginhallitus otti Ahjon käyttöönnsä 8.8.2011
henkilön oikeus yksityisyyteen vai suuren set keskittyvät niihin oikaisuvaatimuksiin, yleisön oikeus päästä hakutulosten kautta joissa rekisteröidyn ja EU:n välillä on selvä helposti käsiksi tietoon. Niistä alle puolet, muille käyttäjille. Virheelliseen toon johtava linkki hakutuloksista. timusten käsittelyyn. Ensimmäiset ratkaisut tehtäneen vuo- on erittäin laaja. Google on poistanut eniten hakutuloksista. Hakukoneyhtiöt PALJON VARTIJOINA Tietosuojaviranomaiset laativat yhteiset suuntaviivat tapauksiin, joissa hakukoneyhtiö kieltäytyy poistamasta verkko-osoitetta hakutuloksista. Hakukoneyhtiön on saa kiertää. Työryhmän mukaan ovat tehneet poistopyyntöjä yli 600 000 arvioinnissa huomioon tulosten hyödyn kriteerejä sovelletaan tapauskohtaisesti verkko-osoitetta koskien. laisten pyynnöt ovat olleet keskimääräistä tuomioon liittyvää tietoa. Se voi kieltäytyä poista- ja kansallinen lainsäädäntö huomioiden. EU:n antaman ratkaisun mukaan hen- Tuomioistuimen ratkaisu koskee vain henki- tietosuojaviranomaisten työryhmä hyväksyi kilöllä voi olla oikeus saada it- lön nimellä tehtyjen hakujen tuloksia. Puolessa vuodessa EU-maiden asukkaat Google kertoo nettisivuillaan ottavansa asukas tai kansalainen. teella pääse ilman muuta eroon itselle ikä- oikeuksien toteutuminen eikä lainsäädäntöä Ratkaisun jälkeen hakukoneyhtiöt ovat vistä hakutuloksista. Viranomai- topyyntöihin. laisilta yhteydenottoja, kun hakukoneyhtiö denvaihteen jälkeen. Suoma- masta vaikkapa virkavirheeseen tai rikos- Mikään yksittäinen kriteeri ei ole ratkaiseva. yhteys, esimerkiksi rekisteröity on EU-maan Google pitää tilastoa saamistaan poistopyynnöistä toukokuun lopusta alkaen. Ne käsitellään tietosuoja- Facebook-sivuille johtavia linkkejä, mutta Yhteinen sävel valitusten käsittelyyn poistettaviksi pyydettyjen osoitteiden kirjo Tietosuojaviranomaiset ovat saaneet kansa- sesti. O tietosuoja 4 • 2014 valtuutetun toimistossa hallintolain mukai- 43. lähes 42 prosenttia, on poistettu. Osoitteen poistoa ei esimerkiksi julkaisseet erilliset lomakkeet EU-tuo- punnittava, kumman intressi on tapauskoh- saa rajata koskemaan vain EU-maan verkko- mioistuimen ratkaisuun perustuviin pois- taisesti painavampi: pyynnön esittäneen tunnuksen sisältäviä osoitteita. TEKSTI PÄIVI MÄNNIKKÖ E U-tuomioistuimen toukokuussa Sisältö ei katoa netistä ei ole poistanut pyydettyä osoitetta. Rikossyytteissä Suomessa on vireillä noin kaksikym- tuloksekkaampia, sillä suomalaisten pyy- lopputuloksella on merkitystä, samoin sillä, mentä sellaista oikaisuvaatimusta, joissa tämistä yli 7 500 osoitteesta 47 prosenttia onko kyse uutisesta. tietoon johtavan linkin poistamista pyyde- Euroopan komissio toteaa tietopaketis- Työryhmä toteaa, että hakutulosten tään suoraan rekisterinpitäjältä eli haku- saan, ettei tuomioistuimen ratkaisun perus- poistopäätöksissä tulee taata rekisteröidyn koneyhtiöltä. Haku- marraskuun lopussa kansallisille viranomai- seensä liittyviin virheellisiin tie- koneyhtiö ei vaikuta tiedon säilymiseen sille laaditun linjauksen, jossa on 13 kriteeriä toihin johtavan verkkosivun osoite pois netissä vaan päättää siitä, poistetaanko tie- hakutulosten poistoa koskevien oikaisuvaa- hakukoneiden tuloksista. Google on kieltäytynyt poistamasta linkkiä on poistettu
Tietosuojaviranomaisen selvityksessä kuitenkin ilmeni, että yhtiö keräsi myös henkilöön yhdistettävissä olevaa paikkatietoa, kuten tietoa navigaattorin käytöstä ja ajetuista reiteistä. tietosuoja 4 • 2014. Vakavaan onnettomuuteen joutunut auto ottaa itse yhteyden lähimpään hätäkeskukseen ja ilmoittaa onnettomuuspaikan ja muut tärkeät tiedot, kuten auton rekisterinumeron, sijainnin ja matkustajien lukumäärän. Alankomaissa uutisoitiin, että paikallinen navigaatiopalveluita tarjoava yritys pyysi käyttäjiltä suostumusta vain anonymisoidun paikannustiedon käsittelyyn. SHUTTERSTOCK SHUTTERSTOCK 3 500 000 on kaikkien Suomeen rekisteröityjen autojen määrä. eCall on eurooppalainen autojen hätäviestintäpalvelu, jonka on määrä käynnistyä syksyllä 2015. Tiemaksujen käyttöönotto on ollut useassa maassa ratkaiseva sysäys älyliikennebisneksen kehittymiselle. Yhtiö lupasi lisätä käyttäjille annettavaa informaatiota ja tarkentaa suostumuskäytäntöjään. Järjestelmä aktivoituu onnettomuustilanteissa. SHUTTERSTOCK 2011 11244. Niihin pitäisi todennäköisesti asentaa liikennetietoja tallentavat laitteet, mikäli Suomessa siirryttäisiin verottamaan autoilua käytön perusteella. Tämä tarkoittaisi vuonna 2019 noin miljardin euron liikevaihtoa ja 20 000 henkilön työllistämistä. Ilmiö numeroina 1 prosentti maailman ÄLYLIIKENTEEN liikevaihdosta olisi liikenne- ja viestintäministeriön mukaan Suomelle realistinen tavoite. Älyliikenteen kehittymistä vauhdittavat mobiilin laajakaistan, mobiililaitteiden sekä paikkatieto- ja navigointipalvelujen yleistyminen
Ne ovat täynnä vuosikymmeniä vanhaa koodia, josta osaa ei koskaan ole auditoitu tietoturvahaavoittuvuuksien varalta. Shellshock samoin kuin huhtikuussa löydetty Heartbleed ovat lehden mukaan merkkejä internetiä riivaavasta ongelmasta. Wired haasWWW.MALTE-SPITZ.DE tatteli komentotulkin kehittelyyn aikoinaan osallistunutta Brian Foxia. neempia viestinnän valvonnan menetelmistä, kertoo The Guardian. Internetin toiminta perustuu uudelleen ja uudelleen kierrätettyihin ohjelmistoihin. Spitz arvelee, että saadakseen kaikki eri rekistereissä olevat tietonsa, hän olisi tarvinnut ”kourallisen lakimiehiä, pari tuhatta euroa ja kolme vuotta valitusprosesseja varten.” Lehti toteaa, että kirjan perusteella henkilötiedot ovat houkuttelevaa bisnestä, eikä useimmilla yrityksillä ole mitään intressiä kertoa läpinäkyvästi, mitä niillä tehdään, sanoi laki mitä tahansa. Siinä vaiheessa, kun hyökkäyksistä tuli todellisuutta, Bash oli ollut käytössä jo 15 vuotta. tuote, jonka avulla voi tarkistaa, Markkinoilla on runsaasti korkea- onko omalle tietokoneelle piilotettu tasoisia valmistuotteita, joita ihmis- viranomaisten käyttämiä vakoilu- oikeuksia räikeästi rikkovien maiden lainvalvonta- ja ohjelmia. Vaikka omien tietojen tarkastuspyyntö on lakisääteinen oikeus, osa pyynnöistä veti vesiperän. kiksi ihmisoikeusaktivistien ja toimittajien sähköposteja tai kytkemään päälle heidän tietoko- SCANSTOCKPHOTO Nyt on keksitty myös vastalääke; Amnesty Internationalin edustaja Marek Marczynski sanoo The Guardianin haastattelussa, neidensa nettikamerat ja mikrofonit että lopulta ainoa tapa estää valvon- salanauhoituksia varten. Nykyään Bash on yleisesti käytössä verkkopalveluissa Googlea ja Facebookia myöten. Tämän pitää muuttua, lehti kirjoittaa. Shellshock-haavoittuvuus sai alkunsa 1992 mutta havaittiin vasta tämän vuoden syksyllä. Näin men lähdekoodin viranomaiset pääse- työkalun suunnitte- vät lukemaan esimer- luun. tietosuoja 4 • 2014 jossa saksalaispoliitikko Malte Spitz kuvailee kokemuksiaan tutustumisesta omiin, viranomaisten ja yritysten rekistereissä oleviin tietoihinsa. Selailtua KOODI SYYNIIN, tai netti loppuu Malte Spitz kirjoitti rekisteritiedoistaan kirjan. LAISTA VIIS, ANNA MEILLE TIETOSI Der Spiegel kertoo kirjasta, Valvontakauppa kannattaa Viranomaiset ovat yhä kiinnostu- vuodessa, ja kasvu jatkuu. Shellshock-haavoittuvuus koskee Bash-komentotulkkia. Ihmisoikeusjärjestöt ovat osallistuneet tiedusteluviranomai- Detekt-nimisen avoi- set hankkivat. Hänen mukaansa Bashiä ei aikoinaan auditoitu verkkohyökkäysten varalta, koska niitä ei pidetty todennäköisinä. Internet on rikki, ja Shellshock on siitä vasta esimakua, julistaa Wired. Avoimen lähdekoodin tuotteena Bash olisi vapaasti kenen tahansa auditoitavissa, mutta se ei vain ole juolahtanut kenenkään mieleen. 45. Ihmisoi- tavälineiden käyttö ihmisoikeuksien keustoimijoiden mukaan valvonta- rikkomiseen on se, että niiden käyt- tuotteiden maailmanlaajuisen kau- töä ja kauppaa rajoitettaisiin ja val- pan arvo ylittää jo 4 miljardia euroa vottaisiin kuten asekauppaa
Koko lehteä pääsee lukemaan netissä rekisteröitymällä verkkolehden käyttäjäksi lehden takakannen osoitekentässä olevan tilausnumeron avulla. tietosuoja 4 • 2014. Älä toimi näin! Tietosuojalautakunnan päätösten valitusoikeutta rajoitetaan Palvelun automatisoinnissa prosessien sähköistys ei riitä Verkossa on myös koko painetun lehden sisältö. www.tietosuoja-lehti.fi SCANSTOCKPHOTO Lisää lakiuutisia, mm.: Tunnistamislakiesitys eduskunnan käsittelyssä ENSI NUMEROSSA Teollinen internet on jo täällä Tietosuoja 1 • 2015 ilmestyy 10.3.2015 SCANSTOCKPHOTO Fiksusti somessa RISUJA JA RUUSUJA Kerro mielipiteesi uudistetusta Tietosuoja-lehdestä, jotta voimme kehittää lehteä lukijoiden toivomaan suuntaan. tietosuoja-lehti.fi LUE LISÄÄ NETISTÄ Rekisterinpitäjä: suunnitteletko uutta toimintaa. Risuja, ruusuja, kysymyksiä sekä juttuvinkkejä voit antaa toimitukselle sähköpostitse: info@tietosuoja-lehti.fi puhelimitse: 044 310 0093 verkkolehden lomakkeella: www.tietosuoja-lehti.fi -> Palaute 46
Yhteydenotot tulee tehdä kirjallisina ja allekirjoitettuina em. Kestotilauksena tilattu lehti toimitetaan tilaajalle tilausjakso kerrallaan ilman eri uudistusta, kunnes tilaaja joko muuttaa sen määräaikaiseksi tai irtisanoo tilauksen. Jos laskutusjakso tai mak-sueriä on maksettu ennen irtisanomisen voimaantuloa, tilaus päätetään maksetun jakson loppuun. Tilaaja voi kieltää tietojensa käytön markkinointitarkoituksiin ja markkinatutkimuksiin ilmoittamalla asiasta tilaajapalveluun. Tilaajapalvelu/Tietosuoja PL 115 30101 Forssa puhelin 03 4246 5301 faksi 03 4246 5341 tilaajapalvelu@stellatum.fi www.stellatum.fi Tilaushinnat Suomessa 2014 Hinnat sisältävät arvonlisäveroa 10 % Kestotilaus (laskutusväli 12 kuukautta) 56,10 euroa Määräaikainen (kesto 12 kuukautta) 59,40 euroa Irtonumero 15 euroa Tietosuoja ilmestyy neljä kertaa vuodessa Tilausehdot Hinnat ovat voimassa vuonna 2014 Suomeen tehtyihin tilauksiin. Kestotilauksen voi irtisanoa ennen uuden tilausjakson alkua. soita numeroon 03 4246 5301 LEHDEN! Tilaushinnat Suomessa 2014 sisältävät arvonlisäveroa 10 % (4 numeroa vuodessa): kestotilaus (laskutusväli 12 kuukautta) 56,10 e, 12 kuukauden määräaikaistilaus 59,40 e tietosuoja 4 • 2014 47. Tilaushinnat ulkomailla 2014 Laskutusväli 12 kuukautta Skandinavian ja Baltian maat 62,70 euroa, sisältää arvonlisäveroa 10 % Muu Eurooppa 64,90 euroa, sisältää arvonlisäveroa 10 % Muut maanosat 63 euroa, arvonlisävero 0 % Asiakasrekisteri Rekisterikuvaus ja -seloste ovat nähtävissä kustantajan Stellatum Oy:n tiloissa PL 20, 00381 Helsinki. Tilaajan tietoja käytetään asiakassuhteen ylläpitoon ja hoitoon. Tietosuojalautakunnan päätöksille ja ajankohtaisille lainsäädäntöuutisille on omat vakiopalstansa. Tietosuoja on aina ajan tasalla! Tilaa nyt Tietosuoja-lehden neljä numeroa vuodessa Tietosuojan . Osoitetietoja käytetään ainoastaan kustantajan Stellatum Oy:n omassa toiminnassa. Lehdessä esitellään myös keskeisiä suomalaisia henkilörekistereitä ja tietoyhteiskunta-asioiden toimijoita. lähetä sähköpostia osoitteeseen VERKKOtilaajapalvelu@stellatum.fi . käy internetsivuillamme tilaus sisältää www.tietosuoja-lehti.fi myös . osoitteeseen tai henkilökohtaisesti rekisterinpitäjän luona. Jos tilaaja irtisanoo kestotilauksensa tilausjakson alkamisen jälkeen, hän on velvollinen maksamaan irtisanomisen voimaantuloon saakka lähetetyt lehdet. Tilaa yksityisyydensuojan ja tietoturvallisuuden erikoislehti! Neljä kertaa vuodessa ilmestyvä Tietosuoja tutustuttaa tietosuojan normeihin ja käytäntöön, tietoturvallisuuteen sekä viestinnän luottamuksellisuuteen. Tilauksen hinta on tilausjakson alussa voimassa oleva hinta, joka on painettu lehteen. Uudistettu Tietosuoja sisältää henkilötietojen käsittelyä, tietoturvaa sekä yksityisyydensuojaa koskevia asiantuntija-artikkeleita, haastatteluja ja uutisia. Tilaukset ja osoitteenmuutokset Osoitteenmuutosta tehdessäsi muista ilmoittaa lehden nimi. Tietosuoja ohjaa henkilötietojen lainmukaiseen käsittelyyn sekä tietoturvallisuudesta ja viestinnän luottamuksellisuudesta huolehtimiseen
Tilaa uutiskirje lähettämällä sähköpostiosoitteesi sisältävä viesti osoitteeseen info@tietosuoja-lehti.fi Sähköpostiosoitettasi ei käytetä muihin tarkoituksiin.. Tilaa Tietosuojan uutiskirje Uutiskirjeessä muistutetaan uuden numeron ilmestymisestä sekä vinkataan verkkolehdessä ilmestyvistä sisällöistä, jotka eivät ole luettavissa paperilehdestä. Uutiskirje ilmestyy neljä kertaa vuodessa aina uuden numeron ilmestymisen yhteydessä. Verkkolehden lukijaksi voivat rekisteröityä kaikki tilaajat voimassa olevalla tilausnumerolla, joka löytyy lehden takakannen osoitetietojen yhteydestä