Hyvät lukijat, otsikon kysymys on typerä ja sen kirjoittamisesta pitäisi joutua häpeäpaaluun. Haluan kuitenkin aloittaa pohjalta, siksi siteeraan tätä usein esitettyä kysymystä. On totta, että mobiililaitteiden seurantatoiminnoilla, poikkeuksellisin menetelmin, voidaan taistella tehokkaasti koronavirusta vastaan. Sen ei kuitenkaan pitäisi olla kysymys maan muuttumisesta totalitaariseksi poliisivaltioksi. Se voi kuitenkin sitä olla – joten avataanpa asiaa.
Kaksi kysymystä
Alkuun esitän kaksi kysymystä, jotka kovin herkästi mielletään samaksi.
- Oletko valmis antamaan valtiovallalle luvan seurata kansalaisten liikkeitä, jotta voidaan minimoida kriisin inhimilliset haitat?
- Oletko valmis vapaaehtoisesti ja määräaikaisesti luovuttamaan terveydenhuollon käyttöön tietoja liikkeistäsi, jotta voidaan minimoida kriisin inhimilliset haitat?
Nämä ovat eri asioita. Toki asian voisi jakaa kahden sijaan kymmeniin eri tasoisiin ratkaisuihin, nämä ovat lähinnä pari selkeää lähtökohtaa. Missä siis on ero? Jatkan tapojeni vastaisesti ranskalaisilla viivoilla, jos vaikkapa eurooppalaisen solidaarisuuden nimissä.
- Kuka saa tiedot? Onko tieto yksiselitteisesti vain tietyn, nimetyn viranomaistahon, kuten terveydenhuollon tietyn osaston käytössä, vai salliiko tiedon käytön sanamuoto tilannekohtaisia tulkkauksia esim. yksittäiseltä virkamieheltä?
- Mitä tietoja? Tarkelleen mitä tietoja lähetetään, koska, ja miten näitä tietoja saa ne saava osapuoli lukea? Missä kohtaa näkyy nimi, missä vain ei-yksilöivä tieto?
- Kuinka kauan? Onko järjestelmä rakenteellisesti aikarajattu niin, että tietyn päivän kohdalla tiedon kulku yksinkertaisesti lakkaa, ellei sitä käsin erikseen kytketä takaisin päälle, jälleen aikarajatusti? Vai onko kyse toistaiseksi voimassa olevasta ratkaisusta?
- Vapaaehtoinen vai pakollinen? Pyydetäänkö suomalaisia mukaan, vai pakotetaanko heidät siihen? Jos näin, miten henkilö tietää kuuluvansa seurannan alaisuuteen?
- Kuka valvoo valvojia? Onko yksityisyyden suojaa valvomassa epäpoliittinen ja ammattimainen toimija, esimerkiksi tietosuojavaltuutetun toimiston alaisuudesta? Vai onko valvonta poliittisesti ohjattua, esim. tiedusteluvaliokunnan toimesta?
- Kuka auditoi tietoturvaa? Onko järjestelmän tietoturva altistettu uskottavan kolmannen osapuolen auditointiin?
- Missä tiedot käsitellään? Pysyykö tieto Suomessa fyysisesti? Pysyykö tieto Suomessa juridisesti? (=konesalia/palvelua ei omista ulkomainen taho sellaisesta maasta jonka lainsäädäntö muodostaa tähän haasteen, esim. USA, UK)
- Koska ja miten tiedot tuhotaan? Onko määritelty aika, jolloin kaikki tunnistettavat tiedot poistetaan valvotusti? Toki anonymisoitu, tilastointikelpoinen data voidaan ja kannattaakin säilyttää tulevien kriisien varalle.
- Osataanko järjestelmä ostaa? Onko järjestelmän hankkijalla (valtio) riittävä tekninen osaaminen varmistaa, että kaikki tarpeet toteutetaan? Vai onko hankintaprosessi ulkoistettu konsultille, jonka tuloksista kertonee Apotti tarpeeksi?
- Turvaako laki ylläolevat? Onko kaikesta ylläolevasta määrätty miten vahva suojaus? Onko se laki, vai ainoastaan viranomaisten toimintatapa jonka yli voi kävellä? Voiko luvattuun luottaa?
Sinisilmäisyys ei auta
Meinasin aluksi kirjoittaa pidempäänkin luottamuksesta eri viranomaisiin tietosuojan kysymyksissä, mutta tämän voi tiivistää ja jatkaa myöhemmin. Terveydenhuolto on mielestäni ansainnut luottamuksen arkojen tietojemme käsittelyn osalta. Virheitä toki on ollut, mutta ne on pääosin havaittu ajoissa ja määrätietoiseen väärinkäytökseen syyllistyneet eivät ole saaneet jatkaa toimessaan. Tätä voi verrata poliisiin, joka on jatkuvasti otsikoissa satojen määrätietoisten tietoturvaloukkausten takia, ja jonka piirissä ei määrä välttämättä mitään seuraamuksia tästä. Toki pitää korostaa, että ylivoimainen valtaosa poliiseja kunnioittaa ihmisten yksityisyyttä, mutta organisaatiotason ongelma on ettei väärinkäytöksiin käytännössä puututa. Sote-sektorin ja poliisin lisäksi voisi varmaan puhua jotain luottamuksesta poliittisiin toimijoihin, mutta jos jätettäisiin uppoamatta niin syvään suohon tällä kertaa.
Meillä jokaisella on jotain salattavaa. Jos olet tästä eri mieltä, postitathan minulle henkilökorttisi ja valtakirjan pankkitilisi käyttöön. Oikeus yksityisyyteen on yksi länsimaisen sivistyksen perusteita ja se takaa oikeuden niin vapaalle medialle, oppositiolle kuin kulttuurille ja yritystoiminnallekin. Hädän keskellä on täysin luonnollista olla valmiina tinkimään myös yksityisyydestä, mutta se ei saa olla carte blanche -sopimus. Kriisinkin keskellä luottamus on väkevää valuuttaa sivistyneessä yhteiskunnassa. Suojelkaamme sitä, niin siten suojelemme myös kansalaisiamme.
Minä kannatan mobiilipohjaista seurantaratkaisua tapana vähentää koronaviruksen rajoituksia. Tietoturva-alan ihmisenä tiedän, että sen voi toteuttaa viisaasti. Näin tapahtuessa, olen varmasti etujoukoissa vapaaehtoisena.
… sen sijaan:
– kännykällä voi ottaa selfien
– kännykällä pystyy mittaamaan kuumeen ja sykkeen
– kännykällä voi tallentaa yskän äänen
– kun siihen lisättäisiin vielä härpäke, johon voisi yskästä
… oltaisiin lähellä automaattista koronan tunnistusta
Meitähän voidaan erillisellä annettavalla hätälailla, poliisilailla, seurata jo nyt eli, miksi sitä meiltä lupaa kysyttäisiin nimenomaan poikkeuslakitilanteessa ?
Heikki, tässä on se että ainoa taho joka voisi tehokkaasti valvoa sijaintia, on sovelluksen tarjoaja – mobiilioperaattori ei siihen pysty. Se tarkoittaisi, että valtio velvoittaisi alustan tarjoajan pakottamaan sovelluksen asennus puhelimeen. Tämä on jotain mitä tapahtuu Venäjällä ja Kiinassa, ei yhdessäkään demokratiassa. Ei myöskään Etelä-Koreassa.
Push- viesti voidaan pakottaa menemään jokaisen operaattorin kautta jopa salaisiin numeroihin. Tähän perustuu nyt jo vihdoin tuleva tekstiviesti hätätilanteissa.
tai…
”Sijainti päälle” voitaisiin hyvin ”puolipakottaa” ihmisille jollakin tärkeällä porkkanalla, jolloin ei lupaa silloin kysyttäisi. Ilmoitetaan vain, että tätä tietoa käytetään lakimääräisesti määräajan vain….
… tai otetaan käyttöön DDR:n ja KGB:n naapurivalvonta. Se muuten toimii jo nyt taloyhtiöissä.
Juuri eräs naapuri kertoi, että Espanjasta tulleet 2 pariskuntaa olivat karanteenissa ja menneet talon yhteiseen pesutupaan ja kauppaan.
Googlet ym. nyt tietää muutenkin missä porukka liikkuu, eiköhän tämän oikeuden voi tilapäisesti koronataistelun myötä valtiollekin antaa. Samanlaiset määräaikaisuudet tulille kuin muissakin toimissa, niin ei jää ”vahingossa” päälle kun kriisi on ohi.
Aika hyvä ajatuksena, mutta jos sitä itse hyödyntäisi niin pitäisi liikkuessa tuijottaa kännykkää väistellessäsi punaisia ja entä sitten jos kuitenkaan kaikilla ei ole älykännyä ja sovellusta?
Asiat tulee keskeneräisinä markkinoille…
Minun olinpaikkatietoni Suomessa voi vapaasti olla Suomen viranomaisten käytettävissä.
Esimerkiksi Georgiaan lähtiessäni suomalainen liittymäni yksinkertaisesti lakkaa toimimasta. Viimeinen rekisteröity olinpaikkani on silloin Helsinki-Vantaan lentokenttä – esimerkiksi kaksi viikkoa.
Sitten kun ryssä taas hyökkää Suomen kimppuun yrittäen jälleen valloittaa koko Suomen, niin paikkatietoni ei ole enää kenenkään saatavilla.
Minun olinpaikkatietoni tuskin kiinnostavat ketään. Minä kun en ole mikään kansainvälinen sotilaskouluttaja, tai muuten sotilaallisesti kiinnostava henkilö, minun paikantamistietoni eivät ketään kiinnosta.
Jos sitten olisinkin, miksen Varkaudesta lähtiessäni ostaisi puolenkymmentä pree-paid liittymää; seuraamiseni voisi olla melko hankalaa.
Ei, minä olen aivan tavallinen tallaaja, rikoksia kun en harrasta, miksi kulkemiseni ketään kiinnostaisi.
Google tietää – jos annat luvan. Google kysyy sitä aina, kun otat käyttöön palvelua tai uutta puhelinta. Moni yritys selvittää asian kysymättä lupaa, tai piilottaa luvan jonnekin mutkan taakse.
Operaattori, tai pakotettu ratkaisu voi tietää asian vain mobiilipaikannuksella. Se ei ole äärimmäisen tarkka. GPS-paikannus on tarkka, se pitää tapahtua puhelimelta käsin.
Minulla on syy uskoa, että suomalaiset suostuisivat tähän laajalti vapaaehtoisesti, jos malli on fiksu. Miksi uskon tähän? Koska merkittävä osa suomalaisia asensi myös vapaaehtoisesti 112-sovelluksen.