Avainsana: tietosuoja

Julkaistu

Tietoturvan psykologia: tästä puhumme vielä

Tietoturva ja tietosuoja ovat olleet työssäni tärkeitä aiheita vuosien ajan. Ei, se ei ole häkkeröintiä ja pimeässä verkossa surffailua venäläisagentteja vastaan, vaan pääosin sopimuksia, käytäntöjä ja koulutuksia. Psykologian osuutta ei kuitenkaan ole nostettu esiin niin laajalti kuin sopisi. Tämä asia muuttuu.

Käyttäjä on paras portinvartija

Tiedättekö mitä ovat M365 E5, Elements Collaboration Protection, Darktrace tai CrowdStrike? Ei, tämä ei tule kokeeseen. Listassa on useita erinomaisia tietoturvajärjestelmiä suuryrityksille. Ne ovat moderneja, tehokkaita ja hyödyllisiä. Vaikka ostaisit ne kaikki ja sata muuta pohjattomalla kassalla, et saisi sataprosenttista suojaa. Ihminen on lopulta aina se tärkein portinvartija etenkin huijausviestien kanssa.

Tämän myötä huomiota pitää kiinnittää yhä enemmän ihmiseen. Näkökulmia on monia. Se mikä pätee mielen hyvinvoinnissa yleensä, pätee myös psykologisissa kulmissa tietotekniikassa. Muutamia otteita.

  • Turvallisen tunteen tuovat asiat ovat tärkeitä, etenkin hädän hetkellä. Arjessa se on ystävä tai perheenjäsen. Tietoturvassa se voi olla ystävällinen, matalan kynnyksen käyttötuki.
  • Mielen resilienssi auttaa haastavien tilanteiden tullessa vastaan, oli puhe vapaa-ajasta tai työstä, terveydestä tai tietoturvasta.
  • Rikolliset ymmärtävät psykologiaa ja tietävät miten luoda sinulle epämukavaa oloa vaikkapa sähköpostihuijauksella. Epämukava olo vähentää valppautta.
  • Tietoturvan käsitteet eivät ole luonteeltaan teknisiä vaan inhimillisiä ja ajattomia aiheita, joita toteutetaan tietotekniikalla. Paperi tai tietokone, salasana tai riippulukko, postikortti tai sähköposti – konseptit ovat täysin samoja.
  • Ilkeämielinen tietojärjestelmiin murtautuja on vain Ruben Oskar Auervaara (kuka?) varustettuna näppäimistöllä. Temput ovat samoja.
  • Tulet hyväksi tietoturvaongelmien vahdiksi maalaisjärjellä, arjen osaamisella ja pitämällä mielen vireänä. Tekninen osaaminen on parhaimmillaankin pieni sivuosa.
  • Yrityspäättäjä, haluatko tehostaa hurjasti tietoturvan torjuntaa? Kiitä aina työntekijää joka mainitsee havaitsemastaan huijauksesta tai ongelmasta. Positiivisen palautteen teho on merkittävä.

Stressi tuhoaa tietoturvan

Monien tietoturvauhkien isoja riskitekijöitä ovat vanhat ohjelmat, asentamattomat päivitykset tai väärät asetukset. Yhä useamman maailmanluokan tietomurron aliarvostettu syy on kuitenkin stressi. Jos työntekijällä on jatkuva kiire, hänellä on huonompi valppaus. Jos työntekijää kohdellaan ilkeästi hänen kysyessä apua, hän jättää herkästi vaaroista ilmoittamatta tai neuvoa kysymättä. Stressi maksaa jo sairaspoissaoloina tähtitieteellisiä summia. Tietoturvaongelmina se voi maksaa vielä toisenkin tähtitaivaan verran.

Vanha mainos sanoi: hyvä ruoka, parempi mieli. Jatkan tästä: parempi mieli, parempi tietoturva. Parempi luottamus. Paremmat asiakassuhteet. Paremmat yöunet. Lopulta psykologisten kulmien merkitys tietoturvan hoidossa johtaa paitsi merkittävään rahansäästöön, erinomaiseen riskienhallintaan mutta myös mitattavaan terveyden hyvinvoinnin kasvuun. Pidä siis mieli vireänä ja huijarit varpaillaan.

 
P.S. Tässä yhteydessä pitää osoittaa kiitokset Nimblr-nimiselle ruotsalaisyritykselle, jonka kanssa olen pallotellut tätä kiehtovaa aihetta. Sanokaa minun sanoneeni, tästä aiheesta luetaan vielä monista medioista.

Julkaistu

Luovutko yksityisyydestä terveytesi vuoksi?

Hyvät lukijat, otsikon kysymys on typerä ja sen kirjoittamisesta pitäisi joutua häpeäpaaluun. Haluan kuitenkin aloittaa pohjalta, siksi siteeraan tätä usein esitettyä kysymystä. On totta, että mobiililaitteiden seurantatoiminnoilla, poikkeuksellisin menetelmin, voidaan taistella tehokkaasti koronavirusta vastaan. Sen ei kuitenkaan pitäisi olla kysymys maan muuttumisesta totalitaariseksi poliisivaltioksi. Se voi kuitenkin sitä olla – joten avataanpa asiaa.

Kaksi kysymystä

Alkuun esitän kaksi kysymystä, jotka kovin herkästi mielletään samaksi.

  1. Oletko valmis antamaan valtiovallalle luvan seurata kansalaisten liikkeitä, jotta voidaan minimoida kriisin inhimilliset haitat?
  2. Oletko valmis vapaaehtoisesti ja määräaikaisesti luovuttamaan terveydenhuollon käyttöön tietoja liikkeistäsi, jotta voidaan minimoida kriisin inhimilliset haitat?

Nämä ovat eri asioita. Toki asian voisi jakaa kahden sijaan kymmeniin eri tasoisiin ratkaisuihin, nämä ovat lähinnä pari selkeää lähtökohtaa. Missä siis on ero? Jatkan tapojeni vastaisesti ranskalaisilla viivoilla, jos vaikkapa eurooppalaisen solidaarisuuden nimissä.

  • Kuka saa tiedot? Onko tieto yksiselitteisesti vain tietyn, nimetyn viranomaistahon, kuten terveydenhuollon tietyn osaston käytössä, vai salliiko tiedon käytön sanamuoto tilannekohtaisia tulkkauksia esim. yksittäiseltä virkamieheltä?
  • Mitä tietoja? Tarkelleen mitä tietoja lähetetään, koska, ja miten näitä tietoja saa ne saava osapuoli lukea? Missä kohtaa näkyy nimi, missä vain ei-yksilöivä tieto?
  • Kuinka kauan? Onko järjestelmä rakenteellisesti aikarajattu niin, että tietyn päivän kohdalla tiedon kulku yksinkertaisesti lakkaa, ellei sitä käsin erikseen kytketä takaisin päälle, jälleen aikarajatusti? Vai onko kyse toistaiseksi voimassa olevasta ratkaisusta?
  • Vapaaehtoinen vai pakollinen? Pyydetäänkö suomalaisia mukaan, vai pakotetaanko heidät siihen? Jos näin, miten henkilö tietää kuuluvansa seurannan alaisuuteen?
  • Kuka valvoo valvojia? Onko yksityisyyden suojaa valvomassa epäpoliittinen ja ammattimainen toimija, esimerkiksi tietosuojavaltuutetun toimiston alaisuudesta? Vai onko valvonta poliittisesti ohjattua, esim. tiedusteluvaliokunnan toimesta?
  • Kuka auditoi tietoturvaa? Onko järjestelmän tietoturva altistettu uskottavan kolmannen osapuolen auditointiin?
  • Missä tiedot käsitellään? Pysyykö tieto Suomessa fyysisesti? Pysyykö tieto Suomessa juridisesti? (=konesalia/palvelua ei omista ulkomainen taho sellaisesta maasta jonka lainsäädäntö muodostaa tähän haasteen, esim. USA, UK)
  • Koska ja miten tiedot tuhotaan? Onko määritelty aika, jolloin kaikki tunnistettavat tiedot poistetaan valvotusti? Toki anonymisoitu, tilastointikelpoinen data voidaan ja kannattaakin säilyttää tulevien kriisien varalle.
  • Osataanko järjestelmä ostaa? Onko järjestelmän hankkijalla (valtio) riittävä tekninen osaaminen varmistaa, että kaikki tarpeet toteutetaan? Vai onko hankintaprosessi ulkoistettu konsultille, jonka tuloksista kertonee Apotti tarpeeksi?
  • Turvaako laki ylläolevat? Onko kaikesta ylläolevasta määrätty miten vahva suojaus? Onko se laki, vai ainoastaan viranomaisten toimintatapa jonka yli voi kävellä? Voiko luvattuun luottaa?

Sinisilmäisyys ei auta

Meinasin aluksi kirjoittaa pidempäänkin luottamuksesta eri viranomaisiin tietosuojan kysymyksissä, mutta tämän voi tiivistää ja jatkaa myöhemmin. Terveydenhuolto on mielestäni ansainnut luottamuksen arkojen tietojemme käsittelyn osalta. Virheitä toki on ollut, mutta ne on pääosin havaittu ajoissa ja määrätietoiseen väärinkäytökseen syyllistyneet eivät ole saaneet jatkaa toimessaan. Tätä voi verrata poliisiin, joka on jatkuvasti otsikoissa satojen määrätietoisten tietoturvaloukkausten takia, ja jonka piirissä ei määrä välttämättä mitään seuraamuksia tästä. Toki pitää korostaa, että ylivoimainen valtaosa poliiseja kunnioittaa ihmisten yksityisyyttä, mutta organisaatiotason ongelma on ettei väärinkäytöksiin käytännössä puututa. Sote-sektorin ja poliisin lisäksi voisi varmaan puhua jotain luottamuksesta poliittisiin toimijoihin, mutta jos jätettäisiin uppoamatta niin syvään suohon tällä kertaa.

Meillä jokaisella on jotain salattavaa. Jos olet tästä eri mieltä, postitathan minulle henkilökorttisi ja valtakirjan pankkitilisi käyttöön. Oikeus yksityisyyteen on yksi länsimaisen sivistyksen perusteita ja se takaa oikeuden niin vapaalle medialle, oppositiolle kuin kulttuurille ja yritystoiminnallekin. Hädän keskellä on täysin luonnollista olla valmiina tinkimään myös yksityisyydestä, mutta se ei saa olla carte blanche -sopimus. Kriisinkin keskellä luottamus on väkevää valuuttaa sivistyneessä yhteiskunnassa. Suojelkaamme sitä, niin siten suojelemme myös kansalaisiamme.

Minä kannatan mobiilipohjaista seurantaratkaisua tapana vähentää koronaviruksen rajoituksia. Tietoturva-alan ihmisenä tiedän, että sen voi toteuttaa viisaasti. Näin tapahtuessa, olen varmasti etujoukoissa vapaaehtoisena.

Julkaistu

Tietosuojan via dolorosa, hv 2020

Herran vuonna 2020 on tietosuojan tuntemus organisaatioissa jo hyvällä mallilla, tietosuojadirektiivi on tehnyt meistä viisaampia ja tietosuojasta vastuullisempaa. Sitten minä heräsin. Herättyäni kirjasin ylös pahimpia tietosuojakatastrofeja joita olen havainnut yksin alkuvuoden aikana. Oi itkua, oi parkua, oi tuskien taivalta – joskin pientä iloakin.

Tein päätöksen, että en nimeä tässä tunaroivia firmoja, koska olen kuitenkin ilmoittanut heille asiasta.

Monimutkainen majoitus

Tammikuun loppupuolella vei tieni hotelliin erääseen suomalaiskaupunkiin. Majoitus oli varattu jo puoli vuotta sitten suoraan hotellifirmalle (ei siis kilpailutussivuston, matkafirman tjsp kautta). Tarkistaessani varauksen tilaa sain kuitenkin hotellifirman sivuilta virheilmoituksen. Soitin, ja pitkän puhelun aikana selvisi, että varaukseni oli myyty toiselle hotelliyritykselle. Henkilötietoni oli lähetetty siinä mukana uudelle firmalle, mutta minulle ei viitsitty siitä mainita. Majoitukseni myyneen hotellifirman tietosuojaehdot eivät sallineet tätä. Majoitukseni ostaneella hotellilla ei myöskään tästä ollut mainintaa ja heidän tietosuojalauseke oli muutenkin kelvoton. Se ei myöskään ollut nähtävillä vastaanotossa. Henkilökunta ei tiennyt asiasta mitään. Tähän päivään mennessä ainoa selvitys jonka olen saanut on, että ”oletimme ettei tästä tarvitsisi kertoa”. Väärin oletettu. Asiakaspalvelu sinänsä oli kohteliasta molemmilla osapuolilla ja ymmärrystä piisasi, teoista vain jäi uupumaan.

Sujuvaa sähköistystä

Jotain positiivista väliin, joten firmankin voin nimetä. Tampereen sähköverkon kanssa piti asioida vuoden alussa. Heillä oli asiointisivusto, joka pyöri USA:ssa, sisältäen tietosuojalausekkeen että tiedot eivät poistu EU/ETA alueelta. Reklamoin asiasta heille ja heti seuraavana päivänä sain kohteliaan soiton, jossa selvennettiin asiaa, pahoiteltiin ja annettiin mahdollisuus keskustella. He kiittivät palautteestani ja laittoivat jopa pienen lahjan perästä. Annoin toki parhaani mukaan ajatuksia jatkokehitykselle, toivottavasti auttoi. Näin se pitää mennä, maailma ei ole valmis ja virheet korjataan. Kriittiseen palautteeseenkin voi suhtautua rakentavasti, tästä kehtaa ottaa oppia.

Viheliäinen visiitti

Vierailin taannoin erään yrityksen toimistolla. Aulassa pyydettiin kirjaamaan nimeni ja yritykseni, sekä ketä olin tulossa tapaamaan – eikä siinä mitään. Sitten haluttiin nähdä henkilöllisyystodistus ja ottaa kuva siitä. Kysyin että mikä on peruste, ja saisinko nähdä tietosuojaselosteen. Lähimmäs vastausta päästiin toteamalla, että ”sen pitäisi olla täällä, muttei ole”. Noh, henkilökorttini ei poistunut lompakostani ja päädyimme pitämään tapaamisen kahviossa. Vieläkään en tiedä perustetta vahvalle tunnistautumiselle, mutta palaute otettiin firmassa vastaan asiallisesti ja luvattiin käydä vähän keskustelua aulapalvelun kanssa.

Uhkaava ulkoistus

Osallistuin tietosuoja-asiantuntijan ominaisuudessa keskusteluun erään ulkoistuskumppanin kanssa liittyen taloushallinnon tietojärjestelmiin. Pyysin tapaamisen pohjalle tietosuojaselosteita, jotka nopeasti lähetettiin. Tekstiä oli paljon ja pintapuolisesti näytti hyvältä. Kyse oli kuitenkin esimerkillisestä leveällä pensselillä piirtämisestä, jossa pyrittiin antamaan lähes rajattomat oikeudet tietojen käsittelyyn. Se ei ole asiallista toimintaa, eikä välttämättä lainmukaistakaan. Pieniä asia- ja tyylivirheitä oli roppakaupalla. Lisäksi tekstissä viitattiin lainsäädännön pykäliin numeroilla ”pykälän x momentti y” – sääli vaan että ko. pykälässä ei edes ollut niin montaa momenttia, ei nykyisessä tai edellisessä laissa. Se ei osunut myöskään edelliseen tai seuraavaan pykälään, eli ihan pieni kirjoitusvirhe ei ollut kyseessä. Palaute otettiin kuitenkin positiivisesti vastaan ja itse sopimuksiin tietosuoja-asiat kirjattiin asianmukaisesti. Pakko kuitenkin ihmetellä: eikö kukaan ole koskaan oikolukenut näitä?

Muuta mukavaa

Muutaman viikon aikana olen myös törmännyt lukuisiin tarpeettoman tiedon keräämisiin (=tietoja kerätään ilman osoitettua tarvetta), tietosuojaselosteen tai muun dokumentaation puutteisiin, valheellisiin EU/ETA säilytyslupauksiin ja pariin tarpeettomaan arkaluonteisen tiedon keräämiseen, sekä yhteen suoraan tietokyselystä kieltäytymiseen. Pikainen visiitti muutaman kotimaisen kuluttajatuotteita tai -palveluita myyvän yrityksen sivuille osoittaa, että huomattavan monella on asiassa eri kokoisia puutteita.

Tietosuojan hoitaminen asianmukaisesti ei ole niin vaikeaa, ei vanhalla lailla, ei nykyisellä. Laiminlyönnit ovat härskejä, alati lisääntyviä ja masentavia. Vain pienellä silmien avaamisella ja hyvin pienellä asiointitahdilla on jo tusina ongelmatapausta löytynyt muutamassa viikossa. Pystymme parempaan. Ongelman korjaamiseksi tarjoan nyt erittäin tiiviin henkilötietojen käsittelyn perusohjeen. Se ei kerro kaikkea, mutta jo tätä noudattamalla pääsee pitkälle. Sitä saa siteerata ja parempi apu on lähellä.

  • Kerää vain tietoja, joihin sinulla on perusteltu tarve.
  • Kerro tuo tarve ja tietojen käyttötapa tietojen keräämisen yhteydessä.
  • Käytä tietoja vain em. kohdan mukaisesti.
  • Vastaa kyselyihin ja poista tai korjaa tiedot pyydettäessä.
Julkaistu

Ylläpitääkö AY-liike laitonta henkilörekisteriä?

Ymmärrän vilpittömästi tuoreessa työmarkkinataistelussa molempien osapuolten pyyntöjä. Sen sijaan en ymmärrä kaikkia metodeja, herjauksia ja uhkauksia joita heitellään. Jotkut AY-aktiivit ovat uhanneet haitata rikkureiksi väitettyjen työnsaantimahdollisuuksia jatkossa. Se implikoi listaa näistä henkilöistä – suomeksi sanoen, laitonta henkilörekisteriä.

”He tietävät miten heille käy”

Ylläolevan sitaatin on esittänyt mediassa eräs AY-aktiivi, jonka nimeä en katso tarpeelliseksi mainita maalittamisen kohteeksi. Vastaava uhkaus on eri sanamuodoin esitetty useaan otteeseen viime päivinä, kohdistettuna liiton ulkopuolisiin työntekijöihin. Koska kyseiset henkilöt eivät ole liiton jäseniä, ei liitolla ole laillista oikeutta pitää heistä kirjaa. Työnantajalla ei myöskään ole laillista oikeutta ilmoittaa heidän henkilötietojaan liitolle.

EU:n henkilötietodirektiivi on noin 100 sivua jäätävän sekavaa, lukukelvotonta byrokraattista soopaa. Kyllä, olen lukenut, useasti. Onneksemme Tietosuojavaltuutetun toimisto on tehnyt helppolukuisen version. Tietosuojan asiallisen hoitamisen ydinsanoma on oikeastaan todella helppo, täältä pesee:

  1. Kerää vain tietoja joiden keräämiseen sinulla on perusteltu tarve.
  2. Ilmoita tämä tarve tietoja kerätessä sekä kerro miten aiot tietoja käyttää.
  3. Käytä tietoja vain ed. kohdassa mainitulla tavalla.

Laissa on myös erillisiä tarkennuksia erityisten tietojen käsittelyyn, eli kun puhutaan tiedoista jotka ovat erittäin arkaluonteisia. Näihin tietoihin sisältyy ammattiliiton jäsenyys. Siteeraan viranomaista:

Näitä tietoja on suojeltava erityisen tarkasti, koska niiden käsittely voi aiheuttaa huomattavia riskejä henkilön perusoikeuksille ja -vapauksille.

Kansankielellä sanoen, tällaista tietoa pitää käsitellä silkkihansikkain. En ole juristi tai tuomari, mutta olen alati valmis väittämään että liiton jäsenyystiedon käsittely kostotarkoituksiin ei ole lainmukaista. Tietosuojarikoksen määrite todennäköisesti täyttyy.

Oikea murhe, oikeat välineet

Edelleen, jopa yrittäjänä, olen valmis koska vaan allekirjoittamaan AY-liikkeen tarpeen yhteiskunnassa. Syyt eivät ole vain historiallisia, vaan näen niille yhä suurempaa tarvetta esimerkiksi alustatalouden ja pätkätöiden aikana. Liitoista kuitenkin pakenee jäseniä kovaa vauhtia ja on varmaa, että uhkailut eivät tilannetta paranna. AY-liikkeillä on kaikki keinot ja varat tilanteen korjaamiseen, mutta näitä keinoja ei ole nyt nähty.

Koston hautominen lakia rikkoen on huono polku. Mikäli tarkoitus on turvata työntekijöitä vastakin, on suositeltavaa pysähtyä hetkeksi itsetutkiskeluun. Kostaja häviää pelin aina.

Julkaistu

Saisimme rakastaa tietojamme enemmän

Kiinnitän huomionne Tivin ja Kuluttajan juttuihin, joissa ihmeteltiin asiattomaksi todetun Kotisun-yrityksen tunkeilevaa remonttimarkkinointia. Taustalta paljastui yhteystietoja kaupitteleva Leaddesk-yrityksen tytäryhtiö Leadventure, jonka toiminta ei herätä liiemmin luottamusta. Koko tarina paljastaa yhä kasvavan tarpeen olla tarkkana omista tiedoistamme, sekä yksilön että valtakunnan tasolla.

Viranomainen on hereillä

Tässä kohtaa ei sovi valitella viranomaisten laiskuutta. Tietosuojavaltuutettu Reijo Aarnio teki heti selväksi, että Olli Nokso-Koiviston ja Olli Sirkiän pyörittämän Leadventures-yrityksen toiminta ei kestä päivänvaloa. He eivät vastaa kysymyksiin joihin heidän lain mukaan on vastattava, vaan pelaavat aikaa ja tekosyitä. Tietenkin vasta tuomioistuin voi todeta laittomuuden, mutta näin tietosuoja-alan ihmisenä itsekin tunnustan näkeväni punaista. Niin Suomen kuin EU:nkin lainsäädäntö tietosuojasta määrää ehdottomaan avoimuuteen. Paitsi että Leadventures ei anna yksittäisille ihmisille tietoa joka heille kuuluu, he kategorisesti kieltäytyvät vastaamasta kysymyksiin niin puolueettomalle medialle kuin viranomaisillekin. Se ei voi tarkoittaa hyvää.

EU-laki antaa mahdollisuuden merkittävän kokoisiin korvauksiin tietosuojan laiminlyönneistä. Tästä tapauksesta voi tulla yksi ensimmäisiä esimerkkejä lain käytöstä Suomessa. Ongelmana on kuitenkin aikataulu. Asian huomattavan törkeyden vuoksi tietosuojavaltuutettu on heti aloittamassa toimia, mutta voi kulua vuosia kunnes asiasta saadaan oikeuden päätös. Siihen mennessä firman avainhenkilöt ovat voineet jo pistää firman lihoiksi ja toisen tilalle. Kyse ei ole mistään pienistä penneistä vaan miljoonista, jotka saattavat siis olla kaikki laittomia tuloja. Rahat kyllä ehditään piilottaa oikeudelta moneen kertaan ja toiminta voi jatkua pitkään. En tietenkään väitä suoraan että he näin tulevat tekemään, mutta totean sen erittäin helposti mahdolliseksi ja siten tilanteen haastavaksi.

Kuten olemme taannoin lukeneet, viranomainen voi keskeyttää nopeastikin huonon hoitokodin toiminnan. Väkivaltarikollinen saadaan lukkojen taakse myös välittömästi, mutta talousrikollisuus saa pyöriä rauhassa. Laittomaksi todettu perintäfirma pistettiin taannoin kiinni pitkän väännön perään, mutta vain pari päivää myöhemmin se jatkoi laitonta toimintaansa, jolloin hidas juridinen prosessi alkoi taas alusta. Viranomaisille tarvittaisiin tietyissä, erityisen vakavissa tapauksissa oikeus nopeampiin keinoihin. Tietenkin asia pitää oikeusvaltiossa käydä tuomarin kautta, mutta kiireen sattuessa se kyllä järjestyy vaikka samalle päivälle. Vuoden-parin odottelu on laiha lohtu, samalla kun etenkin tuhansilta vanhuksilta huijataan kaikki säästöt sitä odotellessa.

Tieto on rahaa ja valtaa

Yksi aikamme suurimpia valheita on ”minulla ei ole mitään salattavaa”. Kyllä sinulla on, vaikka olisit sataprosenttisen lainkuuliainen. Sinulla on tunnukset pankkiin. Sinulla on tietty henkilökohtainen tilanne, sinut hyvin tuntemalla sinua ja läheisiäsi voidaan huijata helpommin. Tästä johtuen, sinun on oltava valppaana omien tietojesi osalta. Varo mitä itsestäsi kerrot firmoille, varo mitä lomakkeita täytät, varo mitä puhelimessa vastaat ja pyydä aina tietosuojaseloste. Aina. Ei sinun sitä tarvitse lukea reunasta reunaan, mutta huijari pystyy harvoin sitä esittämään. Laki vaatii sen esittämisen aina kun sinulta pyydetään mitään henkilötietoja.

Koko maailma on vieläkin ruususen unessa, mitä tulee tietoverkkojen ja uusien tekniikoiden avulla tehtyyn henkilötietojen analysointiin, hyvässä kuin pahassakin. Tarjolla ei ole oikotietä onneen. Meidän on vain opittava elämään uusien haasteiden ja mahdollisuuksien parissa. Opintien varrelta haluan toivottaa onnea Reijo Aarnion työmaalle.

Julkaistu

Miten tietoturva-asetus vaikuttaa Pirkan blogeihin?

Ei mitenkään.

…jaa, pitäskö tästä jotain enemmänkin sanoa? Että esmes miten tämä vaikuttaa Plussakorttiisi tai sometuksiin tai kuntosalijäsenyyteesi? Näin henkilönä joka on hoitanut asian puolelle sataa yritykselle ja yhteisölle, vastauksen ydin on pitkälti sama kuin äsken: Ei juuri mitenkään. Avataanpa hieman.

Jos lakia noudatit…

Jos yhteisö on noudattanut vanhaa henkilötietolakia asiallisesti, etenkin jos sen on tehnyt lain laajennetussa muodossa (tietosuojaseloste) ja suositusten mukaisesti, silloin kaikki on jo tehty. Suurin muutos onkin ollut yrityksiin jotka eivät ole noudattaneet vanhaa lakia. Niitä on paljon. Todella paljon. Vanhan lain aikana oli lähes mahdotonta joutua ongelmiin sen noudattamatta jättämisestä, mutta nyt teoriassa on olemassa kovempia ukaaseja. Pelkoon ja paniikkiin ei ole syytä mutta jos tietosuojaa ei ole aiemmin hoitanut kuntoon, nyt on hyvä tekosyy herätä. Somejätti tai kyläkauppa, urheiluseura tai kyläyhdistys, laki on sama. Vaatimukset ovat erittäin kohtuullisia. Niiden toteuttaminen ei useinkaan vaadi paljoa työtä.

Kauppamiehen vaisto

Sanoisinko että 80% hässäkästä tietosuoja-asetuksen ympärillä johtuu kovista kauppamiehistä. Olen valehtelematta puolen tuhatta erinäistä tarjousta ja ehdotelmaa saanut ”GDPR-ratkaisusta” ja ”GDPR-sovelluksesta”. Lähes jokainen näistä on täyttä hevon sitä. Yle kertoi Ykkösaamussa kuukausi takaperin miten paljon miljoonia kunnat ovat pistäneet näihin helppoheikkien järjestelmiin. Turhaan. Veronmaksaja kiittää. Aivan liian moni pomo on liian laiska lukemaan edes lain tiivistelmää jotta osaisi sanoa maailmanlopulla pelottavalle myyjälle ei. Kannattaisi.

Osa ei välitä

Parhaat kuulemani asiantuntijapuheenvuorot ovat muistuttaneet että isoimpien jenkkifirmojen ei kannata paljoa tehdä. Vähän pakkelia päälle ja hyvä pr-tempaus, mutta turha noudattaa lakia. Sakot tulevat yksinkertaisesti halvemmaksi. Facebook on jo saamassa nenilleen ja parhaat arvaukset ovat sen puolesta että he eivät käytäntöjään muuta. Jos optiona on sadan miljoonan sakot tai kymmenen miljardin liikevoitto, matikka on liian helppoa.

Vaan tehdään tätä facebookia pienemmissäkin taloissa. Esimerkiksi Ylen tietosuojalauseke saa selkäpiin karmimaan. Markkinointi sallittu. Tietojen lähetys USA:han sallittu. Sijainti ja syvä analytiikka sallittu. Kumppaneille tietojen lähetys sallittu. Kuluttaja ei saa mitään tietoa missä hänen tietoja käsitellään. Vastaava ”suattapi olla, suattapi olla olematta” -tason farssi löytyy myös Elixia-kuntosaleilta. Surkeimmista esimerkeistä on kerätty kauhugalleria.

Vinkkini pätee

Kertaan vanhat vinkkini. Kyllä, sinulla on jotain salattavaa. Sinulla on tietoa joita voidaan käyttää rikolliseen hyötyyn. Henkilötietosi ovat arvokkaita, eli älä luovuta niitä sellaiselle taholle jolle et luovuttaisi luottokorttiasi. Muilta osin jatka elämääsi, nauti jäätelöstä kesällä ja käyttäydy kohteliaasti netissä ja sen ulkopuolella. Tietosuoja-asetus on tullut ja pysyy, mutta yhä on joka aamu lähdettävä kouluun ja töihin, yhä on vihanneksia syötävä puoli kiloa päivässä.

Julkaistu

EU, tietosuoja ja Baabelin torni

Paljon uutisoitu EU:n tietosuoja-asetus ”GDPR” on oikeastaan aika hyvä keksintö. Se antaa tarpeellisia ohjeita, rajoituksia ja mahdollisuuksia sekä voi helpottaa EU:n sisäistä kauppaa. Ongelma vaan on että se on laadittu Baabelin tornissa, jossa on raamatullisen version lisäksi mukana myös tuhansia lobbaria. Lopputulos on epäselvä.

Vertailu: Henkilötietolaki vs Tietosuoja-asetus

Osoitan pointtini vertailemalla henkilötietolakia (yksi vanhoista laeista) ja tietosuoja-asetusta (uusi asetus).

Henkilötietolaissa lain tarkoitus sanoo:

Tämän lain tarkoituksena on toteuttaa yksityiselämän suojaa ja muita yksityisyyden suojaa turvaavia perusoikeuksia henkilötietoja käsiteltäessä sekä edistää hyvän tietojenkäsittelytavan kehittämistä ja noudattamista.

Tietosuoja-asetuksessa lain laatimistarkoituksen osuus on 16 146 sanaa tai printattuna 38 sivua pitkä.

Otetaanpa konkreettisempi, kielto-oikeus suoramarkkinoinnin osalta. Henkilötietolaki sanoo…

Rekisteröidyllä on oikeus kieltää rekisterinpitäjää käsittelemästä häntä itseään koskevia tietoja suoramainontaa, etämyyntiä ja muuta suoramarkkinointia sekä markkina- ja mielipidetutkimusta samoin kuin henkilömatrikkelia ja sukututkimusta varten.

Ja tietosuoja-asetus puolestaan…

1. Rekisteröidyllä on oikeus henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä, joka perustuu 6 artiklan 1 kohdan e tai f alakohtaan, kuten näihin säännöksiin perustuvaa profilointia. Rekisterinpitäjä ei saa enää käsitellä henkilötietoja, paitsi jos rekisterinpitäjä voi osoittaa, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja vapaudet tai jos se on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.
2. Jos henkilötietoja käsitellään suoramarkkinointia varten, rekisteröidyllä on oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä tällaista markkinointia varten, mukaan lukien profilointia silloin kun se liittyy tällaiseen suoramarkkinointiin.
3. Jos rekisteröity vastustaa henkilötietojen käsittelyä suoramarkkinointia varten, niitä ei saa enää käsitellä tähän tarkoitukseen.
4. Viimeistään silloin, kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran, 1 ja 2 kohdassa tarkoitettu oikeus on nimenomaisesti saatettava rekisteröidyn tietoon ja esitettävä selkeästi ja muusta tiedotuksesta erillään.
5. Tietoyhteiskunnan palvelujen käyttämisen yhteydessä ja sen estämättä, mitä direktiivissä 2002/58/EY määrätään, rekisteröity voi käyttää vastustamisoikeuttaan automaattisesti teknisiä ominaisuuksia hyödyntäen.
(6. kohta jätetty pois koska ei suoraan relevantti)

Heitän vielä yhden lainauksen henkilötietojen käsittelijän roolista. Tämä on uusi teksti, joka aiemmin sisältyi käsittelyn tehtävään, ei henkilöön. Tässä lauseessa on sitä jotain mistä on pienet byrokraatit tehty.

Kun henkilötietojen käsittelijä käyttää toisen henkilötietojen käsittelijän palveluksia erityisten käsittelytoimintojen suorittamiseksi rekisterinpitäjän puolesta, kyseiseen toiseen henkilötietojen käsittelijään sovelletaan sopimuksen tai unionin oikeuden tai jäsenvaltion lainsäädännön mukaisen muun oikeudellisen asiakirjan mukaisesti samoja tietosuojavelvoitteita kuin ne, jotka on vahvistettu 3 kohdassa tarkoitetussa rekisterinpitäjän ja henkilötietojen käsittelijän välisessä sopimuksessa tai muussa oikeudellisessa asiakirjassa erityisesti antaen riittävät takeet siitä, että käsittelyyn liittyvät asianmukaiset tekniset ja organisatoriset toimet toteutetaan niin, että käsittely täyttää tämän asetuksen vaatimukset. Kun toinen henkilötietojen käsittelijä ei täytä tietosuojavelvoitteitaan, alkuperäinen henkilötietojen käsittelijä on edelleen täysimääräisesti vastuussa toisen henkilötietojen käsittelijän velvoitteiden suorittamisesta suhteessa rekisterinpitäjään.

Yksi lause sisältää 71 sanaa, 653 merkkiä ja kolme ulkoista referenssiä.

Sama ihmisten kielellä

Arvon lukijat, tämä ei ole kysymys siitä että suomennos on huono. Lakiteksti on englanniksi aivan samanlaista soopaa. Lähes jokainen lause referoi kymmentä muuta kohtaa, jotka referoivat edelleen toisia kohtia. Kielioppi on kankeaa, lauseet pitkiä ja koko ajatus hukkuu viimeistään kolmannessa sivulauseessa. Tämä on laki joka koskee jokaisen ihmisten arkea jatkuvasti. Kuten olen todennut, tässä laissa on hyvä ajatus ja hyvä tarkoitus. Sen voisi ilmaista noin kahdella aanelosella. EU käyttää sivuja 88 kappaletta.

Lainkirjoittajan opas kertoo myös lakikielen vaatimuksista. Tosi hyvää luettavaa, josta tiivistän vain pari avainsanaa: asiallisuus, selkeys, yleiskieli, tiivis, ytimekäs. EU:n tietosuoja-asetus ei täytä näistä ensimmäistäkään. Se ei auta kansalaisten tietosuojassa, koska kansalainen ei pysty lakia ymmärtämään. Se on kokoelma tuhannen ja yhden lobbarin vaateita, tietotekniikasta täysin pihalla olevien byrokraattien epätoivoa ja sinivalaan mentäviä porsaanreikiä.

Voin edelleen kunnioittaa EU:ta hyvästä tahdosta ja tärkeään aiheeseen puuttumisesta. Se ei muuta sitä, että lopputuloksessa menetettiin mahdollisuus tuoda EU:ta lähemmäs sen kansalaisia. Tällainen poliittinen romaani tekee täysin päinvastaista. Vain juristit voittavat tässä pelissä.

Julkaistu

Kerään kysymyksiä tietosuojasta

Olen alkanut tässä sivussa rakentelemaan hyötyblogauksia. Lupailemani läppärivertailu vähän lykkääntyy koska valmistaja ei saa uusia malleja Suomeen vielä noin kuukauteen. Välissä on tulossa kattava ohjeistus kodin laajakaistan yleisistä ongelmista ja tekniikkavinkeistä sen ympärillä. Pidempi juttuidea sen sijaan koskee tietosuojaa ja toivon siihen ideoita.

Ehkäpä aihe aukeaa parhaiten jos kerron mitkä kaksi osaa jutussa minulla on jo pohjalla.

  1. Telia vaatii pankkitunnistautumista ja henkilötunnusta ennen kuin palautetta voi antaa. Saako näin tehdä?
  2. Kuntosaliyhtiö Elixia vaatii kaikista jäsenistään valokuvaa tietokantaan ”turvallisuussyistä”. Onko peruste pätevä?

Tarkoitus on että otan jokaisen asian, annan vastapuolelle puheenvuoron, tarvittaessa ohjaan viranomaisille kyselyjä varten ja kommentoin omalta osaltani.

Joten, mikä tietosuojassa kiinnostaa? Muistatko outoja paikkoja missä henkilötietoja kysytään mielestäsi turhaan? Pelottaako jonkun firman tietojen keruu ja haluaisit tietää siitä lisää? Onko tietojasi kenties käytetty väärin?

Tarvitsen pari-kolme juttuideaa vielä pohjalle että saan juttusarjan vauhtiin.

Julkaistu

Presidenttiehdokkaat ja tietoyhteiskuntamme

Tein tuossa päivänä muutamana pientä testiä presidenttiehdokkaistamme – monenko heidän kampanjaa pyöritetään tietotekniikan kantilta Suomesta ja montako ulkomailta? Lyhyt vastaus on, että kaikki ehdokkaamme ovat tämän asian ryssineet, tosin eri tavoin.

Juttu tuli poikkeuksellisesti julkaistavaksi Uuteen Suomeen mutta kommentoitakoon sitä täälläkin jos aihe kiinnostaa.

Julkaistu

Tietoturvaa, pyh

Minä olen yksi niitä ihmisiä, joka kirjoittaa verkkopalveluiden käyttöehtoja, murehdin niiden puutteesta, pyydän tietosuojaselostetta nähtäväksi lääkärikäynnillä ja stressaan ihmiskuntaa olemassaolollani. Leijonaosa kansasta on niitä ihmisiä, jotka eivät juuri välitä aiheesta eivätkä oikein tiedä mitä vaikkapa Ruotsin tietovuotoskandaalista pitäisi olla mieltä, mutta luottavat Suomessa olevan kaiken hyvin. Kumpi meistä on oikeassa?

Pykälä jolla pyyhitään

Toistaiseksi tietosuojalainsäädäntö ja vaatimukset rekisterinpitäjille (kyläyhdistyksestä aina sairaanhoitopiireihin) ovat olleet, noh, yksi ja sama. Pykälillä on voinut pyyhkiä takamusta. Iso osa firmoista ei noudata niitä, eikä ketään kiinnosta. Pari vuotta sitten AL-blogeihin kirjoitin jutun jossa selvitin eri toimijoiden asioita. S-ryhmä sai puhtaat paperit, kun taas mm. Suomen Volvo rikkoi lakeja suvereenisti, monesta kohtaa. Osaisin nimetä lonkalta ison nipun yritys- ja yhteisötoimijoita sekä julkisen sektorin pelaajia joilla asiat ovat joko huonosti tai peräti lainvastaisesti hoidettu. Tiesittekö, että Sauli Niinistön presidentinvaalikampanjaa hoidetaan Hollannista ja USA:sta käsin ja kannattajien tiedot kerätään näihin maihin? Nyt kun tiedätte, onko sillä väliä? Niinpä.

Mielestäni ei ole huono asia että maassamme on tietosuojalainsäädäntöä ja että ensi vuonna aiheesta on EU-asetus. On epäilemättä totta, että kaltaiseni ihmiset stressaavat tietosuojasta ja tietoturvasta liikaa, mutta ettemme nyt kuitenkin ottaisi vähän turhan välinpitämättömästi asiaa? Suomessa on tapahtunut lukuisia suuria tietosuojamunauksia, niin poliisissa, terveydenhuollossa kuin ministeriöissäkin. Ruotsin tapauksesta uutisoidessa on turha puhua siitä voiko se tapahtua Suomessa, vaan pitäisi muistuttaa että Suomessa on tapahtunut paljon pahempaakin. Valtioneuvostossa ei ole yhden yhtä henkilöä jolla olisi edes perustason alkeellista osaamista aiheesta. Eduskunnassa moisia ihmisiä on yksi ja hänkin oppositiossa. Edes merkittävät puolueet eivät pidä piireissään tällaista osaamista tärkeänä. Ulkoistamme jatkuvasti palveluja tietotekniikan pohjanoteerausfirmoille välittämättä seurauksista. Maamme hallinnossa ei ole tietoa, taitoa, halua, intressiä, kykyä tai edes asian olemassaolon noteeraamista. Yrityksissämme tilanne on onneksi tätä parempi, maailman mittakaavassa jopa hyvä.

Vaikka olisit täysin putipuhtoinen, ilman mitään salattavaa, sinun on syytä olla valppaana. Huono tietosuoja voi johtaa varkauksiin, mutta jatkossa se voi olla myös hengenvaarallista. Mitäpä jos autosi jarrut häkkeröidään rikki ja kaasu painetaan pohjaan? Mitäpä jos terveystietojasi käsitellään ja hoidossasi käytetään lääkettä jolle olet allerginen? Mitäpä jos sydämentahdistimesi sammutetaan? Mitäpä jos sinut lavastetaan rikoksen tekijäksi? Tietosuoja tai tietoturva eivät ole rikollisten huolenaiheita, vaan ihmisten. Täten tietoisuutta asiasta pitäisi nostaa – ei hurjina vaatimuksina, ei paranoiana, vaan ihan perusterveenä valppautena. Et ylitä katua katsomatta tuleeko autoja, miksi siis ylität tietoverkon katuja laput silmillä?

Maalaisjärkeä ei voi ulkoistaa

Ainoa asia, mitä viranomaiset ovat tarjonneet avuksi ovat lisävaltuudet poliiseille – niille samoille, jotka eivät nykyisiäkään tietoja osaa käsitellä vaan keräävät vuodessa satoja syytteitä asiattomuuksista. Hurraamme ehdotukselle koska ne lupaavat että kansalaisten turva paranee. Yksikään puolueeton tutkija ei ole tätä aatetta vahvistanut, mutta niin media kun sen seuraajatkin nielevät asian purematta. Pahinta ei ole kuitenkaan ehdotus vakoilulaista, vaan se väärä turvallisuuden tunne mitä tästä viestinnästä tulee. Oli meillä vakoilulaki tai ei, kansalaisten tiedoista huolehtimista ei voi ulkoistaa viranomaisille. Maalaisjärki toimii vain omalla vintillä.

En minäkään pidä siitä tavasta millä tietoyhteiskuntaa ajetaan hutiloiden joka paikkaan kuin käärmettä pyssyyn. Pidän vielä vähemmän ulkoistus- ja pilvipalveluvimmasta jotka nostavat kuluja ja pahentavat tilannetta etenkin huonon hallinnon parissa. Tämä on kuitenkin se maailma jossa elämme ja olemme itse kukin velkaa itsellemme olla valppaana tietojemme kanssa. Silmät auki, järki käteen, tietoturvaohjelma joka laitteelle – mitään kovin ihmeellistä ei tarvita. Vain välinpitämättömyydestä täytyy luopua.

 

P.S. Juttu sai inspiraation vähän aiheen sivusta, suoritintekniikoista löytyneestä tuoreesta, vakavasta tietoturvaongelmasta jolla monet laitteet voi kaataa helposti. Ihan sama jos se läppäri kaatuu, mutta kun samoja piirejä on niin hengityskoneissa kuin jätevesipumpuissa ja vaikkapa voimalaitoksissakin…