Onko tieto suojassa?

Suojataan tieto
tietojärjestelmissä
metadatalla.

Avoin data
talouden öljynä
tuottaa bisnestä.

Yksityisyys – My
Data. Mihin käytetään?
Päätänkö itse?

Tieken Bisnestreffit Tieto suojassa keräsi Aleksis Kiven ja suomalaisen kirjallisuuden päivän 10.10.2014 varhaisaamuna Eteläranta 10:n auditorion täyteen tietosuojakysymyksistä kiinnostuneita ammattilaisia eri organisaatiosta. Tilaisuuden avasivat tuttuun tapaan Jyrki Kasvi Tiekestä ja Timo Saros Projektiyhdistyksestä, joka visioi: ”Kaikki projektit onnistuvat vuonna 2020!”
Virtuaalikansalaisen tietosuoja
Ville Oksanen kertoi, että tietosuojalainsäädäntöä uudistetaan EU-tasolla. Yksityisyys on megatrendi, kerätäänhän tänään entistä enemmän tietoa ennennäkemättömin keinoin. Mario Costeja González vaati tietojaan poistettaviksi, jolloin ne muuttuivat entistä kiinnostavammiksi. Oikeus unohtamiseen voi poikia Streisandin-ilmiöitä ja Lehtovaaravaikutuksia.
Entä jos lakia rikotaaan? Tietosuojavaltuutetun resurssit ovat vähäiset, joten sanktioita ei yleensä määrätä, korkeintaan sakko ja oikeudenkäyntikulut. Uusi tietosuoja-asetus toisi uudet rajut sanktiot, yhteisöille jopa sata miljoonaa euroa.
Miten pääsisimme eroon maan tavasta, turhan joustavasta suhtautumisesta henkilötietorekisterien käyttöön? Ihmiset ovat uteliaita ja esimerkiksi pankissa työskentelevä saattaa katsoa naapurinsa tietoja, jos tietojärjestelmä sen sallii. Verkkokohu ja sosiaalinen kontrolli muuttavat tilannetta, kun asiat somen kaiuttamina ylittävät uutiskynnyksen. Jos yritys menettää maineensa, sillä on merkitystä.
Suomi on silta Euroopan ja Aasian välissä; kylmä, liittoutumaton ja korruptoitumaton. Esimerkiksi kiinalaiset ovat kiinnostuneita tietojen tallentamisesta Suomeen.
Suojaa tieto
Kun liikenne- ja viestintäministeriö kaipaa malttia verkkovalvontaan, jotta Suomeen saataisiin bisnestä, ja sisä- ja puolustusministeriö ovat huolissaan rikollisista verkossa, niin Reijo Aarnio toivoo kultaista keskitietä. Ihmisillä pitää olla tarkastusoikeus omiin tietoihinsa; My Datan idea on yhtä vanha kuin tietosuojalainsäädäntö.
Eräs naapuririita kuvaa omien tietojen tarkastusoikeutta. Naapureista toinen, lääkäri, huusi aidan yli: ”Oletko ottanut lääkkeesi?” Toinen ihmetteli, mistä naapuri tietää hänen lääkityksestään, ja kysyi terveydenhoidon toimintayksiköstä lokitietojaan. Niistä selvisi, että naapuri oli käynyt katsomassa hänen terveystietojaan, ja naapuri tuomittiin.
Meillä on hyvät lait, mutta niitä ei osata käyttää. Yksityisyydensuoja tarkoittaa pääasiassa itsemääräämisoikeutta. Jokainen päättää itse, miten toimii ja mitä lataa Facebookiin.
Voiko työnantaja kysyä: ”Eihän sulla mitään salattavaa, näytäpä, mitä juttelet?” Reijo Aarnio kysyi meiltä: ”Onko teillä jotain salattavaa. Jos on, niin käsi ylös.” Kun kaikki kädet eivät nousseet, hän totesi, että joko jotkut valehtelevat tai sitten heillä ei ole pankkikorttia, jonka tunnusluku pitää sopimusehtojen mukaan salata.
Suomesta puuttuu digitalisaation ja tietoyhteiskunnan poliittinen johto, eikä puolueohjelmista yksikään ota kantaa yksityisyydensuojaan. Kuitenkin meillä olisi täydet onnistumisen edellytykset, kun vain osaisimme toimia. Euroopan tasolla pyritään digitaalisiin sisämarkkinoihin, joissa ihmisen tiedollista itsemääräämisoikeutta ei loukata. Luottamusta pyritään rakentamaan erilaisin ohjelmin kuten ylikansallisen tunnistamisen ohjelmalla.
Ekosysteemi on muuttunut. Juristeilla ja poliittisilla päättäjillä tuntuu menevät sekaisin Henkilötietolaki ja salassapitosääntely, eikä kukaan tunnu tietävän, mitä lakia milloinkin sovelletaan – mutta verkkoon mennään lujaa.
Jatkossa palveluntarjoajalle ei riitä lain noudattaminen; sen pitää myös voida osoittaa kuluttajille noudattavansa lakia. Lisäksi palveluntarjoajan on huolehdittava turvallisista palvelurajapinnoista. Jos tieto karkaa eli hakkeroidaan sisältä tai ulkoa, niin siitä pitää ilmoittaa kuluttajalle. Mitä tämä tarkoittaa yrityksen maineelle? Vahingonkorvauslain mukaan vahingon ehkäisemiseksi pitää ryhtyä kaikkiin toimenpiteisiin. Eikö se tarkoita, että jo nyt pitäisi ilmoittaa kuluttajalle hakkeroinnista?
Mikä on oikeutetun edun käsite? Miten pitkälle profiloinnissa saa mennä? Lainsäädännöllä halutaan luoda toimintavarmuutta, jotta tiedetään, miten voidaan toimia. Nykyisin ensin toimitaan ja sitten ihmetellään, meniko oikein.
Riskipohjaista lähestymistapaa on moitittu raskaaksi ja siihen tarvitaankin skaalausta eri kokoisiin yrityksiin. Eurooppalaisen tietosuojaviraston perustamisesta ollaan poliittisesti yhtä mieltä. Sen myötä kuluttajat tietäisivät, mitä heille tapahtuu riippumatta siitä, missä EU-maassa asioivat.
Keskustelu
Mikä on valmisohjelmiston suunnittelijan vastuu? Entä ostajan vastuu? Useinhan tietojärjestelmiä myydään asiakasystävällisyydellä, eikä ostaja huomaa kysyä, noudattaako tietojärjestelmä lakia. Jos pienyrittäjän asiakasrekisteri on yhdysvaltalaisessa pilvessä, niin pienyrittäjä vastaa asiakkaalle tietosuojan toteutumisesta.
Miten pitäisi suhtautua big data -louhintaan? Onko unohdetuksi tulemisen oikeus joskus vahvempi kuin avoimen datan filosofia? Miten näiden välillä tasapainoillaan? Avoimen datan ja big datan ohjelmiin pitäisi saada mukaan joku, joka esittäisi tyhmät kysymykset, kuten: ”Mitä vastaamme kansalaisen kysymykseen?”
Terveydenhoidossa tiedämme vaikuttavuuden ideaaliolosuheissa, mutta käytännön vaikuttavuus selviäisi vasta yksilötason rekisteritiedoilla. Miten sitä päästäisiin käyttämään? My Data voisi olla eräs ratkaisu: kun yksilö kokisi, että hänen tietonsa ovat arvokkaita, niin hän voisi olla valmis antamaan ne vaikuttaakseen tärkeänä pitämäänsä asiaan, kunhan voisi tehdä sen riittävän turvallisesti. Henkilötietolaissahan on tutkimusta varten pykälät, joiden mukaan aidossa tutkimuksessa voi käyttää henkilötietoa jopa ilman henkilön suostumusta. Potilastietolaissa taas sanotaan, että potilastiedot ovat salassapidettäviä eikä niitä saa luovuttaa sivulliselle, joka ei osallistu potilaan hoitoon. Soteuudistuksessa tietosuojalle ei tapahdu mitään, jos sivulliset pidetään syrjässä.
Voiko yksilö peruuttaa suostumuksensa arkaluontoisten tietojen luovuttamiseen? Entä voidaanko arkaluontoisia tietoja käyttää toimintayksikön ohjaustarpeissa? Tätä pohditaan KanTa-järjestelmää kehitettäessä. Reijo Aarnion klassikko-slogan onkin: ”Eduskunta on Suomen tärkein tietosuojaviranomainen, jos jotkut vaan valmistelevat sellaiset lait, että eduskunta pääsee niistä päättämään.”
Annatko liikesalaisuutesi tai pankkitunnuksesi vieraalle? Miten pilvipalvelun tarjoaja rakentaa luottamuksen? Mihin arkaluonteista tietoa kannattaisi tallentaa? Riippuu siitä, missä palvelukeskukset sijaitsevat. Mielellään ei Aasiaan, Yhdysvallat olisi parempi vaihtoehto ja suomalainen paras.
Lex Nokian ytimenä on organisaation riittävän hyvä oma tietoturva, jolloin ei tarvitsisi mennä viestintäjärjestelmän tunnistetietoihin. Suomalaisten yritysten tietoturva ei kuitenkaan tilastojen valossa ole kehuttava. Muutama vuosi sitten tehtiin tutkimus, jossa sadalta yritykseltä, joiden tietojärjestelmät yli puoli vuotta aiemmin oli hakkeroitu, kysyttiin, mitä ne olivat oppineet. Kolmasosa ei ollut reagoinut mitenkään, kolmasosa oli parantanut tietoturvan tasoa ja kolmasosa vetäytynyt verkkoliiketoiminnasta.
Millainen on verkon itsevalvontakyky? Voisiko tietojärjestelmä koneellisesti reagoida suojattavaan tietoon? Tietojärjestelmässä voisi olla metatietoa, jossa kerrotaan, että tieto ei saa liikkua EU:n ulkopuolelle. Jatkossa metatietojen lisäys on yksi tietojärjestelmien suunnittelun keskeisiä elementtejä.
Vuonna 1999 voimaan tulleessa julkisuuslaissa edellytetään, että tieto luokitellaan. Laissa on neljä salausluokkaa ja lisäksi ylin luokka, joka tarkoittaa, että tietoa ei saa laittaa verkkoon lainkaan. EU-lainsäädäntö viittaa siihen, että kaikki maat olisivat nyt avaamassa tietojaan. Big datan idean mukaan data on talouden öljy tai kultaa.
Jos osaisimme rakentaa tietojärjestelmät niin, että metadatassa olisi tiedon salauksen tunniste, joka auttasi verkon itsevalvonnassa, niin olisiko siinä meillä vientimahdollisuuksia ja kilpailuvaltti?

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *