Tietosuoja 2/2011 - Lehtiluukku.fi

Haluatko ostaa tämän lehden?

Vaikuttaako lehti kiinnostavalta? Voit lukea koko lehden valitsemalla "Lisää ostoskoriin". Mukavia lukuhetkiä!

Olet esikatselutilassa. Lue koko lehti

TieToTurvan Ja TieTosuoJan erikoislehTi 2/2011 | 14 e Tietojohtaminen s. 8 on osa liiketoimintaa Pakkokeinolaki ToimikorTiT Wlan Turvallisuusverkko JulkiseT TieToaineisToT
8 leena kumPulainen 2 TieToSuoja 2/2011. 43 Tunnistamislaki avasi tietä uusille palveluille. 36 Tutustu verkkolehteen! www.tietosuoja-lehti.fi kannen kuva: eric leraillez Tietojohtaminen on bisneksen kovaa ydintä. s. s. s. 10 Bisneksen kovaa ydintä 14 Ylimmän johdon asiaksi 18 Julkiset tietoaineistot auki 22 avoin tieto taipuu liikeideaksi 26 viranomaisille oma turvallisuusverkko 28 Tilannekuva osaksi tietojohtamista 31 sähköistyvä asianhallinta haastaa organisaatiot Profiili: TieToTurva ry 32 verkostoitujan keidas Sähköinen TunniSTaminen 36 laki avasi tietä uusille palveluille 40 Tietokone kortissa 43 miten on. 4 4 Pakkokeino loukkaa aina yksityisyyttä Teema: TieTojohTaminen 8 Johdon hallussa. maiJa vuorela sisällys 3 Pääkirjoitus 2/2011 uuden pakkokeinolain toimivaltuudet puhuttavat. s. 44 kolumni 45 lyhyesti onko Wlan-verkkosi suojattu
Timo Lehtimäki Viestintäviraston Verkot ja turvallisuus -tulosalueen johtaja asiakasrekisTeri rekisterikuvaus ja -seloste ovat nähtävissä stellatum oy:n tiloissa Purotie 1 B, 00380 helsinki. Uskaltaisin kuitenkin väittää, että valtaosa muista toimijoista ratsastaa melkoisella tuurilla. CERT-FI julkaisee runsaasti erilaisia tietoturvatiedotteita, mutta varoitukset ovat harvinaisia. Trendikäs tietovarantojen avaaminen on myös tehtävä taiten. irtonumero 14 euroa. Yhteydenotot tulee tehdä kirjallisina ja allekirjoitettuina em. vuosikerta | issn 0786-5767 PainoPaikka hämeen kirjapaino oy sähköinen lehTi www.tietosuoja-lehti.fi 2/2011 kaaPo kamu T Your personal data has been stolen ätä pääkirjoitusta aloittaessani rysähtää. Liiketoiminta, asiointi ja prosessit siirtyvät verkkoon, ja näin riippuvuus internetistä kasvaa. Tietomurto konkretisoi, millaisessa muutoksessa sähköinen viestintä ja verkkopalvelut ovat. osoitetietoja käytetään ainoastaan stellatum oy:n omassa toiminnassa. Mobiilimaksaminen, sähköinen tunnistaminen, lähiasiointi, sensoriverkot ja koneiden välinen viestintä ovat tästä hyviä esimerkkejä. Reaalimaailman laitteet, esimerkiksi kodinkoneet, kytkeytyvät internetiin. Tietojen vuotaminen ja varastaminen on selvästi nousussa. Viime vuoden ainoa tapaus liittyi suomalaisen Älypää-verkkopelipalvelun käyttäjätunnusten ja salasanojen julkaisemiseen internetissä. | Jukka ihanus, toimitusjohtaja, stellatum oy | eija kara, ylitarkastaja, tietosuojavaltuutetun toimisto | anna lauttamuskauppila, viestintäjohtaja, Prh | Timo lehtimäki, johtaja, viestintävirasto | nora elers, viestintäjohtaja, Ficom ry | anu Talus, eu-asiantuntija, tietosuojalautakunta | eila ratasvuori, hallintojohtaja, helsingin kaupunki | ahti saarenpää, professori, lapin yliopisto ToimiTuskunTa Tietosuojavaltuutetun toimisto: eija kara, ylitarkastaja | lauri karppinen, iT-erityisasiantuntija | viestintävirasto: ari husa, tietoturva-asiantuntija | Pertti hölttä, yksikön päällikkö | anne lappalainen, tiedotuspäällikkö | Prh: anna lauttamus-kauppila, viestintäjohtaja | stellatum oy: Päivi männikkö, toimitussihteeri kusTanTaJa stellatum oy, Purotie 1 B, 00380 helsinki TilaukseT Ja osoiTTeenmuuTokseT osoitteenmuutosta tehdessäsi muista ilmoittaa lehden nimi. Pilviteknologia mahdollistaa tietovarantojen ja niihin pohjautuvien palveluiden maailmanlaajuisen jakelun tehokkaasti ja nopeasti. Jos jo nyt ennustaisin seuraavien viiden vuoden tietoturvatrendin, se olisi: leaks. osoitteeseen tai henkilökohtaisesti rekisterinpitäjän luona. Nyt on tarpeellista laajentaa keskustelua palveluntarjoajien velvollisuuksista ja vastuista. Tämän vuoden ensimmäinen varoitus oli osin hyvin samankaltainen kuin tapaus Älypää: Sony PlayStation Network -verkkopalveluun tehtiin tietomurto, jonka saaliina olivat kymmenien miljoonien käyttäjien tiedot. Verkkoelämä kasvattaa paineita toimivuudelle, turvallisuudelle ja yksityisyydensuojalle. Tilaaja voi kieltää tietojensa käytön markkinointitarkoituksiin ja markkinatutkimuksiin ilmoittamalla asiasta tilaajapalveluun. Ti eToTu rva n Ja T i e To s u o Ja n e r i koi s l e hT i 2/2011 TieToSuoja 3. kestotilauksen voi irtisanoa ennen uuden tilausjakson alkua. lehti ilmestyy neljästi vuodessa. Sonyn tapaus osoittaa karulla tavalla tietoturvan luikertelemisen kaikkialle. Tilaajapalvelu/Tietosuoja,Pl 115, 30101 Forssa Puhelin 03 4246 5301, Faksi 03 4246 5341 tilaajapalvelu@stellatum.fi www.stellatum.fi ilmoiTusmarkkinoinTi Ja -varaukseT Ds & m marketing oy, Deeli kentala deeli.kentala@dsm.fi, puh. Voiko johonkin peliyhteisöön kohdistuva tietomurto olla mitenkään merkittävä. Kun kodistakin tulee päätelaite, elämä liimautuu kiinni verkkopalveluihin. Kansallinen tietoturvaviranomainen CERT-FI julkaisee vuoden ensimmäisen varoituksen. Suomessa palvelun käyttäjiä on satojatuhansia. Tilauksen hinta on tilausjakson alussa voimassa oleva hinta, joka on painettu lehteen. kestotilauksena tilattu lehti toimitetaan tilaajalle tilausjakso kerrallaan ilman eri uudistusta, kunnes tilaaja joko muuttaa sen määräaikaiseksi tai irtisanoo tilauksen. Väistämättä nousee mieleen myös eräs perinteisistä tietoturvan haasteista: se ei ole helppoa! Kun tunnustettu iso toimija tyrii, on helppo pyrskähdellä. Jos tilaaja irtisanoo kestotilauksensa tilausjakson alkamisen jälkeen, on hän velvollinen maksamaan irtisanomisen voimaantuloon saakka lähetetyt lehdet. 09 682 0400, Faksi 09 682 1515 TilaushinnaT suomessa 2011 kestotilaus 49 euroa (laskutusväli 12 kuukautta). 23. määräaikaistilaus 52 euroa (kesto 12 kuukautta). PääToimiTTaJa anna lauttamus-kauppila, Patentti- ja rekisterihallitus anna.lauttamus-kauppila@prh.fi ToimiTusPäällikkö eija kara, tietosuojavaltuutetun toimisto eija.kara@om.fi ToimiTussihTeeri Päivi männikkö, stellatum oy paivi.mannikko@stellatum.fi ulkoasu iiris vilkko, Business to Business mediat oy iiris.vilkko@bbm.fi ToimiTusneuvosTo reijo aarnio, tietosuojavaltuutettu, pj. Tilaajan tietoja käytetään asiakassuhteen ylläpitoon ja hoitoon. Pääkirjoitus TieToTurvan Ja TieTosuoJan erikoislehTi JulkaisiJaT tietosuojavaltuutetun toimisto tietosuojalautakunta viestintävirasto vT. Kun eri laitteet ja palvelut ovat yhteydessä toisiinsa verkossa, peliyhteisön ongelmat voivatkin aiheuttaa vakavia heijastuksia verkkoelämään. 0440 235 939 Bouser oy, Jukka Tiainen, jukka.tiainen@bouser.fi puh. Viime vuoden trendeihin kuuluivat pilvipalvelut, sosiaalinen media ja wikileaks. Jos laskutusjakso tai maksueriä on maksettu ennen irtisanomisen voimaantuloa, tilaus päätetään maksetun jakson loppuun. hinnat ovat voimassa vuonna 2011 suomeen tehtyihin tilauksiin. seuraava numero ilmestyy 27.9.2011. Mutta kuka tietoja oikeasti julkaisee ja onko sisältö oikeaa
" Poliisin toimenpiteet eivät saa altistaa epäiltyä sivullisten tekemille oikeusloukkauksille. 4 TieToSuoja 2/2011 T ieToT urvan J a T ieTosuoJ an erikoisl ehTi
"Vastaavat toimivaltuudet ovat käytettävissä jo nyt, mutta niiden käyttäminen edellyttää varsin paljon perustelu- ja selvitystyö- laite-etsintä erilleen kotietsinnästä Uusia toimivaltuuksia tulevassa pakkokeinolaissa ovat muun muassa laite-etsintä ja tekninen laitetarkkailu. Laite-etsintä kohdistetaan tietokoneessa, mobiililaitteessa tai tietojärjestelmässä etsintähetkellä olevaan tietoon. On myös tärkeää, että perusoikeuksia sivuava lainsäädäntö on yhteiskunnassa riittävän selkeää", toteaa ylitarkastaja Sari Kajantie keskusrikospoliisista. Sille on pal- Ti eToTu rva n Ja T i e To s u o Ja n e r i koi s l e hT i 2/2011 TieToSuoja 5. Todellisuudessa tilanne ei muutu paljon nykyisestä. P akkokeinolaki sisältyy isoon esitutkinta-, pakkokeino- ja poliisilainsäädännön kokonaisuudistukseen, jonka eduskunta hyväksyi tä sekä pyytäjältä että myöntäjältä. Esimerkiksi tiedon oikeudetonta kaappaamista tietojärjestelmän sisältä, eli näppäin- tai selainkaappausta, ei ole Suomessa kriminalisoitu, vaikka Eu- roopan neuvoston tietoverkkorikollisuutta koskeva yleissopimus sitä Suomelta edellyttää. Pakkokeino loukkaa aina yksityisyyttä Teksti: Marjo Rautvuori | Kuvitus: Maija vuorela uusi pakkokeinolaki on herättänyt vilkasta keskustelua, jossa ovat osin menneet sekaisin julkiset ja salaiset pakkokeinot sekä operatiivisen tiedonhankinnan eri vaiheet. Sen tähden poliisi ei voi tutkia taloudellista hyötyä tavoittelevia identiteettirikoksia silloin, kun näyttö olisi vielä olemassa." maaliskuussa. "Lainsäädäntö ei muutoinkaan aivan vastaa kansainvälistä mallia. Pakkokeinolain voimaantulo sidotaan poliisin ja oikeusviranomaisten yhteiseen tietojärjestelmähankkeeseen, jonka arvioidaan valmistuvan vuoden 2014 alkuun mennessä. Nimenomaan verkkorikoksissa toimivaltuudet ovat puutteelliset. Kritiikkiä uusi pakkokeinolaki saa Kajantieltä 90-luvun puhelinteknologiaan sidottujen sanamuotojensa vuoksi. Uudessa lainsäädännössä poliisin toimivaltuudet on pyritty kirjoittamaan auki entistä selkeämmin
Piraattipuolue on julkisuudessa arvostellut teknistä laitetarkkailua puuttumiseksi ihmisten tietoturvaan ilman selkeitä perusteluja. Laite-etsinnän ja teknisen laitetarkkailun kaltaiset laitteeseen kohdistuvan tiedonhankinnan keinot pitääkin erottaa sellaisista pakkokeinoista, joissa selvitetään viestinnän sisältöä reaaliaikaisesti ja salaa. Laite-etsinnän kynnys on sama kuin kotietsinnässä: tutkittavan rikoksen enimmäisrangaistuksen on oltava vähintään kuusi kuukautta. lytykset ovat olennaisesti laite-etsintää tiukemmat", Kajantie toteaa. On siksi tarvetta päästä tarkkailemaan niin sanottua volatiilia tietoa, josta ei jää koneelle jälkiä, ja salattua viestiliikennettä, josta sivullinen verkon tarkkailija ei saa mitään tolkkua." Viestintävirasto on perinteisesti tarjonnut tulkinta-apua ja sovitellut erityisesti uusilla valtuuksilla ei saa selvittää sisältöä Tulevassa pakkokeinolaissa laite-etsinnästä ja teknisestä laitetarkkailusta on nimenomaisesti rajattu pois viestinnän tunnistamistietojen ja sisällön selvittäminen. Niitä ovat esimerkiksi telekuuntelu ja asuntokuuntelu. "Esimerkiksi viestinnän lokitietoa ei saa etsiä päätelaitteesta laite-etsinnällä, vaan ne on haettava televalvonnalla, jonka edel- 6 TieToSuoja 2/2011 T ieToT urvan J a T ieTosuoJ an erikoisl ehTi. Salaisissa pakkokeinoissa viestintään puuttumisesta päättää aina tuomioistuin, vaikka poliisi tiedonhankinnan toteuttaakin. Siinä nimenomaan säädetään edellytykset rajata lailla viestinnän luottamuksellisuutta rikostutkinnan sitä vaatiessa." Kajantie muistuttaa, että esitutkinnan tarkoitus on tosiasioiden selvittäminen. " Viestintään puuttumisesta päättää salaisissa pakkokeinoissa aina tuomioistuin. jon käyttöaloja, koska poliisi voi sillä hankkia tietojärjestelmistä mitä tahansa dokumentteja, kuten kirjanpitoasiakirjoja. Vastoin joitakin julkisuudessa esiintyneitä tietoja Viestintävirasto ei ole sen CERT-FIyksikön päällikön Erka Koivusen mukaan kritisoinut mahdollisuutta hyödyntää vakoiluohjelmistoja esitutkinnan apuna. Tuomioistuin päättää salaamisesta erityisin perustein, mikä on Kajantien mukaan harvinaista. "Nimenomaan viestintään kajoaminen rajoittaa epäillyn perusoikeuksia eniten. Se on kuitenkin, vastoin julkisuudessa nähtyjä kommentteja, täysin linjassa perustuslain kanssa. Niinpä tutkinnassa on selvitettävä myös syyttömyyttä tukeva näyttö. Poliisille oikeus seurata tietokoneen toimintaa Toinen uusi toimivaltuus, tekninen laitetarkkailu, on jo herättänyt julkisuudessa keskustelua. "Yhteydet kahden päätelaitteen välillä ovat yhä useammin päästä päähän salakirjoitettuja. Sari Kajantien mukaan epäillyn oikeusturvan kannalta keskeisintä ei kuitenkaan ole epäillyn käyttämän laitteen turvajärjestelmien ohittaminen "tietomurrolla", vaan laitetarkkailulla käsiksi salattuun liikenteeseen Tekninen laitetarkkailu on herättänyt julkisuudessa paljon huomiota, koska siinä poliisi saa seurata tietokoneen tai sen ohjelmiston toimintaa vakoiluohjelmiston avulla. Teknisessä laitetarkkailussa poliisi saa asentaa epäillyn tietokoneelle ohjelmiston, joka seuraa ja kerää tietoja tietokoneen tai sen ohjelmiston toiminnasta. Tekninen laitetarkkailu puolestaan on salainen pakkokeino, eli se tehdään kohteen tietämättä. Näitä toimivaltuuksiaan poliisi voi käyttää vain pakkokeinolaissa erikseen lueteltujen vakavien rikosten, esimerkiksi murhien ja törkeiden huumausainerikosten, tutkinnassa. viestintään puuttuminen ilman että epäilty tietää selvityksestä. Poliisi saa käyttää teknistä laitetarkkailua tutkiessaan rikosta, jonka enimmäisrangaistus on vähintään neljä vuotta vankeutta. salaisista pakkokeinoista päättää tuomioistuin Laite-etsinnällä ja teknisellä laitetarkkailulla on eräs oleellinen ero: Laite-etsintä on julkinen pakkokeino, eli siitä on ilmoitettava laitteen haltijalle. Hänen mukaansa on selvää, että teknologian kehittyminen tekee tarpeelliseksi ulottaa tekninen tarkkailu myös rikoksesta epäillyn päätelaitteeseen. Niistä on pääsääntöisesti aina ilmoitettava kohteelle sen jälkeen, kun ilmoitus voidaan tehdä tutkintaa haittaamatta. Nykyisin tietojärjestelmien etsintä suoritetaan osana kotietsintää. Tulkintaongelmia on tuottanut se, että etsinnän kohteena olevan laitteen tai tiedon sijaintipaikasta ei aina ole varmuutta. Kajantien mukaan teknistä laitetarkkailua voidaan soveltaa lähinnä haittaohjelman tietojärjestelmään tekemien muutosten selvittämiseen
Tietojohtaminen 8 TieToSuoja 2/2011 T ieToT urvan J a T ieTosuoJ an erikoisl ehTi
Tietojohtamisen on siirryttävä tietohallinnolta johdon asiaksi, sanoo tietosuojavaltuutettu Reijo Aarnio sivuilla 1417. Johdon linjauksia tarvitaan siirryttäessä kokonaan sähköiseen asianhallintaan. Julkisten tietoaineistojen pohjalta voi kehittää aivan uusia palveluja, ennustetaan sivuilla 2225. Johdon hallussa? Teksti: Päivi Männikkö | Kuva: Images.com/Corbis/SKOY Tieto on valtaa, sanotaan. Tietotekniikan liiton kyselyssä ilmeni myös, että suomalaiset yritykset ovat yhä huonosti varautuneita IT-järjestelmien häiriöihin. Tietoaineistojen avaamisen vaikutuksia yksityisyyteen pohditaan sivuilla 1821. Johto kuitenkin on vastuussa tietojen riittävästä suojaamisesta. vallan mukana tulee johtamisen vastuu. o rganisaatiot ovat nykyisin hyvin riippuvaisia tiedosta ja toimivista tietojärjestelmistä. Käytössä olevan tiedon määrä kasvaa, kun julkisia tietovarantoja tuodaan kaikkien saataville. Päätöksenteossa tarvitaan oikeaa tietoa. EU:n henkilötietodirektiiviin suunnitellaan tilivelvollisuuden periaatetta: Yrityksen olisi tarvittaessa osoitettava, että se on huolehtinut tietojen suojaamisesta. Tietohallinnon merkityksestä liiketoiminnassa puhutaan sivuilla 1013. Helsingin kaupungin ja sisäasiainministeriön kokemuksista kerrotaan sivulla 31. Ti eToTu rva n Ja T i e To s u o Ja n e r i koi s l e hT i 2/2011 TieToSuoja 9. Kuitenkin moni yritys horjahtelee tietojen hallinnan vastuukysymyksissä: Tietotekniikan liiton ja Sofigaten alkuvuonna tekemän kyselyn mukaan lähes joka kolmannessa yrityksessä tietohallinnolle asetettuja toiminnallisia vaatimuksia ja niiden seurantaa on joko vähäisissä määrin tai ei lainkaan. Valtionjohdon päätöksentekokykyä parannetaan rakentamalla viranomaisille turvallinen tietoverkko, kerrotaan sivuilla 2627. Tilannetietoisuus halutaan osaksi tietojohtamista viestintäverkkojen ja -palvelujen tilannekuvajärjestelmällä, josta voit lukea sivuilta 2830
Tietojohtaminen scansTockPhoTo 10 TieToSuoja 2/2011 T ieToT urvan J a T ieTosuoJ an erikoisl ehTi
Hänellä on kokemusta yritysten ITorganisaatioista viidentoista vuoden ajalta. Tietohallinnon tulisi Helsingin Tietojenkäsittely-yhdistyksen (Hetky) puheenjohtaja Pipsa Ylä- Ti eToTu rva n Ja T i e To s u o Ja n e r i koi s l e hT i 2/2011 TieToSuoja 11. "Tietohallintojohtajan paikka on yrityksen strategisessa johtoryhmässä, jotta hän voi vaikuttaa stra- linnon avulla toimintaa ja kehitystä voidaan ohjata haluttuun suuntaan. Laadukkaan ja tehokkaan tietohal- Monosen mielestä olla osa koko organisaation kattavaa toimintaa. Bisneksen kaikenlaiset organisaatiot tarvitsevat luotettavaa ja käyttökelpoista tietoa ja toimivia tietojärjestelmiä. kovaa ydintä Teksti: Markku Summa l iiketoiminta on tänä päivänä hyvin riippuvainen tarkoituksenmukaisesti organisoidusta tietohallinnosta ja tietojärjestelmien toimivuudesta. Itellan ICT-palveluiden päällikkönä työskentelevä Ylä-Mononen on ollut Hetkyn puheenjohtaja vuodesta 2009 lähtien
Julkisen sektorin ulkoistamisinnostus selittyy säästöpaineilla. Näin minimoidaan riskit. Siihen kuuluu myös tietoturvan huomioonottaminen. Koska tietovarastot kasvavat, käyttöön otetaan uusia prosesseja, ohjelmistoja, portaaleja ja toimintoja ulkoistetaan, tietohallinto elää jatkuvassa muutoksessa. Nykyisin ollaan kriittisempiä ja mietitään, mitä ulkoistetaan ja miksi. "Tietotekniikan kehitys on nopeaa. Monella pkyrityksellä ei ole osaamista tietohallintoon liittyvissä asioissa, kuten hankkeiden suunnittelussa, laitteiden hallinnassa ja ohjelmien asentamisessa." Tietoturva nostettava esiin Tietoturva on syytä huomioida sekä tietoverkoissa että päätelaitteissa. Tietojohtaminen on tiedon keräämistä, jalostamista, hyödyntämistä ja hallintaa. Tietohallinnon keskeinen tehtävä on nostaa näitä asioita esiin." Eräänä uhkana Ylä-Mononen pitää sitä, että yrityksen tiedot voivat tulla kaikkien nähtäville sosiaalisessa mediassa. Tavoitteena on, että yhä pienempi määrä tiivistettyä tietoa palvelisi päätöksentekoa entistä paremmin." ulkoistaminen ei itsetarkoitus Ulkoistaminen edellyttää valmiuksia ja hyvää suunnittelua. Lisäksi tulee katsoa, että itsellä säilyy ostamisen osaaminen ja vastuu kehittämisestä", Ylä-Mononen sanoo. Hän muistuttaa, että jokaisella yrityksellä on sisäisiä asioita. Yrityksissä on perinteisesti totuttu tarkastelemaan, mikä on ydintoimintaa ja mitkä palvelut ostetaan. Ylä-Monosen mukaan tietojohtaminen koostuu tietämyksen ja liiketoimintatiedon hallinnasta sekä innovaatiojohtamisesta ja aineettoman pääoman, kuten kompetenssien ja kumppanuuksien, johtamisesta. Olennaista on, että ei ulkoisteta ongelmia, vaan asioita, joita joku muu tekee paremmin ja tehokkaammin. Varsinkin nuorille pitää kertoa yksityisyyden suojasta ja tietosuojasta, jotta he sisäistävät sosiaalisen median eettiset periaatteet jo alusta lähtien ja ymmärtävät, että internetiin kirjoitettu teksti tai kuva tulee olemaan siellä aina." roDeo Painopiste nykyisin sisällöissä Tietojohtamisesta alettiin puhua vasta 1990-luvulla. "Kehittämisen painopiste on tänä päivänä tietosisällöissä ja tiedon käyttökelpoisuudessa, oikeellisuudessa, rakenteissa ja vastuuseen liittyvissä kysymyksissä ei niinkään välineissä tai teknisissä ratkaisuissa." "Kerätyn ja jalostetun informaation avulla pyritään ymmärtämään tulevaisuutta niin, että se mahdollistaisi yrityksen menestymisen kilpailussa. Keskeinen yrityksissä korostuva tietoturvahaaste on, mihin järjestelmiin ja palveluihin kenelläkin on käyttöoikeudet, ja miten niitä hallitaan. 12 TieToSuoja 2/2011 T ieToT urvan J a T ieTosuoJ an erikoisl ehTi. "Alussa moni organisaatio ulkoisti ulkoistamisen innossa eri asioita. "Perään mediakasvatusta. Tietojohtaminen tegiatyöhön ja tuoda esille tietohallintoon kiinteästi liittyviä tietoturva- ja tietosuoja-asioita", hän sanoo. "Osa yritysjohdosta ymmärtää tietoturvan ja tietosuojan merkityksen
"Globalisaatio haastaa yritykset huomioimaan toiminnassaan enenevässä määrin tietoturvan ja tietosuojan", helsingin Tietojenkäsittely-yhdistyksen puheenjohtaja Pipsa Ylä-mononen sanoo. Pilvipalvelut mietityttävät yrityksiä Pk-yrityksille pilvipalveluista olisi Pipsa Ylä-Monosen mukaan hyötyä. Toiminta tulee helpommaksi, kun voi ostaa tarvitsemansa palvelut ja niin pitkäksi aikaa kuin tarvitsee. " Tietohallinnon keskeinen tehtävä on nostaa esiin tietoturva- ja tietosuoja-asioita. Ti eToTu rva n Ja T i e To s u o Ja n e r i koi s l e hT i 2/2011 TieToSuoja 13. Yrityksissä pilvipalveluiden käyttöön suhtaudutaan kuitenkin vielä kaksijakoisesti: "Aina osa yrityksistä lähtee kokeilemaan uutta heti, kun se on mahdollista - ja osa jää odottamaan muiden kokemuksia. Lähtökohtaisesti pilvipalveluihinkaan ei rynnistetä ennen kuin on ymmärretty riskit ja tehty suunnitelma, miten hyödyntää niitä." Tietotekniikan liiton ja Sofigate Oy:n tietohallintojohtajille tekemän kyselyn perusteella yrityksissä tietohallinnon asiantuntijat suhtautuvat pilvipalveluiden tietoturvaan selvästi epäilevämmin kuin liiketoiminnasta vastaavat. "Erityisesti pitää miettiä, ovatko pilveen siirrettävät tiedot luottamuksellisia ja kohdistuuko niihin tietoturvasta ja tietosuojasta säädettyjä lakeja ja asetuksia", Ylä-Mononen huomauttaa
Tyypillistä myös on, että ihmiset käyttävät samaa käyttäjätunnus-salasanaparia useissa eri sähköisissä palveluissa. "Vaikka, jälleen kerran, kun se kirjoitetaan velvoitteen muotoon, moni ymmärtää sen lisäbyrokratiana." Sähköisistä tietojärjestelmistä on tullut osa yhteiskunnan perusinfrastruktuuria. "Uutta tässä on se, että velvoitteiden täyttäminen pitää kyetä osoittamaan", tietosuojavaltuutettu Reijo Aarnio sanoo. Pilvessä vastuuta myös palveluntarjoajalla Tietojenkäsittelyn uudet liiketoimintamallit, pilvipalvelut etunenässä, kasvattavat tarvetta näyttää tietosuojasta huolehtiminen toteen. Pilvipalveluiden tarjoajat ovat henkilötietojen käsittelijöitä ja näin osaltaan vastuussa tietosuojasta, tulevaisuudessa ehkä myös tilivelvollisuudesta: "Jos rekisterinpitäjällä on velvollisuus kyetä osoittamaan tietosuojan toteuttaminen, ja se ulkoistaa palvelun, totta kai se silloin odottaa, että tilivelvollisuus kuuluu palveluntarjoajan palveluun." eduksi liiketoiminnalle Aarnion mukaan tilivelvollisuus parantaisi myös liiketoiminnan edellytyksiä. Komission ehdotuksessa tilivelvollisuudella (englanniksi accountability) tarkoitetaan sitä, että rekisterinpitäjä osoittaa noudattavansa tietosuojasäännöksiä ja pyydettäessä todistaa sen valvontaviranomaisille. Tietojenkäsittelyjärjestelmät 14 TieToSuoja 2/2011 T ieToT urvan J a T ieTosuoJ an erikoisl ehTi. Dominoefektin välttämiseksi kaikkien organisaatioiden pitäisi kantaa vastuunsa tietosuojasta, Aarnio sanoo: "On hienoa, että sidosryhmät, viranomaiset ja mahdollisesti suuri yleisö pääsevät arvioimaan, kantaako organisaatio vastuunsa. Jos se ei kanna, voi ää- omaiset ja yritykset saattavat seurata Haltikin ja Väestörekisterikeskuksen jalanjälkiä. kisterinpitäjät voisivat toteuttaa tilivelvollisuuden periaatetta, jonka EU:n komissio haluaa lisätä uuteen henkilötietodirektiiviin. Tarkoituksena on tehostaa direktiivin velvoitteiden toteutumista. Näin yhden lenkin pettämisellä on välittömiä vaikutuksia muihinkin palveluntarjoajiin. Tietojohtaminen T Ylimmän johdon asiaksi oissavuonna Hallinnon tietotekniikkakeskus Haltik julkaisi tietotilinpäätöksen tiettävästi ensimmäisenä valtionhallinnon viranomaisena. Tänä vuonna tietotilinpäätöksen teki myös Väestörekisterikeskus, jonka pitää uuden väestötietolain nojalla raportoida muiden muassa lokirekisteriin tallennettujen tietojen ja tapahtumatietojen käsittelystä. Lähivuosina Suomen ja muiden EU-maiden viranTietotilinpäätöksellä ja vastaavilla raporteilla renestää jaloillaan." valmistelussa oleva uusi henkilötietodirektiivi kasvattaa tietojohtamisen merkitystä. Teksti: Päivi Männikkö ovat tuotannontekijöitä, joihin yrityksen johdon on kiinnitettävä huomiota kilpailukyvyn takaamiseksi. Siinä Haltik raportoi toimialaansa kuuluvien tietojen käsittelyä koskevista merkittävistä asioista, esimerkiksi käyttövaltuuksien hallinnasta, verkonhallinnasta ja järjestelmien ylläpidosta. Tietosuojavaltuutettu korostaa, että oikein toteutettuina pilvipalvelut ja tilivelvollisuus suorastaan mahdollistavat toinen toisensa
sen sijaan useissa muissa eu-maissa kaikkien rekisterinpitäjien on ilmoittauduttava kansalliselle tietosuojaviranomaiselle. Vaihtelevammin käytössä olevia toimia ovat tietotilinpäätökset, joiden laatiminen on Suomessa Halti- Ti eToTu rva n Ja T i e To s u o Ja n e r i koi s l e hT i 2/2011 TieToSuoja 15. PhoToDisc Tietosuojan toteutumisesta vastaa silti rekisterinpitäjä. Ilmoitusmenettely kevenee direktiiviehdotUksen lausuntokierroksella yritykset toivoivat, että jos tilivelvollisuuden periaate lisätään direktiiviin, sieltä vastaavasti otettaisiin jotakin pois. suomessa toimintailmoitus tulee tehdä vain tietyillä, henkilötietolaissa määritellyillä toimialoilla. suomalaisyrityksiäkin yleinen ilmoituspakko koskee silloin, kun niillä on toimintaa kyseisissä maissa. esillä on ollut ilmoitusvelvollisuuden kaventaminen. Auditoinnit, standardit ja muut hyväksymismenettelyt ovat jo yleisessä käytössä, samoin binding corporate rules -säännöt siirrettäessä tietoja EU:n ulkopuolelle. Toteutus riskien mukaan EU-maissa on jo käytössä erilaisia toimia, joilla rekisterinpitäjä osoittaa noudattavansa tietosuojasäännöksiä
Joissakin maissa joka organisaatiolla on oltava oma tietosuojavastaava, Suomessa vain sosiaali- ja terveydenhuollon yksiköillä. Jos tilivelvollisuuden sisällöstä päästään yksimielisyyteen, se on mielestäni enemmän kuin puoli voittoa", Aarnio rauhoittelee. hän ei usko, että tietosuojavaltuutetun toimiston tehtäviin tulee suuria muutoksia. "voi olla, että direktiivin uudistukset näkyvätkin lautakunnan puolella", aarnio miettii. meillä tietosuojalautakunta on tärkein henkilötietoasioissa päätösvaltaa käyttävä elin. Sitä koskeva yleinen säännös tullee sellaisenaan joka maan lainsäädäntöön. Direktiiviin niin ikään kaavailtu yleinen tietoturvaloukkausten ilmoituspakko on jo käytössä muutamissa maissa. Liikkumavaraa tuo myös rekisterinpitäjän toiminnan luonne. Sen sijaan tilivelvollisuuden toteuttamisesta päättäminen jätettäneen kansallisille viranomaisille. Suomessa ilmoitusta vaaditaan teleyrityksiltä. hänen mukaansa viranomaisten työn tulisi painottua ennakoivaan ohjaamiseen eikä rankaisemiseen jälkikäteen. "Sisältö on tärkein, muodot voivat vaihdella. "minä olen sitä mieltä, että hallintoviranomainen ei voi mätkiä sakkoja", tietosuojavaltuutettu reijo aarnio toteaa. "Nyt nämä toimet kootaan direktiivissä saman tilivelvollisuuden sateenvarjon alle", Aarnio kiteyttää. Toimivaltuuksista esillä ovat olleet ainakin ryhmäkanne- ja sakotusoikeudet. "meillä on riittävät tiedonsaantioikeudet. "Toivon, että vapaaehtoinen tietotilinpäätöstoiminta yleistyisi ja ymmärrettäisiin, että se palvelisi johtamista." kin ja Väestörekisterikeskuksen lakisääteinen velvollisuus. Tietosuojaviranomaisten työryhmä eh- Jos asiakastiedot varastetaan, miten hyvän maineen saa takaisin? JYrki vesa Viranomaisille lisää toimivaltaa komissio halUaa uudessa henkilötietodirektiivissä vahvistaa kansallisten tietosuojaviranomaisten asemaa. suomessa viranomaisten toimivallan vahvistamispaineita lisää tuomioistuinten jutturuuhka. Tietojohtaminen " Tietosuojavaltuutettu reijo aarnion mukaan tietotilinpäätös olisi luontevaa jatkoa yritysten tekemille talous-, henkilöstö-, ympäristötilinpäätöksille. Toisin kuin muissa eu-maissa, suomessa kysymys viranomaisen roolin vahvistamisesta koskee myös tietosuojavaltuutetun ja tietosuojalautakunnan välisiä suhteita. varsinaista rikosoikeudellista sakotusoikeutta sillä ei ole. emme ole valvontaketjun heikko lenkki." aarnio viittaa euroopan ihmisoikeustuomioistuimeen, joka on ratkaisuissaan moittinut suomea rikoslain puutteellisesta tulkinnasta henkilörekisteririkoksissa. Voiko lopputuloksena olla 27 erilaista tulkintaa toteutuksesta. 16 TieToSuoja 2/2011 T ieToT urvan J a T ieTosuoJ an erikoisl ehTi. Kansalliset erityispiirteet, esimerkiksi pohjoismainen julkisuuslainsäädäntö, vaikuttavat tilivelvollisuudesta säätämiseen
Hänen mukaansa tietosuojastandardien ja vastaavien hyväksyntämenettelyjen kehitys on menossa kohti määrämuotoisia raportteja, mikä helpottaisi asiakkaan luku-urakkaa. Onko vaarana, että tilivelvollisuuden takia vaadittavista tietosuojaraporteista tulee talojen kuntotarkastusraporttien kaltaisia, tasoltaan ja laajuudeltaan vaihtelevia selontekoja, joiden perusteella asiakkaan on vaikea saada selvyyttä organisaation luotettavuudesta. dottaa, että rekisterinpitäjät voisivat valita sopivat toimet käsittelemiensä tietojen määrän, käyttötarkoituksen, luonteen ja tiedonkäsittelyn sisältämien riskien mukaan. kannalta saatavissa oleva hyöty jää saamatta. voiko raporttiin luottaa? Tällä hetkellä EU:ssa keskustellaan tilivelvollisuuden raportoinnin muodoista; sen julkisuudesta ja siitä, edellytetäänkö raportin toimittamista viranomaiselle automaattisesti vai erillisestä pyynnöstä. Se on varmasti tyhmä ratkaisu", Aarnio kuittaa. "Jos joku menee siihen halpaan, että raportoi vain täyttääkseen jonkun velvoitteen, siitä johtamisen aiheesTa enemmän henkilötietodirektiivin uudistamisesta eu:n komission verkkosivuilla: http://ec.europa.eu/justice/policies/privacy/review/index_en.htm Tilaushinnat 2011 Suomessa (kahdeksan numeroa vuodessa): kestotilaus 52 (laskutusväli 12 kuukautta), 12 kuukauden määräaikaistilaus 57 . Ti eToTu rva n Ja T i e To s u o Ja n e r i koi s l e hT i 2/2011 TieToSuoja 17
"Toinen ovat tekijänoikeuksiin liittyvät kysymykset". "Maksuperustelainsäädäntö on yksi lainsäädännön osa-alue, jota valtiovarainministeriö omassa työryhmässään paraikaa pohtii", Rastas kertoo. "Jotkin osat tietoaineistoa saattaisivat olla avattavissa uudistamalla käyttövaltuuksia", Rastas arvioi. 18 TieToSuoja 2/2011 T ieToT urvan J a T ieTosuoJ an erikoisl ehTi. Millaisia lakimuutoksia on odotettavissa. Tietosuojasta vastaavien olisi myös kyettävä ennakoimaan rekisterien käyttöä kokonaisuutena. Tietojohtaminen tietoaineistot auki tietosuojasta tinkimättä viranomaiset pohtivat, kuinka tuoda mahdollisimman paljon rekisteritietoa yritysten ja kansalaisten käyttöön yksityisyyttä vaarantamatta. Teksti: Kirsi Castrén Julkiset Eräs tapa suojata yksityisyyttä on salassa pidettävien tietojen peittäminen aineistosta eli koodaus. T ulevaisuudessa kansalaiset, viranomaiset ja yritykset pääsevät entistä helpommin tutustumaan mielenkiintoisiin julkisiin tietoihin. Rastaan mukaan kyse tullee olemaan pikemminkin oikeuskäytäntöjen selkiyttämisestä ja asetuksista kuin suurista lakimuutoksista. suojatutkin aineistot osittain auki? Hallituksen periaatepäätös koskee ensisijaisesti sellaisenaan luovutettavissa olevia julkisia tietoaineistoja, joiden käsittelyä lainsäädäntö ei rajoita. "Toive julkisten tietoaineistojen avaamiseen on esitetty monilta tahoilta, ja jo 90-luvulta asiaa on koetettu viedä hallinnossa eteenpäin", kertoo neuvotteleva virkamies Taru Rastas liikenne- ja viestin- täministeriöstä. Edellinen hallitus linjasi maaliskuisessa Koska koodaus ei varsinaisesti poista aineistosta tietoja, sen luotettava toteutus edellyttää kehittynyttä tekniikkaa. "Hallituksen periaatepäätös osoittaa, että asialle on nyt saatu yhteinen tahtotila." käytännöt epäselviä Periaatepäätöksessä todetaan, että julkisen sektorin tietoa ja sen käyttöä koskevaa lainsäädäntöä on selkiytettävä. "Yksityisyydensuojan näkökulmasta on huomattava, että tietoaineistoja ei yleensä voi tarkastella yksittäisinä: Usein erilaisia tietoaineistoja yhdistellään, jolloin voi ilmetä herkkänä pidettyä tietoa", Rastas huomauttaa. periaatepäätöksessään, että julkisten digitaalisten tietoaineistojen tulee olla avoimesti saatavilla yhtenäisin ja selkein ehdoin ja pääsääntöisesti maksutta. Julkisten tietovarantojen saatavuutta pohtivassa työryhmässä on kuitenkin mietitty sitäkin, miten käytöltään rajoitettujen tietojen saatavuutta voitaisiin parantaa vaarantamatta tietosuojaa
leena kumPulainen " Julkiset digitaaliset tietoaineistot halutaan avoimesti saataville. 2/2011 TieToSuoja 19 Ti eToTu rva n Ja T i e To s u o Ja n e r i koi s l e hT i
Tärkeää on vahvistaa henkilön kontrollia omiin tietoihinsa ja niiden luovutukseen", Taru Rastas painottaa. Aineistot auki lähivuosina? jUlkisten tietoaineistojen avaaminen laajemmalle käyttäjäkunnalle on monivuotinen hanke. Missä silloin kulkee rekisterinpitäjän vastuun raja. Väestörekisterikeskus on mukana julkisten tietoaineistojen kehittämistyöryhmässä. siin mahdollisimman laajasti yhteiskunnan käyttöön. Tietojen luovuttamisesta yrityksille on yksityiskohtaiset säännöt. Väestörekisterikeskuksen luovuttamat tiedot ovat käyttötarkoitussidonnaisia, mikä koskee myös julkishallinnon viranomaisia. Meille esitetään paljon hyviä ideoita, joita joudumme torjumaan. vuonna 2013 virastojen odotetaan oltavan pitkällä myös avoimien teknisten rajapintojen kehittämisessä ja aineistojen saattamisessa koneluettavaan muotoon. Siinä on hyvin tarkkaan kerrottu, miten tietojamme saa käyttää", kertoo tietopalveluyksikön johtaja Riitta Haggrén. Henkilötietoa on kaikki tieto, joka voidaan yhdistää tiettyyn henkilöön. Valtaosassa sen aineistoista tietojen luovutusta rajoittavat yksityisyyttä suojaavat lait, kuten henkilötietolaki. Työryhmässä mietimme, mitkä mahdollisesti olisivat sellaisia tietoja, joiden saatavuutta voisimme helpottaa", Haggrén kertoo. "Toki rekisterinpitäjällä täytyy olla vastuu luovuttamansa datan oikeellisuudesta. Niitä koskevat henkilötietolain pykälät, mutta myös laki väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista. "Jopa rakennustiedot ovat tietosuojavaltuutetun tulkinnan mukaan henkilötietoja. Viittaan nyt esimerkiksi käyttöehtoihin." Yksityisyydensuojan kannalta tärkeimpiin lakeihin, kuten henkilötietolakiin, ei näillä näkymin olla kajoaVaikka lain kirjain olisikin selkeä, yhteiskunnalliset käytänteet sen soveltamisessa vaihtelevat: "Rajankäynti sinällään on varsin erikoista, kun mietitään esimerkiksi sitä, että verotustiedot, jotka ovat hyvinkin suoraan henkilöön kohdistuvaa tietoa, ovat osittain julkisia, kun taas useimmiten ollaan hyvinkin tiukkoja siitä, ettei henkilöön yhdistettävää tietoa luovuteta", Rastas pohtii. henkilörekisterien käyttö rajattua Suomen kenties kattavimmat julkiset tietovarannot ovat Väestörekisterikeskuksessa. Haggrénin mukaan Väestörekisterikeskus on jo vuosia pohtinut, kuinka sen tietovarannot saatai- rekisterinpitäjä vastaa tiedoistaan Kaikkien käyttöön avattujen tietoaineistojen perusteella voidaan luoda uusia palveluja. Periaatepäätöksen mukaan tänä vuonna virastojen tulee tunnistaa ja kuvailla tietoaineistonsa, kehittää yhtenäistä luettelointia ja mahdollisuuksien mukaan myös avata aineistoja käyttöön. "Yrityksistä kysellään meiltä monenlaisia tietoja. "On ajateltu esimerkiksi rakennuksen osoitepistet- 20 TieToSuoja 2/2011 T ieToT urvan J a T ieTosuoJ an erikoisl ehTi. Tietojohtaminen " massa. Yksi tapa suojata yksityisyyttä on salassa pidettävien tietojen peittäminen. Suunnitteilla on valtakunnallinen tukipalvelu, joka palvelee sekä hallintoa että tiedon käyttäjiä. Lainsäädäntö asettaa sille kuitenkin tiukat rajat. Tukipalvelun kautta tietämystä varmasti voidaan levittää hallintoon." leena kumPulainen "Käytännössä tietoaineistojen käyttöön liittyvät esteet ovat siinä, että käytänteet itsessään ovat aika epäselviä. "Tietosuojavaltuutettu on lausunnossaan viestittänyt, että tukipalvelussa tulee olla informaatio-oikeuden asiantuntemusta