Tietosuoja 2/2013 - Lehtiluukku.fi

Haluatko ostaa tämän lehden?

Vaikuttaako lehti kiinnostavalta? Voit lukea koko lehden valitsemalla "Lisää ostoskoriin". Mukavia lukuhetkiä!

Olet esikatselutilassa. Lue koko lehti

tietoturvan ja tietosuojan erikoislehti 2 . 2013 15? Mobiili tietoturva vaatii säännöt Ulkoista fiksusti Konkurssi tuli . minne asiakastiedot? mikko paatero: Poliisin rekisterinpito paranee
Olli Häkämies 2 . 2013 Sisältö 4 Pääkirjoitus 5 Lyhyesti 7 Miten on? Palkkatoimisto muutti pilveen 8 14 Pilvipalvelut voi ainakin auditoida 15 Kolumni 16 20 Asiantuntijalta Kyberturvallisuuden kartoitus vaatii uusia keinoja Jukka Manner ja Seppo Tiilikainen 18 Rekisteröi tämä Henkilöluottotietorekisterit shutterstock 19 Kysy meiltä 20 Mikko Paatero: Poliisi korjaa tilkkutäkkiään 24 Lait ja säädökset 26 Tietosuoja-asetus meppien mankelissa 28 Tietoturvan ja tietosuojan erikoislehti Kesäkuu 2013 Julkaisijat Patentti- ja rekisterihallitus Tietosuojavaltuutetun toimisto Tietosuojalautakunta Viestintävirasto Päätoimittaja Hanna Tamminen, Viestintävirasto hanna.tamminen@ficora.fi Toimitussihteeri Päivi Männikkö, Stellatum Oy paivi.mannikko@stellatum.fi Toimituspäälliköt Eija Kara, tietosuojavaltuutetun toimisto, eija.kara@om.fi Anna Lauttamus-Kauppila, Patentti- ja rekisterihallitus, anna.lauttamus-kauppila@prh.fi Ulkoasu Tarja Salonen, Sininen Arkki Oy tarja.salonen@sininenarkki.fi Kannen kuva Olli Häkämies 2? tietosuoja 2 . 2013
tietosuoja-lehti.fi 27 Ilmiöt numeroina 28 Asiakasrekisteri kaupaksi konkurssin jälkeen 42 30 Reuman sairaala . kun iso laiva uppoaa 31 Näkökulma Terveydenhuollon hallinnollinen taakka vaihtaa paikkaa 32 Kohdennettu hyökkäys ei ole tieteistarinaa 34 Gallup Palvelunestohyökkäyksen vaikutuksia voi vähentää 36 Reissuvihko tietää oppilaasta paljon maija nyman 38 38 Mobiili tietoturva vaatii säännöt 40 Patenttihakemukset suojassa tietovuodoilta 36 42 Potilaat pinteessä Toimituskunta Ari-Matti Husa, Elina Koskipahta ja Erika Leinonen, Viestintävirasto Lauri Karppinen, tietosuojavaltuutetun toimisto Olli Ilmarinen, Patentti- ja rekisterihallitus sekä toimituspäälliköt Kustantaja Stellatum Oy Purotie 1 B 00380 Helsinki Ilmoitusmarkkinointi Anne Paavilainen, Stellatum Oy puh. 2013 3. vuosikerta ISSN 0786-5767 Painopaikka Hämeen kirjapaino Oy LIINPAIN PA RAARLAI A UT UT 441441 209209 Painotuote Painotuote E UOT OT OTE U OT Toimitusneuvosto puheenjohtaja, Reijo Aarnio Nora Elers, FiCom ry Jukka Ihanus, Stellatum Oy Eila Ratasvuori, Helsingin kaupunki Ahti Saarenpää, Lapin yliopisto Anu Talus, oikeusministeriö ja toimituspäälliköt 20 outi mustonen 46 Verkkolehdessä ja seuraavassa numerossa Kyllä virkavastuu pitää kantaa. HIILIN E HIILIN E 45 Selailtua ClimateCalc ClimateCalc CC-000025/FI CC-000025/FI HÄMEEN HÄMEEN KIRJAPAINO KIRJAPAINO OYOY tietosuoja 2 . 0400 435 636 anne.paavilainen@stellatum.fi 25
Nyt kuluttajien rahat näyttäisivät valuvan EU:n ulkopuolelle. Tehtävä voitaisiin myös ulkoistaa. Tilintarkastusyhteisöt ja ?accountability. Näyttää kuitenkin siltä, että häntä on ainakin jossain mielessä alkanut heiluttaa koiraa. Tietosuojaakin voi brändätä. Nähtäväksi jää, kuka saavuttaa aikaisen toimijan edun tässä kilpailussa. Uusi teknologia ja sosiaalisen median merkityksen kasvu ovat kuulemamme mukaan luoneet tarpeen huolehtia siitä, että annamme itsestämme mahdollisimman hyvän kuvan työelämää ja sosiaalista toimeliaisuutta ajatellen. 2013 Brändäämään! Tietosuojauudistuksen taustalla on pyrkimys luoda Eurooppaan aidot digitaaliset sisämarkkinat parantamalla kuluttajien luottamusta kuluttajansuojan, kauppaoikeuden ja henkilötietojen suojan aloilla. Käsitykseni mukaan on välttämätöntä, että edellä mainitut toimijaryhmät ja muutkin alkavat pikaisesti rakentaa omia ?tietosuojabrändejään?. Tätä pyrkimystä tukee vaatimus tietosuojavastaavan nimeämisestä. 2013. Toisaalta osaamisen hankkiminen rekrytoinnein tai ulkoistamisen keinoin esimerkiksi asianajo- ja konsulttitoimistoille on jo alkanut. Kaupankäyntiä tehostavan luottamuksen saavuttamiseksi organisaatioilla tulee olla riittävä osaaminen käytössään. Tapahtuuko brändääminen työ- vai vapaa-ajalla, lienee hieman epäselvää. Sitä tukee julkisuusperiaatteen peruskivenä oleva hyvä tiedonhallintatapa. Tunnen piston sydämessäni, kun katson, miten muut maat ovat omineet suomalaiset ideat. Reijo Aarnio tietosuojavaltuutettu 4? tietosuoja 2 . Tunnen piston sydämessäni, kun katson, miten muut maat ovat omineet vanhat, hyvät suomalaiset ideat. Me olemme aina haastaneet pakettiohjelmistot vaatimalla suunnittelu- ja huolellisuusvelvoitteen noudattamista. Kanadalaiset kuitenkin toivat markkinoille komeasti tuotteen ?Privacy by Design?. Uusi ja kuuma periaate ?accountability?, joka tunnetaan myös tilintekokykyisyyden nimellä, on ilmentymä meille jo melko tutuksi käyneestä tietotilinpäätösasiasta. Oikeastaan koko tämän brändäämisen takana voidaan nähdä suomalainen vaatimus hyvästä henkilötietojen käsittelytavasta. O markus sommers V iestintäihmiset ja mediataitokouluttajat kehottavat ihmisiä brändäämään itseään. Pääkirjoitus 2 . näyttäisivät kulkevan käsi kädessä
Niiden mukaan rekisterinpitäjä saa käsitellä sesta eikä positiivisen luottotietorekisterin hyväksymistä ja vaikutuksia tulisi odottaa henkilötietoja muun muassa rekis- perustamiseen ole nyt aihetta. ennen kuin kansallista lainsäädäntöä mah- teröidyn elintärkeän edun suojaami- Näin todetaan oikeusministeriön teet- dollisesti ryhdytään muuttamaan. Sen jälkeen kortinhaltijoiden yhteystiedot haettiin asiakasomistajarekisteristä, ja heille ilmoitettiin tuotteen haitallisuudesta. Kahden rekisterin tietojen yhdistäminen perustui henkilötieto- ja Suomessa kannattaa toistaiseksi pidättäy- tietosuoja-asetusta, asuntoluottodirektii- elintarvikelakeihin. Lyhyesti antero aaltonen Rikkakasvi johti rekisteritietojen yhdistelyyn Terveydelle haitalliset pakastevihannekset aiheuttivat toukokuussa poikkeuksellisen kanta-asiakas- ja kassajärjestelmien tietojen yhdistämisen. S-ryhmän myymälöistä ostetuista pakastevihanneksista löytyi myrkyllistä rikkakasvia, jonka syömisestä tuli useille pahoja oireita, ja muutama joutui sairaalahoitoon. Elintarviketurvallisuusvirasto Evira Selvitys ei suosittele positiivista luottotietorekisteriä määräsi S-ryhmän selvittämään, ketkä käyttivät asiakasomistajakorttia ostaessaan takaisinvedettäviä vihanneksia. Professori Ahti Saa- tietojen sisällöstä ja käsittelystä olisi kui- Kanta-asiakas- ja kassatietojen renpään laatimassa selvityksessä on ar- tenkin syytä tehdä perusselvitys, joka olisi yhdistäminen on erittäin poikkeuk- vioitu positiivisten luottotietojen käsittelyn käytössä, kun nyt valmistelussa olevat sellista. Selvityksen mukaan pohjoismaista Suomessa asuvat ihmiset kattavan yhteis- vain Ruotsissa on käytössä positiivinen kunnallisen perusrekisterin luomiseen ei luottotietorekisteri, ja siellä se on aiheut- pidä ryhtyä kevein perustein eikä pelkäs- tanut merkittäviä lainsäädännön tulkinta- tään sen vuoksi, että tiedot ehkä saattaisi- ongelmia. vat olla hyödyllisiä jollekulle?, Henriksson EU:ssa valmistellaan parhaillaan uutta tietosuoja 2 . Edellinen vastaava tapaus oli edellytyksiä oikeudellisesta näkökulmasta. eurooppalaiset lainsäädäntöehdotukset vuonna 2011, kun K-kaupoissa myyn- Positiivisilla luottotiedoilla tarkoitetaan esi- tulevat voimaan ja velvoittavat lainvalmis- nissä olleesta oliivisäilykkeestä löytyi merkiksi tietoja henkilön kaikista luotoista ja teluun Suomessakin. hermomyrkky botuliinia. mahdollisesti muitakin tietoja hänen taloustilanteestaan. Suomessa luottotietorekisteriin tallennetaan nykyisin vain tiedot maksuhäi- Oikeusministeri Anna-Maja Henrikssonin mukaan keskustelua positiivisista luottotiedoista pitää jatkaa, mutta välittömiin lainsäädäntötoimiin ei meillä ryhdytä. iöistä eli niin sanotut negatiiviset luotto- ?Massiivisen, käytännössä lähes kaikki tiedot. Henkilötietolain tyä luottotietolainsäädännön muuttami- viä ja tietoturvallisuusdirektiiviä. 2013 Seuraa Tietosuojaa Twitterissä! Profiilimme on nimeltään @Tietosuoja. sanoo. 5. Luotto- seksi. tämässä selvityksessä
Lyhyesti jean hin corbis skoy Enisa jatkaa ja laajenee Euroopan verkko- ja tietoturvallisuusvirasto Enisan toimikautta on jatkettu seitsemällä vuodella. Euroopan parlamentti äänesti toimikauden jatkamisen puolesta huhtikuussa hyväksyessään Enisaa koskevan asetuksen. Petostehtailijat hyödynsivät kaupparekisterin tietoja Virasto sijaitsee Kreetalla Heraklionin saarella, mutta sille avataan Pohjois-Karjalan käräjäoikeus on tuomin- muiden muassa petos- ja väärennösrikok- nyt sivutoimipiste Atee- nut vankeusrangaistuksiin kolme henkilöä, sista sekä maksamaan vahingonkorvauksia naan. Henkilötiedot he 2012 aikana. toiminnan tehostamisella saivat käsiinsä tilaamalla taloyhtiöiden Oikeus ei tuominnut tekijöitä maksa- kaupparekisteriotteita ja hyödyntämällä maan kärsimyskorvausta asianomistajalle. otteessa olevia taloyhtiön hallituksen Tätä perusteltiin sillä, että tekijät eivät olleet Enisa on perustettu jäsenten, puheenjohtajien ja tilintarkasta- loukanneet asianomistajien yksityiselämää 2004 ja se aloitti toimin- jien henkilötietoja. Asianomistajien yksityiselämää lou- henkilö- ja ajokortteja. kanneita identiteettivarkauksia ei ole krimi- Tekijät tuomittiin vankeusrangaistuksiin ja sidosryhmäyhteistyön vahvistamisella. nalisoitu. Viestintäministeri vaihtui Tasavallan presidentti on 24. 2013. Viitanen (46) on neljännen kauden kansanedustaja Pirkanmaan vaalipiiristä. Uusi viestintäministeri kertoi nimittämisen jälkeen pidetyssä laura kotila vnk lehdistötilaisuudessa haluavansa korostaa kansalaisen asemaa 6? tietoyhteiskunnan kehittämisessä. ?Kun lainsäädäntöä kehitetään, haluan että siinä näkyy myös kuluttajanäkökulma.? tietosuoja 2 . Niiden perusteella teki- millään Suomessa rikokseksi säädetyllä tansa Kreetalla 2005. jät myös valmistivat väärennettyjä Kela-, tavalla. Petokset tehtiin vuoden Ateenan-konttoria viraston toisten henkilötiedoilla. Komissio perustelee jotka tilasivat tuotteita verkkokaupoista asianomistajille. toukokuuta nimittänyt kansanedustaja Pia Viitasen uudeksi asunto- ja viestintäministeriksi
Lyhyesti Venäjä mukaan tietosuojasopimukseen Venäjä on hyväksynyt Euroopan neuvoston yleissopimuksen yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä (yleissopimus 108). Niistä osa liittyy väärinkäsitykseen markkinoinnin kohteen tietosuojasta. Miten on? Keväällä uutisoitiin, kuinka hakkereilla oli kuukausien ajan pääsy Ruotsin Nordean maksujärjestelmiin ja asiakkaiden tileille. Ilmoitus pitää tehdä myös ohjelmistovirheestä, tietoliikennehäiriöstä, käyttökatkoksesta ja laiterikosta, jos ne vaikuttavat asiakaspalveluihin. 2013 ilmaannuttua?, sanoo vs. Kyseessä on päivän viides myyntipuhelu, mutta minkäs teet, eihän yrittäjä ole kuluttaja, joka voisi kieltää puhelinmyynnin. Opas yrittäjän tietosuojasta puhelinmyyntitilanteissa muistuttaa, että myös yrityksillä on oikeus kieltää niihin kohdistuva suoramarkkinointi. Tietosuojavaltuutetun toimiston ja Suomen yrittäjien julkaisema opas pyrkii osaltaan vastaamaan yritysten välisen puhelinmyynnin epäselvyyksiin. Nordea ei ilmoittanut asiasta viranomaisille tai asiakkaille. Milloin Suomessa pankin pitää ilmoittaa tietoturvaongelmasta? ?Valvottavan on tehtävä Finanssivalvonnalle ilmoitus asiakkaille tarjottujen palvelujen sekä maksu- ja tietojärjestelmien merkittävistä häiriöistä ja virheistä viipymättä niiden tietosuoja 2 . toimistopäällikkö Markku Koponen Finanssivalvonnasta. ?Viipymättä on ilmoitettava myös sellaiset häiriöt ja virheet, jotka haittaavat pankin kykyä jatkaa liiketoimintaansa tai vastata velvoitteistaan.? Ilmoitettavia häiriöitä ovat ainakin murtautuminen tai haittaohjelman levittäminen tietojärjestelmään sekä palvelunestohyökkäys. Ilmoitusvelvoite koskee Finanssivalvonnan valvomia yhteisöjä. Oletteko saaneet pankeilta ilmoituksia? ?Finanssivalvonnalle on ilmoitettu verkkopankkiasiakkaiden tunnusten kalastelusta sekä haittaohjelmahyökkäyksistä asiakkaiden tietokoneille.? Mitä ilmoittamatta jättämisestä seuraa? ?Mahdolliset seuraamukset on kuvattu laissa Finanssivalvonnasta.? 7. Sopimus astuu Venäjällä voimaan 1. syyskuuta, jolloin Venäjästä tulee 46:s sopimukseen liittynyt valtio. Google sai Saksassa Hampurin osavaltion tietosuojaviranomaiselta 145 000 euron sakot netinkäyttäjien henkilötietojen luvattomasta keräämisestä. Googlen katukuvapalvelua varten Hampurin katuja kuvanneet autot olivat vuosina 2008?2010 keränneet myös suojaamattomia langattomia lähiverkkoja (WLAN) käyttäneiden yhteystietoja, salasanoja ja sähköpostiviestejä. shutterstock Yrittäjälläkin on tietosuojaa Yrittäjän kännykkä soi kesken kiireisen työpäivän
8? tietosuoja 2 . 2013
2013 9. Palkkatoimisto muutti pilveen Henkilöstöhallinnon rutiineista huolehtii yhä useammin ulkopuolinen yritys. Ulkoistaminen tuo säästöjä, mutta jos tietosuojan suhteen ei olla tarkkoina, pahimmillaan työntekijöiden henkilötiedot voivat karata taivaan tuuliin. Teksti Kirsi Castrén Kuvat Shutterstock, Olli Häkämies, Jyrki Vesa tietosuoja 2
EU:n tietosuojavaltuutettujen Reijo Aarnion mukaan organisaatiot eivät tulkinnan mukaan kansainväliseksi tiedon- aina ole riittävän tietoisia ulkoistusten ris- siirroksi (EU:n tai Euroopan talousalueen ul- keistä eivätkä tietosuojavelvoitteistaan. kopuolelle) katsotaan jo esimerkiksi yhtey- ?Toivomuksemme on, että kun orga- den ottaminen suomalaiseen tietokantaan nisaatiossa valitaan ulkoistuskumppania, ulkomailta. Palkka- suojavaltuutettu kiteyttää. hallinto ulkoistetaan yhdessä tietoliikenteen ja IT-tukitoimintojen kanssa suurelle ylikansalliselle palveluntar- ?Koskaan et voi ulkoistaa parempaa oikeutta kuin itselläsi on.? Hankalat tiedonsiirrot joajalle. F irma Oy päättää keskittyä minkä saa itse tehdä, saa ulkoistaa?, tieto- ydintoimintoihinsa. Vaikka konsernin tai lain mukainen vastuullinen rekisterinpitäjä, toimeksiantajan kotipaikka olisikin Suomi, jonka velvollisuus on huolehtia, että henki- ulkomaisen alihankkijan tai ulkomailla sijait- lötiedot ovat turvassa ulkoistuksen jälkeen- sevan tytäryhtiön toimintaan sovelletaan kin ja että niitä käsitellään lainmukaisesti. paikallista lakia, ellei asiasta ole erikseen ?Käytämme nyrkkisääntönä, että sen, ?Sen, minkä saa tehdä itse, saa ulkoistaa?, tietosuojavaltuutettu Reijo Aarnio muistuttaa. sovittu. Ulkoistuskumppanille kertyy mittavia tietovarantoja. 10? tietosuoja 2 . Pilvipalvelun toteuttaa alihank- Tietosuoja- ja tietoturvariskejä liittyy eten- kijaverkosto, jonka osat ulottuvat Intiaan kin pilvipalveluihin, joissa tiedon tallennus- saakka. paikka voi vaihdella maasta toiseen. Yritykset ulkoistavat yhä useammin tuki- Erityistä tarkkuutta edellyttää tietojen toimintojaan tehokkuuden ja kustannus- käsittely EU:n tai Euroopan talousalueen ul- säästöjen toivossa. 2013. Tietosuojavaltuutettu kopuolella. Kyse ei siis tarvitse olla tietojen edellytettäisiin tarjouskilpailuun osallis- tallentamisesta ulkomaiselle palvelimelle. tuvilta, että nämä kykenevät osoittamaan Asiaa ei muuta se, että tietoihin pääsyn mah- menettelevänsä sääntöjen ja viranomais- dollistava yhteys on teknisesti salattu. määräysten mukaisesti.? Tietojen sijaintimaa vaikuttaa sovelletta- Ulkoistava organisaatio on henkilötieto- vaan lainsäädäntöön
?EU:n tietosuojaviranomaisten mukaan palveluja ei voi ulkoistaa palveluntarjoajalle, joka ei osaa hoitaa kansainvälisiä tiedonsiirtoja lainmukaisesti?, asianajaja Jukka Lång sanoo. tietosuoja 2 . 2013 11
Laki yhteistoimintamenettelystä vaatii myös henkilöstön kuulemista yrityksissä, joissa on vähintään 30 työntekijää. tävät suomalaisten työsuhde- ja sairaus- Tietojen sijaintimaahan voi usein vaikuttaa poissaolotiedot eivät siis välttämättä ole Pilvipalveluiden tarjoajat eivät aina pysty Viime aikoina ovat useat ylikansalliset suomalaisen tietosuojan piirissä, jos niiden kertomaan asiakkaalle tietojen tosiasial- palveluntarjoajat mukauttaneet toimin- käsittely on ulkoistettu Suomen ulkopuo- lista sijaintipaikkaa sen vaihdellessa maasta taansa siten, että kansainvälisten tiedon- lelle?, havainnollistaa asianajaja Jukka Lång toiseen muun muassa kustannustason siirtojen tietosuojakysymykset tulevat huo- asianajotoimisto Dittmar & Indreniukselta. mukaan. Jo yhteydenotto suomalaiseen tietokantaan ulkomailta on tiedonsiirto. 5 Viisi vinkkiä 1. Selvitä riskit ja suunnittele sopimusehdot 4. Hyödynnä sertifikaatteja 2. 5. Kartoita ulkoistukseen mahdollisesti liittyvät tietosuojariskit. Tiedonsiirrossa saattaa olla heikko. Henkilöstölle tulee asiasta kuitenkin tiedottaa. 2013. Hio ehdot valmiiksi jo ennen neuvottelua. Muista sopia auditointioikeudesta Tarkastusoikeus ulkoistuskumppanin tietojärjestelmiin on sopimuksenvarainen. Tarkista, kuuluuko kansainvälinen tietojensiirto ilmoitusvelvollisuuden piiriin Osa henkilötietojen siirroista EU:n tai ETA:n ulkopuolelle edellyttää ilmoitusta tietosuojavaltuutetulle. 3. Esimerkiksi yleisesti käytetty ISAE 3000 -sertifikaatti on keino, jolla ulkoistuskumppani voi osoittaa tietosuojaosaamisensa. Tiedota henkilöstölle Työntekijöiden henkilötietojen käsittelyn ulkoistaminen ei edellytä luvan kysymistä rekisteröidyltä. Konsernin sisäiset tietojensiirrot voi tarjoajan on voitava kertoa tietojen sijain- toteuttaa myös Binding Corporate Rules timaa. Palveluntarjoajat ovat usein suu- mioiduiksi EU:n vaatimalla tavalla. ?Esimerkiksi palkkahallinnossa käsitel- ron toteuttamisesta lainmukaisesti, ei voi ulkoistaa palveluja?, Lång kertoo. Tietosuojan turvaamiseksi kansainväli- ria ylikansallisia yrityksiä, jotka käyttävät ?Markkinoille on esimerkiksi ilmestynyt sissä tietojensiirroissa EU-komissio on laa- omia vakiosopimuksiaan, ja joiden rinnalla palveluntarjoamismalleja, joiden tarkoituk- tinut organisaatioiden käyttöön valmiita suomalaisen yrityksen neuvotteluasema sena on taata tietojen pysyminen koko ajan mallisopimuslausekkeita. Työnteki- valtuutetulle. vastaamaan tietojen kansainvälisen siir- jöiden henkilötunnukset, pankkitilinumerot 12? tietosuoja 2 . Onko ulkoistavalla yksinomaan EU:n alueella, vaikka tiedot oli- voi myös tukeutua yhdysvaltalaisten yritys- organisaatiolla mahdollisuutta esimerkiksi sivatkin pilvessä?, Lång kertoo. ten käytössä olevaan Safe Harbor -järjestel- vaatia sopimukseen ehtoa, että palvelun- mään. Jukka Långin mukaan voi vaatia, ja Alihankkijat paljon vartijoina -säännöillä. usein pitäisikin. Jossain kohtaa Firma Oy:n alihankkijaket- Osaan EU:n ulkopuolelle tehtävistä hen- ?EU:n tietosuojaviranomaiset ovat to- jussa on heikko lenkki: ylimääräistä käteistä kilötietojen siirroista liittyy henkilötietolain denneet viime vuonna suosituksessaan, kaipaava ylläpitotyöntekijä, joka päättää mukainen ilmoitusvelvollisuus tietosuoja- että palveluntarjoajalle, joka ei kykene myydä hallussaan olevat tiedot
Palkkahallinnon ulkoistussopimuksissa määritellään muun muassa, ketkä saavat käsitellä työntekijöiden henkilötietoja, ja mille alihankkijoille niitä luovutetaan, sekä saako tietoja käsitellä EU:n ulkopuolella. O tietosuoja 2 . Sopimuksiin sisältyy auditointioikeus. Ulkoistusta suunnittelevia Hovi neuvoo valmistautumaan miettimällä tietosuojakysymykset mahdollisimman selviksi jo ennalta. ?Tärkeää on, että asiat on organisaatiossa selvitetty etukäteen. Ulkoistuskumppanille kertyy mittavia tietovarantoja, ja samalla kasvavat riskit henkilötietojen joutumisesta vääriin käsiin. Tietosuojavaltuutettu Reijo Aarnio kehottaakin ulkoistajia huolehtimaan jo sopimusvaiheessa käyttöoikeuksien hallinnasta ja varmistamaan siten, ettei esimerkiksi sähköpostiliikennettä ylläpitävillä henkilöillä ole pääsyä työntekijöiden palkka- tai terveystietoihin. 2013 13. Tietoturvaehdoista on paljon vaikeampaa neuvotella, jos niitä joutuu vasta sopimusta tehtäessä pohtimaan ja muotoilemaan.. Tietosuoja kohdalleen jo ennen neuvotteluja Teleyhtiö Elisa ulkoisti palkkahallintonsa vuonna 2004. Nykyinen sopimuskumppani on pohjoismainen Aditro, jonka alihankkijoilla on palvelimia muun muassa Norjassa. Elisalla on muitakin henkilötietoja sisältäviä rekistereitä, joiden ylläpitoa on ulkoistettu myös EU:n ulkopuolisiin maihin. ?Tietosuojakysymykset on hyvä ottaa huomioon jo sopimusvaiheessa?, painottaa kehittämispäällikkö Mikko Hovi. Elisan alihankkijoidensa kanssa tekemissä sopimuksissa on huomioitu kansainvälisen tietojensiirron tietosuojavaatimukset. Yritykseen saattaa jäädä vain pieni IT-ammattilaisten ydinjoukko, jonka tehtävänä on hallinnoida Elisan kehityspäällikkö Mikko Hovi neuvoo suunnittelemaan tietosuojan hyvissä ajoin ennen ulkoistusta. ulkoistuksia. O ja sähköpostiosoitteet ovat kuumaa valuuttaa internetin nopeilla valtateillä kaahaaville rikollisille. On yhä tavallisempaa, että organisaatio ulkoistaa samalle palveluntarjoajalle useita toimintoja, kuten IT-ylläpitoa, talouspalveluja ja palkkahallintoa
2013. Tiedot voidaan kuitenkin siirtää muualle esimerkiksi vianmäärityksen takia. Asiakas voi kysyä ja vaatia, mutta pilvipalvelun tietoturvallisuudesta hän voi parhaiten varmistua auditoinneilla eli arvioinneilla. Microsoftin pilvipalvelujen selosteen mukaan asiakkaiden, joiden toimitusosoite on EU:ssa, tietoja säilytetään ensisijaisesti Irlannissa, Alankomaissa ja USA:ssa. Hankinnassa ratkaisevia tekijöitä ovat sovellustyyppi ja haluttu palvelu. Fujitsu Finlandin kehitysjohtaja Esa Aho huomauttaa, että pilvipalveluissa on monia mahdollisuuksia: ?Tieto voi olla yhä asiakkaan omassa konesalissa (ns. yksityinen pilvi) tai sitten jossain jopa erikseen määrittelemättömässä paikassa (ns. Halusimme myös tietää, millaiset mahdollisuudet asiakkaalla on varmistua tietojensa turvallisesta ja lainmukaisesta käsittelystä. Yritysten mukaan asiakkaat hankkivat pilvipalveluja kustannussäästöjen sekä paremman käytettävyyden ja joustavuuden takia. Auditointioikeus pitää kuitenkin muistaa kirjata palvelusopimukseen. aiheesta enemmän Tietosuojavaltuutetun toimiston verkkosivuilta www.tietosuoja.fi/9230.htm www.tietosuoja.fi/uploads/fqfq98_1.pdf Ainakin voi auditoida Tietosuoja kysyi IT-yrityksiltä, miten asiakkaat suhtautuvat henkilötietojen käsittelyyn pilvipalveluissa sekä tietojen käsittelyn tietoturva- ja tietosuojanäkökohtiin. ja kaikkea tältä väliltä.? Jos pilveen viedään henkilötietoja, niiden lainmukaisesta käsittelystä vastaa rekisterinpitäjänä asiakas. IT-talojen mukaan asiakkaat kiinnittävät tietoturvaan ja tietosuojaan paljon huomiota ja osaavat vaatia pilvipalveluilta entistä enemmän. ?Palvelutoimittajalta edellytetään henkilötietojen käsittelyyn liittyvien lakien ja asetusten tuntemista, ja tämä on myös pystyttävä todentamaan?, Atosin tietoturva-asiantuntija Tomi Behm sanoo. ?Asiakkaat osaavat myös vaatia kolmannen osapuolen sertifiointia ja kansainvälisten standardien noudattamista?, huomauttaa Microsoftin tuotemarkkinointipäällikkö Harri Mikkanen. ?Pilvitarjoajan tietoturvasertifioinnit, kuten SOC 2 ja ISO 27001, ovat joissakin tapauksissa vaatimuslistalla. Tietosuojan osalta esille nousee esimerkiksi (kansainvälisissä tiedonsiirroissa käytettävä järjestelmä) Safe Harbor?, Nordcloudin teknologiajohtaja Ilja Summala sanoo. Erityisen paljon asiakkaat tiedustelevat tietojensa sijaintimaata. ?Lähes aina kysytään, voiko datan sijaintiin vaikuttaa?, vahvistaa Ixonosin markkinointijohtaja Antti Aumo. ?Valtaosa asiakkaista lähtee siitä, että tietoja ei viedä missään vaiheessa EU:n ulkopuolelle?, Summala kertoo. Microsoft allekirjoittaa EU:n tietojen kansainvälisiä siirtoja koskevat mallisopimuslausekkeet kaikkien pilviasiakkaidensa kanssa. Pilvitoimittajan parempi tietoturvakin voi olla yksi peruste. Asiakkaat eivät hanki pilvipalvelua nimenomaan henkilötietojen tallennusta varten, eikä henkilötietojen tallentamisesta pilveen saa lisähyötyä. O Päivi Männikkö 14? tietosuoja 2 . julkinen pilvi)
Vahva tunnistus pitäisi vaatia myös ennen kuin salassa pidettäviä tietoja . Tällaisen käsityksen työryhmän esityksestä saa. Kenen etua siis työ- ja elinkeinoministeriö ajaa pyrkiessään hämärtämään tietoa yritysten vastuuhenkilöistä. 2013 Susanna Reinboth on Oikeustoimittajat ry:n varapuheenjohtaja ja Helsingin Sanomien oikeustoimittaja. 15. Senhän tietää käytännössä jokainen Prisman kassakin. Jos identiteettivarkauksiin aletaan etsiä syyllistä, ensimmäisenä peiliin voisivat katsoa viranomaiset. Sen sijaan muutoksen toteuttaminen toisi mukanaan kokonaan uusia ongelmia. Perusongelma Suomessa on, että henkilötunnusta käytetään sellaiseen tarkoitukseen, johon se ei sovellu. Julkista olisi ainoastaan tieto vastuuhenkilöiden nimestä, kotipaikasta ja syntymäajasta. esimerkiksi terveys- tai verotustietoja . O Viranomaiset voisivat katsoa peiliin. tietosuoja 2 . Ymmärrettävästi jälkiään peittelevillä hämäräliikemiehillä ei ole mitään intressiä auttaa toimittajia tässä selvitystyössä. Henkilötunnusta ei koskaan voi käyttää tunnistamiseen, sillä se on jo niin laajalle levinnyt. Ainakaan avointa ja läpinäkyvää yhteiskuntaa tämä lainmuutos ei palvelisi. Ovatko työryhmän jäsenet ihan oikeasti niin tietämättömiä, etteivät he pysty erottamaan toisistaan henkilön tunnistamista ja yksilöintiä. Kolumni Prisman kassakin sen tietää Susanna Reinboth K aupparekisterilain muutoksia valmistellut työryhmä ehdottaa, että jatkossa yleisöllä ei enää olisi oikeutta saada tietää yritysten vastuuhenkilöiden henkilötunnuksia ja kotiosoitteita. Meidän täytyy olla täysin varmoja siitä, ettemme erehdy henkilöstä. Tämä keino on henkilötunnus. Toimittajille sataprosenttisen varma tunnistus on elinehto. Me emme voi tehdä juttuja sillä perusteella, että jonkin yrityksen takana oleva ihminen ehkä on sama henkilö, joka on aiemmin saanut tuomioita vaikkapa kuluttajien huijaamisesta. Muutostarvetta perustellaan muun muassa identiteettivarkauksien torjumisella. Tavoite on hyvä, mutta ehdotettu muutos ei poistaisi ongelmaa. Sen avulla voi erottaa samannimiset ihmiset toisistaan sataprosenttisella varmuudella. Tämän takia tarvitaan jokin varma keino ihmisen yksilöimiseksi. Sitä käytetään henkilöiden tunnistamiseen. Henkilötunnuksen tietäminen ei kuitenkaan kerro ihmisen henkilöllisyydestä yhtään mitään. Henkilötunnus soveltuu vain yhteen ainoaan tarkoitukseen, nimittäin ihmisen yksilöimiseen. Jatkossa kaikkiin oikeustoimiin pitäisikin vaatia vahva tunnistus. Henkilötunnus myös kertoo, että nykyisin mattimeikäläisenä esiintyvä ihminen oli vielä jokin aika sitten nimeltään jaskajokunen. Ihmiset saattavat vaihtaa nimeään useita kertoja elämänsä aikana jo pelkästään avioliittojen takia. Nimen muuttamista muista syistä ei liioin ole tehty järin vaikeaksi. Esimerkiksi etunimen saa vaihtaa yhden kerran ilman perusteluja, ilmoitusasiana. Asuinpaikasta tai syntymäajasta ei ole välttämättä mitään apua ihmisen yksilöimisessä. aletaan laulella puhelimessa. Kaupparekisterilain uudistusta valmistellut työryhmä pitää yllä käsitystä siitä, että henkilötunnuksen tietämisellä olisi jotain tekemistä tunnistuksen kanssa. Viranomaiset eivät ole kyenneet luomaan Suomeen toimivaa sähköistä tunnistusta siitä huolimatta, että projektiin liittyviin hankkeisiin on kivitetty varmasti kymmeniä miljoonia euroja. Peiliin voisivat katsoa myös kaikki viranomaiset ja yritykset, jotka pitävät riittävänä tunnistuksena sitä, että ihminen tietää henkilötunnuksen
Työ Järjestelmän perinpohjainen tutkiminen olisi toki sallit- osoitti, kuinka yhteiskunnallisesti mer- tua järjestelmän omistajan luvalla, mutta emme tien- kittävät automaatiojärjestelmät ovat murrettavissa neet etukäteen, mitä järjestelmiä löydämme, ja kenelle siinä, missä mitkä tahansa internetin palvelutkin. Tämä herättikin kysymyksiä Suomen tilanteesta. don hankkimisesta ja järjestelmien etsinnästä. Koska Kuinka paljon meillä on avoimia automaatiojärjestel- Shodanissa haetaan tallennettua tietoa tietokannasta, miä. Onneksemme rikoslain Niistä näyttävin esimerkki on vuonna 2010 paljastu- 34. porttiskannaus on sallittua, toisin kuin vastaava toi- Leverettin opinnäytteessä esittelemistä internetissä Tutkimuksessa käyttämämme Shodan on julkinen oli Yhdysvalloista ja puolet muualta, pääasiassa Euroo- tietokanta, jonka yhdysvaltalainen omistaja vastaa tie- pasta. luku vetää selkeän rajan: tunkeutuminen tai tunkeutumisen yrittäminen järjestelmään ilman omistajan lupaa on yksi- Shodan-hakukoneella tehtävä kartoitus Suomen auto- selitteisesti laitonta tarkoitusperästä riippumatta. maatiojärjestelmistä aloitettiin syksyllä 2012. Mitä nämä kohteet ovat, ja onko meillä laillisia kei- sen käyttö on laillista ainakin tietoturvakartoituksessa. noja niiden löytämiseksi? Kartoituksen ja murron raja on liukuva 16? minta tunkeutumis- tai haitantekotarkoituksessa. näkyvistä kymmenestätuhannesta kohteesta puolet Sen sijaan Shodanilla löydettyjen järjestelmien mahdolliseen jälkitarkasteluun rikoslain 38. Olen- ne kuuluvat. naisin ero on kuitenkin kriittisten järjestelmien mur- Kysyimme keskusrikospoliisilta neuvoa lainmukaisen tamisen yhteiskunnalle aiheuttamat tuhovaikutukset. tietoturvakartoituksen rajoista. 2013. Asiantuntijalta Kyberturvallisuuden kartoitus vaatii uusia keinoja Jotta Suomen kyberturvallisuudesta saataisiin mahdollisimman todenmukainen kuva, tietoturvakartoitusten tekemiseen pitäisi saada uusia, lainmukaisia keinoja. Teksti Jukka Manner ja Seppo Tiilikainen É ireann Leverett esitti Cambridgen yli- Tutkimusta suunniteltaessa merkittäväksi kysymyk- opiston kesällä 2011 hyväksymässä seksi nousi kartoitusmenetelmien laillisuus, sillä esimer- opinnäytteessä, kuinka vaivatonta on kiksi tiedon hankkiminen järjestelmän sisältä on Suo- löytää internetiin näkyviä automaatio- men lain mukaan tietomurto ja siten rangaistava teko. järjestelmiä Shodan-hakukoneella. Sitä teh- Myös oletussalasanojen kokeileminen tai esimerkiksi tiin aluksi Aalto-yliopiston omalla rahoituksella ja 2013 käyttöliittymään valmiiksi tallennettujen salasanojen alusta alkaen osana Tekesin rahoittamaa Disci-tutkimus- käyttäminen lasketaan luvattomaksi tunkeutumisyri- projektia. tykseksi. tietosuoja 2 . Tietoturvatutkimuksessa esimerkiksi tamossa. ns. luku painottaa toiminnan tarkoitusperää, joten kan- nut Stuxnet-mato, joka onnistui aiheuttamaan mer- sallisen edun takia tehtävä kartoitus on lähtökohtaisesti kittävää tuhoa Iranissa Natanzin ydinpolttoainerikas- hyvässä asemassa
O lessä suuntaa antavia. Työmäärä on kuitenkin moni laitteista on tarkoituksellisesti esillä. Kohteiden analysoinnissa tärkeää on turvallisuustutkimuksen nimissä tehtävä vastaava toi- sen selvittäminen, millaisten järjestelmien näkyminen minta on laissa estetty niin meiltä tutkijoilta kuin viran- internetiin on todellinen ongelma ja millaisten ei ole. omaisiltakin. Kansallisen kyberturvallisuuden nimissä miin liittyvää laitetta, joista 1 968 oli jälkitarkastuksessa olisi mielenkiintoista rakentaa Kansallinen automaa- yhä toiminnassa. Näin ollen tietoturvaongelmia ei voida Jatkossa tulisi myös selvittää, miten kriittisiä järjestelmiä ratkaista pelkästään tutkimuksella ja valvonnalla, vaan voidaan turvata nykyteknologioilla ja pohtia, mitä uusia kansallinen turvallisuus riippuu kunkin järjestelmän ajatuksia alan tutkimus voi asiaan tuoda. omistajien halusta ja kyvystä huolehtia omasta tietoturvastaan sekä pitää huolta tietoturvan säännöllisestä testauksesta. Tarkka KATSE parantaisi kyberturvallisuutta Shodan tekee satunnaista etsintää ja pitää yllä listaa koh- Suomessa on paljon avoimia järjestelmiä teista, joita se on joskus löytänyt. Palvelu antaa alustavan kuvan esimerkiksi Suomen automaatiojärjestelmien Shodanin tietojen perusteella löysimme Suomen IP- tilasta, mutta sillä ei saa muodostettua tarkkaa ajanta- osoiteavaruudesta yhteensä 2 915 automaatiojärjestel- saista kuvaa. Todellinen kohteiden lukumäärä tietosuoja 2 . Iso osa löydetyistä laitteista liittyi rakennusautomaatioon, joilla ohjataan muun muassa LVIjärjestelmiä ja ovien lukituksia, mutta esillä oli myös teollisuu- Viranomaiselle tulisi antaa oikeus tietojärjestelmien katsastamiseen. teen ja kriittiseen infrastruk- KATSE kävisi esimerkiksi kerran päivässä läpi koko Suomen IPosoiteavaruuden, muutaman miljoonaa osoitetta, ja raportoisi löydetyt ongelmalliset kohteet. Kohteiden hakeminen sinänsä on suorastaan yksinker- tuuriin viittaavia laitteita. taista, mutta kohteen tarkempi Löydettyjen laitteiden mää-rä on suuri, mutta mai- analyysi ja kriittisyyden arviointi automaattisesti vaatii nituista lakiteknisistä syistä on vaikea arvioida, kuinka vielä kehitystyötä ja tutkimusta. Niiden IP- tiojärjestelmien tarkastus- ja osoitteet toimitettiin Viestintä- suodatusjärjestelmä (KATSE). viraston CERT-FI:lle mahdollisia jatkotoimenpiteitä varten. Professori Jukka Manner ja tutkimusapulainen Seppo Tiilikainen työskentelevät Aalto-yliopiston Sähkötekniikan korkeakoulussa tietoliikenneja tietoverkkotekniikan laitoksella. Sinänsä toki täysin tarpeelliset tietomurtosäännökset Suomessa lienee kymmenentuhannen paikkeilla. valitettavasti myös rajoittavat tehokasta tietoturvakar- Shodanin löytämät kohteet pitäisi käydä läpi jatko- toitusta. Rikolliset testaavat järjestelmiä vapaasti, mutta tutkimuksessa. Osa löydöistä kohtuullinen, ja osaamista löytyy. oli kuitenkin hyvin arkaluontoisista kohteista, joten on Teknisen haasteen lisäksi KATSEen tehokas hyö- sangen luultavaa, että verkossa on esillä paljon väärin dyntäminen edellyttäisi muutoksia lainsäädäntöön. konfiguroituja järjestelmiä, joiden ei pitäisi olla yleisesti Viranomaiselle pitäisi antaa oikeus tietojärjestelmien saavutettavissa. katsastamiseen, mutta järjestelmä ja viranomaisen val- Shodan ei ole vielä kartoittanut kaikkia Suomen IPosoitteita, joten kartoituksen tulokset ovat tässäkin mie- taoikeudet tulisi toteuttaa siten, että tietosuojaa ei loukata. 2013 17
Soliditetin henkilö- Käyttötarkoitukset rajattu tarkasti laissa tietorekisterissä on lähes 400 000 henkilöä. Luottotietoyritykset luovuttavat henkilö- Heistä varsinaisia maksuhäiriöllisiä on yli luottotietoja laissa säädettyihin tarkoituk- 350 000. Lisäksi rekisteriin on tallennettu siin. Suomen Asiakastiedon mukaan Suomen Asiakastiedon mukaan henkilö- maksukyvystä. 2013. Niistä omaisten rekisteristä. Edelleen luottotietorekiste- kuluttajien luottotietomerkinnät ovat rekis- luottotietoja välittävien palveluiden käyttä- rien ylläpito on vankasti liike-elämän käsissä. terissä 2?4 vuotta. minen edellyttää aina sopimusta asiakkaan Kattavia henkilöluottotietorekistereitä Luottotiedot kerätään pääosin viran- kanssa, ja tietokyselyn yhteydessä rekiste- ylläpitää Suomessa kaksi yritystä. Rekisteröi tämä Luottotietorekisterissä on miltei 400 000 kuluttajaa Henkilöluottotietorekisterien ylläpito on kahden yrityksen kauppa. tietosuoja-lehti.fi Positiiviset luottotiedot: kyllä vai ei? Teksti Päivi Männikkö Kuva Rodeo L uottotietorekisterien pito lähti Suo- lisäksi rekisteröidyistä tallennetaan muiden hakijan ja työntekijän arviointeihin. Tuore oikeusministeriön teettämä selvitys päätyi odottavalle kannalle. Lue selvityksestä sivulta 5. tietosuoja 2 . Myös kuluttajat voivat kysellä tokontrolli on toiminut luottotietomarkki- myöntäviltä yrityksiltä, luotto- ja rahoitus- luottotietoja, ja kyselyn yhteydessä hei- noilla 1960-luvulta alkaen ja tuotemerkin laitoksilta, velkojilta sekä rekisteröidyiltä dät tunnistetaan verkkopankkitunnusten Soliditet alla toimiva Bisnode Finland 2007 itseltään. avulla. Tietoja messa liikkeelle 1800-luvulla kaup- muassa tiedot yrityskytkennöistä ja toimin- voidaan luovuttaa myös pankille tai vakuu- piaiden ja liikemiesten tarpeesta takelpoisuudesta, eli edunvalvonnassa ole- tusyhtiölle rekisteröidyn pyynnöstä. saada luotettavaa tietoa asiakkaittensa misesta. Niiden lisäksi luotto- röidään asiakkaan antama tietojen käyt- Suomen Asiakastieto ja sen edeltäjä Luot- tietofirmat saavat tietoja kulutusluottoja tötarkoitus. Tietoja saa käyttää muun muassa luoton tiedot edunvalvonnassa olevista ja omaeh- myöntämiseen ja valvontaan, viranomaisen toisen luottokiellon tehneistä henkilöstä. lakisääteisiin tehtäviin, perinnän suunnitte- sä, jos henkilöllä on viranomaisen vahvis- Maksuhäiriötietojen ja luottoluokituksen 18? luun, vuokrasopimuksen tekoon sekä työn- Positiiviset luottotiedot pohdinnassa Suomessa luottotietorekistereihin saa kerätä vain niin sanottuja negatiivisia tietoja eli tietoja maksuhäiriöistä, niistä selviytymisestä sekä näihin pohjautuvia luottokelpoisuuden arviointitietoja. Viime vuosina on pohdittu, pitäisikö meillä kerätä myös niin sanottuja positiivisia luottotietoja eli henkilön taloudellisesta tilasta muutoin kertovia tietoja. O alkaen. Tiedot useista eri lähteistä Henkilöluottotietorekisteriin päätyy yleen- Luottotietorekistereitä sääntelee 2007 voimaan tullut luottotietolaki, ja niiden käsittelyä valvoo tietosuojavaltuutettu. tama maksuhäiriötieto
Vanhemmista on yleensä tarpeellista kerätä vain nimet ja yhteystiedot. Jos erityistapauksessa on tarpeen kerätä jotain muita henkilötietoja, rekisterinpitäjän on pystyttävä perustelemaan tietojen tarpeellisuus opetuksen järjestämisessä. Tarkemmin asiaa selvennetään tietosuojavaltuutetun kannanotossa: www.tietosuoja.fi/14316.htm Kyllä voi. Miten voin suojella älypuhelintani ja tablettiani tietoturvaongelmilta? Ohjelmia kannattaa asentaa puhelimiin vain ?virallisen? sovelluskaupan kautta. Mihin tätä tietoa käytetään? Sähköpostiosoitteen ilmoittaminen väestötietojärjestelmään on vapaaehtoista. Kysy meiltä Lapseni kouluun ilmoittautumislomakkeessa kysyttiin muun muassa sisarusten nimiä ja ikiä, vanhempien mahdollista avioeroa sekä lapsen mahdollisia vaikeuksia kotona tai kaveripiirissä. 2013 19. Rekisterinpitäjän eli opetuksen järjestäjän pitää pystyä perustelemaan kerättyjen henkilötietojen tarpeellisuus opetuksen järjestämisessä. yrityksille suoramarkkinoinnissa tai yhteystietopalveluissa käytettäväksi) sähköpostiosoitteita ei luovuteta. Kysymykseen vastasi Väestörekisterikeskuksen tietopalvelupäällikkö Päivi Pösö. Mobiililaitteiden tietoturvauhista puhutaan nyt paljon. muuttoilmoitus) tai erillisellä kirjallisella ilmoituksella suoraan maistraatille. Saako tällaisia kysyä? Voiko muulla kuin Windows-käyttöjärjestelmällä varustettuun tietokoneeseen tulla haittaohjelmia? Oppilaasta voidaan kerätä koulussa vain opetuksen järjestämisen kannalta tarpeellisia tietoja. Järjestelmään voidaan tallentaa henkilölle vain yksi voimassa oleva sähköpostiosoite. Sähköpostiosoitteen käyttö liittyy erityisesti sähköisiin kansalaispalveluihin. Windows-haittaohjelmien yleisyys johtuu lähinnä siitä, että Windows on yleisyytensä vuoksi houkuttelevin kohde haittaohjelmien tekijöille ja levittäjille. Kysymykseen vastasi ylitarkastaja Marita Höök tietosuojavaltuutetun toimistosta. Muuttoilmoituksessa voi antaa sähköpostiosoitteensa. Silloinkin kannattaa suhtautua epäilevästi ennalta tuntemattomiin sovelluksiin. Väestötietojärjestelmästä sähköpostiosoitteita välitetään muun muassa poliisihallinnolle, Maanmittauslaitokselle, maa- ja metsätalousministeriölle, Valtiokonttorille Kansalaisen asiointitiliä varten sekä Kevalle. Kaupallisiin tarkoituksiin (esim. Etukäteen voi yrittää etsiä lisätietoja itseään kiinnostavasta sovelluksesta vaikka hakukoneen avulla. ? Kysymyksiin vastasi tietoturva-asiantuntija Ari-Matti Husa Viestintäviraston CERT-FI:stä. Askarruttaako jokin henkilötietojen suojaan, yksityisyyteen, viestinnän luottamuksellisuuteen tai tietoturvaan liittyvä asia? Lähetä kysymyksesi meille, me etsimme sille sopivan vastaajan. Kysymyksiä voi lähettää osoitteeseen info@tietosuoja-lehti.fi tietosuoja 2 . Sen voi antaa samalla kun ilmoittaa järjestelmään muitakin tietojaan (esim
2013. 20? tietosuoja 2