Tietosuoja 4/2011 - Lehtiluukku.fi

Haluatko ostaa tämän lehden?

Vaikuttaako lehti kiinnostavalta? Voit lukea koko lehden valitsemalla "Lisää ostoskoriin". Mukavia lukuhetkiä!

Olet esikatselutilassa. Lue koko lehti

TieToTurvan ja TieToSuojan erikoiSlehTi 4/2011 | 14 e Tiedot turvassa? Palveluntarjoaja vastaa tiedoista SoSiaalinen media TerveydenhuolTo TieToyhTeiSkunTakaari varjo-iT verkkokaupaT
s. 43 kolumni 44 lyhyesti 46 Tietosuojan vuosihakemisto pykälät uuteen uskoon Tietoturvallisuus on usein työntekijän varassa. s. 26 Tutustu verkkolehteen! kannen kuva: eric leraillez maija vuorela www.tietosuoja-lehti.fi 2 TieTosuoja 4/2011. 42 30 patentti- ja rekisterihallitus: näköalapaikalla 33 Tietoturvaloukkausten raportointi: Surffaajan suojaksi 36 näin arvioit tietoturvariskit 39 Tietoyhteiskuntakaari: 42 miten on. Sisällys 3 pääkirjoitus 4/2011 onko verkkopalvelusi turvallinen? s. s. 39 Säilytetäänkö sinun potilastietosi pysyvästi. 12 Teema: PalvelunTarjoajan velvollisuudeT 4 vastuu on rekisterinpitäjällä 6 uusyrittäjää ei neuvota tietosuojasta 10 rekisteritietojen tarkastus etanapostin varassa 12 kauppias vastaa verkkokaupan turvallisuudesta 16 raportointi auttaa noudattamaan lakia 22 Terveydenhuollon hankintaketju haastaa tietosuojan 25 palveluntuottaja puun ja kuoren välissä Työelämän TieTosuoja leena kumpulainen 26 Työntekijä tietoturvan heikoin lenkki? Profiili Tietoyhteiskuntakaarihanke parantaa sähköisen viestinnän lainsäädännön laatua
Tämä koskee myös niitä toimintoja, joilla havainnoidaan tietoturvaloukkauksia ja verkkohyökkäyksiä. lehti ilmestyy neljästi vuodessa. kestotilauksena tilattu lehti toimitetaan tilaajalle tilausjakso kerrallaan ilman eri uudistusta, kunnes tilaaja joko muuttaa sen määräaikaiseksi tai irtisanoo tilauksen. 0440 235 939 Bouser oy, jukka Tiainen, jukka.tiainen@bouser.fi puh. osoitteeseen tai henkilökohtaisesti rekisterinpitäjän luona. 09 682 0400, Faksi 09 682 1515 TilauShinnaT SuomeSSa 2011 kestotilaus 49 euroa (laskutusväli 12 kuukautta). Tätä on tarkoitus edistää muun muassa laajentamalla CERT-palvelujen tarjontaa valtionhallintoon ja varmistamalla tietoturvavelvoitteiden ottaminen huomioon tieto- ja viestintäjärjestelmissä. Tietomurrot rikollisuuden lajina ovat valitettavasti lisääntyneet. 23. Sähköisten palveluiden käytön laajenemisen edellytyksenä on, että käyttäjät voivat luottaa palvelujen, niitä tarjoavien järjestelmien ja tietoverkkojen turvallisuuteen. jos laskutusjakso tai maksueriä on maksettu ennen irtisanomisen voimaantuloa, tilaus päätetään maksetun jakson loppuun. osoitetietoja käytetään ainoastaan Stellatum oy:n omassa toiminnassa. Tekijät on tärkeää saada vastuuseen teoistaan. yhteydenotot tulee tehdä kirjallisina ja allekirjoitettuina em. Luottamusta tietoyhteiskuntaan voidaan lisätä määrittelemällä nykyistä selkeämmin palvelujen tarjoajien vastuut ja velvollisuudet liittyen palvelujen tuottamiseen ja tietojen käsittelemiseen turvallisesti. | jukka ihanus, toimitusjohtaja, Stellatum oy | eija kara, ylitarkastaja, tietosuojavaltuutetun toimisto | anna lauttamuskauppila, viestintäjohtaja, prh | Timo lehtimäki, johtaja, viestintävirasto | nora elers, viestintäjohtaja, Ficom ry | anu Talus, eu-asiantuntija, tietosuojalautakunta | eila ratasvuori, hallintojohtaja, helsingin kaupunki | ahti Saarenpää, professori, lapin yliopisto | hanna Tamminen, viestintäjohtaja, viestintävirasto ToimiTuSkunTa Tietosuojavaltuutetun toimisto: eija kara, ylitarkastaja | lauri karppinen, iT-erityisasiantuntija | viestintävirasto: ari husa, tietoturva-asiantuntija | pertti hölttä, yksikön päällikkö | hanna Tamminen, viestintäjohtaja | heli alanko, koordinaattori | Stellatum oy: päivi männikkö, toimitussihteeri kuSTanTaja Stellatum oy, purotie 1 B, 00380 helsinki TilaukSeT ja oSoiTTeenmuuTokSeT osoitteenmuutosta tehdessäsi muista ilmoittaa lehden nimi. Mitä jos kyseessä olisivat olleet arkaluonteiset potilastiedot. Tilauksen hinta on tilausjakson alussa voimassa oleva hinta, joka on painettu lehteen. Tietyillä toimialoilla tietoturvan merkitys toiminnalle on elintärkeä, ja sen mukaisesti ne ovat joutuneet erityisesti panostamaan tietojärjestelmiensä ja -yhteyksiensä turvallisuuteen sekä arkaluontoisen tiedon suojaamiseen. Asta Sihvonen-Punkka Viestintäviraston pääjohtaja aSiakaSrekiSTeri rekisterikuvaus ja -seloste ovat nähtävissä Stellatum oy:n tiloissa purotie 1 B, 00380 helsinki. irtonumero 14 euroa. vuosikerta | iSSn 0786-5767 painopaikka hämeen kirjapaino oy Sähköinen lehTi www.tietosuoja-lehti.fi 4/2011 anna huovinen H Tilauksessa tietoturvallinen arki ämmästys - tyrmistys - huolestuminen. Tietoturvallisuuden merkitys sähköisessä viestinnässä ja palveluiden käytössä on korostunut. Tietovuodoista ja -murroista on tullut arkipäivää. Nyt tietomurron kohteena olivat nimi-, yhteys- ja henkilötunnustiedot. pääkirjoitus TieToTurvan ja TieToSuojan erikoiSlehTi joulukuu 2011 julkaiSijaT tietosuojavaltuutetun toimisto tietosuojalautakunta viestintävirasto pääToimiTTaja hanna Tamminen, viestintävirasto hanna.tamminen@ficora.fi ToimiTuSpäällikkö eija kara, tietosuojavaltuutetun toimisto eija.kara@om.fi ToimiTuSSihTeeri päivi männikkö, Stellatum oy paivi.mannikko@stellatum.fi ulkoaSu Tarja Salonen, Sininen arkki oy tarja.salonen@sininenarkki.fi ToimiTuSneuvoSTo reijo aarnio, tietosuojavaltuutettu, pj. CERT-FI on ollut mukana kehittämässä huoltovarmuuskriittisten yritysten toimintaedellytyksiä ja rakentaa parhaillaan näille Huoltovarmuuskeskuksen rahoittamana tietoturvaloukkausten havainnointijärjestelmää. Viestintäviraston uusi strategia asettaa tavoitteeksi viestintäverkkojen ja -palvelujen tietoturvallisuuden kehittämisen. hinnat ovat voimassa vuonna 2011 Suomeen tehtyihin tilauksiin. Tilaaja voi kieltää tietojensa käytön markkinointitarkoituksiin ja markkinatutkimuksiin ilmoittamalla asiasta tilaajapalveluun. ti etotu rva n ja t i e tos uoj a n e r i koi s l e ht i 4/2011 TieTosuoja 3. Asiantuntijamme ovat todenneet, että yleensä tietoturvaloukkausten kohteet tietävät asiasta viimeisinä. Nämä olivat todennäköisesti päällimmäisiä tuntemuksia ympäri Suomea, kun tuhansia suomalaisia koskettanut tietovuoto tuli ilmi marraskuisena viikonloppuna. määräaikaistilaus 52 euroa (kesto 12 kuukautta). Mutta myös tilaisuus on tehnyt varkaan. 16 000 tavallisen suomalaisen henkilötiedot oli läväytetty nettiin kaikkien saataville ja kat- seltaviksi. Tällaisia toimialoja ovat muun muassa energia-, elintarvike-, rahoitus- ja terveydenhuolto sekä tietoyhteiskuntaan kuuluvat toiminnat (tietoliikenne, tietotekniikka, elektroniikkateollisuus sekä sähköinen ja painettu joukkoviestintä). Seuraava numero ilmestyy 13.3.2012. Tilaajan tietoja käytetään asiakassuhteen ylläpitoon ja hoitoon. kestotilauksen voi irtisanoa ennen uuden tilausjakson alkua. Organisaatioiden suojaukset tietoturvauhkia vastaan ovat kirjavia ja monesti ilmeisen riittämättömiä. Tämän vuoden maaliskuussa yhdysvaltalainen tietoturvayhtiö RSA ilmoitti tietomurrosta yhtiön SecurID-tuotteiden turvallisuuteen, ja huhtikuussa puolestaan Sony PlayStation Network -käyttäjien luottokortti- ja henkilötietoja varastettiin. Viestintäviraston ympärivuorokautisesti päivystävä CERT-FI-yksikkö sai tiedon netissä leviteltävästä henkilötietolistasta, mistä käynnistyi heti laaja viranomaistoimien sarja. Tilaajapalvelu/Tietosuoja,pl 115, 30101 Forssa puhelin 03 4246 5301, Faksi 03 4246 5341 tilaajapalvelu@stellatum.fi www.stellatum.fi ilmoiTuSmarkkinoinTi ja -varaukSeT dS & m marketing oy, deeli kentala deeli.kentala@dsm.fi, puh. jos tilaaja irtisanoo kestotilauksensa tilausjakson alkamisen jälkeen, on hän velvollinen maksamaan irtisanomisen voimaantuloon saakka lähetetyt lehdet
palveluntarjoajan velvollisuudet 4 TieTosuoja 4/2011 t ietot urvan j a t ietosu oja n erikoisl ehti erina kim/Tongro image STock/corBiS/Skoy
Kokeilusta kerrotaan sivuilla 1011. on rekisTerinPiTäjällä viestintäviraston syksyiseen kyselyyn vastanneista yrityksistä yli puolet arvioi tietoturvariskinsä pieneksi. Tietoturvan ja tietosuojan raportointi antaa johdolle ajantasaisen kuvan siitä, miten organisaatio toteuttaa vastuutaan tietojen suojaamisesta. Vinkkejä turvalliseen verkkopalveluun annetaan sivuilla 1215. Yrityksen on pyynnöstä kerrottava asiakkaalle, mitä tietoja hänestä on tallennettu asiakasrekisteriin. ekisterinpitäjä vastaa asiakastiedoista, mutta van yrittäjän neuvonnassa vähälle huomiolle. Tietosuojan toimitus selvitti, miten asiakastietojen tarkastus sujuu käytännössä. Silloin kun verkkokaupan tietoturvallisuudesta ei ole huolehdittu asianmukaisesti, syynä on yleensä ollut tietämättömyys tai välinpitämättömyys. mahtaisiko tulos olla toisenlainen, jos kysely tehtäisiin nyt, loppuvuoden tietovuototapausten jälkeen? vastuu r tietosuoja- ja tietoturva-asiat jäävät aloittaMoni pienyrittäjä ei osaa edes kaivata opastusta, todetaan sivuilla 69. Raportoinnista kerrotaan sivuilla 1619. ti etotu rva n ja t i e tos uoj a n e r i koi s l e ht i 4/2011 TieTosuoja 5
palveluntarjoajan velvollisuudet " Pienyrittäjän motivaatio ei tahdo riittää tietosuoja-asioihin. 6 TieTosuoja 4/2011 t ietot urvan j a t ietosu oja n erikoisl ehti
Korteissa oli asiakkaan nimi ja puhelin"Koska kortisto oli perinteinen pahvikortisto, eikä asiassa ollut mitään epäselvyyksiä, en ottanut mitenkään selvää henkilötietoasioista", Vuorenmaa kertoo. Hän on ryhtynyt tekemään kortteihin muistiin- ti etotu rva n ja t i e tos uoj a n e r i koi s l e ht i 4/2011 TieTosuoja 7. Ammattitaitoinen kampaaja kyselee asiakkaalta tietoja hänen terveydentilastaan ennen permanentin tai kestovärjäyksen tekemistä. Ensimmäisen oman kampaamonsa hän avasi helmikuussa. Hän osti kampaamon eläkkeelle jääneeltä yrittäjältä. Kampaamoalalla on yleistä, että asiakastiedot ostetaan kaupan mukana. asiakkaiden tietosuoja jää kuitenkin uuden yrittäjän tietopaketeissa vähälle huomiolle, eikä moni pienyrittäjä edes osaa sitä kaivata. Teksti: Marianne Saine | Kuva: CJ Åhman "kukaan asiakas ei ole vielä kieltänyt tekemästä asiakaskorttia", sanoo tänä vuonna yrityksen perustanut kampaaja marika vuorenmaa. m numero. arika Vuorenmaa työskenteli vielä viime vuonna tuolinvuokraajana toisen kampaamossa. Kauppaan kuului myös asiakaskortisto. "Esimerkiksi sädehoito estää permanentin tekemisen kokonaan", Vuorenmaa sanoo. Uusyrittäjää ei neuvota tietosuojasta yrityksen perustaja joutuu setvimään monenmoista sääntöä ja pykälää ennen kuin ovet avataan ensimmäisille asiakkaille
omia vastuita ja velvollisuuksia ei välttämättä kuitenkaan tunneta. kyselyssä ilmeni, että yritykset etsivät tietoa tietoturvasta yleisimmin internetistä, tietoturvayrityksiltä tai muilta yhteistyökumppaneilta. joka viides vastaaja kertoi kohdanneensa työssään tilanteita, joissa olisi tarvinnut tietoturvatietoa, mutta sitä ei löytynyt. "Tietoturvaan ja yksityisyydensuojaan liittyvät lait on tiedostettu yrityksissä. lain tulkintaan kaivataan siis apua. lisää netissä: yrittäjän linkkivinkit www.tietosuoja-lehti.fi kuinka vakava tietoturvariski mielestäsi kohdistuu yrityksesi toimintaan tietoturva-asioissa tällä hetkellä? kaikki vastaajat, n=440 "Useimmat aloittavat yritykset ovat niin pieniä, ettei niillä ole isoja asiakasmääriä ja rekistereitä. vain neljä prosenttia piti riskiä suurena. Yritykset luottavat tietoturvaansa SuomalaiSet pk-yritykSet eivät koe tietoturvariskiään suureksi. "Tottakai, koska asia on eri yhteyksissä noussut esille. Yrittäjä ei motivoidu tietosuoja-asioihin", Tuominen sanoo. "Syksyiset tietovuototapaukset osoittavat, että yrityksissä on paljon tekemistä tietojen suojaamisen osaamisessa", sanoo viestintäviraston verkot ja turvallisuus -tulosalueen johtaja Timo Lehtimäki. kyselyyn vastasi 440 yritystä, jotka työllistävät 5100 työntekijää. viestintäviraston syksyiseen kyselyyn vastanneista yrityksistä 60 prosenttia arvioi tietoturvariskinsä olevan pieni. viestinvirasto teetti syys-lokakuussa 2011 Taloustutkimuksella kyselyn, jossa selvitettiin suomalaisten pienten ja keskisuurten yritysten tietoturvatietämystä. "Silloin tietosuoja-asiat otetaan toki esiin neuvonnassa. ti etotu rva n ja t i e tos uoj a n e r i koi s l e ht i 4/2011 TieTosuoja 9. Tarkistamme infomateriaalin ja pohdimme, missä määrin uusien yrittäjien tietämystä tietosuojaasioista voisi kehittää." Suuri 4 kohtalainen 28 pieni 60 ei osaa sanoa 0 8 10 20 30 40 50 60 70 80 90 100 viestintäviraston kyselyyn vastanneista yrityksistä 60 prosenttia arvioi tietoturvariskinsä olevan pieni. lisäksi kaivataan tietoa siitä, miten tietoturvaloukkauksen sattuessa toimitaan ja mistä saa apua", Timo lehtimäki kuvaa. lokakuussa käynnistettiin myös hanke, jolla pyritään parantamaan pk-yritysten tietoturvatietoisuutta. Tällaiset tilanteet ovat yleensä liittyneet uuden tuotteen valintaan, koettuun tietoturvauhkaan tai turvalliseen viestintään asiakkaan kanssa. Tietoturvallisuuden kokonaiskuvan ymmärtäminen ja osaamisen taso kuitenkin vaihtelee yrityksissä. Uusi yrittäjä ohjataan tietosuojavaltuutetun nettisivuille saamaan lisätietoja." Nyrki Tuominen lupaa, että tietosuoja-asiat otetaan yritysvalmennuksessa tarkempaan käsittelyyn. Liikeideaa pohdittaessa saatetaan silti huomata, että uuden yrityksen toiminnassa syntyy iso asiakasrekisteri. yritykset kaipaavat konkreettisia ohjeita ja valmiita ratkaisuja. mahdollisia uhkatilanteita ei aina tiedosteta. vain neljä prosenttia piti riskiä suurena
palveluntarjoajan velvollisuudet 12 TieTosuoja 4/2011 t ietot urvan j a t ietosu oja n erikoisl ehti
KPMG:n tietoturvallisuuspalveluista vastaava Mika Laaksonen kehot- taa verkkopalvelujen tarjoajia laittamaan perusasiat kuntoon. 4/2011 TieTosuoja 13. Vuoden alkupuoliskolla suomalaiset ostivat verkkokaupoista yli viidellä miljardilla eurolla, mikä on 15 prosenttia edellisvuotta enemmän. Kun verkkopalvelujen määrä vain kasvaa, kuinka huolehditaan siitä, että asiakastiedot eivät pääse vuotamaan ulkopuolisille. Samaan aikaan verkkokauppa jatkaa Suomessa tasais- ta kasvuaan. " Säännöllinen tietoturvatestaus kannattaa. kauPPias vasTaa verkkokaupan turvallisuudesta jotta tietovuotoja ei tapahtuisi, asiakastietojen turvallinen käsittely pitää huomioida jo verkkopalvelua suunniteltaessa. Teksti: Marjo Rautvuori | Kuvitus: Leena Kumpulainen v ti etotu rva n ja t i e tos uoj a n e r i koi s l e ht i erkkopalvelujen tietoturvallisuus on jälleen tapetilla, kun loppusyksystä kymmenien tuhansien suomalaisten asiakastietoja on päätynyt bittiavaruuteen kaikkien saataville
Sopiva menetelmä on aina kompromissi käytettävyyden ja tietoturvan välillä. Salasanan palautustoiminto pitääkö käyttäjän tietää muuta kuin sähköpostiosoitteensa. Eri toimialoilla on myös omia säädöksiään. Vaatimuksia voi silti soveltaa vapaaehtoisesti tällaisessakin tilanteessa. kuittaus ei saa perustua puhtaasti ostajan selaimen välittämään tietoon. Puutteita näkyy esimerkiksi suoramarkkinointisäännösten noudat- Verkkokauppias, tarkista nämä! VinkeikSi Verkkokaupan tekniseen toteutukseen ja sen tietoturvaan mika laaksonen antaa seuraavat asiat: Huomioi yleisimmät haavoittuvuudet oWaSp on tietoturvaa edistävä nettiyhteisö, joka on nimennyt verkkopalvelujen kymmenen yleisintä haavoittuvuutta (oWaSp Top 10). Vaatimukset koskevat kuitenkin vain osaa verkkokauppojen palvelimista, sillä kaikilla palvelimilla ei välttämättä toimii vaatimusten mukaisesti. Tekninen tietoturva voidaan ainakin pääosin kattaa luottokorttitietojen PCI-vaatimukset toteuttamalla. varmista, että sivuston toteutuksessa ja testauksessa on huomioitu nämä haavoittuvuudet. Rekisteröintitietojen välittäminen sähköpostilla Sähköpostikuittauksessa ei koskaan saa näkyä käyttäjän syöttämää salasanaa eikä muitakaan henkilötiedoiksi luokiteltavia tietoja. Toimiva palautusmenetelmä on itse asiassa varsin yksinkertainen: lähetetään salasana ennalta määrättyyn sähköpostiosoitteeseen ja pyydetään käyttäjää vaihtamaan se seuraavan kirjautumisen yhteydessä. Tällöin on huolehdittava siitä, ettei maksukuittausta pysty väärentämään. Niitä, joiden palvelimet ovat osittain tai kokonaan ulkoistettuja, Laaksonen suosittelee pyytämään varmennusraporttia (ISAE) luotetulta kolmannelta osapuolelta. palveluntarjoajan velvollisuudet "Verkkokauppojen kehittäjien, toteuttajien, ostajien ja tilaajien pitäisi alusta alkaen tiedostaa tietoturva-asioiden tärkeys ja niihin mahdollisesti liittyvät ongelmat." " Tietoturvaongelmat johtuvat usein tietämättömyydestä tai välinpitämättömyydestä. käsitellä luottokorttitietoja. Laaksosen mukaan verkkopalvelujen Tietosuoja tunnetaan huonosti Laaksosen mukaan verkkokauppiaat jättävät usein myös tietosuojan vaatimukset huomioimatta. on myös oltava tarkkana, jos palvelussa käytetään ulkopuolelta linkattua materiaalia, kuten kuvia. https://www.owasp.org > Top Ten Salaa liikenne koko sivuston käyttö tulisi salata, eli https-salauksen pitäisi olla pakotettuna alusta asti, eikä vain kirjautumis- ja maksamisvaiheissa. Laaksosen mukaan verkkokaupan tietoturvan tilasta saa parhaiten tietoa säännöllisellä tietoturvatestauksella. Sillä voidaan varmistaa, että palvelun tuottaja suurimmat tietoturvaongelmat liittyvät hyvin tiedossa oleviin teknisiin ongelmiin, kuten syötteentarkastuksen tai sessionhallinnan puutteellisuuteen. Linkki verkkomaksupalveluun usein kauppiaat käyttävät ulkopuolisia maksupalveluita. pystytäänkö ne tarjoamaan https:n yli vai pitäisikö ne siirtää omalle palvelimelle? 14 TieTosuoja 4/2011 t ietot urvan j a t ietosu oja n erikoisl ehti. "Iso kysymys on tietysti se, mitkä ovat todellisuudessa pienen verkkokaupan taloudelliset ja muut resurssit huomioida kaikki edellä oleva." yleisimmät haavoittuvuudet tiedossa Silloin kun verkkokaupan tietoturvallisuudesta ei ole huolehdittu asianmukaisesti, syynä on yleensä ollut tietämättömyys tai välinpitämättömyys. joidenkin sivustojen vaatimat turvakysymykset vaikuttavat turhilta. maksupalvelun ja kauppiaan palvelun välille tarvitaan erillinen tarkistusyhteys
Oikeusministeriön mukaan vireillä ei tältä osin ole lain uudistamiseen tähtääviä hankkeita. Finnair vannoo PCI:n nimiin SuomalaiSet oStaVat verkosta eniten matkailuun ja liikenteeseen liittyviä tuotteita ja palveluja. verkkokauppamme toimittaja on pci-sertifioitu, eli sen toiminta on luottokorttiyhtiöiden pci-dSS-standardin vaatimusten mukaista", Finnairista kerrotaan. yrityksen verkkoasiantuntijat pitävät turvallisuuden varmistamista verkkokaupan tärkeimpänä asiana. Finnairissa seurataan maailman tietoturvatilannetta jatkuvasti ja tiiviisti. Ilmoittamatta jättäminen saattaa tosin vaikuttaa palveluntarjoajan vastuuseen aiheutuneista vahingoista. EU:ssa valmistellaan parhaillaan henkilötietodirektiivin uudistamista. Ongelmana on heikko tietämys verkkopalvelun tarjoajan lakisääteisistä velvoitteista. kysymykseen, onko verkkokauppa-alan tietoturvatilanne muuttunut vuosien varrella, Finnairin asiantuntijat vastaavat näin: "uusia uhkia tulee jatkuvasti, ja niitä on vaikea ennalta arvata. Marraskuisen tietovuodon yhteydessä Viestintävirastossa toimiva kansallinen tietoturvaviranomainen CERT-FI huomautti, ettei palveluntarjoajilla ole nimenomaista velvollisuutta ilmoittaa vuodosta asiakkailleen. Komissio on ilmoittanut selvittävänsä, voitaisiinko henkilötietojen suojaa koskevissa loukkauksissa ottaa käyttöön yleinen ilmoitusvelvollisuus. mahdollisia uhkia voidaan kuitenkin tunnistaa ja poistaa, ja siihen käytetään resursseja." tamisessa ja henkilötietojen keräämisessä. Lait jätetään huomiotta varsinkin rajat ylittävässä kaupassa, jossa tosin haastetta tuo tietosuojan ja siihen liittyvien vaatimusten vaihteleva taso eri maailmankolkissa. riittääkö lainsäädäntö? Verkkokaupoissa sovelletaan henkilötietolain säännöksiä henkilötietojen käsittelystä ja rekisterinpitäjän velvollisuuksista, kuten velvollisuudesta huolehtia tietojen suojaamisesta. aiheesTa enemmän Cert-Fi:n ohje 1/2011 turvallisesta verkkopalvelusta: www.cert.fi > ohjeet > 2011 ti etotu rva n ja t i e tos uoj a n e r i koi s l e ht i 4/2011 TieTosuoja 15. "Tähän liittyy sekin, että Suomessa ei tietovuodon sattuessa ole pakollista informoida asiasta niitä tahoja, joiden tietoja on vuodettu." Tietosuojavaltuutetun toimiston tietoon ei ole tullut, että henkilötietolain soveltamisessa verkkokauppaan olisi noussut esiin ongelmia. Finnairin verkkokauppa on toiminut vuodesta 1998. Tietokantoihin murtautumista ja tietojen vuotamista nettiin ei pelätä, koska pci-sertifioituun toimittajaan luotetaan. pyrimme tunnistamaan ja poistamaan mahdollisia uhkia. "verkkokaupan tilannetta seurataan, ja käytössä ovat kattavat suojausjärjestemät. Oikeusministeri Anna-Maja Henriksson ei kommentoinut Tietosuojalle tietosuojaloukkausten ilmoitusvelvollisuuden mahdollista laajentamista kaikkiin palveluntarjoajiin. Verkkokauppojen suurimpina yksittäisinä tietosuojaongelmina Laaksonen pitää evästeiden käyttöä ja siitä tiedottamista sekä henkilötietojen keräämisen ja käsittelyn valvonnan ja sanktioiden vaikeutta ja puutetta
Johdon tarvitsema tilannekuva voidaan tuottaa tietoturva- ja tietosuojaraportoinnilla. Sitä voi lisäksi terävöittää asettamalla tietosuojalle ja tietoturvalle raportoitavia tavoitteita. Tietojen käsittelyä tarkastetaan yhä enemmän Valtiontalouden tarkastusviraston (VTV) tarkastustoiminnan tavoitteena on vastuullistaa hallitusta ja hallintoa hyvään tuloksellisuuteen sekä toimimaan lain ja hyvän hallinnon periaatteiden mukaisesti. VTV kohdentaa tarkastustoimintaansa riskianalyysin perusteella. Viraston johdolla on oltava riittävä kuva tietojen käsittelystä, jotta se pystyy teen sekä oikeiden ja riittävien tietojen tuottamiseen johtamista ja ohjausta varten. T tekemään tietoa ja tiedon käsittelyä koskevia päätöksiä. Arvioinnin perusteella viraston päällikkö antaa lausuman sisäisen valvonnan tilasta ja olennaisimmista kehittämistarpeista. Tilivelvollisuuden vaatimus ja ulkoisen tarkastuksen vastuullistavuus ulottuvat myös tiedon käsittelyyn, tietohallintoon, tietoturvallisuuden ja tietosuojan järjestelyihin ja ohjaukseen sekä riskienhallintaan. Johto tarvitsee tilannekuvaa myös raportoidakseen tilinpäätöksessä ja toimintakertomuksessa sisäisestä valvonnasta, riskien hallinnasta, toiminnan laillisuudesta sekä laadusta. Tiedon käsittelyn näkökulmasta keskeiset sisäisen valvonnan toimenpiteet liittyvät tietojen käsittelyn laillisuuiedon merkitys viranomaisten voimavarana ja sen käsittelyyn liittyvät velvoitteet ovat lisääntyneet. Arviointi- ja vahvistuslausuma konkretisoi johdon vastuuta sisäisen valvonnan ja riskienhallinnan järjestämisestä. Koska tiedon merkitys on kasvanut hallinnossa, myös tarkastustoimintaa suunnataan entistä enemmän tietojen käsittelyyn. palveluntarjoajan velvollisuudet raportointi auttaa noudattamaan lakia Tietoturvan ja tietosuojan raportointi antaa johdolle ajantasaisen kuvan siitä, miten organisaatio toteuttaa vastuutaan sisäisestä valvonnasta ja toiminnan lainmukaisuudesta. Teksti: Jaakko Hamunen Toimintakertomus käsittää arvioinnin sisäisen valvonnan ja siihen sisältyvän riskienhallinnan asianmukaisuudesta ja riittävyydestä. Tarkastusvirasto tarkastaa ja valvoo valtion talouden- virastojen raportoitava sisäisestä valvonnasta Viraston ja laitoksen johdon tulee allekirjoittaa vuosittain tilinpäätös ja siihen kuuluva toimintakertomus. 16 TieTosuoja 4/2011 t ietot urvan j a t ietosu oja n erikoisl ehti
Tarkastuksissa on kiinnitetty huomiota hankkeiden tuloksellisuuteen sekä lain noudattamisen ja hyvän hallinnon periaatteiden toteutumiseen. Sisäinen valvonta vTv:ssä VTV pyrkii luomaan omasta toiminnastaan riittävän kuvan päätöksentekoaan varten, osoittamaan toimintaansa kohdistuvien laillisuusvaatimusten toteutumisen sekä sisäisen valvonnan ja riskien hallinnan riittävyyden myös tietosuojan ja tietoturvallisuuden osalta. Asetuksen myötä tietoturvallisuuden arviointi ja raportointi on perusteltua sisällyttää yhdeksi merkittäväksi osaksi viraston sisäistä valvontaa ja riskienhallintaa ja siitä annettavaa johdon arviointi- ja vahvistuslausumaa. Tarkastusviraston johdolle raportoidaan tiedon käsittelyyn liittyvien tulos- ja laatutavoitteiden toteutumisesta sekä tietosuojasta ja tietoturvasta osana yksiköiden raportointia ja erillisillä tietoturvaraporteilla. Laadukas lainsäädäntö on yksi VTV:n ulkoisen tarkastuksen pysyvistä tarkastusalueista, ja virasto onkin kiinnittänyt huomiota tietojenkäsittelyä koskevan lainvalmistelun laatuun ja lainsäädännön ongelmakohtiin. vTv vTv:lla laaja tiedonsaantioikeus VTV:lla on perustuslaissa säädetty oikeus saada viranomaisilta ja muilta valvontansa kohteina olevilta kaikki tehtävänsä hoitamiseksi tarvitsemansa tiedot. Tiedonsaantioikeus ulottuu myös salassa pidettäviin tietoihin. Valtionhallintoa velvoittaa valtioneuvoston asetus tietoturvallisuudesta, joka tuli voimaan lokakuussa 2010. Valtionhallinnon kanssa tapahtuvan tiedonvaihdon turvaamiseksi ja yhdenmukaistamiseksi VTV:ssä on annettu vastaavat menettelyt sisältävä oma määräys tietoturvallisuudesta. Tietoturvallisuus osaksi riskienhallintaa VTV:n suorittamassa tilintarkastuksessa arvioidaan muun muassa viraston toimintakertomusta ja sisäisen valvonnan menettelyjä. Sillä on osaltaan haluttu myös varmistua, että virasto on kyennyt raportoimaan oikeat ja riittävät tiedot taloudesta ja toiminnasta. VTV:n tekemissä tietojärjestelmätarkastuksissa tietoturvallisuus on ollut merkittävässä roolissa. VTV:n on siten pystyttävä käsittelemään vastaanottamiaan tietoja yhtä turvallisesti kuin tietojen luovuttamiseen velvolliset virastot. valtiontalouden tarkastusviraston tietosuojan ja tietoturvallisuuden raportointi. hoidon näkökulmasta perus- ja ihmisoikeuksien toteutumista. Tietoturvallisuuteen ja tietosuojaan liittyviä tulosja laatutavoitteita mittareineen on asetettu muun muassa kirjaamo- ja arkistotoimelle, vakavien tieto- ti etotu rva n ja t i e tos uoj a n e r i koi s l e ht i 4/2011 TieTosuoja 17. VTV ei eduskunnan virastona kuulu valtionhallinnon tietoturvallisuusasetuksen soveltamisalaan. Tuloksellisuustarkastuksen kohteena on ollut tietoyhteiskuntahankkeita sekä suuria tietojärjestelmähankkeita
" Tietoturvaraportoinnin tulisi olla osa sisäistä valvontaa ja riskienhallintaa. turvapoikkeamien lukumäärälle, tietoturvallisuuden kehittämiselle, tietojärjestelmien käytettävyydelle ja kehittämiselle sekä kirjasto- ja tietopalveluille. Ulkopuolisille palveluntuottajille on asetettu raportointivelvoitteita tietoturvaan liittyen. Tietoturvaraportti kahdesti vuodessa VTV:n johto saa kaksi kertaa vuodessa käsiteltäväkseen erillisen tietoturvallisuusraportin. Osana sisäisen valvonnan ja riskienhallinnan raportointiaan yksiköt raportoivat johdolle myös merkittävistä tietosuoja- ja tietoturva-asioista. Kirjaamo- ja arkistotoimen tavoitteet on johdettu lainsäädännön velvoitteista koskien asiakirjojen säilyttämistä sekä asiakirjapyyntöjen käsittelyä. perustuslain lisäksi hyvästä hallinnosta säädetään hallintolaissa (434/2003). Tulos- ja laatutavoitteiden toteutumista seurataan kuukausittain ja niistä raportoidaan johdolle vähintään kerran vuodessa. palveluntarjoajan velvollisuudet lisää netissä: Tietosuojavaltuutettu reijo aarnion mietteitä tulevasta uudesta henkilötietodirektiivistä, joka lisää palveluntarjoajan velvoitteita. Lausumassa käsitellään myös tietoturvallisuusriskien hallinnan asianmukaisuutta ja riittävyyttä sekä kehittämistarpeita. VTV:n johtoryhmä käsittelee toisen raportin sisäisen valvonnan arviointi- ja vahvistuslausuman yhteydessä helmikuussa. arkistolaissa arkistoinnin edellytetään tukevan arkistonmuodostajan tehtäviä, oikeutta saada tietoja julkisista asiakirjoista, oikeusturvan ja tietosuojan huomioimista sekä toimivan tutkimuksen tiedon lähteenä. niiden hallintatoimenpiteet, tehdyt ja tulevat kehittämistoimenpiteet sisältäen riskiarviointien tai ulkoisten vTv Raporteissa käsitellään tietoturvapoikkeamat ja 18 TieTosuoja 4/2011 t ietot urvan j a t ietosu oja n erikoisl ehti. VTV:n henkilöstö ja yksiköt ilmoittavat havaitsemistaan tietoturva- ja tietosuojapoikkeamista esimiehelle ja tietoturvapäällikölle. laissa edellytetään, että rekisterinpitäjä noudattaa hyvää tietojenkäsittelytapaa ja toteuttaa tarpeelliset tekniset ja organisatoriset toimet henkilötietojen suojaamiseksi. Vakavista poikkeamista raportoidaan viraston johdolle välittömästi. auditointien tuloksena esitettävät uudet kehittämistoimenpiteet, muutokset tietoturvatasossa, tietoturvakoulutus sekä tietoturvatoiminnan resurssien käyttö. henkilötietolaissa säädetään henkilötietojen käsittelyn yleisistä periaatteista ja rekisteröidyn oikeuksista. Tietoturvallisuusasetuksessa määritellään tietoturvallisuuden perustaso ja siihen liittyen velvollisuus kartoittaa tietoturvariskit. kirjoiTTaja Jaakko Hamunen on valtiontalouden tarkastusviraston tietojohtaja. julkisuuslain mukaan viranomaisen tulee huolehtia asiakirjojen ja tietojärjestelmiin sisältyvien tietojen saatavuudesta, käytettävyydestä ja suojaamisesta sekä eheydestä hyvän tiedonhallintatavan toteuttamiseksi. Lisäksi johdolle odotetaan raportoitavaksi tietosuoja- ja tietoturvaosaamisesta ja sen kehittämistarpeista. www.tietosuoja-lehti.fi Lainsäädäntö ohjaa toimimaan tietoturvallisesti erityiSeSti tietoon liittyVät viraston toiminnan laillisuusvaatimukset lähtevät perustuslaissa (731/1999) säädetyistä perusoikeuksista ja lainalaisuusperiaatteesta. Tällä hetkellä raportoinnin keskeisimmät haasteet liittyvät tietoturva- ja tietosuojapoikkeamien riittävään tunnistamiseen ja läpinäkyvyyteen. yksityiskohtaisempia velvoitteita tiedon käsittelyyn on muun muassa henkilötietolaissa (523/1999), arkistolaissa (831/1994) ja julkisuuslaissa (621/1999) sekä sen nojalla annetussa valtioneuvoston asetuksessa tietoturvallisuudesta (681/2010)
moni muu asia odottaa lisäselvityksiä. Teksti: Päivi Männikkö | Kuvitus: Shutterstock 4/2011 TieTosuoja 19 i nternetin yhteisöpalvelu Facebook työllistää eurooppalaisia tietosuojaviranomaisia. Facebookin Euroopan-yhtiön toimis- to on Irlannissa, joten Irlannin tietosuojaviranomaisen tehtävänä on arvioida, käsitteleekö Facebook eurooppalaisten käyttäjiensä henkilötietoja EU:n lainsäädännön mukaisesti. ti etotu rva n ja t i e tos uoj a n e r i koi s l e ht i. kysymyksiä enemmän kuin vastauksia pohjoismaiden tietosuojaviranomaisten ja yhteisöpalvelu Facebookin neuvonpidossa selvisi, että Facebook katsoo kuuluvansa henkilötietodirektiivin soveltamisalaan
Tarkennuksia saataneen viimeistään Irlannin tietosuojaviranomaisen tarkastuksessa. Mitä Pohjoismaat halusivat tietää? Viranomaiset kysyivät, katsooko Facebook toimintansa kuuluvan EU:n henkilötietodirektiivin piiriin. Pohjoismaat halusivat myös selvyyttä siihen, missä määrin käyttäjä voi vaikuttaa yksityisyysasetuksiin. Mitkä seikat käyttäjien oikeuksissa vaativat tarkennuksia? Miten käyttäjien henkilötietoja käsitellään ja yksityisyysasetuksia muutetaan. Viranomaisia kiinnosti, mitä tietoja yhtiö kerää heistä. Pohjoismaiden tietosuojaviranomaiset puolestaan ovat selvittäneet Facebookin tietosuojakäytäntöjä. Yhtiöltä kysyttiin myös, mitä käyttäjien antamia henkilötietoja se käyttää Mitkä asiat jäivät epäselviksi? Käyttäjien roolissa ja oikeuksissa on vielä tarkennettavaa, samoin kolmansien osapuolten asemassa. He esittivät Facebookille lisäkysymyksiä, joihin yhtiö vastasi syyskuussa. tolakia ja kuuluu siten Irlannin tietosuojavaltuutetun lainvalvonnan piiriin. Tykkää-, etsi kavereita- ja kasvojentunnistussovellusten kautta Facebook saa myös ei-jäsenten ja kirjautumattomien jäsenten henkilötietoja. Sen sijaan useat muut vastaukset jättivät tarkentamisen varaa. Ennen kaikkea: kerrotaanko käyttäjille tietosuojakäytännöistä riittävän selvästi ja pyydetäänkö heiltä suostumusta. Toisaalta käyttäjät myös tuottavat itse tietoja, ja käyttäjien roolin monimuotoisuus mutkistaa tietosuojakäytäntöjen arviointia. Mitä vastauksista selvisi? Yhtiö totesi, että se soveltaa eurooppalaista henkilötietodirektiiviä ja Irlannin henkilötie- 20 TieTosuoja 4/2011 t ietot urvan j a t ietosu oja n erikoisl ehti. Teknisen alustan toimintaa ja paikkatietojen käsittelyä on myös selvitettävä lisää. " Käyttäjien oikeuksissa on vielä tarkennettavaa. itse ja mitä se luovuttaa esimerkiksi sovellusten tarjoajille ja mainostajille