Jari Karttunen kirjoitti Liitos-lehden numeroon 3/2021 tietoturvasta ja tietosuojasta. Tämä teksti on Karttusen kirjoittama päivitys vuonna 2021 painetussa lehdessä julkaistuun juttuun. Alkuperäinen teksti Tietosuoja haltuun! löytyy tämän jutun lopusta.
Jälleen on uutisoitu tietomurroista, joissa on anastettu henkilötietoja. Myös sosiaalisen median alustojen käyttöliittymien ehdot puhututtavat. Tietosuojan perusperiaatteet GDPR:n (General Data Protection Regulation eli yleinen tietosuoja-asetus) suhteen kannattaa jälleen palauttaa mieleen ja pyytää omien henkilötietojen poistamista sellaisista palveluista, joita et enää käytä tai tarvitse. Muun muassa verkkokaupat keräävät henkilötietoja rekistereihin.
Laitteiden kuten matkapuhelinten ja tietokoneiden tietoturvasta on ensiarvoisen tärkeää pitää huolta. Tietoturva on kehittynyt ja se voi tarkoittaa uusien toimintatapojen oppimista ja vanhoista poisoppimista. Käyttäjätunnuksen ja 12 merkin salasanan yhdistelmä on tietoturvan kannalta näyttäytynyt valitettavan heikkona yhdistelmänä: palveluihin murtautuminen on yleistynyt ja esimerkiksi sosiaalisen median tilejä on kaapattu rikolliseen käyttöön.
…palveluihin murtautuminen on yleistynyt ja esimerkiksi sosiaalisen median tilejä on kaapattu rikolliseen käyttöön.
Tietoturvan kannalta on onneksi saatavilla myös vahvempia tapoja. Pankit käyttävät niin kutsuttua vahvaa tunnistautumista, jolloin suojaus on jo parempi. Vahvaa tunnistautumista ovat myös mobiilivarmenteet, jotka kannattaa ottaa käyttöön mikäli sellainen mahdollisuus on tarjolla. Vahva kaksivaiheinen tunnistautuminen on mahdollista saada esimerkiksi sähköposti- ja pilvipalveluihin kirjautumiseen.
Monissa älypuhelimissa on mahdollisuus tehdä salasanaton kirjautuminen. Tämä tarkoittaa biometristä tunnistautumista, jossa salasanan asemesta käytetään sormenjälkeä tai kasvojen tunnistamista. Biometriset tunnisteet lisääntyvät myös monissa palveluissa. Vahvemman tietoturvan saat kun käytät sekä vahvaa että biometristä tunnistautumista.
Kun tietoturva on kunnossa on aika keskittyä tietosuojaan. Älylaitteet sisältävät runsaasti tietosuojan piiriin kuuluvaa tietoa. Siksi on ensiarvoisen tärkeää muistaa ainakin kaksi ennakoivaa toimenpidettä: Pidä käyttäjätunnuksen ja salasanan yhdistelmät eri paikassa kuin itse laite, esimerkiksi vahvan ja biometrisen tunnistautumisen takana. Laitteille on saatavissa myös salasanan hallintaohjelmia, joissa käyttäjän tulee muistaa yksi pääsalasana, jonka kautta pääset tallennettuihin, usein koneälyn luomiin salasanoihin.
Tallenna älylaitteellesi mahdollisimman vähän tietosuojan piiriin kuuluvaa tietoa.
Tallenna älylaitteellesi mahdollisimman vähän tietosuojan piiriin kuuluvaa tietoa. Käytä tallennuksessa Euroopan unionin alueella kotipaikkaa pitävää pilvipalvelua. Jos laitteesi kuitenkin katoaa, varastetaan tai se tuhoutuu, on vahvan tunnistautumisen takana oleviin tietoihin pilvipalvelussa mahdollista päästä jälleen käsiksi toiselta laitteelta. Euroopan tietosuojaneuvosto julkaisi helmikuussa 2023 ohjeet tiedonsiirtoon ja sosiaalisen median käyttöliittymiin. Tästä ja muista tietosuojaan liittyvistä asioista saat ajantasaista tietoa tietosuojavaltuutetun toimiston verkkosivuilta: https://tietosuoja.fi/etusivu
Tietosuoja haltuun! (julkaistu painetun Liitos-lehden numerossa 3/21)
Missä kaikkialla sinulla on tietoja muista henkilöistä? Tällaisia tietoja ovat esimerkiksi henkilön nimi, kotiosoite, sähköpostiosoite, puhelinnumero, henkilötunnus, auton rekisterinumero, matkapuhelimen paikannustiedot, IP-osoite tai valokuvat. Nämä ovat tietosuojaan liittyviä tietoja, joiden tallentamista, säilyttämistä ja käsittelyä säätelevät tietosuoja-asetus ja tietosuojalaki. Tässä artikkelissa kerron ensin tietosuojaan liittyvästä lainsäädännöstä sekä sen tarkoituksesta. Lopuksi esittelen muistilistan, jolla otat ennakoivan tietoturvan haltuusi.
Tietosuoja henkilötiedoille
Tietosuojalainsäädäntö perustuu Euroopan unionin yleiseen tietosuoja-asetukseen 2016/679, josta käytetään yleisesti lyhennettä GDPR eli General Data Protection Regulation. Tietosuojan kansallista soveltamista täydentää ja täsmentää Tietosuojalaki 1050/2018. Laissa säädetään muun muassa tietosuoja-asioita valvovan viranomaisen nimittämisestä ja organisaatiosta sekä sen toimintavaltuuksista. Tietosuojavaltuutetun toimisto on kansallinen valvontaviranomainen, jonka tehtävänä on turvata henkilötietojen käsittelyyn liittyviä oikeuksia ja vapauksia henkilötietojen käsittelyssä. Se myös valvoo tietosuojalainsäädännön noudattamista. Erityisiä (arkaluonteisia) henkilötietoja ovat esimerkiksi terveyteen liittyvät tiedot, poliittiset mielipiteet ja ammattiliiton jäsenyys. Arkaluontoiset tiedot on suojattava erityisen hyvin ja henkilöllä tulee olla pääsy omiin tietoihinsa. Lapsen tiedot ja niiden kerääminen ovat erityisen suojeltuja koskien lasten rekisteröimistä internetpalveluihin ja niiden käytön yhteydessä. Tällä pyritään rajaamaan tietojen keräämistä esimerkiksi lapsille suunnattuihin palveluihin ja heihin kohdistuvaan suoramarkkinointiin.
Rekisterinpitäjä ja tietojen käsittely
On ensiarvoisen tärkeää tunnistaa henkilötietoa sisältävät rekisterit. Sellainen voi syntyä kenelle tahansa vaikkapa paperi- ja sähköisistä arkistoista. Rekisterinpitäjä on ihminen tai organisaatio, joka määrittelee, mihin tarkoitukseen tietoja kerätään ja millä tavalla niitä käsitellään. Rekisterinpitäjä voi olla myös työryhmä tai yhdistys. Tietojen käsittelyn on oltava lainmukaista ja läpinäkyvää. Henkilöltä tulee pyytää vain välttämättömät tiedot sekä kertoa niiden säilytysaika. Tietosuojavaltuutettu on ohjeistanut, että rekisterinpitäjän on arvioitava henkilötietojen säilytysaikaa ja tarpeellisuutta kysymyksessä olevaa käyttötarkoitusta vasten. Tietoja saa säilyttää vain niin kauan, kun ne ovat tarpeen henkilötietojen käyttötarkoituksen kannalta. Lisäksi asetus velvoittaa tietojen käsittelyssä turvallisuuteen ja luottamuksellisuuteen.
Henkilöltä tulee pyytää vain välttämättömät tiedot sekä kertoa niiden säilytysaika.
Tietoturva tulee varmistaa siten, että tietosuojan piiriin kuuluvat tiedot tulee suojata esimerkiksi tietoturvallisuusasiantuntijoiden toimesta. Tietoihin tulee olla rajattu pääsy vain nimetyillä henkilöillä. Lokitiedot tulee kerätä niiltä, jotka pääsevät lukemaan tietoja. Jos tietoturvaloukkaus tapahtuu, on rekisterinpitäjän selvitettävä ja raportoitava siitä.
Jokaisella henkilöllä on oikeus tietää mitä henkilötietoja rekisterinpitäjällä on hänestä sekä oikeus tietää miten ja mihin tarkoitukseen henkilötietoja käsitellään. Edelleen hänellä on oikeus pyytää virheellisten, epätarkkojen ja puutteellisten henkilötietojen korjaamista tai poistamista sekä oikeus tulla unohdetuksi eli poistetuksi rekisteristä. Hänellä on myös oikeus vastustaa ja rajoittaa henkilötietojen käsittelyä sekä pyytää tietojen siirtoa säilytettäväksi toiselle organisaatiolle.
Tietoturvaloukkaukset
Henkilötietojen tietoturvaloukkaus on tapahtuma, jonka seurauksena henkilötietoja tuhoutuu, häviää, muuttuu, henkilötietoja luovutetaan luvattomasti tai niihin pääsee käsiksi taho, jolla ei ole käsittelyoikeutta. Tällaisia tietoturvaloukkauksia voivat olla esimerkiksi hävinnyt tiedonsiirtoväline (USB-tikku tai muu sellainen), varastettu tietokone, hakkerointi tai vaikkapa haittaohjelmatartunta, kyberhyökkäys, tulipalo datakeskuksessa tai tiliotteen postitus väärälle henkilölle. Tietoturvaloukkauksesta voi olla seurauksena esimerkiksi henkilötietojen valvomiskyvyn menettäminen, identiteettivarkaus tai petos, maineen vahingoittuminen tai anonymisoitujen tai salassapitovelvollisuuden alaisten henkilötietojen paljastuminen. Henkilötietoja kysyvät myös apurahatahot, jolloin niitä koskevat GDPR-lainsäädännön velvoitteet ilmoittaa mihin tietoja käytetään ja kuinka pitkään niitä säilytetään sekä kertoa mahdollisuudesta perua tiedot tai tulla unohdetuksi.
Tietoturvaloukkauksesta voi olla seurauksena esimerkiksi henkilötietojen valvomiskyvyn menettäminen, identiteettivarkaus tai petos, maineen vahingoittuminen tai anonymisoitujen tai salassapitovelvollisuuden alaisten henkilötietojen paljastuminen.
Suomessa tapahtui vuonna 2020 kansainvälisestikin poikkeuksellinen tietomurto, kun Psykoterapiakeskus Vastaamoon kohdistui tietoturvaloukkaus, jossa sen 33 000 asiakkaan henkilö- ja potilastiedot varastettiin ja ainakin osittain julkaistiin Tor-verkossa. Tämän jälkeen asiakkaat saivat kiristyskirjeitä, joissa vaadittiin maksamaan erinäisiä summia, jotta tietoja ei julkaistaisi. Tietomurron uhrien tietoja vuodettiin avoimen verkon puolelle elokuussa 2021. Keskusrikospolisi tutkii tietomurtoa ja Vastaamon tietoturvan riittävyyttä puolestaan tietosuojavaltuutettu. Tietomurron tekijää tai tekijöitä ei ole saatu kiinni. Tietomurto ja kiristys ovat aiheuttaneet uhreille paljon harmia, ahdistusta ja turvattomuuden tunnetta.
Työryhmät, apurahat ja henkilötietojen kerääminen
Tanssi- ja sirkusalalla tehdään töitä moniammatillisissa työryhmissä, joille haetaan usein apurahoja. Tätä tarkoitusta varten kootaan usein henkilöiden ansioluetteloita, jotka saattavat sisältää henkilön nimen, kotiosoitteen, sähköpostiosoitteen, valokuvan ja puhelinnumeron. Kun tällaisia tietoja kerätään, tulee niiden kerääjän toimia GDPR:n mukaisesti ja pyytää tietojen käsittelyyn suostumus sekä antaa myös mahdollisuus perua se. On myös ensiarvoisen tärkeää harkita etukäteen mitä tietoja työryhmän henkilöltä pyydetään eli tietojen välttämättömyys sekä ilmoittaa tietojen säilytysaika. Asetus velvoittaa tietojen kerääjää turvallisuuteen ja luottamuksellisuuteen tietojen käsittelyssä. Työryhmän jäseniltä pyydetään suostumus erikseen kutakin projektia, apurahaa ja tarkoitusta varten.
Asetus velvoittaa tietojen kerääjää turvallisuuteen ja luottamuksellisuuteen tietojen käsittelyssä.
Tietojen kerääjä on rekisterinpitäjä, jonka on varmistuttava siitä, että tallennetut tiedot ovat tietoturvallisesti tallennettuna ja ne ovat yhdessä paikassa. Turvallisuutta lisää usean salasanan takana olevat tiedostot. Mikäli tietoja on tallennettu esimerkiksi USB-tikulle, tulee se varastoida lukolliseen paikkaan. Tämä koskee myös valokuvia ja videoita esityksistä tai harjoituksista. Valokuvat ja videot ovat niin kutsuttuja suoria tunnisteita, joiden avulla henkilö voidaan suoraan tunnistaa. Kaikkien tietojen siirto ja katselu on tärkeä tehdä suojatussa verkkoyhteydessä, jolloin suojaus vähentää riskiä tietojen kaappaamisesta. Tietojen tallentaminen matkapuhelimen tai kannettavan tietokoneen omaan muistikorttiin on aina riski, varsinkin jos kuljetat laitteita mukanasi yleisillä paikoilla tai käytät julkisia wifi-verkkoja, koska tällöin tieturvaloukkauksen tai laitteen varastamisen vaara lisääntyy merkittävästi.
Tietojen tallentaminen matkapuhelimen tai kannettavan tietokoneen omaan muistikorttiin on aina riski,…
Toiminta, jossa huomioidaan tietoturva-asetus sekä kerättävien tietojen lainmukainen ja läpinäkyvä käsittely vaatii suunnitelmallisuutta, ennakointia ja tarkkuutta. Se on myös tietoisuutta siitä ikävästä mahdollisuudesta, että kaikesta huolellisuudesta huolimatta kerätyt tiedot voivat joutua tietomurron kohteeksi. Vastaamon tapaus toi esille yrityksen laiminlyöntejä tietoturvassa. Samalla se lisäsi keskustelua siitä mitä tietoja on kulloinkin tarpeellista kerätä ja kuinka tarpeellista on käyttää henkilötunnusta sähköisiin järjestelmiin tunnistautumisessa.
Ennakoiva tietosuoja haltuun!
Suojauksen tarkoitus on haavoittuvuuksien ja tietoturvaloukkauksien estäminen, havaitseminen ja niihin reagoinnin mahdollistaminen. Päivitä käyttämiesi tietoteknisten laitteiden tietoturva ja virustorjunta aina viimeisimpään versioon ja vaihda käyttämiesi laitteiden salasanat säännöllisesti. Suosi vahvoja salasanoja eli vähintään 12 merkkiä sisältäen suuria ja pieniä kirjaimia, numeroita sekä erikoismerkkejä. Kun käytät sähköistä tallentamista, suosi vahvan tietoturvan ja tunnistautumisen pilvipalveluita, joiden kotipaikka on Euroopan unionin (EU) alueella.
Huomioi, että maksuttomat palvelut saattavat louhia tietojasi ja palvelunkäyttöäsi,…
Käyttäessäsi sähköpostia, sosiaalista mediaa ja pikaviestisovelluksia, käytä EU:n alueella kotipaikkaa pitävää palvelua, jolloin sen toiminta on GDPR-lainsäädännön piirissä. Huomioi, että maksuttomat palvelut saattavat louhia tietojasi ja palvelunkäyttöäsi, ulottaen louhintansa siirtämiisi tietoihin, IP-osoitteisiin tai kirjoittamaasi tekstiin. Kun valitset palveluntarjoajaa, lue käyttöehdot sekä kuinka ja missä laajuudessa palvelu hyödyntää ja käyttää sinusta saatavia tietoja.
Muistilista työryhmille
– Kun käytät ja säilytät tietoja henkilöistä: suojaa tietoihin pääsy sivullisilta, olipa kyse sähköisestä, paperisesta tai kuvamateriaalista.
– Pidä henkilötietoja sisältävät paperiarkistot ja muistitikut (ja muut vastaavat) lukitussa tilassa.
– Kun keräät esimerkiksi työryhmässä toimivien henkilötietoja, suunnittele mitä tietoja tarvitaan, kuinka tiedot toimitetaan sekä kuka on rekisterinpitäjä ja kuinka tiedot tallennetaan ja säilytetään tietoturvallisesti.
– Kun henkilötietoja kysytään, on henkilöillä oikeus tietää miten ja mihin tarkoitukseen henkilötietoja käsitellään sekä niiden säilytysaika.
– Kun henkilötietoja ei enää käytetä niiden käyttötarkoitusta (kuten esimerkiksi apurahan hakemista) varten ja säilytysaika umpeutuu, tiedot hävitetään asianmukaisesti.
Tietosuoja ja tietoturvallinen toiminta on mahdollista ottaa haltuun. Se on uusien toimintatapojen oppimista ja vanhoista poisoppimista. Jatka tietoturvaan tutustumista ja perehtymistä tietosuojavaltuutetun toimiston verkkosivuilla, joissa tietoa suomeksi, ruotsiksi ja englanniksi: https://tietosuoja.fi/GDPR.