Kesällä 2011 itävaltalainen vaihto-opiskelija Max Schrems kuunteli Santa Claran yliopistossa Yhdysvalloissa epäuskoisena Facebookin lakimiehen luentoa. Vaikutti siltä, että luennoijan mielestä eurooppalaisten käyttäjien yksityisyyden suojalla tai oikeuksilla ei ollut juurikaan väliä.

Koska Schrems oli käyttänyt Facebookia jo vuodesta 2008, hän päätti selvittää mitä tietoja palveluun hänestä oli kerätty ja teki tietopyynnön. Facebook lähetti kaikki Schremsistä tallennetut tiedot cd-levykkeellä.

Tietoja oli 1200 normaalin A4-sivun verran.

Schrems piti Facebookin toimintaa EU-tietosuojakäytäntöjen vastaisena ja valitti viranomaisille. Tämä oli alkusoitto pitkälle tapahtumaketjulle, jonka lopputuloksena EU-tuomioistuin lopulta lokakuussa 2015 totesi Euroopan ja Yhdysvaltojen välisen turvasatamasopimuksen (Safe Harbor) pätemättömäksi.

Schremsin tapaus on yksi tunnetuimmista yksityisyyden suojaan liittyvistä oikeusjutuista viime vuosina. Myöhemmin Edward Snowdenin paljastukset ovat tuoneet päivän valoon tiedustelupalvelujen valmiudet ja mahdollisuudet yksityisyyden loukkauksiin.

EU:ssa huoli yksityisyyden suojasta ja siihen liittyvien puutteiden taloudellisista vaikeuksista on kasvanut pitkään. Uusia sähköisiä palveluita syntyy nopealla vauhdilla, usein uuden, mahdollisesti kypsymättömän teknologian avulla ja niitä tuottavat ja hallinnoivat globaalit yritykset. Digitalisaation ja siihen liittyvän taloudellisen kasvun edellytyksenä on kuluttajien vahva luottamus uusiin palveluihin.

Joulukuussa 2015 EU julkaisi tietosuoja-asetuksen, jota oli valmisteltu jo vuosia. Se sääntelee uudella tavalla henkilötietojen käsittelyä Euroopassa. Asetuksen sääntöjä ryhdytään soveltamaan keväällä  2018,  kahden vuoden siirtymäajan jälkeen. Asetuksen tavoitteena on säätää tietosuojasta teknologiariippumattomasti, ja se koskee yhtä lailla manuaalista tietojenkäsittelyä.

Keskeinen ero aiempaan lainsäädäntöön on tietojenkäsittelyn kohteena olevien henkilöiden oikeuksien korostaminen tietojärjestelmien omistajien  tai yritysten oikeuksien sijaan.

Tietosuoja-asetuksen vaikutukset yrityksille

Yrityksille tietosuoja-asetus tuo uusia velvoitteita, mutta myös hyötyjä. Asetukseen sisältyy esimerkiksi velvoite tietosuojavastaavan nimittämisestä. Tulevaisuudessa yrityksen tietojärjestelmiin rekisteröidyllä henkilöllä on myös oikeus saada kaikki itsestään tallennetut tiedot koneellisessa muodossa esimerkiksi toiseen järjestelemään siirtoa varten.

Nykyisinkin henkilöllä on oikeus virheellisten tietojen korjaamiseen, uutta on oikeus tulla unohdetuksi sekä poistetuksi rekistereistä.

Tällaisessa tapauksessa esimerkiksi hakukone toimii väärin, mikäli se tarjoaa vanhentunutta tai virheellistä tietoa.

Yrityksillä on tulevaisuudessa myös ilmoitusvelvollisuus mahdollisista tietosuojaloukkauksista. Jatkossa yrityksen on osoitettava toimineensa tietosuojasäännösten edellyttämällä tavalla, pelkkä ilmoitus säädösten noudattamisesta ei riitä. Säädösten noudattamatta jättämisestä voi seurata eritasoisia rangaistuksia, pahimmillaan jopa kymmenien miljoonien eurojen suuruisia sakkoja.

Asetus myös helpottaa yritysten toimintaa. Useassa EU-valtiossa toimivien yritysten ei tarvitse enää selvittää jäsenvaltion erillisiä tietosuojasäädöksiä. Asetuksen mukaisesti yritys voi toimia yhdenmukaisen lainsäädännön puitteissa ja tarvittaessa asioida vain yhden valtion tietosuojavaltuutetun kanssa. Tämä helpottaa erityisesti pk-yritysten pääsyä Euroopan markkinoille.

Tietoturva ja tietosuoja, sama asia?

Tietoturva ja tietosuoja liittyvät vahvasti toisiinsa, ja on vaikea kuvitella tietoturvatonta järjestelmää hyväksi tietosuojaominaisuuksiltaan.  Osin on kuitenkin kyse eri näkökulmista.

Tietosuojaan liittyvät vaatimukset voivat liittyä esimerkiksi käyttäjän suostumusta edellyttävään toiminnallisuuteen. Tietosuoja- ja tietoturvavaatimukset ovat kuitenkin luonteeltaan myös laadullisia, ei-toiminnallisia vaatimuksia. Tyypillisesti ei-toiminnallisten vaatimusten määrittäminen on vaikeampaa kuin toiminnallisten.  Vastaavasti myös niiden kattava testaaminen on monimutkaista, koska laatuvaatimukset koskettavat järjestelmän tai sovelluksen osia laajemmin kuin toiminnalliset vaatimukset. Esimerkiksi jäljitettävyyteen liittyvät vaatimukset voivat kohdentua sekä infrastruktuuri- että sovellustasolle ja voivat koskea eri tasoisia lokeja tai tietovarastoja.

Tietosuoja arkkitehtuurissa

Tietosuojaan liittyy oleellisesti ajatus järjestelmien sisäänrakennetusta tietosuojasta (privacy by design). Tällä tarkoitetaan periaatetta, jonka mukaan tietosuoja tulee huomioida jo suunnitteluvaiheesta alkaen koko sovellus- tai järjestelmäkehityksen elinkaaren ajan.  Luonnollisesti periaatetta on sovellettava myös suoritusaikaisesti.

Tietosuojaan liittyvät ratkaisut puuttuvat perinteisistä järjestelmien rakennusmalleista ja toteutuskäytännöistä. Syynä saattaa olla, että tietosuojaan ja yksityisyyteen liittyviä periaatteita ei ole täysin ymmärretty. Myöskään valmiita ratkaisuja tai teknologiaa tietosuojaan ei ole ollut saatavilla.

Mielestäni tietosuoja-asetuksen vaatimukset edellyttävät tietosuojakontrollien selkeää kuvaamista järjestelmäarkkitehtuurissa. Tietosuojan tulee myös näkyä tietojärjestelmätoimittajien ratkaisuesityksissä, ja asiakkaiden tulee osata määritellä tietosuojavaatimuksia tarjouspyynnöissään nykyistä paremmin.

Tietosuojakontrolleilla pyritään varmistamaan, että tieto on saatavilla vain siihen oikeutetuilla, suojatusti koko elinkaaren ajan ja tietomuutosten havainnointi on hallittua.  Karkeasti jaotellen voisi ajatella, että kontrollit voidaan jakaa kolmeen kategoriaan.

  • Oikeus tietoon päätellään käyttäjän identiteetin ja siihen liittyvien valtuutusten perusteella. Autentikointi ja auktorisointi ovat oikeuksien kannalta oleellisia kontrolleja.  Nämä ovat luonnollisesti myös tietoturvakontrolleja.

    Tietoturvan kannalta saattaa olla oleellista havaita esimerkiksi epäonnistuneita sisäänkirjautumisyrityksiä, yritysten esiintymistiheys tai tietoliikennelähteet.  Tietosuojan näkökulmasta kiinnostavaa on lisäksi onnistuneen sisäänkirjautumisen perusteella saadut pääsyoikeudet sekä niihin liittyvät toiminnot.  Mahdollisten tietosuojaloukkausten selvittämisessä käyttäjän toiminnan kiistämättömyys on tärkeää. Kannattaa huomata, että kiistämättömyys on oleellista paitsi tietojen kohteen myös käyttäjän oikeusturvan kannalta.

    Auktorisointipäätöksiin vaikuttaa esimerkiksi tietosisältö – käyttäjällä voi olla oikeus osaan palvelun tarjoamasta tiedosta, mutta ei kaikkeen. Tällöin puhutaan dynaamisesta auktorisoinnista eli saantioikeus päätellään käyttäjäidentiteetin (siihen liittyvän roolin) ja käsillä olevan datan perusteella. Tällainen valtuutus on yleensä huomattavasti vaikeampaa toteuttaa kuin palvelun käyttöoikeuden tarkastaminen.

  • Tiedon hallintaratkaisut määrittävät tiedon suojaamiseen ja muutoksiin liittyviä asioita.  Tiedon suojaamisen mekanismeja ovat pääsynhallinnan ja valtuuttamisen lisäksi salaus- ja allekirjoitusprosessit.  Salausratkaisut voidaan toteuttaa tietoliikenne- tai sanomatasolla. Jälkimmäinen ratkaisu on haastavampi toteuttaa, mutta toisaalta antaa enemmän vapauksia järjestelmäarkkitehtuurin hajauttamisessa. Tiedon sähköinen allekirjoittaminen taas on mekanismi, jonka avulla vastaanottaja voi varmistua tiedon muuttumattomuudesta.
  • Jäljitettävyys rakennetaan lokituksen ja tietojen muutoshistorian perusteella. Oleellinen osa jäljitettävyysketjun muodostamista on tapahtumatunnisteiden aukoton rekisteröinti. Jäljitettävyysketjun rakentamisessa on kyse tapahtumien rekisteröinnistä sellaisella tarkkuudella, että jälkikäteen voidaan selkeästi päätellä tapahtumaketju ja toiminnot. Arkkitehtuurissa tämä tyypillisesti edellyttää useiden eri järjestelmäkomponenttien huomiointia: tietorakenteet, synkronoitu palvelinaika, tietolokit, poikkeustilanteiden rekisteröinti ja tietovarastojen tiedon versiointi tarvittaessa.

    Jäljitettävyyteen liittyy myös poikkeamien havainnointi. Jotta poikkeaman voi päätellä täytyy ensin pystyä määrittämään mikä on normaalia toimintaa. Tämä ei välttämättä ole monimutkaisessa, hajautetussa tietojärjestelmäympäristössä niin yksiselitteistä kuin voisi kuvitella. Hyviä apuvälineitä ovat tiedon koostaminen ja visualisointi. Jälkimmäinen erityisesti voi auttaa havaitsemaan ympäristön toiminnassa anomalioita, jotka eivät erotu yksityiskohtia tai rivityyppistä tietoa tutkittaessa.

Privacy Shield

Tietosuoja-asetus tulee asettamaan yrityksille ja niiden tietojenkäsittelylle isoja haasteita, eikä kahden vuoden siirtymäaikaa voi pitää ainakaan liian lyhyenä. Voimaantullessaan se kuitenkin lisää kuluttajien luottamusta verkkopalveluihin ja mahdollistaa entistä laajemman turvallisen palvelutarjonnan.

Helmikuussa 2016 Euroopan komissio ja Yhdysvallat pääsivät yhteisymmärrykseen uudesta tietojen siirtoa koskevasta viitekehyksestä. Kyseessä on Privacy Shield –hanke, jolla pyritään palauttamaan luottamus transatlanttiseen tietojen siirtoon.

Max Schrems ei kuitenkaan ole haastattelujen perusteella vakuuttunut hankkeen lopputuloksesta. Viime kädessä eurooppalainen tuomioistuin ratkaisee vastaako uusi järjestely tietosuojavaatimuksia.


Pauli Kauppila toimii tietoturvakonsulttina Secrays Oy:ssa, ja hänellä on pitkä kokemus erilaisista tietojärjestelmien kehittämistehtävistä.