2.9.2019 JUDO-hankkeen työpaja 6 Kimmo Janhunen Case-esimerkki havaintoja palveluiden tietosuoja- ja tietoturvakysymyksistä Kimmo Janhunen johtava asiantuntija Hallinto- ja ohjausosasto Tietoyksikkö
Agenda Yleisiä havaintoja palveluiden tietosuoja- ja tietoturvakysymyksistä Case-esimerkkejä OM lausuntopyyntö yleisestä tietosuoja-asetuksesta Yhteenveto
Yleisiä havaintoja palveluiden tietosuoja- ja tietoturvakysymyksistä Käsitelläänkö henkilötietoja? Usein päädytään vastaukseen kyllä. Joidenkin palveluiden osalta on ollut epäselvyyttä sisältävätkö palvelun keräämät tai palveluun syötettävät tiedot henkilötietoja Huom. aiempi kysymys siitä muodostuuko henkilötietolain tarkoittama henkilörekisteri, ei enää yleistä tietosuoja-asetusta sovellettaessa ole relevantti Huom. yleistä tietosuoja-asetusta sovelletaan kaikkeen henkilötietojen käsittelyyn Rekisterinpitäjyys? Joidenkin palveluiden osalta on ollut epäselvyyttä rekisterinpitäjyydestä Joidenkin palveluiden osalta arvioidaan yhteisrekisterinpitäjyyttä Olemassa olevat yhteiset palvelut, tietovarannot ja tietojärjestelmät Uudet teknologiat, palvelut sekä näiden käyttöehdot
Yleisiä havaintoja palveluiden tietosuoja- ja tietoturvakysymyksistä Viranomaisten lakisääteiset tehtävät ja keskinäinen sopiminen Missä tilanteissa viranomaiset voivat sopia keskenään henkilötietojen käsittelystä sopimuksin, kun perustuslain mukana henkilötietojen suojasta ja viranomaisten tehtävistä ja toimivallasta on säädettävä lailla? Erityisesti palvelukeskukset sekä poikkihallinnolliset prosessit ja käsittelyketjut Tietoturvallisuudesta ja tietosuojasta sopiminen Organisaatio- tai palvelukohtaisen turvallisuussopimuksen ja liitteiden, erillisen tietosuojasopimuksen (esim. tietojenkäsittelysopimus) vai palvelun käyttöehtojen kautta? Kuvaukset turvallisuus- ja tietoturvajärjestelyistä Kuvaukset henkilötietojen käsittelystä Riskiarvioiden yhteensovittaminen
Yleisiä havaintoja palveluiden tietosuoja- ja tietoturvakysymyksistä Palveluiden tietoturvallisuuden ja tietosuojan arviointi Tällä hetkellä ei ole yleisesti saatavilla yhtä sertifikaattia, standardia tai arviointikriteeristöä, jonka kautta sekä tietoturvallisuus että tietosuoja tulisivat kattavasti arvioiduiksi Turvallisuuden hallinta on muuttunut yhä enemmän riskiarviointiperusteiseksi Kun riskiarvion perusteella valikoituvat tietoturvavaatimukset ja tietoturvatoimenpiteet, niin vastaavasti näiden toteutumisen arviointi kytkeytyy enemmän toimialakohtaiseksi tai tiettyjen tietojen ja toimintojen riskitasoon Huom. vain tietoturvallisuuden arvioinnista on aiemmin säädetty Laki viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista (1406/2011)
Case: Havaintoja Microsoftin palveluihin liittyvistä kysymyksistä Euroopan tietosuojaviranomaisella (EDPS) on käynnissä Microsoftin käyttöehtojen tutkinta https://edps.europa.eu/press-publications/press-news/press-releases/2019/edpsinvestigates-contractual-agreements_en Alankomaat ovat sopineet erilliset käyttöehdot Microsoftin kanssa tiettyjen palveluiden osalta Alankomaiden keskushallinnolle https://www.privacycompany.eu/en/new-dpia-on-microsoft-office-and-windowssoftware-still-privacy-risks-remaining-long-blog Taustalla erityisesti tietosuojakysymykset laadituista tietosuojan vaikutusten arvioinneista https://www.rijksoverheid.nl/documenten/rapporten/2019/06/11/data-protectionimpact-assessment-windows-10-enterprise
Case: Havaintoja Microsoftin palveluihin liittyvistä kysymyksistä Alankomaiden uusissa käyttöehdoissa tietosuojakysymysten riskejä on hallittu teknisin, hallinnollisin ja sopimuksellisin keinoin Uusien ehtojen mukaan mm.: Microsoft toimii vain henkilötietojen käsittelijänä Henkilötietoja käsitellään vain kolmeen tarkoitukseen (1. palvelun toimittaminen ja kehittäminen 2. palvelun ylläpito ja 3. turvallisuus; aiemman kahdeksan sijaan) Tietoja palvelujen käytöstä ei käsitellä profilointi-, analytiikka-, markkinatutkimus tai mainos-tarkoituksiin (vain asiakkaan erikseen pyytäessä) Sallivat tehokkaan auditointioikeuden Alankomaiden keskusviranomaisille
Case: Havaintoja Googlen palveluihin liittyvistä kysymyksistä Useiden Googlen palveluiden käyttöehtojen kautta, Google varaa itselleen oikeuden käsitellä henkilötietoja omiin tarkoituksiinsa Juridisesti tällöin on kyseessä henkilötietojen luovuttaminen viranomaiselta Googlelle (tai yhteisrekisterinpito). Molempiin tilanteisiin liittynee sovittamattomia ristiriitoja yleisen tietosuojaasetuksen ja kotimaisen lain kanssa Viranomaisten kannattaa tarkkailla myös Google-haun tuloksista löytyvää kysymysten ja vastausten automaattista palstaa kansalaiset saattavat erehtyä luulemaan viranomaisen viralliseksi palvelukanavaksi
Case: Havaintoja Googlen palveluihin liittyvistä kysymyksistä Viranomaisten kannattaa tarkkailla Google-haun tuloksia: oma organisaatio ja palvelut Esim. hakutuloksien kautta kopio/fake-sivustoilla saatetaan houkutella tilausansoihin Googlelle poistopyyntö ja ilmoitus Kilpailu- ja kuluttajavirastolle Esim. organisaation hakutuloksiin on syntynyt sivu, jossa myös Kysymyksiä ja vastauksia sekä Arvostelut palstat. Kansalaiset saattavat erehtyä luulemaan viranomaisen viralliseksi palvelukanavaksi Googleen voi rekisteröityä, jos näitä haluaa hallita
Case: Havaintoja palveluiden evästeisiin liittyvistä kysymyksistä
Case: Havaintoja palveluiden evästeisiin liittyvistä kysymyksistä Useissa palveluissa käytetään evästeitä, joiden avulla teknisesti kerätään myös henkilötietoja tai sellaiseksi yhdisteltävissä olevia tietoja (esim. iposoite tai muita tietoja, joita yhdistelemällä voi tunnistaa ihmisen) Tällöin sovellettavaksi tulee yleinen tietosuoja-asetus sekä sähköisen viestinnän palveluista annetun laki Kaikesta henkilötietojen keräämisestä on toimitettava informaatiota palvelun käyttäjille Palveluntarjoajien kannattaa kiinnittää huomiota teknisiin ratkaisuihin ja myös tukipalveluiden tosiasialliseen tietojen keruuseen oli käyttötarkoituksena sitten palvelun käytön seuranta, kehittäminen, tilastointi, analytiikka tai toisen palvelun tai tukipalvelun käyttäminen oman palvelun kautta sekä informoida oman palvelun käyttäjiä näistä
OM lausuntopyyntö yleisestä tietosuojaasetuksesta Oikeusministeriö pyytää lausuntoja lausuntopalvelun kautta yleisen tietosuoja-asetuksen toimivuudesta ja soveltamisen kokemuksista Lausuntoaikaa on jäljellä vielä kaksi viikkoa, viimeistään 17.9.2019 Kannustamme organisaatioita vastaamaan kaivataan mm. tunnistamianne hyötyjä, haasteita sekä kommentteja Linkki lausuntopyyntöön https://www.lausuntopalvelu.fi/fi/proposal/participation?proposalid=2df6ebd7-975e-4169- a0de-edd9ab3d7217
Yhteenveto Viimeaikaiset havainnot palveluiden tietoturva- ja tietosuojakysymyksistä ovat jatkoa aiempaan kehitykseen keskiössä sopimukset ja käyttöehdot Palvelutarjonnan osalta: toiminnallisuudet kehittyvät, palvelut kytkeytyvät enemmän toisiinsa, uusia palveluita tulee ja käyttöehdot muuttuvat Palveluiden suunnittelun ja kehittämisen osalta nyt ja jatkossa tulee huomioida useita vaatimuslähteitä arvioida riskejä ja vaikutuksia useasta näkökulmasta sekä varautua vaatimusten ja palveluympäristöjen muutoksiin Jatkossa vaaditaan enemmän seurantaa sekä muutosten, riippuvuuksien ja vaatimusten hallintaa
OIKEUSMINISTERIÖ kimmo.janhunen@om.fi Kimmo Janhunen johtava asiantuntija www.oikeusministerio.fi Facebook: facebook.com/oikeusministerio Twitter: twitter.com/oikeusmin @oikeusmin Käyntiosoite: Eteläesplanadi 10, Helsinki Postiosoite: PL 25, 00023 Valtioneuvosto Vaihde: 029 516 001