Katoaako yksityisyyden suoja pilveen? Hetkyn helmiseminaari 26.2.2015 Tero Tammisalo Senior Advisor, Nixu Oyj
Ei.
Privacy is not dead. It never even existed.
"Orwell on jo meillä kotona" älytelevisioiden mikrofoneista syntyi kohu Yhä useampiin kodinkoneisiin on tulossa puheentunnistin ja yhteys internetiin. Riskinä on, että arkaluontoista tietoa päätyy vääriin korviin. The Daily Beast -nettisivuston mukaan television kuullen ei kannata puhua esimerkiksi veronkiertosuunnitelmistaan puhe voi päätyä kolmannen osapuolen tietoon. http://yle.fi/uutiset/orwell_on_jo_meilla_kotona alytelevisioiden_mikrofoneista_syntyi_kohu/7791410
Termejä Tietosuoja, mitä se on? Yksityisyyden suoja ja yksityiselämän suoja, mitä ne ovat? Henkilötiedot, mitä ne ovat? Pilvipalvelut, mitä ne ovat?
Historiaa: tietosuojan perusteet OECD:n suositukset vuodelta 1980, direktiivi 1995, siihen perustuva laki 1999, näihin perustuva asetus voimaan vuodeksi 2017? 2018? Tietosuojan perusteet ajoittuvat aikaan, jolloin henkilöä tuli suojella Yritysten ja organisaatioiden ylivallalta Ei-halutulta kohdennetulta markkinoinnilta Viranomaisten mielivaltaiselta, henkilön oikeuksia polkevalta toiminnalta Tuona aikana ei ollut internetiä, globaaleita pilvipalveluita, kehittynyttä CCTV- ja tunnistusteknologiaa, sähköistä kulunvalvontaa, lippujärjestelmiä, maksamista, kanta-asiakasjärjestelmiä, älykkäitä ja kytkettyjä kodinkoneita, syke- tai treenimittareita, sosiaalista mediaa eikä ihmisten halua (tai mahdollisuuksia) jakaa omia tietojaan
Tietosuoja mitä se on? Mitä suojataan? Mitkä ovat tavoitteet? Mitä edellytetään? Tavoite on suojata yksilön oikeuksia ja yksityisyyttä Henkilötiedot: kaikki henkilöä koskevat tiedot On säädetty yksilön mahdollisuuksista määrätä omista tiedoistaan ja niiden käytöstä Käyttötarkoitussidonnaisuus, tarpeellisuusvaatimus, oikeellisuus jne. Edellytetään suojaustoimenpiteitä ja tietojen käsittelyn dokumentointia Todisteena käyttäjille, asiakkaille, viranomaisille Lainsäädäntö on jo nykyisellään kohtalaisen kattava Mutta riittääkö tämä?
Tietosuojan ytimeen Oheislainsäädäntöä tulee kehittää Henkilöä ei suojata riittävästi haitoilta, jotka nykyteknologia mahdollistaa Identiteettivarkaus, tietojen väärinkäyttö ja tietojen hyväksikäyttö Verkkokiusaaminen ja mainehaitta Yksilön kannalta juridinen prosessi lähes mahdoton: todistamisen vaikeus ja haitan todentaminen Valmistautumisrikos Valmistautuminen edellä mainittuihin Esimerkiksi profiilin luominen toisen nimissä, kontaktipiirin kerääminen ja toisena henkilönä esiintyminen vuosien ajan tekee mahdolliseksi esimerkiksi petoksen ja vuosien ajan jatkunut määrätietoinen toiminta tekee tutkinnasta entistä vaikeamman Entä organisaation vastuu, kun se käyttää epäluotettavia todentamismenettelyitä Esimerkiksi puhelintunnistaminen henkilötunnuksen loppuosaan perustuen
Palvelut ja teknologia Teknologian kehittyminen huimaa Internet itsessään, lisäksi esimerkiksi paikkatieto Henkilön tunnistaminen ja verkkopalveluiden profiilitieto Sosiaalinen media ja henkilön oma halu jakaa tietoja Multimedia, ei ainoastaan data Loki-, seuranta- ja tapahtumatieto (käyttäytyminen verkossa ja muualla) Tuleva kehitys täysin avointa Lähitulevaisuudessa, ellei jo nyt, internet on kaikkialla: IoT (thingternet), IoE Erilaisten anturien ja havainnointilaitteiden kytkeminen jatkuvaan tietovirtaan kytkee ihmisten ominaisuuksia, fysiikkaa, tuntemuksia ja kokemuksia sijainteihin, olosuhteisiin ja tapahtumiin Kyse on henkilöille tuotettavasta ja heidän haluamastaan palvelusta Vai onko?
Suurimmat (?) ongelmat Jos henkilöstä välittyy sellaista tietoa, jota hän ei haluaisi kerättävän Ketään ei oikeasti kiinnosta, kuinka paljon juot aamukahviasi tai montako tölkkiä brittiläistä alea on jääkaapissasi Mikä tieto on arkaluonteista? Arkaluonteinen tieto on määritelty juridisesti, mutta aina tämä ei ole relevanttia (ihonväri näkyy valokuvasta, kansalaisuus/perimä usein nimestä, ym) Käyttäytymisen seuranta Internetin käyttö ja selailuhistoria (cookie-laki, evästeiden käyttö) Mobiilisovellusten käyttö Henkilön fyysisen käyttäytymisen seuranta Missä kaupoissa asioi, mitä tavaroita kantaa mukanaan (paikkatieto, RFID, kasvontunnistus ym) Miten organisaatiot saadaan hoitamaan vastuunsa ( privacy by design )?
Katoaako yksityisyyden suoja pilveen? EI. Mutta määritelmä elää ja konsepti muuttuu.
Kiitos! Kommentteja, kysymyksiä, vastauksia tero.tammisalo@nixu.com 040-5606730