12.3.2008 HANKEN TIETOSUOJA-ASIAT - TURVALLISESTI NETISSÄ Reijo Aarnio, tietosuojavaltuutettu
AJATTELUMALLIT 1. Tietoturvallisuus on teknologiaa 2. Tietoturvallisuus on itseisarvo 3. ATK-osasto vastaa tietoturvallisuudesta 4. Tietoturvallisuus lisätään valmiiseen palveluprosessiin 5. Tietoturvallisuus on saatu valmiiksi 6. Tietosuoja ja tietoturvallisuus ovat vastakkaisia 7. Tietoturvallisuus ja -suoja suojaa vain tietoja (Luettelo ei ole tyhjentävä)
PERUSKYSYMYS juridinen kiista PIDÄ HAUSKAA POIKIEN KANSSA, KULTA!??
TOIMINTAYMPÄRISTÖN MUUTOKSET 1/2 1. Palvelujen tuotantoketjujen rakenne muuttuu 2. Hallinnon rakenteet muuttuvat 3. Viranomaisten yhteistyötä tarve kehittää 4. Yhteiskunta juridisoituu 5. Teknologian käyttö lisääntyy hidden functions 6. Informaatio-oikeudellinen osaamisvaje helpottaa hitaasti 7. Terrorismi ja muut (ulkoiset) uhat 8. EU:n laajentuminen
TOIMINTAYMPÄRISTÖN MUUTOKSET 2/2 9. Markkinoiden ja tuotannon globalisoituminen 10. Tietosuojaperhe kasvaa 11. Kustannustehokkuuden vaatimus korostuu edelleen 12. Tietosuojatietoisuus lisääntyy 13. Pyrkimys markkinoinnin kohdentamiseen ja personointiin lisääntyy 14. Kansalaisaktiivisuus lisääntyy 15. Median kiinnostus lisääntyy 16. Tiedon (datan) merkitys tuotannontekijänä korostuu (tietopääoma, tieto on valtaa, tiedolla on hintansa, tieto lisää tuskaa, tieto )
KEHITYSKULKUJA TIETOYHTEISKUNTA TEKNOLOGIA OIKEUSTIEDE PERUSOIKEUDET TIETO TUOTANNON- TEHOKKUUS INFORMAATIO- TEKIJÄKSI OIKEUS ITSEMÄÄRÄÄMINEN TIETOPÄÄOMA ANALOGISET- HENKILÖ- DIGITAALISET OIKEUS ALAMAISESTA ASIAKKAAKSI TIEDON MÄÄRÄ, LAATU VAIHDE-RELE- EU:N DIGITAALINEN VAIKUTUS TIEDOSTAMINEN PROSESSIT RESITAALI 2 LAIN- SÄÄDÄNTÖ TYÖELÄMÄN MUUTOKSET, RIKOLLISUUS,...HYVÄT PALVELUT
LUOTI -projekti TIETO- YHTEISKUNTA KANSALLINEN KILPAILUKYKY LUOTTAMUS ICT-KÄYTTÖ
Lailla voidaan säätää perusoikeuksien turvaamiseksi tai rikosten selvittämiseksi välttämättömistä kotirauhan piiriin ulottuvista toimenpiteistä. Lailla voidaan säätää lisäksi välttämättömistä rajoituksista viestin salaisuuteen yksilön tai yhteiskunnan turvallisuutta taikka kotirauhaa vaarantavien rikosten tutkinnassa, oikeudenkäynnissä ja turvallisuustarkastuksessa sekä vapaudenmenetyksen aikana. SUOMEN PERUSTUSLAKI (731/1999) 10 Yksityiselämän suoja Jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Henkilötietojen suojasta säädetään tarkemmin lailla. Kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton.
YKSITYISELÄMÄ Perustuslaki 10 YKSITYISYYS VIESTINTÄ TIETOSUOJA RIKOSLAKI 24 LUKU E-SANANVAPAUSLAKI SALASSAPITO- SÄÄNNÖKSET Sisällön suoja Tunnistetietojen suoja HENKILÖTIETOLAKI oikeus tietää, vaikuttaa oikeus järjestää yksityiselämänsä... henkilötietojen automaattinen käsittely ja rekisterinpito PERUSTUSLAKI 12 JULKISUUSLAKI
TIETOYHTEISKUNNAN SÄÄNTELYKEHIKKO GLOBAALI YMPÄRISTÖ JA SUOMI OECD EUROOPAN NEUVOSTO EU KANSALLISVALTIOT/ SUOMI HETIL TOIMINTO- KOHTAISET LAIT SEKTORI- LAINSÄÄDÄNTÖ KÄYTÄNNE- SÄÄNNÖT
KANSALLISET LÄHTEET * HENKILÖTIETOLAKI * SÄHKÖISEN VIESTINNÄN TIETOSUOJALAKI * TYÖELÄMÄN TIETOSUOJALAKI * JULKISUUSLAKI * LAKI SÄHKÖISESTÄ ASIOINNISTA * LAKI TIETOYHTEISKUNNAN PALVELUISTA * LAKI SANANVAPAUDEN KÄYTTÄMISESTÄ.. * HUOM! Ei erityistä tietoturvallisuuslakia!!!
TIETOSUOJADIREKTIIVI 95/46/EY Resitaalin 2) -kohta: Tietojenkäsittelyjärjestelmät on tehty palvelemaan ihmistä; järjestelmiä käytettäessä on kunnioitettava yksilöiden perusoikeuksia ja vapauksia heidän kansalaisuudestaan tai asuinpaikastaan riippumatta, erityisesti oikeutta yksityisyyteen, ja osallistuttava taloudelliseen ja sosiaaliseen kehitykseen, kaupan kehittämiseeen sekä yksilöiden hyvinvoinnin lisäämiseen.
Henkilötietolaki (523/1999) 1 Lain tarkoitus Tämän lain tarkoituksena on toteuttaa yksityiselämän suojaa ja muita yksityisyyden suojaa turvaavia perusoikeuksia henkilötietoja käsiteltäessä sekä edistää hyvän tietojenkäsittelytavan kehittämistä ja noudattamista
Henkilötietolaki (523/1999) 2 Soveltamisala Henkilötietoja käsiteltäessä on noudatettava, mitä tässä laissa säädetään, jollei muualla laissa toisin säädetä. Tätä lakia sovelletaan henkilötietojen automaattiseen käsittelyyn
MITÄ YKSITYISYYS ON? * Perustuslaki 10 => perusoikeus; poikkeuksista on säädettävä lailla * Oikeus vaikuttaa ja päättää itseään koskevien tietojen käsittelystä * Oikeus tietää tietojensa käsittelystä * Oikeus järjestää yksityiselämänsä ilman perusteetonta ulkopuolisten puuttumista * Oikeus tulla arvioiduksi virheettömien ja tarpeellisten tietojen perusteella * Oikeus tulla kohdelluksi muiden perusoikeuksien mukaisesti * Oikeus saada tietoonsa perusteet, joihin automaattiset päätökset perustuvat * Oikeus luottaa tietoturvallisuuteen * Tahtotila: toisen herkkyystilaa on vaikea arvioida
Henkilötietolaki (523/1999) 6 Henkilötietojen käsittelyn suunnittelu Henkilötietojen käsittelyn tulee olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta. Henkilötietojen käsittelyn tarkoitukset sekä se, mistä henkilötiedot säännönmukaisesti hankitaan ja mihin niitä säännönmukaisesti luovutetaan, on määriteltävä ennen henkilötietojen keräämistä tai muodostamista henkilörekisteriksi. Henkilötietojen käsittelyn tarkoitus tulee määritellä siten, että siitä ilmenee, minkälaisten rekisterinpitäjän tehtävien hoitamiseksi henkilötietoja käsitellään.
HENKILÖREKISTERI 3 3k HENKILÖTIETOLAKI Rekisterinpitäjän (3 4 k) henkilötietojen käsittelyn kuvaus ja lainmukaisuuden arviointi JulkL JulkA 2 Arvioi oma toiminta 5-6 Käsittelyn tarkoitus 3 3-k & 6 Oikeus käsitellä 8, 12, 13, 14-20 Mistä henkilötiedot kerätään 8, 9, 12-20 Luovutukset 8, 12-20 (6 ) Ulkomaille siirrot 22-23 Aloitus Suunnittelu huolellisuus 5-6 Käyttötarkoitussidonnaisuus 7 Henkilötiedot 3 1 k, 9, 12-20 Rekisteröidyn oikeudet 24-29 Hävitä, arkistoi 12.2, 21, 19.1 1k 34-35 Tietoturvallisuus 32 Vaitiolovelvollisuus 33 Ulkoistaminen 8.1 7-k Rekisteriseloste 10 Informointivelvollisuus 24 Käytön hallinnointi 5 Nimeä vastuuhenkilö 5 Kouluta, ohjeista 5 Viranomaisilmoitukset 36-37
Henkilötietolaki 32 ; Tietoturvallisuus Rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä. Toimenpiteiden toteuttamisessa on otettava huomioon käytettävissä olevat tekniset mahdollisuudet, toimenpiteiden aiheuttamat kustannukset, käsiteltävien tietojen laatu, määrä ja ikä sekä käsittelyn merkitys yksityisyyden suojan kannalta. Sen, joka itsenäisenä elinkeinonharjoittajana toimii rekisterinpitäjän lukuun, on ennen tietojen käsittelyyn ryhtymistä annettava sitoumukset ja riittävät takeet suojaamisesta 1 mom. tarkoitetulla tavalla.
LOKI-TIEDOT MIKSI KÄSITELLÄÄN? = OIKEUSPERUSTE KÄYTTÖTARKOITUS- SIDONNAISUUS SISÄINEN LOKI KERÄYS / OSTO/SOPIMUS TIETO- TYYPEITTÄIN LUOVUTUKSET / MYYNTI KÄSITTELYN MÄÄRITELMÄ HetiL 32
Eurobarometri v. 2003 väittämät ja syyt prosenttia (%) vastaajista: SUOMI EU-ka Kerääminen ja luovutukset on informoitava 88 91 Lakiin perustuva tietosuoja on korkealla tasolla 76 46 Tietoisuus tietosuojasta on alhaisella tasolla 64 70 Henkilötietojen ilmoittam. Internetistä huolestuttaa 68 64 Laki voi toimia netin käyttäjien hyväksi 36 26 Oletko kuullut ts-viranomaisista? 22 27 Tietää oikeuksistaan 28 32 Olen käyttänyt oikeuksiani 9 7 Tietää rekisterinpitäjien velvoitteista 45 42 Tietää SM-kielto-oikeudesta 73 49 Tietää suostumus-edellytyksestä 67 49 Tietää suojatekniikoista 17 18 Syyt olla käyttämättä suojatekniikoita: SUOMI EU-ka ei osaa asentaa 19 21 ei osaa käyttää 23 30 ei usko tehoon 21 18 ei välitä tietosuojasta/tietoturvasta 31 20 ovat liian kalliita 5 6
PROSENTTIA SYYT OLLA KÄYTTÄMÄTTÄ SUOJATEKNIIKOITA 35 30 25 20 15 SUOMI EU-ka 10 5 0 ei osaa asentaa ei osaa käyttää ei usko tehoon ei välitä tietosuojasta/tietoturvasta ovat liian kalliita
PROSENTTIA EUROBAROMETRI V. 2003 / LUOTTAMUSINDIKAATTORI 100 90 80 70 60 50 40 SUOMI EU-ka 30 20 10 0 Terveydenhuolto Sosiaaliturva Vakuutusyhtiöt Luottokorttiyhtiöt Pankit, finanssiala Työelämä Luottotiedot Posti-, etämyynti Non profit Markkina- ym. tutkimus Poliisi Verotus Paikallishallinto Kansalliset vo:t Yleinen huoli tietosuojasta TOIMIALA
Tietoyhteiskuntaohjelma Kansalaisten ja yritysten luottamusta tietoyhteiskunnan palveluihin edistetään tietoturvaa ja yksityisyyden suojaa parantamalla.
EU: FRAMEWORK PROGRAMMES 5 (ja 6) EU:n DG Information Society/ UNIT C/4: Security and Confidentiality * tietosuojan managerointi aktiiviseksi osaksi systeemisuunnittelua * tietosuojan perusteet osaksi liiketoimintaprosesseja * uusia on-line tietosuojamalleja on kehitettävä ja liiketoimintamallit on uudistettava tietosuojan avulla * parhaat tietosuojakäytännöt tulisi koota yhteen
FRAMEWORKS PROGRAMMES (2) TILANNE-ARVIO/TEKNISET VAATIMUKSET * koulutus ja tiedostaminen * tietosuojan managerointi aktiiviseksi osaksi systeemisuunnittelua * tietosuojaa tukeva IT-infrastruktuuri * käytettävyys on edellytys PET-tekniikoille * teknologia hyödyntämään käyttäjää ja estämään tietosuojaloukkaukset
KANSALLINEN TIETOTURVALLISUUSSTRATEGIA V I S I O = Tietoturvallisuuden tahtotila S T R A T E G I S E T P E R U S P I L A R I T = osatekijät, joihin tietoturvavisio perustuu, ts. mitkä ovat ne elementit, jotka tahtotilan on ainakin sisällettävä S T R A T E G I A = tavat ja toimenpiteet, joilla visioon päästään T O I M E N P I D E O H J E L M A T
VAHTI-ohjeita pääasiallisen sisällön mukaan 1. Hallinnon tietoturvallisuus Tietoturvallisuuden yleisohje, 4/2001 Hallintajärjestelmän arviointi, 3/2003 Tietoriskien arviointi, 7/2003 Tulosohjaus, 2/2004 Jaetut resurssit, x/2005 Tietoturvakäsitteistö, 4/2003 Käyttäjän tietoturvaohje, 5/2003 Tietoturvakoulutus, 6/2003 2. Henkilöstöturvallisuus uusi ohje 3. Fyysinen turvallisuus Laitetilat, 1/2002 9. Ulkoistaminen ja sopimukset Ulkoistaminen, 2/1999 RISKIENHALLINTA JATKUVUUS TIETOTURVAKULTTUURI 8. Käyttöturvallisuus Tietoturvaloukkaus, 7/2001 Käyttövaltuudet, x/2005 Ympärivuorokautinen x/2005 4-6. Tietoliikenne-, laitteisto-, ohjelmistoturvallisuus Tietojärjestelmäkehitys, 3/2000 Lähiverkot, 2/2001 Tietoturvallisuuden tarkistuslista, 6/2001 Internet-tietoturvallisuusohje, 1/2003 Turvallinen etäkäyttö, 2/2003 Haittaohjelmilta suojautuminen, 3/2004 Mobiililaite, x/2005 Tietojärjestelmäseloste, VM 7.2.2000 Etätyö, 3/2002 Lähde: VAHTI = valtionhallinnon tietoturvallisuuden johtoryhmä; VM:n asettama 7. Tietoaineistoturvallisuus Turvaluokitteluohje, 19.1.2000 Tietoaineistot, 2/2000 Salauskäytännöt, 3/2001 Sähköpostit ja lokitiedot, 5/2001 Kansainväliset aineistot, 4/2002 Tietojärjestelmäseloste, VM 17.2.2000 Etätyö, 3/2002
ELI SIIS? 1. Tietoturvallisuus on teknologiaa? 2. Tietoturvallisuus on itseisarvo? 3. ATK-osasto vastaa tietoturvallisuudesta? 4. Tietoturvallisuus lisätään valmiiseen palveluprosessiin? 5. Tietoturvallisuus on saatu valmiiksi? 6. Tietosuoja ja tietoturvallisuus ovat vastakkaisia? 7. Tietoturvallisuus ja -suoja suojaa vain tietoja? EI, VAAN: 1. Tietoturvallisuus on valikoima keinoja huolehtia palvelu- yms. prosessien oikeudellisesta laadusta! 2. Tietoturvallisuus liittyy aina johonkin perusprosessiin! 3. Tietoturvallisuuden laiminlyönti on sanktioitu => organisaation ylin johto vastaa tietoturvallisuuden toteutumisesta! 4. Prosessit toteutetaan tietosuojan ja - turvallisuuden avulla! 5. Ainoa pysyvä asia on muutos! 6..????.. 7. Tietoturvallisuus turvaa oikeuksien toteutumista!
SEK (2007) 641, valmisteluasiakirja, 22.5.2007: Komission tiedonanto neuvostolle, Euroopan parlamentille ja alueiden komitealle Tavoitteena yleinen toimintalinja tietoverkkorikollisuuden torjumiseksi 1) tietoverkkorikollisuutta koskeva komission politiikka on uudistettava perusteellisesti 2) EN:n yleissopimus & puitepäätös 3) Komissio on sitoutunut huolehtimaan siitä, että tietoverkkorikollisuuden torjuntaa ja syytteeseenpanoa koskeva toimintalinja määritellään ja pannaan täytäntöön perusoikeuksia ja erityisesti sananvapautta, yksityis- ja perhe-elämää sekä henkilötietojen suojaa kunnioittaen
SEK (2007) 641, valmisteluasiakirja, 22.5.2007: Komission tiedonanto neuvostolle, Euroopan parlamentille ja alueiden komitealle Tavoitteena yleinen toimintalinja tietoverkkorikollisuuden torjumiseksi STRATEGINEN YLEISTAVOITE: Vahvistetaan ja koordinoidaan tietoverkkorikollisuuden torjuntaa kansallisella, Euroopan ja kansainvälisellä tasolla 1) Yhteistyö lainvalvontaviranomaisten kesken 2) Public Private yhteistyö 3) Poliittinen foorumi perustetaan 4) KnowHow & PET 5) Raising awareness
SEK (2007) 641, valmisteluasiakirja, 22.5.2007: Komission tiedonanto neuvostolle, Euroopan parlamentille ja alueiden komitealle Tavoitteena yleinen toimintalinja tietoverkkorikollisuuden torjumiseksi TOIMINTAVAIHTOEHDOT: 1) Ei tehdä uusia toimia 2) Yleinen, EU-tason lainsäädäntö käyttöön 3) Luodaan julkisen ja yksityisen sektorin epävirallisia verkostoja 4) Johdonmukainen strateginen lähestymistapa
TIETOSUOJAVALTUUTETUN HAVAINNOT: Kansalaisten ja yhteisöjen asenne pitäisi nopeasti saada terävöitymään asiassa Poliisi-, syyttäjä- ja tuomarikoulutusta on lisättävä tietosuojaa tukevien teknologioiden (PET-teknologiat) käyttöä lisättävä lainvalmistelutyöhön lisättävä uusia vaikutusten arviointivaatimuksia Maastamme puuttuu edelleen varsinainen tietoturvallisuuslaki! Identiteettivarkauksia ei ole toistaiseksi myöskään Suomessa sellaisenaan kriminalisoitu! Opetusjärjestelmämme ei ole riittävästi reagoinut tietoverkkorikollisuuden aiheuttamaan uhkaan kansalaisille ICT-tuotteissa ei ole varsinaista sertifiointia käytettävissä kansalaisille suunnattu hälytysjärjestelmä ja varsinainen hälytysvelvoite puuttuu Tarvittavan ennakkopäätösmenettelyn kehittäminen IITA EKI
Internet ja käyttäjä
Internet ja käyttäjä - Sivua päivitetään jatkuvasti! www.tietoturvaopas.fi
Fiksun nettikäyttäjän muistilista
LISÄTIETOJA: www.ficora.fi (viestintävirasto) www.tietoturvakoulu.fi www.tietoturvaopas.fi www. tietosuoja.fi (tietosuojavaltuutetun toimisto) www.mll.fi (Mannerheimin lastensuojeluliitto) Viisaasti verkossa sivusto
12.3.2008 HANKEN Kiitos kuuntelusta! TIETOSUOJA-ASIAT - TURVALLISESTI NETISSÄ Reijo Aarnio, tietosuojavaltuutettu