Tietosuojani ja minä

Artikkeli Keskiviikko 17.1.2018

Haaste #citrusprivacychallenge

Maailmanlaajuisen Data Privacy Day:n kunniaksi haastamme kumppaniyrityksiämme ja asiakkaitamme kertomaan hyviä keinoja henkilötiedoista huolehtimiseen. Merkitse hyvät vinkit somessa tunnisteella #citrusprivacychallenge ja jaa haastetta eteenpäin. Henkilötiedot ja niistä huolehtiminen on meidän kaikkien asia! #DataPrivacyDay 28.1.2018

Vanhempi tietoturva-asiantuntijamme Pekka Jäppinen: 

EU:n tietosuoja-asetus – tutummin ilmaistuna GDPR – on jo hetken aikaa työllistänyt yrityksiä ja julkishallintoa, kun toimintaa muokataan ja dokumentaatio saatetaan asetuksen vaatimalle tasolle. Kansainvälinen Data Privacy Day on 28.1.2018 ja sen lähestyminen pisti minut hetkeksi miettimään tietosuojan merkitystä ja mitä itse oikeastaan teen henkilökohtaisen tietoni suojaamiseksi. Eihän Euroopassa toimivien yritysten suurista ponnisteluista ole juurikaan hyötyä, jos vastaavan tiedon saa helposti suoraan minulta.

Käytämme nykyään paljon palveluita, joissa kerätään henkilötietoja, jonka vastineeksi luvataan joko parempaa tai ilmaista palvelua. Olemme jo tottuneet siihen, että palveluihin rekisteröidytään ja rekisteröitymisen yhteydessä annamme palvelulle henkilötietoja, joihin he sitten palvelua käyttäessämme lisäävät meistä tietoa. Vastaavasti jos kivijalkakauppaan mennessä pyydettäisiin henkilöllisyystodistus, kyseltäisiin nippu erilaisia preferenssejä ja lupa seurata kuinka kauan olemme minkäkin tuotehyllyn äärellä, aika moni meistä kääntyisi ovelta takaisin raikkaaseen ulkoilmaan ja etsisi palvelua muualta. Osittain toki seurantaa tehdään jo nyt erilaisten etukorttien avulla ja vastineeksi saamme sitten alennuksia ja toivottavasti parempaa palvelua.

Siitä kuka työhistoriaani verkossa katselee, minulla ei ole mitään tietoa.

Kuten kaupallisissa palveluissa, myös sosiaalisessa mediassa kerromme itsestämme asioita, joita emme välttämättä kertoisi tuntemattomille. Itsellänikin on koko työhistoria näkyvissä verkossa, mutta jos joku tuntematon tulisi kysymään kaupungilla ”mikä sun nimi on ja missä olit töissä 5-vuotta sitten” alkaisi varmastikin epäilys kalvamaan mieltä. Siitä kuka työhistoriaani verkossa katselee, minulla ei ole mitään tietoa.

Eurooppalainen lainsäädäntö suojelee meitä niin, että erilaisissa palveluissa meistä kerättyä tietoa ei meidän tietämättämme voi muille osapuolille jakaa. Vastaavasti Yhdysvalloissa kerätty tieto on arvokasta kauppatavaraa, jota jalostetaan ja yhdistellään hyvinkin vapaasti eri käyttötarkoituksiin. ACLU loi jo lähes 10 vuotta sitten videon siitä miltä pizzan tilaaminen voisi näyttää pahimmillaan, mikäli kaikki henkilötieto olisi pizzamyyjän saatavilla. 

Miksi henkilötietoja on sitten tärkeää suojata?

Monelle varmaankin ensimmäisenä tänä päivänä tulee mieleen identiteettivarkaus. Usein identiteettivarkaus yhdistetään erilaiseen rikolliseen toimintaan, jossa henkilötietoja hyödynnetään luottokorttien hankinnassa tai lainan ottamisessa toisen nimissä.  Monesti unohtuu, että identiteettivarkauksia voidaan tehdä ihan muissakin kuin rahan ansainta tarkoituksissa, kuten vaikka luomalla deittipalveluun profiili jonkun toisen tiedoilla. Samoin monesti jo pelkästään Facebook-sivuilla jaossa olevalla tiedolla sosiaalisesti taitava hakkeri voi esiintyä joko verkossa tai puhelimessa kyseisenä henkilönä. On helppo olla uskottava, kun kaikki tarvittava tieto sukulaissuhteista, työpaikasta ja elämän pienistä hetkistä löytyy verkosta kätevästi muutamalla haulla.

Hakkerin on helppo olla uskottava, kun kaikki tarvittava tieto löytyy verkosta kätevästi muutamalla haulla.

Identiteettivarkaus ei ole ainoa asia jonka johdosta tietosuoja on tärkeä. Arkaluontoinen tieto kuten rotu, poliittinen kanta tai seksuaalinen suuntautuminen vaikuttaa helposti siihen, kuinka meihin tai meidän sanomisiimme suhtaudutaan. Se mikä on arkaluonteista tietoa ja kuinka muiden siitä tietäminen vaikuttaisi elämäämme on riippuvainen myös sekä ajasta että paikasta. Esimerkiksi huumeiden käyttö on välillä ollut hyväksyttävää ja laillista eikä sillä ole ollut vaikutusta esimerkiksi työhönhakutilanteessa. Maailman ja asenteiden muuttuessa myös vanhat teot jotka omana aikanaan olivat hyväksyttäviä, voivat nykyään tai tulevaisuudessa vaikeuttaa esimerkiksi työnhakua.  Sitä mitä tulevaisuus tuo tullessaan emme voi tietää? Voisiko esimerkiksi syntyä ääriliike, joka hyökkää kaikkia niitä vastaan jotka ovat joskus tilanneet pizzan ananastäytteellä?

Personoitu kupla

Personoidut palvelut monesti helpottavat ja nopeuttavat palvelun käyttöä ja auttavat meitä löytämään juuri meitä kiinnostavaa sisältöä. Ongelmana tässä on, että tällöin jätämme päätöksen siitä mikä meitä kiinnostaa palvelun tarjoajalle ja heidän automatiikalleen. Kun hakukone tarjoaa ainoastaan sellaisia uutisia ja artikkeleita jotka tukevat omaa näkökantaamme ja omia mieltymyksiämme, on riskinä, että katsontakantamme kapenee emmekä enää tiedä mitä oman kuplamme ulkopuolella tapahtuu. Jos ravintolat olisivat tarjonneet minulle vain ruokia sen mukaan mitä aiemmin olen tilannut, voisi hyvin olla, etten edes tietäisi muunlaisen ruoan kuin kinkkupizzan ja lihapullien olemassa olosta. 

Parinkymmentä vuotta tietoturvan ja tietosuojan parissa pyörineenä on minulle kehittynyt omat käytännöt, kuinka tietojani suojaan. Osa omista käytännöistäni tuomitaan tuttujeni keskuudessa paranoidin foliohattupään turhaksi asioiden vaikeuttamiseksi. Toisaalta osa tutuistani on sitä mieltä, että olen hyvinkin leväperäinen henkilötietojeni suhteen. Kuten yleensäkin turvallisuudessa myös henkilötietojen suhteen jokaisen tulisi valita toimenpiteet omien tarpeidensa ja riskiarvioinnin pohjalta. Siksipä minun käytäntöjä lukiessa kannattaa ennemminkin poimia mahdollisia uusia ajatuksia omaan toimintaan, kuin suoraan kopioida tarkasti mitä minä teen.

Kuinka minä toimin sähköisiä palveluita käyttäessäni

Yleisesti käytän verkkoa useammalla eri selaimella osittain suojautuakseni erilaisia tietoturvauhkia vastaan. Yksi selain on varattu vain ja ainoastaan yleiseen verkkosurffailuun päivän lehtien sekä erilaisten tietojen etsimiseen. Toinen selain on varattu puhtaasti Googlen palveluiden käyttöön eriyttäen nämä surffailu-profiilistani. Muita käyttämiäni palveluita hoidan kolmannella selaimella. Mikäli käyttäisin Facebookia tai Twitteriä, minulla olisi näitä varten käytössä myös erillinen selain.

Minulla on useampia sähköpostiosoitteita, joita käytän sen mukaan, kuinka paljon palveluntarjoajaan luotan.

Aina välillä hyödynnän myös selainten yksityinen ikkuna tai incognito -vaihtoehtoa. Esimerkiksi Googlella hakuja tehdessä on välillä tärkeää nähdä tuloksia, joita ei ole hakuhistoriani mukaan muokattu. Myös hotellia varatessa hyödynnän tätä optiota, jotta aiempi hotellien selaushistoriani ei vaikuta tarjottuihin vaihtoehtoihin saati sitten hintaan.

Ennen henkilötietojeni antamista yhdellekään palvelulle, varmistan ensin mille taholle olen tietojani oikeasti antamassa ja mitä heistä oikein tiedän. Yrityksistä yleensä varmistan pääkonttorin sijainnin ja sen että verkkosivuilta löytyy muukin yhteistieto kuin yksi sähköpostisoite. Tämän jälkeen katson mihin tarkoitukseen he tietojani käyttävät ja kuinka he tietojani lupaavat suojata. Suojauskäytännöt katson lähinnä skimmaillen läpi, varmistaen lähinnä että yrityksellä on selkeä käsitys siitä että tietojani on syytä suojata. Kotimaisista palveluista käyn yleensä läpi myös tietosuojaselosteen.

Käyttötarkoitusta arvioidessa mietin itsekkäästi vain omaa näkökulmaani. Mikäli jokin tieto on sellainen mitä en näe palveluntarjoajan tarvitsevan, en sellaista tietoa anna. Minulla on useampia sähköpostiosoitteita, joita käytän sen mukaan, kuinka paljon palveluntarjoajaan luotan. Joidenkin palveluiden kohdalla olen palveluntestausta varten luonut ihan oman sähköpostitilin, jonka laitan kontaktiosoitteeksi. Palvelun osoittautuessa luottamuksen arvoiseksi voin päivittää yhteistietoni palvelussa sellaisiksi joita seuraan aktiivisemmin.

Haaste #citrusprivacychallenge

Maailmanlaajuisen Data Privacy Day:n kunniaksi haastamme kumppaniyrityksiämme ja asiakkaitamme kertomaan hyviä keinoja henkilötiedoista huolehtimiseen. Merkitse hyvät vinkit somessa tunnisteella #citrusprivacychallenge ja jaa haastetta eteenpäin. Henkilötiedot ja niistä huolehtiminen on meidän kaikkien asia! #DataPrivacyDay 28.1.2018. Tutustu Citruslaisten antamiin käytännön vinkkeihin. 

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

Data Privacy Daytä vietetään maailmanlaajuisesti sunnuntaina 28.1.2018. Päivän tarkoitus on lisätä tietoisuutta omien tietojen suojaamisesta sekä jakaa vinkkejä siitä, kuinka vaalia yksityisyyttä ja miten henkilötietoja tulisi käsitellä. 

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

24.1.2018 | Pekka Jäppinen, Vanhempi tietoturva-asiantuntija, Dosentti, TkT