Tiedot entistä suuremmassa vaarassa – EU antoi tiukan direktiivin kansalaistietosuojasta
Kun organisaatiot joutuvat kyberrikosten kohteeksi yhä useammin, vaikuttaa se yleiseen mielialaan ja koko internetympäristön imagoon. Tätä kirjoittaessani Ruotsin puolustusvoimien verkko on kyberhyökkäyksen takia alhaalla.
Internetin alkuajoista on edetty kauaksi ja tultu kaikkien keskuuteen. EU:n antama direktiivi entistä tarkemmista tietosuoja-asetuksista tulee tarpeeseen. Se lisää yritysten henkilötietojen käsittelyä koskevia velvoitteita. Kuluttajista kerätty data on kuitenkin osa monien yritysten reaaliomaisuutta.
EU:n yleinen tietosuoja-asetus astuu voimaan toukokuussa 2018. Vastaedes määritellään tarkemmin henkilötietojen käsittelyn kohteena olevan henkilön oikeudet. Jatkossa oikeuksiin kuuluu muun muassa tiedonsaantioikeus kerätyistä tiedoista. Oikaisun teko helpottuu, ja ihmisellä on myös oikeus tulla kokonaan unohdetuksi. Kuluttajille lainsäädännön rukkaus näkyy parantuvana tietosuojana ja -turvana.
Kohteliaisuus ja käyttäjän huomioonotto tekevät vaikutuksen. Facebookissa allekirjoittaja Facebookin yksityisyystiimi lähestyy tarjouksella: ”Yksityisyytesi on meille tärkeää, ja haluamme varmistaa, että jaat oikeille ihmisille. Tässä kerrotaan nopeasta tavasta tarkistaa julkaisujen, sovellusten ja tiettyjen profiilitietojen yksityisyys.” Lisätietoja-kohdasta löytyy esimerkiksi Yleisönvalitsin, joka vaikuttaa hyödylliseltä.
Meillä, jotka olemme olleet alusta asti netissä, on joskus vaikea hahmottaa, miten yksinkertaisiin kyberrikollisten ansoihin luottavaiset kansalaiset netissä menevät. Reaalimaailmassahan ihmiseen luotetaan, jos ei toisin osoiteta. Nettimaailmassa tuttavuuteen tulisi luottaa vasta, kun on siitä varmistunut.
Tavallisiin ihmisiin kohdistuvan tietokalastelun ja huijausten määrä kasvaa jatkuvasti. Yksityiset tietomme ovat suuremmassa vaarassa joutua vääriin käsiin kuin koskaan aiemmin.
Korjaavien toimien tulee olla kahdensuuntaisia:
1) Varmistamme ensinnä, ettemme omaa tyhmyyttämme omilta laitteiltamme vuoda tietojamme selainten auki olevien asetusten tai muiden haavoittuvuuksien kautta.
2) Olemme jatkuvasti valveilla sen suhteen, miten verkkopalvelut käsittelevät henkilökohtaisia digitietoja. Yleinen tietoturvaympäristö monimutkaistuu koko ajan. Kyse on jatkuvan oppimisen periaatteesta.
3) Nojaamme EU-tason määräyksiin, jos oikeutta saada omia tietojamme koskevia vastauksia kyseenalaistetaan.
Yleinen tietoisuus uhkista on jo jotenkuten mennytkin perille. Tieto-konserni tutki Ruotsissa ihmisten suhtautumista tietoturvaan ja sen uhkiin. Tutkimuksen mukaan seitsemän kymmenestä on huolissaan siitä, miten digitaaliset verkkopalvelut käsittelevät henkilötietoja. Tilanne tutkijoiden mukaan on lähimain vastaava myös Suomessa.
Kansan epäilyt kohdistuvat esimerkiksi henkilötietoja bonuskorttien avulla kerääviin yrityksiin. Useampi kuin kolme neljästä vastaajasta haluaisi jonkin yrityksen unohtavan itsensä kokonaan. Tämä tarkoittaa kaikkien asiakkaasta tallennettujen henkilö- ja käyttäjätietojen poistamista. Vaatimus on hankala, jos asiakas on pistänyt nimensä sitoumukseen jäsenyyskortin saamiseksi.
Olen kysymyksin testannut usean tiedonkerääjän valmiuksia. Missä kaikkialla tietoa säilytetään? Useissa eri järjestelmissä? Kuinka tiedot saa tarkistettua ja tarvittaessa poistettua? Tilanne on paranemaan päin, vaikkei kattavia pelisääntöjä vielä olekaan. Vuoden 2018 kesään mennessä ehtii vielä tapahtua paljon.
Yritykset ovat toden teolla heräämässä tietosuoja-asioihin, ja kuluttajapuolelta tulee painetta. Kuluttajien näkökulmasta tietosuojassa on vielä paljon tehtävää. Yritys itse taas voi saada reilu peli -kilpailuetua parannetusta tietosuojasta.
Mikä sitten on riittävä taso? Tietoturvataso, riskiarvioinnit sekä näihin tehtävät investoinnit ovat yritysten vastuulla. Asiassa voi kuitenkin kääntyä luotettavien kansallisten nternetpalveluntarjoajien puoleen.
