Alessandro Acquisti: What will a future without secrects look like?

The line between public and private has blurred in the past decade, both online and in real life, and Alessandro Acquisti is here to explain what this means and why it matters. In this thought-provoking, slightly chilling talk, he shares details of recent and ongoing research — including a project that shows how easy it is to match a photograph of a stranger with their sensitive personal information.

Bisnestreffit: Ville Oksanen ja Reijo Aarnio tietosuojan ongelmista Suomessa

EFFI ry:n varapuheenjohtaja Ville Oksanen ja Suomen  tietosuojavaltuutettu Reijo Aarnio alustivat TIEKE:n ja Projektiyhdistys ry:n järjestämässä aamutilaisuudessa 10.10.2014 Helsingissä. Linkki videotallenteeseen Bambuseriin.

Joitakin nostoja alustuksista (videon pohjalta):

Ville Oksasen mukaan tietosuojan rikkomusten sanktioinnin suhteen lainsäädäntö on heikko, tietosuojan rikkomisesta yleeensä ei ole mitään seurauksia  (tai sitten sakko tai oikeudenkäyntikulujen korvaaminen). Valmistella olevassa EU:n tietoturva-asetuksessa on tulossa yrityksille sanktioiden tiukennuksia. Oksasen mukaan maan tapa Suomessa on ollut leväperäinen muun muassa niin, että ihmiset ovat uteliaisuuttaan tarkistelleet yksityisyysuojan alaisia tietoja eri rekistereistä, vaikka se on ollut luvatonta.

Oksasen mukaan Suomella olisi paljon ominaisuuksia, joiden pohjalta voitaisiin tehdä Suomesta tietoturvallisuuden kannalta esimerkillinen valtio, johon pilvipalvelut voisivat sijoittua vailla pelkoa esim. viranomaisten urkinnasta. Luottamus voisi rakentua tiukkaan tietosuojaan yhdistettynä viileään ilmastoon (palvelinten viilennys helppoa), polittiseen liittoutumattomuuteen, maantieteelliseen asemaan Euroopan ja Aasian välissä ja Suomen suhteellisen vähäiseen korruptioon.

Reijo Aarnio kannatti Oksasen tavoin tavoitetta, jossa Suomesta tehtäisiin tietoturvan kannalta esimerkillinen maa. Ongelmia kuitenkin on, ensinnäkin näkemyserot tietosuojasta eri ministeriöiden välillä tulisi ratkaista (LVM, sisä- ja puolustusministeriö ovat kaikki omilla linjoillaan), poliittista ohjausta yksityisyyttä koskevissa ja myös muissa verkkoa koskevissa asioissa tulisi lisätä, tietosuoja tulisi ymmärtää kansalaisten itsemääräämisoikeutena datan suhteen sekä sinänsä hyviä suomalaisia lakeja tulisi osata soveltaa (juristeilla menee usein sormi suuhun siinä, mitä lakeja pitäisi milloinkin soveltaa, näkyy esim. terveystiedon hyödyntämisessä). Ongelmia ovat myös, että julkinen sektori etenee hyvin hitaasti jos lainkaan tietosuoja-asioissa ja että suomalaisten yritysten tietoturvan taso on ylimalkaan huono.

Yleisemmin EU-tasolla ollaan menossa siihen, että palveluntarjoajan pitää osoittaa, että se noudattaa lakia (ns. privacy by default -periaate). Suomen mielestä EU-tasolla pitäisi myös täsmentää mm. sitä, kuinka pitkälle käyttäjien profiloinnissa voidaan mennä. Aarnion mukaan myös pohditaan, pitäisikö perustaa Euroopan kattava tietosuojavirasto, kuten esimerkiksi Saksa tuntuisi haluavan.

Lopun keskusteluvaiheessa käsiteltiin muun muassa sitä, miten datan avoimuuden periaate sekä yksilön oikeudet pitäisi tasapainottaa, miten yksityisyyttä ilmentävien  metatietojen (tiedon turvaluokittelu)  lisäämistä verkossa liikkuvaan tietoon voitaisiin toteuttaa ym. ES

Kansainvälinen suositus Big Datan käyttöön

Big Dataan liittyviä näkymiä on pohtinut kansainvälinen tietosuojaviranomaisten ja organisaatioiden yhteistyöryhmä, International Working Group on Data Protection in Telecommunications (ns. Berlin Group). Työryhmä on todennut, että kansalaisten yksityisyyden turvaamisesta on tullut Big Datan aikakaudella yhä tärkeämpää.Tietosuojasääntely luo rajat henkilötietojen hyödyntämiseen ja määrittää lainmukaiset toimintatavat Big Datan käyttöön. Berlin Group toteaa suosituksessaan mm. seuraavaa:

– Kaikelle henkilötietojen hyödyntämiselle tulee aina olla lainmukainen peruste, esim. kansalaisen antama suostumus.

– Henkilötietojen käsittely tulee suunnitella huolellisesti etukäteen, ja käsittelyn vaikutukset yksityisyyden suojaan tulee arvioida (Privacy by Desing ja Privacy Impact Assessment).

– Kansalaisia tulee informoida avoimesti heitä koskevien henkilötietojen käsittelystä, kuten keräämisestä, käytöstä ja luovuttamisesta (Transparency).

– Henkilötietoja ei saa käsitellä niille ennalta määritellyn käyttötarkoituksen vastaisesti.

– Kansalaiselle tulee antaa tarkastusoikeuden nojalla kaikki häntä koskevat henkilörekisteritiedot ymmärrettävässä muodossa. Tämä koskee myös hänestä profiloimalla luotua tietoa.

– Myös muut kansalaisen oikeudet tulee toteuttaa, esimerkiksi kielto-oikeus ja oikeus vaatia virheellisten henkilötietojen korjaamista.

– Henkilötiedot voi olla tarpeen muuttaa tunnisteettomaan muotoon jossain vaiheessa.

– Rekisterinpitäjän tulee voida osoittaa toimintansa lainmukaisuus (Accountability).

Linkki Suomen tietosuojavaltuutetun toimiston uutispalstalle. ES

 

Bonuskorttien puhelinsovellukset keräävät paljon käyttäjätietoa

Esimerkiksi K-ketjun käyttämä Cardu-sovellus ottaa itselleen oikeudet lukea puhelimesta sen identiteetin (laitteessa olevat käyttäjätilit) sekä käyttäjän sijainnin, lähettää tekstiviestejä, päästä laitteen tiedostoihin käsiksi, käyttää kameraa ja mikrofonia sekä lukea laitteen yksilöllisen tunnuksen sekä puhelutiedot ja puhelinnumeron. Linkki Digitodayn juttuun. ES