Tietosuoja ja tietoturva ajankohtaisessa valokeilassa

Olemme keskustelleet viime aikoina paljon tietoturvasta sekä henkilötietojen tietosuojasta. Ongelmana on se että suuret jätit kuten Google ja Facebook toimivat omien käytäntöjen mukaan ja sijaitsevat Yhdysvalloissa. EU:n lainsäädäntö on tarttunut näiden isojen jättien toimintaan ja pitää melkein minkä tahansa datan siirtämistä yhdysvaltalaiselle palvelimelle tietosuojariskinä. Uutisissa onkin viime aikoina nostettu esimerkiksi Google Analyticsin tai monien muiden palveluiden käyttämistä laittomana.

Pienelle toimijalle ja pienyrittäjälle tämä on suuri päänsärky. Jopa tietokoneen IP-osoitetta pidetään nykyään henkilötietona ja sen kulkeutuminen yhdysvaltalaiselle palvelimelle on EU:n mukaan paha juttu. Tietosuojaviranomaiset taas eivät ota asiaan kantaa, koska heillä ei ole ohjeistukseen resursseja. He linjaavat että, jos tulee asiasta valitus niin sitten he ottavat valituksen käsittelyyn. Ennen sitä he eivät anna lainkaan ohjeistusta asiaan.

Oma näkemykseni on, että maalaisjärki käteen: Minusta Google Analyticsiä voi hyvin käyttää olemassa olevissa palveluissa ja odotella asian suhteen, että isommassa kuvassa ehditään tehdä jotakin. En kuitenkaan myisi palvelua, joka pohjautuu Google Analyticsin käyttöön ydinpalveluna näiden epäselvyyksien takia. Toisaalta pidän epätodennäköisenä sitä, että Google jättää Euroopan markkinat palveluissaan pois. Uskon että näihin löydetään jokin ratkaisu ajan kanssa.

Tietoturva ja tietosuoja on aina tasapainottelua täydellisyyden ja käytännön välillä. Täydellinen tietoturva ja tietosuoja on käytännössä mahdotonta toteuttaa, se vaatisi äärettömän määrän resursseja. Tietoturva toteutuu käytännössä järkevimmällä tavalla kun jokainen toimija huolehtii perustietoturvasta, päivitysten säännöllisestä ajamisesta, varmuuskopioista. Tärkeintä on ettei suoraa henkilötietoa ajaudu vääriin paikkoihin. Myöskään evästeitä ei nykyisin saisi käyttää mikäli niitä ei ole käyttäjällä hyväksytty (poislukien pakolliset paikalliset evästeet, kuten esimerkiksi verkkokaupan paikallisen ostoskorin eväste).

Suoralla henkilötiedolla tarkoitan esimerkiksi verkkokaupassa ja verkkokursseilla säilytettäviä asiakkaiden tietoja (nimi, osoitteet, sähköposti, puhelin) ja näiden suhteen on syytä tehdä auditointi ja riskiarviointi. On tärkeää tehdä myös suunnitelma siitä, mitä tehdään jos tiedot kuitenkin vuotavat esimerkiksi hakkeroinnin seurauksena, vaikka tietoturvasta on huolehdittu riittävällä tasolla.

Samankaltaiset artikkelit

Vastaa