Posthumous privacy?

Posthumous privacy?

As a part of my master studies at Laurea, I’ve been working with INACHUS -project and new GDPR regulation. And have to say, the privacy issues there are way confusing sometimes. 

What is project about? A quote from INACHUS website:

INACHUS aims to achieve a significant time reduction related to Urban Search and Rescue (USaR) phase by providing wide-area situation awareness solutions for improved detection and localisation of the trapped victims assisted by simulation tools for predicting structural failures and a holistic decision support mechanism incorporating operational procedures and resources of relevant actors.

Now, collecting personal data from regular users of digital services is quite a lot different deal. You can talk about consent and how intelligible it is. When conducting area surveillance you can put up signs and warnings for people to see. But when you enter the disaster area with wide area surveillance tools having sensor technology from optoelectronics and biological sensors to mobile device scanning with presumable dead victims around, it’s a completely different world.

1st question will be the legal basis of collecting anything at all. The disaster area might be wide with thousands of people there. Some are injured, lost and even dead. No way of effectively collecting consents. Then again, the executor of mission may be official authority in the country. And the rescue workers are saving lives, protecting the vital interests of many. The logic would say yes, do anything that has to be done in order to save as many as possible!

People can be recognized from pictures and audiofiles used for communications. The cellular data reveals end users’ and locations quite precisely. They can reveal a lot more too. Pictures and sensors can reveal health condition. Depending of culture, clothing, jewelry and appearance may tell something of social class or religion. The location of discovery may also be relevant. It might be a little different thing if person was found from grocery store or for example temple. Especially if there’s any segregation based on religion in the country rescue team operates at.

Persons might be connected to people they would never deal with. The debris might change the structure of surroundings, affecting location of discovery. The mobile signals from the coffeeshop may give an impression person was dealing with criminals or even terrorists found at the same place. The whole disaster and it’s reasons may be human caused, which will most likely launch further investigations. Plain bad fortune may give very different image of persons’ last moments than the reality is. But who is in charge of the investigation? Who owns the data? Who has the authority to it? Who else might be interested of it? What kind of infrastructure the communications rely on? Where’s the data stored and how it is transmitted? And how secure it will be?

How will the privacy of the deceased, lost and wounded, their relatives and close ones, respected and taken care of? These questions will be answered in time. But I guess I’m having very interesting weeks ahead…

Advertisements
Valheellista markkinointia tietosuojasta

Valheellista markkinointia tietosuojasta

Tietosuoja-asetuksen ympärillä myydään tällä hetkellä erilaisia GDPR-ready ja Tietosuoja Sertifioitu -leimoja. Totuus on, että yhdelläkään näistä et täytä asetuksen vaatimuksia.

Syy on yksinkertaisesti asetuksen perushengessä ja sen velvoitteissa. Syitä löytyy tekstistä monia ja vieläpä todella yksityiskohtaisia. Tässä pääkohdat.

Riskilähtöinen lähestymistapa

“Risk to the rights and freedoms of data subjects”
Asetus edellyttää tietosuojaan kohdistuvien riskien kartoitusta ja arviointia. Kaikki toimenpiteet ja kontrollit on toteutettava organisaation käsittelyprosesseihin ja organisaatiokohtaiseen riskiarvioon pohjautuen. Ja jokainen riskienhallintaa tehnyt tietää, että se ei ole kertaprojekti, vaan jatkuva prosessi. Tämä johtuu siitä, että toiminta, toimintaympäristö, organisaatio ja sidosryhmät muuttuvat koko ajan. Samoin riskit.

Hyvää tässä on se, että pienemmissä organisaatiossa ja suppeammilla käsittelytavoilla riskejä on yleensä vähemmän ja niiden hallinta on helpompaa. Tämä ei siis välttämättä tarkoita suurta hintalappua.

Vastuu tietojen luottamuksellisuudesta

“confidentiality and integrity”
Vastuu tietoturvallisuudesta on vastuutettu myös rekisterinpitäjille ja käsittelijöille tarkemmin kuin aiemmin. Rekisterinpitäjä ja käsittelijä vastaavat toiminnassaan siitä, että tiedot pysyvät luottamuksellisena käyttötarkoitukseen ja ilmoitettuun käsittelytapaan ja -tarkoitukseen nähden. Vastuu myös tietojen eheydestä ja paikkansapitävyydestä (“accuracy”) on heillä.

Tilivelvollisuuden osoittaminen

“Accountability”
Ennen riitti, että kerroit toimivasi lain mukaan. Nyt se pitää osoittaa. Muutama rekisteriseloste kohtuullisen vakiona pysyville rekistereille ja se siitä. Homma oli tehty. Nyt on kyettävä kertomaan käsittelystä, prosesseista, muutoksista, varautumisesta ja perustelemaan tehdyt toimet koko tiedon elinkaaren ajalta. Ja tämä on kyettävä tekemään myös jälkikäteen. Asetuksen noudattamatta jättämisestä ja tilivelvollisuuden laiminlyönnistä seuraa aika raskaitakin rahallisia sanktioita. Samoin vahingonkorvausvelvollisuus rekisteröidyille aiheutuneista vahingoista tietosuojan loukkausten osalta on yksiselitteisesti rekisterinpitäjillä ja käsittelijöillä.

Kannattaa muistaa, että tekemisen voit ulkoistaa, mutta vastuuta et. Ulkopuolista asiantuntijaa kannattaa käyttää. Tarpeen mukaan mahdollisesti jopa useampiakin. Mutta tässä kohtaa perinteinen “kiinteä hinta ja toimituspäivämäärä tarjouksella” ei riitä loppuun asti. Asetusta kannattaa lähestyä myös kokonaisuutena, sillä se säästää rahaa. Umpimähkään valitut ratkaisut eri velvoitteisiin, niiden yhteensovittaminen ja hallinta voi tulla kalliiksi. Tarkista, mitä todella tarvitset ja varaudu vain niihin riskeihin, jotka sinulla ovat olennaisia.

Tietosuoja ei ole rakettitiedettä

Tietosuoja ei ole rakettitiedettä

Palveluntarjoajia ja konsultteja on nyt pilvin pimein ja lisää tulee koko ajan. Kenet minä tarvitsen vai tarvitsenko ketään?

Tietosuoja-asetuksen velvoitteet ovat tuoneet uusia tekijöitä konsultoinnin ja palveluntarjoajien kentälle. Moni miettii myös, miksi ei tekisi itse. Ja miksipä ei? Ei tietosuoja-asiat ole mitään ylitsepääsemättömän vaikeita asioita. Kuka tahansa saa homman alkuun ja maaliinkin asti ihan omin voimin. Kyse on ehkä siitä, että paljonko resursseja siihen on käyttää.

Monella yrityksellä normaalitoiminta on se mihin resurssit on laskettu ja varattu. Ylimääräinen on aina ylimääräistä. Työnantajallani asiaa on lähestytty kuin mitä tahansa liiketoiminnan, tietotekniikan tai tietoturvan kehitysprojektia. Hankitaan riittävä osaaminen ja vuokrataan sitä asiakkaalle, kun asiakkaan käsiparit eivät riitä. Lähtökohta on vanha tuttu “saattaen vaihtaminen”. Autetaan alkuun, kerrotaan tärkein, tehdään suurin työ alta pois ja sovitaan jatkossa työn jakautumisesta. Emmekä me aina siihen jatkoon enää kuulu. Kun asiat on kunnossa ja viety osaksi normaalitoimintaa, et tarvitse enää ketään.

Jos et vielä tiedä, mitä teiltä odotetaan, käy sivustolla:

http://tietosuojakuntoon.fi

Aktivoi tietosuojan sensoriverkkosi!

Aktivoi tietosuojan sensoriverkkosi!

Tietosuoja-asetuksen mukaiseen toimintaan siirryttäessä korostuu jo tietoturva-asioista tuttu asia. Jos asiat tehdään paperiharjoituksena neukkarissa vain vastuutiimin kesken, jää tärkein tavoittamatta. 

Koko henkilöstön mukaan saaminen on ensiarvoisen tärkeää kolmesta syystä, joista kaikki ovat tärkeitä heti prosessin käynnistämisen ensiaskeleilla. Ensinnäkin henkilöstö organisaatiossa on se, joka henkilötietojen käsittelyä suorittaa. Siksi koulutus ja oikeanlainen ohjeistus on enempiä perusteluja vaatimatta tietenkin tarpeen.

Henkilöstön osallistamiseen ei voi kuitenkaan suhtautua vain yksisuuntaisen ohjeistuksen ja koulutuksen näkökulmasta. Heti alusta alkaen tarvitaan organisaatiosta myös ajantasaista tietoa. Hyvästäkin dokumentaatiosta huolimatta ei kaikki henkilötietojen käsittely ole aina täysin kirjattu ja selvillä. Organisaatioihin syntyy helposti varsinaisten kirjattujen prosessien ja toimintojen sisään epävirallisia menettelytapoja ja rekistereitä. Tietosuoja-asetus koskee kuitenkin kaikkea henkilötietojen käsittelyä. Riippumatta siitä, onko käsittelyprosessi tai rekisteri organisaation virallinen vai väliaikainen ja epävirallisempi. Tieto näistä tarvitaan heti alusta alkaen.

Henkilöstöllä on hallussaan myös kaikki hiljainen tieto, mitä ei yrityksen kansioista ja tiedostoista löydy. Tämä on tärkeää edellämainitun lisäksi myös vaikutustenarviointia ja riskiarvioita tehdessä. He tuntevat myös työkulttuurin: he tietävät, miten asiat oikeasti tehdään. Vasta tätä kautta päästään toiminnallisiin riskeihin kiinni. He myös tekevät havaintoja. Ihmistä sanotaan usein tietoturvan heikoimmaksi lenkiksi, mutta se on sitä vain silloin, kun koulutus ja motivaatio puuttuu.

Tee “heikoimmasta lenkistäsi” vahvin. Ihan alusta asti sitoutettu, motivoitu ja koulutettu henkilöstö – jokaisella organisaation tasolla – varmistaa toimintasi vaatimustenmukaisuuden.

 

Oikeudesta tulla unohdetuksi

Oikeudesta tulla unohdetuksi

Tietosuoja-asetuksesta löytyy rekisteröidyn oikeus saada tietonsa poistetuksi rekisteristä. Se ei kuitenkaan ole automaatti, joka antaisi täydellisen hallinnan vaikkapa Internetin hakutulosten hallintaan itseä koskien. 

Guardian uutisoi Japanin korkeimman oikeuden päätöksestä koskien pedofiliasta tuomitun henkilön tietojen poistopyyntöä Google hauista. Tuomittu katsoi, että tuomiota koskevat hakutulokset vaikeuttivat hänen elämäänsä ja haittasivat hänen siirtymistä elämässä eteenpäin. Oikeus kuitenkin katsoi, että yhteisön oikeus tietoon on painavampi, etenkin ottaen huomioon tuomitun rikosten vakavuuden.

Usein unohtuu keskusteluissa, että 17 artikla, joka käsittelee tietojen poistoa, ei ole rekisteröidyn subjektiivinen ehdoton oikeus. Siinä on myös ehtonsa. Artiklaa ei ole suunniteltu menneiden tapahtumien tai historian peittelemiseksi, vaan pääsääntöisesti rekisteröidyn oikeudeksi vaikuttaa virheellisiin tietoihin tai oikeudettoman rekisteröinnin korjaamiseksi. Artiklassa mainitaan, että poistamisoikeutta ei pidä käyttää esimerkiksi sananvapauden tai tiedonvälityksen vapauden rajoittamiseksi.

Privacy Shield ja Safe Harbour

Privacy Shield ja Safe Harbour

Kummassakin otsikon asiassa on kyse henkilötietojen suojasta Euroopan ja Yhdysvaltojen välillä. Monelle ne ovat edelleen uusia termejä. 

Euroopan unionin tuomioistuin totesi 6.10.2015 Safe Harbour sopimuksen pätemättömäksi. Taustalla on mm. Euroopan oman tieosuojalainsäädännön uudistaminen. Tilalle on tullut Privacy Shield järjestely, jolla pyritään turvaamaan EU-kansalaisten henkilötietojen korkea suoja myös Yhdysvalloissa paikallisten yritysten kerätessä ja käsitellessä henkilötietoja EU:sta. Järjestely sisältää hyvin samanlaisia edellytyksiä henkilötietojen käsittelylle Yhdysvalloissa kuin mitä EU:n uusi tietosuoja-asetus edellyttää EU-alueen yrityksiltä.

Privacy Shieldin piiriin pääsee yhdysvaltalainen yritys, joka ilmoittautuu kauppaministeriölle ja suorittaa itseauditoinnin henkilötietojen käsittelyn vaatimuksista. Statuksen voimassaolo on uusittava vuosittain. Yhdysvaltojen kauppaministeriö valvoo ilmoittautuneita ja ylläpitää aktiivisten ja inaktiivisten yritysten listaa osoitteessa:

https://www.privacyshield.gov/list

Suomenkielisen oppaan Privacy Shieldistä voi ladata Euroopan komission sivuilta osoitteesta:

http://ec.europa.eu/justice/data-protection/files/eu-us_privacy_shield_guide_fi.pdf

Tietosuoja-asetus liiketoiminnan boostaajana

Kerrankin byrokratian rattailla tuotetaan jotain hyvää liiketoiminnan edistämiseksi. Silti tietosuoja-asetuksen edessä venkoillaan, hikoillaan, protestoidaan ja vuodatetaan kyyneleitä. Kyseessä on kuitenkin yksi parhaita viennin edistäjiä.

Etenkin tietoturvassa ja rikosforensiikassa päivätöissäni on joutunut tottumaan siihen, että aina kun maan rajoja ylitetään, joudutaan ylimääräisen työtaakan alle. Joka maalla on oma lainsäädäntönsä, tulkintansa, menetelmänsä ja joskus outoutensa kansalaistensa ja yritystensä suojelemiseksi ja toiminnan ohjaamiseksi.

Tästä eteenpäin palveluiden vienti on meille paljon helpompaa silloin, kun se liittyy henkilötietoihin ja tietosuojaan. Perusasiat ovat joka puolella samat. Esimerkiksi paljon Suomessa palstatilaa saaneeseen laitesali- ja pilvipalveluliiketoimintaan tämä on pelkkää boostia. Vastaisuudessa eroja EU-alueen sisällä on paljon vähemmän. Samoin palveluiden ostaminen helpottuu – oli sitten kuluttaja tai yritys, joka etsii alihankintakumppania.

Tämähän on juuri EU:n tarkoitus. Edistää henkilöiden, tavaroiden ja palveluiden liikkuvuutta. Jatkossa myös tiedon. Tietenkin eettisesti, niinkuin kaikki muukin tekeminen. Miksi positiivista suhtautumista näkee niin vähän?

 

EDIT 13.4.207: Asiasta myös Opsecin blogissa otsikolla, miten tietosuojalla saa lisää asiakkaita.