Tulostusversio

1/2011

Tietoturva: Vaikea laki

Teksti: Sanna Helopuro

Organisaatiot tuntevat sähköisen viestinnän tietosuojalain tietoturvapykälät yllättävän huonosti. Sen sijaan saman lain kansan suussa Lex Nokiana tunnetut säännökset ovat hyvin tiedossa, vaikka työpaikoilla niitä ei ole otettu käyttöön.

Sähköisen viestinnän tietosuojalakiin tuli vuonna 2009 muutos, jonka mukaan yrityksillä ja muilla yhteisötilaajilla on tietyin edellytyksin oikeus käsitellä sähköisen viestinnän tunnistamistietoja väärinkäytösten ehkäisemiseksi ja selvittämiseksi.

Lainmuutoksen toimivuutta arvioimaan asetettu seurantaryhmä antoi eduskunnalle väliraporttinsa viime joulukuussa. Väliraporttia varten teetettiin kysely sen selvittämiseksi, miten organisaatiot valvovat sähköpostin ja internetin käyttöä ja millaisia käytön valvonnan tarpeita niillä on.

Anonyymiin kyselyyn vastasi 48 organisaatiota. Niistä hieman yli puolet ilmoitti edustavansa informaatio- ja viestintätoimialaa.

Kyselyn vastauksista ei voida tehdä kestäviä tilastollisia johtopäätöksiä. Esimerkiksi lukuisissa kysymyksissä sellaisten vastaajien osuus oli verrattain suuri, jotka jättivät kysymykseen vastaamatta tai vastasivat "en osaa sanoa".

Vastaukset nostavat kuitenkin monin paikoin esiin samoja seikkoja, jotka tulivat esiin myös seurantaryhmän työssä. Niistä kävi selvästi ilmi, että useat organisaatiot kokevat tarpeelliseksi rajoittaa sähköpostin ja internetin käyttöä eri tavoin.

Tietoturvatietämyksessä aukkoja

Merkittävää kyselyssä oli, että yli puolet vastaajista ei tuntenut sähköisen viestinnän tietosuojalain nimenomaan tietoturvaa koskevia säännöksiä. Vastauksissa tietoturvasta huolehtimisen nähtiin useimmiten olevan jonkun muun kuin ylimmän johdon vastuulla.

Tietoturvatuntemuksessa oli muitakin aukkoja. Organisaatioista noin 60 prosenttia oli laatinut tietoturvapolitiikan. Vastaajista viidennes ei kuitenkaan tiennyt, oliko sellaista laadittu.

Väärinkäytöksistä kysyttäessä vastaajista 36 prosenttia ilmoitti, että organisaatiossa on havaittu internetin ja sähköpostin käyttöön liittyviä väärinkäytöksiä. Kun kysyttiin, onko organisaatioilla tarvetta valvoa internetin tai sähköpostin käyttöä, noin kolme neljännestä vastasi kieltävästi tai ei osannut sanoa.

Tunnistamistietoja käsitelty ilmoittamatta?

Jos sähköisen viestinnän tietosuojalain tietoturvasäännökset olivat yllättävän heikosti tiedossa, samaa ei voi sanoa tunnistamistietojen käsittelyä koskevista säännöksistä: noin 70 prosenttia vastaajista ilmoitti tuntevansa ne.

Mielenkiintoista on, että selvityksen mukaan neljä yritystä oli ottanut väärinkäytösten selvittämiseen liittyvät säännökset käyttöön. Tietosuojavaltuutetulle ei kuitenkaan ilmoituksia ole tehty, vaikka se on säännösten käyttöönoton eräs edellytys.

On myös huomattava, että vastaajista kaikkiaan noin 35 prosenttia ei osannut sanoa, onko säännökset otettu organisaatiossa käyttöön.

Seurantaryhmä arvioi raportissaan, että kysymyksen ymmärtämistä ja vastausten luotettavuutta voidaan pitää kyseenalaisina.

Väärinkäytösten uhka todellinen

Seurantaryhmä on pohtinut syitä sille, etteivät organisaatiot ole ryhtyneet tunnistamistietojen käsittelyyn lain mahdollistamalla tavalla. Yksittäistä syytä ilmiölle ei ole löydetty. Mahdollisesti organisaatiot ovat suojanneet viestintäverkkonsa ja yrityssalaisuutensa muilla tavoilla tai niillä ei ole sellaista suojattavaa aineistoa, jonka vuoksi säännökset tulisi ottaa käyttöön.

On myös koettu, että säännökset ovat vaikeaselkoisia. Etenkin lain tietoturva- ja tunnistamistietosäännösten suhdetta pidetään epäselvänä.

Jossain määrin myös ilmoituksen tuoma mahdollinen negatiivinen julkisuus ja imagohaitta sekä ennakoimattomat maksut koetaan ongelmallisiksi.

Seurantaryhmä katsoi väliraportissaan, että tähänastista tarkastelujaksoa ei voida pitää kovin pitkänä syvällisten analyysien tekemiseen. Silti lainmuutoksen taustalla olleet arviot väärinkäytösten uhasta ovat yhä voimassa. Yhteisötilaajilla on olemassa perusteltu tarve suojautua tehokkailla keinoilla erilaisia tietoon kohdistuvia väärinkäytöksiä, kuten esimerkiksi luvatonta käyttöä tai yrityssalaisuuksien paljastamista, vastaan.

LVM:n tiedote (5.3.2012): Lex Nokian tarpeellisuus arvioitava uudelleen >>

---

[KIRJOITTAJA]

Viestintäneuvos Sanna Helopuro toimii liikenne- ja viestintäministeriön viestintäverkkoyksikössä.

 

 

Lue myös

Yksityisyys: Lex Nokia toteutuu »
Tietoturva: Lex Nokia nostaa tietoturvan tapetille »
Yksityisyys: Lex Nokia on viimeinen keino »
Lex Nokia lisäsi tietoturvakeinoja »
Lex Nokia: Vastaus käytännön tarpeisiin »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi
Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.