Sisäänrakennetun ja oletusarvoisen tietosuojan toteuttamisen haasteet

Tietosuojasta huolehtiminen on lakisääteinen velvollisuus, mutta siihen kannattaa suhtautua ennen kaikkea mahdollisuutena.

Laadukkaat tietosuojakäytännöt herättävät luottamusta ja voivat tuoda yritykselle kilpailuetua. Tietosuojan turvaamiseksi tuotekehityksessä tulisi EU:n yleisen tietosuoja-asetuksen mukaan hyödyntää sisäänrakennetun ja oletusarvoisen tietosuojan periaatteita eli Privacy by Design -ajattelua. 

Sisäänrakennetun ja oletusarvoisen tietosuojan toteutuminen vaatii proaktiivista asennetta

Tietosuojaan tulisi aina suhtautua proaktiivisesti, eli pyrkien ennakoimaan mahdollisia tietosuojariskejä ja ehkäisemään niitä ennalta. Etenkin sovelluskehityksessä proaktiivinen asenne on tärkeää, sillä isojen muutosten tekeminen muutoin valmiiseen järjestelmään voi olla aikaa vievää ja kallista. Tietoturvan lisäksi myös tietosuojalle ominaiset vaatimukset tulisikin huomioida kaikissa kehityksen vaiheissa: vaatimusmäärittelyssä, sovelluksen suunnittelussa, ohjelmoinnissa, testaamisessa ja julkaisussa. Ihannetilanteessa kehitetty ohjelmisto turvaa tietosuojan toteutumisen automaattisesti ja käyttäjän toiminnasta riippumatta. Esittelemme kolme sovelluskehityksessä huomaamaamme haastetta tietosuojan toteutumisen näkökulmasta sekä mahdollisia ratkaisuja niihin. 

1. Kiire sovellusten kehityksessä ja käyttöönotossa uhkaa tietosuojaa

Vuonna 2020 Islannin valtio päätti koronavuoden taloutta piristääkseen antaa sähköisen lahjakortin kaikille täysi-ikäisille kansalaisilleen. Lahjakorttia kehittämään palkattiin sovelluskehitysyritys. Pian julkaisun jälkeen Islannin tietosuojaviranomainen sai valituksia koskien sovelluksen keräämän henkilötiedon liiallista määrää sekä mobiilisovelluksen pyytämiä lupia käyttäjän mobiililaitteeseen, jotka käyttäjät kokivat tarpeettomiksi. Tietosuojaviranomaisen tarkastuksessa sekä rekisterinpitäjän että henkilötietojen käsittelijän todettiin epäonnistuneen sisäänrakennetun ja oletusarvoisen tietosuojan implementoinnissa. Lopputuloksena tietosuojaviranomainen tuomitsi sekä lahjakortin tilanneen ministeriön että lahjakortin kehittäneen sovelluskehitysyrityksen sakkoihin EU:n yleisen tietosuoja-asetuksen nojalla. Pääsyiksi tietosuoja-asetuksen rikkomiseen nähtiin inhimillisen virheen lisäksi sovelluksen kehittämisen ja sen julkaisun kiirehtiminen.

Yksi tietoturvan ja tietosuojan toteutumisen suurimpia haasteita on kiire. Jatkuvan julkaisun mallissa (continuous delivery) julkaisusyklit saattavat olla hyvinkin lyhyitä. EY:n Global Information Security Survey 2021 -tutkimuksen (GISS) mukaan monissa yrityksissä sekä kehitys- että käyttöönottoprojektit viedään tietoturvaosaston konsultoitaviksi aivan liian myöhään. Koska etenkin isot organisaatiot toimivat usein siiloissa, tietosuojasta vastaavien henkilöiden konsultoiminen tuotekehitykseen liittyen jää monesti vielä vähemmälle tietosuojan ollessa yleensä sijoitettuna yrityksen lakitoimintoihin. Toisinaan ketterän kehityksen malleihin ei ole edes sisällytetty muiden organisaation tahojen konsultointia. Sen sijaan luotetaan siihen, että kehittäjillä on kaikki työn toteuttamiseksi vaadittu osaaminen ja tiimit pystyvät toimimaan täysin muista tahoista riippumattomina.

Toteutuakseen Privacy by Design vaatiikin yrityksiltä ennen kaikkea tietoisia askelia kohti parempaa tietosuojakulttuuria. Kun ohjelmistokehittäjillä on asiantuntemusta tunnistaa mahdolliset vaaran paikat ja heitä motivoi aito halu suojella käyttäjän henkilötietoja väärinkäytöltä, on tietosuojan toteutuminen todennäköisempää. Kansainvälisen tietosuojayhdistys IAPP:n ja EY:n yhteistyössä tekemän tietosuojan hallintakeinoja käsittelevän tutkimuksen IAPP-EY Annual Privacy Governance Report 2021 mukaan organisaation tietosuojakouluttaminen koetaan yrityksissä vaikeimmaksi tietosuojaan liittyväksi tehtäväksi heti henkilötietojen siirtovaatimusten ja tietosuojan vaikutustenarvioinnin jälkeen. Roolipohjaisesti suunniteltu kouluttaminen kuitenkin kannattaa, sillä lopputuloksesta hyötyvät kaikki: asianmukaisesti hankitusta, käsitellystä ja suojatusta datasta on ehdottomasti hyötyä myös palvelua markkinoidessa.

2. Onko ketterän kehityksen ja tietosuojakontrollien yhdistäminen mahdollista?

Perinteisesti ketterä kehitys ei metodologiana suosi määrämuotoisia kontrollikehyksiä, vaan kehitystiimeille annetaan mahdollisimman paljon vapauksia esimerkiksi kehityssprinttiin valikoituneiden toimintojen toteuttamiseksi. Myös dokumentaation kattavuus vaihtelee kehitysmalleittain ja yrityksittäin. Ketterä kehitys on rakennettu jatkuvan iteraation periaatteelle: sovellus saatetaan julkaista asiakkaalle keskeneräisenä, minkä jälkeen sitä kehitetään asiakkaan palautteen perusteella. Kehityksen alla oleva versio pilkotaan usein osiin, ja yksittäinen kehitystiimi saattaa olla vastuussa jonkin tietyn toiminnallisuuden, esimerkiksi web-sivun hakutoiminnon, toteuttamisesta web-sovelluksessa. Koska toiminnallisuuksia kehitetään erillään, ymmärrys koko tuotteen tietosuojan ja tietoturvan tasosta saattaa hämärtyä. Toinen haaste sisäänrakennetun tietosuojan ja tietoturvan toteutumisessa onkin tietoturvan ja tietosuojan varmistaminen kehitysmallissa, joka saattaa olla hyvinkin vapaamuotoinen.

Inhimillisiä virheitä voi pyrkiä minimoimaan kontrollien avulla. Etenkin riittävä testaaminen on tärkeää, sillä useimmat ohjelmointivirheet havaitaan jo testausvaiheessa, kun testitapaukset kirjoitetaan riittävän kattavasti ja testaus suoritetaan riittävän suurella populaatiolla. Aina virhettä ei kuitenkaan huomata kattavasta testauksesta huolimatta. Norjan viranomainen Datatilsynet tuomitsi viime vuonna pankkialan toimijan sakkoihin puuttuvasta riskiarviosta ja testaamisesta. Pankilla oli asiakkailleen avoin portaali, jossa asiakkaat näkivät tietoa lainoistaan. Portaaliin oli annettu kirjautumistiedot 500:lle pankin asiakkaalle, joista noin viidesosa oli ehtinyt käyttää palvelua, kun yritys ilmoitti viranomaiselle vuonna 2019 henkilötietojen tietoturvaloukkauksesta. Käyttäjillä oli ollut sovelluksessa olevan linkin kautta pääsy toisen käyttäjän henkilö- ja lainatietoihin, mikä virallisten asiakirjojen mukaan johtui virheestä istuntotietojen varmentamisessa. Yrityksen antaman lausunnon mukaan ratkaisua oli testattu sekä testiympäristössä että sisäverkossa olevassa ympäristössä, joka luki tuotannon tietokantaa. Yritys ei antamansa lausunnon mukaan kyennyt toistamaan virhettä testissä.

IAPP-EY:n tutkimuksen mukaan noin neljäsosa yrityksistä käyttää tietosuojan hallintamallissaan vertailukohtana National Institute of Standards and Technology:n tietosuojakehystä (NIST Privacy Framework) tai ISO 27701 standardia. IAPP-raporttiin vastanneista yrityksistä 87 prosenttia ilmoitti hyödyntävänsä ulkopuolisen yrityksen palveluja henkilötietojen hallinnassa, ja monet yritykset ilmoittivat edellyttävänsä näiden tietosuojakehysten mukaan toimimista myös toimittajiltaan. Koska rekisterinpitäjä on aina viime kädessä vastuussa rekisteröityjensä henkilötietojen käsittelystä, tulevat rekisterinpitäjät oletettavasti enenevissä määrin vaatimaan järjestelmätoimittajiltaan esimerkiksi tietosuojasertifiointeja. Odotettavissa siis on, että ohjelmistokehitykseen tullaan suunnittelemaan kontrolleja, joilla tähdätään tietosuoja- ja tietoturvariskien pienentämiseen. Tulee kuitenkin muistaa, että kyseiset kontrollikehykset ovat hyvin yleisluonteisia ja niiden soveltaminen riippuu yrityksestä. Jotta kontrolleista olisi enemmän hyötyä kuin haittaa, tulisi kehitykseen liittyvät kontrollit mielellään suunnitella ohjelmistokehittäjiä kuunnellen. Norjan viranomainen onkin kirjoittanut suosituksensa tietosuojan huomioimiseksi kehityksessä yhteistyössä sovelluskehittäjien kanssa.

3. Sääntelyn aktiivinen seuraaminen tietosuojan toteutumisen edellytyksenä

GISS-tutkimuksen mukaan lähes 40 prosenttia vastaajista odottaa organisaationsa investoivan merkittävästi dataan ja teknologiaan seuraavan 12 kuukauden aikana. Käyttäjädatan hyödyntäminen liiketoiminnassa on yleensä henkilötietojen toissijaista käyttöä, eli henkilötiedon käsittelemistä muuhun tarkoitukseen kuin siihen, johon henkilötieto on alun perin kerätty. Käyttäjistä kerätyn datan toissijainen hyödyntäminen voi tarkoittaa esimerkiksi sovelluksen käytöstä kertovan analytiikan keräämistä, käsittelyä koneoppimisalgoritmin kouluttamiseksi tai julkisen liikenteen aikataulujen optimointia käyttäjälle sovelluksen muista käyttäjistään keräämän ruuhkatiedon perusteella. Toissijainen käyttö on yleisen tietosuoja-asetuksen mukaan mahdollista silloin, kun muuhun tarkoitukseen tapahtuva käsittely on yhteensopivaa alkuperäisen tiedon käsittelyn tarkoituksen kanssa.

Ranskan tietosuojaviranomainen Commission Nationale de l'Informatique et des Libertés (CNIL) antoi hiljattain uusia suosituksia tilanteisiin, joissa henkilötietojen käsittelijä, yleensä kolmas osapuoli, hyödyntää rekisterinpitäjän tietoja toissijaiseen tarkoitukseen. Viranomaisen suositus sallii käsittelijän hyödyntää henkilötietoja esimerkiksi palvelun kehittämiseen, mutta asettaa henkilötietojen käsittelijälle uusia rajoituksia, joita noudattaakseen moni yritys joutuu päivittämään käytäntöjään. Henkilötietojen käsittelijän suorittamaan toissijaiseen käsittelyyn tulisi viranomaisen suositusten mukaan olla rekisterinpitäjän nimenomainen lupa. Lisäksi rekisterinpitäjän tulisi arvioida jokainen käsittelytoimi erikseen sen osalta, onko toissijainen käsittelytarkoitus yhteensopiva alkuperäisen käsittelyn tarkoituksen kanssa. Pysyäkseen päivittyvän sääntelyn ja ohjeiden perässä yrityksiltä vaaditaankin oma-aloitteisuutta ja osaavaa resurssia sääntelyn tulkitsemiseen yrityksen kontekstissa. IAPP-EY tutkimuksen mukaan yritykset odottivatkin tietosuojabudjettien kasvavan edelleen ja lähes puolet tutkimukseen osallistuneista organisaatioista odotti organisaationsa lisäävän tietosuojaan kohdennettuja resursseja lähitulevaisuudessa. 

Tietosuoja-asetus koskee vain tietoa, joka on yhdistettävissä luonnolliseen henkilöön. Ratkaisuina henkilötietojen toissijaisen käsittelyn haasteisiin yritykset ovatkin hyödyntäneet muun muassa tiedon anonymisointia, sillä täysin anonymisoitu tieto ei kuulu tietosuoja-asetuksen piiriin. Verkottuneessa maailmassa täysin anonyymin tiedon saavuttaminen on tietenkin kiistanalainen asia, mutta esimerkiksi datan aggregoinnin avulla yritykset pystyvät luomaan anonyymiksi katsottua dataa. Erilaiset anonymisointiin tarkoitetut työkalut ja ominaisuudet sovelluksissa ovatkin lisääntyneet viime vuosina merkittävästi. Myös pseudonymisoimisella pystytään pienentämään tiedon käsittelyyn liittyviä riskejä. Toisin kuin anonymisoitua tietoa, tietosuoja-asetuksen vaatimukset kuitenkin koskevat myös pseudonymisoitua henkilötietoa.

Yritykset ovat ratkaisseet datan käyttöön liittyviä ongelmia myös pyytämällä käyttäjältä erillisen suostumuksen tietojen käsittelyyn. Nimenomaisen suostumuksen perusteella käsitelty henkilötieto ei toki ole enää toissijaista vaan ensisijaista käsittelyä ja tiedon rekisterinpitäjyyttä tuleekin pohtia. Suomen apulaistietosuojavaltuutettu muistuttaa, ettei henkilön antama suostumus käsittelyyn kuitenkaan syrjäytä asetuksen vaatimuksia. Sijaintitiedon tarpeettomaan keräämiseen liittyvässä tapauksessa suomalaisen korkeakoulun työntekijät käyttivät kolmannen osapuolen sovellusta leimatakseen työaikansa etätyössä. Sijaintitietoa ei aktiivisesti käytetty mihinkään, vaan kehitetty sovellus vaati käyttäjän laitteen sijaintitietoja toimiakseen. Apulaistietosuojavaltuutetun näkemys sijaintitiedon keräämiseen järjestelmäteknisistä syistä oli, ettei tietosuojaa vaarantavia palveluita tai järjestelmiä tulisi ylipäätään ottaa käyttöön.

Lopuksi

Tietosuojasääntelyä leimaa dynaamisuus ja pirstaleisuus, eikä se todennäköisesti ole lähitulevaisuudessakaan yksinkertaistumassa. Lisäksi digitalisaatioon aiotaan myös jatkossa panostaa vahvasti, mikä tulee lisäämään myös tietosuojaan vaadittavien resurssien määrää. Haasteista huolimatta yhä useampi yritys tuntuu kuitenkin ymmärtäneen, ettei tietosuojasta huolehtiminen ole uhka yrityksen kasvustrategialle – päinvastoin, se on sen edellytys.

Tietosuojasta huolehtiminen tulisikin siis nähdä voimavarana eikä taakkana, jonka vuoksi muista tavoitteista joudutaan tinkimään. Laadukkaat tietosuojakäytännöt turvaavat sekä yksilön että yrityksen selustaa.

EY:n 1300 kyberturvallisuuden ja riskienhallinnan ammattilaista ympäri Eurooppaa ovat valmiita auttamaan asiakkaitamme kaikissa kyberturvallisuuteen liittyvissä haasteissa. Ota yhteyttä, mikäli tietosuojakäytännöt mietityttävät!