Tulostusversio

4/2014

Vastuuta ei voi ulkoistaa

Teksti: Riittamaija Ståhle
Kuvat: Shutterstock

Nainen, jolla on käsissään tablettitietokone

 

Kun päässä pyörii miljoona villiä ideaa sähköisen palvelun perustamisesta, kannattaa ottaa aikalisä. Vetää syvään henkeä ja kahlata läpi ohjeita, lakeja ja asetuksia. Asiat on selvitettävä ihan itse.

Valmista sabluunaa turvallisen ja hyvän sähköisen palvelun perustamiseen ei ole olemassa. Yrittäjän tueksi tarjolla on kuitenkin erilaisia standardeja ja parhaita käytäntöjä pilvin pimein.

”Palvelun perustajan pitää viedä standardit käytännön tasolle”, sanoo Viestintäviraston Turvallisuussääntely-ryhmän päällikkö Jarkko Saarimäki.

”Kaikki asiat on arvioitava omaan palveluun kohdistuvien riskien näkökulmasta, sillä yleistä, kaikkiin palveluihin soveltuvaa ohjetta ei ole olemassakaan.”

Palvelua toteutettaessa on huomioitava myös lainsäädännön sille asettamat velvoitteet, kuten asiakastietojen käsittelyssä noudatettava henkilötietolaki. 

”Esimerkiksi henkilötietolaista tuleva velvoite suojata henkilötiedot kohdistuu lähes kaikkiin palveluihin.”

”Sähköisen palvelun käyttäjän taas on hyvä joskus miettiä, miksi tiettyjä tietoja kysytään. Hyvä sähköisen palvelun tarjoaja selvittää tämän asiakkaille kysymättäkin”, täydentää Viestintäviraston Kyberturvallisuuskeskuksen lakimies Eija Alavesa. Esimerkiksi puhelinnumeroa saatetaan kysyä, jotta asiakkaalle voidaan lähettää tekstiviesti silloin, kun verkkokaupasta tehty tilaus on noudettavissa.

Etsi luotettava kumppani

Sähköistä palvelua perustettaessa vaakakupissa painavat toiminnan turvallinen järjestäminen ja houkuttavuus. Hyvän sähköisen liikeidean keksineen ydinbisnestä ei useimmiten ole erilaisten alustojen tietoturvaominaisuuksien tunteminen ja kauppapaikan tekninen perustaminen nettiin.

Uudella yrittäjällä rahoitus on usein epävarmaa, joten palvelu teetetään siellä, mistä sen halvimmalla saa tai se tehdään itse. Palvelu voidaan hankkia joko Suomesta tai kansainväliseltä palveluntarjoajalta.

”Palveluntarjoajien joukkoon mahtuu monenlaisia yrittäjiä. Joskus käytettävyys ja luotettavuus kilpailevat keskenään”, sanoo Saarimäki.

Turvallisen palvelun rakentaminen vaatii paljon perehtymistä. Liiketoiminnan aloittamisen huumassa monet tärkeät asiat saattavat unohtua. Viranomaisilta saa ohjeita, mutta oman työn osuus on silti suurin.

”Luotettavan kumppanin valintaa ei voi liikaa painottaa. Kannattaa tehdä omia selvityksiä ja kysyä neuvoja asiasta enemmän tietäviltä”, Saarimäki neuvoo.

Prosessi, ei projekti

Yrittäjän pitäisi jo suunnitteluvaiheessa miettiä, mikä on riittävän korkea tietoturvan taso juuri hänen palvelulleen.

”Tietoturvan pitää olla asianmukaisella tasolla, mutta liioitella ei tarvitse”, sanoo Eija Alavesa.

Sekä Alavesa että Saarimäki korostavat turvallisuutta niin sähköistä palvelua perustettaessa kuin sitä ylläpidettäessä.

”Palvelun teknisen toteuttamisen voi ostaa ulkoa, mutta vastuuta ei voi ulkoistaa. Palveluntarjoajan pitää varmistaa palveluiden käytön turvallisuus ja huolehtia luottamuksellisten tietojen tunnistamisesta ja suojaamisesta”, Saarimäki sanoo.

Täysin turvallista palvelua ei ole olemassa. Jarkko Saarimäki listaa kuitenkin asioita, joita sähköisen palvelun tietoturvallisuuden kannalta on otettava huomioon.

”Palveluun kohdistuvat riskit on kartoitettava, ulkoiset turvavaatimukset huomioitava, tiedot säilytettävä luottamuksellisina ja oikeina sekä tietosuojanäkökohdat on huomioitava. Lisäksi palvelun käytöstä on jäätävä riittävät jäljet – lokitiedot – jälkikäteen tapahtuvaa selvittämistä varten.”

Tietoturvallisuus on prosessi, ei projekti. Perustettaessa kuntoon laitettu sähköinen palvelu vaatii jatkuvaa ylläpitoa, jatkuvia toimenpiteitä sekä ikuisesti jatkuvaa uusien riskien tunnistamista.

Käsitteet hukassa

Tietoturva ja tietosuoja heittävät kansalaisten ajatuksissa joskus iloista kuperkeikkaa.

Tietoturvalla tarkoitetaan niitä hallinnollisia ja teknisiä toimenpiteitä, joilla varmistetaan tietojen luottamuksellisuus, eheys ja järjestelmien käytettävyys. Tietosuojalla taas tarkoitetaan henkilön yksityisyyden suojaamista erilaisten henkilöön liittyvien tietojen käsittelyssä.

”Tietosuojan toteuttaminen edellyttää hyvää tietoturvaa”, sanoo tietosuojavaltuutetun toimiston IT-erityisasiantuntija Lauri Karppinen.

Perustaso taattu

Palveluntarjoajan kannalta keskeiseen lainsäädäntöön kuuluvat henkilötietolaki ja sähköisen viestinnän tietosuojalaki, jonka pykälät sisällytetään vuonna 2015 voimaan tulevaan tietoyhteiskuntakaareen.

”Henkilötietolaki on peräisin vuodelta 1999, jolloin verkkopalvelut Suomessa olivat vielä lähtökiidossa. Asetelmat olivat aivan toiset kuin nyt”, Karppinen selvittää.

Henkilötietolakia Karppinen luonnehtii perusjuridiikaksi, jolla taataan henkilötietojen käsittelyn perustaso. Laki määrittelee ne ehdot, joiden mukaan henkilötietoja voidaan käsitellä niin, että palveluun rekisteröityjen oikeudet toteutuvat. Henkilötietolain lisäksi tulee noudattaa uudempia toimiala- tai toimintakohtaisia erityissäädöksiä.

Tärkeää on, että asiakkaille kerrotaan, miksi tietoja kerätään ja mihin niitä aiotaan käyttää.

”Asiakas on pidettävä ajan tasalla. Rekisterinpitäjän on estettävä henkilötietojen joutuminen vääriin käsiin”, Karppinen kiteyttää monimutkaista lakitekstiä.

Tietosuojavaltuutetun toimisto on järjestänyt kampanjoita pk-yrittäjille. Sanoma on selkeä: suunnittele ja määrittele.

Tavoitteet ovat selkeät, mutta kaikki ei aina suju kuin Strömsössä. Liiketoiminta on Karppisen mukaan aina riskinottamista. Siinä tulee mitatuksi myös tietosuojan painoarvo.

”Jos joku menee pieleen, asiakkaille pitää viestiä nopeasti. Salailu ei tässä asiassa pitkälle kanna.”

----

Viisi vinkkiä

  1. Kartoita palveluun kohdistuvat riskit
  2. Selvitä turvavaatimukset
  3. Säilytä tiedot oikein ja luottamuksellisina
  4. Huomioi tietosuoja
  5. Ylläpidä palvelun tasoa jatkuvasti

Lue myös

Palvelut: Mobiili on haaste pankeille »
Palvelut: Sinisilmäisyydestä sakotetaan »

Bookmark and Share
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.