Ministeri Bernerin blogi, tietosuoja, tietoturva, yleinen

Palvellaan paremmin, mutta pidetään kiinni tietosuojasta

Anne_Berner_blogi3
Liikenne- ja viestintäministeri Anne Berner (Kuva: LVM / Tomi Parkkonen)

Suomessa luottamus viranomaisiin on maailman huipputasoa. Tämä luottamus ansaitaan pitkäjänteisellä hyvällä työllä ja noudattamalla tarkasti yhteisiä sääntöjämme hyvästä hallinnosta. Tätä luottamusta rakentaa myös suomalaisten viranomaisten kyky olla ajassa kiinni ja kehittää palveluitansa. Sähköiset palvelukanavat ja viranomaisten näkyminen sosiaalisessa mediassa helpottavat arkea ja tuovat viranomaistoiminnot lähemmäs ihmisiä. Ei siis ihme, että digitaalisia palveluita halutaan tarjota yhä enemmän.

Kun kyse on ihmisten tiedoista, tarvitaan huolellista valmistelua. Kansalaisten tietosuojasta ei saa antaa tuumaakaan periksi. Avoimet rajapinnat, avoin data ei koskaan saa tarkoittaa tarpeettomien henkilötietojen levitystä ympäri maailmaa.

Sitä ei ole tarkoitettu liikennepalvelulaissakaan. Tietosuoja on yksi hallituksen esityksessä useimmin toistuvista sanoista. Tietosuojakysymyksiä punnitaan, painotetaan ja perustellaan. Liikenne- ja viestintäministeriön valmistelijat ovat tarkkaan lukeneet ja omaksuneet tietosuojavaltuutetun lausunnon esitysluonnoksesta. Esitys saatettiin valtioneuvoston omasta aloitteesta perustuslakivaliokunnan käsiteltäväksi juuri tietosuojasyistä. Valiokunnan vaatimat muutokset lakiesitykseen on tehty.

Euroopan unionin tietosuoja-asetus on liikennepalvelulain hallituksen esityksen keskeinen peruspilari. Se on henkilötietojen suojaa koskeva yleislaki, jota tulee noudattaa. Kansallisesti voidaan antaa vain sitä täydentävää erityissääntelyä, ei mitään sen kanssa ristiriidassa olevaa. Tämä on ollut liikenne- ja viestintäministeriössä lainvalmistelun kantava periaate. Se näkyy esimerkiksi niin, että tietosuoja-asetuksen mukaisia oikeuksia ei mahdollisuudesta huolimatta rajoiteta, vaan niitä vahvistetaan.

Vaikka sääntely jättää teknisten ratkaisujen valinnan ja arvioinnin tietojen vastuutaholle, on riittävät toimet lain käytännön toteutuksessakin tehtävä.  Tietosuoja ei saa jäädä vain paperinmakuisiksi sanoiksi lakiesityksen sivuille. On esimerkiksi tärkeää, että palvelu on määritelty ja toteutettu siten, ettei se anna ulos tai ettei sen perusteella pysty päättelemään tarpeettomia henkilötietoja. Sitä, onko näin tehty, vai ei, tutkitaan nyt Trafin tapauksessa.

Julkisuudessa on esitetty ankaria syytöksiä Trafin palveluiden tietosuojapuutteista. Sen vuoksi palvelu on nyt suljettuna ja Suomen parhaat asiantuntijat tutkivat palvelun tietosuojan ja tietoturvan. Myös tietosuojavaltuutettu osallistuu itseisarvoisesti tähän työhön. Palaamme selvityksen tuloksiin. Palveluiden kohtalo ratkeaa niiden perusteella.

Anne Berner

liikenne- ja viestintäministeri

 

digitalisaatio, EU, tietosuoja, tietoturva, viestintä

Tietoturvaa kasvatetaan yhteistyössä

Maija Rönkä (Kuva: LVM)
Maija Rönkä (Kuva: LVM)

Yhteiskunta digitalisoituu vauhdilla. Olemme yhä riippuvaisempia digitaalisten palveluiden käytöstä. Ilman toimivia yhteyksiä ja palveluita arki ei suju eivätkä liiketoimet onnistu.

Yhteiskuntamme keskeiset palvelut, kuten sähkön ja juomaveden jakelu sekä liikenteen palvelut tarvitsevat viestintäverkkoja ja tietojärjestelmiä toimiakseen. Myös monet muut tärkeät ja hyödylliset arjen palvelut tavoitetaan tietoverkkojen välityksellä, oli kyse sitten viranomaisten kanssa asioinnista tai ajanvietteestä.

Jotta arki ja yhteiskunta toimivat normaalisti, myös digitaalisten palveluiden on toimittava. Tietoturvallisuuden merkitys palveluiden laadulle ja toimintavarmuudelle kasvaa digitaalisessa yhteiskunnassa.

Tietoturva ei ole uusi asia. Suomessa useilla toimialoilla on jo velvoitteita huolehtia palveluiden tietoturvasta. Tietoturvallisuutta koskevia säädöksiä sisältyy esimerkiksi viestintäpalveluita, pankkitoimintaa sekä terveydenhuoltoa koskevaan lainsäädäntöön. Luettelo täydentyy, kun voimaan astuvat 9.5.2018 myös energian ja juomaveden jakelua, liikenteen ohjausta, keskeisiä satamia ja lentoasemia sekä eräitä digitaalisia palveluita, kuten pilvipalveluita ja hakukoneita koskevat uudet tietoturvavelvoitteet. Muutosten taustalla on EU:n verkko- ja tietosuojadirektiivi.

Jatkossa yhä useampien palveluiden tarjoajien on siis huolehdittava tietoturvasta ja ilmoitettava tietoturvaloukkauksista valvontaviranomaisille. Velvoitteita valvovat samat viranomaiset, jotka valvovat muutenkin näiden palveluiden tarjontaa. Tämä tarkoittaa esimerkiksi sähkönjakelun osalta Energiavirastoa ja liikenteen ohjauksen osalta Liikenteen turvallisuusvirastoa.

Viestintäviraston Kyberturvallisuuskeskus auttaa koko yhteiskuntaa kasvattamaan tietoturvallisuutta

Lakisääteiset velvoitteet eivät kuitenkaan yksin riitä. Niitä täydentää viranomaisten ja palveluiden tarjoajien vapaaehtoinen yhteistyö ja tiedonvaihto. Viestintäviraston Kyberturvallisuuskeskus auttaa tietoturvaloukkauksien selvittämisessä ja mahdollistaa luottamukseen perustuvan tiedonvaihdon tietoturvaloukkauksista ja haavoittuvuuksista elinkeinoelämän ja viranomaisten kesken. Tiedonvaihto perustuu ajatukseen molemminpuolisesta hyödystä. Yhteistyöhön osallistuvat saavat vastineeksi arvokasta tietoa, jonka avulla tietoturvariskeihin voidaan etukäteen varautua. Suomessa tämä yhteistyö toimii kansainvälisestikin vertailtuna mallikelpoisesti.

Lisäksi Viestintäviraston Kyberturvallisuuskeskus tiedottaa tietoturvallisuuteen liittyvistä ilmiöistä ja julkaisee esimerkiksi tietoturvaloukkauksia ja haavoittuvuuksia koskevia varoituksia. Kyberturvallisuuskeskus tarjoaa myös tietoturvapalveluita valtionhallinnolle ja huoltovarmuuskriittisille yrityksille. Viestintäviraston Kyberturvallisuuskeskuksella on siis merkittävä rooli koko yhteiskunnan tietoturvallisuuden kasvattamisessa.

Voimaan astuvat säädökset lisäävät Viestintäviraston Kyberturvallisuuskeskuksen edellytyksiä auttaa tietoturvallisuuden parantamisessa. Digitalisaatiokehityksen kiihtyessä on tärkeää huolehtia, että Viestintävirastolla on riittävät resurssit jatkossakin.

Viestintäviraston Kyberturvallisuuskeskuksella on tärkeä rooli yhteiskunnan tietoturvan kasvattamisessa. (Kuva: LVM)
Viestintäviraston Kyberturvallisuuskeskuksella on tärkeä rooli yhteiskunnan tietoturvan kasvattamisessa. (Kuva: LVM)

Yhteistyöllä parannetaan tietoturvallisuutta koko yhteiskunnassa

Kansallinen yhteistyö tietoturvallisuuden parantamiseksi on tärkeää. Sitä tehdään yritysten ja viranomaisten kesken mutta myös viranomaisten välillä.

Internet ja digitaaliset palvelut eivät kuitenkaan tunne valtioiden rajoja. Tämän vuoksi on tärkeää, että yhteistyötä tehdään myös kansainvälisesti. Viestintäviraston Kyberturvallisuuskeskuksella on pitkät kansainvälisen yhteistyön perinteet ja hyvät yhteistyösuhteet globaaliin tietoturvayhteisöön.

EU:n tasolla yhteistyö tiivistyi edelleen, kun verkko- ja tietoturvadirektiivillä perustettiin uusia EU-valtioiden välisiä yhteistyönmuotoja. Myös Liikenne- ja viestintäministeriö ja Viestintävirasto osallistuvat tähän työhön. Sen avulla suomalaiset saavat jatkossa entistä helpommin ja tehokkaammin tärkeää tietoa muissa EU-maissa havaituista tietoturvaongelmista.

Vain yhteistyössä pystymme kasvattamaan koko yhteiskunnan tietoturvallisuutta. Uskon, että tulevaisuudessa turvalliset digitaaliset palvelut helpottavat arkeamme ja voimme luottavaisin mielin vaikka hypätä automaattiauton kyytiin ja antaa tekoälyn ja robottien hoitaa tylsimmät arkirutiinit puolestamme.

Kirjoittaja työskentelee lakimiehenä liikenne- ja viestintäministeriön Tieto-osastolla.