Valvontako petti

Psykoterapiakeskus Vastaamo Oy:n tietoturva-asian yhteydessä on esille nostettu kysymys viranomaisvalvonnan tehokkuudesta. Näyttää, että se perustuu kauniin yksinkertaiseen logiikkaan, jonka mukaan viranomaisten tulisi etukäteen ja kaiken aikaa tehdä tarkastuksia tietojärjestelmiin. Valvonnan avulla sitten torjuttaisiin hakkerointia. On myös taivasteltu Valviran käytössä olevaa henkilötyövuoden suuruista tietojärjestelmien valvontaresurssia.

Aloitetaan asian tarkastelu resursseista. Aikanaan, jo ennen sosiaalisen median ilmaantumista tehtiin arvio, että maassamme on yli miljoona tietojärjestelmää ja rekisteriä. Meitä on tietosuojavaltuutetun toimistossa lainvalvontatehtävissä alle viisikymmentä henkilöä. Palvelumme on ollut aiemmin ruuhkautunut. Jos siis onnistuisimme tekemään kaikkien muiden tehtävien lisäksi sata tarkastusta vuodessa, riittäisi meillä tarkastettavaa yli kymmeneksi tuhanneksi vuodeksi. Ei vaikuta tehokkaalta. Jokainen voi laskea, millaiset määrälliset resurssit tarvittaisiin esimerkiksi terveydenhuollon tietojärjestelmien vuotuista tarkastamista varten. Eräs eurooppalainen kansalaisjärjestö teki muuten hiljattain selvityksen tietosuojaviranomaisten käytössä olevista IT-osaajista. Selvityksen mukaan näyttää, että tämä resurssiongelma on yleiseurooppalainen ongelma.

Siksipä meidän valvomamme tietosuoja-asetus on rakennettu virtaviivaisemman logiikan mukaiseksi. Kaikki alkaa rekisterinpitäjän velvollisuudesta suunnitella myös tietoturvansa oletusarvoisen ja sisäänrakennetun tietosuojan mukaiseksi (Privacy by Design ja Privacy by Default). Ennakkoilmoitusta ei tarvitse tehdä tietosuojavaltuutetulle hallinnollisen taakan keventämiseksi. Sitten rekisterinpitäjän on kyseisen yrityksen kaltaisella toimialalla tehtävä tietosuoja-asetuksen velvoittamana ennakollinen vaikutusten arvio. Jos siinä huomaa esimerkiksi ongelmia tietoturvan kanssa, tulee sen ryhtyä ennakkokuulemismenettelyyn. Kaiken tämän kattavana ”liimana” on osoitusvelvollisuuden periaate. Rekisterinpitäjän on kyettävä osoittamaan, että sen järjestelmät ovat turvallisia. Sen se voi tehdä esimerkiksi käyttämällä ulkopuolista auditoijaa (vrt. Katsastus).

Tietoturvaloukkauksista on sitten ilmoitettava valvontaviranomaisille ja pääsääntöisesti myös rekisteröidyille.

Valvontaan liittyvä seuraamusjärjestelmä on sekin muuttunut. Rikosoikeudellinen järjestelmä on pääosin korvattu tietosuojavaltuutetun käytössä olevalla hallinnollisia sanktioita koskevalla toimivallalla. Sitä käytettäessä arvioidaan koko henkilötietojen käsittelyn lainmukaisuus, ei siis pelkästään tietoturvaloukkausta.

Tietovuodon ja sen taustalla olevan hakkeroinnin tutkii luonnollisesti poliisi, jolla on tietosuojavaltuutettua laajemmat esitutkintatoimivaltuudet. Poliisi, syyttäjä ja tuomioistuin voivat sitten kuulla tietosuojavaltuutettua, joten siinä mielessä osallistumme asian selvittelyyn.

Tietosuojavaltuutetun toimisto tutkii asiaa ja on ryhtynyt aktiivisiin toimiin asian suhteen. Olemme myös julkaisseet kansalaisille ohjeita, miten he voivat suojata itseään tässäkin tilanteessa.

Toivoin siirtyväni muihin tehtäviin rauhan vallitessa tietosuojakentällä. On ollut hienoa saada palvella teitä kaikkia kaikki nämä vuodet. Kiitos siitä, ja onnea, menestystä ja jaksamista seuraajille. Tästä hakkeroinnista on otettava kaikki opit huolellisesti talteen ja muutettava ne toiminnaksi. Ehkä sitten tilanne rauhoittuu.

Reijo Aarnio
tietosuojavaltuutettu