Tiedätkö sinä IoT:n tavat joilla laitteesi käyttävät henkilökohtaisia tietoja?
Laitteet jokapäiväisessä arjessamme käyvät koko ajan älykkäämmiksi ja keräävät jatkuvasti meistä valtavan määrän tietoa. Älylaitteiden myynti kasvaa valtavaa vauhtia ja lähes jokainen meistä omistaa niitä useampia. Eri sovellusten kanssa yhteensopivilla laitteilla käsitellään meistä valtavia määriä henkilötietoja. Oletko aiemmin miettinyt mihin näitä tietoja käytetään ja kuka niitä käsittelee?
“Internet of Things”, suomeksi esineiden Internet, -laitteet ovat kaikkialla näinä päivinä. Esineiden Internet -laitteet ovat tavallisia laitteita tai esineitä, jotka kytketään verkkoon, tai jotka esimerkiksi keräävät tietoa jollain tapaa. Voit vaikkapa ohjailla kotisi kaikkia laitteita älykellon tai matkapuhelimen avulla.
IoT -laitteet keräävät usein henkilökohtaisia tietoja, jotka houkuttelevat hakkereita digitaaliseen identiteettivarkauteen. IoT-laitteiden suhteen on tällä hetkellä riskinä se, että ne tarjoavat helppoja kohteita hakkereille ja ovat siten alttiita tietoturvaloukkauksille. Lähitulevaisuudessa odotetaankin tietoturvariskin valtavaa kasvua tällä saralla.
Useat IoT-laitteet eivät kerro asiakkailleen, miten näiden henkilökohtaisia tietojaan käytetään. Tietosuoja-asetuksen mukaan toimittajan on oltava tietoinen velvollisuuksistaan ilmoittaa asiakkaille, miten näiden henkilökohtaiset tietonsa kerätään, käytetään, luovutetaan ja tallennetaan, ja miten asiakkaat voivat käyttää oikeuksiaan kyseisiin tietoihin. Luottamus on erottamaton osa innovaatiota. Se voi helposti kadota, jos kuluttajat havaitsevat, että yritykset eivät kykene olemaan avoimia siitä, miten ne käyttävät henkilötietoja.
GDPR ja IoT
GDPR-asetuksella on hyvin täsmälliset säännöt tällaisen tietosuojan vaikutusten arvioinnin osalta. Nämä ovat erityisen tarpeellisia silloin, kun kyseessä on henkilötietojen käsittely, joka voi johtaa korkeaan riskiin rekisteröityjen oikeuksien ja vapauksien näkökulmasta, ja erityisesti uusien tekniikoiden osalta. Tulee huomioida, että laitteet käsittelevät laajasti sijaintitietoja sekä verkkotunnuksia, kuten IP-osoitteita. Tämä tarkoittaa, että 25. toukokuuta täysimääräisenä voimaantuleva tietosuojalaki (GDPR) koskettaa myös tätä osa-aluetta. IoT-maailma voi pitää sisällään monimutkaisia tietojenkäsittelijöiden ja tietojen hallintatasoja. Näihin sisältyvät esimerkiksi laitteiden valmistajat, sovelluskehittäjät, sosiaalisen median alustat ja aggregointimahdollisuudet.
Tietosuoja on rakennettava kokonaan alusta alkaen, jos laite käyttää henkilötietoja. GDPR edellyttää, että henkilötietosuoja otetaan huomioon missä tahansa kehitettävässä tuotteessa tai palvelussa. Tarkasteltavana ovat erityisesti tietosuojaongelmat tuotekehityksen alussa. Tällöin on varmistuttava, että tietosuojaongelmat huomioidaan minkä tahansa laitteen tai palvelun kehityksen koko elinkaaren ajan. On myös tehtävä asianmukaiset tekniset toimenpiteet, jotta laitteessa käsiteltävät henkilökohtaiset tiedot voidaan suojata. Koska esineiden internet on osa laajempaa, monien prosessien muodostamaa tietotodellisuutta, on asiaa tarkasteltava kokonaisvaltaisesti.
Tietosuojavaikutusten arviointi (DPIA) on työkalu, joka auttaa noudattamaan tietosuojavelvoitteita, kun suunnitellaan henkilötietoja käsittelevää laitetta, tuotetta tai palvelua. Sen avulla voidaan tunnistaa ja korjata tietosuojaongelmia uuden projektin tai kehityksen varhaisessa vaiheessa ja se auttaa asiakkaiden odotuksiin vastaamisessa yksityisyydensuojakysymyksissä. Tietyissä tapauksissa DPIA on pakollinen, kuten kun henkilötietojen käsittelyssä on suuria riskejä.
Kuka voi hyväksyä henkilötietojensa käsittelyn?
IoT-laitteiden, sovellusten ja järjestelmien osalta on oltava tarkkana erityisesti tietojen siirrettävyyden osalta. Esimerkiksi lasten on mahdotonta hyväksyä omaan lukuunsa henkilötietojensa käsittelyä, vaikkapa verkkopalveluihin liittyen. Lasten IoT-leluja on kuitenkin markkinoilla runsaasti.
13- ja 15-vuotiaiden lasten välillä tilanne riippuu kunkin jäsenvaltion lainsäädännöstä. Oletuksena kuitenkin on, että tämän ikäiset lapset eivät voi antaa suostumusta omasta puolestaan. Nämä säännökset asettavat haasteita niille, jotka aikovat tuoda markkinoille IoT-laitteita, joita lapset voivat käyttää. Haasteita asettaa myös se, onko laitteessa mahdollista ottaa käyttöön vanhempien tai huoltajan suostumusmekanismit. On myös otettava huomioon, että 13- ja 15-vuotiaisiin lapsiin liittyvä laki ei ole yhdenmukainen kaikissa jäsenvaltioissa.
Kuluttajat ja tietosuoja
Kuluttajat ovat koko ajan tietoisempia riskeistä. Esineiden Internetissä, esimerkiksi kuluttajaelektroniikassa, turvallisuusongelmat ymmärretään tietyllä tasolla. Yritysmaailmassa sen turvallisuusongelmat ovat selkeä ”show-stopper”. Siihen liittyvät huolenaiheet ovat korkeat ympäristössä, jossa IoT-hyökkäykset ovat nousussa.
Sääntelyä vaaditaan tietyille aloille, joissa henkilötiedot ja turvallisuus ovat jo avainasemassa. Esimerkkinä tästä toimii rahoitusala. Sääntelyn vaatiminen ei koske pelkästään IoT:tä, vaan myös robotiikkaa ja tekoälyn teknologioita. Tämä on uusi todellisuus, johon meidän jokaisen on herättävä. Välinpitämättömyys henkilötietosuojaa kohtaan ei ole enää mahdollista, koska panokset sekä riskit kasvavat. Näin ollen seuraukset ovat monissa tapauksissa suuria. Organisaatiot tarvitsevat ihmisiä, jotka tuntevat hyvin tietojenkäsittelyn ja siihen liittyvään tekniikkaan liittyvien erityiset riskit ja sääntöjen noudattamisen.
Tällä hetkellä organisaatiot kouluttavatkin henkilöstöään siihen, miten organisaatiossa tulisi henkilötietoja käsitellä. Myös kuluttajia tulisi avoimemmin kouluttaa IoT-tuotteiden tietosuojaan liittyvistä näkökohdista. Lisäksi tuotteiden tulee tukea yksityisyydensuojaa. Objektiivisten tavaroiden valmistajien osalta GDPR muuttaa kaiken tämän.
GDPR edellyttää, että käyttäjät saavat selvän selvityksen tuotteen yksityisyydensuojasta ja antavat suostumuksensa ennen kuin yksityiset tiedot voidaan tallentaa. Tuotteille, joilla ei ole edes näyttöjä, tämä vaatimus saattaa olla hyvin ongelmallinen. IoT-tuotteiden valmistajien onkin muistettava, että tietoturva ja tietosuoja liittyvät erottamattomasti toisiinsa. Viesti kuluttajille on selkeä: IoT-organisaatiot, jotka investoivat aikaa ja rahaa turvallisten tuotteiden suunnitteluun kunnioittavat asiakkaitaan.
Tietosuoja ja tietoturva eivät ole ainoastaan IT:n päänvaiva. Molemmat ovat sidoksissa toisiinsa ja molempien on oltava korkealla johtoryhmän agendalla.
Koska tietosuoja-asetus luo yrityksille useita velvoitteita ja hallinnollinen työ lisääntyy, asetuksen noudattamisen suunnittelu ja toteutus tulisi aloittaa mahdollisimman pian. Asetuksen siirtymäajaksi annettiin alunperin vuosi, kuitenkin jäljellä oleva siirtymäaikaasetuksen soveltamiseen on lyhyt. Nyt on siis viimeistään aika toimia. Tietoturvan ja tietosuojan nykytila-analyysi on hyvä lähtökohta, johon kannattaa käyttää ulkopuolisen asiantuntijan apua. Autamme mielellämme GDPR:ään valmistautumisessa!
Yhteystiedot:
Piia Hoffsten
Chief Operating Officer
piia.hoffsten@isletgroup.fi
+358 40 5877 303
#IoT #GDPR #internetofthings #turvallisuus #tietosuoja #IsletGroup