GDPR koh­taa IoT:n — Ilman tur­val­li­suut­ta ei ole IoT:ia

Tie­dät­kö sinä IoT:n tavat joil­la lait­tee­si käyt­tä­vät hen­ki­lö­koh­tai­sia tietoja?

Lait­teet joka­päi­väi­ses­sä arjes­sam­me käy­vät koko ajan älyk­kääm­mik­si ja kerää­vät jat­ku­vas­ti meis­tä val­ta­van mää­rän tie­toa. Äly­lait­tei­den myyn­ti kas­vaa val­ta­vaa vauh­tia ja lähes jokai­nen meis­tä omis­taa nii­tä useam­pia. Eri sovel­lus­ten kans­sa yhteen­so­pi­vil­la lait­teil­la käsi­tel­lään meis­tä val­ta­via mää­riä hen­ki­lö­tie­to­ja. Olet­ko aiem­min miet­ti­nyt mihin näi­tä tie­to­ja käy­te­tään ja kuka nii­tä käsittelee?

“Inter­net of Things”, suo­mek­si esi­nei­den Inter­net, ‑lait­teet ovat kaik­kial­la näi­nä päi­vi­nä. Esi­nei­den Inter­net ‑lait­teet ovat taval­li­sia lait­tei­ta tai esi­nei­tä, jot­ka kyt­ke­tään verk­koon, tai jot­ka esi­mer­kik­si kerää­vät tie­toa jol­lain tapaa. Voit vaik­ka­pa ohjail­la koti­si kaik­kia lait­tei­ta äly­kel­lon tai mat­ka­pu­he­li­men avulla.

IoT ‑lait­teet kerää­vät usein hen­ki­lö­koh­tai­sia​tie­to­ja, jot­ka hou­kut­te­le­vat hak­ke­rei­ta digi­taa­li­seen iden­ti­teet­ti­var­kau­teen. IoT-lait­tei­den suh­teen on täl­lä het­kel­lä ris­ki­nä se, että ne tar­joa­vat help­po­ja koh­tei­ta hak­ke­reil­le ja ovat siten alt­tii­ta tie­to­tur­va­louk­kauk­sil­le. Lähi­tu­le­vai­suu­des­sa odo­te­taan­kin tie­to­tur­va­ris­kin val­ta­vaa kas­vua täl­lä saralla.

Useat IoT-lait­teet eivät ker­ro asiak­kail­leen, miten näi­den hen­ki­lö­koh­tai­sia tie­to­jaan käy­te­tään. Tie­to­suo­ja-ase­tuk­sen mukaan toi­mit­ta­jan on olta­va tie­toi­nen vel­vol­li­suuk­sis­taan ilmoit­taa asiak­kail­le, miten näi­den hen­ki­lö­koh­tai­set tie­ton­sa kerä­tään, käy­te­tään, luo­vu­te­taan ja tal­len­ne­taan, ja miten asiak­kaat voi­vat käyt­tää oikeuk­si­aan kysei­siin tie­toi­hin. Luot­ta­mus on erot­ta­ma­ton osa inno­vaa­tio­ta. Se voi hel­pos­ti kado­ta, jos kulut­ta­jat havait­se­vat, että yri­tyk­set eivät kyke­ne ole­maan avoi­mia sii­tä, miten ne käyt­tä­vät henkilötietoja.

GDPR ja IoT

GDPR-ase­tuk­sel­la on hyvin täs­mäl­li­set sään­nöt täl­lai­sen tie­to­suo­jan vai­ku­tus­ten arvioin­nin osal­ta. Nämä ovat eri­tyi­sen tar­peel­li­sia sil­loin, kun kysees­sä on hen­ki­lö­tie­to­jen käsit­te­ly, joka voi joh­taa kor­ke­aan ris­kiin rekis­te­röi­ty­jen oikeuk­sien ja vapauk­sien näkö­kul­mas­ta, ja eri­tyi­ses­ti uusien tek­nii­koi­den osal­ta. Tulee huo­mioi­da, että lait­teet käsit­te­le­vät laa­jas­ti sijain­ti­tie­to­ja sekä verk­ko­tun­nuk­sia, kuten IP-osoit­tei­ta. Tämä tar­koit­taa, että 25. tou­ko­kuu­ta täy­si­mää­räi­se­nä voi­maan­tu­le­va tie­to­suo­ja­la­ki (GDPR) kos­ket­taa myös tätä osa-aluet­ta. IoT-maa­il­ma voi pitää sisäl­lään moni­mut­kai­sia tie­to­jen­kä­sit­te­li­jöi­den ja tie­to­jen hal­lin­ta­ta­so­ja. Näi­hin sisäl­ty­vät esi­mer­kik­si lait­tei­den val­mis­ta­jat, sovel­lus­ke­hit­tä­jät, sosi­aa­li­sen median alus­tat ja aggregointimahdollisuudet.

Tie­to­suo­ja on raken­net­ta­va koko­naan alus­ta alkaen, jos lai­te käyt­tää hen­ki­lö­tie­to­ja. GDPR edel­lyt­tää, että hen­ki­lö­tie­to­suo­ja ote­taan huo­mioon mis­sä tahan­sa kehi­tet­tä­väs­sä tuot­tees­sa tai pal­ve­lus­sa. Tar­kas­tel­ta­va­na ovat eri­tyi­ses­ti tie­to­suo­jaon­gel­mat tuo­te­ke­hi­tyk­sen alus­sa. Täl­löin on var­mis­tut­ta­va, että tie­to­suo­jaon­gel­mat huo­mioi­daan min­kä tahan­sa lait­teen tai pal­ve­lun kehi­tyk­sen koko elin­kaa­ren ajan. On myös teh­tä­vä asian­mu­kai­set tek­ni­set toi­men­pi­teet, jot­ta lait­tees­sa käsi­tel­tä­vät hen­ki­lö­koh­tai­set tie­dot voi­daan suo­ja­ta. Kos­ka esi­nei­den inter­net on osa laa­jem­paa, monien pro­ses­sien muo­dos­ta­maa tie­to­to­del­li­suut­ta, on asi­aa tar­kas­tel­ta­va kokonaisvaltaisesti.

Tie­to­suo­ja­vai­ku­tus­ten arvioin­ti (DPIA) on työ­ka­lu, joka aut­taa nou­dat­ta­maan tie­to­suo­ja­vel­voit­tei­ta, kun suun­ni­tel­laan hen­ki­lö­tie­to­ja käsit­te­le­vää lai­tet­ta, tuo­tet­ta tai pal­ve­lua. Sen avul­la voi­daan tun­nis­taa ja kor­ja­ta tie­to­suo­jaon­gel­mia uuden pro­jek­tin tai kehi­tyk­sen var­hai­ses­sa vai­hees­sa ja se aut­taa asiak­kai­den odo­tuk­siin vas­taa­mi­ses­sa yksi­tyi­syy­den­suo­ja­ky­sy­myk­sis­sä. Tie­tyis­sä tapauk­sis­sa DPIA on pakol­li­nen, kuten kun hen­ki­lö­tie­to­jen käsit­te­lys­sä on suu­ria riskejä.

Kuka voi hyväk­syä hen­ki­lö­tie­to­jen­sa käsittelyn?

IoT-lait­tei­den, sovel­lus­ten ja jär­jes­tel­mien osal­ta on olta­va tark­ka­na eri­tyi­ses­ti tie­to­jen siir­ret­tä­vyy­den osal­ta. Esi­mer­kik­si las­ten on mah­do­ton­ta hyväk­syä omaan lukuun­sa hen­ki­lö­tie­to­jen­sa käsit­te­lyä, vaik­ka­pa verk­ko­pal­ve­lui­hin liit­tyen. Las­ten IoT-lelu­ja on kui­ten­kin mark­ki­noil­la runsaasti.

13- ja 15-vuo­tiai­den las­ten välil­lä tilan­ne riip­puu kun­kin jäsen­val­tion lain­sää­dän­nös­tä. Ole­tuk­se­na kui­ten­kin on, että tämän ikäi­set lap­set eivät voi antaa suos­tu­mus­ta omas­ta puo­les­taan. Nämä sään­nök­set aset­ta­vat haas­tei­ta niil­le, jot­ka aiko­vat tuo­da mark­ki­noil­le IoT-lait­tei­ta, joi­ta lap­set voi­vat käyt­tää. Haas­tei­ta aset­taa myös se, onko lait­tees­sa mah­dol­lis­ta ottaa käyt­töön van­hem­pien tai huol­ta­jan suos­tu­mus­me­ka­nis­mit. On myös otet­ta­va huo­mioon, että 13- ja 15-vuo­tiai­siin lap­siin liit­ty­vä laki ei ole yhden­mu­kai­nen kai­kis­sa jäsenvaltioissa.

Kulut­ta­jat ja tietosuoja

Kulut­ta­jat ovat koko ajan tie­toi­sem­pia ris­keis­tä. Esi­nei­den Inter­ne­tis­sä, esi­mer­kik­si kulut­ta­jae­lekt­ro­nii­kas­sa, tur­val­li­suuson­gel­mat ymmär­re­tään tie­tyl­lä tasol­la. Yri­tys­maa­il­mas­sa sen tur­val­li­suuson­gel­mat ovat sel­keä ”show-stop­per”. Sii­hen liit­ty­vät huo­le­nai­heet ovat kor­keat ympä­ris­tös­sä, jos­sa IoT-hyök­käyk­set ovat nousussa.

Sään­te­lyä vaa­di­taan tie­tyil­le aloil­le, jois­sa hen­ki­lö­tie­dot ja tur­val­li­suus ovat jo avai­na­se­mas­sa. Esi­merk­ki­nä täs­tä toi­mii rahoi­tusa­la. Sään­te­lyn vaa­ti­mi­nen ei kos­ke pel­käs­tään IoT:tä, vaan myös robo­tiik­kaa ja teko­ä­lyn tek­no­lo­gioi­ta. Tämä on uusi todel­li­suus, johon mei­dän jokai­sen on herät­tä­vä. Välin­pi­tä­mät­tö­myys hen­ki­lö­tie­to­suo­jaa koh­taan ei ole enää mah­dol­lis­ta, kos­ka panok­set sekä ris­kit kas­va­vat. Näin ollen seu­rauk­set ovat monis­sa tapauk­sis­sa suu­ria. Orga­ni­saa­tiot tar­vit­se­vat ihmi­siä, jot­ka tun­te­vat hyvin tie­to­jen­kä­sit­te­lyn ja sii­hen liit­ty­vään tek­niik­kaan liit­ty­vien eri­tyi­set ris­kit ja sään­tö­jen noudattamisen.

Täl­lä het­kel­lä orga­ni­saa­tiot kou­lut­ta­vat­kin hen­ki­lös­töään sii­hen, miten orga­ni­saa­tios­sa tuli­si hen­ki­lö­tie­to­ja käsi­tel­lä. Myös kulut­ta­jia tuli­si avoi­mem­min kou­lut­taa IoT-tuot­tei­den tie­to­suo­jaan liit­ty­vis­tä näkö­koh­dis­ta. Lisäk­si tuot­tei­den tulee tukea yksi­tyi­syy­den­suo­jaa. Objek­tii­vis­ten tava­roi­den val­mis­ta­jien osal­ta GDPR muut­taa kai­ken tämän.

GDPR edel­lyt­tää, että käyt­tä­jät saa­vat sel­vän sel­vi­tyk­sen tuot­teen yksi­tyi­syy­den­suo­jas­ta ja anta­vat suos­tu­muk­sen­sa ennen kuin yksi­tyi­set tie­dot voi­daan tal­len­taa. Tuot­teil­le, joil­la ei ole edes näyt­tö­jä, tämä vaa­ti­mus saat­taa olla hyvin ongel­mal­li­nen. IoT-tuot­tei­den val­mis­ta­jien onkin muis­tet­ta­va, että tie­to­tur­va ja tie­to­suo­ja liit­ty­vät erot­ta­mat­to­mas­ti toi­siin­sa. Vies­ti kulut­ta­jil­le on sel­keä: IoT-orga­ni­saa­tiot, jot­ka inves­toi­vat aikaa ja rahaa tur­val­lis­ten tuot­tei­den suun­nit­te­luun kun­nioit­ta­vat asiakkaitaan.

Tie­to­suo­ja ja tie­to­tur­va eivät ole ainoas­taan IT:n pään­vai­va. Molem­mat ovat sidok­sis­sa toi­siin­sa ja molem­pien on olta­va kor­keal­la joh­to­ryh­män agendalla.

Kos­ka tie­to­suo­ja-ase­tus luo yri­tyk­sil­le usei­ta vel­voit­tei­ta ja hal­lin­nol­li­nen työ lisään­tyy, ase­tuk­sen nou­dat­ta­mi­sen suun­nit­te­lu ja toteu­tus tuli­si aloit­taa mah­dol­li­sim­man pian. Ase­tuk­sen siir­ty­mä­ajak­si annet­tiin alun­pe­rin vuo­si, kui­ten­kin jäl­jel­lä ole­va siir­ty­mä­ai­kaa­se­tuk­sen sovel­ta­mi­seen on lyhyt. Nyt on siis vii­meis­tään aika toi­mia. Tie­to­tur­van ja tie­to­suo­jan nyky­ti­la-ana­lyy­si on hyvä läh­tö­koh­ta, johon kan­nat­taa käyt­tää ulko­puo­li­sen asian­tun­ti­jan apua. Autam­me mie­lel­läm­me GDPR:ään valmistautumisessa!

Yhteys­tie­dot:
Piia Hoffs­ten
Chief Ope­ra­ting Officer
piia.​hoffsten@​isletgroup.​fi
+358 40 5877 303

#IoT #GDPR #inter­ne­toft­hings #tur­val­li­suus #tie­to­suo­ja #IsletGroup