Verkkopalveluiden ja digitaalisen markkinointiviestinnän toimintaympäristö kehittyy vauhdilla – yhä edelleen. Eräänä keskeisenä kehityspiirteenä on tietoturvatoimintojen parantuminen ja tietoturvan sekä tietosuojan vaatimusten yleinen tiukentuminen. Samalla tietoturvapuutteiden hyväksikäyttö on muuttunut ammattimaisemmaksi, joten ruuvin kiristämiselle on myös tilausta.
Verkkopalveluiden tekniikka kehittyi pitkään sellaisella vauhdilla, että lainsäädäntö ei mitenkään pysynyt perässä. Nyt myös sääntelypuolella tapahtuu jatkuvasti ja netin villi länsi onkin vähän kerrassaan siistiytymässä. Tavan käyttäjää ”jälleen uudet tietoturvavaatimukset” saattavat välillä ärsyttää, mutta isossa kuvassa trendi on kannatettava.
Käyn tässä kirjoituksessa läpi joitain olennaisia tietoturvaan ja tietosuojaan liittyviä aiheita, joita markkinoijien, sosiaalisen median ylläpitäjien ja verkkopalveluiden rakentajien on hyvä huomioida ja tiedostaa, ja joita me LM Somecossa usein käymme läpi asiakkaidemme kanssa. Brändin näkökulmasta tietoturvan huomioiminen on paitsi osa riskien- ja maineenhallintaa, sillä voi myös saada paremmin asiakkaiden luottamuksen. Onnittelut kaikille, joilla tässä mainitut asiat ovat jo kunnossa!
Henkilötietojen käsittely
Yleinen tietosuoja-asetus GDPR tuli voimaan keväällä 2019 ja toi kertapamauksella tietosuojan suuren yleisön tietoisuuteen. GDPR onkin oiva esimerkki lainsäädännön vaikutuksesta tietosuoja-asioihin. Siinä, missä aiemmin henkilötietoja tallennettiin vapaasti ja rajoittamattomasti, eikä asiaa sen ihmeemmin edes ajateltu, niiden kanssa ollaan nykyään huomattavasti aiempia tarkempia ja varovaisempia. Ja hyvä niin.
Mitä minun pitää tehdä?
- Tarkista, että henkilötietojen ja muiden arkaluontoisten tietojen suojaamisen käytäntönne ja myös niistä tuotetut dokumentit ovat ajan tasalla.
- Aina, kun huomaat jossain yhteydessä käsiteltävän henkilötietoja, kysy itseltäsi ”onhan tämä GDPR:n mukaista”.
Opt-in periaate
Valintoja esimerkiksi verkkolomakkeilla ei saa tehdä käyttäjän puolesta valmiiksi, vaan käyttäjän tulee itse laittaa rastit haluamiinsa ruutuihin. Aktiivinen suostumuksen antaminen on tullut GDPR:n myötä keskeiseksi vaatimukseksi, mutta vastaavia periaatteita on ollut käytössä jo aiemminkin. Esimerkiksi kuluttajaviranomainen on vaatinut jo vuosia ennen GDPR:n voimaantuloa, että markkinointiluparuutua ei saa rastittaa valmiiksi.
Mitä minun pitää tehdä?
- Tarkista, että verkkopalveluissanne täytettävät lomakkeet noudattavat säädöksiä eikä niissä ole valmiiksi tehty esivalintoja tai muita päätöksiä käyttäjän puolesta.
Selaimen ja palvelimen välisen yhteyden salaus (https)
Liikenne selaimen ja palvelimen välillä kulkee nykyään lähes aina salattuna. Aluksi yhteyden salaaminen oli käytössä lähinnä verkkopankeissa, verkkokaupoissa ja muissa sensitiivistä tietoa käsittelevissä tai erityistä suojaa vaativissa verkkopalveluissa. Nykyään salatusta yhteydestä on tullut oletusarvo, jota useimmat verkkopalvelut noudattavat. Moni saattaa muistaa osoiterivillä näkyneen pienen lukon kuvan, joka oli aikoinaan osoitus yhteyden salaamisesta. Sittemmin selaimet ovat luopuneet tästä käytännöstä ja moni selain näyttää nykyään varoituksen, mikäli yhteys EI ole salattu.
Mitä minun pitää tehdä?
- Aseta oma selaimesi käyttämään oletusarvoisesti salattua https-yhteyttä. Ohjeita löydät tästä.
- Varmista verkkosivujesi ylläpitäjältä, että omat verkkosivunne ja tarjoamanne verkkopalvelut käyttävät salattua yhteyttä.
- Tarkista, että sivujenne salaamattomasta http-osoitteesta on edelleenohjaus salattuun https-versioon.
Evästeet
Evästeistä on kirjoitettu LM Somecon blogissa paljon. Vaatimus pyytää suostumus evästeiden tallentamiseen esitettiin jo vuoden 2009 e-Privacy direktiivissä, mutta GDPR:n sanktioinnin myötä vaatimus otettiin tosissaan ja nykyään evästekyselyitä näkee lähes jokaisella verkkosivulla.
Mitä minun pitää tehdä?
- Tarkista, että verkkopalvelunne eivät tallenna evästeitä ilman lupaa käyttäjän koneelle. Voit tehdä tarkistuksen esimerkiksi EU:n virallisella työkalulla.
- Varmista myös, että evästekyselynne on hyvien käytäntöjen ja viranomaisten vaatimuksen mukainen.
- Mikäli käytätte Googlen työkaluja markkinointiviestintään tai analytiikkaan, tarkista lisäksi, että Google Consent Mode on asennettu käyttöön ja toimii. Katso tästä lisätietoja.
Saavutettavuus
Saavutettavuus ei varsinaisesti liity tietoturvaan, mutta eräänä sääntelyn muotona ansaitsee paikkansa listalla – etenkin ajankohtaisuutensa vuoksi. Julkiset verkkopalvelut ovat olleet saavutettavuussäännösten piirissä jo pitkään, mutta nyt kesäkuun lopussa sääntely alkaa koskea myös tiettyjä yksityisiä verkkopalveluita.
Mitä minun pitää tehdä?
- Tarkista, kuuluvatko verkkopalvelunne toimialansa tai kokonsa puolesta saavutettavuusvaatimusten piiriin.
- Jos kuuluvat, teetä saavutettavuusauditointi sekä laadi ja julkaise saavutettavuusseloste.
Auditoinnit ja osoitusvelvollisuus
Kaikki tietoturvaan liittyvät käytännöt on syytä dokumentoida kirjallisesti. Dokumenteista on hyötyä, mikäli tekemistä tullaan jossain kohtaa auditoimaan tai on muuten tarve osoittaa tehtyjä toimenpiteitä ja toimintatapoja esimerkiksi viranomaisille. Dokumentointi on myös hyvä paikka itsereflektion tekemiseen, oman toiminnan tarkistamiseen ja käytäntöjen kyseenalaistamiseen. Tehdäänkö meillä asiat riittävän hyvin vai olisiko parantamisen varaa? Onko omassa tekemisessä peräti mahdollisuus erottautua muista positiivisella tavalla ja tilaisuus kertoa siitä?
Mitä minun pitää tehdä?
- Kirjaa tietoturvakäytäntönne ylös dokumentteihin ja tallenna ne paikkaan, josta ne on helppo tarpeen tullen myös muiden löytää ollessasi itse lomalla.
Ja kesälomakausihan se on tässä jo taas käynnistymässä. Lomien jälkeen jatkamme tietoturva- ja tietosuoja-asioihin perehtymistä keskittymällä etenkin käyttäjätunnusten ja kirjautumisten tietoturvaan (muista tilata blogimme, tuosta alta 👇) sekä syyskuussa ”Sosiaalisen median tietoturva” -webinaarissa. Muista ilmoittautua, linkin löydät tästä.
