Verkkosivujen tietosuojaa ja henkilötietojen käsittelyä pyritään parantamaan viranomaisten sääntelyllä. Säännösten noudattaminen edesauttaa käyttäjälle syntyvää turvallisuuden tunnetta, jolla on olennainen vaikutus myönteisen brändikokemuksen syntymiseen. Asiakkaat haluavat luottaa brändeihin ja kokea, että heidän luottamukselliset tietonsa pidetään turvassa.
Vuosituhannen vaihteessa internet oli uusi ja villi paikka, jossa tuntui, että kaikki on sallittua ja kaikki on mahdollista. Viranomaisten kontrollointipyrkimykset keskittyivät lähinnä musiikin, elokuvien ja tietokoneohjelmien laittomaan lataamiseen. Elokuvassa The Net – Verkko kiristyy (1995) esiteltiin verkon vaaroja ja identiteettivarkauksia, mutta ei nähty tietosuojaselosteita tai evästeistä varoittavia pop-up ikkunoita. Tietomurtoa varten elokuvassa ei lähetetty kalasteluviestejä vaan riitti, kun klikkasi verkkosivun reunassa olevaa π-ikonia Ctrl+Shift-napit pohjassa.
Internetin kypsymisen ja arkipäiväistymisen myötä on selvää, että verkossa surffailuun tarvitaan yhteiset pelisäännöt, joten sääntelyn kehittyminen on pääsääntöisesti tervetullutta. Yhteiset, selkeät ja yhdenmukaiset säännöt tekevät toiminnasta ennakoitavaa ja tasa-arvoista kaikille osapuolille.
Vuonna 2020 verkkosivuja selailevan käyttäjän huomio kiinnittyy kahteen sääntelyn alaiseen asiaan: evästeisiin ja henkilötietoihin.
Molemmat liittyvät käyttäjien yksityisyyden suojaan ja pohjaavat yhteiseurooppalaiseen lainsäädäntöön, jonka paikallisia sovelluksia olemme saaneet odottaa pitkään.
Kun tekniikka ja tietosuoja paiskasivat kättä
Keväällä 2018 eurooppalaisten tietoisuuteen nousi uusi lyhenne, GDPR. Kyseessä on EU:n yleinen tietosuoja-asetus 2016/679, joka määrittelee muun muassa reunaehdot henkilötietojen käsittelyyn. Iltapäivälehtien otsikoista monille tuntui lähinnä jäävän mieleen uhka yrityksille suunnatuista varsin mittavista sanktioista, jotka oli tarkoitettu ennen kaikkea pelotteeksi.
Yleinen harhaluulo on, että tietosuoja-asetus kieltäisi henkilötietojen keräämisen. Näin ei suinkaan ole, vaan asetus ainoastaan rajoittaa henkilötietojen turhaa tallentamista. Todelliseen tarpeeseen henkilötietoja voi yhä kerätä, kunhan siitä kerrotaan asianmukaisesti ja tietoja käytetään ainoastaan ennalta määritettyyn tarkoitukseen.
Mikä tietosuoja-asetus?
Tietosuojavaltuutetun verkkosivuilta löytyy suomenkielistä perustietoa tietosuoja-asetuksesta.
Lisäksi tietosuoja-asetus antaa rekisteröidylle mm. oikeuden saada tietää, mitä tietoja hänestä on kerätty ja miten kerääminen on suoritettu, sekä oikeuden pyytää tietojen siirtämistä tai poistamista. Henkilötietojen käsittelyn periaatteet tulee kirjata tietosuojaselosteeseen.
Yleinen harhaluulo on, että tietosuoja-asetus kieltäisi henkilötietojen keräämisen. Näin ei suinkaan ole, vaan asetus ainoastaan rajoittaa henkilötietojen turhaa tallentamista.
Tietosuoja-asetus sisältää keskeisenä periaatteena vaatimuksen sisäänrakennetusta ja oletusarvoisesta tietosuojasta. Tietosuojan tulee olla huomioituna kaikissa yrityksen toiminnoissa, ei päälle liimattuna tai ulkopuolelta hankittuna lisäominaisuutena. Käytännössä tietosuojan huomiointi vaikuttaa aivan kaikkeen: tuotteiden ja palveluiden tuottamiseen, myyntiin ja markkinointiin, asiakkaan kanssa tehtäviin sopimuksiin sekä teknisiin järjestelmiin, jotka auttavat tietosuojan toteuttamisessa. Siinä missä syvään juurtuneiden, vuosikausia noudatettujen käytäntöjen muuttaminen voi olla yrityksille todellinen ongelma, tekniset järjestelmät ovat onneksi helpompia päivittää. Järjestelmien uudistaminen voi olla keino ohjata ja auttaa myös käytäntöjen parantamista.
Verkkopalveluiden kehittäjien näkökulmasta tietosuoja-asetus velvoittaa suunnittelemaan ja tuottamaan verkkopalvelut siten, että henkilötietojen tietoturvallinen käsittely on mahdollista. Siitä, mikä on riittävä tekninen taso, on lukuisia tulkintoja, mutta yhtenä esimerkkinä verkkosivujen SSL-salausta pidetään lähes välttämättömänä tietoturvallisen henkilötietojen käsittelyn varmistamiseksi. Pieni lukon kuva selaimen osoiterivillä (näet sen nytkin jos kurkkaat osoiteriville) on osoitus siitä, että liikenne käyttäjän selaimen ja verkkosivujen palvelimen välillä on salattu. Se on myös ainoita verkkosivun käyttäjälle näkyviä osoituksia siitä, kuinka palvelun tietosuoja todellisuudessa on hoidettu.
Sähköpostia, ei jobinpostia
Pelkkä verkkoliikenteen salaaminen ei tietenkään riitä. Ketjussa saattaa olla muita heikkoja lenkkejä esimerkiksi yhteydenottolomakkeiden toiminnassa. Yleisesti käytetyssä mallissa lomakkeella kerätyt tiedot lähetetään edelleen asiakaspalvelun sähköpostiosoitteeseen. Sähköposti kulkee perusasetuksillaan verkossa avoimena eikä viestin reittiä kyetä varmistamaan.
Ilman viestin sisällön salakirjoittamista sähköposti ei ole tietoturvallinen viestintäkanava, eikä näin ollen tietosuoja-asetuksen vaatiman sisäänrakennetun ja oletusarvoisen tietosuojan mukainen.
Sähköpostista luopuminen tietysti hankaloittaisi yhteydenottojen käsittelyä eikä ole houkutteleva vaihtoehto. Pienemmissä yrityksissä ei usein ole erillistä järjestelmää palautteiden hallinnointiin, vaan yhteiskäyttöinen sähköposti toimii yhteydenottojen varastona. Samalla sähköpostilaatikosta syntyy asiakasrekisteri, joka tulee huomioida tietosuojaselosteessa. Sähköpostin tietosuojaa voidaan parantaa, mikäli viesti voidaan salakirjoittaa kokonaan tai osittain.
Eräs tietoturvallinen tapa yhteydenottojen käsittelyyn on tallentaa asiakkaiden lähettämät yhteydenotot erilliseen tietokantaan (jonka tulee senkin olla tietoturvallinen ja pääsyn tietoihin rajoitettu). Usein verkkosivujen käyttämässä julkaisujärjestelmässä on tämä ominaisuus valmiina käyttöönotettavaksi ilman erillistä kustannusta. Sähköpostia voidaan edelleen hyödyntää ja lähettää sen kautta tieto uudesta yhteydenotosta, mutta ilman henkilötietoja. Sähköposti-ilmoituksessa voi olla linkki suojatulle sivustolle, jossa tietokantaan tallennetut yhteydenotot ja niihin liittyvät henkilötiedot pääsee katsomaan kirjautumisen jälkeen. Samalla viestit tulee arkistoitua muuallekin kuin sähköpostiin ja ne on helpompi myös varmuuskopioida asianmukaisesti.
Ja kun kerran arkistoinnista on puhetta, tietosuoja-asetuksen mukaisessa käsittelyssä tulee huomioida myös tietojen poistaminen, kun viestille ja sen sisältämille henkilötiedoille ei enää ole tarvetta, tai asiakkaan itse toivoessa tulevansa unohdetuksi. Poistamista ja poiston todentamista helpottaa, jos asiakkaan henkilötiedot on talletettu keskitetysti vain yhteen paikkaan. Lisäksi keskitetyssä järjestelmässä poistaminen voidaan automatisoida tapahtumaan esim. vuoden päästä tietojen tallentamisesta. Tietojen säilytysaika määritellään tietosuojaselosteessa samalla, kun henkilötietojen käsittelyn tarvetta muutenkin pohditaan.
Saisiko olla keksi?
Apulaistietosuojavaltuutettu linjasi toukokuussa 2020 evästeiden käytöstä. EU:n sähköisen viestinnän tietosuojadirektiivin mukaisesti evästeiden tallentamiseen täytyy kysyä käyttäjän suostumus. Käyttäjän tulee antaa tämä suostumus selvästi ja vapaaehtoisesti. Traficomin aiemman tulkinnan mukaisesti riitti, että sivusto ilmoitti evästeiden käytöstä, jolloin käyttäjä kykeni selaimensa asetuksissa kieltämään evästeiden tallennuksen niin halutessaan. Evästeisiin sovelletaan kuitenkin myös EU:n yleistä tietosuoja-asetusta, joten myös Tietosuojavaltuutettu katsoo olevansa toimivaltainen asiassa.
Apulaistietosuojavaltuutettu muistuttaa kirjoituksessaan, että sähköisen viestinnän lainsäädäntöä Suomessa valvoo Traficom. Tilannetta ei ainakaan selvennä se, että Traficomin Kyberturvallisuuskeskuksen verkkosivuilla mainitaan edelleen, että selainasetukset riittävät evästeiden kieltämiseen. Nyt evästeistä lausuu kaksi eri viranomaista ilman yhteistä linjaa. Yleinen konsensus kuitenkin on, että Tietosuojavaltuutetun näkemys on nyt se, jota tulee noudattaa.
Mitkä ihmeen keksit?
Hyvä perustietopaketti evästeistä löytyy YLEn digitreeneistä.
Evästeiden (cookies) lisäksi tietoja voidaan tallentaa selaimessa myös local storage ja session storage tietovarastoihin. Säännökset koskevat yhtä lailla myös niitä. Selvyyden vuoksi puhun tässä kuitenkin yleisesti vain evästeistä.
Siispä verkkosivujen ylläpitäjillä on kesällä 2020 riittänyt puuhaa, kun sivuja on täytynyt päivittää.
Käytännössä uusi linjaus tarkoittaa sitä, että jokaisen verkkosivun tulee erikseen kysyä käyttäjältä lupa ennen kuin evästeitä voi tallentaa käyttäjän koneelle.
Monille sivustoille onkin täytynyt lisätä kokonaan uutta tekniikkaa evästeasetuksista huolehtimaan. Tätä työtä olemme tehneet myös LM Somecossa ja olemmekin saaneet kehitettyä evästekyselyihin varsin suoraviivaisen konseptin, joka istuu kaikenlaisiin verkkosivuihin ja on helppo ottaa käyttöön.
Valmiita sovelluksia evästeasetusten hoitamiseen on saatavilla runsaasti eri hintaluokissa ja jopa ilmaisina, mutta niiden oikeat asetukset ja tietoturva voivat herättää kysymyksiä. Pelkkä evästekyselyn lisääminen ei myöskään riitä, vaan jokaisen sivun jokaisen toiminnon tulee myös noudattaa käyttäjän antamaa suostumusta tai kieltoa. Cornellin yliopiston tutkimuksen mukaan monet sivustot tallentavat evästeitä käyttäjän kiellosta huolimatta.
Pelkkä evästekyselyn lisääminen ei riitä, vaan jokaisen sivun jokaisen toiminnon tulee myös noudattaa käyttäjän antamaa suostumusta tai kieltoa.
Entäs brändit sitten? Evästekysely voi asiakkaista tuntua häiritsevältä ja tarpeettomalta. Vähintäänkin se varastaa huomiota sivun varsinaiselta pääviestiltä. Joitain käyttäjiä evästekyselyt ärsyttävät niin paljon, että ne estetään kokonaan selaimeen asennettavalla lisäosalla. Hieman yli puolet käyttäjistä kokee evästekyselyt kuitenkin pikemminkin rauhoittavaksi kuin ärsyttäväksi. Vaikka kysely ärsyttäisikin, se on nykypäivän normi, josta poikkeaminen pistää silmään. Ilman evästekyselyä toimivat verkkosivut saattavat jopa vaikuttaa epäilyttäviltä.
”Evästelait” eivät ole uusi asia.
Tietojen tallennuksen sääntely pohjautuu EU:n sähköisen viestinnän tietosuojadirektiiviin vuodelta 2002 ja siihen vuonna 2009 tehtyyn päivitykseen. Suomessa evästeiden tallentamisesta säädetään sähköisen viestinnän palveluista annetun lain 205 §:ssä.
Kehitys tuskin pysähtyy tähän. Luultavasti evästeasetuksista kertovia popup-ikkunoita ei muutaman vuoden kuluttua nykymuodossaan ole enää olemassa. Itse veikkaan toiminnon standardoituvan ja sulautuvan lopulta osaksi selaimia. Do Not Track -otsake sekä Consent-O-Matic selainlaajennos ovat jo askeleita tähän suuntaan. Myös selainvalmistajat ovat lähteneet liikkeelle, tosin huomio on toistaiseksi keskittynyt kolmansien osapuolten evästeiden estämiseen.
Testaa mielipiteesi evästekyselyistä
Tällä LM Somecon pikakyselyllä voit testata omaa suhtautumistasi evästekyselyihin verrattuna muihin vastaajiin. Näet tulokset heti vastaamisen jälkeen. (Ja kyllä, tallennamme selaimeesi tiedon siitä, oletko jo vastannut.)
Pää kylmänä ja tietosuoja kuosissa
Säännösten lisääntyessä verkkosivujen suunnittelusta ja tuottamisesta tulee yhä tarkempaa puuhaa. Pitämällä pään kylmänä ja varaamalla riittävästi aikaa tietosuoja-asioiden selvittämiseen, tarvittaessa yhdessä asiantuntijoiden kanssa, saa varmemmin aikaan kriittisen tarkastelun kestävän lopputuloksen. Ja vaikka tietosuoja-asioista tulisikin sanomista, viranomainen tuskin sakottaa suoraan, vaan huomauttaa ensin ja antaa aikaa korjata tilanteen. Myös apulaistietosuojavaltuutetun uusi linjaus pohjautui tällaiseen huomautukseen.
Ennakkotapauksia ja viranomaisten tulkintoja sähköisen viestinnän säännöksistä aletaan saada vasta nyt sekä Suomen että Euroopan tasolla. Lainsäädäntö on kuitenkin jatkuvassa muutostilassa. Uutta sähköisen viestinnän tietosuoja-asetusta (ePrivacy) valmistellaan parhaillaan EU:ssa. Valmistuessaan tämä toivottavasti selkiyttää tilannetta ja antaa yhdet selvät pelisäännöt joiden mukaan toimia.
Parhaiden toimintamallien löytämiseksi tulee pitää silmät auki ja seurata kehitystä. Turhia riskejä tietosuojan osalta ei kannata ottaa, vaan turvallisinta on tulkita säännöksiä vähän liian tiukasti ja erityisesti loppukäyttäjän edun näkökulmasta. Tietosuojan pettämisellä saattaa olla sekä taloudellisia että oikeudellisia vaikutuksia, mutta mainehaitta on varma.
Oma toimintamalli kannattaa koeponnistaa worst case scenario -harjoituksen kautta; mitä voi pahimmillaan tapahtua, jos kaikki menee pieleen?
Sääntelyn lisääntymisestä ja tietoturvan tiukentumisesta huolimatta internetissä kaikki on kuitenkin edelleen mahdollista. Eräät osa-alueet vain vaativat hieman enemmän vaivannäköä kuin aikaisemmin.
