Uudistuva EU-tietosuojalainsäädäntö: Tasapainoilua tietojohtamisen ja tietosuojan välillä Ville Taponen | Tietoturvapäällikkö

TDWI Finlandin tilaisuus Kelassa

11.11.2014

Sisältö

1. Kela lyhyesti

2. Tietoturvan muuttuvasta toimenkuvasta

3. EU:n sisäänmarssi

4. Julkishallinnon erityispiirteitä tietojohtamisen

kannalta

5. Kelan valmistautumisesta

6. Arvioimattomia tietosuojahaasteita

2

Kelan asema ja ydintehtävät

3

• Itsenäinen

julkisoikeudellinen laitos,

jonka hallintoa ja toimintaa

valvovat eduskunnan

valitsemat valtuutetut.

• Voi sopimuksen

perusteella hoitaa

muutakin sosiaaliturvan

toimeenpanoa sekä muita

palveluja (kuin

ydintehtäviä).

Etuuksien myöntäminen ja maksatus

Kansallinen terveysarkisto

Laatia tilastoja, arvioita ja ennusteita

Toimialan tutkimus

Toimialan lainsäädännön kehittäminen

Kela numeroina 2013

• 6100 työntekijää. • 56.372 yhteispalvelupisteen

käyntiä. • 415.000 vastaanotettua sähköistä

liitettä. • 1,69 milj. vastattua puhelua. • 2,5 milj. toimistoasiointia. • 7,3 milj. saapunutta hakemusta ja

ilmoitusta. • 12 milj. verkkopalveluun

tunnistautumista. • 15,5 milj. sähköistä reseptiä (Kanta) • 17 milj. lähetettyä kirjettä. • 13,6 mrd € maksettuja etuuksia.

4

Visioita 1/2

• Kelassa on käytettävissä kaikki se tieto ja informaatio, joka toiminnan kannalta on tarpeen.

• Tieto on oikeassa muodossa oikeassa paikassa oikeaan aikaan. Toisaalta tieto ei ole siellä, minne se ei kuulu eli tietosuoja on hallittu.

• Tieto on loogisesti keskitettyä, kaikkien sitä tarvitsevien käytettävissä

• Tiedonhuolto on selkeästi määritelty: On prosessit, roolit ja vastuut.

• Tietojen omistajuus on selkeästi määritelty • Kelan omat tiedot on tallennettu tiedon edellyttämällä

tavalla tietosuoja, kiistämättömyys ja pysyvyys huomioon ottaen.”

5

Visioita 2/2

• "The problem [with traditional] business intelligence

is the … huge time lag between when the business

comes to IT and requests a new report and when

that report is actually delivered,“

• "What we're focused on [doing] is eliminating this

lag: automating as much as possible, exposing

connections to the business user so they can do

some of that [DI] stuff as self-service.

• Realistically, you can't do this if you don't have good

data masking [technology] in the background."

6

Tietoturvan toimenkuva uudelleen-muotoutumassa

• Alan sääntelyn merkittävä lisääntyminen vuodesta

2009 alkaen.

• Ensisijaisesti viranomaisille, mutta verkostoituneessa

toimintaympäristössä käytännössä myös monia yrityksiä

velvoittavaa.

• Palvelut voi ulkoistaa, vastuuta ei.

• Siirtyminen valtiokonserni-tyyppiseen ohjaukseen

erityisesti ICT-toimintojen osalta:

• Keskittäminen ”Valtori”

• Yhteentoimivuus ”Kokonaisarkkitehtuuri”

• Laadunhallinta ”Tietoturva-asetus ym. regulaatio”

7

Uudentyyppiset säädökset

• Kansallisesti ei ole tyydytty vain olemassa olevan

päivittämiseen, vaan on lähdetty puhtaalta pöydältä:

• Tietoturva-asetus (681/2010)

• Tietohallintolaki (634/2011)

• Tietoturvan arviointilaitoslaki (1405/2011)

• Tietoturvan arviointilaki (1406/2011)

• Myös EU-tasolta uutta regulaatiota

• Eväste-direktiivi

• Asetus sähköisestä tunnistamisesta ja sähköisiin

transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla

• Tietosuoja-asetus

8

Kansallisuudesta EU-yhteisöllisyyteen

• EU:n yleinen tietosuoja-asetus on lainsäädännöllisesti mullistava hanke sääntelyn kansainvälisen ulottuvuuden sekä valitun sääntelyinstrumentin näkökulmasta. • EU haluaa ulottaa eurooppalaiset tietosuojavelvoitteet

kaikkiin (globaaleihin) toimijoihin, jotka omassa (liike)toiminnassaan keräävät eurooppalaisten henkilötietoja.

• Sääntelyinstrumenttina on poikkeuksellisesti asetus eikä direktiivi. • Asetus tulee saman sisältöisenä voimaan kaikissa EU:n

jäsenmaissa, eikä kansallisilla parlamenteilla ole mahdollisuutta säätää siihen poikkeuksia tai lievennyksiä.

9

EU:n tietosuoja-asetuksen mausteita

• Organisaatiossa nimettävä tietosuojavastaava • Aseman tulee olla riippumaton eli saman tyyppinen asema kuin

sisäisellä tarkastuksella.

• Omien tietojen tarkastusoikeus nousee etualalle. • Tulee edellyttämään hyviä työkaluja eli korkeaa

automaatioastetta ja fiksusti määritettyä kokonaisarkkitehtuuria!

• Oikeus tulla unohdetuksi (Right to be Forgotten) • Asiakkaan pitää pystyä hävittämään tietonsa ja tilinsä

(sähköisistä)palveluista.

• Tietojen siirto (Data Portability) • Halutessaan asiakas voi siirtää tietonsa palveluntarjoajalta

toiselle

10

Koskee vain rajoitetusti viranomaisia

Complaincesta accountabilityyn

• Jatkossa ei riitä, että noudatetaan lakia, vaan on

pystyttävä osoittamaan, että tietosuojasäännökset

huomioidaan yhteisön tai yrityksen toiminnan

suunnittelussa.

• Todistustaakka tietosuojakysymysten

lainmukaisesta hoidosta tulee lankeamaan yrityksille

ja organisaatioille, joista pyritään tekemään

huomattavien sakkojen uhalla tilintekovelvollisia.

• Raportointi mm. vuotuisella Tietotilinpäätöksellä.

11

Mikä ihmeen tietotilinpäätös?

Tieto on arvokas ja ainoa voimakkaasti kasvava

tuotannontekijä

• Tälle kehitykselle luonteva jatkumo on tilinpäätösluonteisen tarkastelun ulottaminen • tietovarantoihin

• tietojohtamiseen

• tietojenkäsittelyyn

• tietoturvallisuuteen.

• Perinteistä taloudellista tilinpäätöstä täydentäviä raportoinnin muotoja ovat mm. yritysten ja yhteisöjen yhteiskunta- ja ympäristövastuuraportit sekä henkilöstötilinpäätös.

12

Tietotilinpäätöksestä ja tietosuoja-asetuksesta sanottua…

Tietosuojavaltuutetun

toimisto:

• Tietosuojan

toteuttamiseen liittyvä

kansainvälinen

kehitysmalli/suunta.

• Perusoikeuksien

toteuttamisen väline.

Valtiontalouden

tarkastusvirasto:

• Tarkoitus on terävöittää johdon vastuuta tietosuojan ja -turvan järjestämisestä sekä vahvistaa hyvää hallintotapaa korostamalla avoimuutta tietosuojan ja -turvan järjestämisessä.

• Lisäksi tarkoitus on nivoa tietosuojan ja -turvan järjestäminen, kehittäminen ja arviointi osaksi viraston ja laitoksen tulosohjausta, johtamista ja tulosraportointia.

13

Oikeus- ja sisäasioiden neuvoston

kokouksessa Luxemburgissa 9.-10.

lokakuuta: ”Mistään ei ole sovittu ennen

kuin kaikesta on sovittu.”

Ei täysin uutta Kelalle (tai Suomelle)

• Useiden tietotilinpäätöksessä käsiteltävien asioiden huomioon ottaminen sisältyy jo tällä hetkellä JulkL ja HetiL periaatteisiin: • Hyvä tietojenhallintatapa (VM:n työryhmämuistio 2000)

• Hyvä tietojenkäsittelytapa

• Organisaation on huolehdittava siitä, että sisäinen valvonta on asianmukaisesti järjestetty.

• Kelan etu on tehokkaasti valvoa sekä tarkastaa sisäisen ja ulkoisen tarkastuksen keinoin myös tietojenkäsittelyjärjestelmiään; toisaalta asiaan liittyy voimakas yleinen lainvalvontaintressi.

14

Kuka hyötyy?

• Tietotilinpäätöstä koskeva raportointi voidaan kohdistaa organisaation johdolle, työntekijöille, asiakkaille ja muille sidosryhmille tai laillisuusvalvontaa harjoittaville tahoille.

• Tietotilinpäätös on luonteeltaan dynaaminen asiakirja, jonka sisältö voidaan muokata kohderyhmäkohtaisesti. • Tietojen suojauksesta ja valvonnasta raportoidaan johdolle

yksityiskohtaisesti.

• Muille sidosryhmille kohdistetussa tietotilinpäätöksessä voimaan samoja asioita kuvata yhteenvetona tai kokonaisarviona.

15

Julkishallinnon erityispiirteet tiedolla johtamisessa

16

Tietovarantojen keskinäisriippuvuudesta

• Asiakastiedot

• Etuustiedot

• Tulo- ja

varallisuustiedot

• Lainatiedot

• Työeläketiedot

• Työntekijätiedot

• Säilytyksessä olevat

tiedot

• VRK

• Kelan osasto

• Verohallinto

• Pankit

• Työeläkelaitokset

• Kelan henkilöstöosasto

• Kanta-palvelussa, mutta

omistajuus

sidosryhmillä.

17

Julkiset palvelut

• Julkisrahoitteisten palvelujen kehittämisessä tarvittava tieto poikkeaa joltain osin oleellisestikin markkinaehtoisen palvelu- ja tavaratuotannon tietovaatimuksista.

• Asiakas ei maksa palvelujen käytöstä suoraan mitään tai maksimissaan palvelun tuottamisen verran.

• Palvelutoimintaa ei ohjaa kysyntä ja tarjonta, eikä kilpailutilanne vapailla markkinoilla, eivätkä muut toimijat voi käytännössä tuottaa kyseisiä palveluja tuottavasti.

18

Kysymykset ja vastauksia

19

Lähde: VM/KuntaIT, Sote-tietojohtaminen

Mittaamisen yhteensovittamisen vaikeudesta

ASIAKAS

Palvelujen käytön kautta mahdollisimman suuri hyvinvointihyöty, josta elämänlaatua ja onnellisuutta.

JULKISHALLINNON ORGANISAATIO

Kustannusvaikuttavuuden kannalta mahdollisimman hyvä tulos.

20

Kelan valmistautuminen tulevaan sääntelyyn …ja siitä riippumatta.

21

Muistisääntö yli muiden

Tunnisteellinen henkilötieto

Muu tieto

22

Tietovaraston demystifiointi

Tietovarasto on järjestelmä muiden joukossa

• Toteutukseen tai operointiin ei liity tietoriskejä, joita ei

lähtökohtaisesti pystyttäisi hallitsemaan ja hyväksymään.

• Kysymys on pikemminkin siitä mihin kohtaan kontrollien

painopiste kannattaa siirtää tai on mahdollista siirtää

akselilla integrointi-säilytys-käsittely/raportointi.

• Henkilöiden profilointia ei ole kielletty EU:n

tietosuojalainsäädännössä, mutta profiloinnin osalta

Kelan joutuu olemaan erityisen tarkka henkilötietojen

käsittelyn perusteista.

23

Tiedon ja järjestelmien omistajuudesta

• Tietojen ja järjestelmien omistajuus ei ole Kelassa vakiintunut käsite – varsinkaan tietojen omistajuuden osalta.

• Perinteisesti aiheeseen ei ole liittynyt problematiikkaa • Useimmissa tapauksissa järjestelmän ja tiedon omistajana

on ollut sama tulosyksikkö.

• Se mitä omistaja on (osin tiedostamattakin) päättänyt järjestelmän suhteen, on käytännössä ohjannut myös tiedonhallinnan ratkaisuja.

• Toimintaa on perinteisesti leimannut siiloutunut järjestelmäkeskeisyys.

24

Muutosagenttien vaikutus omistajuuteen

• Kehitys vie kohti palvelukeskeistä

kokonaisarkkitehtuuria, jossa järjestelmien ja

tietojen omistajuus eivät automaattisesti

kohtaakaan.

• Puhtaasti päätöksentekijän rooli laajenee aktiivisen

ohjausvastuun sekä yhteistoimintavelvoitteen

suuntaan.

• Kyseessä on iso kulttuurinen muutos (Kelassa).

25

Epäsuoran tunnisteen problematiikka

• Epäsuoria tunnisteita ovat esimerkiksi sukupuoli, ikä, koulutus, ammattiasema, pääasiallinen toiminta, työmarkkina-asema, sosioekonominen asema, kotitalouden koostumus, tulot, etuussaatavat, siviilisääty, kieli, kansallisuus, etninen tausta, työpaikka tai koulu, postinumero, kaupunginosa, kunta, lääni, maakunta, seutukunta ja suuralue.

• Tunnisteiden tarkkuus ja määrä vaikuttavat anonymisointiin. Mitä enemmän niitä on ja mitä yksityiskohtaisempia ne ovat, sitä todennäköisempää on että yksittäinen henkilö on tunnistettavissa. • Haltuun käyttöoikeusryhmien kautta?

26

Käyttöoikeuspolitiikkaa

• Käyttöoikeudet tulee toteuttaa roolipohjaisesti ja niiden

hallinta tulee integroida osaksi Kelan yleistä KVH-

prosessia.

• Käyttöoikeuksien vähimmäistaso on peruskäyttäjä, johon

kuuluvat lähtökohtaisesti kaikki Kelan toimihenkilöt.

• Roolille sallitaan pääsy vain ja ainoastaan sellaisiin

näkymiin/raportteihin, jotka on etukäteen laadittu ja joita

peruskäyttäjä ei voi muuttaa.

• Roolilla ei tule olla pääsyä tunnisteelliseen tietoon.

• Rooli tulisi sisällyttää käyttövaltuushallinnassa

toimihenkilön automaattisiin perusoikeuksiin.

27

Ulkopuolisten pääsystä

• Kelan tutkimusosaston eettisen toimikunnan tehtävänä on tieteellisiin tutkimushankkeisiin liittyvien eettisten kysymysten käsittely ja lausunnon antaminen ihmiseen kohdistuvissa rekisteri-, kysely- ja haastattelututkimuksissa, joissa hyödynnetään Kelalta saatua henkilötunnisteellista tietoa.

• Jotta henkilötietoja voitaisiin käsitellä ilman tutkittavien suostumuksia tutkimustarkoituksessa, kyseessä on oltava sellainen tieteellinen tutkimus, jota henkilötietolaissa tarkoitetaan.

• Kaikki tutkimus ei ole tieteellistä. Esimerkiksi kaupallista tutkimusta sekä mielipide- ja markkinatutkimusta arvioidaan henkilötietolaissa tieteellisestä tutkimuksesta poikkeavasti. Tuotekehitykseen tähtäävää tutkimusta pidetään usein pikemmin kaupallisena kuin tieteellisenä.

28

Tiedon naamiointi (Data Masking)

• Naamiointi edustaa tietovarasto-tyyppisten

toteutusten ns. parhaita käytäntöjä tiedon

suojauksen osalta (Gartner).

• Maskaus sijoittuu arkkitehtuurisesti tietokannan ja

sovelluskerroksen väliin.

• Toiminnallisuus on sovelluskerroksen näkökulmasta

läpinäkyvä ts. siitä ei lähtökohtaisesti aiheudu

muutoksia raportointivälineeseen.

29

Tiedon naamiointi 2/3

• Käyttöoikeusroolien lisäksi on määriteltävä

varsinaiset maskaussäännöt eli se missä muodossa

tieto esitetään suojatusti.

• Aina ei ole tarkoituksenmukaista näyttää kyselijälle

tyhjää kenttää, jos käyttöoikeudet eivät riitä ko.

tiedon katseluun, vaan esim.

• karkeistaa tietoa: postinumero 03***

• ylikirjoittaa x-kirjaimilla tai satunnaisluvuilla

• arpoa kuvitteellisia nimiä

30

Tiedon naamiointi 3/3

• Yhtä kaikkiin tilanteisiin ja kaikille tiedoille sopivaa

maskaussääntöä ei ole.

• Tietovarastohankkeessa on neuvoteltava

suojauksen tarkkuudesta kunkin tiedon omistajan

kanssa erikseen ja mieluiten etupainotteisesti sitä

mukaa, kun eri tietokokonaisuuksien vienti

tietovarastoon etenee.

• Muna-kana-problematiikka

31

Kehitysaloitteita Kelassa

• Esivalmisteluita (sertifioidulle) hallinta- ja

ohjausjärjestelmälle

• Tietosuoja on saavuttanut kriittisen massan

• 2000-luvun ilmiö, vaikka ”aina” ollut olemassa

• Toimintatavat, roolit ja vastuut dokumentoidaan.

• ”Mikään” säädös ei velvoita ISO-standardien (tai

vast.) mukaiseen malliin tietosuojan osalta, mutta on

de facto seurausvaikutus.

32

Tarkemmin arvioimattomia tietosuojahaasteita

• EU:n ja USA:n tulkintaerot käsitteestä ”tietosuoja”.

• Google ja vastaavat pilvipalvelut: näkymätön,

tunnistamaton ja aliarvioitu tietosuojariski

• Big Datan myötä käsite ”anonyymi” on arvioitava

uudelleen.

33

Q & A

Keskustelua aiheesta

34