Saatiin hartaasti suunnittelemamme web-palvelu OpiTietosuojaa.fi julkaistua internettiin 24.4.2015. Toivottavasti tästä portaalista saadaan aiheesta kiinnostuneiden keskeinen tapaamispaikka ja jonkinlainen vertaistuki esimerkiksi tietosuojavastaaville, joita tulee organisaatioihin toivottavasti lisää koko ajan.

Tähän portaalin kehitysprosessiin liittyi paljon huomioitavia asioita sekä teknisesti että ideologisesti. Oppia kuitenkin ikä kaikki. Osa ihmisistä pitää tietosuoja-asioita turhanpäiväisinä ja omien tarkoitusperien toteutumista hidastavina haasteina. Yleensä se johtuu siitä, että asioita ei ole suunniteltu "Privace by design" -ideologian mukaisesti vaan ne on lykätty projekteissa viime tippaan, jolloin lyhyellä aikataululla joudutaan ohjausryhmissä ruveta pohtimaan "ai niin, pitikös jotain niitä tietoturvajuttujakin huomioida". Jonkinlaiset perustiedot tietosuoja-asioihin liittyen olisi hyvä olla kaikilla kansalaisilla. Onhan tietosuoja perusoikeus. Jatkossa Eu:n tietosuoja-asetus tullee saamaan vipinää punttiin varsinkin toiminnan johdolla, kun halutaan saada nykytilankartoitus eli tietosuojan tilannekuva ensinnäkin tietoon ja sen jälkeen alkaa pohtiminen, että onkos asiat nyt hoidettu ja dokumentoitu vähintäänkin riittävällä tasolla.

Kun tietosuoja-asioita haukkaa opeteltavaksi pienen palan kerrallaan, mutta pitää aihepiirin koko ajan omassa organisaatiossa ja omassa työssä ajankohtaisena -auttaa se kaikkia. Sekä yritysjohtoa että yksittäisen työntekijän oikeusturvaa! Jokainen meistä on monessa roolissa. Välillä työntekijä, välillä asiakas ja toisinaan edustaa toista henkilöä esimerkiksi huoltajan ominaisuudessa. Roolit eivät saa sekoittua, mutta valveutuneisuutta pitää olla siihen, miten missäkin roolissa toimitaan yksityisyyden suojaa kunnioittaen. Luottamuksen voi menettää vain kerran ja sen jälkeen takaisin saaminen on liki mahdotonta.

Toivomme, että sivustoltamme löytyy mielenkiintoisia artikkeleita ja että saamme sivustoa kehitettyä aina vain paremmaksi!

Tervetuloa: Opitietosuojaa.fi palvelun ylläpitäjät Ari Andreasson ja Juha Koivisto

billionphotos 847153 xsmall150

Sähköiseen asiointiin liittyvät tekniset asiat ovat kehittyneet matkan varrella ja koko ajan itselleni vahvistuu mielipide siitä, että kaikissa verkkopalveluissa, joissa vähääkään liikutellaan kahdensuuntaisesti salassa pidettävää tietoa -pitää vaatia käytettäväksi vahvaa tunnistamista. Kuitenkin joskus vahva tunnistaminen (esim. "verkkopankkitunnukset", mobiilivarmenne ja sirullinen varmenteella varustettu henkilökortti) on liioiteltua, joten jonkinlainen kriteeristö/linjaus pitää organisaatioiden tehdä sen suhteen milloin vahvaa tunnistamista tarvitaan. Muissa tapauksia sitä ei kannata käyttää.

Vetuma-palvelu on kansalaisen verkkotunnistus- ja maksamispalvelu, joka on tarkoitettu julkishallinnon organisaatioiden sähköisinä asiointipalveluina toteuttavien palvelusovellusten käyttöön. Vetuma-palvelu tarjoaa asiointipalvelujen käyttöön toiminnallisuuksia käyttäjien tunnistamiseen, toimenpiteen hyväksyttämiseen, sähköiseen allekirjoittamiseen, maksun maksattamiseen käyttäjällä ja maksun palautukseen. Palvelusta vastaa Valtion tieto- ja viestintätekniikkakeskus Valtori ja palvelun toimittaa Fujitsu Finland Oy.

Vetuma-hanke käynnistyi vuoden 2004 keväällä pääkaupunkiseudun kuntien aloitteesta. Hankkeen tavoitteena oli hankkia julkishallinnon käyttöön yhteinen verkkotunnistamisen ja -maksamisen alusta ja levittää se koko julkishallinnon käyttöön. Valtio ja noin 60 muuta kuntaa liittyivät pian tämän jälkeen hankkeeseen mukaan. Pian tämän jälkeen useat muut kunnat ja kuntayhtymät sekä valtionhallinnon organisaatiot liittyivät Vetuma-palveluun. Tammikuun 2014 lopussa palvelussa oli mukana noin 175 yhteisöä, kaikki Suomen pankit, teleoperaattorit ja NETS Oy luottokorttimaksamiseen (NETS Oy on entiseltä nimeltään Luottokunta).

Vetuma-palvelun käytön keskeisiä hyötyjä ovat:
• Palvelu voidaan ottaa käyttöön nopeasti, koska sopimusten sisältö (sopimusteksti ja hinnat) on neuvoteltu valmiiksi puitesopimuksiksi palveluntarjoajien (VRK, pankit, teleoperaattorit) kanssa. Vetuma-asiakasorganisaation on kuitenkin itse tehtävä sopimukset palveluntarjoajien kanssa.
• Palvelun käyttöönotto ei edellytä mittavaa kehitystyötä, koska palvelun tekninen toteutus on valmis ja sitä voidaan käyttää sellaisenaan.

Käyttäjän tunnistaminen

Vetuma-palvelun avulla voidaan tunnistaa asioiva kansalainen, eli saada luotettavasti tieto hänen henkilöllisyydestään. Palvelua suositellaan käytettäväksi kaikissa niissä tilanteissa, joissa asiointipalvelun käyttö edellyttää käyttäjän luotettavaa tunnistusta. Vetuma-palvelu tarjoaa tällä hetkellä palvelusovellusten käytettäväksi seuraavat tunnistusmenetelmät:
• Kansalaisvarmenteeseen perustuva tunnistus, jossa varmenne voi sijaita sirukortilla tai matkapuhelimen SIM-kortilla. Sovelluksen niin halutessa noudetaan tunnistautuneen käyttäjän henkilötunnus (HETU) VTJ:stä.
• Käyttäjätunnus/salasanaperiaatteeseen perustuvat tunnistusmenetelmät
• Pankkien tarjoama tunnistuspalvelu tietoverkkokäyttöön (Tupas).

Käyttäjän suorittama hyväksyminen

Vetuma-palvelun avulla voidaan hyväksyttää toimenpide käyttäjällä siten, että käyttäjä suorittaa hyväksymisen tunnistautumalla ja sovellus tallettaa tunnistautumisen tuloksen todisteena hyväksymisestä. Vetuma-palvelua suositellaan käytettäväksi kaikissa niissä tilanteissa, joissa asiointipalvelussa edellytetään, että käyttäjän tulee luotettavasti hyväksyä tietty toimenpide ja joissa ei vaadita sähköistä allekirjoitusta.

Sähköinen allekirjoitus

Vetuma-palvelun avulla voidaan tunnistaa asioiva kansalainen, eli saada luotettavasti tieto hänen henkilöllisyydestään. Palvelua suositellaan käytettäväksi kaikissa niissä tilanteissa, joissa asiointipalvelun käyttö edellyttää käyttäjän luotettavaa tunnistusta. Vetuma-palvelu tarjoaa kansalaisvarmenteeseen perustuvan sähköisen allekirjoituksen teettämisen käyttäjällä. Käyttäjän varmenne voi sijaita sirukortilla tai matkapuhelimen SIM-kortilla. Palvelua suositellaan käytettäväksi kaikissa niissä tilanteissa, joissa asiointipalvelussa edellytetään, että käyttäjä voi luotettavasti allekirjoittaa tietyn tekstin. Sähköisen allekirjoituksen tekeminen vaatii teknisesti sen, että allekirjoittajalla on:

• Varmenne joka sitoo hänen henkilöllisyytensä hänen allekirjoituksissaan käyttämiinsä avaimiin.

• Sähköinen tietoväline, jolla allekirjoitusavain ja varmenne sijaitsevat.

Maksatus

Vetuma-palvelu mahdollistaa tietyn maksun maksattamisen käyttäjällä siten, että käyttäjä ohjataan valitsemaansa verkkomaksupalveluun maksua suorittamaan. Tuettuja maksupalveluita ovat:

• Pankkien verkkomaksupalvelut

• NETS Oy:n verkkomaksupalvelu (Visa ja MasterCard) Palvelua suositellaan käytettäväksi kaikissa niissä tilanteissa, joissa asiointipalvelussa edellytetään, että käyttäjä voi maksaa tietyn maksun osana asiointitapahtumaa.

Vetuma-palvelu huolehtii maksatuspyyntöjen välittämisestä kansalaisten valitsemille maksupalveluille, sovittaen pyynnöt eri maksupalveluiden rajapintojen vaatimaan muotoon 1.5 Maksunpalautus Vetuma-palvelun avulla voidaan kansalaisen tilille palauttaa hänen maksamansa maksu joko osittain tai kokonaan. Palvelua suositellaan käytettäväksi sellaisissa tilanteissa, joissa käyttäjälle pitää suorittaa maksunpalautus, ja käyttäjä on maksanut maksun sellaisessa maksupalvelussa, joka tukee maksunpalautusta. Vetuma-palvelu huolehtii maksunpalautuspyyntöjen välittämisestä maksupalveluille, sovittaen pyynnöt eri maksupalveluiden rajapintojen vaatimaan muotoon.