maanantai 15. kesäkuuta 2009

Verkkopalveluiden ehtojen sudenkuopista

Pidin alkuvuodesta AVO-hankkeen online-seminaarissa esityksen siitä, minkälaisia ongelmia erilaisten Internet-palveluiden opetuskäyttöön liittyy. Kiinnitin lähinnä huomioni siihen, mitä seurauksia on sillä tosiseikalla, että suurin osa käyttäjistä ei lue lainkaan käyttöehtoja vaan klik-klik, tuosta vain hyväksyvät ehdot lukematta. Aikaisemmin, esimerkiksi asennettaessa vaikka freeware-ohjelmaa omalle koneelle tällä ei ollutkaan niin merkitystä. Sosiaalisten Internet-palveluiden myötä tilanne kuitenkin muuttuu olennaisesti: jonkin palvelun houkuttelevin ominaisuus on sen käyttäjät ja heidän tuottamansa sisältö. Kysymyksen "liittyäkö vai ei?" vastaus riippuu pitkälti siitä, kuka palvelua suosittelee.

Alkuperäinen esitys on saatavana PDF-muotoisena
.

Seuraavassa sisältö auki kirjoitettuna:

Internet on pullollaan hienoja ja hyödyllisiä palveluita, joita otetaan käyttöön. Internetin globaali luonne hävyttää sen tosiasian, että palvelut tuotetaan fyysisesti jossain ja niitä käytetään jossain toisaalla, usein pitkänkin matkan päässä toisistaan. Sekä käyttäjä että tuottaja toimivat kuitenkin jonkin valtion lainsäädännön alla.

Kun palveluiden käyttö leviää suusta suuhun-suosituksin, palvelusta syntyy luotettava kuva. Luottamus ei kuitenkaan kohdistu tarkkaan ottaen palveluun vaan suosittelijaan. Käytännössä luottamus rakentuu jotenkin näin: "Kyllä se on varmaan OK kun tuokin sitä käyttää." On kuitenkin selvää, että tällainen ajatus ei vapauta käyttäjää niistä velvoitteista jotka hän hyväksyy sopimuksen tehdessään vaikka ei lukisi sitä.

Jos oppilaitos tai yritys vie tietoja EU:n ulkopuolelle, sen tulisi vähintäänkin tietää mihin maahan niitä ollaan viemässä ja tallentamassa. Tätä ei moni ole varmaan tullut ajatelleeksi. Erilaisia palveluita käyttävän opettajan kannalta arkisempi tapaus on se, voiko organisaatio velvoittaa työntekijänsä tai opiskelijansa antamaan luvan tietojen vientiin jotta opiskelu tai työnteko on mahdollista? Monella maahanmuuttajalla on taustansa vuoksi syy tuntea tervettä epäluuloa tiettyjen maiden harjoittamaa tiedustelutoimintaa kohtaan. On kummallinen ajatus, että poliittisesti aktiivisen muslimisuvun vesan täytyisi rekisteröityä Yhdysvalloissa sijaitseviin palveluihin osallistuakseen oppimiseen täysipainoisesti.

Henkilötietolain 22§ säätää asiasta näin:

Henkilötietoja voidaan siirtää Euroopan unionin jäsenvaltioiden alueen tai Euroopan talousalueen ulkopuolelle ainoastaan, jos kyseisessä maassa taataan tietosuojan riittävä taso.

Tietosuojan tason riittävyys on arvioitava ottaen huomioon tietojen luonne, suunnitellun käsittelyn tarkoitus ja kestoaika, alkuperämaa ja lopullinen kohde, asianomaisessa maassa voimassa olevat yleiset ja alakohtaiset oikeussäännöt sekä käytännesäännöt ja noudatettavat turvatoimet.


Vaikka toisen ihmisen houkutteleminen jonkin palvelun käyttämiseksi ei tietenkään ole henkilötietojen viemistä, opettajan tai muussa vastaavassa auktoriteettiasemassa olevan tulisi mielestäni olla tietoinen ja pohtia asiaa.

Ongelman ydin on sangen hirtehinen: samalla kun ohitetaan ohituskaistalla oppilaitoksen tietohallinto, joka ei millään pysty tarjoamaan sellaista palvelutasoa, mitä Internet-nimisessä karkkikaupassa on, jätetään samalla tekemättä tietohallinnolle kuuluvat työt tietoturvaan ja henkilösuojaan liittyen. Voihan näin tietysti toimia, mutta silloin on kyllä valmistauduttava ottamaan vastaan kritiikkiä toiminnastaan. Se etäinen ja hidas tietohallintokin kun tekee kuitenkin sekin jotain - muun muassa huolehtii käyttäjien tietosuojasta.

Kun meillä on jo tilanne, jossa palveluita käytetään laajalti, kenen pitäisi lukea käyttäjäsopimukset suurennuslasilla? Onko se yksittäisen opettajan, koulutoimen vai kenties peräti Opetushallituksen tai Opetusministeriön tehtävä? Selvää on, että tätä työtä ei tällä hetkellä kukaan tee järjestelmällisesti.

Sillä välin kun tällaista kattavaa tietoa odotellaan kannattaa ottaa huomioon seuraavat asiat:

Yhdysvalloissa ei ole kattavaa tietosuojalainsäädäntöä vaan tietosuoja-asiat ovat hajallaan eri laeissa. EU:ssa sen sijaan on tietosuojan kannalta koherentimpi ja kattavampi lainsäädäntö.
Internet-palveluiden käyttäjien kannalta on yksi erittäin olennainen ero: USA:ssa ei ole lainsäädäntöä, joka sääntelisi sitä, miten muiden kuin USA:n kansalaisten henkilö- ja muita tietoja saa käsitellä. Vuoden 1974 sinänsä tiukka Privacy Act ei koske kuin omia kansalaisia. Tämä on ollut pitkään kiistan aihe EU:n ja USA:n välillä. Mikään ei estä yhdysvaltalaista palveluntarjoajaa myymästä tietojasi edelleen tai yhdistämästä niitä johonkin toiseen tietuejoukkoon, jotta saadaan selville esimerkiksi se, mitä sinulle kannattaa mainostaa. Vakavampiakin käyttötapoja varmaan moni keksii.

Facebookin liiketoimintamalli perustuu pitkälti siihen, että käyttäjille kohdennetaan mainontaa. Kohdentaminen edellyttää data mining -tekniikoiden käyttöä. Käyttäjän kannalta on epämiellyttävää, että näin kerättyä tietoa voidaan lain estämättä yhdistää muista lähteistä saatuihin tietoihin ja käyttää hyväksi.

Yhteisöpalvelu Ningin käyttöehdot sisältävät erikoisen yksityiskohdan. Käyttäjätunnuksen tekeminen työsähköpostiosoitteella tarkoittaa, että Ningin mukaan syntyy sopimus edustamasi organisaation tai yhtiön ja Ningin välille. Näin ollen jos tulee jotain ongelmia, kiistaosapuolina ovat Ning ja työnantajasi tai edustamasi organisaatio. Kävin Ningiä ylläpitävän yrityksen PR-osaston kanssa sähköpostikirjeenvaihtoa asiasta. Ystävällinen asiakaspalvelija ei ymmärtänyt mitä omituista tässä on:

You represent that you are fully able and competent to enter into the
terms, conditions, obligations, representations and warranties set forth
in these Terms of Service. If you are using or creating a Social Network
on the Ning Platform as a representative of a company or legal entity,
(i) you represent that you have the authority to enter into this
Agreement on behalf of that company or entity, and (ii) you agree that
the terms "*you*" and "*your*" in this Agreement refers to your company
or legal entity.

Tekijänoikeudet ovat myös harkitsemisen arvoinen yksityiskohta. Monen verkkopalvelun käyttöehdoissa on maininta siitä, että palveluntarjoajalla on oikeus käyttää käyttäjän luomaa sisältöä esimerkiksi palvelun markkinoimiseen. Osassa jopa tekijänoikeudet siirtyvät palveluntarjoajalle yhtäläisin oikeuksin kuin tekijällä. Tämä jää monesti huomaamatta.
Esimerkki: työryhmä tekee oppimateriaalia. Kustantaja kiinnostuu materiaalista ja olisi kiinnostunut sen julkaisemisesta. Vaan mitenkäs myyt kun oikeudet ovat myös palveluntarjoajalla?

Joissain verkkopalveluissa, esimerkiksi Facebookissa, SecondLifessa ja Ningissä on mahdollista rakentaa erilaisia sovelluksia palveluntarjoajan ohjelmistoalustalle. Nämä ovat suoritettavaa ohjelmakoodia. Palikoita voi tarjota palveluntarjoajan lisäksi myös kolmannet osapuolet.
Huomioitavaa: palveluntarjoaja sanoutuu käyttöehdoissaan irti kaikesta 3. osapuolen sovellusten aiheuttamasta. Nyt jo on esimerkkejä Facebook-madoista. Käyttäjien olisi syytä ymmärtää, mitä suoritettavan ohjelmakoodin ajamisen salliminen koneessa tarkoittaa.

Monien palveluntarjoajien käyttöehdoissa on erittäin kummallinen periaate: ehtojen muutoksista ei ilmoiteta käyttäjälle lainkaan vaan tämän edellytetään käyvän säännöllisin väliajoin lukemassa käyttöehdot sen varalta, että niitä on päivitetty. Tällaisia ovat esimerkiksi Wikispaces ja Facebook. Oletan, että käytäntö on mahdollinen USA:ssa. EU:n alueella tällainen käytäntö ei ymmärtääkseni ole luvallinen.

Palveluiden ja sovellusten siirtyessä yhä enemmän Internet-pohjaisiksi, niin sanotusti ”pilveen”, käyttäjien ja tietohallinnonkin valistamisesta tulee aiempaa tärkeämpää. Tietosuoja-asiat on otettava huomioon vaikka palveluita kuinka kivasti pulpahtelisi maailman ääristä.
Haastavinta on popularisoida aidot tietoturva- ja tietosuojaongelmat siten, että käyttäjät ymmärtävät asian ja ohjeistuksen noudattaminen muuttuu mielekkääksi ja sen hyödyt ymmärretään sen sijaan, että aina vain naristaan.

Lyhyt Survival list näiden asioiden kanssa painiville:

  • Omalla palvelimella ajettava palvelu on aina paras. Silloin ei tarvitse tehdä sopimuksia muiden kanssa.
  • Suosi EU-alueella tuotettavia palveluita, koska lainsäädäntö on harmonisoitu EU:ssa. Ei tule ongelmia.
  • Lue käyttöehdot läpi. Jos ne ovat käsittämättömät, luetuta jollain asiantuntijalla.Konsultoi organisaatiosi tietohallintoa epäselvissä kysymyksissä.

1 kommentti:

Martin kirjoitti...

Huoli tietosuojasta ja huolellisuus palveluiden käyttöönotossa on kieltämättä tarpeen.

Detaljihuomiona tuohon viittaamasi Ningin käyttöehtojen kohtaan; minusta siinä sanotaan jotakin seuraavaa: "jos olet luomassa sosiaalista verkostoa organisaatiosi edustajana, vakuutat, että sinulla on oikeus edustaa tätä organisaatiota".

Ymmärrän tämän aika yksiselitteisesti niin, että mikäli työntekijä työaikanaan ja työkoneillaan tekee jotakin henkilökohtaista ko. verkostossa, ei hän silloin toimi organisaationsa edustajana. Sen sijaan, jos hän luo yritykselleen sosiaalista verkostoa, toimii hän yrityksen edustajana. Tätä ajatellen ehtokohta tuntuu minusta luontevalta. (En kyllä lukenut muuta kuin viittaamasi kohdan, joten voin hyvin olla väärässäkin.)