keskiviikko 12. kesäkuuta 2013

Opetusorganisaatiosta, pilvipalveluista ja tietosuojasta

Pilvipalvelut tarjoavat mahdollisuuden tarjota palveluita käyttäjille edullisesti. Käsite "pilvipalvelu" on teknisesti hämärä laaja-alaisuudessaan. Se voi tarkoittaa hyvin erilaisia palvelumalleja alkaen Infrastructure as a Service-mallista (IaaS) ulottuen aina selaimella käytettävään palveluun, jolla voidaan hoitaa jokin tietty tarve, esimerkiksi sähköposti. Tässä kirjoituksessa pilvipalveluilla tarkoitetaan mitä tahansa palveluita, joita käytetään julkisen Internetin yli.

PRISM-järjestelmän väitetty olemus


Viime viikolla esiin tulleiden väitteiden takia on tullut ajankohtaiseksi pohtia sitä, miten erilaisten palveluiden käyttöön tulisi suhtautua oppimisessa. Ed Snowdenin väitteiden olennainen sisältö on se, että Yhdysvaltojen tiedusteluorganisaatiot NSA suodattaa rutiiniluonteisesti massoittain Internet-käyttäjien tietoja useista isojen palveluntarjoajien palveluista. Washington Postin artikkelin mukaan vuodettu materiaali on uusien PRISM-vakoiluohjelmaan rekrytoitujen työntekijöiden koulutusmateriaalia. Ensiksi vuodettu materiaali on esitysgrafiikkaa, jonka väitetään sisältävän ydintiedot PRISM-ohjelmasta. Materiaalissa väitetään seuraavien yritysten tai palveluiden olevan urkinnan piirissä: Microsoft, Google, Yahoo, Facebook, PalTalk, Youtube, AOL, Apple. Lista on hämmentävän kattava.

Väitteitä laajamittaisesta urkinnasta on esitetty aiemminkin. Tämä on kuitenkin ensimmäinen kerta, kun asia tulee näin laajamittaisesti myös tietotekniikan ulkopuolisiin joukkotiedotusvälineisiin. Esimerkkeinä mainittakoon Helsingin Sanomien artikkeli 8.6.  ja Turun Sanomien pääkirjoitus 11.6..

Yhdysvalloilla on tietysti oikeus puolustaa etujaan ja turvallisuuden nimissä valvoa tietoliikennettä. Suomalaisten kannalta asia on merkittävä siksi, että suuri - ellei suurin osa - suosituista Internet-palveluista on yhdysvaltalaisten yritysten tuottamia. Vuodon tapahtuminen juuri nyt on erityisen kiusallinen Yhdysvalloille siksi, että Yhdysvallat ja sikäläisten yritysten lobbarit ovat viime ja tämän vuoden aikana lobanneet Euroopan Unionin komissiota ja Euroopan parlamentin jäseniä EU:n tietosuojadirektiivin heikentämiseksi uhaten jopa kauppasodalla. Nyt esiintullutta urkintaa vasten esimerkiksi USA:n lobbareiden vaatimus oikeuskomissaari Viviane Redingin esittämästä "right to be forgotten"-säännöstä luopumisesta tuntuu aika ikävältä. Must forget-sääntö tarkoittaa sitä, että jos käyttäjä lopettaa palvelun käytön ja poistaa käyttäjätilinsä, palveluntarjoajan on poistettava kaikki käyttäjän tiedot palvelusta. Katso EU:n virallinen asiakirja asiasta.  Tietosuojadirektiivin uudistuksen valmistelussa on myös käynyt ilmi että osa euroedustajista on kopioinut ehdotuksia suoraan yhdysvaltalaislobbareiden antamista muistioista.

Vaikka suomalaisten ja EU-alueen käyttäjien tietosuojan rikkomisella on laajoja poliittisia vaikutuksia,
tämän kirjoituksen tarkoitus on pohtia miten yhdysvaltalaisten palveluiden käyttämiseen oppimisessa ja kouluissa tulisi tulisi suhtautua ja mitä kannattaa ottaa huomioon.

EU:n ja USA:n lainsäädäntöjen erot

Euroopan unionissa on jo vuonna 2002 luotu yhteinen sähköisen viestinnän tietosuojadirektiivi. EU:n jäsensopimuksen mukaisesti jäsenvaltiot ovat velvollisia implementoimaan eli sisällyttämään direktiivin sisällön kansallisiin lainsäädäntöihinsä. Oma sähköisen viestinnän tietosuojalakimme on yhteensopiva EY-direktiivin kanssa. Samoin on laita henkilötietolakimme kohdalla. Sekin on yhteensopiva henkilötietojen käsittelystä annetun direktiivin kanssa.

Yhdysvalloissa on liittovaltion historiasta johtuen hyvin erilainen lainsäädännöllinen perinne. Ihanteena on vähäinen lainsäädännöllinen puuttuminen, joten lakeja ei säädetä "turhaan". Niinpä Yhdysvalloissa ei ole tietosuojaa koskevaa kattolainsäädäntöä, vaan vanhoihin lakeihin tehdyt täydennykset ja oikeustapaukset muodostavat monimutkaisen juridisen käytännön. Erityisen tärkeää on ymmärtää, että Yhdysvaltojen lainsäädännössä ei ole sellaisia säädöksia tietosuojaan tai henkilötietojen käsittelyyn liittyen, jotka koskisivat muita kuin heidän omia kansalaisiaan. Lähtökohtaisesti Yhdysvaltoihin viedyillä henkilötiedoillamme saa tehdä mitä vain ilman laillisia seuraamuksia ja maa kuuluu siksi niihin maihin, jotka eivät täytä henkilötietolain vaatimusta "taataan tietosuojan riittävä taso".

Ongelman ratkaisemiseksi on luotu EU:n ja Yhdysvaltojen välinen Safe Harbour -sopimus, jonka tarkoitus on taata yhdysvaltalaisia palveluita käyttäville EU-maiden kansalaisille samat oikeudet kuin heillä on EU-lainsäädännön perusteella.

Safe Harbour-järjestelyn perusteet ja sen toimivuus

Safe Harbour-järjestely on otettu käyttöön EU-komission päätöksellä 2000/520/EY. Järjestelyn suunnittelu on tehty Yhdysvaltain kauppaministeriössä EU-komissiota kuullen. Käytännössä järjestelmä toimii siten, että yritys auditoi toimintansa joko itse tai käyttää ulkopuolista auditoijaa. Tämän jälkeen yritys tekee ilmoituksen Yhdysvaltain kauppakomissiolle (FTC), joka ylläpitää listaa järjestelyyn liittyneistä toimijoista. Auditointi ja järjestelmässä pysyminen on uudistettava vuosittain.

Safe Harbor-järjestelyä on kritisoitu sen puutteista. Ilmeisimmät puutteet olivat 1) EU:ssa henkilöön sidotun tiedon käyttöön markkinoinnissa on saatava ko. henkilön suostumus. Yhdysvalloissa sen voi halutessaan kieltää. 2) Alkuperäisessä sopimuksessa ei oltu otettu huomioon sitä, että se koski vain palveluntarjoajaa, jonka kanssa tehtiin sopimus. Alalla on kuitenkin yleistä, että palveluita ostetaan edelleen alihankkijoilta ja noin syntyy tilanteita, joissa alihankkija ei ollutkaan Safe Harbour -sääntelyn piirissä. Nämä aukot tilkittiin EU:n komission laatimilla mallisopimuslausekkeilla, joita komissio suosittelee käyttämään.

Safe Harbour -järjestelyn valvonnassa on myös ollut vahvasti toivomisen varaa. Tiivistäen näyttää siltä, että FTC on ollut vain tyytyväinen siihen, että järjestely on saatu aikaan ja lepsuillut valvonnassa ja lyönyt perusteettomia "laaduntarkastusleimoja". Myöskään yritysten auditointiraportit eivät ole julkisesti luettavissa. Pidempi analyysini asiasta on OPH:n julkaisemassa Sosiaaalisen median käyttöehdot opetuksessa -oppaassa. Analyysi perustuu Chris Connollyn 2008 tekemään laajaan selvitykseen

Vakoilun mahdollisuuteen on kiinnitetty huomiota myös EU:n parlamentissa. Se tilasi Microsoft Europen entiseltä pääneuvonantajalta Caspar Bowdenilta kyberrikollisuuteen keskittyvän selvityksen. Raportissa todetaan: 

Particular attention should be given to US law that authorizes the surveillance of Cloud data of non-US residents. The EP should ask for further enquiries into the US FISA Amendments Act, the status of the 4th Amendment with respect to NONUSPERS, and the USA PATRIOT Act (especially s.215).

The EP should consider amending the DP Regulation to require prominent warnings to individual data subjects (of vulnerability to political surveillance) before EU Cloud data is exported to US jurisdiction. No data subject should be left unaware if sensitive data about them is exposed to a 3rd country's surveillance apparatus. The existing derogations must be dis-applied for Cloud because of the systemic risk of loss of data sovereignty. The EU should open new negotiations with the US for recognition of a human right to privacy which grants Europeans equal protections in US courts.

Selvitys on päivätty lokakuussa 2012. Vakoilun mahdollisuus on tuotu EU:n parlamentin tietoon koko lailla painokkaasti jo hyvissä ajoin ennen vakoiluskandaalia.

Myös Microsoftin Office 365 -pilven julkaisutapahtumassa yhtiön Iso-Britannian johtaja Gordon Frazer joutui myöntämään että Office 365 -pilvessä olevat tiedot eivät ole turvassa USA:n Patriot Act -lain perusteella tehtävältä tiedustelutoiminnalta.

Safe Harbourilla ratsastaminen markkinointitarkoituksessa

Kaikkine puutteineenkin Safe Harbour on huomattavasti parempi kuin ei mitään. Sitä käytetään kuitenkin markkinoinnissa väärin. Sopimus on EU:n ja USA:n välinen ja sen perusteella henkilötietoja voidaan käsitellä jommalla kummalla alueella. Viime aikoina ongelmaksi on noussut se, että palveluita myyvät tahot rauhoittelevat asiakkaiden epäluuloja vetoamalla siihen, että toimittava yritys on mukana Safe Harbour-järjestelyssä. Samaan aikaan todellisessa palvelusopimuksessa kuitenkin lukee usein, että palveluntuottajalla on oikeus käsitellä tietoja missä tahansa maassa missä heillä on toimintaa. Jos tällainen pykälä allekirjoitetaan, se vesittää täysin Safe Harbour -järjestelyn tarjoaman suojan.

Yhdysvaltalaisyritysten jälleenmyyjillä on ollut vaikeuksia ymmärtää asiaa suomalaisen asiakkaan kannalta. Kun asiasta kysyy, vastauksena tulee usein vetoaminen Safe Harbouriin ja luettelo erilaisista tietoturvasertifioinneista, jotka yrityksellä on. Vaikka yritys olisi turvallisempi kuin keskimääräinen valtio, ongelma pysyy: henkilötietojen vieminen EU-alueen ulkopuolelle on lain mukaan sallittua vain,   "jos kyseisessä maassa taataan tietosuojan riittävä taso" tai jos siihen saadaan asianomaisen henkilön nimenomainen lupa.

Sopimuksissa myös yleensä määritellään, että palvelun tilaaja, esimerkiksi koulutoimi, on henkilötietojen käsittelijä ja palvelun tarjoaja ainoastaan niiden mekaaninen käsittelijä englanniksi data processor. Tämä tarkoittaa sitä, että henkilötietojen käsittelyn kaikki juridinen vastuu jää palvelun tilaajalle.

Henkilötietojen käsittelystä ja sopimuksista

Pilvipalveluiden käytön yhteydessä on lain mukaan mahdollista viedä henkilötietoja, esimerkiksi nimi, myös tietoturvaltaan heikkotasoisiin maihin, jos käyttäjältä tai tämän huoltajalta saadaan siihen suostumus. Tämä ei ole oppilaitoksissa lainkaan selvää. En ole löytänyt kuin muutaman kaupungin, joiden opetustoimessa käytetään yhdysvaltalaisyritysten pilvipalveluita ja joissa suostumusta olisi kysytty. Pääosin palvelut on otettu käyttöön siten, että ainakin etunimen ja sukunimen yhdistelmä on luovutettu palveluntarjoajalle. Tämä puolestaan on mielestäni henkilötieto. Tulkintaani tukee tietosuojavaltuutetun toimiston päätös siitä, että pelkkä sähköpostiosoitekin on henkilötieto.

Entä jos joku ei halua käyttää moisia palveluita? Yksi mahdollisuus voisi olla se, että käyttöehtojen niin salliessa käyttäjälle luodaan tunnus, joka ei sisällä henkilötietoja. Tällöin syntyy kuitenkin ongelma. miten käyttäjä tunnistetaan arkisessa koulutyössä. Tämäkään ratkaisu ei välttämättä kelpaa kaikkein tiukimmin yksityisyyteen suhtautuville, jotka tietävät esimerkiksi sen, että netinkäyttäjä voidaan tunnistaa melko luotettavasti pelkkien käyttötottumusten ja -tapojen perusteella.

Riskien arviointi on vaikeaa

Tässä vaiheessa on vaikea tietää onko PRISM-ohjelman perusteella tehtävä tiedustelutoiminta niin laajamittaista kuin hurjimmillaan on väitetty. Kun kyse on näinkin merkittävästä ja laajasta asiasta, emme voi luottaa siihen, että totuus tulisi koskaan ilmi. Ihmisillä on hyvin erilaisia käsityksiä siitä, minkälaista "suojaustasoa" he haluavat Internetissä käyttää ja siitä, mitkä toimijat ovat missäkin määrin luotettavia. Näiden kysymysten pohtiminen tulee olemaan tulevaisuuden työmaa.

Kuten jo aiemmin kirjoitin, on selvää että Yhdysvalloilla on täysi oikeus säätää aivan sellaisia lakeja kuin siellä halutaan. Meidän tehtävämme on nostaa tietomme tasoa ja terävöittää EU:n toimintaa siten, että kansalaisten yksityisyys taataan luotettavammin.

On totta, että mikään tiedustelukoneisto ei voi kytätä kaikkea. Todennäköisesti resurssit kohdennetaan todellisten ilkiöiden metsästämiseen. Omituista on, että julkisuudessa on kuitenkin ollut tarinoita, jotka osoittavat USA:n viranomaisten seuraavan mm. sosiaalista mediaa. Turun Sanomien pääkirjoituksen tarinaan siitä, miten brittimies joutui 12 tunniksi Los Angelesin lentokentän selliin kirjoitettuaan olevansa matkalla "destroy America" on raflaava, mutta ontuva esimerkki, koska Twitter-viestit ovat määritelmällisesti julkisia. Kuka tahansa voi lukea ne ja kyse on ainoastaan maahantuloviranomaisten tulkinnasta.

Saksalaisen Jana H:n tarina on sen sijaan omituisempi. Hän oli menossa Yhdysvaltoihin au pairiksi, pikkurahaa vastaan lapsia hoitamaan. Samalla oli tarkoitus osallistua kielikurssille. Maahantulotarkastuksessa kysyttiin maahantulon tarkoitusta ja vastaus "tulossa kielikurssille" herätti toistuvan vastakysymyksen "oletko aivan varma?" Lopulta tytön eteen tuotiin tuloste hänen henkilökohtaisesta Facebook-viestinnästään au-pair -perheen isän kanssa ja maahantulo evättiin laittoman työskentelyn epäilyn perusteella.

Vastaavia tapauksia on kosolti. Jos PRISM-järjestelmä on viritetty terrorismin torjumiseksi, mistä nämä teinityttöjen pysäyttäjät saavat tietonsa?