torstai 17. lokakuuta 2013

Miksi amerikkalaisten pilvipalveluiden käyttäminen kouluissa hyvin todennäköisesti rikkoo lakia?

Twitter-nimisessä viestintäpalvelussa heräsi keskustelua siitä, mitä USA:laisten pilvipalveluiden käytöstä opetuksessa pitäisi ajatella.

Snowdenin paljastusten jälkeen vähän hitaammankin yksilön päässä herää epäilys siitä, voiko yhdysvaltalaisiin yrityksiin luottaa tietojenkäsittelyasioissa. Lyhyt vastaus on että ei voi. Syy: vaikka luottaisimme yrityksiin itseensä, emme voi luottaa siihen etteikö niitä vakoiltaisi. Suosittelen lukemaan Wikipedian lyhyen artikkelin PRISM-ohjelmasta. Kannattaa myös miettiä, onko tekemäni vertaus oikea. Objektiivisestikin katsoen Yhdysvallat on kuin puolisoaan ja ympäristöään kyttäävä, sairaalloisen mustasukkainen ja ympäristöään uhkaileva puoliso. Sellaisista hankkiudutaan tavallisesti eroon ja jos muu ei auta, otetaan virkavalta apuun. Erityisen ikävä asia on se, että USA on selkeästi pettänyt meitä. EU:n ja Yhdysvaltojen välillä on Safe Harbour-sopimus ja järjestely. Sen idea on se, että USA:laiset yritykset voivat auditoida toimintansa ja luvata, että niiden palveluita käytettäessä tietosuojan ja tietoturvan taso on olennaisesti sama kuin EU-alueella. Snowden-paljastusten jälkeen on kuitenkin selvää, että koko Safe Harbour-sopimuksen asema ja vakuuttavuus on kyseenalainen. Yhdysvallat koittaa kovasti argumentoida, että Safe Harbour-sopimusta solmittaessakin on sovittu, että tiedustelutoiminta on sopimuksesta huolimatta ok. En toistaiseksi ole löytänyt mitään tukea tälle väitteelle. Lisäksi voidaan kysyä, että onko järkevää luottaa valtioon, joka omienkin kansalaisten mielestä rikkoo myös omaa perustuslakiaan?

On selvää, että Snowden-paljastusten vakavuus on jonkinasteinen mielipidekysymys. Kaikki eivät ole niin ankaria että ilmiselvässäkään tapauksessa pitäisivät moraalitonta, kyttäyksenhaluista, vallanhimoista hallintoa sellaisena. Kyse on politiikasta.

USAlaisten pilvipalveluiden käyttöön liittyy kuitenkin selkeämpikin otsikkoon liittyvä ongelma. Henkilötietolain 22§ toteaa henkilötietojen viemisestä seuraaavasti:

"Henkilötietoja voidaan siirtää Euroopan unionin jäsenvaltioiden alueen tai Euroopan talousalueen ulkopuolelle ainoastaan, jos kyseisessä maassa taataan tietosuojan riittävä taso."

Yhdysvallat ei lähtökohtaisesti ole tällainen maa. Aiemmin katsottiin että Safe Harbour-järjestelmään liittyneet yritykset täyttävät tämän kriteerin. Enää sekään ei välttämättä riitä mutta nyt kiinnitetään huomio toiseen asiaan.

Palveluiden käyttöehdoissa on aika usein kohta, jossa palveluntarjoaja pidättää itsellään oikeuden käsitellä käyttäjän tietoja missä tahansa maassa missä palveluntarjoajalla on toimintaa.

Google Apps for Educationin käyttöehdoista löytyy tällainen kohta:

"Information collected by Google may be stored and processed in the United States or any other country in which Google or its agents maintain facilities, provided that all such facilities shall adhere to security standards no less protective than the security standard at facilities where Google stores and processes its own information of a similar type. By using the Services, Customer consents to any such transfer, processing and storage of information."

Muistakin palveluista löytyy vastaava kohta käyttöehdoista. Google ei ole tässä yksin. Ongelma on se, että käyttäjä hyväksyessään ehdot antaa luvan käsitellä käyttäjän tietoja missä tahansa maassa missä Googlella on toimintaa. Se, että Google on tietoturvatasoltaan varmasti korkeammalla tasolla kuin moni valtio ei ratkaise asiaa. Google ei ole valtio. Henkilötietojen vieminen Googlen palveluita käyttäen minne sattuu on yksiselitteisesti laitonta. Voi tietysti kysyä, että eikö ole käyttöä, jossa ei käsitellä henkilötietoja? Toki, mutta sellaisen hyödyt oppimisessa ja opetuksessa ovat kyllä aika kapeat jos ei voi käsitellä esimerkiksi etunimen ja sukunimen yhdistelmää, koska sekin on yksilöivä henkilötieto. Edes se, että Google on mukana Safe Harbour-järjestelyssä ei vaikuta asiaan mitenkään koska kyseinen järjestely koskee tietojen käsittelyä vain USA:ssa tai EU-alueella. Jos käyttäjä antaa luvan käsitellä niitä muuallakin se on käyttäjän valinta.

Nämäkin pohdinnat olivat esillä kun Ruotsin Datainspektion linjasi Salemin kunnan tapauksen tutkinnan yhteydessä "ei käy - kunnat eivät kerta kaikkiaan saa käyttää tällaisia pilvipalveluita".

Ymmärrän hyvin, että asia sotii kovasti monen intuitioita vastaan. Toivoisin kuitenkin että "eihän se nyt noin voi olla kun kaikki tekee niin" -argumenttien sijaan keskityttäisiin asian ratkaisemiseen. Lähtökohtana täytyy tietysti pitää sitä, että tietämättömyys (eihän niitä käyttöehtoja kukaan lue), välinpitämättömyys (näinhän kaikki muutkin tekee) tai muut vastaavat perustelut eivät perinteisesti ole olleet kovin hyviä selityksiä lain rikkomiselle.

Ongelma olisi tietysti mahdollista ratkaista keskustelemalla näiden yritysten kanssa. Jos tälle tielle lähtee, kannattaa varata paljon aikaa ja kärsivällisyyttä. Nostan Googlen esiin tässä asiassa esimerkkinä koska minulla on erittäin kielteisiä kokemuksia keskusteluyrityksistä. Olen kysynyt ensimmäisen kerran 17. elokuuta 2011 Googlen Petri Kokolta hyvin yksinkertaista asiaa: onko Googlen sopimusehtojen "legally competent" Suomessa 15 tai 18 vuotta? Kysymys on esitetty tämän jälkeen myös sähköpostitse maajohtaja Anni Ronkaiselle ja viimeksi Ari Lampelalle, jonka tapasin marraskuussa 2012 Haaga-Helian Softalan avajaisissa. Alan kaiketi viettää vastaamattoman kysymyksen synttäreitä. Mukaan saa ilmoittautua.