IDA-hanke paljasti vakavia tietovuotoja
Verkkoalustat ovat keskeisiä modernissa arjessa – ostamme ja myymme, teemme ja liikumme, tapaamme ja keskustelemme. Datavetoinen teknologia vaikuttaa monin tavoin arkeemme: se helpottaa, mutta teknologiaan liittyy myös eriarvoistavia ja yksityisyyttä uhkaavia piirteitä. Strategisen tutkimuksen neuvoston rahoittamassa, ”Kulttuuri teknologisoituvassa yhteiskunnassa” (CULT) -ohjelman IDA-hankkeessa on tutkittu datavuotoja ja edistetty kestäviä ratkaisuja datan keräämiseen, jakamiseen, hallintaan ja käyttöön. Hankkeen tutkimukset paljastivat vakavia tietovuotoja erityisesti arkaluonteisten henkilötietojen osalta.
Merkittävä yksityisyyteen liittyvä haaste moderneilla verkkosivustoilla käytetyt kolmannen osapuolen palvelut, kuten esimerkiksi teknologiajättien tarjoamat analytiikkatyökalut. Ne keräävät verkkosivujen käyttäjistä arkaluonteisia henkilötietoja. ”Intiimiys datavetoisessa kulttuurissa” (IDA)-hankkeessa tätä yksityisyyshaastetta on tutkittu monilla suomalaisilla verkkosivustoilla. Tarkastelun kohteena ovat olleet verkkoapteekit, vaalikoneet, verkkovaatekaupat sekä monien muiden toimialojen palvelut.
Esimerkiksi henkilön lääkitykset ja poliittiset mielipiteet ovat erityisen arkaluonteisia henkilötietoja, joita ei saisi päätyä kolmansille osapuolille. IDA:ssa kolmansille osapuolille vuotavia henkilötietoja on tarkasteltu verkkoliikenneanalyysin keinoin. Samalla on tutkittu, informoidaanko käyttäjiä asianmukaisesti henkilötietojen käsittelystä.
Tutkimusten löydökset ovat osoittaneet, että suomalaisissa verkkoapteekeissa ja terveysalan sivustoilla on ollut lukuisia vakavia tietovuotoja esimerkiksi reseptilääkkeiden ja terveydenhuollon ajanvaraustietojen päädyttyä kolmansille osapuolille. Vaalikoneista taas vuoti tietoja käyttäjän tarkastelemista ehdokkaista. Usein käyttäjä ei tiedonkeruun kieltämälläkään voinut estää tämäntyyppisiä tietovuotoja eikä tullut riittävissä määrin informoiduksi henkilötietojensa käsittelystä. Valtaosa tietovuodoista on nyt tutkimusten ansiosta korjattu.
Tulokset antavat aihetta tarkemmalle regulaation noudattamiselle sekä reilummalle ja läpinäkyvämmälle henkilötietojen käsittelylle. Kriittisimmät verkkopalvelut tulisi auditoida ja niissä olisi syytä suosia lähinnä paikallisia analytiikkaratkaisuja.
Reilussa henkilötietojen käsittelyssä vähemmän on enemmän
Reilu henkilötietojen käsittely edellyttää läpinäkyvyyttä ja rehellisyyttä käyttäjää informoitaessa. Käyttäjälle tulee kertoa avoimesti, mitä henkilötietoja kerätään, miksi, kenelle niitä jaetaan ja miten niitä käytetään. Käyttäjältä tulee pyytää tietojen käsittelyyn selkeä suostumus ilman manipuloivia tai harhaanjohtavia käytäntöjä.
Lisäksi reilu henkilötietojen käsittely liittyy olennaisesti datan keräämisen minimointiin: vain se data tulisi kerätä, joka on välttämätöntä palvelun kannalta, eikä jakaa sitä tarpeettomasti. Esimerkiksi verkkovaatekauppojen havaittiin käyttävän useita toiminnallisuuksiltaan päällekkäisiä kolmannen osapuolen palveluja, joiden keräämä data ei varmastikaan kokonaisuudessaan päädy verkkosivuston omistajaa ja käyttäjää hyödyttävään käyttöön. Tutkimuksemme perusteella, on tärkeää arvioida kriittisesti, tuoko kolmannen osapuolen palveluiden käyttö verkkokaupan tai -palvelun käyttäjälle oikeaa lisäarvoa vai luoko se lähinnä yksityisyysriskejä ja turhaa datajätettä palvelimille ympäri maailmaa. Suomalaiskäyttäjien datan jakaminen yhdysvaltalaisille datajäteille saattaa myös herättää erilaisia huolia nykyisessä maailmanpoliittisessa tilanteessa kuin mitä se teki vielä vuosi sitten. Reilu ja kestävä henkilötietojen käsittely on osa yrityksen kokonaisvaltaista vastuullisuutta ja se tulisi nähdä kilpailuvalttina – myös kansallisella tasolla.
