Esipuhe ja mallisopimukset

Reilun datatalouden sääntökirja on opas reilun datatalouden verkostojen rakentajille. Sopimusmallit ja muut työkalut korostavat datan jakamisen läpinäkyvyyttä ja helpottavat uusien dataverkostojen rakentamista ja liittymistä niihin.

Sääntökirja sisältää

mallisopimuspohjia
joukon kontrollikysymyksiä
käytännesäännöstön mallin.

Sääntökirja koostuu kahdesta osasta: yleinen osa 1 (alla) ja muokattavat mallisopimukset osassa 2 (Word-tiedostona ja PDF-tiedostona).

Aiemmat versiot:

Ensimmäinen sääntökirja versio 1.1 julkaistiin 30.6.2020 ja päivitettiin saavutettavuusohjeiden mukaisesti 28.10.2020. Versio 1.2 julkaistiin englanninkielisenä 11.1.2021 ja suomenkielisenä 18.6.2021 ja portugalinkielisenä 30.3.2021. Versio 1.3 julkaistiin 13.8.2021 ja versio 1.4 suomeksi ja englanniksi 20.4.2022. Versio 2.0 julkaistiin englanniksi 31.8.2022 ja suomeksi 7.12.2022.

Työryhmä:

Sääntökirjatyöryhmä on luonut tämän sääntökirjamallin Sitran Reilun datatalouden teeman puitteissa.

Sääntökirjamallin kehittämiseen ovat aktiivisesti osallistuneet Olli Pitkänen (toim., 1001 Lakes Oy), Sami Jokela (1001 Lakes Oy), Marko Turpeinen (1001 Lakes Oy), Juhani Luoma-Kyyny (toim., Sitra), Jyrki Suokas (Sitra), Saara Malkamäki (Sitra), Anna Wäyrynen (Sitra & Adesso Nordics Oy), Jorma Yli-Jaakkola (Borenius Asianajotoimisto Oy ja Lexia Asianajotoimisto Oy), Otto Lindholm (Dottir Asianajotoimisto Oy), Jani Koskinen (Turun yliopisto), Pekka Mäkelä (Helsingin yliopisto), Jussi Mäkinen (Teknologiateollisuus), Kai Kuohuva (TietoEVRY Oyj, Fortum Oyj), Jutta Suksi (VTT), Jari Juhanko (Aalto-yliopisto), Kari Hiekkanen (Aalto-yliopisto, Haaga-Helia), Antti Kettunen (TietoEVRY Oyj), Petri Laine (Hybrida), Kari Uusitalo (Business Finland), Meri Valtiala (The Human Colossus Foundation), Anna-Mari Rusanen (Valtiovarainministeriö) ja Sari Isokorpi (Medifilm Oy).

Dataverkoston tietoturvatoimintamallin ohje on luotu Huoltovarmuusorganisaation Digipoolin (Teknologiateollisuus ry) aloitteesta ja Huoltovarmuuskeskuksen tuella osaksi Sitran Reilun datatalouden sääntökirjaa. Ohjetta ovat olleet tekemässä 1001 Lakes Oy:n asiantuntijat Olli Pitkänen, Sami Jokela ja Marko Turpeinen sekä Digipoolin poolisihteeri Antti Nyqvist. Ohjeen kehittämistä varten järjestettyyn työpajaan osallistui Digipoolin jäseniä, yrityksiä monilta eri toimialoilta sekä yliopistojen ja järjestöjen edustajia.

Kuvat: Topias Dean, Sitra

Osa 1: Miksi ja miten sääntökirjaa käytetään?

1. Johdanto osaan 1

1.1 Milloin ja miksi sääntökirjaa kannattaa käyttää?

Tämän sääntökirjamallin tarkoitus on tarjota helposti saavutettava opas dataverkoston perustamiseen sekä datanjakosopimusten Yleisten ehtojen määrittelyyn. Tämä sääntökirjamalli auttaa organisaatioita muodostamaan uusia dataverkostoja, toteuttamaan dataverkostojen sääntökirjoja ja edistämään yleistä reilua datataloutta. Sääntökirjan avulla osapuolet voivat perustaa keskinäiseen luottamukseen perustuvia dataverkostoja, joilla on yhteinen missio, visio ja arvot.

Sääntökirja auttaa datan tarjoajia ja datan käyttäjiä arvioimaan sovellettavasta lainsäädännöstä ja sopimuksista muodostuvia vaatimuksia sekä ohjaa niitä omaksumaan käytäntöjä, jotka edistävät datan käyttöä ja riskien hallintaa. Sääntökirjamallista huolimatta osapuolten on kuitenkin itse varmistettava, että olennainen lainsäädäntö erityisesti kansallisella ja alueellisella tasolla sekä kyseessä olevaa dataa koskeva erityinen lainsäädäntö otetaan huomioon.

Datan jakamisella on monia etuja. Datan käyttäjille voidaan antaa oikeus käyttää dataa tutkimusta tai tuotteiden ja palveluiden kehitystä varten. Datan jakaminen voi myös antaa datan tarjoajille mahdollisuuden parantaa tuotteitaan tai palveluitaan sekä tukea kolmansien osapuolten lisäarvon tai palveluiden kehitystä. Uusia tuotteita ja palveluita luovat monipuoliset ekosysteemit voivat houkutella paljon käyttäjiä.

Palvelun käyttäjämäärien kasvu voi puolestaan kannustaa uusia tuotteiden ja palveluiden kehittäjiä ja käyttäjiä liittymään mukaan dataekosysteemiin. Tämä verkostovaikutus voi kasvattaa tietyn palvelun ja jopa koko ekosysteemin arvoa. Datan jakaminen voi lisäksi pienentää datankeruun tapahtumakustannuksia ja antaa datan tarjoajien yhdistellä tietokantojaan vain vähäisin organisatorisin muutoksin.

Sääntökirjamallia käyttävien dataverkostojen täytyy käsitellä dataa reilusti, tasapainoisesti ja laillisesti. Niiden täytyy myös suhtautua jäseniin oikeudenmukaisesti ja puolueettomasti sekä varmistaa, ettei kolmansien osapuolten oikeuksia loukata. Henkilötietoja täytyy käsitellä eurooppalaisten sekä sovellettavien kansallisten tietosuojamääräysten mukaisesti.

Dataverkostot tunnistavat ja hallitsevat datan jakamiseen ja käsittelyyn liittyviä riskejä varmistaen samalla, että datan tarjoamia uusia mahdollisuuksia hyödynnetään. Osana tätä toimintaa varmistetaan, että olennaista kilpailulainsäädäntöä noudatetaan ja että dataverkostolla ei ole kielteistä vaikutusta markkinoilla kilpailuun ja kuluttajiin. Ehdot, jotka rajoittavat pääsyä verkostoon, on erityisen tärkeä ottaa huomioon tällaisessa arvioinnissa.

Sääntökirjamalli on julkaistu Creative Commons 4.0 -lisenssillä, joka sallii lisensoidun materiaalin jäljentämisen ja jakamisen sekä sovitetun materiaalin tuotannon, jäljentämisen ja jakamisen. Sääntökirjamallin kirjoittajat ja julkaisijat täytyy mainita, ja sääntökirjamalliin tehdyistä muutoksista on ilmoitettava.

Kuva 1. Sääntökirjan rakenne ja eri osien väliset suhteet.

Kaupallista liiketoimintaa ja julkisia palveluita on mahdollista parantaa huomattavasti paremmalla datan saatavuudella. Datan jakaminen yli organisaatiorajojen moninkertaistaa nämä mahdollisuudet. Monet esteet ovat kuitenkin organisaatioiden välisen tiedonjaon tiellä. Niitä ovat esimerkiksi seuraavat:

teknisen ja semanttisen yhteentoimivuuden puute
ei kykyä tunnistaa eri toimijoita riittävällä tavalla
puutteet datan laadussa
kulttuuriin ja asenteisiin liittyvät ongelmat; vaikeudet ymmärtää datan jakamisen hyötyjä
datan ja liikesalaisuuksien hallinnan menettämiseen, muiden oikeuksien loukkaamiseen ja tietosuojaan liittyvät riskit
kyvyttömyys koordinoida dataekosysteemejä ja saada kaikki tahot innostumaan ja osallistumaan
kyvyttömyys määritellä onnistuminen ja osoittaa arvo kaikille dataekosysteemin tahoille
kyvyttömyys luoda yhteinen visio, missio, tarkoitus ja arvot
kyvyttömyys määritellä roolit kullekin taholle

Sääntökirjamallin tavoitteena on poistaa näitä esteitä. Se mahdollistaa datan reilumman, helpomman ja turvallisemman jakamisen dataverkostoissa. Tähän malliin perustuvassa sääntökirjassa kuvataan juridiset, liiketoiminnalliset, tekniset ja hallinnolliset mallit, joita dataverkoston jäsenet käyttävät jakaessaan dataa toistensa kanssa. Siinä huomioidaan vahvasti eettiset periaatteet sekä erityisesti vaatimukset, jotka perustuvat yksityishenkilöiden yksityisyyteen ja tietosuojaan.

Sääntökirjamallin Yleiset ehdot sekä suurin osa sanastosta, toimintasäännöistä ja tarkistuslistojen kontrollikysymyksistä (katso liite) ovat samat kaikille dataverkostoille, jotka käyttävät tätä Sitran IHAN-projektin reilun datatalouden mallia. Vain yksityiskohtaiset ehdot laaditaan tapauskohtaisesti. Tämän vuoksi dataverkostoja ja ekosysteemejä on helpompaa ja kustannustehokkaampaa luoda, jos eri dataverkostojen sääntökirjoilla on olennaisilta osin samankaltainen perusta. Se yksinkertaistaa yhteistyötä ja datan jakamista jopa eri dataverkostojen välillä sekä helpottaa organisaation osallistumista useisiin dataverkostoihin. Samanlaiset sääntökirjat varmistavat, että dataekosysteemeissä harjoitetaan reilua, vastuullista ja eettistä liiketoimintaa, mikä puolestaan edistää osaamista, luottamusta ja yhtenäisiä markkinakäytäntöjä.

Jotta organisaatio voi käyttää omaa dataansa ja muiden dataa, sen täytyy tuntea laaja-alaisesti datan jakamiseen liittyvät liiketoiminnalliset, juridiset, tekniset ja eettiset näkökulmat. Sen tulee tunnistaa erityisesti, missä rooleissa se toimii osana dataverkostoa, mitä datan käsittelyn ja jalostamisen ominaisuuksia se tarvitsee ja mitkä ovat dataverkostoon osallistumisen minimivaatimukset. Dataverkoston toimijoiden neljä tärkeintä roolia ovat

Datan tarjoaja: yksi tai useita lähteitä, jotka tarjoavat verkostolle dataa.
Palveluntarjoaja: yksi tai useita datan jalostajia, jotka yhdistävät datavirtoja, jalostavat dataa ja jakavat sitä eteenpäin. Tarjoaa palveluita Loppukäyttäjille tai toimii muiden palveluntarjoajien alihankkijana.
Loppukäyttäjä: yksi tai useita yksityishenkilöitä tai organisaatioita, joita varten palveluntarjoaja on kehittänyt palvelunsa. Kuluttaa ja käyttää dataekosysteemissä luotua arvoa.
Infrastruktuurioperaattori: yksi tai useita toimijoita, jotka tarjoavat dataverkostolle identiteetinhallinta-, suostumuksenhallinta-, kirjaamis- tai palvelujohtamispalveluita.

Kuten eurooppalaista datahallintoa koskevassa asetusehdotuksessa (datahallintosäädöksen luonnos) on tunnustettu, datanjakopalveluiden tarjoajien (datan välittäjien) odotetaan toimivan keskeisessä roolissa datataloudessa, minkä myötä on helpompaa koota ja vaihtaa merkittäviä määriä olennaista dataa. Datan välittäjät, jotka tarjoavat eri toimijoita yhdistäviä palveluita, voivat edesauttaa datan kokoamista tehokkaasti yhteen ja helpottaa kahdenvälistä datan jakamista. Erikoistuneet datan välittäjät, jotka toimivat datan tarjoajista ja loppukäyttäjistä riippumattomasti, voivat toimia tukiroolissa uusien datalähtöisten ekosysteemien syntymisessä riippumatta yksittäisistä, huomattavaa markkinavoimaa käyttävistä toimijoista.

Kun datahallintosäädöksen ehdot tulevat saataville, ne huomioidaan tämän sääntökirjamallin jatkokehityksessä vaatimusten täyttämiseksi. On kuitenkin tärkeä ymmärtää, että kaikilla dataverkoston jäsenillä voi olla useita rooleja, ja roolit voivat muuttua jatkuvasti. Palveluntarjoajat ja infrastruktuurioperaattorit ovat luontevia ehdokkaita datahallintosäädöksen mukaisiksi riippumattomiksi datan välittäjiksi. Tästä huolimatta on huomattava, että ne eivät ole aina riippumattomia, ja toisinaan myös datan tarjoajat ja loppukäyttäjät voivat tarjota palveluita tai ylläpitää infrastruktuuria.

Lisäksi on huomattava, että laajemmassa kontekstissa jopa datan tarjoajat voivat saada dataa ulkoisista lähteistä ja mahdolliset ulkoiset osapuolet, tilaajat, voivat saada dataa dataverkostosta datajoukkojen käyttöehtojen mukaisesti, vaikka tilaajat eivät olekaan osapuolena perustamissopimuksessa. Lähtökohta on, että sääntökirja on avoin ja julkinen, mitä edellyttää myös avoimuuden periaate ja tietosuojalainsäädäntö. Sääntökirjan verkostokohtaisissa osissa on kuitenkin luottamuksellisia sääntöjä, joita ei paljasteta dataverkoston ulkopuolelle.

1.2 Pikaopas: miten aloitetaan sääntökirjan laadinta datan jakamiseen

Miten aloittaa?

Sääntökirjaa noudattavan dataverkoston voi perustaa seuraavien ohjeiden mukaan:

Tutustu huolellisesti sääntökirjan ensimmäiseen osaan.
Käy läpi Sääntökirjan osa 2 (mallipohjat) ja täydennä tiedot. Se, mistä lähdette liikkeelle, riippuu toteuttavan tiimin osaamisista – liiketoiminta, juridiikka, teknologia, eettiset kysymykset. Työtä kannattaa tehdä iteroiden ja ottaa mukaan uusia sidosryhmiä sääntökirjatyön kehittymisen mukaan.
Kun tarkistuslistan kontrollikysymyksiin on vastattu, täytä vastausten perusteella verkoston kuvauksen liiketoiminta- ja teknologiaosa.
Tarkista, haluatko lisätä sanastoon uusia termejä tai muuttaa olemassa olevia määritelmiä.
Lue kaikki sopimuksen osat huolellisesti ja tee tarpeelliset muutokset ja viimeistele.
Pyydä perustajajäseniä allekirjoittamaan perustamissopimus ja aloittamaan datan jakaminen. Uudet jäsenet voivat liittyä dataverkostoon allekirjoittamalla liittymissopimuksen. Dataverkostoa hallinnoidaan Hallinnollisen mallin mukaisesti.
Toivomme palautetta siitä, millaisia muutoksia ja korjauksia teet sääntökirjaan ja miten voisimme parantaa malleja.

1.3 Sisältö ja keskeiset käsitteet

Sääntökirjat ovat tärkeä väline reilussa datataloudessa ja datan jakamisessa yleensä. Jotta saat kaiken irti sääntökirjan laatimisprosessista ja lopulta sen toteuttamisesta ja käytöstä, on tärkeää ymmärtää sääntökirjojen laajempi konteksti.

Reilun datatalouden tulee pyrkiä saavuttamaan seuraavat toisiaan tukevat tavoitteet: yksilöiden tulee hallita omaa dataansa ja datan käyttö tulee maksimoida. Reilu datatalous voi palvella yksilöiden, nykyisten palveluntarjoajien ja datan uudelleenkäyttäjien etuja datan siirrettävyyden ja suostumuksen perusteella. Yksilön suostumukseen perustuva datan jakaminen tuottaa laajasti yhteiskunnallisia hyötyjä, kuten talouskasvua, kustannussäästöjä, hyvinvointia ja yksilöiden aseman vahvistumista uusien innovaatioiden, niiden pohjalta syntyvien palveluiden sekä tulovirtojen ja verokertymän kautta. (Sitra 2019: Reilun datatalouden tiekartta)

Näiden tavoitteiden mukaisesti Reilun datatalouden sääntökirja on hallinnoinnin väline dataverkostoille, joita tarvitaan datan käytön maksimoimiseksi ja verkostojen mukauttamiseksi eettisiin näkökohtiin, joiden avulla yksilöt voivat hallita itseään koskevia henkilötietoja. Tämä sääntökirja koostuu oppaasta (osa 1) ja joukosta malleja (osa 2), joita voidaan muokata ja käyttää tietyn dataverkoston tarpeisiin.

Datan jakaminen edellyttää sääntöjä – kuka voi ja kenen pitäisi tehdä mitäkin, millä datalla ja niin edelleen. Kahdenvälinen datan jakaminen on suhteellisen yksinkertaista verrattuna monenväliseen tai verkottuneeseen datan yhteiskäyttöön, ja sen säännöt vahvistetaan yleensä osapuolten välisessä sopimuksessa, jossa määrätään jakamisen ehdoista. Kun suurempi määrä osapuolia päättää jakaa dataa keskenään, monimutkaisempi hallintomuoto on tarkoituksenmukainen.

Sääntökirja on kokoelma asiakirjoja, joita voidaan käyttää yhdessä dataverkoston hallintaan. Se tarkoittaa monenkeskistä datan jakamisen järjestelyä. Tarkemmin sanottuna dataverkosto on verkko, joka koostuu useammasta kuin kahdesta osapuolesta, jotka jakavat dataa keskenään. Dataverkoston tavoitteena on jakaa dataa osapuolten välillä vastuullisella ja oikeudellisesti hyväksyttävällä tavalla, jotta kaikki voivat hyötyä siitä.

Dataverkostoihin liittyy useita tärkeitä käsitteitä, jotka ovat osittain päällekkäisiä niiden kanssa. Data-avaruus viittaa yhteen liitettyyn dataekosysteemiin tietyllä sovellusalueella ja se perustuu yhteisiin käytäntöihin ja sääntöihin (Design principles for data spaces). Tietyt dataverkostot voivat olla osa näitä suurempia, toimialuekohtaisia data-avaruuksia, joissa ne ovat määritellyllä tavalla yhteydessä muihin verkostoihin tai datan jakamisen menetelmiin.

Dataekosysteemit puolestaan ovat monimutkaisia ja toisiinsa liittyviä datajärjestelmiä, kuten data-avaruuksia ja dataverkostoja, joita voidaan hallinnoida sääntökirjojen avulla.

Lopuksi on olemassa useita termejä, jotka kuvaavat joko rooleja tai datan jakamisen osapuolia. Tässä sääntökirjassa käytämme nimitystä ’datan tarjoaja’ kenestä tahansa luonnollisesta henkilöstä tai oikeushenkilöstä, joka tarjoaa tai sallii datansa luovuttamisen muille dataverkoston osapuolille. Muita termejä, joita käytetään muissa yhteyksissä tälle roolille, ovat ’datalähde’, ’datan haltija’, ’datan oikeuksien haltija’; tai ’rekisteröity’, jos puhutaan yksinomaan luonnollisista henkilöistä. Lisäksi kutsumme ’datalähteeksi’ teknistä järjestelmää, joka sisältää tai tuottaa jaettavaa dataa (esim. anturi).

Huomaa, että sääntökirjan sopimusmallit sisältävät oikeudellisesti sitovia määritelmiä joillekin sopimuksessa käytetyille termeille. Jos tämä sanasto ja sopimuksessa olevat määritelmät ovat ristiriidassa, ensisijaisesti sovelletaan sopimuksen määritelmiä.

2. Sopimuskehys

2.1 Johdanto

Sääntökirjan sopimuskehys koostuu seuraavista osista:

Perustamissopimus
- Yleiset ehdot
- Hallinnollinen malli
- Liittymissopimus
- Datajoukon käyttöehdot
Dataverkoston kuvaus
- Liiketoiminnallinen osa
- Tekninen osa ja tietoturva

Dataverkoston jäsenet ovat perustamissopimuksen osapuolina joko suoraan (perustajajäsenet) tai liittymissopimuksen kautta.

Kuva 2. Perustamissopimus linjaa dataverkoston toimintaa.

Dataverkoston perustamissopimus sisältää dataverkoston kuvauksen, hallinnollisen mallin, yleiset ehdot ja liitteet.

Dataverkostojen perustamiseen käytetään perustamissopimusta, jonka dataverkoston perustajajäsenet solmivat. Yleiset ehdot on sisällytetty perustamissopimuksen liitteenä.

Vaikka yleisten ehtojen tarkoitus on toimia yleispätevänä perusratkaisuna erilaisille dataverkostoille, käytännössä jokaisen dataverkoston on muokattava yleisiä ehtoja tarvitsemallaan tavalla. Tätä tarkoitusta varten perustamissopimuksen malli sisältää osion yleisten ehtojen poikkeuksille. Perustajajäsenten tulee käydä se läpi ja muokata sitä, jotta sopimuskehys sopii varmasti heidän dataverkostolleen. Tämän vuoksi on odotettavissa, että lopullisissa perustamissopimuksissa liitteineen on olennaisia eroja eri dataverkostojen välillä.

Suosittelemme, etteivät perustajajäsenet muokkaa yleisiä ehtoja, vaan esittävät tarvittavat muutokset perustamissopimuksen poikkeuksissa. Näin jäsenet pystyvät näkemään tehdyt muutokset helposti vertaamatta alkuperäisiä yleisiä ehtoja ja niiden korjattua versiota

Perustajajäsenet voivat sallia uusien jäsenten liittymisen dataverkostoon liittymissopimuksen mukaisesti. Jos dataverkosto on perustettu sallimaan tällainen avoin käyttö, perustajajäsenten tulee kuvata uusien jäsenten liittymiskriteerit perustamissopimuksessa. Lisäksi perustajajäsenten tulee harkita, kannattaako niiden määritellä dataverkoston uusien jäsenten hyväksymisen kriteerit ja prosessi liitteenä esitettävässä hallinnollisessa mallissa osana muita hallinnolliseen kehykseen liittyviä asioita, jotka on huomioitava dataverkoston elinkaaren aikana.

Liitteenä olevassa hallinnollisessa mallissa oletetaan, että jokainen jäsen nimittää edustajan toimimaan ohjausryhmässä. Ohjausryhmän mandaatti on määritelty suhteellisen laajasti osapuolten välisen yhteistyön edistämiseksi sekä jotta dataverkoston hallintaa voidaan organisoida asianmukaisesti strategisella tasolla. Tähän sisältyy esimerkiksi mandaatti muuttaa perustamissopimusta ohjausryhmän edustajien määräenemmistöllä.

Yleisten ehtojen tarkoitus on toimia työkaluna dataverkoston toiminnallisessa vaiheessa. Yhtäältä dataverkoston perustamiseen voi liittyä olennaisia perustajajäsenten yhteishankkeita, kun taas toisaalta dataverkoston perustaminen voi edellyttää yksittäisiltä Jäseniltä toimenpiteitä. Tällaiset mahdolliset hankesopimukset perustajajäsenten välillä täytyy solmia erikseen, ja jos perustajajäsenet aikovat myöhemmin sallia uusien jäsenten liittymisen dataverkostoon, näiden osuus projektikustannusten kattamisesta tulee sopia perustamissopimuksessa sekä mahdollisissa liittymissopimuksissa.

Lisäksi jäsenten tulee määritellä mahdolliset määräaikaiset sitoumukset datan jakamisesta dataverkostossa, esimerkiksi jos jäsenet haluavat saada takaisin verkoston perustamiseksi tehdyt investointinsa tai jos he edellyttävät vastavuoroisuutta datan jakamisessa.

Datajoukon käyttöehtojen mallin tarkoitus on, että sen perusteella datan tarjoajat voivat määritellä yksityiskohtaiset ehdot datajoukoille, jotka kukin datan tarjoaja tuo saataville dataverkostossa. Mikäli datan tarjoaja sallii datan edelleen jakamisen kolmansille osapuolille, tämän datan tarjoajan tulee myös määritellä datajoukon käyttöehdoissa mahdolliset datajoukkokohtaiset ehdot, jotka jäsenten tulee sisällyttää kolmansien osapuolten kanssa solmittuihin sopimuksiinsa datan edelleen jakamisesta kolmansille osapuolille.

Käyttämällä yleisiä ehtoja osapuolet sitoutuvat noudattamaan niitä, jolleivat osapuolet nimenomaisesti päätä poiketa yleisistä ehdoista perustamissopimuksessa. Sen sijaan kunkin asianomaisen datan tarjoajan, joka tuo dataa saataville dataverkostossa, on tarkoitus määritellä datajoukon käyttöehdot erikseen kullekin datajoukolle.

Yleisissä ehdoissa dataverkoston jäsenille voidaan määritellä seuraavia rooleja:

Datan tarjoaja (tuo dataa saataville verkostossa)
Palveluntarjoaja (käsittelee dataa tarjotakseen siihen liittyviä palveluita ja jakaa dataa, esimerkiksi datan anonymisointi, pseudonymisointi tai yhdistely)
Loppukäyttäjä (käyttää dataa liiketoiminnassaan)
Operaattori (tarjoaa palveluita, jotka edistävät verkoston toimintaa, kuten API-rajapintoja sekä identiteettien, yhteyksien ja/tai sopimusten hallintaa)

Lisäksi kolmannen osapuolen loppukäyttäjä on tarkoitettu rooliksi kolmansille osapuolille, jotka saavat dataa palveluntarjoajilta, kun asianomainen datan tarjoaja on sallinut tällaisen datan siirron.

Osapuolilla voi olla samassa dataverkostossa useita rooleja, eikä dataverkostossa välttämättä tarvita kaikkia eri rooleja. Esimerkiksi operaattorin tai jopa palveluntarjoajan rooli ei ehkä ole olennainen, jos osapuolet vaihtavat dataa keskenään ja käyttävät dataa omassa liiketoiminnassaan. Toisaalta joissain dataverkostoissa data voi kulkea usean palveluntarjoajan kautta, ennen kuin se päätyy loppukäyttäjille tai kolmannen osapuolen loppukäyttäjille käytettäväksi.

2.2 Soveltamisalueet

Sekä eri dataverkostoissa vaihdettavassa datassa että dataa koskevissa ehdoissa voi olla huomattavaa vaihtelua. Työryhmän ei ollut mahdollista määritellä ehtokirjastoa, joka olisi kattanut erilaisia skenaarioita ja samalla luonut mallin sopimuskehyksen. Työryhmä päätti määritellä sopimuskehyksen mallissa yksinkertaisen joukon periaatteisiin perustuvia ehtoja.

Datan tarjoaja voi päättää erikseen kunkin datajoukon kohdalla, mitkä osapuolet saavat datan käyttöoikeuden.
Jollei datan tarjoaja muuta määrittele datajoukon käyttöehdoissa tai jollei jäsenten välillä muuta sovita, datan tarjoaja myöntää datan käyttöoikeuden ilmaiseksi.
Datan tarjoamista dataverkostossa ei katsota aineettomien oikeuksien siirroksi.
Dataa on sallittua edelleenjakaa vain verkoston jäsenille, mutta datan tarjoajat voivat sallia Datan edelleenjakamisen kolmansien osapuolten loppukäyttäjille sovellettavien datajoukon käyttöehtojen mukaisesti.
Osapuolilla on oikeus edelleenjakaa Johdannaisaineistoja kolmansille osapuolille noudattaen mahdollisesti asetettuja lisävaatimuksia, jotka koskevat aineettomia oikeuksia ja luottamuksellista tietoa.
Jos dataan liittyy henkilötietoja, lähtökohtaisesti oletetaan, että datan vastaanottajasta tulee rekisterinpitäjä.
Datan tarjoaja korvaa muille osapuolille vaatimukset, joiden mukaan sen data, josta peritään mitään maksua, loukkaa aineettomia oikeuksia tai luottamukselliseen tietoon liittyviä vaatimuksia datan tarjoajan maassa.
Jäsenillä on oikeus käyttää dataa perustamissopimuksen päätyttyä, jolloin perustamissopimus pysyy voimassa, lukuun ottamatta tilanteita, joissa perustamissopimus päättyy osapuolen olennaisen rikkomuksen seurauksena.
Datan tarjoajalla on oikeus suorittaa dataansa liittyviä auditointeja.

Prosessin osalta jäsenten tulee arvioida huolellisesti tarpeensa ja tavoitteensa huomioiden yllä mainitut olettamukset. Tarvittaessa asianomaisen dataverkoston jäsenet voivat halutessaan muokata näitä periaatteita tapauskohtaisesti joko dataverkostotasolla esittämällä perustamissopimuksessa tarvittavat poikkeukset yleisistä ehdoista ja/tai määrittelemällä yksityiskohtaisemman mallin dataverkostokohtaisille datajoukon käyttöehdoille.

Lisäksi kunkin datan tarjoajan tulee määritellä dataverkostolle laaditun kehyksen puitteissa ehdot, jotka sen dataa koskevat. Yksityiskohtaisia ehtoja on myös mahdollista lisätä, jotta voidaan huomioida erilaiset ja monitahoiset liiketoimintamallit sekä esimerkiksi henkilötietojen käsittelyyn tarvittava kehys. Dataverkoston jäsenten voi olla tarpeen lisätä mekanismi, joka helpottaa datan siirtoa myös kolmansille osapuolille.

3. Miten dataverkosto kuvataan?

Tässä perustamissopimuksen osassa annetaan dataverkoston kuvaus. Se koostuu liiketoiminnallisesta liitteestä ja teknisestä liitteestä.

Dataverkoston kuvaus luodaan tarkistuslistan (Osa 2) vastausten perusteella. Tarkistuslista ja dataverkoston kuvaus täydentävät toisiaan. Dataverkoston kuvaus sisältää viittauksia tarkistuslistaan (ks. numerointi), ja niitä tulee lukea rinnakkain.

Kuva 3. Dataverkoston kuvaus sisältyy perustamissopimukseen.

Dataverkoston kuvaus ja tarkistuslista täydentävät toisiaan.

3.1 Liiketoiminnallinen osa

3.1.1 Johdanto

Tämä asiakirja on osa yleistä datanjakosopimusten kehystä, joka on kehitetty auttamaan yrityksiä uusien dataverkostojen muodostamisessa ja reilun datatalouden yleisessä edistämisessä. Tähän asiakirjaan on koottu liiketoiminnalliset päätökset, jotka on tehty sääntökirjan tarkistuslista-asiakirjan avulla sekä muilla tavoin ekosysteemin suunnittelun aikana.

Liiketoiminnallinen osa on jaettu kahteen pääosaan; dataekosysteemikaavio ja sen oheiskysymykset määrittelevät dataverkoston liiketoiminnallisten näkökulmien korkean tason yhteenvedon ja rakenteen, ja myöhemmissä kappaleissa on annettu yksityiskohtaisempaa liiketoiminnan suunnittelua koskevaa tietoa, joka ei sovi itse kaavioon. Muita suunnitteluun liittyviä asiakirjoja (kuten sopimuksia ja esityksiä) voidaan tarvittaessa lisätä antamaan yksityiskohtaista tietoa dataverkostosta, jos sellaisia on saatavilla.

3.1.2 Dataekosysteemin kaavio

Jatka dataekosysteemin määrittelytyötä hyödyntämällä tarkistuslistan kysymysten vastauksia. Ydinkysymykset ja vaatimukset liiketoimintamallille on lueteltu dataekosysteemikaaviossa. Kuhunkin kohtaan on jätetty tilaa vaatimuksille, jotka vaikuttavat dataverkoston käyttämien sopimusten muotoiluun, sekä muille kyseiseen kohtaan liittyville vaatimuksille ja huomioille.

Määritelmät kattavat seuraavat temaattiset alueet:

tarkoitus ja ydintarpeet
keskeiset sidosryhmät ja niiden roolit
ekosysteemin kattavuus, säännöt ja liiketoimintamallit
datavirrat ja arvonsiirrot
palvelut ja infrastruktuuri
hallinto ja mittarit

Kuva 4. Dataekosysteemikaavio

Dataekosysteemikaavioon kootaan: tarkoitus ja tavoitteet, sidosryhmät, säännöt ja liiketoimintamallit, datavirrat, ongelmat, palvelut, hallinto ja tunnusluvut.

3.2 Tekninen osa ja tietoturva

3.2.1 Johdanto

Tähän asiakirjaan on koottu tekniikkaa koskevat päätökset, jotka on tehty sääntökirjan tarkistuslista-asiakirjan avulla sekä muilla tavoin dataekosysteemin infrastruktuurin ja järjestelmän suunnittelun aikana. Sääntökirjan tarkistuslista on tarkoitettu tilapäiseksi teknisen suunnittelun työdokumentiksi, jonka avulla tunnistetaan yhteiset tarpeet ja niiden ominaisuudet.

Tässä asiakirjassa on tällä hetkellä enimmäkseen tilapäistä mallisisältöä, mutta siinä esitetään aiheet, jotka tulee kattaa ja käsitellä teknisen ratkaisun suunnittelun aikana. Tämä osio toimii kokoavana asiakirjana infrastruktuurimääritykselle sekä osallistujien järjestelmien ja yhteisen infrastruktuurin väliselle työnjaolle. Tekniseen suunnitteluun liittyviä lisätietoja voidaan tarvittaessa lisätä tai linkittää antamaan yksityiskohtaista tietoa dataverkostosta, jos sellaista on saatavilla.

3.2.2 Teknisen ratkaisun yleiskuva

Teknisen suunnittelun lähtökohtana on, että ymmärretään ainakin karkealla tasolla yhteiset tarpeet, toiminnan osapuolet ja roolit sekä tarvittavan ratkaisun vaatimukset. Tässä määrittelyssä ja teknisten kysymysten tarkemmassa tunnistamisessa kannattaa käyttää apuna sääntökirjan tarkistuslistaa. Kun yleinen toiminnallisuus on tunnistettu ja sovittu, dokumentoi tähän kohtaan lyhyt kuvaus tarpeesta, osapuolista ja järjestelmän ydintoiminnallisuudesta esittelyksi tekniselle osiolle.

3.2.3 Keskeiset tietoturvakysymykset

Dataverkoston toiminnan edellytyksenä on yhteinen ymmärrys ja dokumentoitu tahtotila tietoverkkoon liittyvistä (turva)riskeistä, -käytännöistä ja -ratkaisuista. Mitä turvallisuusnäkökulmia tiedon jakaminen tuo dataverkostoon? Mitkä ovat olemassa olevat verkostoon kuuluvien yritysten tietoturvastandardit ja -käytännöt? Joitakin huomioitavia näkökohtia ovat:

Mikä on tietoturvan ja yksityisyyden suojan tekninen perusratkaisu?
Miten ratkaisussa on huomioitu verkostossa tehtävä datan jakaminen?
Mitkä ovat tietoturvan ja yksityisyyden suojan asettamat vaatimukset yleisille ratkaisuille ja toimijoille? Mitä toimenpiteitä edellytetään?
Mitä tietouturvaa liittyviä referenssejä ja standardeja dataverkostossa käytetään?

Kaikista turvallisuuteen liittyvistä asioista ei välttämättä sovita yhdessä, vaan jokainen osapuoli on vastuussa siitä, että tietoturva toteutuu ja että muille osapuolille ja verkolle asetetut ehdot ja vaatimukset täyttyvät.

Tämä ratkaisu ei ole vain staattinen, vaan toimintamallissa on otettava huomioon myös turvallisuuden seurantaan ja parantamiseen liittyvät asiat.

4. Dataverkoston tietoturvatoimintamalli

4.1 Taustaa

Tässä ohjeessa dataverkoston tietoturvatoimintamallin kehittämiseksi esitetään periaatteet, joiden mukaisesti dataverkosto pitää huolta datan turvallisesta käsittelystä. Tietoturvatarpeet voivat vaihdella huomattavasti eri verkostoissa, joten on tärkeää muokata toimintamallia tapauskohtaisesti ja päivittää sitä riittävän usein. Mitä arvokkaampaa dataa jaetaan tai mitä suurempaa vahinkoa tietoturvaloukkaukset voivat aiheuttaa, sitä enemmän verkoston kannattaa panostaa korkeatasoiseen tietoturvaan.

Datan jakamisen verkostoissa luottamus osapuolten välillä on keskeinen onnistumisen edellytys. Tässä suhteessa riittävä tietoturvan taso on keskeinen elementti. Verkoston pelisäännöt täytyy laatia siten, että ne tukevat riittävää luottamusta. Verkosto voi jossain määrin jakaa vastuuta keskenään, mutta ei ulkoistaa sitä kokonaan.

Tässä yhteydessä on myös hyvä huomata, että eri osapuolilla voi olla erilainen kyky ja halu kantaa riskejä. Tässäkin suhteessa on tärkeää, että tietoturvatoimintamalli perustuu yhdessä sovituille käsityksille siitä, millaiset riskien tasot tai riskien torjunnan jälkeiset jäännösriskit ovat hyväksyttäviä ja miten ne jaetaan.

Tietoturva on otettava huomioon alusta asti jo toimintaa suunniteltaessa, ja se on ymmärrettävä jatkuvaksi toiminnaksi koko datan jakamisen elinkaaren ajan. Samoin kuin henkilötietojen tietosuojan edellytetään olevan sisäänrakennettua ja oletusarvoista (yleisen tietosuoja-asetuksen 25 artikla) myös tietoturvan liimaaminen päälle jälkikäteen voi olla mahdotonta tai ainakin hyvin kallista.

Ellei erikseen toisin sovita tietoturvatoimintamalli ei ole osa edellä esitettyä dataverkoston perustamissopimusta. Niinpä on tärkeää, että sopimuksiin sisällytetään erikseen ne tietoturvan kannalta merkitykselliset oikeudet ja velvollisuudet, joihin verkoston jäsenten halutaan sitoutuvan. Tähän kannattaa kiinnittää huomiota käytäessä läpi tarkistuslistaa ja rakennettaessa dataverkoston tietoturvatoimintamallia.

Tietoturvatoimintamalli sisältyy sääntökirjan yleiseen osaan (kuva 5).

Kuva 5. Tietoturvaan liittyvä toimintamalli sisältyy sääntökirjan yleiseen osaan.

Tietoturva tulee ottaa huomioon alusta asti jo toimintaa suunniteltaessa, ja sen tulee olla jatkuvaa toimintaa koko datan jakamisen elinkaaren ajan.

4.2 Tietoturvaprosessi

Kuvan 6 kaavio esittää pelkistetyssä muodossa jäljempänä kuvattavan dataverkoston tietoturvatoimintamallin kehittämisprosessin eli lyhyemmin tietoturvaprosessin.

Kuva 6. Dataverkoston tietoturvaprosessi.

Tietoturvaprosessin vaiheita: priorisointi ja rajaus, haavoittuvuuksien tunnistaminen, riskivarviointi, tavoitetila sekä dataverkoston tietoturvamallin rakentaminen, valvonta ja jatkuva parantaminen.

4.3 Priorisointi ja rajaus

Dataverkoston perustajien kannattaa nimetä tietoturvatoimintamallia valmistelemaan työryhmä, johon kuuluu kaikkien perustajien edustajat. Työryhmän ensimmäinen tehtävä on määritellä toimintaympäristö. Dataverkoston osalta se voidaan yksinkertaisesti tehdä viittaamalla sääntökirjan liiketoimintaosan niihin kohtiin, jotka ovat tietoturvan kannalta merkityksellisiä, mikäli ne on jo laadittu.

Sen jälkeen on rajattava, mitä kaikkea sääntökirjanmukaiseen tietoturvan piiriin kuuluu. Olennaista on kiinnittää huomiota datan jakamiseen ja verkostomaiseen toimintaan. Tässä yhteydessä ei ole välttämättä tarpeellista ratkaista muita sinällään tärkeitä tietoturvakysymyksiä. On myös otettava kantaa siihen, mikä on suojan kohde: sääntökirjan sopimuskehykseen kuuluvan perustamissopimuksen mukaisesti sääntökirjan kattama data vai jotain muuta?

4.4 Tietosuojan huomioon ottaminen

Mikäli data sisältää henkilötietoja, tietosuojalainsäädäntö tulee sovellettavaksi. Keskeisin säädös on EU:n yleinen tietosuoja-asetus eli GDPR, jota sovelletaan kaikkeen henkilötietojen käsittelyyn. Lisäksi sovellettaviksi voi tilanteen mukaan tulla myös kansallisia ja erityisalojen tietosuojasäännöksiä. Riippuen siitä, millaisesta datasta on kysymys, täytyy ottaa huomioon esimerkiksi työelämän tietosuojalaki (759/2004) työntekijöihin kohdistuvan teknisen valvonnan kannalta ja laki sähköisen viestinnän palveluista (917/2014) välitettävien viestien ja lisäarvopalveluiden osalta.

Laissa tarkoitetaan henkilötiedoilla kaikkia tunnistettuun tai tunnistettavissa olevaan yksittäiseen ihmiseen eli rekisteröityyn liittyviä tietoja. Koska henkilötiedon määritelmä on laaja, on yleensä turvallista olettaa, että datan joukossa saattaa olla henkilötietoja, vaikka se ei olisikaan ilmeistä. Vain jos voidaan olla täysin varmoja, että data ei sisällä henkilötietoja, voidaan tietosuojalainsäädäntö jättää ottamatta huomioon.

Tietosuoja-asetuksen 24 artikla on rekisterinpitäjän vastuuta ja velvollisuuksia koskeva yleissäännös. Artiklassa säädetään siitä, miten rekisterinpitäjän on toimittava varmistaakseen ja osoittaakseen, että henkilötietojen käsittelyssä toimitaan lainmukaisesti. Säännös sisältää sekä velvoitteen huolelliseen toimintaan, että velvollisuuden osoittaa, minkälaisiin toimenpiteisiin lainmukaisen käsittelyn varmistamiseksi on ryhdytty.

Asetuksen 32 artiklassa on erikseen säädetty tietoturvasta. Sen mukaan rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet.

Tietosuojan hoitaminen kuntoon tuottaa usein merkittävää hyötyä ja kilpailuetua rekisterinpitäjälle, mutta kääntäen on myös mahdollista, että tietosuojan laiminlyönti voi tulla kalliiksi. Tietosuojaan liittyvän tietoturvan toteutuksella, toipumisella ja vahingoilla voi olla vaikutusta mahdollisen hallinnollisen seuraamusmaksun suuruuteen tietosuoja-asetuksen 83 artikla mukaisesti.

Dataverkostossa on erityisesti otettava huomioon, että henkilötietotoja saa lähtökohtaisesti kerätä vain tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Tämä voi olla ongelma, jos eri osapuolilla on erilaisia tarpeita henkilötietojen käsittelylle ja jos nuo tarpeet vielä muuttuvat ajan kuluessa. Henkilötietojen käyttötarkoitukseen onkin syytä kiinnittää huomiota jo dataverkostoa perustettaessa.

On hyvä, jos sääntökirja lähtökohtaisesti laaditaan niin, että siinä määritelty datan käyttötarkoitus on riittävän täsmällinen ja nimenomainen henkilötietojen lailliseksi käsittelytarkoitukseksi eikä käsittelytarkoitusta tarvitse henkilötietojen osalta määritellä erikseen. Mikäli jaettavaa dataa on monenlaista, käyttötarkoituksen täsmällinen määrittely kokonaisuuden osalta ei välttämättä ole mahdollista, vaan asiaan on kiinnitettävä erikseen huomiota erilaisten henkilötietojen osalta.

Jos on löydettävissä järkevä, yleisesti käytössä oleva kriteeristö tietojen anonymisoinnille, sitä soveltamalla voidaan kyseisten tietojen osalta vapautua tietosuojalainsäädännön velvoitteista, koska anonymisoidut tiedot eivät enää ole liitettävissä kehenkään yksittäiseen ihmiseen.

Dataverkostoa voi olla mahdollista myös hyödyntää laissa määriteltyjen informointivelvoitteiden täyttämisessä ja tietoturvaloukkauksista ilmoittamisessa, kunhan sääntökirjan perustamissopimukseen on otettu tätä koskevat velvoitteet. Voidaan esimerkiksi sopia, että rekisteröidyt voivat esittää tietopyynnöt mille tahansa verkoston osapuolelle tai rekisteröityjen näkökulmasta näkyvimmälle osapuolelle, joka välittää sen edelleen oikealle rekisterinpitäjälle, tai että joku verkoston osapuoli huolehtii keskitetysti informoinnista kaikkien osapuolten puolesta. Tällöin on kuitenkin huomattava, että tällainen järjestely ei voi heikentää rekisteröityjen oikeuksia ja että heillä on aina oikeus asioida oikean rekisterinpitäjän kanssa.

4.5 Orientoituminen: järjestelmien, lainsäädännöllisten vaatimusten, uhkien ja haavoittuvuuksien tunnistaminen

Kun on edellä kuvatun mukaisesti priorisoitu ja rajattu, mitä kaikkea sääntökirjanmukaiseen tietoturvan piiriin kuuluu, tulee määritellä tietoturvan tavoitteet ja kartoittaa hallintakeinot, joilla ne on mahdollista saavuttaa. Hallintakeinojen tarkempaan määrittelyyn palataan jäljempänä.

Perustajien tulee määritellä koko dataverkoston tavoitteet tietoturvan osalta, ja yksittäisten osapuolien tulee määritellä omat tavoitteensa dataverkoston suhteen. Riippuen siitä, millaista dataa jaetaan ja millä toimialalla ollaan, sovellettavaksi saattaa tulla erityislainsäädäntöä, jonka vaatimukset on otettava huomioon. Yhteensä tällaisia erityssäännöksiä on sadoissa alakohtaisissa säädöksissä. Esimerkiksi sote-alalla asiakastietolaki sisältää tarkempia säännöksiä asiakkaiden henkilötietojen käsittelystä.

Kun tavoitteet on määritelty, voidaan kartoittaa, mitkä tietoturvan hallintakeinot soveltuvat kyseiseen dataverkostoon. Hallintakeinojen tarkempi määrittely tapahtuu prosessin myöhemmissä vaiheissa. Tietoturvan hallintakeinot voidaan jakaa kolmeen ryhmään: hallinnollisiin, teknisiin ja fyysisiin keinoihin.

Hallinnolliset keinot liittyvät riskien hallintaan, tietoturvadokumentaatioon, henkilöturvallisuuteen ja koulutukseen. Teknisiä keinoja on toteutettu joko ohjelmistoilla tai laitteistoilla. Niitä voivat olla esimerkiksi keskitetty lokinhallinta, palomuurit, tunkeilijan havaitsemisjärjestelmät (IDS) ja murron estämisjärjestelmät (IPS) sekä identiteetin- ja pääsynhallintajärjestelmät. Fyysiset tietoturvan hallintakeinot puolestaan tarkoittavat resurssien ja henkilöstön suojaamista esimerkiksi aidoilla, lukoilla, valaistuksella ja kameravalvonnalla. On tärkeää ottaa huomioon kaikki erilaiset tietoturvan hallintakeinot, jotta dataverkosto voi saavuttaa riittävän tietoturvatason. Suojattavan kohteen ympärille tulisi luoda useita hallintakerroksia, jotta saavutetaan monikerroksinen suojaus.

On korostettava, että tässä vaiheessa vasta kartoitetaan käytettävissä olevia tietoturvan hallintakeinoja. Dataverkoston ja siihen kuuluvien organisaatioiden kannattaa valita niiden erityisolosuhteisiin sopivat hallintakeinot vasta jäljempänä kuvatun tietoturvariskien arviointiprosessin jälkeen.

4.6 Yleistä tietoturvauhkista

Perinteisessä paikallisessa sovellusten käyttöönottomallissa kunkin organisaation arkaluontoiset tiedot ovat edelleen organisaation sisällä, ja niihin sovelletaan sen fyysisiä, loogisia ja henkilöstöturva- ja kulunvalvontakäytäntöjä. Dataverkostojen yleisesti käyttämässä pilvimallissa tiedot kuitenkin tallennetaan organisaation rajojen ulkopuolelle. Tästä syystä on tehtävä lisäturvatarkastuksia tietoturvan varmistamiseksi ja tietoturva-aukkojen tai haitallisten työntekijöiden aiheuttamien tietoturvaloukkausten estämiseksi.

Tietoa ajankohtaisista tietoturvauhkista löytyy esimerkiksi Euroopan unionin kyberturvallisuusvirasto ENISAn ja kansallisten tietoturvaviranomaisten verkkosivuilta.

Pilvilaskennassa (cloud computing) voidaan käyttää joukkoa laitteistoja ja ohjelmistoja lukuisista tietokoneverkoista ympäri maailmaa. Se mahdollistaa datan jakamisen edullisemmin ja nopeasti. Viruksia ja muita haittaohjelmia hyödyntävät rikolliset ovat tämän tunnistaneet ja käyttävät tätä hyväkseen esimerkiksi yrittäessään varastaa luottamuksellisia tietoja, keskeyttää palveluita ja vahingoittaa yrityksen pilvilaskentaverkkoa.

IBM Securityn mukaan yhden tietomurron maailmanlaajuiset keskimääräiset kokonaiskustannukset ovat 4,24 miljoonaa dollaria. Skandinaviassa tietomurron keskimääräinen kokonaiskustannus oli hieman pienempi, 2,67 miljoonaa dollaria. Vei keskimäärin 287 päivää tietoturvaloukkauksen tunnistamiseen ja hillitsemiseen. Mitä kauemmin rikkomuksen tunnistaminen kestää, sitä enemmän se maksaa. Alle 200 päivän tietomurron elinkaari tuotti lähes kolmanneksen pienemmät kustannukset kuin yli 200 päivää kestävä tietomurto.

Muutamia merkittäviä tietoturvaan vaikuttavia trendejä:

Yhteiskunnallisten prosessien ja tietojärjestelmien keskinäinen riippuvuus lisääntyy
Organisaatioiden ja valtion välille syntyy uusia keskinäisiä riippuvuuksia
Tietoturvakysymykset kansainvälistyvät
Tarve hallita yksityistä tai luottamuksellista tietoa ja julkisia esiintymisiä tieto- ja viestintäteknisissä ympäristöissä lisääntyy
Henkilötietojen suojaamisesta on tulossa entistä merkittävämpi poliittinen kysymys
Tietojen oikeellisuuden varmistaminen on entistä vaikeampaa
Tietojen oikeellisuus tulee yhä tärkeämmäksi
Tiedonkeruu lisääntyy
Tietojen yhdistäminen eri lähteistä lisääntyy
Henkilöiden ja tavaroiden jäljitettävyys paranee
Haitalliset toimet tietojärjestelmiä vastaan lisääntyvät
Laatu- ja turvallisuuskysymykset otetaan yhä enemmän huomioon ohjelmistokehityksessä
Automaatiota/autonomisia järjestelmiä käytetään yhä enemmän turvallisuuden aikaansaamiseksi
Tiedon saatavuus lisääntyy julkisten tietoresurssien avautuessa
Kaupalliset edut saavat toimijoita rajoittamaan pääsyä niiden omiin tietoresursseihin
Organisaatioiden tietoresurssien saatavuuden hallinta vaikeutuu

(Lähde: Pitkänen ym. 2011)

Seuraavassa käsitellään tietoturvauhkia erityisesti siitä näkökulmasta, miten ne vaikuttavat datan jakamiseen dataverkostoissa.

4.6.1 Datan käyttö tarkoituksen vastaisesti

Dataa saatetaan käyttää sellaiseenkin tarkoitukseen, josta ei ole perustamissopimuksessa tai datajoukon käyttöehdoissa sovittu tai jota ei ole huomioitu sääntökirjassa. Tämä saattaa tuoda esille asioita, joita datan tarjoaja ei ole huomioinut, mutta joihin se on sitoutunut. Tyypillisesti tähän liittyy haittaa (esimerkiksi data paljastaa jotain asioita, joita haluta kertoa muille) tai muu osapuoli rakentaa tästä liiketoimintaa ilman riittävää korvausta datan tarjoajalle. Tämän osajoukkona on myös mallien rakentaminen ja käyttäminen korvaamaan dataa.

4.6.2 Datavuoto

Datan päätyminen väärälle taholle tahallisesti tai tahattomasti. Tämä voi tapahtua joko tietoteknisen virheen kautta (lähellä perinteisiä tietoturvauhkia) tai siten, että joku osapuoli välittää tiedon, sen osajoukon tai tiedosta rakennetun mallin kolmannelle osapuolelle. Olennaisessa osassa datavuodoissa on usein käyttäjien tekemät virheet ja osaamattomuus, joita voidaan vähentää koulutuksella, kuten jäljempänä todetaan. Datavuoto voi tapahtua myös siten, että dataa on käytetty esimerkiksi tekoälyn opetuksessa, jolloin tekoälyn malliin on jäänyt luottamuksellisia tietoja, jotka pääsevät mallin välityksellä vuotamaan ulkopuolisille.

4.6.3 Vastuu datasta

Datan eheys. Data ei vastaa sovittua, se on virheellistä tai sitä on muutettu. Tähän liittyvät olennaisesti vastuukysymykset: kuka on vastuussa, jos tieto ei vastaa sovittua tai oletettua tai jos sitä on muutettu. Vastuukysymyksiä on käsitelty laajemmin sääntökirjan sopimuskehyksessä, etenkin Yleisten ehtojen kohdissa 3 Roolikohtaiset vastuut, 5 Yleiset vastuut ja 11 Vastuu sekä niitä mahdollisesti koskevissa poikkeuksissa ja täsmennyksissä perustamissopimuksessa ja datajoukon käyttöehdoissa.

Edellisen lisäksi datan vastuukysymyksiin kuuluvat ennakoimattomat vastuut, kuten voiko datan kehittyvän viranomaistulkinnan kautta tulla uusia yllättäviä dataan liittyviä vastuita esimerkiksi henkilötietojen käsittelyyn liittyen, kun tietosuojalainsäädännön tulkinta on vasta muotoutumassa. Näiden huomioon ottaminen on määritelmän mukaisesti vaikeaa, mutta sopimuksissa voidaan jossain määrin ottaa kantaa myös siihen, kuka kantaa niistä vastuuta.

4.6.4 Vahingossa tapahtuva tietojen paljastuminen

Kaikki tietojen menetykset eivät ole kehittyneiden verkkorikollisten työtä. Itse asiassa suuri määrä tietomurtoja johtuu organisaation omista työntekijöistä, jotka vahingossa jakavat, sijoittavat väärin tai käsittelevät luottamuksellisia tietoja.

On yleistä, että työntekijät jakavat arvokkaita tietoja, myöntävät niihin pääsyn, menettävät tai käsittelevät väärin joko vahingossa tai siksi, etteivät he ole tietoisia tietoturvakäytännöistä. On myös valitettavan tavallista, että työntekijät käsittelevät huolimattomasti laitteita, joille tietoja on tallennettu ja unohtavat niitä julkisille paikoille tai säilyttävät niitä ilman kunnollista suojaa. Esimerkiksi Shred-it:n vuonna 2018 julkaiseman raportin mukaan 40 prosenttia tietoturvaloukkauksista johtuu tällaisesta käyttäytymisestä.

Tähän suureen ongelmaan voidaan puuttua työntekijöiden ja muiden käyttäjien koulutuksella, mutta myös muilla toimenpiteillä, kuten tietojen häviämisen estoteknologialla (data loss prevention, DLP) ja parannetulla kulunvalvonnalla.

Ihmiset tekevät virheitä ja näihin virheisiin liittyvien riskien vähentäminen on ratkaisevan tärkeää tietoturvan kannalta. Yritystiedot voivat olla yrityksen arvokkainta omaisuutta ja niitä tulee suojata sen mukaisesti. Yksinkertaisesti sanottuna tietojen käytön tulisi olla järjestelmä, joka minimoi altistumisen ja vähentää tahattoman tai haitallisen väärinkäytön riskiä.

Toinen ihmisiin liittyvä tietoturvauhka on organisaation kyberturvatiimin rajalliset mahdollisuudet valvoa kaikkia riskejä. Järjestelmävalvojat ovat usein ylityöllistettyjä yrittäessään suojata luottamuksellisia tietoja. Tämä jättää yritykset alttiiksi riskeille, minkä pitäisi kannustaa mahdollisuuksien mukaan aina automatisointiin unohtamatta sitä, että automatisointiin itsessään liittyy riskejä.

4.6.5 Tietojenkalastelu ja sosiaalinen manipulointi

Sosiaalinen manipulointi (social engineering) on ensisijainen vektori, jota hyökkääjät käyttävät luottamuksellisten tietojen saamiseksi. Niissä huijataan henkilöitä antamaan yksityisiä tietoja tai pääsyä suojatuille käyttäjätileille.

Tietojenkalastelu (phishing) on yleinen sosiaalisen manipuloinnin muoto. Se sisältää viestejä, jotka näyttävät olevan peräisin luotetusta lähteestä, mutta itse asiassa ovat hyökkääjän lähettämiä. Kun uhrit noudattavat vaatimuksia, esimerkiksi antamalla henkilökohtaisia tietoja tai napsauttamalla haitallista linkkiä, hyökkääjät voivat murtautua heidän laitteensa tai päästä organisaation verkkoon.

Tietojenkalasteluviestit ovat kasvussa. Samaan aikaan uusi teknologia ja lisääntynyt tiedon saatavuus tekevät näistä hyökkäyksistä entistä kehittyneempiä, mikä lisää todennäköisyyttä, että murtautujat tunkeutuvat tietojärjestelmiin. Huolimatta organisaatioiden suojautumisesta, nämä haitalliset viestit voivat päästä työntekijöiden postilaatikoihin. Tämän liikenteen hallinta ja työntekijöille tarjottavat työkalut ja koulutus puolustautua uhkia vastaan on ratkaisevan tärkeää.

Verkkorikolliset tavoittelevat erityisesti sähköpostiosoitteita ja salasanoja. Ne ovat ensisijaisia tietoja, jotka varastetaan tietomurroissa. Koska näitä tietoja voidaan käyttää muiden, monipuolisempien hyökkäysten toteuttamiseen, jokaisen yrityksen on ymmärrettävä, kuinka tietoja voidaan käyttää niitä vastaan.

Esimerkki 3

Teleyrityksen asiakaspalvelukeskus vastaanottaa puhelun asiakkaana esiintyvältä henkilöltä. Hän vaatii yritystä muuttamaan sähköpostiosoitteen, johon laskutustiedot hänelle lähetetään. Yhteyskeskuksen työntekijä vahvistaa asiakkaan henkilöllisyyden pyytämällä tiettyjä henkilötietoja yrityksen menettelytapojen mukaisesti. Soittaja ilmoittaa oikein pyydetyn asiakkaan veronumeron ja postiosoitteen (koska hänellä oli pääsy näihin tietoihin). Vahvistuksen jälkeen operaattori tekee pyydetyn muutoksen ja siitä eteenpäin laskutustiedot lähetetään uuteen sähköpostiosoitteeseen. Menettelyssä ei edellytetä ilmoitusta entiseen sähköpostiosoitteeseen.

Seuraavassa kuussa laillinen asiakas ottaa yhteyttä yritykseen ja tiedustelee, miksi hän ei saa laskutusta sähköpostiosoitteeseensa, ja kieltää pyytäneensä sähköpostiosoitteen vaihtamista. Myöhemmin yritys huomaakin, että tiedot on lähetetty väärälle käyttäjälle ja peruuttaa muutoksen.

4.6.6 Sisäpiiriuhat

Sisäpiiriuhat aiheutuvat työntekijöistä, jotka vahingossa tai tarkoituksella uhkaavat organisaation tietojen turvallisuutta. Sisäpiiriuhkia on kolmenlaisia:

Ei-ilkeä sisäpiiriläinen – käyttäjä, joka voi aiheuttaa vahinkoa vahingossa, huolimattomuudesta tai osaamattomuuttaan.
Haitallinen sisäpiiriläinen – käyttäjä, joka yrittää aktiivisesti varastaa tietoja tai aiheuttaa vahinkoa organisaatiolle henkilökohtaisen hyödyn vuoksi.
Vaarantunut sisäpiiriläinen – käyttäjä, joka ei ole tietoinen siitä, että ulkoinen hyökkääjä on vaarantanut hänen tilinsä tai valtuustietonsa. Hyökkääjä voi sitten harjoittaa haitallista toimintaa teeskennellen olevansa laillinen käyttäjä.

Kun yritykset harkitsevat kyberturvallisuusriskejään, haitalliset ulkopuoliset otetaan yleensä ensisijaisesti huomioon. Kyberrikollisilla tosiaan onkin merkittävä rooli joissakin tietomurroissa, mutta organisaatioiden työntekijät aiheuttavat monia muita.

Verizonin vuoden 2019 Insider Threat Report -raportissa todettiin, että 57 prosenttia tietomurroista tietojärjestelmiin liittyi sisäpiiriuhkia ja suurin osa, 61 prosenttia, näistä työntekijöistä ei ollut johtotehtävissä, kun he vaaransivat asiakastietoja.

Eräs sisäpiiriuhkan muoto on lahjonta. Yritystiedot ja aineettomat oikeudet voivat molemmat olla hyvin arvokkaita ja joissakin tapauksissa työntekijät voidaan lahjoa paljastamaan näitä tietoja. Esimerkiksi vuonna 2018 Amazon syytti useita työntekijöitä osallistumisesta lahjontajärjestelmään, joka vaaransi asiakastietoja, ja vuonna 2019 havaittiin, että AT&T:n työntekijät saivat lahjuksia haittaohjelmien istuttamiseksi yrityksen verkkoon. Lahjonta ei tietenkään ole helpoin tapa päästä käsiksi tietojärjestelmään, mutta varsinkin yrityksille, joiden arvo piilee aineettomassa omaisuudessa, se voi olla vakava tietoturvaongelma.

4.6.7 Kiristysohjelmahyökkäykset

Kiristysohjelma (ransomware) on haittaohjelma, joka saastuttaa laitteet ja salaa tiedot tehden niistä hyödyttömiä ilman salauksen purkuavainta. Hyökkääjät lähettävät lunastusviestin, jossa vaaditaan maksua avaimesta, mutta monissa tapauksissa lunnaiden maksaminenkin on hyödytöntä ja tiedot menetetään joka tapauksessa.

Kiristysohjelmahyökkäyksen kustannukset yli kaksinkertaistuivat vuonna 2019 ja tämä suuntaus jatkuu todennäköisesti pitkälle tulevaisuuteen. Monet kiristysohjelmahyökkäykset alkavat työntekijöistä, kun tietojenkalasteluhuijauksilla ja muilla haittaviesteillä valmistellaan näitä tuhoisia hyökkäyksiä.

Monet kiristysohjelmat voivat levitä nopeasti ja saastuttaa suuria osia organisaation verkosta. Jos organisaatio ei tee säännöllisiä varmuuskopioita tai jos kiristysohjelma onnistuu saastuttamaan varmuuskopiopalvelimet, palautus ei välttämättä ole mahdollista.

Esimerkki 5

Pienen teollisuusyrityksen tietokonejärjestelmiin kohdistui kiristysohjelmahyökkäys ja niihin tallennetut tiedot salattiin. Yritys oli itse jo kunnolla salannut tiedot etukäteen, joten kaikki tiedot, joihin kiristysohjelma pääsi käsiksi, olivat jo salattuja eikä salauksenpurkuavain vaarantunut hyökkäyksessä. Niinpä hyökkääjällä oli pääsy vain salattuihin tietoihin.

Yhtiö käyttää tapauksen tutkinnassa ulkopuolisen kyberturvayrityksen asiantuntemusta. Kaikki yrityksestä lähtevien sähköpostien ja muiden tietovirtojen lokit ovat saatavilla. Analysoituaan lokit ja yrityksen käyttämien havainnointijärjestelmien keräämät tiedot, kyberturvayrityksen tukemassa sisäisessä tutkimuksessa todettiin varmuudella, että hyökkääjä vain salasi tiedot ilman, että se oli päässyt niiden sisältöön käsiksi. Henkilötiedot, joihin tietoturvaloukkaus vaikuttaa, liittyvät yhtiön asiakkaisiin ja työntekijöihin, yhteensä muutamaan kymmeneen henkilöön. Varmuuskopio oli helposti saatavilla, ja tiedot palautettiin muutaman tunnin kuluttua hyökkäyksestä.

Tietoturvaloukkauksella ei ollut seurauksia yrityksen päivittäiseen toimintaan. Työntekijöiden maksuissa tai asiakkaiden pyyntöjen käsittelyssä ei ollut viivettä.

4.6.8 Tietojen häviäminen pilvessä

Monet organisaatiot siirtävät tietoja pilveen helpottaakseen jakamista ja yhteistyötä. Tietojen siirtyessä pilveen on kuitenkin vaikeampaa hallita ja estää tietojen häviämistä. Käyttäjät pääsevät tietoihin henkilökohtaisista laitteista ja suojaamattomista verkkoista. Tiedoston jakaminen luvattomien osapuolten kanssa on aivan liian helppoa vahingossa tai pahantahtoisesti.

4.6.9 Huonot salasanakäytännöt

Thomasin ym. tutkimuksessa todettiin, että 1,5 prosenttia kirjautumistiedoista internetissä on alttiita tunnistetietojen täyttämishyökkäyksille, jotka käyttävät varastettuja tietoja jatkohyökkäyksiin yrityksen IT-verkkoon. Monet kirjautumistiedot ovat vaarantuneet aikaisemmissa tietomurroissa, ja kun monet ihmiset käyttävät uudelleen samoja tai helposti arvattavia salasanoja, näitä tietoja voidaan käyttää yrityksen tietoihin, vaikka verkot ovat suojattuja.

Siksi parhaat käytännöt, kuten säännöllisesti päivitettävien salasanojen vaatiminen, ovat yksinkertainen mutta johdonmukainen tapa torjua tämä estettävissä oleva uhka.

4.7 Olemassaolevien uhkien ja haavoittuvuuksien tunnistaminen

Kun on määritelty tietoturvan tavoitteet ja kartoitettu hallintakeinot, kannattaa arvioida ja dokumentoida nykytilanne. Tässä suhteessa tilanne on huomattavan erilainen, jos dataa jo jollain tavalla jaetaan osapuolten kesken verrattuna siihen tilanteeseen, jossa datan jakamista ollaan vasta aloittamassa.

Miten tietoturvasta on huolehdittu nykyisin siinä määrin kuin dataa jo jaetaan osapuolten kesken? Mikä muuttuu tietoturvan näkökulmasta, kun dataa aletaan jakaa edellä olevan sääntökirjan teknisen ja liiketoiminnallisen osan mukaisesti?

Tässä kannattaa myös ottaa huomioon lainsäädännön vaatimukset ja sekin, missä määrin kansainvälisiä, kuten EU-tason säännöksiä, ja eri maiden kansallisia säännöksiä on otettava huomioon. Lähtökohtaisesti EU:ssa datan jakamista koskevat säännökset on pitkälle harmonisoitu. Esimerkiksi yleinen tietosuoja-asetus, kuten kaikki muutkin asetustasoiset EU-säännökset ovat sellaisenaan voimassa kaikissa EU:n jäsenmaissa ja ETA-alueella.

Sen sijaan esimerkiksi EU:n direktiivien osalta voi olla merkittäviäkin eroja, miten ne on toteutettu eri jäsenmaiden lainsäädännössä. Mikäli dataa jaetaan myös EU:n ja ETA:n ulkopuolelle, on varauduttava siihen, että lainsäädäntö voi olla täysin erilaista eikä etenkään henkilötietojen siirtäminen ole edes sallittua ilman erityisjärjestelyjä.

Keskeinen kysymys on se, jaetaanko dataa suoraan osapuolten välillä, vai tallennetaanko data jonnekin yhteen keskusvarastoon, josta osapuolet pääsevät sitä hakemaan. Tämä vaikuttaa olennaisesti myös tietoturvallisuuden hallinnan vaatimusten kohdistamiseen oikeille tahoille. Yksi vaihtoehto voi olla escrow-tyyppinen toimija, luotettava kolmas osapuoli, joka maksua vastaan ottaa tiettyjä velvoitteita hoidettavakseen.

4.8 Riskiarviointi

Edellä kuvatun mukaisesti dataverkoston ja sen osallistujien tulee tunnistaa uhkat ja haavoittuvuudet. Sen jälkeen riskien vakavuus arvioidaan määrittelemällä jokaisen uhkan todennäköisyys ja vahingon suuruus siinä tapauksessa, että uhka toteutuu.

Riskien arviointi on dataverkostossa ensisijaisesti perustajien vastuulla, mutta käytännössä niiden kannattaa antaa se esimerkiksi edellä mainitun tietoturvatyöryhmän tehtäväksi. Tässä kannattaa jälleen kiinnittää erityisesti huomiota koko dataverkoston näkökulmaan.

Riskien vakavuus voi näyttäytyä varsin erilaiselta, kun sitä tarkastellaan koko verkoston eikä vain yksittäisten osapuolten kannalta. Jokainen osapuoli on silti itse vastuussa riskiarvioinnista omasta näkökulmastaan.

Riskin vakavuus on todennäköisyyden ja vahingon suuruuden tulo. Koska sen enempää todennäköisyydelle kuin vahingon suuruudellekaan ei ole käytännössä helppoa antaa numeerisia arvoja on käytännössä usein parasta käyttää jonkinlaista, esimerkiksi kolmiportaista luokittelua niiden arvioinnissa ja sen jälkeen sijoittaa riskit matriisiin, jossa toisella akselilla on todennäköisyys ja toisella vahingon suuruus. Näin voidaan melko helposti havaita, mitkä riskit ovat vakavimpia ja vaativat eniten huomiota.

Riskien hallinta tarkoittaa prosesseja ja käytäntöjä, joilla kyetään tunnistamaan, arvioimaan ja pienentämään riskejä sekä vastuuttamaan nämä toimenpiteet. Dataverkoston on järkevää määritellä yhteiset toimintatavat riskien hallinnalle siltä osin kuin ne koskettavat verkoston toimintaa. Tietoturvatoimintamalliin kannattaa sisällyttää kaikista riskien hallinnan osa-alueista riittävät määrittelyt, jotka tukevat koko verkoston riskien hallintaa.

4.9 Tavoitetila dataverkostolle ja sen osapuolille

Kun riskit on arvioitu, voivat perustajat keskenään sopia siitä, mikä on tietoturvan tavoitetila koko dataverkostolle ja sen yksittäisille jäsenille. Niiltä osin kuin tavoitetilasta halutaan oikeudellisesti velvoittava, siitä täytyy ottaa sitovat ehdot perustamissopimukseen, liittymissopimukseen tai datajoukon käyttöehtoihin.

Verkostossa täytyy olla yhteinen tahtotila riskitason ja toimenpiteiden laajuuden suhteen. Tämä saattaa edellyttää huomattavasti neuvottelua ja tavoitteiden yhteensovittamista, erityisesti jos verkostossa on eri tasoista tietoa, osaamista ja turvallisuusvaatimuksia. Tavoitetila dokumentoidaan kuvaamalla dataverkoston luonteesta riippuen esimerkiksi, mihin halutaan päästä seuraavien osa-alueiden osalta:

Tietoturvapolitiikat
Henkilöstöturvallisuus
Suojattavan datan hallinta
Pääsynhallinta
Salaus
Fyysinen turvallisuus ja ympäristön turvallisuus
Käyttöturvallisuus
Viestintäturvallisuus
Järjestelmien hankkiminen, kehittäminen ja ylläpito
Suhteet toimittajiin
Tietoturvahäiriöiden hallinta
Liiketoiminnan jatkuvuuden hallintaan liittyviä tietoturvanäkökohtia
Vaatimustenmukaisuus

4.10 tietoturvatoimintamallin rakentaminen, valvonta ja jatkuva parantaminen

Kun tavoitetila on saatu määriteltyä, rakennetaan tietoturvatoimintamalli, joka tukee tavoitetilan saavuttamista, ylläpitoa ja jatkuvaa kehittämistä. Siihen kuuluu dataverkostosta riippuen esimerkiksi seuraavia aiheit

1. Tietoturvallisuuden organisointi

Riippuen dataverkoston koosta, toiminnasta ja tarkoituksesta saattaa olla tarkoituksenmukaista perustaa hallinnollisen mallin mukainen ohjausryhmän alaryhmä pitämään huolta tietoturvasta ja sen tavoitetilan saavuttamisesta, ylläpidosta ja kehittämisestä, tai antaa nämä tehtävät ohjausryhmälle tai vastuuttaa ne esimerkiksi tietyille nimetyille henkilöille. Tästä on yleensä syytä ottaa osapuolia sitova määrittely hallinnolliseen malliin tai perustamis- ja/tai liittymissopimukseen.

Osana tietoturvallisuuden organisointia tulee määritellä vastuut siitä, kuka reagoi riskien toteutumiseen ja millä tavalla. Tähän kuuluvat paitsi välittömät toimenpiteet vahinkojen rajoittamiseksi ja korjaamiseksi myös viestintä ja tapahtuneesta oppiminen.

Tietosuoja-asetus velvoittaa yleensä ilmoittamaan henkilötietojen tietoturvaloukkauksista tietosuojavaltuutetulle ja tietyissä tapauksissa myös asianomaisille ihmisille itselleen. Lähtökohtaisesti ilmoitus tietosuojavaltuutetulle on tehtävä viimeistään 72 tunnin kuluessa siitä, kun tietoturvaloukkaus on tullut ilmi. Aika on sen verran lyhyt, että on hyvä etukäteen suunnitella, miten tietoturvaloukkaukseen reagoidaan ja ilmoitus tehdään, jottei sitä tarvitse alkaa miettiä vasta tietoturvaloukkauksen tapahduttua.

2. Johdon sitoutuminen tietoturvaan. Kenellä / millä on johtajuus dataverkostossa?

Johdon sitoutumisen varmistaminen on tietoturvan toimintamallin kannalta olennaisen tärkeää. Niinpä perustajien on tunnistettava se, kenellä henkilöllä tai millä osapuolella on tietoturvan johtajuus dataverkostossa, ja varmistettava tämän tahon sitoutuminen tavoitetilan saavuttamiseen.

3. Miten tietoturvaa mitataan?

Dataverkoston on hyvä sopia mittareista, joilla tietoturvaa mitataan. Se mitä mittareita käytetään, riippuu olennaisesti siitä, millaisesta dataverkostosta on kysymys. Mittarit kannattaa määritellä siten, että ne liittyvät edellä asetettuihin tavoitteisiin, ovat sellaisia, että osapuolet voivat omilla toimenpiteillään vaikuttaa niihin ja ovat merkittäviä erityisesti edellä vakavimmiksi arvioitujen riskien suhteen.

4. Millaisia auditointeja ja katselmointeja dataverkostossa tehdään?

Luottamuksen lisäämiseksi tietoturvaprosessin on oltava riittävän avointa. Erityisesti verkoston läpinäkyvään riskienhallintaan kannattaa panostaa.

Tietoturvan varmistamiseksi voidaan myös sopia, että osapuolilla on oikeus tehdä auditointeja ja katselmointeja toistensa järjestelmiin ja tiloihin. Mikäli tällaiset auditoinnit ja katselmoinnit nähdään tarpeellisiksi, tulee perustamissopimukseen, liittymissopimukseen, datajoukon käyttöehtoihin tai hallinnolliseen malliin [linkki sopimuskehykseen] ottaa niille osapuolille, jotka voivat joutua tällaisen toimenpiteen kohteeksi, velvollisuus sallia pääsy järjestelmiinsä ja tiloihinsa. Ehdon tulee olla niin yksikäsitteinen ja selvä, ettei synny epäselvyyttä siitä, ketä se koskee, mihin auditointi tai katselmointi voi kohdistua, kuka sen saa suorittaa, kuka vastaa siitä aiheutuvista kustannuksista ja millainen salassapitovelvollisuus sen suorittajalla on.

5. Dataverkoston tietoturvatoimintamallin dokumentointi

Dataverkoston tietoturvatoimintamalli otetaan osaksi dataverkoston sääntökirjaa. Lähtökohtaisesti se on samanlainen dokumentti kuin eettiset toimintasäännöt, jotka kuvaavat osapuolten yhteisymmärrystä, mutta eivät ole sopimusoikeudellisesti velvoittava osa perustamissopimusta. Niinpä kaikki ne velvoitteet, joihin osapuolten halutaan sitoutuvan oikeudellisesti, tulee erikseen kirjata perustamissopimuksen tai sen liitteiden asianmukaisiin kohtiin. On myös mahdollista ottaa koko tietoturvatoimintamalli perustamissopimuksen sitovaksi liitteeksi, mutta tämä saattaa turhan paljon jäykistää toimintamallia, jota pitäisi pystyä uudistamaan ja pitämään yllä joustavasti.

Dokumentoinnin osalta kannattaa myös huomata, että yleisen tietosuoja-asetuksen 30 artikla edellyttää, että henkilötietojen käsittelytoimista ylläpidetään selostetta, joka tulee esittää myös viranomaiselle pyydettäessä ja jonka avulla viranomainen voi arvioida käsittelytoimien lainmukaisuutta. Lisäksi rekisterinpitäjällä on yleinen velvollisuus kyetä koko ajan 5 artiklan mukaisesti osoittamaan noudattavansa asetusta (accountability).

6. Jatkuva parantaminen: miten huolehditaan tietoturvan jatkuvuudesta ja prosessin kehittämisestä?

Dataverkoston kehittyessä, toiminnan muuttuessa ja uusien osapuolien tuodessa verkostoon uudenlaisia tarpeita on tärkeää pitää huolta siitä, että tietoturva pysyy halutulla tasolla ja dataverkoston tietoturvaprosessia kehitetään jatkuvasti. Hallinnolliseen malliin kannattaa erikseen kirjata, miten tietoturvatoimintamallia tarvittaessa sekä aina sovituin määräajoin tarkistetaan ja päivitetään.

7. Datan käyttötarkoituksen muutokset ja niiden hallinta

Datalle on perustamissopimuksessa tai datajoukon käyttöehdoissa määritelty käyttötarkoitus. Tämä on olennaista toisaalta 1) tietosuojan käyttötarkoitussidonnaisuuden ja toisaalta 2) datan käyttöoikeuksien toteuttamiseksi.

Yleisen tietosuoja-asetuksen eli GDPR:n mukainen tietosuojan käyttötarkoitussidonnaisuus rajoittaa sitä, mihin tarkoituksiin rekisterinpitäjä voi käyttää ihmisistä keräämäänsä tietoa. Käyttötarkoitussidonnaisuuteen kuuluu kaksi tärkeää asiaa: henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten (purpose specification), eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla (compatible use). Käyttötarkoitussidonnaisuus ei kiellä käsittelemästä yhtä tarkoitusta varten kerättyjä tietoja myös toista käyttötarkoitusta varten, kunhan se ei ole alkuperäisen käyttötarkoituksen kanssa yhteensopimaton. Periaatteen tarkoituksena on yhtäältä suojata rekisteröityjen perusteltuja odotuksia heitä koskevien henkilötietojen käsittelyn suhteen, sekä mahdollistaa henkilötietojen jatkokäyttö tietyissä rajoissa.

Käyttöoikeuksien puolesta olennaista taas on se, mihin tarkoituksiin oikeudenhaltija, esimerkiksi se, jolla on tekijänoikeus, tuottajan oikeus tai liikesalaisuuden suojaan perustuva oikeus dataan, on sallinut datan käyttämisen eikä muihin tarkoituksiin käyttöoikeutta yleensä ole.

Lähtökohtaisesti dataa ei siis saa käyttää muuhun kuin määriteltyyn käyttötarkoitukseen. Olosuhteet kuitenkin muuttuvat, verkoston osapuolille saattaa tulla uusia tarpeita datan suhteen ja verkostoon liittyvät uudet osapuolet saattavat tuoda mukanaan tarpeita, joita ei ole osattu ennakoida. Niinpä voi olla hyviä syitä muuttaa käyttötarkoitusta. Kun tällainen tarve tulee, on selvitettävä, miten se voidaan tehdä tietosuojalainsäädännön mukaisesti esimerkiksi pyytämällä ihmisiltä suostumus heidän henkilötietojensa käsittelyyn uutta tarkoitusta varten. Oikeudenhaltijan kanssa taas yleensä joudutaan käymään neuvottelu uudelleen muotoiltavista käyttöehdoista, jos oikeudenhaltijalla on kielto-oikeus uuden käyttötarkoituksen osalta eikä se mahdu vanhan määrittelyn piiriin.

4.11 Tietoturvatoimintamallin lähteet

EDPB Guidelines 01/2021 on Examples regarding data breach notification
Forbes: 10 data security risks that could impact your company in 2020
IBM Security: Cost of a data breach report 2021
Imperva: Data Security

Päivi Korpisaari, Olli Pitkänen, Eija Warma-Lehtinen: Uusi tietosuojalainsäädäntö. Alma Talent, Helsinki 2018
Olli Pitkänen, Risto Sarvas, Asko Lehmuskallio, Miska Simanainen, Vesa Kantola, Mika Rautila, Arto Juhola, Heikki Pentikäinen, Ossi Kuittinen. Future information security trends (PDF). Kasi research project, Tekes Safety and security research program, Final report, 11 March 2011.

Olli Pitkänen: Tietosuojasäädösten muutostarve. Valtioneuvoston kanslia, 41/2017
Olli Pitkänen, Päivi Korpisaari, Rauno Korhonen: Miten kansallista lainsäädäntöämme pitää muuttaa EU:n yleisen tietosuoja-asetuksen vuoksi? teoksessa Korpisaari (toim.) Viestintäoikeuden vuosikirja 2016, Forum Iuris, 2017.
Subashini, Subashini, and Veeraruna, Kavitha. A survey on security issues in service delivery models of cloud computing. Journal of network and computer applications 34.1 (2011): 1-11.
M. Swathy Akshaya and G. Padmavathi. “Taxonomy of Security Attacks and Risk Assessment of Cloud Computing” in J. D. Peter et al. (eds.), Advances in big data and cloud computing, Advances in Intelligent Systems and Computing, 2019.
Kurt Thomas, Jennifer Pullman, Kevin Yeo, Ananth Raghunathan, Patrick Gage Kelley, Luca Invernizzi, Borbala Benko, Tadek Pietraszek, Sarvar Patel, Dan Boneh and Elie Bursztein. Protecting accounts from credential stuffing with password breach alerting. Proceedings of the USENIX Security Symposium 2019.

5. Eettiset periaatteet – dataverkoston yhteiset arvot

Toimintasäännöt osan tavoitteena on inspiroida proaktiivista eettistä ajattelutapaa organisaatioissa, tarjota toimintaa ohjaavia periaatteita sääntökirjan käyttäjien avuksi sekä esitellä eettinen kypsyysmalli, työkalu, joka auttaa organisaatiota ”eettisen kypsyytensä” arvioinnissa ja ohjaa integroimaan eettisen ajattelutavan osaksi organisaation käytäntöjä.

Proaktiivinen eettinen ajattelutapa edistää luottamuksen syntymistä ja tukee luottamuksen ylläpitämistä dataverkoston jäsenten kesken sekä dataverkoston ja sen sidosryhmien välillä. Keskinäinen luottamus myötävaikuttaa uskottavuuden paranemiseen, tuottavuuden kehittymiseen ja uusien liiketoimintamahdollisuuksien syntymiseen.

Toimintasäännöt eivät ole kattavat eettiset säännöt, vaan pikemmin eettistä toimintaa ohjaavien periaatteiden ja perusteavaruuksien kehikko. Toimintasääntöjen tavoitteena on ohjata dataverkoston jäseniä pohtimaan täsmällisempiä ja yksityiskohtaisempia toimintaansa ohjaavia periaatteita, jotka ovat sensitiivisiä organisaatioiden toimialan ja toimintaympäristön tarpeille ja vaatimuksille. Toimintasääntöjen inspiroiman pohdinnan tuloksena voidaan odottaa syntyvän dataverkoston toimijoiden yhdessä hyväksymiä keskinäiseen kunnioitukseen, avoimeen viestintään ja yhteisiin arvoihin perustuvia toimintaperiaatteita, jotka parantavat dataverkoston jäsenten ja niiden sidosryhmien välisen yhteistyön eettistä ja liiketaloudellista laatua.

Toimintasäännöillä on ensisijaisesti organisaatioiden prosessien ja käytäntöjen eettistä kehittymistä tukeva välinearvo. Toimintasäännöillä tuetaan dataverkoston jäsenorganisaatioiden proaktiivisen eettisen ajattelutavan omaksumista, jonka seurauksena organisaatioiden toimintakulttuuri muuttuu sisältäpäin ja eettisyydestä tulee arkirutiini. Tällä tavalla tapahtunut muutos on uskottava ja kestävä sekä auttaa organisaatioita vastaamaan ympäröivän yhteiskunnan oikeutettuihin vaatimuksiin.

Eettinen toiminta ei ole pelkkä kustannus, vaan se antaa mahdollisuuden kestävään liiketoimintaan.

Kuva 7. Toimintasäännöt sääntökirjassa.

Toimintasäännöt tukevat organisaation prosessien ja käytäntöjen eettistä kehittymistä.

Kulttuurisen monimuotoisuuden normatiivinen tutkimus tukee väitettä, että vuoropuhelu on keskeisen tärkeä tekijä ryhmien välisten oikeudenmukaisten suhteiden muotoutumisessa ja kehittymisessä (James 2003). Diskurssietiikkaa voidaan käyttää avointa ja rationaalista keskustelua edistävänä ja strukturoivana työkaluna erilaisten näkökulmien tarkastelussa ja niiden rakentavassa viestinnässä (Stahl 20212). Dataverkoston jäsenille ja heidän sidosryhmilleen diskurssietiikka tarjoaa menetelmän mahdollisesti toisistaan poikkeavien moraalinäkemysten ja -intuitioiden tasapuoliseen tarkasteluun ja yhteisymmärrykseen tähtäävään vuoropuheluun.

Toimintasääntöjen tausta-ajatuksena on lähestyä eettisyyttä toimijoiden näkökulmasta, sitoutumatta mihinkään erityiseen eettiseen teoriaan, ja pyrkiä tarjoamaan käsitteellisiä ja analyyttisiä työkaluja, joiden avulla voidaan puntaroida toiminnan perusteita ja etsiä vastausta kysymykseen ”Mitä meidän tulisi tehdä?”. Seuraavassa tarkastellaan lyhyesti datatalouden parissa toimivien organisaatioiden kannalta keskeisiä arvoja sekä tarjotaan kypsyysmalli (ks. seuraava osa), jota voidaan käyttää hyväksi organisaation ”eettisen kehitysasteen” analysoinnissa sekä parannus- ja kehitystoimenpiteiden etsinnässä.

Sitran IHAN-projektin aikana toteutetussa tutkimustyössä seuraavien arvojen on todettu olevan tärkeitä. Jotta tavoite reilusta datankäytöstä voidaan saavuttaa, nämä arvot tulee huomioida ja niitä tulee kunnioittaa jokapäiväisessä toiminnassa.

Lähteitä ja lisätietoa etiikasta

James, M. R. (2003). Communicative Action, Strategic Action, and Inter-Group Dialogue. European Journal of Political Theory, 2(2), 157–182.

Stahl, B. C. (2012). Morality, ethics, and reflection: A categorization of normative IS research. Journal of the Association for Information Systems,13(8):636–65.

Eettinen ohjeisto ACM Code of ethics (PDF) antaa IT-alan ammattilaisille ja johtajille tietoa eettisistä asioista, jotka täytyy huomioida käytännössä.

Luotettavaa tekoälyä koskevat eettiset ohjeet, jotka on laatinut Euroopan komission perustama tekoälyä käsittelevä korkean tason asiantuntijaryhmä.

Open Data Instituten (ODI) tarjoama Data ethics canvas (dataetiikkakaavio, PDF) tukee identiteettiin liittyvien ja eettisten asioiden hallintaa osana datan käyttöä.

The ethics of big data (PDF): Massadatan taloudellisten hyötyjen ja eettisten kysymysten tasapainottaminen EU:n politiikan yhteydessä.

5.1 Vastuuvelvollisuus ja auditoitavuus

Dataverkoston jäsenet ovat vastuussa toiminnastaan ja heidän on pystyttävä antamaan toiminnalleen hyväksyttävät perustelut. Tämä tarkoittaa, että kaikkien toimijoiden odotetaan noudattavan dataverkoston sääntökirjaa ja erityisesti sen sopimusosaa Kaikissa sopimuksissa tulee lisäksi noudattaa tämän dataverkoston Toimintasääntöjä ja sääntökirjaa. Vastuu on olemassa suhteessa dataverkoston jäseniin mutta myös ulkoisiin sidosryhmiin – kuten yksityishenkilöihin, joiden henkilötietoja dataverkostossa käsitellään.

Dataverkoston toiminnan on lisäksi oltava auditoitavissa, eli auditoijan on pystyttävä toteuttamaan kattava tutkinta dataverkostossa tapahtuvasta datan käsittelystä. Tämän vuoksi jäsenten datan käsittelyä koskevan kirjanpidon, lokien ja asiakirjojen on oltava hyvässä järjestyksessä ja kattavia. Samoin niiden työntekijöiden on toimittava avoimesti asioidessaan auditoijan kanssa ja jäsenillä on oltava hyvä datan käsittelyä koskeva sisäinen valvonta-, suojaus- ja dokumentointijärjestelmä.

5.2 Haitan välttäminen

Dataverkoston kaikkien toimijoiden tulee välttää haitan aiheuttamista ja keskittyä (suoran tai epäsuoran) arvon luomiseen koko dataverkostolle ja kaikille, joihin dataverkoston toiminta vaikuttaa.

5.3 Henkilötietojen perusteltu käsittely

Henkilötietoja tulee käsitellä reilusti ja käsittelyllä tulee olla laillinen peruste. Laillisia perusteita ovat mm. henkilön suostumus, joka perustuu tietoon ja ymmärrykseen suostumuksen sisällöstä; henkilön kanssa solmittu sopimus; laillinen velvoite; henkilön elintärkeä etu; yleinen tai oikeutettu etu edellyttäen, etteivät henkilön edut tai perusoikeudet ja -vapaudet vaarannu. Henkilötietojen käsittelemisen lailliseen ja oikeuttavaan perusteeseen on kiinnitettävä erityistä huomiota, jos tiedonkeruun kohteena oleva henkilö on lapsi.

5.4 Reiluus, oikeudenmukaisuus ja tasapuolisuus

Kaikkien dataverkoston toimijoiden tulee edistää reiluutta, oikeudenmukaisuutta ja tasapuolisuutta suhteessa kaikkiin toimintaan osallistuviin tai toiminnan vaikutuspiirissä oleviin henkilöihin. Reiluus tarkoittaa, että kaikkia kohdellaan kunnioittavasti riippumatta heidän sosioekonomisesta taustastaan tai asemastaan. Vastaavasti taloudellisia ja muita etuja tulee tarkastella ja jakaa tasapuolisesti kaikkien sidosryhmien välillä niin, että datan lähteenä toimivia henkilöitä ei pidetä ainoastaan hyödynnettävinä resursseina.

Yksityishenkilöille annetaan todellinen mahdollisuus ymmärtää ja hallita henkilötietojaan, joita kerätään, siirretään ja muilla tavoin käsitellään dataverkostossa, niiden reilun käytön varmistamiseksi.
Dataverkoston säännöillä ja rakenteella varmistetaan kaikkien osapuolten edut ja oikeutetut odotukset. Tämä edellyttää tasapainoista valtarakennetta dataverkostossa sekä avointa, konsensuslähtöistä hallintoa.

5.5 Ihmislähtöisyys

Ihmiset elävät erilaisissa olosuhteissa, ja heillä on yksilöllinen kokemus omasta elämästään. Heitä tulee kunnioittaa ja voimaannuttaa. Tämä tarkoittaa, että henkilöitä tulee pitää ja käsitellä aktiivisina toimijoina, joilla on mahdollisuus tehdä dataverkostossa itsenäisiä päätöksiä. Heillä tulee olla täysi ja tehokas itsemääräämisoikeus. Lisäksi heidän tarpeensa ja toiveensa tulee ottaa huomioon sen sijaan, että heitä pidetään vain toiminnan kohteina tai resursseina.

5.6 Yksityisyys

Yksityisyyden suojaaminen ja kunnioittaminen on datatalouden toimivuuden kannalta keskeisen tärkeää. Dataverkosto perustuu potentiaalisesti myös arkaluontoisen tiedon käyttöön, mikä asettaa korkeat vaatimukset yksityisyyden suojaamiselle.

Tämän vuoksi henkilötietoja tulee käsitellä laillisesti, reilusti ja avoimesti suhteessa henkilöihin, joiden henkilötiedoista on kyse. Henkilötietoja tulee kerätä nimenomaisia, yksiselitteisiä ja lainmukaisia tarkoituksia varten, eikä niitä tule käsitellä näiden tarkoitusten vastaisesti.

Organisaatioiden ei tule kerätä henkilötietoja, joita ne eivät tarvitse. Kaikkien käsiteltävien henkilötietojen on oltava asianomaisen käyttötarkoituksen kannalta välttämättömiä. Dataverkoston jäsenten tulee huolehtia kohtuullisin toimenpitein siitä, että henkilötiedot ovat paikkansapitäviä ja ajan tasalla. Henkilötietoja ei saa säilyttää kauemmin kuin on tarpeen niiden käsittelytarkoitusten kannalta.

Yksityisyyden eheyden ja luottamuksellisuuden varmistamiseksi henkilötietoja on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä huolimattomuudesta johtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia.

Datan eheyden, luottamuksellisuuden ja käytettävyyden ylläpitämiseksi organisaatioiden on kehitettävä ja toteutettava tietoturvapolitiikkakehys. Datajoukkoja yhdisteltäessä yksityisyyttä tulee suojata vielä tavallistakin huolellisemmin. Datan anonymisointia suositellaan aina, kun se on mahdollista toteuttaa.

Kaikilla organisaatioilla on myös vastuuvelvollisuus, eli niiden on pystyttävä osoittamaan, että ne noudattavat yllä kuvattuja periaatteita. Siksi henkilötietojen käsittely on suunniteltava ja dokumentoitava. Datan keräämiselle, säilyttämiselle, käyttämiselle ja jakamiselle on oltava selvät ja dokumentoidut prosessit.

Kerätylle datalle on oltava selvästi dokumentoitu elinkaarisuunnitelma, jossa on kuvattu datan kerääminen, arkistointi sekä mahdollinen poistaminen. Elinkaarisuunnitelman olennaiset osat ovat saatavilla dataan liittyville datan tarjoajille ja yksityishenkilöille.

5.7 Suojaus

Kaikki dataverkoston jäsenet ovat vastuussa siitä, että niiden suorittama datan kerääminen, käyttö, säilytys, jakaminen ja muu käsittely on suojattua. Tämä tarkoittaa, että asianmukaisia suojausratkaisuja ja -prosesseja käytetään ja että suojausongelmien valvonta, korjaus ja raportointi on suunniteltu asianmukaisesti.

Henkilötiedot täytyy suojata asianmukaisesti, ja henkilöiden oikeuksiin ja vapauksiin kohdistuvat riskit tulee analysoida. Kaikki tarvittavat tekniset, organisatoriset ja henkilökohtaiset toimenpiteet täytyy toteuttaa, jotta minimoidaan niiden henkilöiden tietoturvauhat, joiden tietoja käsitellään. Kaikkien dataverkoston jäsenten tulee toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet riskiä vastaavan suojaustason varmistamiseksi huomioiden uusin tekniikka, toteutuksen kustannukset sekä käsittelyn luonne, laajuus, konteksti ja tarkoitukset sekä henkilöiden oikeuksiin ja vapauksiin kohdistuvat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit.

Vastaavasti tietoturvaloukkauksiin on reagoitava viipymättä. Mikäli henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, dataverkoston vastuullisen jäsenen on ilman aiheetonta viivytystä ilmoitettava tietoturvaloukkauksesta henkilölle, jonka tiedot ovat loukkauksen kohteena.

5.8 Vastuullisuus ja kiertotalous

Kaikkia dataverkoston jäseniä ohjataan ja kannustetaan kehittämään ja toteuttamaan vastuullisia ratkaisuja, jotka edistävät ekologisesti ja yhteiskunnallisesti kestävämpää taloutta. Jäsenten on toteutettava dataverkosto siten, että toiminta on vastuullista ja kiertotaloutta edistävää sekä kielteisiä vaikutuksia ihmisiin, ympäristöön, ilmastoon ja luonnonvaroihin vähentävää.

5.9 Läpinäkyvyys

Dataverkosto perustuu yhteistyöhön ja tietolähteiden kunnioitukseen. Läpinäkyvyyttä tarvitaan luottamuksen rakentamiseen. Dataa tulee käsitellä lainmukaisesti, reilusti ja läpinäkyvästi. Kaikkien yleisölle tai yksityishenkilöille suunnattujen viestien tulee olla lyhyitä, saavutettavia, helposti ymmärrettäviä ja selkeitä, sekä niissä tulee käyttää visualisointeja tarpeen mukaan.

Tämä ei tarkoita, että tiedot ovat rajoituksetta kaikille avoimia. Sen sijaan kaikkien dataverkoston jäsenten tulee tietää (kun/jos mahdollista), mitä dataa dataverkostossa tarjotaan ja mitkä ovat verkoston läpinäkyvyyden edistämisen vaatimukset. Reaaliaikaiseen datan mahdollistamantalouden tukemiseksi dataverkoston jäsenten ei tule pidättää dataa tarpeettomasti vaan jakaa sitä niin pian kuin mahdollista.

Tarpeettomien lakiteknisten ilmaisujen käyttöä tulee välttää. Jos henkilöä pyydetään antamaan suostumus tai hyväksymään käyttöehdot, asia tulee esittää selvästi muista asioista erillään ymmärrettävässä ja helposti saavutettavassa muodossa sekä selvällä ja ymmärrettävällä tavalla. Lisäksi henkilöille tulee kertoa rehellisesti, mitä heitä koskevaa dataa kerätään ja miten sitä käsitellään.

5.10 Jatkuva kehitys

Eettisen arvioinnin tulee olla organisaatiossa jatkuva prosessi, johon on tarjolla institutionaalista tukea. Siksi verkoston jäsenorganisaation johdon on tuettava organisaation työntekijöitä varmistamalla, että heillä on todelliset mahdollisuudet ylläpitää, edistää ja kunnioittaa Toimintasääntöjen periaatteita.

Eettisiä ratkaisuja tehdään yksittäisten työntekijöiden päivittäisessä työssä tai ei lainkaan, sillä vain luonnolliset henkilöt, yksin tai yhdessä, tekevät moraalisia päätöksiä. Epäeettisen toiminnan riski kuitenkin kasvaa ilman institutionaalista tukea eettisissä kysymyksissä, koska organisaatiokontekstissa yksittäisillä henkilöillä ei välttämättä ole riittävän riippumatonta asemaa itsenäisten moraalisten päätösten tekemiseen.

5.11 Yksilöille tarjottava tuki

Dataverkoston kaikkien jäsenten tulee auttaa tiedonkeruun kohteena olevia henkilöitä (a) saamaan tietoa henkilötietojensa käytöstä, (b) ymmärtämään heistä kerättyjä tietoja sekä niiden käyttöön liittyviä käytäntöjä, sopimuksia ja niiden seurauksia sekä (c) liittymään, osallistumaan ja vaikuttamaan järjestelmiin ja käytäntöihin, joissa heidän henkilötietojaan käytetään.

Tarkoitus on varmistaa, että henkilöt saavat läpinäkyvällä tavalla asianmukaista tukea (kuten ohjeita tai henkilökohtaista apua), jos he tarvitsevat tietoa tai heillä on perusteltu vaatimus saada tietoa liittyen heidän henkilötietojensa käyttöön, tallentamiseen, säilyttämiseen ja jakamiseen. Painopisteenä tulee olla matalan kynnyksen keinon tarjoaminen henkilötietojen käytön seurantaan henkilöille, joiden tietoja kerätään suoraan tai saadaan muilla tavoin.

5.12 Viestintä

Asianmukainen viestintä on keskeinen vaatimus dataverkoston koko elinkaaren ajan. Se on tärkeää yksittäisten henkilöiden, organisaatioiden ja koko yhteiskunnan kannalta. Erilaisten sisältöjen ja ajoitusten lisäksi tarvitaan asianmukaiset viestintäkanavat ja -tavat. Edellä mainittuja eettisiä periaatteita tuodaan näkyväksi ja käytäntöön viestinnän keinoin.

Viestintä on lisäksi keino osoittaa organisaation sitoutumista periaatteisiin. Johdolla on erityinen vastuu määritellä, toteuttaa ja tukea organisaation kulttuuria ja prosesseja, jotka vastaavat näiden Toimintasääntöjen periaatteita.

Julkaisun perustiedot

Reilun datatalouden sääntökirja

Osa I: miksi ja milloin sääntökirjaa kannattaa käyttää?

Olli Pitkänen ja Juhani Luoma-Kyyny (Toim.)

Helsinki

2022

Sitra

Reilun datatalouden sääntökirja

Kirjoittajat

Olli Pitkänen

Juhani Luoma-Kyyny

Julkaistu

Esipuhe ja mallisopimukset

Osa 1: Miksi ja miten sääntökirjaa käytetään?

1. Johdanto osaan 1

1.1 Milloin ja miksi sääntökirjaa kannattaa käyttää?

Kuva 1. Sääntökirjan rakenne ja eri osien väliset suhteet.

1.2 Pikaopas: miten aloitetaan sääntökirjan laadinta datan jakamiseen

1.3 Sisältö ja keskeiset käsitteet

2. Sopimuskehys

2.1 Johdanto

Kuva 2. Perustamissopimus linjaa dataverkoston toimintaa.

2.2 Soveltamisalueet

3. Miten dataverkosto kuvataan?

Kuva 3. Dataverkoston kuvaus sisältyy perustamissopimukseen.

3.1 Liiketoiminnallinen osa

Kuva 4. Dataekosysteemikaavio

3.2 Tekninen osa ja tietoturva

4. Dataverkoston tietoturvatoimintamalli

4.1 Taustaa

Kuva 5. Tietoturvaan liittyvä toimintamalli sisältyy sääntökirjan yleiseen osaan.

4.2 Tietoturvaprosessi

Kuva 6. Dataverkoston tietoturvaprosessi.

4.3 Priorisointi ja rajaus

4.4 Tietosuojan huomioon ottaminen

4.5 Orientoituminen: järjestelmien, lainsäädännöllisten vaatimusten, uhkien ja haavoittuvuuksien tunnistaminen

4.6 Yleistä tietoturvauhkista

4.7 Olemassaolevien uhkien ja haavoittuvuuksien tunnistaminen

4.8 Riskiarviointi

4.9 Tavoitetila dataverkostolle ja sen osapuolille

4.10 tietoturvatoimintamallin rakentaminen, valvonta ja jatkuva parantaminen

4.11 Tietoturvatoimintamallin lähteet

5. Eettiset periaatteet – dataverkoston yhteiset arvot

Kuva 7. Toimintasäännöt sääntökirjassa.

5.1 Vastuuvelvollisuus ja auditoitavuus

5.2 Haitan välttäminen

5.3 Henkilötietojen perusteltu käsittely

5.4 Reiluus, oikeudenmukaisuus ja tasapuolisuus

5.5 Ihmislähtöisyys

5.6 Yksityisyys

5.7 Suojaus

5.8 Vastuullisuus ja kiertotalous

5.9 Läpinäkyvyys

5.10 Jatkuva kehitys

5.11 Yksilöille tarjottava tuki

5.12 Viestintä

Julkaisun perustiedot

Otsikko

Alaotsikko

Tekijät

Julkaisupaikka

Julkaisuvuosi

Julkaisija

Jaa

Suosittelemme

MS-potilaat testaavat terveyssovellusta uupumuksen hallintaan Oulussa

Datan viisas hyödyntäminen on edellytys kestävän kehityksen mukaiseen teolliseen tuotantoon

Planetaarinen terveys rakentuu luontoyhteydelle

”Kerätyn datan avulla voi oikeasti syntyä säästöä” – Kokeiluissa luotiin fiksumpaa energiankäyttöä dataa hyödyntämällä

Neljä lähestymistapaa datalla ansaitsemiseen

6+1 suositusta Suomelle

Web 3.0 -liiketoiminnan vastuullinen kehittäminen tarvitsee tuekseen sääntelyä

Sitra kirittää terveysalaa: uusi visio ja 10 suositusta kohti vuotta 2030

Suomen terveysalan kasvun ja kilpailukyvyn visio 2030

Terveysalan tutkimus- ja innovaatiostrategian toimeenpano sekä päätöksenteko- ja ohjausmallit

Sitran ja Kansallisgallerian virtuaalinen näyttelykokeilu tarjosi näkymän tulevaisuuden taidekokemukseen

Web 3.0:n sääntelyllä vauhtia alan reilumpaan kehitykseen

Kieli kehittyy: Internetin kolmannen kehitysvaiheen käsitteitä

Kansankoti vai kasino? Datatalouden suuntaan on vaikutettava nyt

Terveysalan kasvua kiritetään datan avulla Sitran hankkeissa

Entä jos talotekniikan, sähköautojen latauksen ja energiahintojen datan voisi kytkeä yhteen asuinalueella?

TEHDAS-yhteistoimintahankkeen kansallisen asiantuntijaryhmän kokous

Kansallisen tiekartan julkistus: Miten siirrymme reiluun datavetoiseen talouteen Suomessa?

Radical Health Festival Helsinki 2023

Mistä on kyse?

Gaia-X Suomi

Reilu datatalous