Pikaviestisovellukset
Pikaviestisovellukset
WhatsApp uudet sopimusehdot
• Uudet ehdot eivät merkittävästi muuta EU alueella toimivan henkilön (henkilökohtaista tiliä käyttävän) riskiä tai tilannetta.
• Riskit sovelluksen käytössä ovat silti olemassa jo vanhojen sopimusmallien kautta.
• WhatsApp käyttää ja profiloi käyttäjiensä yhteystietojen ja käyttötietojen pohjalta. Se ei kuitenkaan jaa tätä tietoa tällä hetkellä Facebookille mainonnan kohdistamista varten mutta ei rajaa muuta käyttöä tai tiedon luovutusta kolmansille osapuolille pois.
Pikaviestin sovellukset ovat henkilökohtaisia
• Ei TUNI sopimussuhdetta
• Ei salassapitosopimusta
• Ilmainen käyttö maksetaan profiloinnilla ja profiloinnin tulosten perusteella kohdistetulla mainonnalla.
• Viestien sisällöt vuotavat ulkopuolisille eikä niiden säilytys täytä GDPR lainsäädännön organisaatioille asettamia vaatimuksia.
• Tietojen säilytys turvatonta, Hävittäminen ja hallinta vaikeaa
• Käyttösopimukset ongelmallisia
• Käyttäjä luovuttaa kaikki oikeudet palveluun syöttämäänsä dataan toimittajalle
• Palvelun käyttöehdoissa kielletään ei-henkilökohtainen käyttö, ellei siihen ole saatu erikseen lupaa.
Suositus
• Älä käytä pikaviestin sovelluksia sensitiivisen tiedon tai henkilötietojen välittämiseen.
• Ohjaa keskustelu muihin (luotettuihin kanaviin) kun käsittelette sensitiivistä tietoa.
• Opetuksessa suosi muita työkaluja. Huomioi että perustaessasi pikaviestin ryhmän ryhdyt rekisterin pitäjäksi. Erityisesti opettajan kannattaa tämä huomioida.
• Hyödynnä Teams Chat ja tekstiviesti ominaisuutta ensisijaisena viestintäkanavana mikäli viestittävä tieto on luottamuksellista.
• Mikäli pikaviestimien käyttö on välttämätöntä, asenna käyttöösi Signal pikaviestin sovellus. Älä käytä korkeakouluyhteisössä muita henkilökohtaiseen käyttöön tarkoitettuja sovelluksia. Pyri kannustamaan myös verkostoissasi tietoturvallisten ratkaisujen käyttöön.
Muiden tekemiä linjauksia
• Esimerkiksi valtion tietojärjestelmiä pyörittävä Valtori on kieltänyt työntekijöiltään työasioiden käsittelyn WhatsAppissa.
• Tulli sallii käytön, mutta on kieltänyt luottamuksellisen tai salassa pidettävän tiedon käsittelyn. Poliisin työpuhelimiin WhatsAppia ei voi edes asentaa.
• Mikkelin kaupunki on keväällä kieltänyt WhatsAppin käytön, mutta sallii silti käytön erityistapauksissa.
• Monissa kunnissa ryhmien perustamisen kieltäminen on hyvä peruslinjaus, koska WhatsApp-ryhmien ylläpitäjät ovat käytännössä henkilörekisterien ylläpitäjiä. Esimerkiksi opettajat voivat olla vanhempien perustamassa ryhmässä jäsenenä, mutta eivät ylläpitäjänä, koska tällöin heistä tulisi rekisterinpitäjiä.
• EU ja useat valtiot ovat määränneet Signalin ainoaksi sallituksi organisaation sisäiseksi pikaviestimeksi
Tarkempi kuvaus WhatsAppista
WhatsApp vs GDPR
• EU:n tietosuoja-asetus GDPR määrittää, miten organisaatioiden tulee käsitellä henkilötietoja. Asetuksen myötä monet pikaviestisovellukset lakkasivat käytännössä olemasta varteenotettava vaihtoehto organisaatioiden viestinnässä. Tietosuoja-asetuksen myötä yksityishenkilöille tulee taata seuraavat oikeudet
• Henkilöllä tulee olla pääsy itsestään tallennettuihin tietoihin.
• Hänelle on pyynnöstä taattava tietojen oikaisu.
• Hänen tietonsa tulee pyydettäessä voida siirtää järjestelmästä toiseen.
• Henkilölle tulee ilmoittaa häntä koskevasta tietovuodosta 72 tunnin kuluessa tietomurron paljastumisesta.
• Henkilöllä on oikeus kieltää henkilötietojensa käsittely sekä tulla pyydettäessä poistetuksi yrityksen tietojärjestelmistä.
• Tiedot tulee säilyttää ETA alueella.
• Tämä aiheuttaa ongelmia organisaatioiden kannalta. Mikäli samalla laitteella säilytetään henkilöiden yhteystietoja ja käytetään esimerkiksi WhatsAppia, yhteystiedot löytyvät jo todennäköisesti myös WhatsAppin palvelimelta. Lisäksi, mikäli yksikin henkilö ryhmäkeskustelusta on kytkenyt keskustelujen varmuuskopioinnin päälle, keskustelut tallentuvat kokonaisuudessaan salaamattomana WhatsAppin palvelimille
• Viestintäsalaisuuden piirissä olevat työntekijöiden henk. viestit eivät ole GDPR:n tarkastusoikeuden piirissä tai osa organisaation rekistereitä.
• -> Jos kyse on org. käsittelemistä hlötiedoista, niitä tulee käsitellä muissa järjestelmissä 18.1.2021 | 7
Käyttäjäsopimuksessa luovutat Facebookille oikeudet kaikkeen dataan.
• ”Palvelujen käyttämiseksi ja tarjoamiseksi myönnät WhatsAppille maailmanlaajuisen, ei-yksinomaisen, rojaltivapaan, alilisensoitavan ja siirrettävän lisenssin käyttää, jäljentää, levittää, luoda johdannaisia teoksia, näyttää tietoja (mukaan lukien sisältö) jonka lataat, lähetät, tallennat, lähetät tai vastaanotat palveluissamme tai sen kautta.”
• Vaikka viestintä on salattua mutta asetuksissa päällä on tietojen varmuuskopiointi tai vaihdat päätelaitetta ja siirrät tiedot varmuuskopioimalla ne tiedot palveluun, ne ovat kaikki talletettuina jossain päin maailmaa salaamattomassa muodossa ja toimittajalla on niihin vapaa pääsy.
Mitä tietoja WhatsApp kerää sinusta
• Whatsapp kertoo, että joitain tietoja tarvitaan, jotta palvelua voisi käyttää. Esimerkiksi profiilikuva tai tilaviesti voidaan näyttää tai toimittamattomat viestit tallentaa palvelimelle.
• Lisäksi uudessa tietosuojakäytännössä mainitaan tiedot, jotka Whatsapp kerää sinusta.
• Puhelinnumero sekä profiilinimi. Jos näitä tietoja ei luovuta, ei sovellusta ole mahdollista käyttää.
• Viestit, jotka lähetetään tai joita ei ole pystytty toimittamaan. Lähetetyt viestit poistetaan Xxxxxxxxxx palvelimilta, mutta toimittamattomat viestit säilyvät 30 päivää. Viestit ja lähetettävät tiedostot suojataan päästä päähän -suojauksella.
• Kaikki puhelimeen talletetut yhteystiedot puhelinnumeroineen, osoitteineen ja lisätietoineen
• Tilatiedot, sijaintitiedot, hakuhistoria
• Maksutiedot, jos käyttää tätä ominaisuutta.
• Asiakaspalveluun lähetetyt tiedot.
• Käyttötottumukset. Whatsapp kerää tietoja siitä, milloin käytät palvelua, miten olet vuorovaikutuksessa muiden käyttäjien kanssa, oletko kohdannut virheitä sovelluksessa sekä mitä ominaisuuksia, kuten viestejä, puheluita, tilaviestejä, ryhmäkeskusteluja, maksuominaisuutta tai yritysominaisuuksia käytät.
• Lisäksi Whatsapp kerää tietoa siitä, millä laitteilla Whatsappia käytät:
• ”Tämä sisältää tietoja, kuten laitteiston mallin, käyttöjärjestelmän tiedot, akun varaustason, signaalin voimakkuuden, sovelluksen version, selaintiedot, matkapuhelinverkon, yhteystiedot (mukaan lukien puhelinnumeron, matkapuhelinoperaattorin tai Internet- palveluntarjoajan), kielen ja aikavyöhykkeen, IP-osoitteen, laitetoiminnot tiedot ja tunnisteet (mukaan lukien samaan laitteeseen tai tiliin liittyvät Facebook-yritystuotteiden yksilölliset tunnisteet).”
18.1.2021 | 10
Lupaus palvelun laadusta
• ”Tarjoamme palveluitamme sellaisenaan ilman minkäänlaista nimenomaista tai epäsuoraa takuuta, mukaan lukien muun muassa takuu myyntikelpoisuudesta, sopivuudesta tiettyyn tarkoitukseen, omistusoikeudesta, loukkaamattomuudesta ja vapaus tietokoneviruksista tai muusta haitallisesta koodista.
• Emme takaa, että kaikki toimittamamme tiedot ovat paikkansapitäviä, täydellisiä tai hyödyllisiä, tai että palvelumme ovat toimintakykyisiä, virheettömiä tai turvallisia, tai että palvelumme toimii häiriöittä, viiveittä tai puutteitta.”
Facebook konserni tuottaa osan EU palveluistaan Irlannissa
• Neuvottelut käynnissä myös WhatsAppin osalta Irlannin tietosuojaviranomaisten kanssa.
• Tällä hetkellä voimassa lupaus ettei EU kansalaisten dataa käytetä hyväksi mainosten kohdentamisessa mutta muuta käyttöä ei ole rajattu.
• Sovellus kerää tiedot joka tapauksessa.
• Ei alle 16v käyttäjiä
Yhteenveto
• WhatsApp lataa kaikki puhelimeen tallennetut yhteystiedot palvelimelle.
• Se kerää käyttäjän keskusteluhistorian ja rakentaa sen pohjalta profiilin jonka avulla tiedetään kenen kanssa henkilö viestii. Mistä sijainnista viestit on lähetetty ja rahoittaa toimintansa tästä muodostuvan tiedon hyödyntämisellä ja myymisellä. Tietoa myydään myös kolmansille osapuolille.
• EU alueella tätä pyritään suojaamaan, mutta tilanne on avoin ja neuvotteluja käydään Irlannissa jossa Facebook pitää Euroopassa päämajaansa.
Käytön salliminen mutta käytön rajaaminen ohjeistamalla ei toimi !
• Hyvänä esimerkkinä käytön rajaamisen vaikeudesta on ruotsalaiselle poliisilaitokselle taannoin sattunut tilanne.
• Kyseisessä tapauksessa poliisit perustivat WhatsAppiin keskusteluryhmän, jota oli tarkoitus käyttää vain yleiseen keskusteluun, eikä missään nimessä arkaluonteisen tiedon jakamiseen. Keskusteluun kuitenkin kutsuttiin vahingossa myös täysin ulkopuolinen henkilö ja lisäksi alle tunnin päästä ryhmän perustamisesta siellä jaettiin jo mm. henkilötietoja sisältäviä kuvia poliisin järjestelmistä.
• Sovitut käyttötavat eivät siis useinkaan ole riittävä tae tietosuoja-asetusten mukaisesta toiminnasta.
Signal
• Säätiöomisteinen avoimen lähdekoodin pikaviestin.
• Taustalla Twitterin ja WhatsAppin entisiä perustajia
• Käyttöliittymä ja ominaisuudet hyvin lähellä WhatsAppin vastaavia.
• Tällä hetkellä turvallisin vaihtoehto.
• Ei kerää käyttäjätietoja eikä hyödynnä näitä kaupallisesti.
• Viestintä vahvasti salattu, viestejä ei tallenneta palvelimille.
• Suositeltu käytettäväksi EU komissiossa ja useissa eri Euroopan valtioissa viranomaisten pikaviestinnässä.
• Ollut vuoden käytössä mm. korkeakouluyhteisön turvaviestinnässä
• Käyttäjäpohja vielä selvästi pienempi kuin WhatAppilla mutta kasvaa tällä hetkellä voimakkaasti.
Teams Chat
• Sopimus suhde TUNI-Microsoft
• Tietojen säilytys ja käsittely sidottu ETA alueelle.
• Xxxxxxx ja käytön valvonta.
• Vahva tunnistus edellytys pääsyyn.
• Kankeampi käyttöliittymä ja lähinnä organisaation sisäiseen käyttöön
Slack
• Lisenssi hankittu tietohallinnolle.
• Tietojenkäsittelysopimus laadittu (Slackin versio).
• Pääsy TUNI:n valvonnassa.
• Sisäiseen käyttöön lähinnä tietohallinnon tekniselle henkilöstölle.
• Käytä vain lisensoitua Slack-versiota.
• Ilmaisversion käyttö työkäytössä ei ole sallittua.