Hallitse myös tietotekniikkajätteen tietoturvaa

Tietoturva Nyt!

Tietoteknisten laitteiden kierrättäminen ja uudelleenkäyttö unohtuvat monesti organisaatioiden tiedonhallinnassa. Käytön lopettaminen on kuitenkin tärkeä vaihe laitteiden ja tiedon elinkaaressa, sillä hallinnan pettäminen laitteiden elinkaaren lopussa voi mitätöidä aikaisemmat tietoturvan ja tietosuojan eteen tehdyt ponnistelut. Jätelaki edellyttää, että myös tietotekninen jäte käytetään mahdollisimman pitkälti uudelleen ja että jätteiden tuottaja on siitä vastuussa. Huolimattomasti tehtynä uudelleenkäyttö voi kasvattaa tietovuodon riskiä. Tietoturvallisuuden, tietosuojan ja laitteiden uudelleenkäytön ja kierrätyksen vaatimukset ovat kuitenkin sovitettavissa yhteen, kuten Kanta-Hämeen sairaanhoitopiirin esimerkki osoittaa.

Yllättävän monissa laitteissa on tietosäilöjä, joissa olevia tietoja on hallittava turvallisesti. Tietokoneiden, kännyköiden ja muistitikkujen lisäksi niitä on esimerkiksi monissa tulostimissa ja lääkinnällisissä laitteissa. Osa haastetta on tunnistaa kaikki laitteet, joihin on tallentunut suojattavia tietoja. Tietoja tulee käsitellä huolellisesti myös siinä vaiheessa, kun tietoteknisiä laitteita poistetaan käytöstä.

Säädösten raamit

Tietojen turvallista käsittelyä edellyttää paitsi organisaation oma etu (liikesalaisuuksien suojaaminen, oman toiminnan häiriötön jatkuminen, maineriskit tietovuodoista), myös monet säädökset. EU:n yleinen tietosuoja-asetus (EU 2016/679, "GDPR") koskee kaikkia henkilötietoja käsitteleviä organisaatioita. Julkisen hallinnon on lisäksi noudatettava tiedonhallintalakia (906/2019) ja viranomaisen julkisuuslakia (621/1999). Monilla aloilla on myös tietojen suojaamista käsittelevää erityissääntelyä.

Jätelaki (646/2011) puolestaan vaatii kaikilta erilliskerätyn elektroniikan uudelleenkäyttöä tai materiaalien kierrättämistä. Tietosuojavaltuutetun toimisto on lausunossaan Dnro 2236/182/2019 todennut, että "tilanteessa, jossa yritys on käytöstään poistanut laitteen, joka on vielä sisältänyt henkilötietoja, on yritys tästä henkilötietojen tarpeettomasta luovuttamisesta vastuussa". Kuinka voidaan varmistua siitä, että laitteella olevat suojattavat tiedot eivät paljastu, kun laite annetaan käsiteltäväksi jätteenä?

Hyvin määritelty prosessi toiminnan ytimessä

Kanta-Hämeen sairaanhoitopiiri hallitsee vaatimusten ristivetoa hyvin määritellyllä prosessilla. Prosessi on kuvattu alla olevassa kaaviossa. Sairaanhoitopiirin tietoturvapäällikkö Vesa Järvinen ja tietosuojavastaava Katja Rajala kertovat prosessin tavoitteista: "Rekisterinpitäjänä noudatamme tietosuoja-asetusta ja tietosuojalakia. Salassa pidettäviä tietoja ei paljastu ulkopuolisille, koska prosessissamme laitteet tyhjennetään henkilötiedoista ennen niiden siirtämistä sairaalan ulkopuolelle. Näin pystymme ilman huolia antamaan laitteet myös uudelleenkäyttöön sairaalan ulkopuolelle."

Kanta-Hämeen sairaanhoitopiirin käyttämä prosessi käytöstä poistuvien tietotekniikkaa sisältävien laitteiden ja tallennusvälineiden tietosisällön järjestelmälliseksi tyhjentämiseksi.
Kanta-Hämeen sairaanhoitopiirin prosessi huomioi sekä käytöstä poistettujen että uudelleen käytettäviksi palautettujen tietoteknisten laitteiden tietoturvallisen tyhjennyksen.

Sairaanhoitopiiri käyttää erilliskerätyn elektroniikkajätteen käsittelyssä Green Disposal Oy:n palveluita. "Tietoturvan täytyy olla eheä kuin kylmäketju; se ei saa katketa missään vaiheessa", kuvailee Green Disposalin Arvi Arohonka elektroniikkajätteen käsittelyn periaatteita. "Käytöstä poistettavien laitteiden sisältämät tiedot tulee tuhota kryptografisesti vahvoilla tavoilla niin, että tietoja ei voi laitteilta enää selvittää ja että laitteiden uudelleenkäyttö on mahdollista."

EU:n yleisen tietosuoja-asetuksen näkökulmasta henkilötietojen rekisterinpitäjä vastaa tietojen asianmukaisesta käytöstä ja luovuttamisesta kunnes tiedot on hallitusti tuhottu. Rekisterinpitäjä voi sopia, että sen palveluntuottaja tuhoaaa tiedot, mutta turvallisen käsittelyn osoitusvelvollisuus pysyy rekisterinpitäjällä. Osoitusvelvollisuuden hoitamisessa auttaa, jos tietojen tuhoaminen dokumentoidaan järjestelmällisesti.

Jätelain kannalta tilaajan tulee varmistaa, että jätteenkäsittelypalvelun toimittaja noudattaa voimassa olevaa jätelakia (646/2011) ja asetusta (519/2014) erilliskerätyn elektroniikan osalta. Jätelakia noudattaen toimittaja huolehtii kierrätyksen yhteiskuntavastuullisuudesta.

Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus hyväksyy salaustuotteita myös tietojen ylikirjoittamista varten. Kyberturvallisuuskeskus tekee salaustuotehyväksynnät turvallisuusluokiteltujen tietojen käsittelyä varten. Kyberturvallisuuskeskus on myös julkaissut ohjeen kiintolevyjen ylikirjoittamisesta. Hyväksytyille salaustuotteille ja niiden hyväksytyille käyttötavoille asetetut vaatimukset voivat olla tarpeettoman kovia muiden arkaluontoisten ja salassapidettävien tietojen käsittelyn kannalta, mutta niitä saa noudattaa oman harkinnan mukaan muutenkin.

Hyvät kyberturvallisuuden käytännöt osana hankintoja

Tietoteknisten tuotteiden ja palveluiden hankintavaiheessa tehdyt päätökset ja linjaukset vaikuttavat vahvasti siihen, miten kyberturvallisuus voidaan varmistaa tuotteiden koko elinkaaren ajan. Huoltovarmuuskeskuksen rahoittamassa Kyber-Terveys-hankkeessa on koottu ja kehitetty sote-alan tarpeisiin sovitettuja hankinnoille asetettavia vaatimuksia. Niitä voidaan kuitenkin soveltaa muillakin aloilla. Vaatimuslista on julkaistu Kyberturvallisuuskeskuksen ohjeena Sosiaali- ja terveydenhuollon hankintojen tietoturva- ja tietosuojavaatimukset .