Tälle sivulle on koottu erityisesti kunnille tärkeitä näkökulmia paikkatietojen turvallisuuteen ja tietosuojaan liittyen.
Paikkatiedoista vastuu on tiedon omistajalla. Julkishallinnolla on paljon paikkatietoja, joista osa on julkista ja osa avoimesti saatavilla. Julkisuuslain mukaan viranomaisten on jaettava tietoa toiminnastaan kansalaisten saataville. Kaikki julkinen tieto ei kuitenkaan ole avointa tai avoimesti saatavilla.
Paikkatietoihin kohdistuu uudentyyppisiä tietoturvallisuus- ja tietosuojavaatimuksia, joita usein yritetään ratkoa käytännössä tietoturvallisuuden keinoilla. Nämä keinot voivat olla etukäteen tehtäviä, havaitsevia ja/tai korjaavia.
Kyvykkäiden toimijoiden, kuten kuntien, on sovellettava näitä kaikkia. Pääpaino kannattaa pitää etukäteen tehtävässä suunnittelussa ja varautumisessa, koska se on edullisinta, tehokkainta ja usein ainoa mahdollisuus turvata kaiken tiedon joukosta suojattaviksi valitut tiedot.
Paikkatietojen suojaaminen turvaa yhteiskuntaa
Paikkatiedoilla on merkitystä turvallisuudelle sekä mahdollistajana että uhkien lisääjänä. Siksi riskianalyysien tekeminen ja tietojen julkaisun harkinta riskien mukaisesti kuuluu välttämättömänä osana paikkatietojen julkaisuun. Paikkatiedot ovat suuri tietomäärä yhteenlaskettuna datan määränä, ja jo siksi ne ovat suojattava kohde yhteiskunnan kokonaisturvallisuuden näkökulmasta.
Lisäksi jokainen toimija, joka kerää, hallinnoi tai käsittelee paikkatietoja, joutuu suojaamaan tietonsa asiattomalta käytöltä. Tavoitteena on, että tieto/tiedot ovat oikeutettujen käyttäjien käytettävissä, joiden täytyy tiedot saada (ns. need-to-know -periaate). Lisäksi tietojen on oltava saatavilla sovitusta paikasta silloin, kun niitä tarvitaan (ns. need-to-go).
Paikkatietoja koskevat samat tietoturvaperiaatteet kuin mitä muuta tahansa tietoa: tietoja suojataan käymällä etukäteen läpi eheyden, luottamuksellisuuden ja käytettävyyden sekä saatavuuden vaatimukset.
Paikkatiedoissa on myös tietosuojariski
Paikkatietoihin liittyy myös tietosuojanäkökulmia, joista joitakin voi olla vielä monimutkaista tunnistaa. Tällaisia tilanteita voivat olla muun muassa tietojen yhdistäminen suoran tai epäsuoran sijainnin tai esimerkiksi paikkatiedon yksikäsitteisen tunnisteen avulla ja erilaisten arkaluonteisten tietojen julkaiseminen. Myös henkilö voidaan tunnistaa epäsuorasti, ja mikäli eri lähteistä koottua tietoa kootaan luonnollisesta henkilöstä, voi aiheutua tietosuojaloukkauksia.
Paikkatietojen reaaliaikaisuus ja niiden saatavuus mahdollistavat sen, että erilaiset palvelut, joilla turvataan yhteiskuntaa, toimivat moitteettomasti. Toisaalta liiallinen avoimuus voi lisätä riskiä väärinkäytöksille, jos tietoja yhdistellään ja käytetään turvallisuutta vaarantaen.
Vinkkejä kunnille
Muista nämä kuntien paikkatietotyössä ja etsi vastauksia kysymyksiin:
1. Tunnetko kunnan tärkeät kohteet?
Mitkä paikkatiedot ovat kriittistä infrastruktuuria, joiden metatietojen ja itse tietoaineiston avointa julkaisua on hyvä tarkastella ennen julkaisua? Yksittäisen kohteen poistoa ei yleensä suositella, jos se näkyy esimerkiksi ilmakuvilla, mutta esimerkiksi ominaisuustiedon yleistyksellä voidaan suojata kriittistä infrastruktuuritietoa.
- Pyydä perehdytystä esimieheltäsi tai kunnan tietosuoja/turvallisuusvastaavalta.
2. Harkitse ennen kuin julkaiset avoimesti
Tarkista, ettei sisältö sisällä kansalaisen/yksityishenkilön (arkaluonteisia) henkilötietoja, turvakieltohenkilön tietoja, kokonaisturvallisuutta tai kansallista turvallisuutta vaarantavia tietoja. Erityisesti kiinnitä huomiota siihen, mitä ominaisuustietoja julkaiset kriittisen infrastruktuurin kohteista.
- Tee riskianalyysi. Tieto voi yksittäisenä tietona olla kokonaisturvallisuuden kannalta vaaratonta, mutta osana laajaa kokonaisuutta muodostaa riskin yhteiskunnan toiminnan suojaamiselle.
- Sisältävätkö kunnan henkilötietojen käsittelyohjeet henkilön epäsuoran ja välillisen tunnistamisen?
3. Onko kaiken paikkatietodatan oltava saatavilla?
Onnistuuko osan kunnan datan jakaminen vain hallinnon sisällä? Jos julkisesti on saatavilla esim. kaavatietoja suunnitelluista ja toteutuneista hankkeista, voi asiaton analysoida toteuman, jolloin voi syntyä turvallisuusriskejä. Jos kunnalla on erityissuojattavia kohteita, tietojen julkaisemisesta voi sopia Puolustusvoimien aluetoimiston kanssa.
4. Onko tekniikka kunnossa?
Milloin GIS-palvelimet on viimeksi päivitetty? Onko turvaohjelmistot hankittu kunnan työasemille ja palvelimille? Osaako joku analysoida, jos haittaohjelmatutkat hälyttävät? Kunnalla on oltava henkilöstön teknisiä valmiuksia, seurantaa ja kyky pyytää apua äkkitilanteissa Kyberturvallisuuskeskukselta.
- Seurataanko verkkopalveluiden käyttöä ja siirretäänkö tietoa turvallisesti?
- Tiedetäänkö, ketkä lataavat aineistoa palvelimilta ja mihin tarkoituksiin aineistoa käytetään?
5. Mistä pyydät neuvoa?
Ilmoittaako kunnan henkilöstö, jos he huomaavat jotain outoa julkaistuissa paikkatiedoissa ja kenelle he ilmoittavat? Miten tietosuojakoulutus on kunnassa hoidettu ja ottaako kunnan tietosuojavastaava kantaa paikkatietojen turvallisuuteen? Onko kunnalla prosessi, jos herää epäily/havainto henkilötiedon tietoturvaloukkauksesta?
Kysy meiltä paikkatietojen turvallisuudesta
Voit lähettää viestisi osoitteeseen paikkatietoturvallisuus(a)maanmittauslaitos.fi. Vastaamme kysymyksiin muutaman päivän kuluessa (pois lukien loma-ajat).
Lue lisää
Voit tutustua esimerkiksi:
-
Tietosuojavaltuutetun verkkosivuihin, josta löydät tietoa organisaatioiden tietosuojan vahvistamiseen
-
Miten tietosuojalainsäädäntö vaikuttaa paikkatietojen julkaisemiseen ja luovuttamiseen, Päivi Korpisaari, ympäristöministeriön raportti, 10/2018
-
Omaa tietosuoja-osaamistasi voit vahvistaa julkishallinnon työntekijöille suunnatun Tietosuojan ABC -koulutuksen avulla
-
Myös arjentietosuoja.fi-sivustolta löydät koulutusmateriaalia tietosuojaan ja tietoturvaan liittyen
-
Kyberturvallisuuskeskus kehittää ja valvoo viestintäverkkojen ja -palveluiden toimintavarmuutta ja turvallisuutta. Sivuilta löydät neuvoja ja ajankohtaisia katsauksia.
-
Tiedonhallintalaki sisältää tietoturvallisuuden teemoja. Tutustu tiedonhallintalain täytäntöönpanoon mm. katsomalla webinaareja valtiovarainministeriön verkkosivuilta.