Lakia valmisteltaessa arveltiin, että kymmenet elleivät sadat yritykset tarvitsivat lakia estämään tietovuotoja.Lakiin sisältyy ilmoitusvelvollisuus sekä ennakkoon että jälkikäteen (13 i §). Tietosuojavaltuutetulle ei ole tähän mennessä tullut yhtäkään ilmoitusta. Miksei?
Spekuloidaanpa hetken verran mahdollisia syitä. Voi olla, että ongelma ei olekaan niin laaja kuin on annettu ymmärtää, että tietoa ei vuodakaan kaikista yrityksistä kohisevana koskena. Voi olla, että jos tietoa vuotaakin vuolaana vuoksena, sen uoma ei ole firman sähköposti, vaan jokin aivan muu kanava - esimerkiksi "varmuuskopio"-CD tai työasioita sisältävä USB-muisti, jonka olemassaolosta ei kukaan edes tiedä ja joka "hukataan" jonnekin.
Tietysti voidaan kieltää CD-poltinten ja USB-muistien käyttö. Voi kuitenkin olla, että tiedot eivät siirry sähköisessä muodossa ollenkaan, vaan jonkun mukavan baarissa tavatun "kollegan" kanssa vain jutellaan työasioista. Ja kaverihan sanoi olevansa samassa firmassa eri kaupungin konttorissa, eikä sitä ollut mitään syytä epäillä, puljussahan on kymmeniä tuhansia ihmisiä töissä, nimesikin monta yhteistä tuttua...
Jos joku haluaa vuotaa tietoa, se on yleensä jotakin kautta mahdollista - harva organisaatio on niin tiivis ettei jostakin löytyisi rakoa. Mafiastakin löytyy ilmiantajansa. Tärkeää on huolehtia tiedon suojaamisesta alunperinkin niin, ettei arkaluontoista tietoa käsittele tarpeettoman moni, eikä sitä käsitellä huolimattomasti, ja että tietoa käsittelevät ymmärtävät tiedon luonteen ja oman vastuunsa. Ongelma on vastaava kuin talousrikoksissa: miten ehkäistään kavalluksia? Tietovuotoa voisikin kenties rikoksena pitää tietojenkäsittelyn vastineena rahamaailman kavallukselle - sillä erotuksella, että tieto ei häviä siirrettäessä.
Tietosuojavaltuutettu ihmetteli radiohaastattelussa, että onkohan tämän lain suhteen menty ehkä takapuoli edellä puuhun. Niin, onkohan?
Tekstit
Ei kommentteja:
Lähetä kommentti