Digitalisaatio järjestöissä

10.6.2019 10:16

Verkkosivun ylläpitäjä, tunnetko vastuusi käyttäjien yksityisyydestä?

Edellisessä blogitekstissä käsittelimme datan keräämiseen liittyviä riskejä ja evästeiden toimintaa lähinnä käyttäjien näkökulmasta. Tässä kirjoituksessa pureudutaan enemmän siihen, mitä verkkosivun ylläpitäjän tulisi huomioida turvatakseen käyttäjien yksityisyyttä. Järjestelmien tietokantoja suojataan esimerkiksi salasanoilla, palomuureilla ja rajaamalla käyttöoikeuksia. Pieneltäkin tuntuva työntekijän virhe saattaa kuitenkin helposti aiheuttaa sen, että käyttäjien tietoja vuotaa vääriin käsiin.

Verkkosivun ylläpitäjän on syytä olla tarkkana kolmannen osapuolen palveluiden kanssa

Somejakopainikkeet, videoupotukset ja analytiikkatyökalut ovat käteviä ja niitä on helppo lisätä verkkosivuille. Somejakopainikkeiden avulla artikkeleiden jakaminen eri somekanaviin helpottuu. Verkkosivu toimii nopeammin kun videot on ladattu vaikkapa Youtubeen ja lisätty sivulle upotuksina. Suurin osa verkkosivujen ylläpitäjistä haluaa seurata sivuston liikennettä analytiikkatyökalun avulla.

Tällaiset kolmannen osapuolen tarjoamat palvelut saattavat kuitenkin kerätä melko yksityiskohtaistakin käyttäjädataa hieman salakavalasti. Jos käyttäjä on itse kirjautuneena esimerkiksi Twitteriin samalla selaimella ja päätyy verkkosivulle, johon on lisätty Twitterin koodi somejakonapin yhteyteen, Twitter pystyy yhdistämään tiedot tällä sivulla liikkumisesta juuri tähän kyseiseen käyttäjään.

Verkkosivujen ylläpitäjän vastuulla on lukea jokaisen sivuillaan hyödyntämänsä palvelun käyttöehdot huolellisesti ennen niiden hyväksymistä. Lisäksi ylläpitäjän tulee kertoa käyttäjille esimerkiksi tietosuojaselosteessa, mitä kolmannen osapuolen mahdollisesti henkilötietoa käsitteleviä palveluita sivuille on lisätty ja millaista tietoa nämä palvelut ilmoittavat käyttäjistä keräävänsä.

Suurin haaste on selvittää, mitä tietoja datankeräystagit keräävät. Sitä ei voi varmuudella tietää kukaan muu kuin datankerääjä itse. Helpoiten datan keräämistä voi rajoittaa käyttämällä enemmän harkintaa lisäpalveluiden hankinnassa ja yhteistyökumppaneiden valinnassa. Kannattaa myös miettiä, kuinka monen eri yrityksen tuottamia upotuksia tai painikkeita haluaa sivuilleen lisätä. 

Helppolukuiset käyttöehdot ehkäisevät väärinymmärryksiä

Ajankäytön puolesta kaikkien palveluiden käyttöehtojen lukeminen on palveluiden käyttäjille käytännössä mahdotonta. Käyttöehdot ovat usein pitkiä ja tylsiä lukea lakitermeineen. On kaikkien kannalta ikävä tilanne, jos käyttäjä ei lue käyttöehtoja huolellisesti ja toteaa myöhemmin palvelun toiminnassa jotain huomautettavaa.

Vaikka aihetta olisi sivuttu käyttöehdoissa, epäselvät ilmaisut ja vaikeaselkoinen teksti saattavat vaikeuttaa asian sisäistämistä ja käyttäjä voi tällöin kokea tulleensa huijatuksi.Verkkosivujen ylläpitäjien tulisikin kiinnittää erityisen paljon huomiota käyttöehtojen selkeyteen. Helppolukuiset ja ymmärrettävät käyttöehdot lisäävät palveluiden luotettavuutta käyttäjien näkökulmasta.

Maksatko palvelusta mieluumin rahalla vai käyttäjien datalla?

Ilmaisia palveluita ei käytännössä ole. Useimmiten ilmaispalvelut rahoittavat toimintansa mainostuloilla ja käyttäjien dataa keräämällä. Joskus palvelun tarkoitus voi olla ihan muu kuin mitä se antaa ymmärtää, esimerkiksi rekisterin luominen. Kaikki verkkosivujen ylläpitäjät eivät välttämättä edes ymmärrä käyttäjätietojensa olevan arvokkaita datan lähteitä yhteistyökumppaneilleen.

On hyvä tehdä hieman taustatyötä ja miettiä, millaista haittaa mahdollisesti dataa keräävistä tahoista voisi olla oman verkkosivun kohderyhmälle. Mikäli esimerkiksi tietomurron sattuessa sivuston käyttäjistä on saatavilla arkaluontoista tietoa, voisi tietoturvan kannalta ja eettisistä syistä olla viisasta hankkia ilmaispalvelun sijasta jokin maksullinen palvelu, joka ei rahoita toimintaansa keräämällä dataa tai mainostuloja.

Datankeräystagit - huomaamattomasti asentuvat pirulaiset

Dataa keräävä taho voi ostaa esimerkiksi joltain mainosverkostolta kampanjan, jolloin se saa lähetettyä haluamalleen sivustolle mainoksen. Mainokseen on tällaisessa tapauksessa lisätty koodin pätkä, joka kerää sivuston kävijöiden käyttäytymisdataa ja lähettää sen takaisin koodin omistavalle taholle.

Tietokoneissa esiintyvät haittaohjelmat toimivat osittain samalla tavoin. Myös ne asentuvat käyttäjän tietämättä tämän järjestelmään ja keräävät dataa lähettääkseen sen edelleen johonkin toiseen palveluun. Sama kolmas osapuoli voi olla eri sivustojen taustalla. Tällöin se voi yhdistää yhden käyttäjän eri sivuille jättämiä tietoja ja piirtää yllättävän tarkkoja käyttäjäprofiileja ihmisistä.

Datankeräystagien toiminta voidaan periaatteessa havaita ja estää.Tunnetuimmat tagit voidaan paljastaa esimerkiksi selaimeen asennettavan Ghostery-nimisen lisäosan avulla. Julkaisijoilla on usein tukenaan myös mainonnanhallintajärjestelmä, jonka teknologian avulla voidaan pyrkiä estämään tietojen kerääminen.

Mitä asioita verkkosivun ylläpitäjän kannattaa tarkistaa käytettävien lisäpalveluiden toiminnasta?

  • Kun liität sivustollesi kolmannen osapuolen tarjoamia palveluita, lue käyttöohjeet tarkasti. Hyväksyt ne myös kaikkien loppukäyttäjien puolesta!
  • Jokaisen yrityksen tietosuojakäytännöt ovat julkisesti luettavissa ja löytyvät usein verkkosivujen alatunnisteesta. Voit myös etsiä niitä hakusanoilla "rekisteriseloste", "tietosuoja" tai "käyttöehdot".
  • Muista harkita hetki aina kun käytössä olevan palvelun käyttöehtoihin tulee muutoksia. Jos jatkat palvelun käyttöä entiseen malliin, hyväksyt muutokset.
  • Huolehdi, että kerrot tarkasti oman verkkopalvelusi tietosuojaselosteessa, mihin käyttäjien tietoja luovutetaan, mitä kolmannen osapuolen palveluita sivuilla käytetään ja millaista dataa nämä palvelut keräävät.

Datan keräämisestä voi olla myös hyötyä käyttäjälle

Datan keräämisessä ei ole oikeastaan muuta huonoa kuin se, että sitä voidaan tehdä käyttäjän tietämättä ja myös arkaluontoista tietoa voi joutua vääriin käsiin. Käyttäjän kannalta tietojen keräämisen selkein hyöty on verkkopalveluiden käytön helpottuminen.

Evästeiden käyttö ja tietojen kerääminen mahdollistavat sen, ettei verkkokaupan ostoskorin sisältö katoa nettiyhteyden pätkiessä, käyttäjät näkevät verkossa vain kohdennettua sisältöä ja eri järjestelmät voivat muistaa käyttäjätunnukset ja salasanat.

Verkkopalveluiden käyttö helpottuu ja nopeutuu evästeiden käytön ja olennaisen datan keräämisen myötä. Tärkeintä on tiedostaa, että dataa voidaan kerätä hyvin huomaamattomasti ja ilman käyttäjän suostumusta. On verkkosivun ylläpitäjän vastuulla pohtia, miten vakavasti asiaan tulee suhtautua oman verkkosivuston käyttäjäryhmän yksityisyyden turvaamiseksi.