Suomen ja maailman suosituin pikaviestipalvelu Whatsapp (DNA:n tutkimus) on yleinen sovellus myös työelämässä.
Sovellus on helppokäyttöinen: kuka tahansa voi perustaa ryhmän ja päättää, keitä siihen kuuluu. Kätevää perhepiirissä ja kavereiden kesken, mutta työkäytössä sovellus voi olla tietoturvariski.
Ryhmistä ei tiedetä ja niissä voi olla vääriä henkilöitä
Konsulttiyhtiö North Patrol selvitti viime keväänä digityökalujen käyttöä kyselyllä (tivi.fi), johon vastasi 111 organisaatiota. Noin puolet vastanneista oli suuria, yli 5 000 ihmistä työllistäviä organisaatioita. Kyselyyn vastanneista 37 prosenttia käyttää Whatsappia työkaluna.
Digitaalisiin työympäristöihin erikoistuneen teknologiakonsultti Perttu Tolvasen mielestä luku on suuri. Suosiota selittää muun muassa, että Whatsappiin on helppo luoda sellaisiakin ryhmiä, joihin kuuluu oman työpaikan ulkopuolisia henkilöitä.
Sovelluksen suurin ongelma Tolvasen mukaan on sen heikko hallittavuus. Ryhmien hallinta on käsityötä, jossa ryhmän ylläpitäjä päättää, keitä siihen kuuluu. Ongelma korostuu, mitä isommista ryhmistä on kyse.
– Vuosien varrella on ollut tapauksia, joissa tietoturva on pettänyt tai julkisuuteen on levinnyt arkaluonteisia tietoja. Yllättävän usein sylttytehdas löytyy Whatsapp-ryhmästä.
Ryhmässä voi olla jäseniä, joiden ei pitäisi olla siellä.
– On vahingossa lisätty väärä henkilö, joka ei ole poistanut itseään sieltä, kun on huomannut ryhmän kiinnostavaksi. Tai työpaikkaa vaihtanutta henkilöä ei ole muistettu poistaa ryhmästä.
Ongelmia liittyy myös tietojen tallentumiseen sekä siihen, mistä ryhmissä keskustellaan.
– Organisaation näkökulmasta Whatsapp on katastrofi, sillä kaikki tiedot tallentuvat jokaisen ryhmän jäsenen puhelimeen. Tiedot säilyvät laitteessa ja pilveen tallentuvassa varmuuskopiossa, vaikka henkilö poistettaisiin ryhmästä.
Tolvasen mukaan työnantaja voi ohjeistaa, että Whatsappissa saa keskustella esimerkiksi vain työvuoroista.
– Käytännössä kukaan ei tiedä, mitä ryhmiä ihmisten puhelimissa on ja mistä niissä keskustellaan, Perttu Tolvanen toteaa.
Viranomaisten suhtautuminen riippuu tehtävästä
Julkishallinnon puolella on organisaatioita, joissa Whatsappin työkäyttö on kielletty tai sitä on rajoitettu. Tällainen on esimerkiksi valtion tieto- ja viestintätekniikkakeskus Valtori.
– Whatsapp ei ole Valtorin työasioiden käsittelyyn hyväksyttyjen sovellusten listalla, turvallisuusjohtaja Hannu Naumanen kertoo.
Valtorin asiakkaita ovat valtionhallinnon virastot ja laitokset. Niiden suhtautuminen Whatsappiin riippuu viranomaisen tehtävästä. Esimerkiksi poliisin virallisissa työpuhelimissa turvallisuustasoa on nostettu eikä sovellusta saa asentaa niihin.
– Whatsapp on yksi niistä sovelluksista, joita ei voi käyttää salassa pidettävän tiedon käsittelyyn. Syinä tähän rajoitukseen voi olla sovelluksen käyttäjästä riippumaton kommunikointi taustalla tai epävarmuus siitä, miten sovelluksessa käsiteltävä tieto on turvattu tai säilyttäminen hoidettu, kertoo tietohallintopäällikkö Janne Suuriniemi Poliisihallituksesta.
Poikkeustilanteissa poliisikin käyttää Whatsappia.
– Sosiaalisen median kanavia voidaan tarvittaessa hyödyntää, esimerkiksi jos haluamme saada materiaalia, kuten kuvia tai videota kansalaisilta erityistilanteessa. Silloin emme käytä virallisia työpuhelimia vaan erillisiä, kyseiseen toimintaan sitä varten varattuja puhelimia, Suuriniemi tähdentää.
Tulli sallii sovelluksen käyttäjän omalla vastuulla.
– Sovelluksen käyttö ei saa haitata työtehtävien hoitamista, mutta se saa mielellään auttaa siinä. Sovelluksessa ei ohjeistuksemme mukaan saa käsitellä luottamuksellista tai salassa pidettävää tietoa, sanoo Tullin tietohallintojohtaja Anu Autio.
Mikkeli kielsi Whatsappin työkäytön
Mikkelin kaupunki on tietoturvasyistä päättänyt luopua Whatsappin työkäytöstä. Kaupungin johtoryhmän keväällä tekemä päätös vaikuttaa esimerkiksi koulujen arkeen.
– Kouluissa on ollut paljon Whatsapp-ryhmiä, se on ollut helppo ja kätevä yhteydenpitoväline. Esimerkiksi keväällä koronan vuoksi opettajat perustivat ryhmiä, kertoo Mikkelin kaupungin sivistysjohtaja Virpi Siekkinen.
Mikkelissä on lähes 6 000 peruskoulun ja lukion oppilasta. Opettajia ja koulunkäyntiavustajia on kuutisen sataa. Käytössä olleiden Whatsapp-ryhmien määrää on vaikea arvioida.
Koulutuksen järjestäjä päättää, mitä sovelluksia opetuksessa ja viestinnässä käytetään. Puhelinnumeroon, omaan laitteeseen ja huoltajan tai yli 15-vuotiaan suostumukseen perustuva Whatsapp ei voi olla ainoa vaihtoehto.
– Käyttötarkoituksen mukaan on huolehdittava, että tietosuojan ja -turvan taso riittävä. On hyvä, että paikallisesti harkitaan, mitä sovelluksia käytetään, lakimies Laura Francke Opetushallituksesta toteaa.
Mikkelissä Whatsappin tilalle on tarjolla Microsoftin vastaava sovellus Kaizala, johon kirjaudutaan sekä puhelinnumerolla että organisaation tunnuksilla. Kaupungin linjaukseen on jätetty mahdollisuus sovelluksen perusteltuun käyttöön.
– Jos työntekijä tarvitsee Whatsappia yhteydenpitoon kaupungin ulkopuolisten henkilöiden kanssa, on kiinnitettävä erityistä huomiota viestien tietosisältöön. On noudatettava tietosuoja-asetuksia ja esimerkiksi henkilötietojen käsitteleminen on kiellettyä, kertoo Mikkelin kaupungin tietohallintopäällikkö Kimmo Kokko.
Kunnissa kaivataan tietoa sovellusten tietoturvasta
Yle kysyi kuntien suhtautumista Whatsappiin. Tietoturva-asiantuntijoiden vastausten perusteella kunnissa tiedostetaan sovelluksen riskit mutta käytännöt vaihtelevat. Kyselyyn vastattiin nimettömästi.
"Minkä voit laittaa ilmoitustaululle, voi laittaa Whatsappiinkin."
Vastausten perusteella sovellusta käytetään erityisesti nuorisotyössä, varhaiskasvatuksessa sekä kouluissa. Osa kunnista sallii harkitun käytön, mutta on kieltänyt sen esimerkiksi sosiaali- ja terveydenhuollon asiakastyötä tekevien puhelimissa.
Joissakin kunnissa on linjattu sosiaalisen median palveluiden käyttämisestä asiakastyössä siten, että kunnan työntekijät eivät perusta esimerkiksi Whatsapp- tai Messenger-ryhmiä.
"Koska kunnassa ei haluta vastata rekistereistä sosiaalisen median palveluissa, emme toimi rekistereiden omistajana. Esimerkiksi vanhempien Whatsapp-ryhmässä rekisterin omistaja on vanhemmat, ei kunta. Kunnan työntekijä voi osallistua keskusteluun, mutta ei voi toimia ryhmässä ylläpitäjän roolissa."
Erilaisten sovellusten tietoturvasta kaivataan vastausten perusteella enemmän tietoa.
"Minulle tulee vähän väliä kysymyksiä jonkin sovelluksen turvallisuudesta. Jos en edes tiedä kyseistä ohjelmaa, olen näissä sitten enemmän tai vähemmän Googlen, median ja Kyberturvallisuuskeskuksen viestien armoilla."
Sama vastaaja tuskailee myös sitä, että sovellus voi sinänsä olla tietoturvallinen, mutta ei täytä EU:n tietosuoja-asetuksen GPDR:n vaatimuksia.
EU:n henkilötietojen siirtoa koskeva linja kiristymässä
Whatsappin kaltaisten amerikkalaisomisteisten pilvipalveluiden ajattelematon käyttö on tunnistettu tietosuojariski. Vakavampi, mutta vaikeammin hahmottuva riski liittyy sopimuksiin, joita käyttäjä tekee palveluntarjoajan kanssa.
EU:ssa on jo vuosia jatkunut oikeudellinen vääntö henkilötietojen siirtämisestä unionin ulkopuolelle, käytännössä Yhdysvaltoihin. EU:n tietosuoja on Yhdysvaltoja tiukempi pari vuotta sitten voimaan astuneen GDPR:n myötä ja tarve yhtenäistää tietoturvakäytänteitä on ilmeinen.
Käytännössä näin ei ole tapahtunut.
Asia on jälleen ajankohtainen, sillä EU-tuomioistuimen kesällä tekemän ratkaisun (EU-tuomioistuimen tuomio 16.7.2020) myötä henkilötietojen siirtoa EU:n ja Yhdysvaltojen välillä säädellyt Privacy Shield -järjestely todettiin pätemättömäksi.
Päätöksen seurauksena monien pilvipalvelujen käyttö henkilötietojen käsittelyyn EU:ssa tuli laittomaksi.
Vyyhti kietoutuu erityisesti Whatsappin omistavan Facebookin ympärille.
Irlannin tietosuojaviranomainen on päätöksen myötä antanut Facebookille (techcrunch.com) alustavan määräyksen lopettaa henkilötietojen siirtäminen EU:sta Yhdysvaltoihin. Facebookin Euroopan päämaja sijaitsee Irlannissa.
EU-tuomioistuimen päätöksessä otettiin kantaa myös niin sanottujen mallisopimuslausekkeiden käyttämiseen henkilötietojen siirrossa. Keskeinen kysymys on, että saako Facebook siirtää tietoja (tivi.fi) EU:n ulkopuolelle mallisopimuslausekkeiden perusteella.
– Jos Facebookin toimintatapa todetaan laittomaksi, se koskee todennäköisesti muitakin amerikkalaisjättejä kuten Google ja Microsoft, arvioi sosiaalisen median asiantuntija ja kouluttaja Harto Pönkä.
Amerikkalaisyritysten palveluja käyttävien suomalaisorganisaatioiden kannattaa Pongän mukaan tarkistaa, mitä henkilötietoja palveluihin tallentuu, ja onko niiden käytölle kysytty suostumus käyttäjiltä tai alaikäisten huoltajilta.
Pöngän mukaan ei riitä, että rekisteröidyiltä käyttäjiltä pyydetään suostumus henkilötietoja Yhdysvaltoihin siirtävän pilvipalvelun käytölle. Suostumus tarvitaan myös varsinaiselle henkilötietojen siirrolle.
– Vasta suostumus henkilötietojen siirrolle Yhdysvaltoihin varmistaa, että kyseisen pilvipalvelujen käyttö on varmasti GDPR:n mukaista.
Ei pidä tuudittautua uskomaan, että käyttämällä esimerkiksi Microsoftin Kaizalaa Whatsappin sijasta, riskit olisivat pois päiväjärjestyksestä, Pönkä muistuttaa.
Organisaatioiden näkökulmasta helpoin tapa ratkaista asia on käyttää sellaisia palveluntarjoajia, jotka eivät siirrä tietoa EU:n ulkopuolelle, sanoo Pönkä.
– Silloin voi olla turvassa. Amerikkalaisyritysten kanssa riski on aina olemassa. Rekisterinpitäjän vastuu säilyy, vaikka Facebook, Microsoft tai Google siirtäisivät henkilötietoja laittomasti EU:n ulkopuolelle.