lauantai 5. toukokuuta 2018

GDPR sulkee eurooppalaisia palvelujen ulkopuolelle

Tietosuoja-asetus GDPR sulkee EU-kansalaisia amerikkalaisten palvelujen ulkopuolelle. Tällainen kehitys oli arvattavissa jo pari vuotta sitten, kun GDPR hyväksyttiin. Varoitin tästä mahdollisuudesta jo 2015 Keskisuomalainen-lehden haastattelussa.

Nyt, kun asetuksen voimaantuloon on alle kuukausi, alkaa tapahtua.

Esimerkiksi amerikkalainen juorulehti National Enquirer ei enää päästä EU-maista tulevia surffaajia sivuilleen. Lopputuloksena on selaimen arvoituksellinen virheilmoitus:

"Sinulla ei ole oikeutta tarkastella tätä sivua - HTTP error 403"
Ehkä käytössä on InnoWire GDPR Shield.io -estopalvelu (saksalainen, muuten!):

"Don't spend thousands on legal fees to make your site GDPR-compliant"
Eipä EU-alueen käyttäjien estäminen muutenkaan vaikeaa ole. IP-osoite riittää. Siksi on luultavaa, että estoja tulee vielä paljon lisää.

Esto vaikuttaa myös verkkokauppoihin ja muihin palveluihin. Esimerkiksi ohjelmointikoulutusta verkossa tarjoava Brent Ozar Unlimited lopetti jo joulukuussa myynnin EU-maihin. Hän perustelee päätöstä havainnollisesti sivullaan GDPR: Why we stopped selling stuff to Europe.

Tämä on huolestuttavaa kehitystä. Amerikkalaiset palvelut eivät halua nähdä vaivaa ja maksaa niitä kustannuksia, mitä EU-yritysten on pakko kestää. Jos EU-asiakkaita on vain vähän (Ozar mainitsee tuloiksi EU-alueelta 5 %), on halvempaa katkaista palvelut heiltä kokonaan. Jokainen lehti, joka pitää lokia käytöstä tai mahdollistaa lukijaksi rekisteröitymisen, joutuisi noudattamaan GDPR:ää. National Enquirerin kohdalla riskiä lisää sekin, että lehti on erikoistunut juoruihin, jotka itsessään ovat henkilötietoja. Kukaan ei halua ottaa juridista riskiä GDPR-sanktioista. Ja saattaa siinä olla vähän piikkiä EU:n suuntaan -- meitähän ette määräile. GDPR:ssä kun on hieman protektionistista henkeä.

Kansalaisen näkökulmasta GDPR on hyvä asia. Sääntely aiheuttaa kuitenkin yrityksille merkittäviä kustannuksia. EU kehuu, miten GDPR on sen omille yrityksille kilpailuvaltti -- no, kohta nähdään onko. Jos uusien dataan perustuvien palveluiden kehittäminen käy EU-alueella liian hankalaksi ja juridiset riskit kasvavat liikaa, startupit perustetaan jatkossa USA:han.

Yksi kiinnostava ja nopeimmin kasvava teknologia-ala ovat lohkoketjut. Niiden idea on juuri datan pysyvässä tallentamisessa, mikä on henkilötietojen osalta ristiriidassa GDPR:n unohtamisoikeuden kanssa. Jos tulkinta pysyy tiukkana, EU-alueella ei voida käyttää tulevia lohkoketjusovelluksia. Ei kuulosta kilpailuedulta vaan pikemminkin omaan nilkkaan ampumiselta.

Yritysten lisäksi vaarassa ovat harrastajien nettifoorumit, jotka voivat olla eurooppalaisille käyttäjille hyvinkin tärkeitä. Myös harrastajien ja yhdistysten nettipalvelujen pitää noudattaa GDPR:ää, jos ne tarjoavat palvelua EU-alueelle. Isot yritykset, joille EU on tärkeä markkina, maksavat juristeille ja IT-konsulteille järjestelmien muokkaamisesta, mutta pienten ei kannata.

Jos olisit itse verkkokauppias, nettifoorumin ylläpitäjä tai pienyrittäjä, ja Yhdysvallat säätäisi tiukan lain, joka voi lätkäistä sinulle jopa 4 % sakon liikevaihdosta, ottaisitko juridisen riskin? Muuttaisitko tietojärjestelmää niin, että amerikkalaisten lakien vaatimat muutokset tehdään?

Tuskinpa. Olisi paljon helpompaa katkaista amerikkalaisilta pääsy ja jatkaa entiseen malliin. Nyt ne tekevät saman meille.

Me suomalaiset voimme kiertää EU-estoja VPN-palveluiden avulla. Tilanne on kuitenkin nurinkurinen: joudumme maksamaan siitä, että pääsemme palveluihin, joilta EU yrittää meitä suojata.

On tietysti hyvä, että GDPR pakottaa palvelut huolehtimaan tietosuojasta. Turvattomat palvelut joutavatkin tulla kielletyiksi. Mutta onko esim. National Esquirer tietoturvaton? Onko lokitiedon käsittely oikeasti uhka tietosuojalle? Onko oikeus tulla unohdetuksi niin tärkeä, että lohkoketjuja ei saa EU-alueella käyttää? Jokainen palvelu haluaa huolehtia tietoturvastaan, mutta GDPR:n juridiikka on riski ja osoitusvelvollisuua aiheuttaa kustannuksia silloinkin, kun kaikki on kunnossa.

EU:n hyvä tarkoitus uhkaa lisätä netin jakaumista saarekkeisiin eli ns. balkanisaatiota. Olemme jo säätäneet hakukoneille Oikeus tulla unohdetuksi -lain, joka velvoittaa amerikkalaista Googlea. Nyt on tulossa GDPR. Ja lisää sääntelyä on luvassa (GDPR is only the beginning). EU haluaa olla yksityisyyden edelläkävijä jatkossakin.

Venäjä velvoittaa säilyttämään kansalaistensa henkilötiedot maan rajojen sisällä. Kiinalla on monia rajoituksia ulkomaisille palveluille. Maat haluavat säädellä "omaa" nettiään ja velvoittaa ulkomaiset toimijat noudattamaan omia sääntöjään.

Tällainen kehitys on huolestuttavaa, eikä ainakaan käyttäjien etu.

Tekstiä muokattu 6.5.2018 ja lisätty siitä alkaen GDPR:n vuoksi EU-kansalaisilta loppuvia palveluita:
Vaihteeksi näinkin päin: USA Today poisti ainakin toistaiseksi EU-käyttäjien seurannan ("USA Today Network's European Union experience") ja pääsivun uutiset latautuvat nyt ennätysnopeasti. Linkit muuhun sisältöön eivät kuitenkaan toimi. (27.5.2018)

Lisäys 8.8.2018: pitkä lista (yli 1000 nimikettä!) GDPR:n estämistä lehdistä

29 kommenttia:

Anonyymi kirjoitti...

Veikkaan, että GDPR:n sisältöä ei täysin ymmärretä. Niin moni toimittaja on kirjoittanut siitä jutun ilman, että olisi vähääkään paneutunut asiaan. On herkullista ja helppoa maalailla kuinka KAIKKI käyttäjän tiedot on voitava poistaa tai näytettävä, mutta kuinka asia tarkalleen ottaen on?

Luulen, että hyvin harva edes tietää miten asiat lopulta tulkitaan (kuten tuossa P.J.:n esille ottaman firman kommentissakin sanotaan).

Todennäköisesti suomalaiset ovat uhranneet rahaa 10x enemmän kuviteltujen säädösten noudattamiseen kuin italialaiset.

Jari kirjoitti...

Kaikki rajoittaminen tuntuu aiheuttavan internetille pahoja ongelmia. Jopa se laki (oletan että sellainen laki tai direktiivi on olemassa), joka pakottaa nettisivut ilmoittamaan evästeiden käytöstä. Jos käyttäjä estää evästeiden tallentamisen itse, kyseisiä evästeilmoituksia ei voi enää klikata pois. Niiden muisti toimii juurikin evästeillä. Siispä laki pakottaa epäsuorasti käyttämään evästeitä.

Onko yksityisyydelle lopulta muuta ratkaisua, kuin yksiselitteisesti kieltää kaikki käyttäjältä lähtevä liikennne. Käytännössä pitäisi siis palata broadcast-tekniikkaan.

Petteri Järvinen kirjoitti...

Niin moni toimittaja on kirjoittanut siitä jutun ilman, että olisi vähääkään paneutunut asiaan.

Varmaan, mutta se on osittain EU:n syy. Asetuksen teksti on epämääräinen ja jättää asioita avoimeksi. Nekin, jotka yrittävät vilpittömästi selvittää lain sallimia rajoja, ovat joistakin asioista ymmällään. Viime kädessä vasta oikeus päättää, kenen esim. pitää nimetä DPO tai miten varmuuskopioita tulee käsitellä poistopyynnön yhteydessä.

Sanktiot ovat kuitenkin hurjat ja konsultit/juristit muistavat mainita ne aina ensimmäisinä. Jälkimmäinen on bisnestä, mutta sanktioiden ylärajasta voi lukea, että EU on tässä ihan tosissaan.

Jep, minäkin haluaisin tietää miten paljon Italiassa ja Espanjassa on panostettu näihin asioihin. Asetus kun on samanlainen kaikissa maissa (tosin eräin poikkeuksin).

Anonyymi kirjoitti...

Lakitekstissä ei taida olla mahdollisuuksia antaa esimerkkejä miten asia tulisi hoitaa. Se olisi kuitenkin ollut hyvin hyödyllistä asetuksen sisällön hiomisen kannalta. Onkohan kyseessä EU:n byrokraattien luoma juttu, jota on käytännössä mahdoton toteuttaa. Jotenkin tietojen keräämistä pitää kontrolloida, mutta olisiko pitänyt edetä pienemmin askelin?

Saattaisi olla parempi, että vain espanjalaiset ja italialaiset saisivat suunnitella uusia EU:n lakeja. Missään nimessä suomalaisia ei saa päästää niihin hommiin.

Petteri Järvinen kirjoitti...

Direktiivi implementoidaan kansallisilla laeilla, mutta asetus on suoraan sovellettavaa oikeutta. Sen pitäisi olla riittävän selkeä, jotta oikeusvarmuus säilyy.

GDPR:ssä EU haluaa säädellä monimutkaista ja nopeasti kehittyvää teknistä alaa, jolloin teksti jää väistämättä abstraktille tasolle. Ja edelleen väitän, että GDPR:ssä näkyy myös halu rajoittaa kilpailua ja suitsia liian menestyviä jenkkiyrityksiä.

Vaikka asetuksessa onkin suhteellisuusperiaate, sen tiukat säädökset koskevat samalla tavalla kaikkia Facebookista kylän kalastusyhdistykseen. Sääntelyä olisi voinut rajoittaa enemmän siellä alapäässä, koska riskitkin ovat ihan eri luokkaa.

Saattaisi olla parempi, että vain espanjalaiset ja italialaiset saisivat suunnitella uusia EU:n lakeja. Missään nimessä suomalaisia ei saa päästää niihin hommiin.

Eikä saksalaisia! He ovat kaikkein pahimpia näissä asioissa.

Anonyymi kirjoitti...

Onkohan GDPR säädetty siis nimenomaan some-problematiikkaa silmälläpitäen. Sen alan yritysten tiedonkeruu onkin mennyt aivan käsittämättömiin mittoihin. Mutta ilmeisesti laki koskee kuitenkin kaikkia yrityksiä. Tästä voi seurata erikoisia tilanteita.

Otetaan esimerkiksi autokorjaamo. Heillä on asiakasrekisteri, jossa on asiakkan nimi, rekisterinumero ja kaikki autoon tehdyt korjaukset. Käsittääkseni nimi ja rekkari ovat GDPR:n piiriin kuuluvia asioita. Onkin hirveä onnettomuus, jos hakkeri saa selville, että tuohon autoon on vaihdettu jakohihna ja takaiskarit. Samoin asiakas voinee vaatia, että hän näkee tietonsa (tarkoittaako tämä kaikkia korjauksia vai vain nimeen liittyvää rekkaria, en tiedä). Laajin tulkinta lienee se, että kaikki autoon tehdyt korjaukset pitää voida toimittaa asiakkaalle 30 päivän kuluessa. Voiko asiakas vaatia näiden tietojen poistamista?

Melkoinen soppa. Ovatkohan konsultit löytäneet tämän alueen GDPR uhrit?



William Gallop kirjoitti...

Koskeeko GDPR myös "kryptovaluutta" onecoinia, joka on keräillyt KYC-dokumentteja "ainoa kryptovaluutta jolla on KYC"?

Unknown kirjoitti...

Onkin hyä esimerkki tuo autohuoltoliikkeen asiakasrekisteri. Kaikki lienevät yhtä mieltä tarpeellisuudesta säilyttää auton huoltohistoria, sillä kaikissa autoissa ei varmaan vielä pitkään ole mahdollista tallentaa huoltohistoria auton itsensä järjestelmiin. Jos sitten asiakas vaatii tietojen poistamista, tiedot on anonymisoitava eikä niitä voi poistaa, ettei poljeta mahdollisen tulevan auton omistajan oikeuksia tietää mitä autolle on tehty tai jätetty tekemättä. Mutta miten auto perinteisesti on tunnistettu? Rekisteritunnuksella... Mutta jos rekisterinumero jää tietoihin, se viittaa autorekisterikeskuksen kautta kulloiseenkin omistajaan/haltijaan ja kuka tahansa voi kysyä, kenen auto on (eikä sitä voi estää, koska se on viranomaisen rekisteri). Ehkä auton runkonumero/VIN voisi olla tällainen tieto, mutta onko se tallella kaikissa autonhuoltojärjestelmissä--ja toisalta, sekin on viranomaisen rekisterissä (tosin sillä ei tavallinen kansalainen voine tiedustella ajoneuvon tietoja).

Joka tapauksessa jokaisen autonhuoltoliikkeen on tehtävä muutoksia järjestelmiinsä, mutta voidaanko sittenkään täyttää sekä GDPR-vaatimuksia ja muita vaatimuksia yhtä aikaa?

Kyllä tässä soppa on keitetty. Näitä esimerkkejä tulee varmasti esiin melko liuta.

Petteri Järvinen kirjoitti...

Koskeeko GDPR myös "kryptovaluutta" onecoinia, joka on keräillyt KYC-dokumentteja "ainoa kryptovaluutta jolla on KYC"?

Ilmeisesti tällä bulgarialaisella yrityksellä on hallussaan kolmen miljoonan ihmisen henkilötiedot aina passien kopioita myöten. Sen hurjempaa GDPR-tapausta tuskin voi kuvitella.

Kiinnostavaa nähdä, ottaako Saksan poliisi tästä uuden aseen näin huijarien kaatamiseksi. Tietosuojaviranomaisella on mm. oikeus keskeyttää henkilötietojen käsittely, mikä mahdollistaisi Onecoinin pysäyttämisen.

Anonyymi kirjoitti...

Miten GDPR:n vuoksi geoblokatut sivut eroavat, no -- geoblokkauksesta? Onko semanttista merkitystä sillä, että tekijänoikeus-tai markkinointisyistä palvelu ei ole saatavilla kaikkialla tai ainakaan samoilla ehdoilla? Miksi on huonoa bisnestä mukautua GDPR:ään, mutta hyvää asettaa maarajoituksia?

Minusta kyse ei ole kuluista, vaan yritysten haluttomuudesta alistua reguloitaviksi. Miten käy, kun uusi tekijänoikeuslainsäädäntö otetaan käyttöön?

Petteri Järvinen kirjoitti...

Sisältöpalvelut (Netflix ym) myisivät mieluusti palveluitaan Suomeen, mutta oikeuksien haltijat (=tekijät edustajineen) asettavat rajoituksia, koska haluavat maksimoida tuottonsa. Tekijänoikeuslait antavat heille siihen kaikki oikeudet.

GDPR aiheuttaa yrityksille paljon työtä ja tuo silti juridisen riskin. Hyvää bisnestä on välttää tarpeettomia riskejä. Yhdysvalloissa oikeuteen meneminen voi tulla todella kalliiksi. Ja sinne yritys joutuisi välittömästi, mikäli rikkoisi oikeudenhaltijoiden asettamia sopimusehtoja.

Viimeistä kappaletta en ymmärtänyt. Jos EU-alueelta tuleva liikevaihto on pientä ja riskit suuria, kannattaa lopettaa palvelu EU-alueelle.

Anonyymi kirjoitti...

Lohkoketjun idea on se, että käyttäjien identiteettejä ei tarvitse tuntea. Yksityisyyden suojaamiseen ei tarvitse muuta kuin sen, että lainsäätäjät pysyvät asiasta erossa. On myös muita teknisiä ratkaisuja, esim. salaus. Riittää kun lainsäätäjät eivät kiellä niiden käyttöä.

Tälläkin hetkellä osa laeista vaatii, että asiakkaan yksityisyyden suojaa loukataan.
Esim. pankkien osalta KYC-säännöt vaativat, että asiakkaan toiminta täytyy tuntea eikä tietoja voi mitenkään unohtaa. GDPR:n idea on ilmeisesti päinvastainen.

Petteri Järvinen kirjoitti...

Sekoitat kryptovaluutat ja lohkoketjut. Jälkimmäistä teknologia mm. pankit suunnittelevat rahansiirtojen keskinäiseen välittämiseen. Niissä ja monissa muissa henkilön tunteminen on kohtuullisen tärkeää.

Anonyymi kirjoitti...

Vielä autokorjaamoista. Norja ei kuulu EU:n. On siis mahdollista, että jos homma alkaa mennä mahdottomaksi, voivat norjalaiset autokorjaamot kieltäytyä palvelemasta suomalaisia.

Petteri Järvinen kirjoitti...

Sveitsi, Norja ym. tulevat säätämään vastaavia kansallisia lakeja, esim. https://blogs.dlapiper.com/privacymatters/norway-preparing-to-implement-the-gdpr-draft-for-new-personal-data-act. Yrityksillä on niin paljon liiketoimintaa EU-alueella, että erilaiset lait aiheuttaisivat hankaluuksia.

Anonyymi kirjoitti...

"Sekoitat kryptovaluutat ja lohkoketjut."

Sinä taas sekoitat perinteiset tietokannat ja lohkoketjut.

"Jälkimmäistä teknologia mm. pankit suunnittelevat rahansiirtojen keskinäiseen välittämiseen."

Perinteiset tietokannat ym. ovat tehokkaampia kuin lohkoketjut. Lohkoketjua ei tarvita tähän tarkoitukseen. Pankkien mainostiedotteet ovat pelkkiä mainoksia eivätkä mitään faktoja. Ehkä pankit tulevat vaatimaan oikeiden, "vaarallisten" lohkoketjujen kieltämistä sitten kun heillä on omat lohkoketjunsa, jotka ovat todellisuudessa pelkkiä leluja.

"Niissä ja monissa muissa henkilön tunteminen on kohtuullisen tärkeää."

Tässä on se ongelma, että poliitikot ja monet muutkin eivät halua että ihmisillä on täydellinen yksityisyyden suoja vaan jonkinlainen välimuoto, jossa yksityisyyden suojaa ei enimmäkseen ole. Tämä perustellaan juuri väitteillä että "henkilön tunteminen on tärkeää". Jos yksityisyyden suoja olisi tärkeä, niin henkilön tunteminen ei olisi.

Petteri Järvinen kirjoitti...

Tässä on se ongelma, että poliitikot ja monet muutkin eivät halua että ihmisillä on täydellinen yksityisyyden suoja vaan jonkinlainen välimuoto

Eivät tietenkään halua. Täydellinen yksityisyys on rikollisten unelma. Ja olisihan se kiva, jos oman rikosrekisterinkin voisi tyhjentää GDPR:n perusteella vetoamalla oikeuteen tulla unohdetuksi.

Anonyymi kirjoitti...

"Viimeistä kappaletta en ymmärtänyt."

GDPR on amerikkalaisille yrityksille periaatteellinen kiista. Mukautuminen EU-lainsäädäntöön saattaisi voimistaa vaatimuksia kiristää lainsäädäntöä eli säätelyä Yhdysvalloissa. Sitä ei haluta. Zuck sanoi teollisuuden ja yritysmaailman itseregulaation olevan parasta regulaatiota.

Kappaleen viimeisellä kysymyslauseella viittasin Single Digital Market -hankkeeseen, johon sisältyy maarajoitusten tai tekijänoikeuksien muutoksia.

Anonyymi kirjoitti...

Jotenkin en voi välttyä siltä, että minusta tässä on hieman media- ja moraali-paniikin aineksia nyt miten tästä asiasta on uutisoitu ja keskustellaan.

Ilmeisesti kaikille ei ole vielä ollut aivan selvää tai sitten on päässyt jo unohtumaan mikä tämä Internet oikeastaan on. Ja myös mitä velvollisuuksia Internetissä jonkun on yleensäkään tarjota palvelua aivan kaikille. Internet on itsenäisten verkkojen yhteenliittymä, jossa osapuolet voivat hyvin vapaasti sopia kenen kanssa ja miten liikennettä vaihtavat.

Myös sen pitäminen itsestäänselvyytenä, että vaikka IP on luonteeltaan päästä-päähän protokolla joka paikasta pitäisi sallia liikenne johonkin palveluun on perin naiivi. Vaikka oletuksena tietoliikenne-laitteet, palomuureja lukuunottamatta, yleisesti sallivat kaiken liikenteen niin varsin harvoin se on itse asiassa tarpeen ja on useita hyviä syitä turvallisuuden lisäksi rajoittaa käyttö vain tarpeellisista paikoista tapahtuvaksi.

Näin ollen premissi, että kaikkien Internetissä olevien palveluiden tulisi olla kaikkien käytettävissä jotka sitä kenties haluavat on perusteiltaan väärä. Lukuunottamatta harvoja erikseen laeissa säädettyjä yleispalvelu-velvoitteita harvoille toimijoille (Viestintävirasto, YLE, ym. isot teleyritykset) ei juuri kenelläkään ole velvollisuutta toteuttaa tuottaa palveluja kaikille asiakkaita valikoimatta.

Kaikki muu palveluiden tuottaminen perustuu joko oman toiminnan tukemiseen, yrityksen ansainta logiikkaan tai palveluiden käytöstä tehtyihin keskinäisiin sopimuksiin. Eikä ilmaiseksi ei kenenkään tarvitse palveluita tuottaa ja harvoja poikkeuksia lukuunottamatta yritykset, yhteisöt ja yksityiset toimijat voivat itse valita kenelle tarjoavat palveluja.

EU:n lainsäädäntö-ohjeet ja sitä toteuttava kansallinen lainsäädäntö koskee lähinnä tuotettujen palveluiden kanssa käsitellään asiakkaiden tietoja asianmukaisesti eikä asiatonta syrjimistä uskonnon, rodun, kansalaisuuden tms. perusteella EU maissa sallita ja joitakin yhteisiä minimejä joita EU-maiden kansalaisille on tarjottava.

EU ei kuitenkaan voi käytännössä ulottaa lainsäädäntöään koskemaan EU:n ulkopuolella oleviin tahoihin ja yrittää santioida niitä, joilla ei ole toimintaa EU:n jäsenmaissa tai ei ole erillistä keskinäistä sopimusta asiassa. Näitä velvoitteita koskemattomassa toimipaikassa sijaitseva toimija noudattaa oman sijaintipaikkansa tai sijaintipaikkojensa lainsäädäntöä toimintansa osalta ja mikäli sillä ei ole niiden mukaan velvoitetta tarjota palvelua mm. EU:sta käytettäväksi niin ei ole mitään pakkoa niin tehdä. Ja vaikka olisi jo tehty sopimus ja tarjottu palveluja niin kyllä niistäkin irti pääsee kun toimii sen mukaan mitä on sovittu palvelun irti sanomisesta.

Ymmärrän hyvin jenkki-firmojen, joille EU-markkina on marginaalinen nyt tekemät valinnat olla tarjoamatta palvelua tänne. Liiketoiminnan kannattavuuden kannalta katsottuna järkeviä päätöksiä, vaikka jotakin rannalle jäänyttä saattaakin hieman kismittää, niin heillä on siihen täysi oikeus oman lainsäädäntönsä myötä.

Anonyymi kirjoitti...

... jatko

Lohkoketjuista ja relaatio-tietokannoista sen verran, että kyllä pankit aktiivisesti tutkivat lohkoketjujen käytettävyyttä omassa toiminnassaan.

Lohkoketjut ovat käytännössä digitaalisia tilikirjoja, johon vahvaan kryptografiseen algoritmiin perustuen allekirjoitetaan tapahtumia siten, että sen eheys voidaan jälkikäteen todentaa. Hajautettu toteutus ei ole aivan välttämätöntä, mutta se on yksi keino parantaa läpinäkyvyyttä ja valvoa eheyden säilymistä. Julkisuus ja täysi avoimmuus koodin osalta ei myöskään ole perusedellytyksiä, riittää että sitä käyttävät tahot voivat luottaa toteutukseen.

Digitaalisen kirjanpidon avulla voidaan varmistua suoritteiden kirjausten oikeellisuudesta ja hoitaa AAA-vaatimuksista (Authentication, Authorization and Accounting ts. tunnistus, valtuutus ja em. toimenpiteiden ylös kirjaamisesta auditointia varten).

Pankkien sisäiset järjestelmät ja varmasti tulevatkin järjestelmämät perustuvat pääosin (SQL) relaatio-tietokantoihin, joiden vahvuus on niiden kyvyssä pitää huoli hyvin viite-eheyden säilymisestä saman tietokannan sisällä.

Mutta jonkun pankin tietojärjestelmästä toisen pankin tietojärjestelmään, joka ei edes usein ole samaa ohjelmistoa ei viite-eheyksen tarkastamista voida relaatio-tietokannoilla suoraan toteuttaa. Silloin käytetään viesteihin ja sanomiin perustuvia ratkaisuja.

Finanssivalvonnan sivulla on hyvä yleiskuvaus Suomen tilanteesta, kansainvälisesti laajin ja käytetyin on ollut clearing järjestelmä on SWIFT.

Kaikissa näissä järjestelmissä on käytetty jo pitkään salausta tietokannoissa ja sanomien todennuksessa sekä tietysti on kirjataan tapahtumat lokiin sitä mukaa kun niitä tapahtuu varhaisista ajoista lähtien.

Mutta lohkoketjuillekin on tarvetta erilaisten arvo-osuuksien ja omaisuuserien aitouden todentamisessa ja väärentämisen estämisessä. Sekä samalla tavalla kun SEPA järjestelmässä on mahdollisuus perua tietyin rajoituksin tehty siirto, niin historiatieto lohkoketjussa mahdolistaa paremmin kuin nykyiset järjestelmät mahdollisten virheiden ja väärinkäytön korjaamisen.

Lohkoketjuun kerran kirjattua ei tarvitse pitää aktiivisena ikuisesti. Lohkoketjulle voidaan tehdä aivan sama temppu kun tehdään kirjanpidossakin tilivuosittain, päättyneet ja ei-aktiiviset tapahtumat jäävät arkistoitavaan versioon ja aktiiviset joihin on vielä viittauksia siirretään 'tilikauden' vaihtuessa uuteen aktiivseen tilikirjaan.

Lohkoketjuja on hyvin monenlaisia, pankkien tapauksessa ne luultavimmin käyttävät privaatteja lohkoketjuja ja yhteistyössä toisten kanssa federoituja lohkoketjuja.

Anonyymi kirjoitti...

Mitenkäs muuttuvat terveydenhuollon tietosäädökset. Niiden mukaan vaikkapa yksityisen hammaslääkärin on säilytettävä potilastiedot 70 vuotta. Miten voidaan tiedot poistaa, siis unohtaa ne, ja säilyttää?

Anonyymi kirjoitti...

Mitenkäs muuttuvat terveydenhuollon tietosäädökset. Niiden mukaan vaikkapa yksityisen hammaslääkärin on säilytettävä potilastiedot 70 vuotta. Miten voidaan tiedot poistaa, siis unohtaa ne, ja säilyttää?

Käytännössä esimerkin tapauksessa hammaslääkärillä tai vastaavalla palveluntuottajalla on erillinen rekisteri hoitosuhteeseen liittyen ja sitten muu asiakasrekisteri, jota voidaan mikäli asiakas antaa luvan käyttää myös markkinointiin ja hoitokäynneistä muistuttamiseen.

Jos asiakas lopettaa käymästä tai ilmoittaa, että hän ei enää halua olla asiakas, niin tästä asiakarekisteristä hänen tietonsa voidaan poistaa. Mutta hoitosuhteeseen liittyneiden toimenpiteiden ja kirjausten poistamista ei tehdä, koska laki velvoittaa säilyttämään ne tiedot..

Anonyymi kirjoitti...

@petteri 4% liikevaihdosta tai 20 miljoonaa kumpi on suurempi. Muistaakseni tuo sanktio menee noin.

GDPR on tehty Facebookin ja muiden amerikkalaisten someyritysten toiminnan suitsemiseksi.

Facebookin viimeiset skandaalit valetilien ja profilointien suhteen ovat se varsinainen syy. Minusta tuota voisi hyvin kutusa Lex Facebookiksi.

GDPR saattaa protektionististen piirteidensä takia helpottaa ja kannustaa luomaan O365lle ja Google Docsille Eurooppalaisia vaihtoehtoja, mutta en usko, että näin käy.

Kiinalaiset ovat tekniikassa vieneet US melkein kaiken, mutta Amazon, Google ja Facebook taitavat olla heidän viimeiset kruununjalokivensä, mutta uskoisin jonkin kiinalaisen vastineen suistavan 10 vuoden sisään nämäkin jättiläiset valtaistuimeltaan.

Saas nähä paljonko enneusteeni heittää, mutta GDPR pitää sisällään myös talouspolitiikkaa ja teknologia kamppailua.

Petteri Järvinen kirjoitti...

Ilman muuta GDPR:ssä on vahva protektionistinen eetos, vaikkei sitä kukaan julkisesti halua sanoa. Eurooppa näkee jäävänsä yhä enemmän jälkeen digimarkkinoilla, eikä omista digitaalisista sisämarkkinoista ole tullut ratkaisua kuten toivottiin. Ikääntyvä väestö, yrittäjähengen vähäisyys ja pirstoutunut kielialue merkitsevät sitä, että EU voi vain uneksia aiemmasta asemastaan teollisuuskehityksen huipulla.

Mutta taustalla on myös aitoa huolta yksityisyydestä ihmisoikeutena ja eurooppalainen halu toimia hyvin asioiden edelläkävijänä, vaikkei siihen enää olekaan lihaksia (vrt. EU:n ilmastotavoitteet).

Jos GDPR jää vain eurooppalaisten asiaksi, se ampuu itseään jalkaan. Mutta jos Aasia tai USA päättävät seurata esimerkkiä, tästä valtavasta harjoituksesta ja tulonsiirrosta juristeille voi olla oikeasti hyötyä.

Anonyymi kirjoitti...

Kyllä, olen samaa mieltä.

EUn etu on, että se on maailman suurin yhtenäinen sisämerkkina, jolla on ostovoimaa, mutta rakenteensa takia erittäin hajanainen, joten Kiina ja US voivat lyödä hyvin helposti kiilaa väliin.

Tuon takia jotkut haluaisivat Euroopan liittovaltion, koska yksikään Euroopan maa ei yksinään ole riittävän iso globaalissa maailmassa, mutta en oikein usko tuon toteutuvan vaikka se voisi taloudellisessa mielssä olla hyvä juttu.

Teemu kirjoitti...

Sittemmin näyttää koko palvelu (https://gdpr-shield.io/) kaatuneen vai oliko se vain vitsi alkujaankin.

Anonyymi kirjoitti...

Sittemmin näyttää koko palvelu (https://gdpr-shield.io/) kaatuneen vai oliko se vain vitsi alkujaankin.

Tai sitten joku kertoi asiakkaille, että vastaavan rajoituksen tekemisestä ei tarvitse maksaa jos ei välttämättä halua.

Maakohtaisista listoista IP-prefixeistä (blokeista) on saatavissa helposti esim. Nirsoft.net sivulta .

Ja esimerkiksi Maxmind GeoIP2 Lite tietokannan versiossa käyttöönotto on nopea tehdä. Paketit käyttöönottoa varten ovat yleisimmissä linux jakeluissa valmiiksi tarjolla. GeoIP Lite version, johon maa-kohtaiset verkkoalueet kuuluvat, käyttöönotosta ei tarvitse maksaa mitään, riittää että laittaa vaaditun Creative Commons lauseen sivulle. EU:n kattavan listan koostaminen maiden perusteella on nopea tehdä ja koko käyttöönotto tietokannan automaattisine päivittymisineen ei kestä montaa minuuttia osaavalta ylläpitäjältä. Sen enempää kustannuksia siitä ei tule ja vuosien kokemuksen perustella voin todeta, että toimii erittäin hyvin. Olen itse rajoittanut joitakin palveluita käytettäväksi tällä vain Suomesta ja kokemukset on erittäin hyvät.

Maxmindilla on lisäksi huomattavasti tarkempia tietokantoja mm. IP-reputation tarpeisiin, mutta niihin pitää hankkia erillinen maksullinen lisenssi.

Anonyymi kirjoitti...

Miten käy Asiakastiedon ja Bisnoden kaltaisten luottotietorekisterien? Veikkaan että unohdetuksi haluavia löytyy kyllä..

Pete kirjoitti...

On jäänyt hiukan epäselväksi, että koskeeko GDPR:n voimaantulo myös tavallisia keskustelufoorumeja jotka eivät harrastaa liiketoimintaa, eivät mainosta tuotteita, eivät kerää lahjoituksia, eivätkä ole minkään valtakunnan yhdistyksen taikka yrityksen foorumeja?