tiistai 24. heinäkuuta 2018

GDPR ja kesäuutisointi

Kirjaprojektin jälkeen on taas aikaa päivittää blogia. Silmiini osui viime viikolla uutinen British Airwaysin tavasta käyttää Twitteriä GDPR-lain vastaisesti.

Ensin raflaava otsikko "Ai näin se tietosuojauudistus toimii? British Airways vaati asiakkaan yksityistietoja Twitterissä: mm. passin numero ja osoite julki" ja perään ulkomaisesta lähteestä tiivistäen käännetty "uutinen".
Ai näin se tietosuojauudistus toimii?
Iltalehden juttu on sen verran epäselvä, että pitää tutustua alkuperäisiin lähteisiin, jotta tapauksesta saisi jonkinlaisen kuvan. Eikä se silti ole helppoa.

Jos oikein ymmärsin, British Airways oli perunut lennon eikä tyytymätön asiakas Jason Hunter saanut lisätietoja uudesta reitityksestä. Hän valitti Twitteriin, jolloin BA:n asiakaspalvelun edustaja Kelly pyysi lähettämään mm. passin numeron ja luottokortin neljä viimeistä numeroa.

Poru syntyi siitä, että Hunter ilmeisesti vastasi viestiin ja lähetti tietoja julkisesti, mikä ei tietenkään ollut BA:n tarkoitus eikä GDPR:n tai suositeltavan tavan mukaista. Silloin asiaan tarttui julkisuutta kaipaava tietoturvaopiskelija, joka halusi tehdä asiasta uutisen.

Kesän uutisköyhyydessä moni lehti uutisoi jutun pilkaten BA:ta GDPR:n väärinymmärtämisestä. Tarinan kertoi ainakin TechCrunch, Gizmodo ja The Telegraph.

Mutta mitä tässä oikeasti oli tapahtunut?

Jason Hunterin kaikki neljä twiittiä liittyvät lennoista valittamiseen:
Jason Hunterin twiittihistoria on yksipuolinen: vain valituksia lennoista.
Alkuperäinen British Airwaysin vastaus:
BA:n vastaus kokonaisuudessaan.
Siinä lukee selvästi, että "Please DM" - siis lähetä yksityisviestinä, ei julkisesti. Hunter ei ollut lukenut ohjetta eikä media näyttänyt uutisoinnissa sitä ensimmäistä (1/2) viestiä, vain jälkimmäisen (2/2).

Luultavasti BA pyysi tietoja siksi, että se voi identifioida Hunterin riittävän varmasti - muutenhan joku voisi pyytää hänen nimissään omia lippuja vaihdettavaksi. Henkilöllisyyden varmistaminen on GDPR:n vaatimusten mukaista, eikä muutaman viestin profiilikuvaton Twitter-tili itsessään ole mikään henkilöllisyystodistus.

Kesäuutisia kannattaa lukea erityisen krittisesti ja mahdollisuuksien mukaan tutustua alkuperäisiin lähteisiin. Jutut eivät käännettäessä ainakaan selvene. 

7 kommenttia:

Zarr kirjoitti...

GDPR:ää liipaten muuten: GDPR:n jälkeen sekä Plussalla että S-kortilla on omat tietosuojaportaalit josta saa helposti tilattua tietonsa. Tuli testattua heti kun oli mahdollista, ja olen sitä mieltä että ei tarvitse pelätä että tietoja käytettäisiin mihinkään järkevään.

Materiaalia luulisi riittävän koska musta plussakortti löytyy taloudesta, mutta päätelmät ovat vähintäänkin huvittavia.

Esimerkiksi asiakasryhmä oli vaihtunut "Nuorista pareista" "Lapsiperhe, omia lapsia kotona" puoli vuotta sen jälkeen kun tuli ostettua omakotitalo. Kyllähän se neliömäärä kasvoi, mutta mistä ne lapset ilmaantuivat?

Muuta mielenkiintoista on että olemme "vakaa" asiakas pikkumarketille jossa käymme ehkä kerran tai pari vuodessa. Lisäksi olemme esimerkiksi Asko-huonekaluliikkeen avainasiakas ilmeisesti sen perusteella että sieltä on ostettu sohva joskus neljä vuotta sitten - eikä mitään muuta ennen eikä jälkeen.

=> Olen vahvasti sitä mieltä että keskusliikkeitten ostoksista kerätty big data ja niistä tehty analyysi on ainakin Suomessa jotain täysin asioista pihalla olevaa päättelyä. Samaa tuntuu olevan kansainvälisestikin, ainoastaan Amazon tuntuu tekevän edes jotain yritystä "hankit näitä, ehkä kiinnostuisit näistä"-mainoksillaan. Muuten yleisin tuntuu olevan että mainostetaan tavaraa joka tuli juuri ostettua...

Anonyymi kirjoitti...

Kiinnitin huomioita, kuinka "taitavasti" Iltalehden juttu on kirjoitettu: lukija saa käsityksen, että lentoyhtiö vaati asiakasta julkaisemaan luottamuksellisia tietoja, mutta jutusta ei silti voi löytää yhtään virheellistä lausetta. Erityisen ovelasti totuuden rajamailla luovii lause "British Airways vaati asiakasta lähettämään yksityistietojaan – – viestinä Twitterin välityksellä" - juurikin näin, mutta siis yksityisviestin!

Petteri Järvinen kirjoitti...

Olen itsekin huomannut, ettei täsmämarkkinointi ole lainkaan täsmällistä: http://pjarvinen.blogspot.com/2017/11/pelottava-tasmamarkkinointi-ei-olekaan.html. Aiheesta uutisoidaan kuitenkin ihan toisesta näkökulmasta, ehkä yritysten kaupallisten tiedotteiden vuoksi tai siksi, että pelottelu kerää enemmän klikkejä - myös Ylellä.

Varmasti ala kehittyy ja on vain ajan kysymys, milloin markkinointi alkaa oikeasti olla henkilökohtaista, mutta vielä emme Suomessa ole sillä tasolla. Ja minulle Amazonin mainokset ovat erityisen huonosti kohdennettuja (mm. mainostavat etusivulla tuotteita, joita ei saa tilata Suomeen - pöh!).

Kiinnitin huomioita, kuinka "taitavasti" Iltalehden juttu on kirjoitettu

Totta - jutussa ei ole varsinaista valhetta, mutta se antaa väärän kuvan tapahtuneesta. Iltalehden juttu on lähinnä käännös brittijutuista, joista niistäkään mikään ei perehtynyt asiaan kohua syvemmälle. Siksi kriittisyys jäi taas lukijalle.

Anonyymi kirjoitti...

Iltalehden juttu on lähinnä käännös brittijutuista, joista niistäkään mikään ei perehtynyt asiaan kohua syvemmälle.

Pelkäänpä, että perehtyi kyllä ja harhaanjohtaminen oli tarkoituksellista. Iltapäivälehtien "journalismissa" hyvä tarina tuppaa menemään totuuden edelle.

Anonyymi kirjoitti...

Olisi se kyllä ehdottomasti kannattanut lentoyhtiön tähdentää, ettei asiakas lähetä noita tietoja julkisesti Twitterin kautta. Puolet porukasta kumminkin on keskiarvoa heikkolahjaisempaa.

Petteri Järvinen kirjoitti...

Lentoyhtiö kirjoitti selvästi ensimmäisessä twiitissään että DM.
Media uutisoi vain sen jatkotwiitin, josta ohje ei näkynyt.

Anonyymi kirjoitti...

Ehkä hän ei tiennyt ollenkaan mitä "DM" tässä yhteydessä tarkoittaa.

Website Security Test