Tutkijalta: Kenen tiedoilla verkkopalvelut tehdään?

Verkkokauppa on kasvanut Suomessakin viime vuosina  ‒ Tilastokeskus arvioi sen osuudeksi noin 7 % kokonaisvähittäiskaupasta. Suomalaista verkkokauppaa rasittaa muuta Eurooppaa, etenkin Saksaa, korkeampi arvonlisäverokanta, joka pienen kielialueen lisäksi on käytännössä vesittänyt laajamittaisen, globaalin suomalaisen verkkokaupan. Tämä alkaa näkyä kotimaisen päivittäistavarakaupankin siirtymänä ulkomaista tarjontaa aggregoiville sivustoille ja verkkokauppoihin.

Verkkokaupat eivät myy vain tavaraa, vaan ne ovat enenevässä määrin palvelutarjonnan kanava. Palveluita varten asiakkaasta on tiedettävä muutakin kuin toimitusosoite ‒ siis hyvinkin henkilökohtaisia tietoja palveluhistoriasta ja palveluihin kohdistuvasta palautteesta. Teknisten seikkojen rinnalle on nousemassa uutena ongelma-alueena sähköisten palveluiden tietoturvan ja -suojan kasvava merkitys. Koska yhä suurempi osa asiakkaiden tiedoista kerätään, siirretään ja prosessoidaan digitaalisena, niiden joutuminen vääriin käsiin on merkittävä riski yksityisyydensuojalle ja liikesalaisuuksille. Ero arkistonhoitajan avainnipun takana olevaan paperiarkistoon on selvä, varsinkin kun aikaan ja paikkaan liittyviä tietoja voidaan monistaa, jakaa ja yhdistellä avoimen sosiaalisen median tietojen kanssa.

Vaikka ihmiset eivät tutkimusten mukaan keskimäärin ole huolissaan tietoturvasta, viimeaikaiset väärinkäytökset antavat aiheen huoleen: Esimerkiksi automaattiseen ajotapaseurantaan liittyvät tutkimuksemme ovat osoittaneet, että jo pelkkä epäluottamus tietosuojan rikkomisesta tai epäselvät ehdot tietojen käytöstä hidastavat tai estävät kokonaan käyttäjiä omaksumasta palveluita tai johtavat vääristelemään tietoja, jolloin ne eivät enää ole luotettava palvelujen perusta.

Edellisten seurauksena joudumme miettimään ja kehittämään menetelmiä, joilla suunnitellaan tietojärjestelmäkokonaisuuksia, kontrolloidaan henkilön digitaalista imagoa hallitusti ja  ajantasaistetaan ammattilaisten eettiset periaatteet.

***

Ensinnäkin, nykyaikana palveluiden toteuttamiselle on leimaa antavaa tietotekniikan korostunut rooli ja verkostoitunut toimintatapa. Tietojärjestelmien suunnittelijoiden merkittävin haaste on ollut tuoda liiketoimintamalleihin mukaan kokonaisarkkitehtuurin elementtejä. Niillä kuvataan tiedot, sovellukset, prosessit ja tekniikat, joiden varaan verkoston toimijoiden liiketoiminta tukeutuu. Lisäksi viime vuosina on jouduttu kiinnittämään enenevästi huomiota tietoturvaan ja varsinkin kanadalaisten ja eurooppalaisten aloitteesta yksityisyyden suojaamiseen jo suunnitteluvaiheessa. Ajatuksena on minimoida sovelluskohtainen henkilötieto vain aivan välttämättömimpään ja käyttää mm. tilastotieteestä tuttuja menetelmiä yksittäisen henkilötiedon häivyttämisestä suurempaan massaan.

Toiseksi, digitaalisella imagolla tarkoitetaan henkilön representaatiota eri tietolähteitä yhdistelemällä. Jokainen voi tutustua Google-imagoonsa kyselemällä nimellään kuvat, julkaisunsa, raporttinsa, sijoituksensa urheilukilpailuissa ja muodostaa käsityksen itsestään. Tietosuojalain mukaan nämä liiketoimintaan asiallisessa yhteydessä kerätyt ja käytetyt tiedot on voitava tarkistaa rekisterinpitäjiltä, mutta rekistereitä alkaa vaan olla yli käsityskyvyn. Lisämausteen soppaan tuo viranomaisten keräämän tiedon avaaminen julkiseksi.

Tilanteen muuttuminen on johtanut uuden tietosuojadirektiivin valmisteluun Euroopassa. Myös Kiinassa on herätty kehittelemään tiukempaa kontrollia. Kontrollimenetelmiä on pääpiirteissään kahdenlaisia: rekisterinpitäjät velvoitetaan dokumentoimaan läpinäkyvästi järjestelmänsä, menettelytapansa ja vastuuhenkilönsä, joita sitten systemaattisesti tai pistokokein viranomaiset tai valtuuttamansa valvovat. Toinen, kasvava suuntaus, on pyrkiä lisäämään henkilön valtaa tietoihinsa. Viranomaiset ja muut rekisterinpitäjät voivat päättää tiedon luomisesta ja hävittämisestä, mutta niiden käyttöä säädellään tiukasti pyrkien minimaaliseen henkilötietojen käyttöön. Sen sijaan käyttäjällä itsellään on täysi valta kieltää tai sallia muiden keräämien henkilötietojen käyttö mihin tarkoitukseen hyvänsä.

Kolmanneksi, kummassakin tapauksessa ammattilaisten eettinen koodisto laahaa jäljessä. Tietoturvassa on siirrytty hajautettujen Internet-sovellusten ja pilvipalveluiden myötä tietoturvan ja -suojan kannalta vaativampaan aikakauteen. Laajamittainen asiakasdatan kerääminen on nähty verkkopalvelujen kilpailuetuna, erityisesti kun tietoa kertyy kuin itsestään ja syntyvistä suurista tietomassoista arvellaan löydettävän mitä fiksuimpia löydöksiä bisneksen sujuvuuden ja kannattavuuden parantamiseksi.

***

Tietojen automaattinen kerääminen, siirto, tallentaminen ja säilyttäminen vaativat huolellista suunnittelua ja päivittämistä. Siksi tietotekniikan ja -järjestelmien ammattilaisten tulee jatkossa kiinnittää entistä enemmän huomiota kehittämismenetelmiin, joissa tietoturva ja tietosuoja ovat osa kokonaisuudenhalllintaa ja vastaavat ammattilaisten eettisiä periaatteita. Kansainväliset järjestöt työskentelevät parhaillaan vastaavien eettisten normien luomiseksi.

Tutkijoiden tehtävänä on kehittää ja arvioida menetelmiä ja käytänteitä yritysten, kansalaisjärjestöjen ja valvojien kanssa ylikansallisessa yhteistyössä ja ottaa kantaa lainsäädäntöön. Periaatteet ja menetelmät pitää myös saada sisällytettyä järjestelmiä suunnittelevien perus- ja täydennyskoulutukseen.

Välittömänä seurauksena ja uhkana edellisestä näen suomalaisten verkkokauppojen aseman heikentyvän entisestään tiukentuvan yksityisyydensuojan kaavamaisen soveltamisen myötä.

Jukka Heikkilä
Kirjoittaja on työinformatiikan ja tietojärjestelmätieteen professori Turun yliopiston kauppakorkeakoulussa. Kirjoituksen teemoja käsitellään kauppakorkeakoululla 13.‒15.8. järjestettävässä kansainvälisessä International Conference on Electronic Commerce (ICEC) -konferenssissa.

Kuvat: Antti Pirhonen, g4ll4is