Effi valitti hallinto-oikeuteen Digi- ja väestötietoviraston päätöksestä

Effi on 29.10.2021 valittanut Helsingin hallinto-oikeudelle Digi- ja väestötietoviraston päätöksestä salata Suomi.fi -palveluiden Amazon Web Services-yhtiön pilvessä tapahtuvassa tuotannossa käytettävää salausta koskevat tiedot.

Asiassa on olennaista se, ovatko kansalaisten tiedot suojatut siten, että suojaus on tehokas myös muiden valtioiden tiedusteluorganisaatioita ajatellen.

Alla on koko valituksen teksti sellaisenaan.

Helsingin hallinto-oikeudelle

Asia: Valitus EU:n yleisen tietosuoja-asetuksen mukaisen henkilötietojen käsittelyyn liittyvän, rekisteröidyn henkilötietojensa tiedonsaantioikeuteen liittyvän tietopyynnön osittaisesta käsittelemättä jättämisestä ja pyydetyn tiedon salaamisesta.

Electronic Frontier Finland – Effi ry on rekisteröity yhdistys joka edistää kansalaisten sähköisiä oikeuksia. Effi on etupäässä tietotekniikan ammattilaisista koostuva asiantuntijaorganisaatio, joka antaa säännöllisesti lausuntoja lainsäätäjän pyynnöstä erilaisista yhdistyksen toimi- ja osaamisalaan liittyistä hankkeista ja lakiesityksistä.

Olen pyytänyt Effi ry:n varapuheenjohtajan ominaisuudessa Digi- ja väestötietovirastolta (DVV) alkaen 1.2.2021 tietoja siitä, miten tietosuoja toteutuu DVV:n tuottaessa palveluita käyttäen yhdysvaltalaisen Amazon Web Services (AWS) -yhtiön pilvipalvelua.

Effi ry valittaa DVV:n 28.9. 2021 tekemästä päätöksestä olla luovuttamatta tietoja Suomi.fi-palveluun liittyvien tietojeen salaamiseen liittyen. DVV:n päätös on liitteenä.

Pyydämme hallinto-oikeutta tutkimaan onko tiedon luovuttamiselle esteitä ja velvoittamaan DVV luovuttamaan tiedot sekä ratkaisemaan asian olennaisen lainkohdan nojalla.

Lisäksi Effi ry pyytää hallinto-oikeutta velvoittamaan DVV:a toimittamaan alkuperäisen, 1.2.2021 esitetyn pyynnön mukaiset asiakirjat. Osan asiakirjojen osalta DVV on todennut että heillä ei ole niitä, sisältäen mm. EU:n yleisen tietosuoja-asetuksen edellyttämä tietosuojavaikutusten arvio. Osaa asiakirjoista en ole saanut lainkaan. Tällaisia ovat esimerkiksi tietojenkäsittelysopimus, jonka Valtorin tulee olla tehnyt DVV:n palveluita tuotaessaan alihankkijana toimivan AWS:n kanssa sekä AWS:n ja Valtorin välistä pääsopimusta. Valtori on sen sijaan toimittanut suomenkielisen, allekirjoittamattoman sopimuspohjan, joka ei voi olla kielensä ja sisältönsä vuoksi AWS:n kanssa tehty sopimus. En tiedä yhtään suomalaista toimijaa joka olisi tehnyt AWS:n kanssa sopimuksia muulla kuin englannin kielellä.

Tietosuojan tasoa selvittävän kansalaisen kannalta on kohtuutonta että DVV rekisterinpitäjänä edellyttää että tiedon pyytäjä pyytää tietoja henkilötietojen käsittelijän asemassa olevalta Valtorilta. Yleisen tietosuoja-asetuksen mukaan tämä velvollisuus kuuluu selvästi rekisterinpitäjälle, etenkin kun kyseiset asiakirjat kuuluvat niihin asiakirjoihin, jotka rekisterinpitäjällä tulee olla kyetäkseen osoittamaan yleisen tietosuoja-asetuksen mukaisen osoitusvelvollisuutensa tietosuojalainsäädännön noudattamisen osalta.

DVV katsoo päätöksessään “Pyytäjän ei voida katsoa olevan asianosainen asiassa, johon pyydetyt asiakirjat liittyvät. Pyydettyjen tietojen salassapitoa arvioidaan siten viranomaisten toiminnan julkisuudesta annetun lain 24.1 §:n nojalla.”

Ratkaisuperuste on väärä. Olen alkuperäisessä, 1. helmikuuta 2021 lähettämässäni tietopyynnössäni perustellut että pyyntöni perustuu sekä julkisuuslakiin että EU:n yleisen tietosuoja-asetuksen mukaiseen oikeuteen saada rekisteröitynä tietoja henkilötietojeni käsittelystä ja että käytän sekä yksityishenkilönä että Effi ry:n edustajana Suomi.fi-palveluita ja pyydetyt asiakirjat ovat siten osa sitä tietosuojan kokonaisuutta, josta rekisteröidyillä on oikeus saada tietoa yleisen tietosuoja-asetuksen mukaan. DVV ei näin ole voinut olla epätietoinen siitä, että olen pyytänyt asiakirjoja myös tietosuoja-asetuksen antamien rekisteröidyn oikeuksien perusteella.

Salausta koskevan tietopyynnön osalta DVV toteaa: “Salauksessa käytettyjä tekniikoita ja salaukseen liittyviin yksityiskohtiin liittyvän tiedon luovuttaminen saattaisi vaarantaa Suomi.fi -palvelun tietoturvan. Kyseiset tiedot ovat siten lain 24.1 § 7 kohdan nojalla salassa pidettäviä”.

DVV on luovuttanut kielteisen päätöksen yhteydessä hyvin yleisluontoisen kaaviokuvan, joka kuvaa henkilötietodatan käsittelyä Suomi.fi-palveluissa. Kaaviokuvasta ei käy ilmi selkeästi se seikka, onko henkilötieto salattu erikseen ennen AWS:n palvelimille siirtämistä. Asiakkaan käyttämän laitteen ja verkkopalvelimen välinen salaus on teknisesti eri asia: siirron aikainen salaus puretaan ennen kuin tiedolle tehdään palvelimella mitään. Ennen palvelimelle tapahtuvaa siirtoa tehtävästä salauksesta on saatu vain yleisluontoinen lausuma että näin tehdään mutta sille ei ole mitään muuta tukea.

Modernin salausteknologian perusajatus on, että käytetyt salausmenetelmät ovat julkisia jotta niiden turvallisuus voidaan puolueettomasti todeta. Ainoastaan salaukseen käytettävät salausavaimet tulee pitää salassa. Kehnoon tietoturvaan tuudittautuminen uskoen että asiat ovat kunnossa jos emme vain kerro yksityiskohtia kenellekään, on äärimmäisen vaarallinen menettelytapa, koska mitä kiinnostavampaa tietoa palvelussa on, sitä todennäköisemmin se kiinnostaa myös niitä, joilla on paljon osaamista ja resursseja tunkeutua järjestelmään tai tiedonsiirtoon signaalitiedustelun keinoin.

Suomi.fi -palveluiden kohdalla on kyse tiedosta, jonka avulla pystyy hankkimaan hyvin merkittävää ja kattavaa tiedustelutietoa suomalaisesta yhteiskunnasta ja kansalaisista.

Jos salausjärjestely on tehty kestämään myös valtiotason toimijan murtoyritykset, mikä on tässä vaadittava taso kun kyseessä on kaikkien Suomen kansalaisten ja myös useimpien suomalaisten oikeushenkilöiden tiedot, siitä on täysin mahdollista antaa kuvaus, josta käy ilmi kysytty asia ilman että turvallisuus vaarantuu JulkL 24 pykälän 7 momentin tarkoittamalla tavalla.

Asiassa on riidatonta että DVV on ottanut käyttöön kyseisen AWS:n palvelun Valtorin kautta ja DVV ei ole tehnyt ilmoituksensa mukaan lainkaan palvelun käyttöönottoon liittyen yleisen tietosuoja-asetuksen Artikla 35 edellyttämää vaikutustenarviointia. DVV ei ole myöskään voinut arvioida käyttöönottoon liittyviä riskejä, koska ilmoituksensa mukaan DVV:llä ei ole ollut käytössään lainkaan Valtorin ja AWS:n välistä sopimusta. Näin ollen minulla rekisteröitynä ja Effi ry:llä on yhä suurempi kiinnostus saada tietoa kansalaistemme henkilötietojen käsittelystä

Huomioita AWS:n vakioehdoista

Noudatettaessa AWS:n EU-alueen tietojenkäsittelyehtoja, niissä on kohta joka on muotoiltu huolellisesti ottaen huomioon Yhdysvaltojen tiedustelulainsäädännön ja avaa mahdollisuuden sille että Suomen kansalaisten henkilötietoja vuotaa laajamittaisesti Yhdysvaltain tiedusteluohjelmien kautta sen viranomaisille.

Ehtojen ajantasainen versio: https://d1.awsstatic.com/Supplementary_Addendum_to_the_AWS_GDPR_DPA.pdf

“1.1   If AWS receives a valid and binding order (“Request”) from any governmental body (“Requesting Party”)  for  disclosure  of  Customer  Data,  AWS  will  use  every  reasonable  effort  to  redirect  the  Requesting Party to request Customer Data directly from Customer.”

Sanamuoto “reasonable effort” jättää tilaa sille että tiettyjä Yhdysvaltojen tiedustelulakeja käytettäessä palveluntarjoajalla tai sillä henkilöllä joka saa määräyksen luovuttaa tietoja, annetaan samalla ilmaisukielto. Määräyksen saaneilla ei ole muuta mahdollisuutta kuin toimia määräyksen mukaan tai ottaa vastaan rangaistus. Vastaava kaunisteleva muotoilu on kaikkien yhdysvaltalaisten pilvipalveluyritysten ehdoissa ja tietosuoja-asiantuntijoiden jakamaton näkemys on se, että muotoilut motivoituvat yhdysvaltalaisyritysten velvollisuudella noudattaa maansa lainsäädäntöä.

Samaa asiaa on käsitellyt Eurooppa-tuomioistuin tuoreehkossa, ns. Schrems II -päätöksessään. Ks. https://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=en

Ks. väliotsikosta The finding of an adequate level of protection eli kohdasta 168 kohtaan 202. Tässä osassa päätöstä oikeus perustelee miksi se mitätöi Privacy Shield -järjestelyn EU:n ja Yhdysvaltojen välillä.

Olennaista tämän valituksen kannalta Schrems II -päätöksessä on se, että koska Eurooppa-tuomioistuimen mukaan ei ole olemassa mitään, saati tehokkaita oikeussuojakeinoja Yhdysvaltain viranomaisia vastaan, ainoa tapa on käyttää muita keinoja tietosuojan toteuttamiseksi.

Yksi näistä keinoista on vahva salaaminen. Se tulee tehdä siten että jos henkilötietoja siirretään Yhdysvaltojen lainsäädännön vaikutuspiirissä olevan yhtiön pilvipalveluun, tulee käyttää vahvaa salausmenetelmää ja salaaminen tulee tehdä jo ennen kuin henkilötiedot siirretään palveluun. On olennaista huomioida että näille tiedoille ei voi tehdä käytettävässä pilvipalvelussa mitään käsittelyoperaatioita jos salauksen tuoma tietosuojan tason nosto halutaan säilyttää: henkilötiedoille operaatioita pilvessä tehtäessä niiden salaus pitäisi purkaa käyttäen pilvipalveluun siirrettyä salausavainta ja tällöin vähintäänkin palvelinlaitteiston RAM-muistissa oleva, purkamiseen käytettävä salausavainkin olisi ulkoisen tiedustelutahon käytössä.

Kysymys salauksen toteuttamistavasta on tämän vuoksi keskeinen arvioitaessa DVV:n palveluiden tietosuojaa. Asiasta kuulemieni tietosuoja- ja tietoturva-asiantuntijoiden mukaan asiassa on vaikea ymmärtää sitä, miksi palveluntarjoajaksi olisi valittu AWS jos on tarkoitus että pilveen tallennettu henkilötieto salataan ennen sinne siirtämistä. AWS on suunniteltu nimenomaan pilvessä tehtävää tietojen aktiivista käsittelyä varten siten että niille tehdään erilaisia operaatioita. Palvelun käyttö on hinnoiteltu sen mukaan. Jos on tarve vain Internetiin liitetylle tallennustilalle, johon tallennetaan salattua tietoa, tarjolla on hinnaltaan murto-osalla hankittavia vaihtoehtoja.

Kaarinassa 29. lokakuuta 2021

Elias Aarnio

varapuheenjohtaja

Electronic Frontier Finland – Effi ry

Liitteet:

DVV_Noora_Kallio_vastaus_10022021 Päätöksen liite 1 _ DVV_920_2021 – Henkilötietodatan käsittely Suomi.fi -palveluissa Päätöksen liite 2 _ DVV_920_2021 – Henkilötietodatan salaus Päätös – EFFI DVV_920_2021 Tietopyyntö_DVVlle_01022021 Täsmennetty v2 Liite 7 Hankintasopimus Valtori_436_04 02_2021-1 Liite_10a_Liite_1_käsittelytoimien_kuvaus_julkaisualustapalvelu 228822_1_1 Valtori_436_04 02_2021-1 Liite_10_Tietojenkäsittelyliite 228821_1_1

8 thoughts on “Effi valitti hallinto-oikeuteen Digi- ja väestötietoviraston päätöksestä”

  1. Samaan aikaan myös virasto toisensa perään siirtyy Valtorin tarjoaman Pilviviestin käyttäjäksi eli MS:n Office 365 -pilveen jossain Euroopassa, pääsy myös ison veden takaa. Oletusarvona salausavaimet eivät ole virastojen hallussa. Hirveä työ huolehtia, että asiakkaiden luottamukselliset tiedot eivät valu pilveen tai organisaation salaisuudet.

  2. Hyvä, Effi/Aarnio.. ! Asia tulee pitää riittävästi julkisuudessa esillä, jotta kansalaiset ymmärtävät tilanteen vakavuuden. Pystyykö DVV/Valtori kuvaamaan tarkasti mihin kaikkialle tiedot suomi.fi-palvelun kautta vilahtavat ja missä kaikkialla salausavaimet voivat olla käytettävissä?

  3. Matti Jokipii

    Kiitos Effi ja Elias Aarnio! Järkyttävää huomata kerta toisensa jälkeen, etteivät Suomen viranomaiset näytä ymmärtävän tietoturvasta mitään, tai sitten vielä vakavampi vaihtoehto, etteivät he vain välitä edes lain mukaisista vaatimuksista.

  4. Jokke Kinnunen

    Onko AWS:llä edes konesaleja Suomessa? Saako suomalaisten henkilötietodata maata rajojemme ulkopuolella?

  5. Toivon että toteutus on tehty Amazon Outpostilla. Outpostilla AWS-palvelut saadaan toteutettua Suomessa sijaitsevaan konesaliin.

      1. Johannes Verwijnen

        Outpostilla siis saadaan omaan konesalien aws:n infraa. Lisäksi nyt on tulossa Local zone Suomeen.

Leave a Comment

Your email address will not be published. Required fields are marked *