• Created by Unknown User (klaalo@csc.fi), last modified on Feb 23, 2016

Vastuuvapauslauseke

Tässä kirjatut käytänteet perustuvat Haka-operoinnin tukipalvelussa kerättyyn käytännön kokemukseen. Alla esitetään tyypillisiä vastauksia yleisiin kysymyksiin sellaisina, kuin ne ovat kysyjien ja operoinnin asiantuntijoiden keskustelussa vuosien varrella muotoutuneet. Haka-operoinnissa ei ole erityistä lakiteknistä osaamista. Vastaukset eivät edusta lakiteknistä konsultaatiota, vaan antavat yhden näkemyksen asioiden tilasta. Vastauksissa voi olla virheitä. Henkilötietojen käsittelyn osapuolet (kotiorganisaatiot ja palvelut) vastaavat käsittelemistään henkilötiedoista ja joutuvat viime kädessä ratkaisemaan omat käytänteensä henkilötietojen käsittelylle.

Henkilötunnuksen luovuttaminen

Suomalainen henkilötunnus nauttii erityistä henkilötietolain määrittelemää suojaa. Laki sallii henkilötunnusta käsiteltävän vain rekisteröidyn yksiselitteisellä suostumuksella tai muutamissa laissa erikseen säädetyissä tarkoituksissa.

Haka-palvelusopimus määrittää käyttäjien kotiorganisaatioiden velvollisuudeksi attribuuttien luovutuslupien ylläpitoa. Luovutusluvilla organisaatiot määrittävät, mitä henkilötietoja käyttäjistä luovutetaan palveluille Haka-kirjautumisen yhteydessä. Vastaavasti palvelujen velvollisuutena on, että ne pyytävät vain niitä henkilötietoja, jotka ovat palvelun käytön kannalta tarpeellisia. Henkilötietojen käyttötarkoituksen palvelut perustelevat tietosuojaselosteessa. Tietosuojaselosteen osoitteen julkaiseminen Haka-metadatassa on pakollista silloin, kun palvelu pyytää identifioivia henkilötietoja. Tietosuojaselosteen julkaisemiseen saattaa syntyä velvollisuus Haka-attribuuttipyynnöistä riippumatta, mikäli palvelussa käsitellään henkilötietoja.

Hakassa useat kotiorganisaatiot luottavat palvelujen tekemiin attribuuttipyyntöihin. Attribuuttipyynnöt kirjataan Haka-metadataan, jonka perusteella kotiorganisaatioiden IdP-palvelimien ohjelmisto voi automaattisesti ylläpitää luovutuslupia.

Haka-operointi suosittaa, että henkilötunnus ei olisi edellä kuvatun automaattisen luovutuslupamenettelyn piirissä. Henkilötunnuksen luovuttaminen pitäisi harkita aina tapauskohtaisesti ja tehdä siitä erillinen perusteltu määrittely organisaation luovutuslupiin. Perustelun pitäisi olla linjassa palvelussa määritetyn käyttötarkoituksen kanssa.

Jos henkilötunnusta käsitellään suostumukseen perustuen, suostumuksen on oltava aidosti vapaaehtoinen. Jos henkilötunnuksen käsittely on edellytys esimerkiksi työsuhteen tai opintojen hoitamiselle, suostumuksen vapaaehtoisuuden voi asettaa kyseenalaiseksi.

Organisaatioiden on myös huolehdittava henkilötietojen asianmukaisesta käsittelystä ja tietojen suojaamisesta omissa sisäisissä tietojärjestelmissään Haka-palvelusopimuksen ja lain vaatimusten mukaisesti. Joissakin henkilöhakemistoissa on tehtävä erityisiä määrityksiä hakemiston henkilöobjektien tietojen suojaamiseksi. Oletusasetuksilla tiedot saattavat olla perinteisten hakutyökalujen (esim. ldapsearch Microsoftin Active Directory -hakemistolle) saatavilla, ellei niitä erikseen suojata.

Henkilötunnukselle on Hakan attribuuttiskeeman (Funet EduPerson-skeema, FEP) versiossa 2.2 kaksi erillistä attribuuttikuvausta: nationalIdentificationNumber ja schacPersonalUniqueID. Operoinnin suositus on, että jos henkilötunnus populoidaan saataville IdP:n käyttämään henkilöhakemistoon, se tehdään niin, että tieto on luovutettavissa molemmissa attribuuteissa. On kuitenkin huomattava, että attribuuttien arvot ovat erimuotoisia. SchacPersonalUniqueID-attribuutissa tieto luovutetaan etuliitteellä (prefix) varustettuna. Varsinaisen henkilötunnuksen on oltava molemmissa attribuuteissa sama. Yhdellä tosielämän henkilöllä voi olla vain yksi suomalainen henkilötunnus, mutta schacPersonalUniqueId-attribuutissa voi olla yhdelle henkilölle usean eri valtion myöntämiä henkilötunnuksia.

Henkilötunnuksen erityissuojan johdosta Haka-operointi suosittaa käyttämään palveluissa henkilötunnuksen sijasta muita henkilötunnisteita. Hakan attribuuttiskeeman (Funet EduPerson-skeema, FEP) versiossa 2.2 tällaisia tunnisteita ovat esimerkiksi: Persistent NameIdentifier (määritelty SAML-profiilissa), funetEduPersonLearnerId, electronicIdentificationNumber (satu), eduPersonOrcid, eduPersonTargetedID tai eduPersonUniqueId.

Edellä luettelluista tunnisteista sähköisessä asiointitunnisteessa, satussa on mahdollisuus organisaatiorajat ylittävänä tunnisteena. Satu säilyy entisellään, mutta esim. henkilön eduPerson-tunniste muuttuu, jos hän siirtyy käyttäjäksi toiseen organisaatioon. Satu on yleisesti käytettävissä oleva yksilöllinen muuttumaton tunniste, joka ei itsessään sisällä tietoa henkilöstä. Sähköisestä asiointitunnisteesta säädetään lain väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista pykälissä 63 ja 64. Satun hyödyntämisessä on huomioitava mainitun lain 43. pykälä.

3 Comments

  1. Unknown User (mlinden@csc.fi)

    "Tietosuojaselosteen julkaiseminen on pakollista silloin, kun palvelu pyytää identifioivia henkilötietoja." Henkilötietolaki velvoittaa julkaisemaan tietosuojaselosteen jos rekisterinpitäjä käsittelee henkilötietoja. Voi siis olla että SP joutuu sen julkaisemaan vaikka palvelu ei pyytäisi IdP:ltä henkilötietoja.

    "Haka-operointi suosittaa, että henkilötunnus ei olisi edellä kuvatun automaattisen luovutuslupamenettelyn piirissä." Korkeakoulukirjastot on hakeneet tietosuojavaltuutetulta ohjausta ja saaneet luvan käsitellä henkilötunnusta kirjastojärjestelmässä. Niinpä Hakassakaan ei aikaisemmin ole nähty ongelmallisena luovuttaa hetua kirjastojärjestelmille. Myös Joopas-palvelu on hetun saanut, koska hetu on ainoa luotettava tapa linkittää opiskelijan suorituksia yliopistojen välillä.

    "Joissakin henkilöhakemistoissa on tehtävä erityisiä määrityksiä hakemiston henkilöobjektien tietojen suojaamiseksi. Oletusasetuksilla tiedot saattavat olla perinteisten hakutyökalujen (esim. ldapsearch) saatavilla, ellei niitä erikseen suojata." Hyvä toki säädellä LDAP-attribuuttien julkisuutta, mutta hieman hämmentävää fokusoitua vain LDAP-hakemistoon tässä. Onhan henkilötietojen suojaamiseksi tehtävä paljon muitakin teknisiä ja organisatorisia toimenpiteitä.

    Satuun liittyen kannattaa huomioida mainitun lain 43§, joka nykyisellään estää VRK:ta luovuttamasta satua muuhun käyttöön kuin varmenneautentikointiin.

     

    1. Unknown User (klaalo@csc.fi)

      Kiitos kommenteista, Mikael! Tarkensin tekstiä. Muokkaukset näkyy versiovertailussa v 6 <-> 7 (sivun yläreunan valikosta).

       

  2. Unknown User (mlinden@csc.fi)

    "Sähköisen asointitunnisteen etu on sen pysyvyys henkilön siirtyessä organisaatiosta toiseen." En sanoisi etu vaan piirre. On tilanteita jossa tästä piirteestä on etua (esimerkiksi henkilön itsensä, ei siis työnantajan, omistamat immateriaalioikeudet). Itse olen sitä mieltä, että useimmiten piirteestä on kuitenkin haittaa; monet käyttäjän käyttövaltuudet on sidoksissa hänen ja kotiorganisaation väliseen suhteeseen. Esimerkiksi käyttöluvat tutkimuksen tietoaineistoihin usein raukeavat, kun tutkija vaihtaa työnantajaa.