GDPR-tietosuoja-asetus ja WordPress

EU:n uusi tietosuoja-asetus GDPR (General Data Protection Regulation) tuli voimaan keväällä 2016 ja sen soveltaminen alkaa 25. toukokuuta 2018. Seravon WP-palvelussa tietoturvan ja tietosuojan kehittäminen ovat olleet keskeisiä jo monta vuotta ja olemme seuranneet GDPR:n valmisteluja pitkään.

Uuden tietosuoja-asetuksen myötä EU:n kansalaisten tietosuoja paranee. Jokaiselle tulee asetuksen nojalla oikeus:

1. Saada tietää, mitä tietoja hänestä kerätään
2. Voida kieltää tietojen kerääminen ja käsittely, mukaan lukien vaatia kerättyjen tietojen poistamista
3. Saada itseään koskevat tiedot koneluettavassa muodossa, jotta tieto on siirettävissä toiseen järjestelmään
4. Oikeus saada tietää tietovuodosta, jossa omia tietoja on voinut vuotaa

Asetuksen myötä henkilötietojen kerääjän eli rekisterinpitäjän sekä henkilötietoja käsittelevien toimijoiden velvollisuudet kasvavat olennaisesti.

EU:n tietosuojaasetus löytyy EUR-Lex-tietopalvelusta. Kansallinen säädöstyö on vielä kesken, mutta Seravo seuraa asian edistymistä. Seravo Oy on Suomeen rekisteröity yritys ja noudatamme kaikkia suomalaisia normistoja nyt ja tulevaisuudessa, joten suomalaisen asiakkaan ei tarvitse murehtia toiminnan suhdetta Suomen lakiin, niin kuin ulkomaisen yrityksen asiakkaana ollessa saattaa joutua tekemään.

Jokainen sivuston omistaja on itse rekisterinpitäjä

Jokainen WP-palvelun asiakasyritys vastaa itse siitä, miten WordPress-sivuston kautta kerätään henkilötietoja, mikäli sellaisia kerätään. Jokainen asiakasyritys vastaa itse myös siitä, mitä kerätyillä tiedoilla tehdään, ja miten taataan rekisteröityjen oikeuksien toteutuminen. Tietosuoja-asetuksen näkökulmasta Seravo Oy voi olla tietojen käsittelijä (data processor) ja jokainen WP-palvelussa sivuston omistava on rekisterinpitäjä (data controller). Seravo pyrkii edistämään asiakkaidensa kykyä toimia rekisterinpitäjänä menestyksekkäästi, mutta Seravo ei millään tavalla määrää tai valvo, mitä tietoja asiakkaiden WordPress-sivustot keräävät sivustojen vierailijoista, miten tietoja käytetään, tai minne sivustojen omistajat tietoja vievät.

WordPress tarjoaa useita toimintoja, jotka helpottavat tietojen asianmukaista käsittelyä. Sivuston rakentajan kannattaa tutustua niihin suunnitellessaan verkkopalvelun on toteuttamista. WordPressiin ei lähtökohtaisesti liity mitään erityistä haastetta GDPR-asetuksen näkökulmasta. GDPR:n taustalla on EU:n pyrkimys suitsia erityisesti amerikkalaisille yrityksille (joita USA:n tietosuojalainsäädäntö ei juurikaan rajoita) tyypillistä käytäntöä, jossa verkkopalveluiden käyttäjistä kerätään kaikki mahdollinen tieto, ja näitä tietoja yhdistellään ja myydään edelleen tavalla, mikä on omiaan heikentämään kansalaisten tietosuojaa. WordPress-julkaisujärjestelmässä ei ole itsessään tällaisia toimintoja sisäänrakennettuna. Toinen tavoite GDPR:llä on pakottaa yrityksiä ottamaan tietoturva vakavammin, jotta laajojen tietovuotojen tapahtuminen olisi epätodennäköisempää. Seravon WP-palvelussa asiakkaiden tietoturva on hyvällä tolalla: tietoturvasta huolehtiminen ja muu palvelinympäristön ylläpito kuuluvat palveluun, toisin kuin kilpailijoilla, joilla on perinteisesti tarjolla vain palvelinkapasiteettia ja on jolloin asiakas itse on täysin vastuussa sen toimivuudesta.

Seravon velvollisuudet tiedon käsittelijänä

Henkilötietojen käsittelijää koskevat vaatimukset on lueteltu GDPR:n 28. artiklassa. Seravo Oy täyttää kaikki vaatimukset.

• Tilausta tehdessään asiakas valitsee, missä maassa sijaitsevaan palvelinkeskukseen sivusto perustetaan. Seravo voi siirtää sivuston eri palvelinkeskukseen saman maan sisällä, mutta sivustoa ei siirretä Seravon toisessa maassa sijaitsevaan palvelinkeskukseen ilman asiakkaan nimenomaista pyyntöä.
• Varmuuskopioita koskee samat sitoumukset ja vaatimukset kuin alkuperäistäkin dataa. Suomessa sijaitsevien sivustojen tiedoista tehtävät varmuuskopiot sijaitsevat myös Suomessa ja varmuuskopioihin on pääsy vain niillä ylläpitäjillä, joilla on pääsy tiedon alkuperäiseenkin versioon.
• Palvelun päättyessä asiakkaan sivusto kaikkine datoineen poistetaan pysyvästi, eikä niitä voida palauttaa varmuuskopioiden tallennusajan päätyttyä.
• Jokainen Seravon henkilökuntaan kuuluva on sitoutunut noudattamaan salassapitovelvollisuutta sekä lain että erillisen sitoumuksen nojalla. Palvelinten pääsyoikeudet ovat tarkoin hallinnoituja. Alihankkijoita ei käytetä tietojen käsittelytoimissa vaan ainoastaan Seravon omalla henkilökunnalla on laillinen pääsy palvelimillamme olevaan dataan.
• Tietojärjestelmien rakenteesta ja tietoturvamekanismeista annetaan asiakkaille laajasti tietoja, kuitenkaan Seravon tai muiden yritysten yrityssalaisuuksia paljastamatta tai paljastamatta sellaisia tietoturvakäytäntöihin liittyviä tietoja, joiden paljastuminen voisi vähentää niiden tehokkuutta.
• Rekisterinpitäjän saataville saatetaan kaikki tiedot, jotka ovat tarpeen GDPR:ssä säädettyjen velvollisuuksien noudattamisen osoittamista varten sekä sallitaan auditoinnit ja tarkastukset siinä laajuudessa, kuin on mahdollista loukkaamatta toisen asiakkaan tai palveluntarjoajan tietosuojaa ja liikesalaisuuksia. Auditoinnista ja tarkastuksesta saatetaan periä maksu, joka on suhteessa tarkastuksessa avustamisen aiheuttamaan työmäärään.
• Asiakkaita tiedotetaan kaikista tietoturvaloukkauksista, joissa asiakkaalla voi rekisterinpitäjänä olla velvollisuus tiedottaa rekisteröidyille tietoturvaloukkauksesta.

Toukokouussa 2018 voimeen tulleet yleiset toimitusehtomme sisältävät tietosuojaliitteen, joka on GDPR:n mukainen sopimus.

Sisäänrakennettu ja oletusarvoinen tietosuoja

EU:n tietosuoja-asetuksen 25. artikla vaalii sisäänrakennetun ja oletusarvoisen tietosuojan periaatetta. WP-palvelussa tietoturva on aina ollut keskeinen osa-alue sekä tietojärjestelmämme suunnittelun että ylläpitokäytäntöjen osalta. Käytännössä tämä näkyy muun muassa siinä, että kaikkiin palvelupaketteihin ja verkkotunnuksiin kuuluu vakiona HTTPS-varmenne verkkoyhteyden suojaamiseksi. Palvelinten ylläpito sekä Seravon henkilökunnan että asiakkaiden itsensä toimesta on mahdollista vain suojatuilla SSH- ja SFTP-yhteyksillä ja suojaamaton FTP-käyttö on kokonaan estetty. Asiakasympäristöissä on vakiona sekä WordPressin että SSH/SFTP-kirjautumisten lokitus auditoitavuuden edistämiseksi, moninaiset tietoturvaskannaukset ovat automaattisia ja säännöllisiä, ja lisäksi Seravon WP-palvelun tietoturvatakuu koskee kaikkia asiakkaita: suojausten pettäessä WordPress-sivustojen tietomurrot siivotaan ilman lisämaksua. Näin ollen kannustin palveluntarjoajan vastuunkantoon on tuntuva.

Seravo Oy:n tausta Linux-pohjaisten järjestelmien ylläpitäjänä on omiaan edistämään palvelun tietoturvaa, koska Linux-järjestelmien käyttäjät ovat usein valinneet sen tietoturvasyistä ja ylläpitokumppanilta on vaadittu korkean tietoturvatason noudattamista.

Seravo kerää ja käyttää vain lokidataa

Seravo Oy ei itse kerää henkilötietoja asiakkaidemme asiakkaista, eikä näin ollen ole rekisterinpitäjä. Palvelinlokeihin tallentuu jälki jokaisesta verkkoyhteydestä ja merkintä sisältää tietoja, kuten mistä IP-osoitteesta yhteys tuli ja milloin, mutta lokeihin ei kerätä henkilön yksilöiviä tietoja. Tietoturvasyistä tallennamme erilliseen lokiin myös tiedon jokaisesta sisäänkirjautumisyrityksestä asiakkaidemme WordPress-sivustoille, sisältäen tiedon siitä, mitä käyttäjätunnusta käytettiin. Jos käyttäjä on itse valinnut käyttäjätunnuksekseen oikean nimen, voi tieto olla yksilöivä. Koska kyseessä on lokitieto, ei siihen tarvitse järjestää pääsyä tai siirrettävyyttä, eikä lokitietoa poisteta kenenkään pyynnöstä, koska se palvelee tietoturvaa eikä loukkaa kenenkään tietosuojaa. Lokitietojen muokkaaminen olisi ristiriidassa auditoitavuuden vaatimuksen kanssa. Lokitietoja käytetään monella tapaa tietoturvan edistämiseen, mikä itsessään palvelee tietojärjestelmiä käyttävien ihmisten tietosuojaa.

Seravon omien tietojen käsittely on kuvattu tällä hetkellä rekisteriselosteessamme, joka 25.5.2018 muutetaan selosteeksi tietojenkäsittelytoimista.

Poistetut tiedostot poistuvat ajan myötä myös varmuuskopioista

GDPR:ään sisältyy, että verkkopalvelun käyttäjillä on oikeus tulla ”unohdetuksi”. Tämä tarkoittaa sitä, että niillä henkilöillä, joista henkilötietoja kerätään, on oikeus nähdä mitä tietoja heistä on kerätty ja myös oikeus saada kyseiset tiedot poistettua. Tämä oikeus toteutuu Seravon WP-palvelussa, sillä emme säilytä mitään tietoja tai tietojen varmuuskopioita ikuisesti.

Varmuuskopiot on tietoturvasyistä toteutettu niin, että ne säilyvät aina tietyn ajan, yleensä joitakin kuukausia. Viive on perusteltu, sillä ilman luotettavia varmuuskopioita, emme voi varmistaa tietojen saatavuutta tai eheyttä, jotka puolestaan luottamuksellisuuden ohella ovat tietoturvan kulmakiviä. Varmuuskopioiden toteuttamisessa on myös huolehdittu siitä, ettei niitä voida millään laillisella tai laittomalla käytöllä tuhota. GDPR ei määrää, miten katselu- ja poistamisoikeus tulee teknisesti toteuttaa. Uskomme vahvasti, että tietoturvan ja tietosuojan edistämiseksi tehdyt toimenpiteet Seravon WP-palvelussa ovat oikeudellisesti tarkasteltuna niin hyvin hoidettu, kuin WordPress-sivuston palvelinympäristön osalta on mahdollista.

Lisätietoja tietosuojavastaavalta ja tietoturvavastaavalta

Seravossa on nimetty sekä tietosuojavastaava että tietoturvavastaava. Kaikissa tietosuojaan ja tietoturvaan liittyvissä asioissa voi ottaa yhteyttä tietoturvatiimiimme osoitteessa security@seravo.fi tai asiakaspalveluumme osoitteessa help@seravo.com.