Luottokorttitiedot voitte noutaa respasta

Yövyin Espoolaisessa hotellissa. Siellä oli oikein mukava vastaanotto. Iloisen ja reippaan palvelun lisäksi respasta sai mm.

  • Wlan-verkon tunnukset,
  • henkilökohtaisen saunavuoron ja
  • toisen asiakkaan luottokorttitiedot.

Odottelin vuoroani hotellin respassa. Asiakaspalvelijalla oli puhelu kesken. Joku teki selkeästi varausta hotelliin. Respan työntekijä kysyi asiakkaan nimen, puhelinnumeron jne. Hän toisti ne varmuuden vuoksi, jotta varaustiedot menisivät kerralla oikein. Viimeiseksi kysyttiin luottokortin numeroa. Hieman jännitti, tuleeko sekin toistettua samaan tapaan.

Valitettavasti.

Soittajan mielestä asiakaskokemus oli varmasti miellyttävä. Minun asiakaskokemukseni sen sijaan jäi tältä osin hieman kyseenalaiseksi.

Jos toimit asiakaspalvelutehtävissä tai vastaat ko. toiminnosta, niin tarkista ohjeistuksenne. Tietoturvallisuus kannattaa sisällyttää itse toimintaan. Jättää vaikka ne luottokortin viimeiset numerot toistamatta.

Vihreät vakoilevat siat

Lukuisissa medioissa on kerrottu tiedustelupalveluiden keräävän ihmisistä tietoja mm. Angry Birds -pelin avulla. Angry Birds on tässä tapauksessa pelkkä sivujuoni. Ongelma on jossain ihan muualla.

Peli mainitaan lähinnä näistä kolmesta syystä:

  1. Kaikkien tuntema sovellus.
  2. Moneen laitteeseen asennettu.
  3. Suomalainen tuote + vakoiluskandaali = paljon kiinnostusta ja huomiota.

Yleistetäämpä hieman: mikä tahansa älypuhelimeen asennettava sovellus saattaa kerätä käyttäjästä tietoja. Oikeastaan mikä tahansa laite tai sovellus, jonka sisälmyksiä (esim. lähdekoodia) ei voi tutkia, saattaa kerätä käyttäjästä sekä ympäristöstä tietoja. Oli se sitten puhelin, tietokone, äly-TV tai kahvinkeitin. Kyllä, nettiin kytkettyjä kahvinkeittimiä on olemassa.

Miten tietoja kerätään?
Ilmaissovellusten tekijät haluavat usein rahoittaa projektejaan jollain tavalla. Yksi keino on myydä mainostilaa sovelluksesta itsestään. Olet varmasti nähnyt mobiilisovelluksissa vaihtuvia mainoksia? Ne ladataan sovellukseen laitteen datayhteyden avulla. Samaa reittiä pitkin tiedot liikkuvat myös toiseen suuntaan kolmansille osapuolille, jotka sitten myyvät tietoja eteenpäin. Tiedustelupalvelut ottavat tietysti tarvitsemansa infon siinä samalla.

Henkilöllä pitäisi aina olla oikeus päättää, kerätäänkö hänestä tietoja vai ei. Tämä on valitettavan hankalaa nykymaailmassa. Toivottavasti meillä on tulevaisuudessa myös sellaisia, kaiken kansan saatavilla olevia mobiililaitteita, -käyttöjärjestelmiä ja -sovelluksia, jotka kunnioittavat käyttäjän yksityisyyttä sekä omaa tahtoa.

Tietojen keruu ei tosin ole vain mobiilisovellusten ongelma. Samanlaista touhua tapahtuu myös esimerkiksi suomalaisilla verkkosivustoilla! Verkkosivujen analytiikkatyökalut sekä sosiaalisen median Tykkää/Jaa -napit keräävät käyttäjistä tietoja.

 

ps. Perun välittömästi puheeni siitä, että Angry Birds on vain sivujuoni tässä tapauksessa. Pelin idea kertoo kaiken oleellisen tietojen keruusta:
”Vihreät siat ovat kaapanneet munat lintujen pesästä, mistä raivostuneet linnut yrittävät ritsan avulla osua sikoihin tai niiden rakennelmiin.” –Wikipedia

Huijaus, petos, arvonta!

Huomasin Matkamessuilla ikävän ilmiön. Näytteilleasettelijat kävivät raakaa psykologista sodankäyntiä vierailijoita vastaan. Ihmishenkiä ei onneksi menetetty, mutta henkilötietoja lähti senkin edestä. Jopa laittomasti? Aseina käytettiin törkeitä ihmismieleen vaikuttavia termejä: ARVONTA ja ILMAINEN näytenumero.

Arvonnan järjestäminen on hyvä keino kerätä lisää yhteystietoja (henkilötietoja) yrityksen markkinointirekisteriin. Arvontaan osallistuvalle tulisi kuitenkin ilmoittaa, että tietoja saatetaan käyttää suoramarkkinointiin. Osallistujalla tulee myös olla mahdollisuus kieltäytyä markkinoinnista (Lähde: Kilpailu- ja kuluttajavirasto).

Henkilökohtaisia huomioita messuhulinan keskeltä

Ihmisille ei aina kerrottu, mihin heidän tietoja tullaan käyttämään.
”Osallistu arvontaan, se vie vain 20 sekuntia”. Porukkaa oli jonoksi asti. Kaikki odottivat pääsyä päättelle, johon saattoi syöttää yhteystietonsa. Missään ei kerrottu käytetäänkö tietoja johonkin muuhun.

Ihmiset eivät tiedosta, mihin tietojaan luovuttavat.
Eräällä arvontapisteellä oli auki www-sivu, johon messuvierailija sai syöttää yhteystietonsa arvontaa varten. Tai näin siis ihmisille sanottiin. Oikeasti sivustolla rekisteröidyttiin uutiskirjeen tilaamiseen. Lomaketta täytettiin sellaisella tahdilla, että kaikkiin teksteihin ei varmasti tutustuttu. Kiirettä pitää, sillä moneen muuhun arvontaan osallistuminen oli vielä edessä.

Esittelijät eivät aina tienneet, miten tietojen keräystilanteessa tulee toimia.
Osa esittelypisteen työntekijöistä kertoi kaiken tarvittavan tietojen keruusta, mutta samaisella pisteellä toimiva työtoveri taas ei. Tämä saattoi olla ”tahallista” tai johtua tietämättömyydestä.

Minulla ei ole mitään arvontoja, uutiskirjeitä tai tietojen keruuta vastaan, kunhan kaikilla osapuolilla on pelisäännöt tiedossa:

  1. Jos keräät ihmisistä tietoa, niin kerro se rehellisesti.
  2. Varmista, että kaikki osapuolet tietävät tietojen keruun tarkoituksen, vastuut, velvollisuudet ja oikeudet.
  3. Jos olet antamassa tietojasi johonkin, niin vaadi saada tietää mihin kaikkeen niitä käytetään.

 

ps. ”Matti, osallistuin niihin kaikkiin arvontoihin sinun sähköpostiosoitteellasi.” aaarhg!

Tietosuojan huomioiminen verkkopalveluiden kävijäseurantaohjelmistoissa

Jokainen www-palvelun ylläpitäjä haluaa varmasti tietää paljonko sivustolla on ollut vierailijoita viime aikoina. Yrityksiä kiinnostaa usein myös vierailijan käyttäytyminen www-palvelussa sekä esimerkiksi mainonnan tehon mittaaminen jne.

Tätä varten otetaan usein käyttöön erillinen tilastointiohjelma tai -palvelu, kuten Google Analytics. Hintalapun lisäksi (Google Analytics: nolla euroa) helppo käyttöönotto sekä ohjelmiston kautta saatavat lisähyödyt tekevät palvelusta houkuttelevan.

Uskallan kuitenkin väittää, että monessa organisaatiossa ei varmastikaan ajatella asiaa palvelun käyttäjän näkökulmasta.
Ongelmat ovat nimittäin samat, kuin sosiaalisen median Tykkää/Jaa -nappien tapauksessa.

Samalla kun www-palvelun ylläpitäjä saa haluamansa kävijätilastot, niin vierailijan tietoja saattaa siirtyä myös ulkopuolisille (ja ulkomaisille) palveluntarjoajille. Useimmiten niin, että käyttäjä ei voi tähän mitenkään vaikuttaa.

Törkeimpiä ovat ne sivustot joiden tietosuojaselosteessa valheellisesti väitetään, että käyttäjän tietoja ei luovuteta ulkopuolisille tahoille. Ennen kuin vierailija on ehtinyt edes selosteita lukemaan, tiedot ovat jo päätyneet muualle.

Miten osapuolten tulisi suhtautua asiaan?

 

Käyttäjän vaikutusmahdollisuudet

Aseta selaimen Älä seuraa / Do not track -toiminto päälle.
Tämä kertoo www-palvelulle, että käyttäjä ei halua tulla seuratuksi. Huom! Tämä ei silti estä www-palvelua seuraamasta sinua.

Asenna selaimeen seurannan estäviä lisäosia.
Yleisimmät seurantaohjelmat ja -tekniikat voidaan estää, mutta 100% estoa on hankala toteuttaa.

Pyri liikkumaan verkossa anonyymisti.
Aiheen laajuudesta johtuen kehotan tässä vain tutustumaan esimerkiksi ns. Tor-verkkoon.

 

Verkkopalvelun ylläpitäjän vaikutusmahdollisuudet

Kunnioita käyttäjän tahtoa.
Jos vierailijan selain kertoo, että käyttäjä ei halua tulla seuratuksi, niin kunnioita sitä! Tämä on samalla moraalinen kysymys. Keräänkö käyttäjästä tietoa esim. liiketoiminnan kehittämisen nimissä vai kunnioitanko hänen tahtoaan pysyä piilossa.

Kartoita ohjelmistovaihtoehdot.
Markkinoilla on myös palveluita joissa kerätyt tiedot säilyvät Suomessa. Voit myös itse ylläpitää tilastointiohjelmistoa jolloin kerätty data ei päädy muille!

Rajoita kerättävän tiedon määrää.
Jos keräät tietoa, niin mieti mitä kaikkea tarvitset. Onko sinun esimerkiksi aivan pakko tallentaa käyttäjän IP-osoite kokonaisuudessaan?

Kerro avoimesti toiminnastasi.
Kun keräät tietoa käyttäjän toiminnasta sivustollasi, niin kerro se käyttäjälle selkeästi. Tällöin vierailija voi itse päättää miten asiaan suhtautuu.

Anna käyttäjälle mahdollisuus valita.
Verkkopalvelu voidaan toteuttaa myös siten, että käyttäjä voi itse vaikuttaa hänestä kerättävien tietojen määrään.

 

Laittakaapa jotain kommenttia aiheesta www-palvelun ylläpitäjän tai vierailijan näkökulmasta!

Tietosuojattomat

Wikipediassa on artikkeli, joka kertoo lainsuojattomista. Pienillä muokkauksilla siitä saa yllätävän osuvasti uuden artikkelin, joka kertoo tietosuojattomista.

Tietosuojaton on henkilö, joka on tuomittu internetin käytön johdosta menettämään ”rauhansa” eli lain antaman yksityisyyden suojan. Käytännössä tämä tarkoittaa, että henkilön liikkeitä ja käyttäytymistä internetissä voidaan helposti seurata. Elinikäinen tietosuojattomuus on rangaistuksena käytössä kaikkialla maailmassa. Määräaikainen tietosuojattomuus on käytännössä mahdoton ajatus.

2000-luvun villissä internetissä tietosuojattomiksi on usein kutsuttu myös tietovuotoja tekeviä henkilöitä. Tällaisen henkilön ilmiantajalle maksetaan varmasti palkkio, jos hän kertoo tiedustelutahoille henkilön sijaintitiedot. Kaksi kuuluisinta lähihistorian tietosuojatonta lienevät Edward Snowden sekä Bradley Manning.

Todellisuudessa tietosuojattomien elämä on ankeaa – internetin alkuajoista lähtien heidän yksityisyytensä on tuomittu menetettäväksi isoille pörssiyhtiöille sekä tiedustelutahoille. Ja kuka tahansa, joka avusti tietosuojatonta, joutui itse naurunalaiseksi, koska tietosuojattoman avustaminen on vainoharhaista puuhaa.

Ne jotka haluavat edelleen säilyttää tietosuojansa joutuvat piileksimään internetin ja sosiaalisen median yhteisöjen ulkopuolella. Heidän yhteytensä nykyaikaiseen tietoyhteiskuntaan ovat käytännössä katsoen katkaistu.

Internet ja sosiaalisen median verkostot mahdollistavat henkilön julistamisen tietosuojattomaksi myös hänen tietämättään. Tutut ja tuntemattomat saattavat levittää hänestä tietoja ilman suostumusta.

Vanha legenda kertoo kuitenkin työkaluista sekä EU-lainsäädännöstä, jotka mahdollistaisivat jatkossa yksityisyyden suojan palauttamisen: henkilöllä olisi ”oikeus tulla unohdetuksi”

Mikäli löydätte muita osuvia yhtäläisyyksiä niin laittakaa ihmeessä kommentteja tai sähköpostia.