Tietosuojahuolten arvioinnin kehittäminen henkilötietoperusteisissa dataintensiivisissä palveluissa
Väitöstilaisuuden tiedot
Väitöstilaisuuden päivämäärä ja aika
Väitöstilaisuuden paikka
L2, Linnanmaa
Väitöksen aihe
Tietosuojahuolten arvioinnin kehittäminen henkilötietoperusteisissa dataintensiivisissä palveluissa
Väittelijä
Diplomi-insinööri Anna Rohunen
Tiedekunta ja yksikkö
Oulun yliopiston tutkijakoulu, Tieto- ja sähkötekniikan tiedekunta, Empiirinen ohjelmistotuotanto ohjelmistoissa, järjestelmissä ja palveluissa (M3S)
Oppiaine
Tietojenkäsittelytiede
Vastaväittäjä
Professori Virpi Tuunainen, Aalto-yliopiston kauppakorkeakoulu
Kustos
Dosentti Jouni Markkula, Oulun yliopisto
Tietosuojahuolten arvioinnin kehittäminen on tarpeen uusissa henkilötietoperusteisissa palveluissa
Tietosuojahuolten arviointimenetelmiä voidaan hyödyntää henkilötietoperusteisten palveluiden tietosuojaratkaisujen suunnittelussa ja kehittämisessä. Väitöstutkimuksessa selvitettiin olemassa olevien arviointimenetelmien soveltuvuutta uusiin henkilötiedon keruuympäristöihin. Tutkimuksessa tunnistettiin selkeä tarve tietosuojahuolten arvioinnin kehittämiselle. Tutkimuksen tuloksena esitetään, kuinka arviointeja tulisi toteuttaa muuttuvissa tiedonkeruuympäristöissä.
Digitaalisten palveluiden käyttäjien tietoja on nykyään mahdollista kerätä ja käsitellä hyvin monenlaisin tavoin. Käyttäjien tietoja hyödynnetään esimerkiksi sähköisessä kaupankäynnissä, älyliikenteessä ja hyvinvointisovelluksissa. Palveluiden nopeaan kehittymiseen ja uusiin tietojen keruu- ja käsittelytapoihin liittyy myös kysymyksiä palveluiden käyttäjien tietosuojasta ja siihen kohdistuvista riskeistä. Tietoturvaloukkausten mahdollisuus saattaa saada käyttäjissä aikaan huolestuneisuutta. Tietosuojaan kohdistuvat huolet puolestaan voivat vähentää käyttäjien halukkuutta luovuttaa henkilötietojaan palveluiden käyttöön ja siten hidastaa palveluiden käyttöönottoa tai jopa johtaa niiden käytön lopettamiseen.
Yrityksille palveluiden tarjoamisesta syntyvä taloudellinen hyöty voi tällöin jäädä odotettua heikommaksi. Vastaavasti yhteiskuntataloudellinen tehokkuus kärsii, mikäli olemassa olevia teknologisia resursseja ei pystytä hyödyntämään parhaalla mahdollisella tavalla.
Henkilötietoperusteisten palveluiden suunnittelussa ja kehittämisessä tarvitaan ymmärrystä käyttäjien tietosuojahuolista. Tällaisen ymmärryksen avulla tietojenkäsittelyä pystytään toteuttamaan käyttäjien yksityisyydensuojan tarpeet huomioiden. Tietosuojahuolia voidaan arvioida tähän tarkoitukseen kehitetyillä menetelmillä, esimerkiksi kyselytutkimusten avulla.
Väitöstutkimuksessa haettiin vastauksia siihen, kuinka olemassa olevia tietosuojahuolten arviointimenetelmiä tulisi soveltaa uusien henkilötietoperusteisten palveluiden parissa. Tutkimuksessa selvitettiin aluksi haastatteluin ja kyselytutkimuksin älyliikenteen palveluiden käyttäjien näkemyksiä tietosuojasta. Tämän jälkeen toteutettiin kirjallisuustutkimus tietosuojakäyttäytymisen malleista sekä katsaus EU:n tietosuojalainsäädännön muutoksista. Näiden tutkimusten avulla täydennettiin empiirisiä tutkimustuloksia ja saatiin kattava käsitys tietosuojahuolten arvioinnin kehittämismahdollisuuksista muuttuvissa tiedonkeruuympäristöissä.
Tutkimuksen tulokset osoittavat, että tietosuojahuolten arviointia on mukautettava uusiin tiedonkeruuympäristöihin. Näissä ympäristöissä tietosuojahuolet poikkeavat aikaisemmista erityisesti siksi, että nykyiset palveluekosysteemit ovat monimutkaisia ja käyttäjien tietoisuus järjestelmien toiminnasta voi olla puutteellista. Esimerkiksi mahdollisuudet yhdistää eri tavoin kerättyjä tietoja useita käyttötarkoituksia varten voivat saada aikaan uudenlaisia tietosuojahuolia. Arviointeja tehtäessä on otettava huomioon myös se, että käyttäjät saattavat pohtia tietosuoja-asioita olematta kuitenkaan henkilökohtaisesti huolissaan tietosuojastaan. Näin voi tapahtua esimerkiksi henkilötietoperusteisista palveluista uutisoitaessa.
Oman haasteensa tietosuojahuolten arvioinnin kehittämiseen tuo nykyisen tietosuojatutkimuksen epäyhtenäinen luonne. Väitöstutkimuksessa havaittiin tarve paitsi tietosuojahuolten arvioinnin kehittämiselle myös tutkimusalueen viemiselle kokonaisvaltaisempaan suuntaan.
Digitaalisten palveluiden käyttäjien tietoja on nykyään mahdollista kerätä ja käsitellä hyvin monenlaisin tavoin. Käyttäjien tietoja hyödynnetään esimerkiksi sähköisessä kaupankäynnissä, älyliikenteessä ja hyvinvointisovelluksissa. Palveluiden nopeaan kehittymiseen ja uusiin tietojen keruu- ja käsittelytapoihin liittyy myös kysymyksiä palveluiden käyttäjien tietosuojasta ja siihen kohdistuvista riskeistä. Tietoturvaloukkausten mahdollisuus saattaa saada käyttäjissä aikaan huolestuneisuutta. Tietosuojaan kohdistuvat huolet puolestaan voivat vähentää käyttäjien halukkuutta luovuttaa henkilötietojaan palveluiden käyttöön ja siten hidastaa palveluiden käyttöönottoa tai jopa johtaa niiden käytön lopettamiseen.
Yrityksille palveluiden tarjoamisesta syntyvä taloudellinen hyöty voi tällöin jäädä odotettua heikommaksi. Vastaavasti yhteiskuntataloudellinen tehokkuus kärsii, mikäli olemassa olevia teknologisia resursseja ei pystytä hyödyntämään parhaalla mahdollisella tavalla.
Henkilötietoperusteisten palveluiden suunnittelussa ja kehittämisessä tarvitaan ymmärrystä käyttäjien tietosuojahuolista. Tällaisen ymmärryksen avulla tietojenkäsittelyä pystytään toteuttamaan käyttäjien yksityisyydensuojan tarpeet huomioiden. Tietosuojahuolia voidaan arvioida tähän tarkoitukseen kehitetyillä menetelmillä, esimerkiksi kyselytutkimusten avulla.
Väitöstutkimuksessa haettiin vastauksia siihen, kuinka olemassa olevia tietosuojahuolten arviointimenetelmiä tulisi soveltaa uusien henkilötietoperusteisten palveluiden parissa. Tutkimuksessa selvitettiin aluksi haastatteluin ja kyselytutkimuksin älyliikenteen palveluiden käyttäjien näkemyksiä tietosuojasta. Tämän jälkeen toteutettiin kirjallisuustutkimus tietosuojakäyttäytymisen malleista sekä katsaus EU:n tietosuojalainsäädännön muutoksista. Näiden tutkimusten avulla täydennettiin empiirisiä tutkimustuloksia ja saatiin kattava käsitys tietosuojahuolten arvioinnin kehittämismahdollisuuksista muuttuvissa tiedonkeruuympäristöissä.
Tutkimuksen tulokset osoittavat, että tietosuojahuolten arviointia on mukautettava uusiin tiedonkeruuympäristöihin. Näissä ympäristöissä tietosuojahuolet poikkeavat aikaisemmista erityisesti siksi, että nykyiset palveluekosysteemit ovat monimutkaisia ja käyttäjien tietoisuus järjestelmien toiminnasta voi olla puutteellista. Esimerkiksi mahdollisuudet yhdistää eri tavoin kerättyjä tietoja useita käyttötarkoituksia varten voivat saada aikaan uudenlaisia tietosuojahuolia. Arviointeja tehtäessä on otettava huomioon myös se, että käyttäjät saattavat pohtia tietosuoja-asioita olematta kuitenkaan henkilökohtaisesti huolissaan tietosuojastaan. Näin voi tapahtua esimerkiksi henkilötietoperusteisista palveluista uutisoitaessa.
Oman haasteensa tietosuojahuolten arvioinnin kehittämiseen tuo nykyisen tietosuojatutkimuksen epäyhtenäinen luonne. Väitöstutkimuksessa havaittiin tarve paitsi tietosuojahuolten arvioinnin kehittämiselle myös tutkimusalueen viemiselle kokonaisvaltaisempaan suuntaan.
Viimeksi päivitetty: 23.1.2024