Published On: 29.03.2019Last Updated: 11.09.2023Categories: Uncategorized

Whatsapp ja tietoturva

Whatsapp on maailman käytetyin pikaviestipalvelu yli 1,5 miljardilla kuukausittaisella käyttäjällään. Se löytyy Suomessakin jo lähes jokaisen älypuhelimen omistajan sovellusvalikoimasta. Sovellus on erittäin kätevä, ja yksityishenkilön kannalta sen tietoturvakin on kohtalaisen hyvällä tasolla, kunhan muistaa säätää asetukset oikein. Viestit ja puhelutsovelluksen kautta ovat salattuja, eikä WhatsApp tallenna viestejä omille palvelimilleen ilman käyttäjän lupaa. Yrityskäytön suhteen yksityishenkilöille suunnattujen pikaviestisovellusten käyttö ei kuitenkaan ole ongelmatonta. Esimerkiksi käyttämällä vääriä asetuksia koko keskusteluhistoria päätyy salaamattomana ulkomaisille palvelimille ja niitä voidaan hyödyntää esimerkiksi käyttäjien profilointiin sekä markkinointitarkoituksiin. Tämä ei ole palvelua käyttävän yrityksen kannalta yhdentekevää, ja kerromme alla miksi.

GDPR ja pikaviestisovellukset

EU:n tietosuoja-asetus GDPR (General Data Protection Regulation) tuli voimaan 25. toukokuuta 2018. Se toi mukanaan useita muutoksia siihen, miten yritysten tulee käsitellä henkilötietoja. Uuden asetuksen myötä monet pikaviestisovellukset lakkasivat käytännössä olemasta varteenotettava vaihtoehto yrityksen viestinnässä. Tietosuoja-asetuksen myötä yksityishenkilöille tulee taata seuraavat oikeudet

  • Henkilöllä tulee olla pääsy itsestään tallennettuihin tietoihin.
  • Hänelle on pyynnöstä taattava tietojen oikaisu.
  • Hänen tietonsa tulee pyydettäessä voida siirtää järjestelmästä toiseen.
  • Henkilölle tulee ilmoittaa häntä koskevasta tietovuodosta 72 tunnin kuluessa tietomurron paljastumisesta.
  • Henkilöllä on oikeus kieltää henkilötietojensa käsittely sekä tulla pyydettäessä poistetuksi yrityksen tietojärjestelmistä.

Tämä aiheuttaa ongelmia yrityksen kannalta. Mikäli samalla laitteella säilytetään henkilöiden yhteystietoja ja käytetään esimerkiksi WhatsAppia, yhteystiedot löytyvät jo todennäköisesti myös WhatsAppin palvelimelta. Lisäksi, mikäli yksikin henkilö ryhmäkeskustelusta on kytkenyt keskustelujen varmuuskopioinnin päälle, keskustelut tallentuvat kokonaisuudessaan salaamattomana WhatsAppin palvelimille. Tiedot eivät tällöin ole käyttäjän itsensä, saati yrityksen, hallittavissa, ja tämä tekee GDPR:n vaatimusten noudattamisesta käytännössä mahdotonta. Lisäksi tuttua palvelua käytettäessä yritykseen syntyy todennäköisesti paljon erilaisia keskusteluryhmiä, joissa käytävät keskustelut ja sitä kautta niistä löytyvä sisältö ei ole millään lailla yrityksen valvottavissa tai hallussa. Jos yritys ei tiedä keskustelujen olemassaolosta tai niiden sisällöstä, se ei myöskään voi taata yksityishenkilöille heidän tietojaan koskevia GDPR:n mukaisia oikeuksia. Tämä on ongelma.

Hyvänä esimerkkinä käytön rajaamisen vaikeudesta on ruotsalaiselle poliisilaitokselle taannoin sattunut tilanne. Kyseisessä tapauksessa poliisit perustivat WhatsAppiin keskusteluryhmän, jota oli tarkoitus käyttää vain yleiseen keskusteluun, eikä missään nimessä arkaluonteisen tiedon jakamiseen. Keskusteluun kuitenkin kutsuttiin vahingossa myös täysin ulkopuolinen henkilö ja lisäksi alle tunnin päästä ryhmän perustamisesta siellä jaettiin jo mm. henkilötietoja sisältäviä kuvia poliisin järjestelmistä. Sovitut käyttötavat eivät siis useinkaan ole riittävä tae tietosuoja-asetusten mukaisesta toiminnasta.

Secapp ratkaisee ongelman

Secappin kehitystyössä näihin asioihin on kiinnitetty huomiota jo kauan ennen GDPR:n voimaantuloa. Niinpä se tarjoaa tänä päivänä kattavien kriittisen viestinnän ominaisuuksiensa ohella myös helpon tavan yrityksen arkisen viestinnän hoitamiseen. Tässä muutama syy, miksi Secapp on hyvä ja tietoturvallinen ratkaisu yrityksen arkiseenkin viestintään:

  • Selkeä ja muista pikaviestimistä tuttu käyttöliittymä sekä ominaisuudet
  • Keskitetty yhteystietojen hallinta
  • Kaikki käsiteltävä tieto pysyy yrityksen hallussa
  • End-to-end salaus viestiliikenteessä sekä mahdollisuus myös sisällön salaukseen
  • Mahdollisuus poistaa sisältöä käyttäjien laitteilta

Käytännössä Secapp voi tarjota muista pikaviestisovelluksista tutut ominaisuudet varmasti tietoturvallisessa ja GDPR:n vaatimukset täyttävässä paketissa. Muiden pikaviestisovellusten tapaan Secappia voidaan käyttää käyttäjien olemassa olevilla laitteilla ja käyttöönotto onnistuu helposti. Jos siis työpaikallasi käytetään vielä WhatsAppia tai muuta yksityishenkilöille suunnattua ratkaisua, niin nyt on korkea aika herätä tarkastelemaan sen soveltuvuutta yrityksen käyttöön. Me Secappilla autamme mielellämme fiksumman ratkaisun pohdinnassa ja toteutuksessa.

Whatsapp ja tietoturva

Whatsapp on maailman käytetyin pikaviestipalvelu yli 1,5 miljardilla kuukausittaisella käyttäjällään. Se löytyy Suomessakin jo lähes jokaisen älypuhelimen omistajan sovellusvalikoimasta. Sovellus on erittäin kätevä, ja yksityishenkilön kannalta sen tietoturvakin on kohtalaisen hyvällä tasolla, kunhan muistaa säätää asetukset oikein. Viestit ja puhelutsovelluksen kautta ovat salattuja, eikä WhatsApp tallenna viestejä omille palvelimilleen ilman käyttäjän lupaa. Yrityskäytön suhteen yksityishenkilöille suunnattujen pikaviestisovellusten käyttö ei kuitenkaan ole ongelmatonta. Esimerkiksi käyttämällä vääriä asetuksia koko keskusteluhistoria päätyy salaamattomana ulkomaisille palvelimille ja niitä voidaan hyödyntää esimerkiksi käyttäjien profilointiin sekä markkinointitarkoituksiin. Tämä ei ole palvelua käyttävän yrityksen kannalta yhdentekevää, ja kerromme alla miksi.

GDPR ja pikaviestisovellukset

EU:n tietosuoja-asetus GDPR (General Data Protection Regulation) tuli voimaan 25. toukokuuta 2018. Se toi mukanaan useita muutoksia siihen, miten yritysten tulee käsitellä henkilötietoja. Uuden asetuksen myötä monet pikaviestisovellukset lakkasivat käytännössä olemasta varteenotettava vaihtoehto yrityksen viestinnässä. Tietosuoja-asetuksen myötä yksityishenkilöille tulee taata seuraavat oikeudet

  • Henkilöllä tulee olla pääsy itsestään tallennettuihin tietoihin.
  • Hänelle on pyynnöstä taattava tietojen oikaisu.
  • Hänen tietonsa tulee pyydettäessä voida siirtää järjestelmästä toiseen.
  • Henkilölle tulee ilmoittaa häntä koskevasta tietovuodosta 72 tunnin kuluessa tietomurron paljastumisesta.
  • Henkilöllä on oikeus kieltää henkilötietojensa käsittely sekä tulla pyydettäessä poistetuksi yrityksen tietojärjestelmistä.

Tämä aiheuttaa ongelmia yrityksen kannalta. Mikäli samalla laitteella säilytetään henkilöiden yhteystietoja ja käytetään esimerkiksi WhatsAppia, yhteystiedot löytyvät jo todennäköisesti myös WhatsAppin palvelimelta. Lisäksi, mikäli yksikin henkilö ryhmäkeskustelusta on kytkenyt keskustelujen varmuuskopioinnin päälle, keskustelut tallentuvat kokonaisuudessaan salaamattomana WhatsAppin palvelimille. Tiedot eivät tällöin ole käyttäjän itsensä, saati yrityksen, hallittavissa, ja tämä tekee GDPR:n vaatimusten noudattamisesta käytännössä mahdotonta. Lisäksi tuttua palvelua käytettäessä yritykseen syntyy todennäköisesti paljon erilaisia keskusteluryhmiä, joissa käytävät keskustelut ja sitä kautta niistä löytyvä sisältö ei ole millään lailla yrityksen valvottavissa tai hallussa. Jos yritys ei tiedä keskustelujen olemassaolosta tai niiden sisällöstä, se ei myöskään voi taata yksityishenkilöille heidän tietojaan koskevia GDPR:n mukaisia oikeuksia. Tämä on ongelma.

Hyvänä esimerkkinä käytön rajaamisen vaikeudesta on ruotsalaiselle poliisilaitokselle taannoin sattunut tilanne. Kyseisessä tapauksessa poliisit perustivat WhatsAppiin keskusteluryhmän, jota oli tarkoitus käyttää vain yleiseen keskusteluun, eikä missään nimessä arkaluonteisen tiedon jakamiseen. Keskusteluun kuitenkin kutsuttiin vahingossa myös täysin ulkopuolinen henkilö ja lisäksi alle tunnin päästä ryhmän perustamisesta siellä jaettiin jo mm. henkilötietoja sisältäviä kuvia poliisin järjestelmistä. Sovitut käyttötavat eivät siis useinkaan ole riittävä tae tietosuoja-asetusten mukaisesta toiminnasta.

Secapp ratkaisee ongelman

Secappin kehitystyössä näihin asioihin on kiinnitetty huomiota jo kauan ennen GDPR:n voimaantuloa. Niinpä se tarjoaa tänä päivänä kattavien kriittisen viestinnän ominaisuuksiensa ohella myös helpon tavan yrityksen arkisen viestinnän hoitamiseen. Tässä muutama syy, miksi Secapp on hyvä ja tietoturvallinen ratkaisu yrityksen arkiseenkin viestintään:

  • Selkeä ja muista pikaviestimistä tuttu käyttöliittymä sekä ominaisuudet
  • Keskitetty yhteystietojen hallinta
  • Kaikki käsiteltävä tieto pysyy yrityksen hallussa
  • End-to-end salaus viestiliikenteessä sekä mahdollisuus myös sisällön salaukseen
  • Mahdollisuus poistaa sisältöä käyttäjien laitteilta

Käytännössä Secapp voi tarjota muista pikaviestisovelluksista tutut ominaisuudet varmasti tietoturvallisessa ja GDPR:n vaatimukset täyttävässä paketissa. Muiden pikaviestisovellusten tapaan Secappia voidaan käyttää käyttäjien olemassa olevilla laitteilla ja käyttöönotto onnistuu helposti. Jos siis työpaikallasi käytetään vielä WhatsAppia tai muuta yksityishenkilöille suunnattua ratkaisua, niin nyt on korkea aika herätä tarkastelemaan sen soveltuvuutta yrityksen käyttöön. Me Secappilla autamme mielellämme fiksumman ratkaisun pohdinnassa ja toteutuksessa.