Turvalaitteiden tietoturva ja yksityisyys: riskien hallinta

Turvalaitteiden tietoturva ja yksityisyys: riskien hallinta
Sisällysluettelo
Tarkistanut Antti Lahtinen

Ikääntyvien koteihin asennettujen turvalaitteiden – GPS-paikantimien, kaatumishälyttimien, hyvinvointisensoreiden ja älykellon – määrä on kasvanut Suomessa nopeasti: Tilastokeskuksen tieto- ja viestintätekniikan käyttötutkimuksen mukaan yli 65-vuotiaiden älylaitteen omistaminen on yli kaksinkertaistunut viidessä vuodessa. Samalla näihin laitteisiin kerättävä henkilötieto – sijaintidata, sykearvot, liiketunnistimen lokitiedot – on arkaluonteisempaa kuin moni käyttäjä ymmärtää. Tässä artikkelissa käymme läpi keskeisimmät tietoturvariskit, yksityisyyden suojan velvoitteet ja käytännön toimet, joilla riskejä voidaan hallita.

LyhyestiIkääntyvien turvalaitteet keräävät jatkuvasti arkaluonteista terveys- ja sijaintidataa, jota säädellään EU:n yleisellä tietosuoja-asetuksella (GDPR) ja Suomen tietosuojalailla. Tärkein yksittäinen toimenpide on valita laite, jonka valmistaja käsittelee datan EU:n alueella ja tarjoaa kirjallisen tietojenkäsittelysopimuksen – näin minimoidaan sekä tietomurtoriski että lainvastaiset tiedonsiirrot kolmansiin maihin.

Miksi turvalaitteiden tietoturva koskee erityisesti ikääntyviä

Ikääntyvät käyttäjät ovat erityisen haavoittuvainen ryhmä digitaalisessa ympäristössä. Turvalaitteet – kuten turvapuhelimet, kaatumishälyttimet ja GPS-paikantimien – keräävät tietoa, joka paljastaa käyttäjän päivittäiset liikkeet, terveydentilan muutokset ja kodin rutiinit. Jos tämä data päätyy vääriin käsiin, se voi mahdollistaa asuntomurron (käyttäjä on poissa), taloudellisen hyväksikäytön tai henkilöllisyysvarkauden.

Euroopan unionin tietosuoja-asetus (GDPR, asetus 2016/679) luokittelee terveyteen liittyvät tiedot erityisen arkaluonteiseksi kategoriaksi, jonka käsittely edellyttää nimenomaista suostumusta tai muuta erityistä oikeusperustaa. Suomessa tätä täydentää tietosuojalaki (1050/2018). Tietosuojavaltuutetun toimisto valvoo näiden sääntöjen noudattamista ja voi määrätä merkittäviä hallinnollisia sakkoja – enintään 20 miljoonaa euroa tai neljä prosenttia yrityksen vuotuisesta maailmanlaajuisesta liikevaihdosta.

IoT-laitteiden tietoturva-aukkojen osuus kaikista havaituista haavoittuvuuksista (ENISA 2024)38 % (ENISA Threat Landscape 2024)
Suomessa yli 65-vuotiaista internetiä käyttävien osuus (2024)79 % (Tilastokeskus, SVT 2024)
GDPR-rikkomuksista määrättyjen sakkojen kokonaismäärä EU:ssa (2024 loppuun mennessä)yli 4,5 mrd € (DLA Piper GDPR Fines Report 2025)
Henkilötietojen tietoturvaloukkausilmoitusten määrä Suomessa (2024)yli 2 400 (Tietosuojavaltuutetun toimisto, vuosikertomus 2024)
Ikääntyvän ranteessa turvahälytin-älykello, joka näyttää syketietoja

Turvalaitteiden keräämä data: mitä tallennetaan ja minne

Turvalaitteiden datankeruu vaihtelee laitteen tyypin mukaan. On tärkeää tietää tarkasti, mitä omasta laitteesta tallennetaan, sillä eri laitteet käsittelevät tietoja hyvin eri tavoin.

LaitetyyppiTyypilliset datatyypitTiedon säilytysaika (tyypillinen)Palvelimen sijainti
Turvapuhelin / turvarannekeGPS-sijainti, hälytyshistoria, puhelulokit6–24 kuukauttaUsein Eurooppa tai valmistajan kotimaa
KaatumishälytinKiihtyvyysdata, aikaleima, hälytyslokit3–12 kuukauttaVaihtelee (EU tai kolmas maa)
GPS-paikannin (muistisairaat)Reaaliaikainen sijainti, liikehistoria1–6 kuukauttaUsein pilvipalvelu (AWS, Azure)
Älykello (seniori)Syke, SpO2, unidata, askelmäärä, EKG3–36 kuukauttaValmistajasta riippuen (usein USA tai Kiina)
Liiketunnistimet / kotisensoritLiiketapahtumat, kotiolosuhteet1–12 kuukauttaPilvipalvelu tai paikallinen hub
Taulukko 1. Yleisimpien turvalaitteiden datankeruu ja tyypillinen tallennusaika. Lähteet: laitteiden tietosuojakäytännöt ja ENISA IoT Security Guidelines 2024.

Erityistä huomiota ansaitsee data, joka siirretään EU:n ulkopuolelle. Monet kiinalaiset ja yhdysvaltalaiset valmistajat – esimerkiksi Huawei Health, Fitbit (Google) ja jotkut SOS-rannekevalmistajat – tallentavat dataa palvelimille, jotka sijaitsevat EU:n ulkopuolella. GDPR sallii tämän vain, jos vastaanottajamaassa on riittävä tietosuojan taso tai käytössä on EU:n hyväksymät vakiosopimuslausekkeet (Standard Contractual Clauses, SCC).

Hyvä tietääTarkista aina laitteen tietosuojaselosteesta, mihin maahan data siirretään. EU:n komissio on toistaiseksi myöntänyt ns. riittävyysratkaisun mm. Japanille, Kanadalle (kaupallinen data) ja Iso-Britannialle. Yhdysvaltain osalta on voimassa EU-U.S. Data Privacy Framework (2023), mutta sen oikeudellinen kestävyys on edelleen kiistanalainen.

Yleisimmät tietoturvariskit IoT-turvalaiteympäristöissä

Euroopan verkko- ja tietoturvavirasto ENISA on tunnistanut IoT-laitteiden keskeisimmät haavoittuvuudet. Turvalaitteet, joita käyttävät ikääntyvät, ovat erityisen alttiita seuraaviin uhkiin:

  • Heikot oletussalasanat: Monet halvemmat laitteet toimitetaan oletussalasanalla (esim. ”admin”/”1234”), jota käyttäjä ei vaihda. Tämä on edelleen yleisin yksittäinen tietoturva-aukko IoT-laitteissa (ENISA 2024).
  • Salaamaton tiedonsiirto: Jotkut vanhemmat laitteet käyttävät HTTP-protokollaa HTTPS:n sijaan tai eivät salaa Bluetooth-yhteyttä, jolloin lähistöllä oleva hyökkääjä voi siepata datan.
  • Vanhentuneet ohjelmistot: Valmistajat lopettavat tietoturvapäivitysten julkaisun usein jo 2–3 vuoden kuluttua laitteen markkinoille tulosta. Tämä jättää laitteet alttiiksi tunnetuille haavoittuvuuksille.
  • Kolmannen osapuolen sovellukset: Käyttäjä asentaa laitteen hallintasovelluksen älypuhelimeen, mutta itse sovelluksella on laajat käyttöoikeudet – pääsy kontakteihin, mikrofoniin tai kameraan – joita laitteen toiminta ei vaadi.
  • Datavuodot palveluntarjoajan päässä: Kun valmistaja tai palveluntarjoaja kokee tietomurron, myös käyttäjien laiteen data vaarantuu. Tietomurtoja on tapahtunut esimerkiksi lääkinnällisten laitteiden alustantarjoajille.
”Oletussalasanojen vaihtaminen ja automaattisten päivitysten käyttöönotto ovat kaksi yksinkertaisinta toimenpidettä, joilla kotiturvalaitteiden tietoturvataso paranee merkittävästi.”

Käytännössä ikääntyvän omaiset tai hoivahenkilöstö ovat usein ne, jotka ottavat turvalaitteet käyttöön. Tietoturvavastuu jakautuu tällöin usealle osapuolelle: laitteen käyttäjälle, omaiselle, palveluntarjoajalle ja mahdollisesti kunnalle tai hyvinvointialueelle, joka on laiteen hankkinut.

GDPR ja tietosuojalaki: mitä ne vaativat turvalaitteiden käytössä

Turvalaitteiden käyttö on tietosuojalainsäädännön näkökulmasta henkilötietojen käsittelyä, johon GDPR soveltuu täysimääräisesti. Keskeisimmät vaatimukset ovat:

  • Oikeusperusta käsittelylle: GPS-paikantimen käyttö muistisairaalle läheiselle edellyttää joko rekisteröidyn suostumusta, elintärkeän edun suojaamista tai lakisääteistä velvoitetta. Pelkästään perheen mukavuus tai ”yleinen etu” ei riitä oikeusperustaksi.
  • Tietosuojaselosteen toimittaminen: Rekisterinpitäjä (esim. kunta tai yksityinen palveluntarjoaja) on velvollinen toimittamaan rekisteröidylle selkeän tietosuojaselosteen ennen tietojen keräämistä.
  • Tietojen minimointi: Kerättävä tieto tulee rajata siihen, mikä on välttämätöntä käyttötarkoituksen kannalta. GPS-seurannan ei tarvitse tallentaa liikehistoriaa kuukausiksi, jos tarkoitus on vain paikantaa eksynyt henkilö.
  • Tietoturvaloukkauksen ilmoittaminen: Jos henkilötietoja vuotaa, rekisterinpitäjän on ilmoitettava siitä tietosuojavaltuutetulle 72 tunnin kuluessa ja usein myös rekisteröidylle itselleen.

Erityishuomiota vaativat tilanteet, joissa ikääntyvä ei kykene itse antamaan tietoista suostumustaan – esimerkiksi pitkälle edenneen muistisairauden vuoksi. Tällöin edunvalvoja voi edustaa henkilöä, mutta toiminnan on silti oltava rekisteröidyn etujen mukaista. Tietosuojavaltuutetun toimisto on julkaissut ohjeet muistisairaiden henkilötietojen käsittelystä hoivapalveluissa.

Miksi tämä on tärkeääIkääntyvän terveys- ja sijaintidata on GDPR:n mukaan erityisen arkaluonteista tietoa (artikla 9). Sen luvaton käsittely voi johtaa jopa 20 miljoonan euron sakkoon tai neljään prosenttiin yrityksen vuotuisesta maailmanlaajuisesta liikevaihdosta – sen mukaan kumpi on suurempi.

Laitevalinta tietoturvan ja yksityisyyden näkökulmasta

Laitevalinnalla on suuri merkitys yksityisyydensuojan kannalta. Seuraavassa taulukossa on vertailtu yleisimpien turvalaiteluokkien tietoturvaominaisuuksia tärkeimpien kriteerien mukaan.

KriteeriMitä etsiä hyvästä laitteestaVaroitusmerkit
SalausprotokollaTLS 1.2 tai uudempi, end-to-end -salausHTTP-yhteys, ”WEP” Wi-Fi
Tietojen sijaintiEU-pohjainen pilvi (esim. AWS EU Frankfurt, Azure Pohjois-Eurooppa)Epämääräinen ”cloud” ilman maarajausta
PäivityspolitiikkaValmistaja sitoutuu tietoturvapäivityksiin min. 5 vuodeksiEi mainintaa päivityksistä tai lyhyt tukiaika
Sovelluksen käyttöoikeudetVain välttämättömät käyttöoikeudet (sijainti hälytyksen aikana, ei jatkuvasti)Pyytää pääsyä kontakteihin, mikrofoniin tai kameraan ilman syytä
TietosuojaselosteSelkeä, suomenkielinen, kertoo tiedonsiirrot kolmansiin maihinVain englanniksi, ylimalkainen tai puuttuu kokonaan
SertifioinnitCE-merkintä, mahdollinen ISO 27001Tuntematon alkuperä, ei sertifioinneja
Taulukko 2. Turvalaitteiden tietoturvavertailu valinnan tueksi. Lähteet: ENISA IoT Security Guidelines 2024, tietosuojavaltuutetun toimiston suositukset.

Suomalaisilla markkinoilla on tarjolla useita EU-alueella toimivia turvalaiteratkaisuja. Doro Care, Everon (entinen Tunstall) ja SOS Alarm ovat esimerkkejä palveluntarjoajista, joilla on vahva jalansija Pohjoismaissa ja joiden infrastruktuuri sijaitsee pääosin EU:n alueella. Eurooppalaisten laitteiden etuna on myös se, että valmistajaan on helpompi vedota GDPR-oikeuksien perusteella kuin kolmansien maiden toimijoihin.

Kunnalliset ja hyvinvointialueiden hankinnat noudattavat julkisia hankintoja koskevia lakeja, ja niihin sisällytetään yleensä tietoturva- ja tietosuojavaatimukset sopimusehdoissa. Yksityishenkilön itse hankkiman laitteen osalta vastuu jää enemmän kuluttajan omalle harkinnalle. Lisätietoa hankinnasta löytyy artikkelista turvatekniikan asennus ja käyttöönotto.

Kotireititin ja älykotikeskus turvallisella kotiverkolla symboloituna lukolla

Käytännön toimenpiteet: näin suojaat turvalaitteet

Tekninen tietoturva ei tarkoita vain laitevalmistajien vastuuta. Loppukäyttäjät ja omaiset voivat tehdä paljon parantaakseen turvallisuutta arjessa. Seuraavat toimenpiteet ovat käytännössä testattuja ja suositeltuja.

  • Vaihda oletussalasanat heti: Kaikki Wi-Fi-verkkoon tai sovellukseen kirjautuvat laitteet pitää suojata yksilöllisellä, vähintään 12 merkin salasanalla. Käytä salasananhallintaohjelmaa (kuten Bitwarden tai 1Password) muistamisen helpottamiseksi.
  • Ota automaattiset päivitykset käyttöön: Sekä laitteen firmware-päivitykset että sovelluksen päivitykset pitää sallia automaattisesti. Useimmissa laitteissa tämä asetus löytyy sovelluksen asetuksista.
  • Eristä laitteet omaan verkkosegmenttiin: Kodin Wi-Fi-reitittimessä voi luoda erillisen ”IoT-verkon”, johon turvalaitteet yhdistetään. Tällöin laitteen mahdollinen tietoturvaongelma ei pääse leviämään tietokoneille tai puhelimille.
  • Tarkista sovelluksen käyttöoikeudet: Androidissa ja iOS:ssa voi tarkastaa, mitä käyttöoikeuksia turvalaitteiden sovelluksilla on. Poista tarpeettomat oikeudet (esim. mikrofoni, kamera, kontaktit).
  • Lue tietosuojaseloste: Erityisesti kohdat, jotka koskevat tiedon jakamista kolmansille osapuolille ja tietojen siirtoa EU:n ulkopuolelle, kannattaa lukea ennen laitteen aktivoimista.
  • Käytä kaksivaiheista tunnistautumista: Jos laitteen sovellus tukee kaksivaiheista tunnistautumista (2FA), se kannattaa ottaa käyttöön. Se estää tilin käytön, vaikka salasana vuotaisi.
”Erillinen IoT-verkko kotireitittimessä on yksi tehokkaimmista yksittäisistä teknisistä toimenpiteistä – se eristää turvalaitteet ja estää yksittäisen laitteen haavoittuvuuden leviämisen koko kotiverkkoon.”

Etäseuranta ja hyvinvointisensorit asettavat myös erityisiä vaatimuksia tietoliikenteen suojaukselle. Etäseurannan oppaassamme käymme tarkemmin läpi eri sensorityypeille sopivat ratkaisut.

Tietoturvaloukkauksen jälkeen: vianetsintä ja toimenpiteet

Jos epäilet, että turvalaite tai siihen liittyvä tili on vaarantunut, toimi järjestelmällisesti. Epäilyttäviä merkkejä ovat esimerkiksi: sovellus pyytää kirjautumista uudelleen ilman selkeää syytä, laite käyttäytyy epänormaalisti, tietoja on muuttunut tai ulkopuolinen on ottanut yhteyden tunnuksellasi.

  • Vaihda salasana välittömästi: Kirjaudu palvelun verkkosivulle ja vaihda salasana. Jos sama salasana on käytössä muissakin palveluissa, vaihda se kaikkialla.
  • Katkaise laitteen internet-yhteys: Jos haluat tutkia tilannetta rauhassa, irrota laite tilapäisesti verkosta Wi-Fi-asetuksista tai poistamalla se kotiverkosta reitittimen hallintapaneelissa.
  • Ota yhteyttä palveluntarjoajaan: Ilmoita epäilyttävästä toiminnasta laitteen tai palvelun asiakaspalveluun. Kysy myös, onko palveluun kohdistunut laajempaa tietomurtoa.
  • Tee ilmoitus tietosuojavaltuutetulle: Jos henkilötietoja on vaarantunut, tietosuojavaltuutetun toimistolle voi tehdä ilmoituksen. Rekisterinpitäjällä on velvollisuus ilmoittaa loukkaukset 72 tunnin sisällä.
  • Ilmoita pankkiin, jos taloudellisia tietoja on vaarantunut: GPS-data tai liiketunnistindata voi paljastaa kodin tyhjenemisen ajat. Jos epäilet murtovarastusta kotitalousvarkauden yhteydessä, ilmoita asia poliisille.

Turvatekniikan hankinnan yhteydessä kannattaa perehtyä myös tukiin ja kustannuksiin, sillä kunnat ja hyvinvointialueet edellyttävät usein tietynlaista tietoturvasertifikaattia hankintasopimuksen perusteena.

Yksityisyys perheen sisällä: kenen dataa turvalaite kerää

Yksi harvoin ääneen sanottu yksityisyyskysymys on perheen sisäinen tiedonkeruu. GPS-paikannin muistisairaalle tai liiketunnistin kotona keräävät tietoa, jota omainen tai palveluntarjoaja seuraa. Ikääntyvällä on kuitenkin lain mukaan oikeus yksityisyyteensä myös perheensä suhteen.

Suomen perustuslain 10 § takaa jokaiselle yksityisyyden suojan. Sosiaali- ja terveysministeriön ohjeistuksen mukaan kotona asuvan ikääntyvän digitaalinen seuranta on sallittua vain, kun se perustuu henkilön omaan suostumukseen tai edunvalvojan päätökseen silloin, kun toimintakyky ei enää mahdollista oman suostumuksen antamista.

Käytännössä tämä tarkoittaa, että ennen kuin älykodin turvatekniikkaa asennetaan, perheen kannattaa käydä avoin keskustelu siitä, mitä tietoja kerätään, kuka pääsee niihin käsiksi ja miten kauan niitä säilytetään. Tiedonkäsittelysopimus voi auttaa selkiyttämään vastuut myös perheen sisällä.

Hyvä tietääIkääntyvällä on oikeus pyytää koska tahansa tutustumaan hänestä kerättyihin tietoihin (tarkastusoikeus, GDPR artikla 15), pyytää tietojen korjaamista (artikla 16) tai poistamista (artikla 17). Nämä oikeudet kuuluvat rekisteröidylle riippumatta siitä, onko laite hankittu yksityisesti tai kunnan kautta.

Usein kysytyt kysymykset (UKK)

Onko GPS-paikantimen käyttö muistisairaalle laillista ilman hänen suostumustaan?

Kysymys on juridisesti herkkä. GDPR ja Suomen tietosuojalaki edellyttävät pääsääntöisesti rekisteröidyn suostumusta tai muuta laillista käsittelyperustaa. Muistisairaan kohdalla, jonka toimintakyky on heikentynyt, suostumus voidaan antaa laillisen edunvalvojan kautta. Jos edunvalvojaa ei ole, omaisen toiminta voi perustua ”elintärkeän edun” suojaamiseen (GDPR artikla 6(1)(d)), mutta tämä edellyttää, että GPS-seuranta on tosiasiallisesti välttämätöntä henkilön turvallisuuden kannalta. Pelkkä omaisen huolestuneisuus ei riitä – tilanteen on oltava vakava ja välitön riski. Suosittelemme konsultoimaan tietosuojavaltuutetun toimistoa tai oikeudellista neuvonantajaa ennen toimenpiteitä.

Voiko kiinalaisvalmistajan turvalaite olla GDPR-yhteensopiva?

Kyllä, mutta vain tietyin edellytyksin. GDPR soveltuu kaikkiin rekisterinpitäjiin, jotka käsittelevät EU-kansalaisten tietoja – riippumatta valmistajan kotivaltiosta. Kiinalaisvalmistajan laite voi olla GDPR-yhteensopiva, jos tietojen siirto Kiinaan on järjestetty vakiosopimuslausekkein (SCC) tai muulla hyväksytyllä mekanismilla, tietosuojaseloste on saatavilla EU:n virallisilla kielillä, käyttäjällä on tosiasiallinen mahdollisuus käyttää GDPR-oikeuksiaan, ja laite täyttää EU:n kyberturvallisuusvaatimukset. Käytännössä monet kiinalaisvalmistajat käyttävät EU-alueella erillisiä palvelimia juuri tästä syystä – esimerkiksi Huawei Health käyttää EU-dataan Frankfurtissa sijaitsevia palvelimia. Tarkista aina laitteen tietosuojaselosteesta siirtojen käytännöt.

Mitä tarkoittaa end-to-end -salaus turvalaitteiden yhteydessä?

End-to-end -salaus (E2E) tarkoittaa, että data salataan lähettävässä laitteessa ja puretaan vasta vastaanottajalla – eikä edes palveluntarjoaja pysty lukemaan dataa kuljetuksen aikana. Turvalaitteiden osalta tämä on parasta mahdollista tietosuojaa: vaikka palveluntarjoajan palvelin murrettaisiin, hyökkääjä saisi vain salakirjoitettua dataa. Käytännössä kaikki laadukkaita turvallisuuslaitteita valmistavat EU-alueen toimijat käyttävät vähintään TLS-salausta liikenteessä. Täysi E2E-salaus on vähemmän yleistä mutta kasvava trendi etenkin terveysdataa käsittelevissä laitteissa. Ennen ostopäätöstä kannattaa kysyä valmistajalta kirjallisesti, käyttääkö laite TLS 1.2/1.3 -salausta sekä siirrossa että varastoinnissa.

Kuka vastaa tietoturvaloukkauksen ilmoittamisesta, jos laite on kunnan hankkima?

GDPR:n mukaan ilmoitusvelvollisuus on rekisterinpitäjällä. Käytännössä rekisterinpitäjä on se taho, joka on määrittänyt henkilötietojen käsittelyn tarkoituksen ja keinot. Jos kunta tai hyvinvointialue on hankkinut laitteen ja järjestänyt palvelun, rekisterinpitäjä on useimmiten kunta tai hyvinvointialue. Laitteen valmistaja tai palveluntarjoaja on henkilötietojen käsittelijä, joka toimii rekisterinpitäjän ohjeiden mukaisesti. Sopimuksessa on yleensä määritelty, kumpi ilmoittaa tietosuojavaltuutetulle 72 tunnin sisällä loukkauksen havaitsemisesta. Yksityisesti hankittujen laitteiden osalta rekisterinpitäjänä on laitteen palveluntarjoaja, jolle myös ilmoitusvastuu kuuluu.

Kuinka kauan turvalaitteiden data säilytetään ja voinko pyytää sen poistamista?

Säilytysaika vaihtelee laitteen ja palvelun mukaan. Tyypillisesti hälytyslokit säilytetään 3–12 kuukautta, sijaintihistoria 1–6 kuukautta ja terveysdata 6–36 kuukautta. GDPR:n artiklassa 17 säädetty oikeus tietojen poistamiseen (”oikeus tulla unohdetuksi”) antaa rekisteröidylle mahdollisuuden pyytää kaikkien tietojensa poistamista, paitsi jos käsittelyllä on lakisääteinen peruste. Pyyntö pitää tehdä kirjallisesti rekisterinpitäjälle, joka on velvollinen vastaamaan kuukauden kuluessa. Jos valmistaja ei reagoi, asiasta voi tehdä kantelun tietosuojavaltuutetulle. Käytännössä vastaukset ovat vaihtelevia – EU:ssa toimivat valmistajat reagoivat yleensä nopeasti, kolmansien maiden toimijoiden kohdalla prosessi voi olla monimutkaisempi.

Onko turvalaitteiden käyttö kotihoidossa erityissääntelyssä?

Kyllä. Sosiaali- ja terveyspalveluissa henkilötietojen käsittelyyn sovelletaan GDPR:n lisäksi potilastietolakia (784/2021, aiemmin laki potilaan asemasta ja oikeuksista 785/1992) ja asiakastietolakia (703/2023). Kotihoidossa käytettävien turvalaitteiden data, kuten liiketunnistindata tai kaatumishälytystieto, voi luokittua potilastiedoksi tai asiakastiedoksi, jos sitä käytetään hoidon päätöksenteon tukena. Tällöin siihen sovelletaan erityistä salassapitovelvollisuutta ja kirjausvaatimuksia. Hyvinvointialueet ovat käytännössä vastanneet tähän haasteeseen kehittämällä yhteisiä tietoturvapolitiikkoja kotihoidon teknologia-hankintoja varten.

Mitä tapahtuu tiedoille, jos palveluntarjoaja lopettaa toimintansa?

Tämä on usein unohdettu riski. Jos turvalaitteiden palveluntarjoaja menee konkurssiin tai lopettaa toimintansa, tallentuneen datan kohtalo riippuu siitä, miten tietosuojaselosteessa on asiasta sovittu. GDPR edellyttää, että rekisterinpitäjä on suunnitellut poistumispolun: miten rekisteröidyille ilmoitetaan, miten data siirretään tai tuhotaan. Käytännössä kannattaa ennen laitteen hankintaa kysyä kirjallisesti, miten toimitaan palvelun loppuessa. EU:n kyberturvallisuusvirasto ENISA suosittelee, ettei turvalaitteiden datan tallentaminen olisi yksinomaan ulkoisen palveluntarjoajan pilven varassa ilman mahdollisuutta paikalliseen varmuuskopiointiin. Joissakin uudemmissa laitteissa, kuten Philips Lifeline -järjestelmässä, on mahdollisuus paikalliseen hälytyksen hallintaan verkon ulkopuolella.

Soveltuvatko tietoturvaohjeet myös omaishoitajille?

Ehdottomasti. Omaishoitaja, joka seuraa läheisensä turvalaitteiden dataa esimerkiksi sovelluksen kautta, on GDPR:n näkökulmasta osa tietojen käsittelyketjua. Vaikka omaishoitaja ei ole juridisesti rekisterinpitäjä, hänen on käytettävä tietoja vain siihen tarkoitukseen, johon ne on kerätty – eli läheisen turvallisuuden varmistamiseen, ei esimerkiksi jakamalla tietoja muille sukulaisille ilman asianomaisen suostumusta. Lisäksi omaishoitajan on pidettävä tunnuksensa turvassa: jakamalla sovelluksen kirjautumistiedot muille hän kasvattaa tietomurron riskiä. Kodinturvatekniikan laajempi oppaassamme käsitellään omaishoitajan roolia turvatekniikan kokonaisuudessa.

Aiheeseen liittyvät artikkelit

Tiedotteeksi. Tämän artikkelin sisältö perustuu kirjoitushetkellä julkisesti saatavilla oleviin tietoihin. Se ei ole ammatillista neuvontaa. Vahvista yksityiskohdat asiantuntijalta ennen päätösten tekemistä.

Lähteet

Työhuoneen turvallisuus: Etätyön tietoturva ja älylaitteet 2026

Facebook
Twitter
LinkedIn