Yksityisyys, turvallisuus ja kansanterveys pandemiavuonna (2023)

(PDF-573 kt)

Kuten koronaviruspandemiatekee kauhean veronsa sekä ihmiselämässä että toimeentulossa, hallitukset, kansanterveysviranomaiset, yritykset ja yksityishenkilöt ovat vastanneet poikkeuksellisilla toimilla. Suojellakseen ihmisten terveyttä hallitukset ja laitokset asettavat liikkumisrajoituksia ja mekanismeja terveyden seurantaan ja raportointiin. Nämä mekanismit, mukaan lukienkontaktien jäljitysja itseraportoivat sovellukset, joista osa tallentaa ja lähettää henkilökohtaisia ​​terveystietoja, korostavat tietosuojan ja yksityisyyden syvenevää merkitystä tässä kriisissä.

Tulon myötäEuroopan yleinen tietosuoja-asetus(GDPR) vuonna 2018 ja mahdollinen ”Sähköisen viestinnän tietosuoja-asetus”, yritykset ja laitokset ovat lisänneet tietoisuuttaan. Nämä uudet määräykset panevat voimaan tiukemmat säännöt yksityisyydestä ja tietosuojasta ja asettavat uudet standardit, GDPR:n sanoin, "rekisteröityjen oikeuksille ja vapauksille" kaikkialla maailmassa. Pandemian aikana valtion viranomaisten ja yritysten on täytynyt tasapainottaa kaksi prioriteettia: kansanterveyden suojelu ja yksityisyyden suojaaminen. Joillakin toimenpiteillä, jotka on suunniteltu rajoittamaan viruksen leviämistä ja mahdollisesti pelastamaan ihmishenkiä, voi myös olla vakavia ihmisoikeusvaikutuksia.

Vaikka monet kansanterveystoimenpiteet eivät edellytä tietojen keräämistä, toiset voivat puuttua yksilöiden henkilötietojen suojaamiseen. Viranomaiset ja yritykset voivat joutua niin sanotusti dilemman sarville harkitsemaan toimenpiteitä viruksen leviämisen hillitsemiseksi, jotka voivat samalla rajoittaa merkittävästi niiden ihmisten oikeuksia ja vapauksia, joiden elämää he haluavat suojella. Seuraava keskustelu perustuu viimeaikaisiin eurooppalaisiin kokemuksiin tästä kansanterveyden ja yksityisyyden suojaa koskevasta dilemmasta. Tapahtumat etenevät edelleen nopeasti, ja analyysimme heijastaa kokemuksia pandemian historian tietystä hetkestä (toukokuussa 2020).

(Video) Millaiseen dataan voimme luottaa?

Pandemian hallinta ja henkilökohtainen vapaus

Viranomaisten ja yksityisen sektorin pääpaino on taudin hallinnassa. Ihmishengen suojelu on erittäin tärkeä perusta kaikille jatkotoimille, jotka ryhdytään normalisointiin. Tätä varten terveydenhuoltojärjestelmät, mukaan lukien henkilöstö, tilat, testit ja tarvittavat laitteet (mukaan lukien hengityslaitteet ja henkilönsuojaimet tai henkilönsuojaimet), on turvattava ja laajennettava tarpeen mukaan. Valtion budjetteja on laajennettu huomattavasti vastaamaan poikkeuksellisiin vaatimuksiin. Viruksen leviämisen rajoittamiseksi käyttöön otetut toimenpiteet ovat vaikuttaneet henkilökohtaiseen vapauteen kolmella perusalueella:

  • Henkilökohtaiset liikkumisrajoitukset,mukaan lukien fyysinen etäisyys, julkisten kokoontumisten rajoitukset, karanteeni, eristäminen ja lukitseminen
  • Terveysraportointi,mukaan lukien COVID-19-testaus, lämpötilatestaus, julkisen ja yksityisen sektorin terveystutkimukset, julkisten viranomaisten ja yritysten sisäinen raportointi
  • terveyden seuranta,mukaan lukien manuaaliset ja automaattiset seuranta- ja kontaktien jäljitysmekanismit (matkapuhelimen seuranta ja sovellukset), sekä valtioiden että yksityisten yritysten toimesta

Useat hallitusten näillä alueilla toteuttamista suojatoimenpiteistä ovat hyvin tietoisia ja niitä tukevat kärsineet väestöt. Heidän yksityisyytensä loukkaamisesta ja tulevaisuuden vaikutuksista huolestutaan kuitenkin. Valtion virkamiehet ja yritysten tietosuojaviranomaiset kamppailevat suojatoimenpiteiden ja yksityisyyden suojatoimien tasapainottamisen kanssa, usein ilman selkeitä ohjeita sääntelyviranomaisilta. Yksityisellä sektorilla yritysten hallitukset ja ylin johto eivät ole yleensä asettaneet tietosuojanäkökohtia etusijalle viruksen torjunnassa.

Henkilötietojen käsittelyyn ja käsittelyyn liittyvien riskien lisäksi järjestelmään liittyy systeemisiä kyberriskejä.COVID-19 työympäristö. Työpaikkojen suljettuna ja kotoa työskentelevien työntekijöiden vuoksi julkisten laitosten ja yritysten IT-osastot ovat joutuneet luomaan nopeasti etätoimintoja. Monet ihmiset käyttävät nyt suojaamattomia laitteita ja Internet-viestintää, jonka suojaustaso on alhaisempi kuin yritysten tai laitosten verkoissa. Käytössä olevan verkkoinfrastruktuurin suorituskyky on mahdollisesti heikompi ja vähemmän alttiina muiden työntekijöiden ihmisten valvonnalle ja tuelle. Lisääntynyt järjestelmästressi ja puutteet yhteistyötyökaluissa ovat johtaneet lisääntyneeseen haavoittuvuuteen, kuten ovat nähtävissä useissa raporteissa korkeammista kyberhyökkäyksistä, mukaan lukien haittaohjelmien sisältämä sähköpostin tietojenkalastelu, yritysten tukipisteinä esiintyvät huijarit ja haittaohjelmat COVID-19-tietosivustoilla. Kaikki uhat on suunniteltu hyödyntämään etätyöjärjestelyjä, jotka ovat olleet käytössä pandemian rajoitusten alusta lähtien.

See Also
Ero yrityksen yksityisyyden ja salassapidon välilläYksityisyyden tasapainottaminen yleishyödyllisen tiedon jakamisen kanssa (julkaistu 2021)

GDPR stressitilanteissa

Kuten julkiset ja yksityiset organisaatiot, myös sääntelyviranomaiset eivät olleet valmistautuneet COVID-19-kriisiin. Sopeutumisajan jälkeen ne kuitenkin antavat nyt ohjeita ja selvennyksiä nykyisen lainsäädännön tulkinnasta kriisiympäristössä kiinnittäen erityistä huomiota yritysten käyttöön ottamiin tai harkitsemiin terveyteen liittyviin suojatoimenpiteisiin.

Kuten julkiset ja yksityiset organisaatiot, myös sääntelyviranomaiset eivät olleet valmistautuneet COVID-19-kriisiin.

Asiantuntijat pitävät GDPR:ää yhtenä maailman tiukimmista tietosuojasäännöistä. Eurooppalaiset sääntelijät ja Euroopan tietosuojavaltuutettu ovat yksimielisiä siitä, että nykyinen kriisi ei mitätöi GDPR:ää, mutta sen säännöt ovat riittävän joustavia hätätoimenpiteiden mukauttamiseksi säilyttäen samalla riittävät suojatoimet. GDPR:n mukaan esimerkiksi kansalliset hallitukset saavat toimia yleisen edun mukaisesti, mutta niiden on rajoitettava käyttämiään tietoja.

Muutamat GDPR:ssä esitetyt periaatteet ovat tärkeitä tässä suhteessa. Asetus edellyttää "tietojen minimointia" ja "tarkoituksen rajoittamista". Nämä kaksi ohjetta määrittelevät, että henkilötietoja tulee käyttää niin vähän kuin on tarpeen ja vain tiettyyn, kapeaan tarkoitukseen – tässä tapauksessa viruksen leviämisen rajoittamiseksi ja työntekijöiden terveyden suojelemiseksi. Vaaditaan myös avoimuutta, mikä tarkoittaa, että asianomaisille henkilöille on tiedotettava heidän tietojensa käytöstä yksinkertaisella ja selkeällä kielellä. Toinen periaate on suojaus: tiedot on suojattava riittävästi sekä teknisesti kyberriskejä vastaan ​​että organisatorisesti luvattomalta jakamiselta.

Auttaakseen yrityksiä ymmärtämään tietosuojasäännöt, monet eurooppalaiset sääntelyviranomaiset ovat antaneet ohjeita erityisistä terveystoimenpiteistä. Nämä ohjeet koskevat enimmäkseen tilanteita, joissa suostumus ei ole käytännön näkökohta, kuten ilmoittaminen tietyille työntekijöille, jotka ovat työskennelleet tartunnan saaneen henkilön välittömässä läheisyydessä. Ohjeistus vaihtelee myös hieman maittain riippuen kansallisesta terveyteen, työvoimaan ja sosiaaliturvaan liittyvästä lainsäädännöstä ja niiden tulkinnoista. Olemme tunnistaneet yleiset suojakaiteet edellä lueteltujen kolmen tyyppisten valvontatoimenpiteiden ympärille. Seuraavat näkökohdat ovat kuitenkin tapauskohtaisen arvioinnin kohteena kansallisten lakien ja asiaankuuluvien oikeudellisten ohjeiden mukaisesti. (Tämän artikkelin keskustelujen tarkoituksena ei ole antaa tällaisia ​​oikeudellisia ohjeita.)

Henkilökohtaisia ​​liikkumisrajoituksia

Viranomaisten kriisin aikana asettamia henkilöiden liikkuvuuden rajoituksia ei yleensä käsitellä tietosuojalaeissa. Tällaiset rajoitukset loukkaavat kuitenkin ihmisten oikeuksia ja vapauksia, ja ne voivat jopa olla muiden lakien alaisia. Myös työnantajan velvollisuudet kotoa työskennellä jäävät tietosuojalakien ulkopuolelle, kuten useat eurooppalaiset tietosuojaviranomaiset ovat korostaneet.

Haluatko tietää lisää meistäRiskikäytäntö?

Työpaikkojen sisäänpääsyn tarkastukset voivat kuitenkin aiheuttaa tietosuojaongelmia. Monien sääntelyviranomaisten näkemyksen mukaan töihin palaavia työntekijöitä voitaisiin vaatia julkistamaan matkustustietoja kansanterveyssyistä. Jos he ovat olleet korkean riskin alueella, asianmukaiset toimenpiteet (kuten väliaikainen karanteeni) voidaan velvoittaa. Sääntelyviranomaiset ovat ilmaisseet huolensa lämpötilamittauksista ja henkilökohtaisista terveystutkimuksista. Sekä Ruotsin että Belgian tietosuojaviranomaiset esimerkiksi katsovat, että kehon lämpötilan mittaus ei kuulu GDPR:n piiriin, ellei tuloksia kirjata. Mutta muut säätimet ovat nimenomaisesti kieltäneet säännöllisen lämpötilan mittauksen.

Terveysraportointi

GDPR:n ja muiden eurooppalaisten säädösten mukaan työnantajat eivät yleensä saa kerätä terveystietoja työntekijöiltä ja vierailijoilta, paitsi jos niillä on lakisääteinen velvollisuus tehdä niin, joko työntekijöiden tai yleisön etujen suojelemiseksi tai työlain tai työlain noudattamiseksi. muita kansallisia lakeja. Jos poikkeuksia sovelletaan, tietojen käsittelyä on rajoitettava tiukasti tietojen minimoinnin, käyttötarkoituksen rajoittamisen, avoimuuden ja tietosuojan periaatteiden mukaisesti. Työnantajat saavat kerätä vain niin vähän tietoja kuin on tarpeen tiettyä tarkoitusta varten. Heidän on ilmoitettava asianomaisille henkilöille tietojen käsittelystä ja varmistettava, että tiedot on asianmukaisesti suojattu. Käsittely on dokumentoitava ja se on myös lopetettava heti, kun sitä ei enää tarvita.

Työnantajat eivät yleensä saa antaa työntekijöille sairastuneiden työtovereiden nimiä lukuun ottamatta kapeaa luetteloa henkilöistä, joihin he ovat olleet läheisessä yhteydessä. GDPR rajoittaa myös oikeutta pyytää työntekijöiden yksityisiä puhelinnumeroita paitsi erityisistä syistä, kuten työsäännöistä ja muista COVID-19-pandemiaan liittyvistä tiedoista kertomiseksi. Lisäksi GDPR-periaatteiden mukaisesti riskiryhmiin kuuluvien haavoittuvien henkilöiden tietojen käyttö tulisi rajoittaa tiettyihin tarkoituksiin (kuten elintärkeiden tarvikkeiden kotiintoimitukseen).

Terveyden seuranta

GDPR asettaa tietyt yksityisyyden ja tietosuojan asetukset, jotka rajoittavat mahdollisia terveyden seurantatoimenpiteitä, joita maat voivat käyttää COVID-19-kriisissä. Euroopan tietosuojaviranomaiset ovat kuitenkin sallineet kansallisten seurantajärjestelmien käyttöönoton, kunhan ne ovat GDPR-periaatteiden mukaisia. Järjestelmien tulee olla vapaaehtoisia ja yhteisymmärrykseen perustuvia tai täysin anonymisoituja, kuten silloin, kun teleyritys toimittaa viranomaisille nimettömiä tietoja väestön liikkumisen mittaamiseksi. Tarkemmat henkilökohtaiset seurantajärjestelmät, kuten Etelä-Koreassa tai Kiinassa pandemian leviämisen hillitsemiseen käytetyt järjestelmät, eivät ole GDPR:n mukaisia.

Kyberturvallisuusnäkökohdat

Pandemian aikana IT-osastot ovat kohdanneet aivan uusia haasteita, kun kokonaisia ​​työntekijöitä lähetettiin kotiin etätöihin. Yritysten on nyt ylläpidettävä järjestelmiensä, ohjelmistojensa ja tietojensa turvallisuutta keskitetyn, hyvin hallitun yritysverkon ulkopuolella ja samalla täytettävä GDPR-vaatimukset asianmukaisista teknisistä ja organisatorisista kybersuojauksista. Työntekijät käyttävät yksittäisiä linkkejä muodostaakseen yhteyden verkkoihin, kun taas IT-osastot kamppailevat infrastruktuurin nopean ja suunnittelemattoman laajenemisen kanssa. Uusia ja testaamattomia ominaisuuksia sekä epäoptimaalisia ohjaimia käytetään liiketoiminnan varmistamiseen.

Ymmärrys uusiin verkkojärjestelyihin sisältyvistä kyberriskeistä on vielä syntymässä. Epäilyttävät verkkotunnukset, joiden väitetään liittyvän COVID-19:ään, myyvät väärennettyjä lääkkeitä tai leviävät haittaohjelmia, ovat lisääntyneet hälyttävää vauhtia.1Daphne Leprince-Ringuet, "Verkkotunnusrekisteri keskeyttää 600 epäilyttävää koronavirussivustoa", ZDNet, 7. huhtikuuta 2020, zdnet.com.Hallituksen tahot ja yritykset kehittävät nyt suojatoimenpiteitä näitä uhkia vastaan, mukaan lukien uusia työkaluja, tietoisuutta ja koulutusta.

Yritykset tarjoavat työntekijöilleen kannettavia tietokoneita, matkapuhelimia ja muita tarvittavia laitteita VPN-yhteyksien turvaamiseksi, jotta he voivat työskennellä etänä. Työnantajien on myös tarjottava työntekijöille joukko muita teknisiä ominaisuuksia verkkojensa turvaamiseksi. Tämä sisältää asiaankuuluvien järjestelmien korjaustiedostojen ja konfiguraatioiden hallinnan, monitekijätunnistuksen ja suojatun käytön hallinnan, paikallisen sovellussuojauksen etäkäyttöä varten, laitteen virtualisoinnin, kapasiteetin ja suojauksen valvonnan sekä vararesurssit (vikojen ja häiriötekijöiden vaikutusten rajoittamiseksi).

Työntekijöille on tiedotettava erityisistä teknisistä ominaisuuksista, jotka mahdollistavat turvallisen etäkäytön, ja koulutettava tarvittaessa niiden käyttöön. Turvallisuuden merkitystä etätyöskentelyssä on korostettava ja VPN on tehtävä pakolliseksi. Työnantajien on myös annettava ohjeita monista asiaan liittyvistä aiheista, yksityisten laitteiden käytön rajoittamisesta, tiettyjen ohjelmistosovellusten suosittelemisesta, riittävän salasanasuojauksen tarjoamisesta sekä ohjeiden laatimisesta laitteiston ja asiakirjojen paperikopioiden suojaamiseksi.

Työntekijöitä tulee myös kouluttaa koronavirukseen liittyvien kyberuhkien lisääntymisestä, mukaan lukien mahdolliset vastaukset ja tapausten käsittely. Työnantajien tulisi pyrkiä varmistamaan, että riskejä välttävä käyttäytyminen muuttuu normaaliksi näinä poikkeuksellisina aikoina. Kokemus on osoittanut, että tietosuojaa ja vaatimustenmukaisuutta koskevat viestit välitetään parhaiten meneillään olevissa viestintätoimissa eikä aikarajoitetuissa kampanjoissa.

Yksityisyys, turvallisuus ja kansanterveys pandemiavuonna (1)

COVID-19-kontaktien jäljitys: Uusia näkökohtia sen käytännön soveltamiseen

Lue artikkeli

Yleensä työnantajat ovat vastuussa riittävän tukiympäristön tarjoamisesta, mukaan lukien koulutus mahdollisista turvallisuusriskeistä ja uusien etätyökalujen turvallinen käyttö. Tarvittaessa tulee myös tarjota valmiita tukikanavia. Työntekijöille, joilla ei ole kotona riittävää teknistä asennusta, on oltava sellainen. ne, jotka eivät ole tottuneet työskentelemään kotona tai kommunikoimaan videosovellusten kautta, saattavat tarvita perusopastusta. Kaikki on saatava tietoisiksi siitä, mitä pitäisi tapahtua rikkomuksen sattuessa, mukaan lukien käytettävät raportointilinjat ja toteutettavat toimenpiteet.

Kriisi on siten lisännyt IT- ja kyberturvallisuusosastojen työtaakkaa. Yritysten on ehkä puututtava näiden alueiden kapasiteettirajoituksiin ja myös otettava käyttöön toimenpiteitä työntekijöiden hyvinvoinnin turvaamiseksi. Yksi tapa tehdä tämä on lisätä asiantuntijoita tarvittaessa tai tietyiksi korkean kysynnän ajanjaksoiksi. Vähentämällä kysyntää kestävälle tasolle IT- ja kybertyöntekijät hengittävät helpommin ja pystyvät paremmin suojaamaan organisaatiota ja sen teknologiaa.

Useimmat elleivät kaikki sääntelyviranomaiset ovat tietoisia rasituksista, joita COVID-19-kriisi asettaa organisaatioille. Tunnustuksena jotkut ottavat käyttöön joustavuutta yksityisyyteen liittyvissä prosesseissa ja aikatauluissa. Esimerkiksi Britannian tietosuojaviranomainen Information Commissioner’s Office (ICO) on ilmoittanut, etteivät ne aio tiukasti noudattaa määräaikoja tietosuojapyynnöille. Hollannin viranomainen Autoriteit Persoonsgegevens on ilmoittanut, että vireillä oleville asioille myönnetään pidemmät vastausajat. Irlannissa tietosuojakomissio ilmaisi olevansa tietoinen tilanteesta ja totesi, että määräaikojen noudattamista koskevat pyynnöt arvioidaan tapauskohtaisesti.

Kolme tuottavaa toimintaa

Yritykset tekevät useita muutoksia varmistaakseen tasapainoisen lähestymistavan tietosuojaan ja terveyden suojeluun COVID-19-tilanteessa. Näkemyksemme mukaan kolme toimenpidettä ovat tehokkainta tietoturvaa ja kyberturvallisuutta koskevan tietoisen päätöksenteon kannalta COVID-19-häiriön aikana.

  • Ota mukaan tietosuojajohtaja organisaation COVID-19-vastaustiimiin varmistaaksesi varhaisen arvioinnin ja keskustelun mahdollisista tietosuojaan vaikuttavista toimenpiteistä. Tämä johtaja (todennäköisesti tietosuojavastaava, jos organisaatiolla on sellainen) tulisi myös velvoittaa tekemään tarvittavat kompromissit yksityisyyden ja kansanterveyden tarpeiden välillä sekä suunnittelemaan alueellisia vaihteluita tarpeen mukaan.
  • Tarjoa IT-osastoille resurssit, joita tarvitaan, jotta työntekijät voivat työskennellä turvallisesti kotoa käsin. Todennäköisesti yritykset joutuvat laajentamaan verkko- ja videoneuvottelukapasiteettiaan toimittajan toimittamilla palveluilla. Niiden tulee vastata sisäisiä turvallisuusstandardeja ylittämättä kaistanleveyden rajoituksia.
  • Luoda omistettu tuki ja koulutus riskeistä ja toimenpiteistä etätyöskentelyä varten, mukaan lukien selkeä jatkuva viestintä. Tähän työhön tulisi sisältyä kohdennettuja toimia asianmukaisten toimittajien kanssa mahdollisten tietoturva-aukojen löytämiseksi ja ratkaisujen kehittämiseksi niiden korjaamiseksi.

Näiden toimien avulla voidaan antaa selkeää suuntaa ja ohjausta terveyteen ja yksityisyyteen liittyvissä toimenpiteissä ja vakauttaa toimintaa pitkäksi aikaa.

Daniel Mikkelsenon vanhempi osakas McKinseyn Lontoon toimistossa,Henning Solleron kumppani Frankfurtin toimistossa jaMalin Strandell-Janssonon vanhempi tietoasiantuntija Tukholman toimistossa.

Tämän artikkelin on muokannut Richard Bucci, New Yorkin toimiston vanhempi toimittaja.

Tutustu uraan kanssamme

Haku Aukot

Top Articles
Latest Posts
Article information

Author: Madonna Wisozk

Last Updated: 08/10/2023

Views: 6318

Rating: 4.8 / 5 (48 voted)

Reviews: 87% of readers found this page helpful

Author information

Name: Madonna Wisozk

Birthday: 2001-02-23

Address: 656 Gerhold Summit, Sidneyberg, FL 78179-2512

Phone: +6742282696652

Job: Customer Banking Liaison

Hobby: Flower arranging, Yo-yoing, Tai chi, Rowing, Macrame, Urban exploration, Knife making

Introduction: My name is Madonna Wisozk, I am a attractive, healthy, thoughtful, faithful, open, vivacious, zany person who loves writing and wants to share my knowledge and understanding with you.