Mitä tehdä toiselle tarkoitetulle sähköpostille?

Saan vä­lil­lä säh­kö­pos­tia, jo­ka ei ole tar­koi­tet­tu mi­nul­le. Mi­tä vies­teil­le saa ja pi­täi­si teh­dä? La­ki­kir­jas­ta apua ei ai­na­kaan löy­dy.

Kuva: RaHuL Rodriguez: Buenas noticias – email marketing. c ba 2.0

Saan joka päivä paljon sähköpostia kolmelle sähköpostitililleni: opiskelu- ja työsähköposteja jyu.fi-osoitteeseeni, mainoksia ja muita vähemmän tärkeitä viestejä GMailiin, ja kaiken muun omaan1 KServer-sähköpostiin. Näistä jälkimmäinen kerää kaikki kserver.dy.fi-, itq.fi– ja kingi89.fi-domaineille lähetetyt viestit @-merkkiä edeltävästä osasta2 riippumatta.

Catch-all -osoite on kätevä paristakin syystä. Ensinnäkin voin ”luoda” itselleni uusia, toimivia, sähköpostiosoitteita yksinkertaisesti keksimällä paikallisen osan päästäni. Tämän lisäksi vakioituihin rooliosoitteisiin (kuten abuse@… tai hostmaster@…) lähetetyt viestit napsuvat samaan, seuraamaani, postilaatikkoon.

Täysin vailla vaikeuksia ei tällainen kikkailu ole: yleensä suurin murhe on lisääntynyt roskaposti − tyhmempikin roskapostittaja osaa pommittaa satunnaisia osoitteita − mutta Googlen spämmifiltterien teho on mielestäni ollut riittävä, enkä siis itse ole toistaiseksi hukkunut Viagra-tarjouksiin.

Yksityisyydestä ja viestinnänsuojasta välittävänä ihmisenä minua vaivaa enemmänkin sähköpostiviestit, joita ei ole tarkoitettu minulle vaan jollekin aivan muulle. Tämä ongelma on itselleni kiusallinen ja todellinen: saan kuukausittain viestejä, joiden sisällöstä käy äkkiä ilmi, että viesti ei kuulu minulle. Tässä vaiheessa tietenkin lopetan viestin lukemisen.

Avattuani viestin vahinko − viestisalaisuuden rikkoutuminen − on jo kuitenkin tapahtunut, eikä kumoaminen onnistu Ctrl+Z:aa3 painamalla. Sitten seuraa moraalia ja oikeudentajua koetteleva ongelma: mitä tehdä viestille? Pitäisikö se poistaa? Vastata lähettäjälle ja kertoa tilanteesta? Uudelleenohjata tarkoitetulle vastaanottajalle? Soittaa poliisille tai palokunnalle? Vai olla tekemättä yhtään mitään ja jatkaa elämää kuin mitään ei olisi tapahtunut?

Oikeaa vastausta − jos sellaista onkaan − en tiedä, mutta lähtekäämme liikkeelle vaikkapa Suomen perustuslain kymmenennen pykälän toisesta momentista:

Kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton.

Rangaistus viestisalaisuuden loukkaamisesta löytyy puolestaan Rikoslaista (38 luku 3 §):

Joka oikeudettomasti
1) avaa toiselle osoitetun kirjeen tai muun suljetun
viestin taikka suojauksen murtaen hankkii tiedon sähköisesti tai muulla
vastaavalla teknisellä keinolla tallennetusta, ulkopuoliselta suojatusta
viestistä taikka
2) hankkii tiedon televerkossa välitettävänä olevan
puhelun, sähkeen, tekstin-, kuvan- tai datasiirron taikka muun vastaavan
televiestin sisällöstä taikka tällaisen viestin lähettämisestä tai
vastaanottamisesta,
on tuomittava viestintäsalaisuuden loukkauksesta sakkoon tai vankeuteen enintään yhdeksi vuodeksi.
Yritys on rangaistava.

Okei, ehkä itsensä ilmiantaminen poliisille olisikin the right thing to do, mutta vuoden vankilareissu kerran kuussa sopii aikatauluuni hieman huonosti. Toisaalta oikeudettomuuden ja toiselle osoittamisen osalta kriteerien täyttyminen on vähintäänkin kyseenalaista4. Sähköisen viestinnän tietosuojalaki (2 luku, 5 §, 1 mom.) sanoo lisäksi näin:

Se, joka on ottanut vastaan tai muutoin saanut tiedon
luottamuksellisesta viestistä tai tunnistamistiedosta, jota ei ole
hänelle tarkoitettu, ei saa ilman viestinnän osapuolen suostumusta
ilmaista tai käyttää hyväksi viestin sisältöä, tunnistamistietoa tai
tietoa viestin olemassaolosta, ellei laissa toisin säädetä.

Edellä mainitun puolesta helpointa ja turvallisinta olisi jättää viesti tyystin huomiotta, mutta ainakin omasta mielestäni mitääntekemättömyys on ikävä vaihtoehto: tällöin tarkoitettu vastaanottaja ei saa koskaan viestiään, ja lähettäjä saattaa jäädä siihen luuloon, että mahdollisesti tärkeäkin viesti on tavoittanut kohteensa.

Tarkoitettu vastaanottaja olisi yleensä melko yksiselitteisesti määritettävissä, sillä noin yhdeksän viestiä kymmenestä on tarkoitettu erään organisaation5, jonka verkkotunnus muistuttaa omaani, jollekulle jäsenelle. On kuitenkin mahdollista, että arvaukseni osuu väärään, ja viesti päätyy jälleen väärään osoitteeseen. Riskien välttämiseksi tarkoitettua vastaanottajaa ei siis voi asiasta tiedottaa.

Viestin lähettäjä on varmuudella6 oikein, joten hänelle tieto viestin päätymisestä väärään osoitteeseen on toimitettavissa. Vai onko? Jos Sähköisen viestinnän tietosuojalakia tulkitaan kuin Piru Raamattua7, voidaan tulla siihen lopputulokseen, etten voi kertoa edes viestin lähettäjälle hänen virheestään ennen kuin saan hänen lupansa. Muna-vai-kana -ongelma on valmis.

Olen toistaiseksi toiminut tällaissa tilanteissa pienimmän pahan periaatteella: varsinaista viestiä mitenkään yksilöimättä olen ottanut yhteyttä lähettäjään seuraavanlaisella viestillä:

Vastaanotin sähköpostitse lähettämänne viestin, jota ette olleet
tarkoittaneet minulle, sillä olitte syöttäneet kyseiseen viestiin
vastaanottajan osoitetiedon virheellisesti. Virheenne johdosta tämä
yksityinen viestinne on päätynyt tietooni, ja sen luottamuksellisuus on
näin ollen vaarantunut.

Kehotan teitä ottamaan välittömästi yhteyttä tarkoittamaanne
vastaanottajaan, ja ilmoittamaan hänelle tästä ongelmasta.

Viestissä tarjoan myös mahdollisuuden pyytää yksilöintitietoja viestistä − sellaisten antaminenhan on lähettäjän luvalla sallittua − kirjallisen lomakkeen kautta. Jos lähettäjä ei kerro kaipaavansa tietoja, poistan viestin sähköpostilaatikostani8.

Toistaiseksi yksikään lähettäjä ei ole tarjoukseen tarttunut. Pelkään tämän tarkoittavan myös sitä, ettei mihinkään muihinkaan toimenpiteisiin, varsinkaan tarkoitetun vastaanottajan varoittamiseen tilanteesta, ole ryhdytty. Näen kuitenkin asian olevan pois omista käsistäni, ja nukun kyllä yöni hyvin.

Lain näkökulmasta on epäselvää, onko toimintani oikein. Pidän kuitenkin, kuten sanoin, tärkeämpänä ja moraalisesti oikeampana ongelmasta kertomista kuin lain pilkuntarkkaa seuraamista. Arkaluonteisen viestin luottamuksellisuutta en voi kuitenkaan millään teoin palauttaa9, vaikka viestin sisällön pidänkin visusti salassa − se on lupaus!


1) Oikeastaan tämäkin on Googlen tarjoamalla alustalla.
2) Viralliselta nimeltään local part, paikallinen osa.
3) Lausutaan ”kontroltset|aa”, jos päätteen muoto kummastuttaa.
4) En ole asianajaja, katso disclaimeri alta.
5) Kyseinen organisaatio jääköön nimettömäksi. Heille ongelma on yleisellä tasolla kyllä tehty äärimmäisen selväksi, mutta he eivät ole halunneet siihen reagoida mitenkään.
6) Okei, onhan tuokin väärennettävissä, mutta silloin saa lähettäjä kyllä puolestani kärsiä.
7) Ja näinhän Suomessa yleensä vähänkin Internetiä liippaavissa oikeudenkäynneissä juuri tehdään.
8) Viesti ei tietenkään lopullisesti katoa mihinkään ainakaan heti, mutta onpahan ainakin minun saavuttamattomissani.
9) Ainakaan ennen kuin täsmämuistintyhjennyspillerit keksitään.

Disclaimer: En ole juristi enkä muutenkaan lainoppinut, eikä näitä sepustuksia kannata ottaa oikeudellisina neuvoina. Toisin sanoen virheet ovat mahdollisia, ja lakia tulkitaan viime kädessä oikeudessa.

Näin potilastietoja ei pidä käsitellä

In­hi­mil­li­sen ereh­dyk­sen ta­kia kym­me­nen ke­ra­va­lai­sen po­ti­las­tie­dot pää­tyi­vät tie­do­tus­vä­li­neil­le. En sal­li­si tuol­lai­sen ole­van mah­dol­lis­ta edes va­hin­gos­sa. Ku­van val­ko­tak­ki ei lii­ty käm­miin.
Kuva: World Bank Photo Col­lec­tion: DK-RU003 World Bank. c bnd 2.0. Ku­vaa on pa­ran­nel­tu.

Iltalehti.fi uutisoi tänään Keravan terveyskeskuksen lähettäneen vahingossa kymmenen ihmisen potilastietoja tiedotusvälineille:

Terveydenhuollon johtajan Minna Heleniuksen mukaan kyse oli inhimillisestä erehdyksestä. Sähköpostin osoitekenttään oli tullut vääriä jakeluryhmiä.

— Potilastiedot
käsitellään potilastietojärjestelmässä. Sähköpostilla potilastietoja ei
yleensä lähetetä, mutta tässä tilanteessa mukana on toinen hoitava
yksikkö, joka ei käytä samaa potilastietojärjestelmää.

Ensimmäinen ajatukseni oli ”Miten tämä edes on mahdollista?!”. Lähdetäänpä siis käymään tapahtumankulkua siten kuin minä, näiden tietojen valossa, arvelen asian tapahtuneen1.

  1. Lääkärillä2 on potilastietoja, jotka pitäisi lähettää hoitopaikkaan B.
  2. Lääkäri toteaa, ettei B:ssä ole käytössä samaa järjestelmää, ja päätyy maalaisjärjellään keksimäänsä ensimmäiseen ratkaisuun: tietojen lähettämiseen sähköpostitse.
  3. Lääkäri lataa potilastietojärjestelmästä potilastiedot työasemalleen.
  4. Lääkäri kirjoittaa sähköpostin, johon laittaa liitteeksi lataamansa potilastiedot.
  5. Lääkäri kirjoittaa sähköpostiosoitekenttään ensimmäisen kirjaimen osoitteesta kohde@hoitopaikka.example, mutta virhepainalluksen seurauksena sähköpostiohjelma valitseekin tarjoamistaan täydennysvaihtoehdoista osoitteen kaikki-tiedotusvalineet@lists.kerava.fi . Hän klikkaa Lähetä-painiketta ennen kuin tajuaa virhettään.
  6. Viesti lähtee, ja uutistoimituksissa hihitellään.
  7. ”Voi vittu”, huokaa lääkäri.

Mikä sitten meni pieleen? Rehellisesti sanottuna aivan kaikki.

Potilastietoihin ja sähköpostiin pääsee samalta tietokoneelta. On ymmärrettävää, että yksinkertaisuuden vuoksi kaikilla työasemilla on asennettuna samat ohjelmistot. Kuitenkin tällainen konfiguraatio helpottaa monenlaisten ”inhimillisten virheiden” tekemistä – tietoturvaongelmista puhumattakaan. Pitäisinkin järkevimpänä pitää työasemat, joilla arkaluonteisia tietoja käsitellään, mahdollisimman lukittuina, vaikka se sitten tarkoittaisikin sitä, että lääkärillä olisi kaksi tietokonetta työpöydällään.

Lääkäri ylipäätään ajatteli lähettää potilastietoja sähköpostitse. IT-alan ammattilaiset tietävät hyvin, että sähköposti viestikanavana on varsin turvaton: viestejä pystyy yleensä lukemaan lähettäjän ja vastaanottajan lisäksi myös jokainen ”kaapelin välissä” oleva. Keravan kaupungin tietohallinnon tulisikin teknisten rajoitteiden ja ennen kaikkea koulutusten kautta tehdä henkilöstölle selväksi, että sähköposti on yleensä huono idea salassapidettävien tietojen lähettämiseksi.

Potilastietoja ei ollut (oletettavasti) salattu mitenkään. Kuka tahansa näistä vääristä vastaanottajista siis pystyy lukemaan lähetettyjen tiedostojen sisällön. Pitäisi olla itsestäänselvää, että siirrettiinpä potilastietoja miten tahansa – vaikka fyysisestikin – tulee niiden olla aina vahvasti salattuja. Täydellisessä maailmassa potilastietojärjestelmissä vietävien tietojen salaus on vakiotoiminto, mutta tarjoamalla sairaanhoitohenkilökunnalle tarpeeksi koulutusta ja kunnolliset työvälineet salaamiseen päästään jo pitkälle.

Huomaamattomalla toimintavirheellä on mahdollista lähettää sähköpostia huomattavan väärään osoitteeseen. En ole varma, miten lääkäri onnistui lähettämään viestin näinkin väärin – Iltalehden uutinen puhuu nimenomaan monikossa tiedotusvälineistä, joten oletettavasti viesti on lähtenyt useaankin paikkaan. Mieleen tulee lähinnä jokin valmis postituslista, joka jakelee kaupungin mediatiedotteet pitkin-poikin. Jos asia on näin, on selvää, että listan oikeuksissa on pahasti korjattavaa.

* * *

Kokonaisuutena puhutaan tilanteesta, jota ei olisi koskaan pitänyt päästä tapahtumaan. Vaikka tämä lääkäri tekikin kämmin, josta hän saa kuulla noin seuraavat tuhat vuotta3, pitäisin pääsyyllisenä Keravan kaupungin tietohallintoa ja sen selvästi puutteellisia käytäntöjä. Tällainen vahinko laittaa miettimään, miten leväperäisesti Kerava – ja mahdollisesti muutkin Suomen kunnat – potilastietojaan käsittelevät.


1) Puhtaasti spekulatiivinen tapahtumainkulku, en ole saanut Iltalehden uutista kummempaa informaatiota asiasta.
2) Käytän läpi tämän kirjoituksen viestin lähettäneestä henkilöstä nimitystä lääkäri. En ole varma, minkätittelinen henkilö asialla oli, mutta mielikuvissani kyseessä oli nimenomaan lääkäri.
3) Joo. Tuhat vuotta – kirjaimellisesti.

Facebookin oman sp-osoitteen tyrkytys on huono idea

Face­book-säh­kö­pos­ti il­maan­tui var­kain pro­fii­li­si­vuil­le, ja muut osoit­teet ka­to­si­vat. En Tyk­kää [Peukku], vaik­ka muu­tos on­kin help­po ku­mo­ta.
Kuva: Openclipart

Facebook päätti yllättäen, että on kaikkien edun mukaista, että profiilisivuilla näytetään sähköpostiosoitteena ainoastaan palvelun oma @facebook.com -osoite. Muutos tehtiin matalalla profiililla, ja itse havahduin tilanteeseen lukemalla asiasta Iltalehti.fi:stä.

En usko, että suurtakaan vahinkoa useimmille ihmisille tapahtuisi, vaikka Facebook-palvelussa näytettäisiinkin vain Facebook-sähköposti – joillekin muutos on jopa parannus. Tässä muutoksessa – varsinkin kun se tehdään käyttäjiltä salaa – liittyy kuitenkin muutama epämukava seikka.

Kerron kirjoitukseni lopussa, miten Facebook-sähköpostiosoitteen voi piilottaa muutamalla klikkauksella. Sitä ennen avaan kuitenkin hieman, miksi itseäni muutos haittaa.

Nykyään, kun Facebookia käyttävät käytännössä kaikki, on siinä esiintyvistä tiedoista muodostunut eräänlainen Internet-käyntikortti. Kuten fyysisessäkin käyntikortissa, myös tässä on tärkeää, että tiedot ovat oikeat ja relevantit. Siksi en haluakaan, että ainoana sähköpostiosoitteenani pidetään Facebookin tarjoamaa palvelua, koska kuitenkin sähköpostiviestintäni tapahtuu toisilla osoitteilla. Samasta syystä en myöskään haluaisi, että Facebookissa puhelinnumerokseni tai postiosoitteekseni vaihtuisi jokin muu kuin se, jota oikeasti käytän.

Facebook-sähköpostiosoite on kylläkin kiva ekstra, samaan tapaan kuin Facebook-keskustelujen XMPP-yhteensopivuus. On kuitenkin oman palvelunsa yliarviointia väittää, että en tarvitsisi mitään muuta sähköpostia kuin Facebookin tarjoaman. Olisin mukisematta voinut hyväksyä sen, että osoite olisi lisätty nykyisten osoitteiden perään, mutta muiden osoitteiden piilottaminen tyrkyttääkseen omaa palveluaan on aika ilkeä veto.

Myöskään en ole erityisen vakuuttunut siitä, että Facebook-sähköpostiin lähetetyt viestit säilyisivät luottamuksellisina – sosiaalinen profilointi kuitenkin kuuluu olennaisena osana Facebookin bisnekseen. Varsinaisessa sähköpostissani käytän PGP-allekirjoitusta ja -salausta, mutta Facebookin palvelussa se ei ole mahdollista.

Loppujen lopuksi Facebook ampui itseään omaan jalkaan: jos Facebook-osoite oltaisiin lisätty muiden sähköpostiosoitteiden jatkoksi ja asiasta tiedotettu kunnolla, olisi muutos ollut helpompi niellä. Nyt se sai paljon negatiivista huomiota osakseen, ja monet piilottavat koko @facebook.com-osoitteen joko protestiksi, ”koska netti sanoi että tee niin” tai pitääkseen tuon Facebook-profiilin muotoisen sähköisen käyntikorttinsa tiedot oikeina. Kun Facebookin tarkoituksena tässä oli luultavastikin oman palvelun osuuden kasvattaminen kilpailijoiden (Googlen, Microsoftin ym.) kustannuksella, voidaan sanoa epäonnistumisen olleen paha – ellei jopa kohtalokas – isku Facebookin sähköpostinvaltausyritykselle.

Joojooeikiinnosta, miten saan @facebook.com -sähköpostin piilotettua?

Kannattaa ensin miettiä, haluaisiko sittenkin käyttää Facebookin sähköpostipalvelua – osoitteeseen lähetetyt viestit kerätään siististi muiden viestien ja keskustelujen kanssa samaan. Voikin olla järkevää vain tuoda muut sähköpostiosoitteet uudelleen näkyviin. Molemmin päin prosessi on samankaltainen.

En itse ole edelleenkään siirtynyt käyttämään Aikajanaa, joten oheisen ohjeen kuvat ovat ”klassisen” Facebook-profiilisivun mukaiset.

  1. En­sin oman pro­fii­lin Tie­dot au­ki…
    Kuva: Kuva­kaap­paus Face­bookista

    Siirry Facebookissa omalle profiilisivullesi. Siirry profiilin kohtaan Tiedot. Aikajanalla klikkaa perustietojen alla olevaa Tiedot-linkkiä.

  2. … sit­ten Yh­teys­tie­dois­ta Muok­kaa-va­lin­taan …
    Kuva: Kuva­kaap­paus Face­bookista

    Rullaa sivua alaspäin, kohtaan Yhteystiedot. Klikkaa otsikossa olevaa Muokkaa-linkkiä.

  3. … vaih­de­taan Face­book-osoi­te pois nä­ky­vis­tä ja van­hat näkyviin …Kuva: Kuva­kaap­paus Face­bookista

    Vaihda @facebook.com -osoitteen vieressä oleva näyttämisen valinta pudotusvalikosta asentoon Piilota profiilista. Samassa yhteydessä voit vaihtaa muut osoitteesi takaisin Näytä profiilissa -asentoon.

  4. … tal­len­ne­taan, ja sii­nä se.Kuva: Kuva­kaap­paus Face­bookista

    Tallenna muutokset sivun alalaidan Tallenna muutokset -painikkeella.