Googlen hakudatan avaaminen nostaa anonymisoinnin riskit yritysten pöydälle

Googlen hakudata EU-sääntely on nousemassa käytännön kyberturvakysymykseksi, ei vain kilpailuoikeuden asiaksi. Euroopan komission DMA-pohjaiset suunnitelmat voivat velvoittaa Googlen jakamaan hakukyselyihin, klikkauksiin ja hakutulosten sijoituksiin liittyviä tietoja muille toimijoille, kuten hakukoneille ja tekoälypalveluille.

Sääntelyn tavoite on lisätä kilpailua ja pienentää suurten alustojen portinvartija-asemaa. Samalla keskustelu on siirtynyt siihen, voiko hakuhistoriaa todella anonymisoida niin, ettei sitä voida yhdistää takaisin yksittäisiin ihmisiin, yritysten työntekijöihin tai asiakkaisiin.

Mitä EU:n suunnitelmassa on kyse?

Digimarkkinasäädös eli DMA pyrkii avaamaan suurten alustayhtiöiden hallussa olevaa dataa kilpailulle. Googlen osalta kiistan ytimessä on hakudata, joka voi sisältää esimerkiksi:

  • käyttäjien tekemiä hakukyselyitä
  • tietoja siitä, mitä hakutuloksia on klikattu
  • hakutulosten sijoituksiin liittyviä tietoja
  • mahdollisia Android-ekosysteemin muutoksia, jotka koskevat kilpailevien tekoälypalveluiden pääsyä laitteiden toimintoihin

Komission linjan mukaan jaettava henkilötieto pitäisi anonymisoida ennen luovutusta. Google on kuitenkin varoittanut, että suunnitellut poistomenetelmät eivät välttämättä riitä, jos dataa voidaan analysoida tekoälyllä ja rikastaa muilla tietolähteillä. Sitovien päätösten määräajaksi on kerrottu 27.7.2026.

Miksi hakuhistoria on erityisen herkkää dataa?

Hakuhistoria voi paljastaa enemmän kuin moni yksittäinen henkilötieto. Se voi kertoa terveydestä, taloudellisista huolista, työpaikan sisäisistä ongelmista, asiakassuhteista, tulevista hankinnoista, sijainneista ja henkilökohtaisista kiinnostuksen kohteista. Yritysympäristössä hakudata voi paljastaa myös liiketoimintasuunnitelmia, kilpailutuksia, teknisiä ongelmia tai tietoturvapoikkeamien selvitystä.

Anonymisointi tarkoittaa sitä, että henkilöä ei voida enää tunnistaa kohtuullisin keinoin. Pseudonymisointi taas tarkoittaa, että suorat tunnisteet on korvattu, mutta henkilö voidaan yhä tunnistaa lisätiedon avulla. Käytännössä ero on yrityksille tärkeä, koska pseudonymisoitu data on edelleen henkilötietoa GDPR:n näkökulmasta.

Hakudatan kohdalla riski kasvaa, koska yksilöllinen hakujen sarja voi toimia kuin sormenjälki. Vaikka nimi, sähköpostiosoite ja IP-osoite poistettaisiin, harvinaiset haut, ajallinen järjestys ja aiheiden yhdistelmä voivat tehdä käyttäjästä tunnistettavan.

Tekoäly voi muuttaa anonymisoinnin riskitasoa

Suuret kielimallit ja muut analytiikkatyökalut voivat yhdistää hajanaisia vihjeitä tehokkaammin kuin perinteiset käsityömenetelmät. Jos anonymisoitua hakudataa verrataan julkisiin lähteisiin, sosiaalisen median tietoihin, vuotaneisiin aineistoihin tai yrityksen omaan asiakasdataan, uudelleentunnistamisen riski voi kasvaa nopeasti.

Tämä on olennainen muutos myös pk-yrityksille. Jos yritys saa käyttöönsä sääntelyn kautta avattua dataa tai rakentaa palvelua tällaisen datan varaan, pelkkä sopimusehto ei riitä. Tarvitaan teknisiä ja organisatorisia kontrolleja, joilla estetään datan tarpeeton kopiointi, väärä käyttö ja vuotaminen.

Suomi Solutions auttaa yrityksiä arvioimaan tällaisia riskejä käytännön tasolla. Työ voi tarkoittaa esimerkiksi datavirtojen kartoitusta, tietosuojavaikutusten arvioinnin tukemista, käyttöoikeuksien tarkistamista sekä lokituksen ja valvonnan suunnittelua niin, että dataa käsitellään vain tarpeeseen perustuen.

Mahdollisuudet ja riskit eivät jakaudu tasaisesti

Hakudatan avaaminen voisi hyödyttää eurooppalaisia hakukoneita, AI-startupeja, mainosteknologiayrityksiä, analytiikkatoimijoita ja sovelluskehittäjiä. Parempi pääsy markkina- ja käyttäjädataan voi auttaa kehittämään kilpailevia palveluita ja vähentää riippuvuutta yhdestä alustasta.

Suurimmat riskit kohdistuvat kuitenkin toimijoihin, jotka käsittelevät laajoja tietomassoja ilman kypsää tietoturvaohjelmaa. Erityisesti pienet datavetoiset startupit, B2B-SaaS-palvelut, data-alustat ja alihankintaketjut voivat joutua tilanteeseen, jossa aineiston arvo hyökkääjille kasvaa nopeammin kuin suojauskyvykkyys.

Yrityksen arjessa tämä voi näkyä uusina vaatimuksina. Asiakkaat voivat kysyä, missä data sijaitsee, kuka siihen pääsee, miten pääsyä valvotaan ja mitä tapahtuu tietovuodon sattuessa. Myös toimittaja-auditoinnit, tietosuojaselosteet, sopimusvastuut ja incident response -valmius voivat nousta aiempaa keskeisemmiksi.

Android-muutokset voivat vaikuttaa mobiilihallintaan

Hakudatan lisäksi keskustelussa ovat Androidiin kohdistuvat muutokset, joiden tavoitteena olisi avata mobiiliekosysteemiä kilpaileville tekoälypalveluille. Jos ulkopuoliset palvelut saisivat hyvin laajan pääsyn esimerkiksi mikrofoniin, kameraan tai näytöllä tapahtuvaan toimintaan, yritysten mobiililaitteiden hallinta vaatisi entistä tarkempia linjauksia.

Yrityksille tämä tarkoittaa, että mobiililaitteiden käyttöoikeudet, sovellusten hyväksyntäprosessi ja laitehallinnan asetukset kannattaa tarkistaa. Microsoft 365 -ympäristöissä tämä liittyy usein käyttäjätunnuksiin, päätelaitteiden hallintaan, ehdolliseen käyttöoikeuteen ja käyttäjien koulutukseen.

Suomi Solutions voi tukea organisaatioita käytännön tarkistuksissa, kuten käyttöoikeusmallien läpikäynnissä, päätelaitteiden suojausasetusten arvioinnissa ja siinä, miten uudet tekoälypalvelut otetaan käyttöön hallitusti ilman tarpeetonta datan jakamista.

Mitä yrityksen kannattaa tehdä nyt?

Yrityksen ei kannata odottaa lopullisia päätöksiä ennen perusasioiden tarkistamista. Käytännön varautuminen alkaa usein näkyvyydestä, päivityksistä ja vastuiden selkeydestä.

  • Kartoita datavirrat: selvitä, käsitteleekö yritys hakudataa, käyttäjädataa, analytiikka-aineistoja tai kolmansilta osapuolilta saatavia rikastettuja aineistoja.
  • Arvioi anonymisointi kriittisesti: testaa, voiko dataa yhdistää takaisin henkilöihin muiden tietolähteiden avulla.
  • Rajaa käyttöoikeudet: käytä roolipohjaista pääsynhallintaa ja poista tarpeettomat ylläpito- ja analytiikkaoikeudet.
  • Vahvista lokitus ja valvonta: seuraa, kuka dataa käyttää, milloin ja mihin tarkoitukseen.
  • Määritä säilytysajat: älä säilytä suuria datamassoja varmuuden vuoksi, jos liiketoiminnallinen tarve on päättynyt.
  • Tarkista sopimukset: määritä alihankkijat, edelleenluovutus, tietovuotoilmoitukset ja auditointioikeudet selkeästi.
  • Harjoittele poikkeamatilanne: varmista, että tietovuodon, väärinkäytön tai virheellisen datan luovutuksen käsittelyyn on valmis toimintamalli.

DMA, GDPR, tekoälysääntely ja kyberturva kytkeytyvät tässä tapauksessa samaan liiketoimintariskiin. Jos yritys rakentaa uusia data- tai tekoälypalveluita, päätökset kannattaa tehdä yhdessä johdon, tietosuojavastaavien, teknisten asiantuntijoiden ja palvelutoimittajien kanssa.

Suomi Solutions auttaa muuttamaan havainnot konkreettisiksi toimenpiteiksi: tietosuojariskien arviointiin, Microsoft 365 -ympäristöjen koventamiseen, Linux- ja palvelinympäristöjen tarkistuksiin, WordPress-ylläpidon turvallisuuteen sekä käytännön kyberturvan kehittämiseen. Jos haluat arvioida, miten uutisen kaltainen sääntely- ja datariski näkyy omassa ympäristössäsi, löydät yhteydenottotiedot osoitteesta https://suomisolutions.fi/.

Kysy meiltä Verkossa
Tänään
Hei! Autan mielelläni tuotteisiin, palveluihin, tilauksiin ja yhteydenottoihin liittyvissä kysymyksissä. Miten voin auttaa? Voit myös soittaa minulle :)