Ilmoittajansuojelulaki ei vaadi kaikilta kanavilta anonyymiä ilmoittamista, mutta useimmat hyvät palveluntarjoajat tarjoavat sen — koska se laskee kynnystä ilmoittaa väärinkäytöksistä. Tekninen toteutus erottaa hyvin suunnitellun anonyymin kanavan harhaanjohtavasti markkinoidusta.
1. IP-osoitteen ja laitetietojen pesu
IP-osoite kertoo verkkoyhteyden omistajan ja maantieteellisen sijainnin. Laitetiedot — selain, käyttöjärjestelmä, ruudun resoluutio — muodostavat yhdessä "sormenjäljen", jonka avulla käyttäjä voidaan tunnistaa eri vierailujen välillä. Hyvä kanava ei tallenna kumpaakaan: ilmoittajan palvelinpyyntö menee anonymisoivan välikerroksen läpi, ja sovellustason tunnisteet (User-Agent, Referer) korvataan tyhjillä arvoilla. Myös palvelinlokit pestään automaattisesti.
2. Liitetiedostojen metatietojen poisto
Valokuvat sisältävät EXIF-dataa: ottohetki, kameran malli, GPS-koordinaatit. PDF- ja Word-dokumentit kantavat tekijän nimeä, yrityksen nimeä ja muokkaushistoriaa. Yksi ottamaton vaihe metatietojen poistossa voi paljastaa ilmoittajan kameran sarjanumerolla tai dokumentin viimeisellä muokkaajalla. Hyvässä kanavassa palvelin uudelleenkoodaa kuvat ja pesee dokumenttien metatiedot automaattisesti — ilmoittajan ei tarvitse muistaa tehdä tätä itse.
3. Salaus liikkeessä ja levossa
Selaimen ja palvelimen välinen liikenne salataan TLS:llä, jolloin työpaikan verkkohallinto ei näe ilmoituksen sisältöä. Levyllä ilmoituksen otsikko, kuvaus, viestit ja liitteet salataan AES-256-algoritmilla. Vaikka palvelimen levyt fyysisesti varastettaisiin, ilmoituksen sisältö ei ole luettavissa ilman salausavainta — joka säilytetään palvelimen ulkopuolella.
4. Case-tunnus ja salasana — anonyymi tunnistautuminen
Anonyymi ilmoittaja saa ilmoituksen tehtyään ainutlaatuisen case-tunnuksen(esim. WB-X4HJ29KL) sekä automaattisesti generoidun salasanan. Yhdistelmä toimii henkilöllisyytenä — sillä voi palata näkemään käsittelijän vastaukset ilman että nimeä, sähköpostia tai puhelinnumeroa tarvitsee kertoa.
Salasanan haltija on ainoa, joka pääsee ilmoituksen tilatietoihin. Jos tunnukset katoavat, niitä ei voi palauttaa — tämä on tarkoituksellista, koska salasanan palauttaminen sähköpostiin paljastaisi ilmoittajan.
5. Anonyymi viestiketju käsittelijän kanssa
Ilmoittajan ja käsittelijän on voitava vaihtaa viestejä — käsittelijä tarvitsee usein lisätietoja, ja ilmoittajalla on oikeus saada palautetta toimenpiteistä. Hyvässä kanavassa tämä viestintä tapahtuu samalla case-tunnuksella ilman sähköpostia. Käsittelijä näkee vain ilmoituksen sisällön ja sen vastaukset — ei sitä, kuka kirjoittaa, mistä IP-osoitteesta tai milloin viimeksi vieraili.
Anonyymi vai vain luottamuksellinen?
Nämä kaksi termiä menevät usein sekaisin:
- Anonyymi — palveluntarjoaja ei edes itse tiedä, kuka ilmoittajan on. Ei nimeä, sähköpostia, IP:tä, eikä metatiedoissa.
- Luottamuksellinen — palveluntarjoaja tietää henkilöllisyyden, mutta lupaa olla paljastamatta sitä työnantajalle.
Suomen oikeuskanslerinviraston ulkoinen kanava on luottamuksellinen, ei anonyymi: yhteystiedot on annettava, mutta ne pidetään salassa lain edellyttämällä tavalla. Sisäisessä kanavassa anonyymi vaihtoehto on palveluntarjoajan ja organisaation valinta.
Käytännön vinkit anonyymille ilmoittajalle
- Käytä yksityistä selaintilaa tai eri laitetta kuin yleensä — vaikka palvelu olisi anonyymi, oma selaimesi voi tallentaa historian.
- Älä lähetä ilmoitusta työn tietokoneelta — työnantaja voi hallinta-ohjelmistoilla seurata käyntejä.
- Jos ilmoituksen sisältö paljastaisi sinut välittömästi (esim. ainoa henkilö, joka tietää asian), harkitse aikaa ja muotoilua: voitko esittää tiedon yleisemmin?
- Säilytä case-tunnus ja salasana turvallisesti — palauttaminen ei ole mahdollista.
- Jos käytät julkista WiFi-verkkoa, varmista että yhteys on salattu (HTTPS-lukko selaimessa).
Kanava, joka kantaa anonymiteetin loppuun
Ilmoittajansuojelu.fi: IP-osoitetta ei tallenneta, metatiedot poistuvat automaattisesti, sisältö salataan AES-256:lla. Ensimmäinen vuosi maksuton.