Henkilöstön tietoturva- ja tietosuojaopas

Transkriptio

1 Henkilöstön tietoturva- ja tietosuojaopas Sivu 1 / 22

2 Sisällysluettelo 1. Johdanto Tampereen seudulla noudatettavat tietoturvaperiaatteet Mitä tietoturvallisuudella tarkoitetaan? Keskeiset tietoturvaohjeet, joita noudattamalla onnistut Tietoturvan toteuttaminen Miksi tietoturvallisuus on tärkeää? Lainsäädäntö tietoturvallisuuden perustana Asianhallinta ja tietojen käsittely Työhön liittyvät tiedot Haastattelut, kyselyt, tutkimukset ja tietojen luovutus Omat tiedot ja yksityisyys Työpaikalla/työpisteessä tietoturvan toteuttaminen Tietokoneen käyttö Käyttöoikeudet ja salasanat Internet ja sähköposti Toimitilojen turvallisuus Liikkuva työ, etätyö ja matkatyö Liikkuva työ ja mobiililaitteet Etätyö ja etäkäyttö Matkatyö Ongelmatilanteet Ilmoitusvelvollisuus ja toiminta ongelmatilanteessa Seuraamukset Kotikoneella tietoturvan toteuttaminen Mistä löydän lisätietoa? Oman organisaation tietolähteitä Muita tietolähteitä...16 Liite 1 Tampereen seudun tietojen ja tietojärjestelmien käyttö- ja salassapitositoumus...17 Liite 2 Ohje kuvaamisesta ja tallentamisesta sote-palveluissa...19 Liite 3 Turvakielto...20 Liite 4 Tietoturvallisuuteen keskeisesti liittyvät säädökset...21 Liite 5 Tietoturvan ja tietosuojan huoneentaulu...22 Sivu 2 / 22

3 1. Johdanto Tietoturva ja tietosuoja ovat jatkuvassa murroksessa. Palveluja digitalisoidaan enenevästi ja henkilörekisterien koot kasvavat. Yhteisesti EU-maissa sovellettavan yleisen tietosuoja-asetuksen säännökset tulevat voimaan vuoden 2018 toukokuussa, mutta jo sitä ennen on tärkeä varmistaa, että henkilöstö tuntee hyvät tietoturva- ja tietosuojakäytänteet. Tietoturvallisuus perustuu lainsäädäntöön ja normiohjaukseen. Vastuu tietoturvallisuudesta ja siihen liittyvä osaaminen kuuluu omalta osaltaan jokaiselle, myös sinulle. Tietoturva- ja tietosuoja-asioiden hallintaa voidaan pitää kaikille kuuluvana kansalaistaitona, josta on hyötyä myös joka päiväisessä elämässä. Tämä henkilöstön tietoturva- ja tietosuojaopas on tarkoitettu Tampereen seudun kuntien ja kaupunkien (Hämeenkyrö, Kangasala, Lempäälä, Nokia, Orivesi, Pirkkala, Tampere, Vesilahti ja Ylöjärvi) henkilöstölle sekä niiden tietoja ja tietojärjestelmiä tai toimitiloja käyttäville henkilöille kuten ulkopuoliset palveluntuottajat, opiskelijat, työharjoittelijat, siviilipalvelusmiehet ja tiedelainaajat. Oppaan tarkoitus on nostaa henkilöstön tietoturva- ja tietosuojatietoisuutta ja täten edesauttaa jokaista huolehtimaan omalta osaltaan sen toteuttamisesta. Oppaaseen on koottu keskeisiä tietoturvaan ja tietosuojaan liittyviä perusasioita. Se antaa neuvoja tietoturvallisuuden ja tietosuojan toteuttamiseen omassa työssä ja muissa käytännön tilanteissa. Jokaisessa organisaatiossa voi kuitenkin olla toiminnan erityisluonteesta johtuen tätä opasta koskevia hyväksyttyjä poikkeuksia, lisäyksiä ja täsmennyksiä, joita luonnollisesti tulee noudattaa. Oppaan loppuun on koottu hyödyllisiä liitteitä, jotka kannattaa lukea huolellisesti läpi. Liite 1 sisältää sitoumuksen tekstin, jonka me kaikki olemme sähköisesti hyväksyneet ennen Tampereen seudun tietojärjestelmien käyttöä. Viimeinen liite on tietoturvan ja tietosuojan huoneentaulu, joka tiivistää kymmeneen kohtaan ne tärkeät asiat, jotka meistä jokaisen on huomioitava päivittäisiä työtehtäviä hoitaessa. Antoisia lukuhetkiä! Terveisin Tampereen seudun tietoturvaryhmä Sivu 3 / 22

4 2. Tampereen seudulla noudatettavat tietoturvaperiaatteet 1. Tietoturva ja tietosuoja ovat Suomen lainsäädännön mukaisesti osa organisaation päivittäistä toimintaa ja koskevat koko toimintaa ja henkilöstöä. 2. Asiat pitää tehdä tietoturvallisesti, millä tarkoitetaan tiedon suojaamista monenlaisilta uhkilta. Tarkoituksena on varmistaa (liike)toiminnan jatkuvuus, minimoida (liike)toiminnalliset riskit sekä maksimoida investoinneista ja (liike)toiminnan mahdollisuuksista saatu tuotto. 3. Tietoturvaan liittyvät ongelmat tulee mieluummin ennaltaehkäistä kuin hoitaa jälkikäteen. 4. Tietoturva- ja tietosuoja-asiat pitää huomioida välineestä riippumatta eli ne eivät liity vain tietotekniikkaan. 5. Paperiset asiakirjat, sähköiset tietovarannot, tietojärjestelmät, tietotekniset laitteet, tietoverkot ja niihin liittyvät palvelut on pidettävä asianmukaisesti suojattuina sekä normaali- että poikkeusoloissa. 6. Tietoturvallisuuden saavuttamiseksi pitää toteuttaa sopivia turvamekanismeja, jotka muodostuvat toimintaperiaatteista, prosesseista, organisaatiorakenteista ja ohjelmisto- ja laitteistotoiminnoista. 7. On varmistettava, että luottamukselliset, arkaluonteiset ja muut salassa pidettävät asiat kuuluvat vaitiolovelvollisuuden piiriin riippumatta siitä, miten tai mihin niitä on tallennettu tai millä tavalla tiedot on saatu. 8. Jokaisen esimiehen on huolehdittava, että tietoturva- ja tietosuojamääräykset ja ohjeet koulutetaan ja perehdytetään henkilöstölle. 9. Tietoturvaan liittyvä ohjaus, valvonta ja seuranta tulee organisoida. 10. Tietoturvan toteutumista tulee seurata ja kehittää. Yllä luetellut 10 tietoturvaperiaatetta on määritelty Tampereen seudun kuntien yhteisessä tietoturvapolitiikassa, joka näiden lisäksi määrittelee myös muita tietoturvallisuuteen liittyviä linjauksia, asioita ja vastuita. 3. Mitä tietoturvallisuudella tarkoitetaan? Suomen lainsäädännössä lähdetään siitä, että tietoturva ja tietosuoja on hoidettava asianmukaisesti: se on myös työpaikallamme osa päivittäistä toimintaa ja koskee koko henkilöstöä. Tietoturvallisuus on lisäksi osa organisaation toiminnan laatua. Tietoturvallisuustyön päämääränä on turvata organisaation toiminnalle tärkeiden tietojärjestelmien ja tietoverkkojen keskeytymätön toiminta, estää tietojen ja tietojärjestelmien valtuudeton käyttö, tahaton tai tahallinen tiedon tuhoutuminen tai vääristyminen sekä minimoida aiheutuvat vahingot. Käytännössä tämä merkitsee mm. sitä, että osa tiedoista ja tietojärjestelmistä pidetään vain niiden käyttöön oikeutettujen saatavilla. Tällöin sivullisille ei anneta mahdollisuutta käsitellä, muuttaa tai poistaa tietoja. Tietojen käsittelyyn oikeutetutkin saavat käyttää tietoja ja järjestelmiä vain asianmukaisesti työtehtävissään. Tietojen, järjestelmien ja palveluiden on oltava luotettavia, oikeita ja ajantasaisia. Ne eivät saa paljastua, muuttua tai tuhoutua hallitsemattomasti asiattoman toiminnan, haittaohjelmien, laitteistotai ohjelmistovikojen tai muidenkaan vahinkojen ja tapahtumien seurauksena. Tietojen, järjestelmien ja palveluiden on myös pysyttävä toiminnassa ja oltava saatavilla silloin kun niitä tarvitaan. Sähköisen asioinnin yleistyttyä on lisäksi entisestään korostunut vaatimus, että asioinnin osapuolet tunnistetaan luotettavasti ja että asiointitapahtumien olemassaolo ja sisältö voidaan jälkikäteenkin todistaa. Sivu 4 / 22

5 Muista huolehtia, että tärkeät tiedostosi ovat varmuuskopioitu sähköisesti ja tietoturvallisesti! 4. Keskeiset tietoturvaohjeet, joita noudattamalla onnistut Seuraa tietoturvallisuuteen liittyviä tiedotteita, tutustu ohjeisiin ja osallistu mahdollisuuksien mukaan koulutuksiin. Toimi saamiesi ohjeiden mukaisesti. Tue osaltasi organisaation kulunvalvontaa ja käytä organisaation toimitiloissa kuvallista henkilökorttiasi (mikäli sellainen on annettu). Estä asiaton pääsy tietojärjestelmiin lukitsemalla työasemasi aina kun poistut sen luota. Lukitseminen onnistuu helposti painamalla Windows-lippupainiketta ja kirjainta L. Työpäivän päättyessä kirjaudu tietojärjestelmistä ulos ja sammuta tietokoneesi organisaatiokohtaisen ohjeen mukaisesti. Älä jätä toimikorttia tietokoneen kortinlukijaan, kun poistut koneen luota. Älä jätä vierasta valvomatta työhuoneeseesi tai muihin organisaation tiloihin. Älä anna ulkopuolisen käyttää tietokonettasi. Noudata ns. puhtaan pöydän periaatetta. Älä säilytä työpöydällä salassa pidettävää aineistoa. Käsittele varsinkin salassa pidettäviä tietoja huolellisesti välineestä riippumatta. Olipa tiedon välittäjänä sitten henkilö, tietokone, paperi, puhelin tai jokin muu. Älä luovuta henkilökohtaisia käyttäjätunnuksia ja salasanojasi toisen henkilön, edes kollegan, käyttöön. Älä anna sivullisen nähdä tietokoneesi näyttöä tai näppäimistöä, kun käsittelet arkaluonteista tietoa tai kun syötät käyttäjätunnuksia ja salasanoja. Vaihda salasanat riittävän usein ja heti, jos epäilet niiden paljastuneen. Älä asenna ohjelmistoja tai tee järjestelmiin asetusmuutoksia, ellei tämä kuulu työtehtäviisi. Tallenna tekemäsi työ mieluiten organisaation verkkopalvelimen levylle (esim. henkilökohtaiselle verkkolevylle, joka Tampereella on Z: ja muissa kunnissa H: -asema). Siltä tiedot varmistetaan keskitetysti. Hae tulosteesi verkkotulostimesta heti tulostuksen jälkeen. Mikäli käytettävissä on ns. turvatulostus, niin käytä sitä. Sivu 5 / 22

6 Muista, että organisaation laitetta, verkkoa tai sähköpostia käyttäessäsi näyt ja esiinnyt tietoverkossa aina tahtomattasikin organisaation edustajana. Käytä aina asianmukaista salausta, mikäli sinun on siirrettävä internetin kautta salassa pidettävää tietoa. Esim. sähköpostin osalta voi käyttää salausratkaisua lähetettäessä postia järjestelmämme ulkopuolelle. WWW-osoitteiden alussa http: ilman s-kirjainta tarkoittaa että yhteys ei ole salattu, kun taas https: tarkoittaa että yhteys on salattu. Ilmoita aina tietoturvallisuuteen liittyvistä ongelmatilanteista ja havaitsemistasi uhkista ja suojauspuutteista välittömästi Tukikeskukseen, tietohallinnolle tai omalle esimiehellesi. Heidän velvollisuutenaan on välittää tieto eteenpäin ja ryhtyä tarvittaviin toimenpiteisiin. Pyydä tarvittaessa neuvoa organisaatiosi asiantuntijoilta tai Tukikeskuksesta. Huolehdi tietoaineistostasi sekä sen oikeaoppisesta hävittämisestä hyvin! 5. Tietoturvan toteuttaminen 5.1. Miksi tietoturvallisuus on tärkeää? Tietoturvatoimenpiteillä turvataan yksilön, yhteisön ja yhteiskunnan etuja. Tietoturvallisuus on yhteiskunnan toimintojen, palvelujen, sovellusten ja tietoteknisen infrastruktuurin perusedellytys. Yhteiskunnan toiminnot ovat nykyään suurelta osin riippuvaisia tietojen käsittelystä ja siirrosta. Verkottuneessa toimintaympäristössä harva organisaatio on enää vastuussa yksinomaan omasta tietoturvallisuudestaan. Tietoturvallisuudesta huolehtiminen on jokaisen organisaatiossa työskentelevän velvollisuus. Suurimmat tietoturvallisuuden ongelmat liittyvät yleisesti kiireeseen, huolimattomuuteen, osaamattomuuteen ja muihin tietojärjestelmien toteutuksen ja käytön laadullisiin tekijöihin. Tietoturvallisuus on juuri niin hyvä kuin sen heikoin lenkki, ei siis vain tekniikka vaan myös jokapäiväiset toimintatapamme ja asenteemme. Puutteellinen tietoturvallisuus vaarantaa kunnan, kansalaisten, yhteisöjen ja asiakkaiden etuja sekä aiheuttaa lisätyötä ja -kustannuksia. Tietoturvallisuutta kehittämällä parannetaan toimintojen luotettavuutta ja jatkuvuutta. Sivu 6 / 22

7 Kulunvalvonnasta ja henkilöllisyyden varmentamisesta on tärkeää huolehtia! 5.2. Lainsäädäntö tietoturvallisuuden perustana Julkishallinnossa käsitellään runsaasti sekä julkista että salassa pidettävää tietoa. Tietoturvallisuus perustuu viranomaisten toiminnan julkisuudesta annetun lain ja asetuksen lisäksi useisiin muihinkin lakeihin. Yksityiselämän suoja ja julkisuusperiaate ovat jo perustuslaissa säädeltyjä perusoikeuksia. Julkisuuslainsäädännön mukaan tieto on julkista, ellei se julkisuuslain tai muiden säädösten perusteella ole salassa pidettävää. Tietojen lain mukaisesta käsittelystä on aina huolehdittava. Viranomaisen tulee hyvän tiedonhallintatavan luomiseksi ja toteuttamiseksi huolehtia asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen asianmukaisesta saatavuudesta, käytettävyydestä ja suojaamisesta sekä eheydestä ja muista tietojen laatuun vaikuttavista tekijöistä (Laki viranomaisten toiminnan julkisuudesta 18, Hyvä tiedonhallintatapa). Rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä (Henkilötietolaki 32, Tietojen suojaaminen). Tietoturvallisuuteen keskeisesti liittyvien säädösten luettelo on koottu tämän oppaan lopussa olevaan liitteeseen Asianhallinta ja tietojen käsittely Asianhallinta tarkoittaa organisaation toimintaprosesseihin sisältyvien asioiden ja asiakirjojen käsittelyn ohjaamista niiden koko elinkaaren ajan. Asianhallinta pyrkii tehostamaan asioiden valmistelua, käsittelyä, päätöksentekoa, julkaisemista ja arkistointia sekä asiakirjamuodossa olevien tietojen (asiakirjalliset tiedot) hallintaa. Asiakirjalliset tiedot ovat osa organisaation pääomaa, jolloin niiden laatuvaatimukset on turvattava, käsittelykäytännöt suunniteltava huolellisesti ja suojaaminen varmistettava. Asiakirjallisten tietojen laatuun liittyviä vaatimuksia ovat alkuperäisyyden, eheyden, luotettavuuden ja käytettävyyden takaaminen. Tiedolla puolestaan tarkoitetaan eri muodoissa tallennettavaa, käsiteltävää tai siirrettävää tietoa. Tieto voi olla esimerkiksi yksittäisessä asiakirjassa, puheessa, sähköposti- tai tekstiviestissä, tietokannassa, tietokoneen tai puhelimen muistissa, ääni- tai kuvanauhassa tai vaikkapa yksittäisen ihmisen muistissa. Tietoa on tarkasteltava tiedon koko elinkaaren ajalla, jolloin tietoturvanäkökulmasta merkittäviä käsittelyvaiheita ovat mm. tiedon luominen, käyttäminen, muuttaminen, tallettaminen, siirtäminen, jakelu, kopioiminen, arkistointi ja hävittäminen. Tietoja käsiteltäessä tulee huomioida, että käsiteltävät tiedot ovat usein merkittävästi arvokkaampia kuin tietojen käsittelyyn mahdollisesti liittyvä tekninen väline Työhön liittyvät tiedot Mikäli laadit salassa pidettävää asiakirjaa, vastaat tehtäviesi mukaisesti myös sen luokittelusta ja merkinnästä (esimerkiksi julkisuuslain pykälä, mihin salassapito perustuu). Sivu 7 / 22

8 Käsittele tietoja huolellisesti käsittely- tai tallennusvälineestä riippumatta. Muista, että voit käyttää ja käsitellä käyttöösi saamiasi salassa pidettäviä ja arkaluonteisia tietoja vain työtehtäviesi hoitamisessa. Esimerkiksi henkilörekisterin tietojen käyttötarkoituksen vastainen käyttö on lainvastaista. Huomioi myös, että tietojärjestelmien käyttöä valvotaan ja luvattomaan käyttöön puututaan. Kun käsittelet salassa pidettävää tietoa, huolehdi, etteivät sivulliset näe tietoja asiakirjoistasi tai tietokoneesi näytöltä (käytä mahdollisuuksien mukaan näytönsuojakalvoa). Varo myös syöttämästä salasanoja tai tunnuskoodeja siten, että joku näkee ne sormiesi liikkeistä. Tallenna tekemäsi työ mahdollisuuksien mukaan palvelimelle, jonka varmuuskopioinnista tietohallinto huolehtii. Vältä tilannetta, jossa asiakirja tai muu aineisto olisi ainoastaan sellaisella laitteella tai tietovälineellä, jonka varmuuskopiointi on epäsäännöllistä. Mikäli aineistoa siirretään muistitikun tai muun muistivälineen avulla, valvo siirtoa aina henkilökohtaisesti. Varo tilannetta, jossa omalla tietovälineelläsi olisi siirrettävän tiedoston lisäksi muuta aineistoa salaamattomana. Varo toimistosovelluksilla kuten Word ja Excel tehtyjen tiedostojen piiloon jääviä tietoja (ns. meta-, muutos-, jäännös- ja piilotiedot) erityisesti organisaation ulkopuolelle tiedostoja lähettäessäsi tai tietovälineellä siirtäessäsi. Tiedosto voi sisältää siinä aiemmin ollutta tietoa, kommentteja tai muuta järjestelmässä olevaa tietoa, vaikka se ei näytöllä suoraan näkyisikään. Sovelluksissa on usein Tarkasta asiakirja -toiminto, jolla voi etsiä mahdolliset piilotiedostot ja tarvittaessa poistaa ne. Mikäli joudut lähettämään salassa pidettävää aineistoa, lähetä se salattuna. Varmistu, että vastaanottaja on oikeutettu sen saamaan ja että lähetys on mennyt perille. Vältä turhaa tulostamista ja kopiointia, koska ylimääräiset kopiot, väliversiot ja epäkelvot kappaleet (kustannus- ja ympäristövaikutusten ohella) lisäävät tiedon vääriin käsiin joutumisen vaaraa ja siten turvaamistehtäviä erityisesti säilyttämisen tai hävittämisen osalta. Varmista, mihin tulostimeen tulostat ja missä tulostin sijaitsee. Hae tulosteesi verkkotulostimesta heti tulostuksen jälkeen. Mikäli käytettävissä on ns. turvatulostus (Secure), niin käytä sitä. Käytä salassa pidettäviä tietoja hävittäessäsi suojausluokituksen mukaisia silppureita tai hävittämispalveluun kuuluvia keräyssäiliöitä (= tietosuojattavan jätteen hävityspönttöjä) Haastattelut, kyselyt, tutkimukset ja tietojen luovutus Ohjaa haastattelu- ja kyselypyynnöt asian vastuuhenkilölle ja toimi organisaation tiedotuspolitiikan mukaisesti. Varo antamasta viattomankin oloisten keskustelujen ja lomakkeiden yhteydessä tietoa salassa pidettävistä ja yksityisyyden suojan piiriin kuuluvista tiedoista. Ohjaa tietojen luovutus- ja tutkimuspyynnöt aineiston vastuuhenkilölle, jonka tehtävänä on varmistua tietojen luovutuksen perusteista ja mahdollisesta korvattavuudesta sekä päättää luovutuksesta. Mikäli aineisto luovutetaan tietovälineellä sähköisessä muodossa, tulee käytettävän tietovälineen ehdottomasti olla uusi ja aiemmin käyttämätön tai tietoturvallisesti tyhjennetty ennen aineiston lisäämistä. Tutustu myös Tampereen seudun sähköisten viestintävälineiden käyttösääntöihin, joissa linjataan ja opastetaan myös tätä asiaa Omat tiedot ja yksityisyys Sivu 8 / 22

9 Omia henkilökohtaisia tiedostoja ei pidä tarpeettomasti tallentaa työpaikan puhelimeen, työasemaan tai palvelimelle. Mikäli kuitenkin niitä on tarpeen tallentaa, niin nimeä tiedot ja kansiot etuliitteellä yksityinen. Kaikki ovat vaitiolovelvollisia toisten viesteistä, jotka on työtehtävissään vahingossa saanut tietoonsa. Tukahduta juorut! Kunnioita asiakkaiden ja työntekijöiden yksityisyyttä (esimerkiksi terveydentilatietoja sisältäviä asiakirjoja, kuten sairauslomatodistuksia saavat käsitellä vain ne kenen työtehtäviin se kuuluu). Huomioi, että tietojärjestelmiin ja tietoverkon laitteisiin tallentuu yksityiskohtaista lokitietoa järjestelmien käytöstä. Tietoja voidaan käyttää ylläpidossa, vianmäärityksessä ja tietoturvallisuuden valvonnassa. Väärinkäytöksiin puututaan! 5.6. Työpaikalla/työpisteessä tietoturvan toteuttaminen Tietokoneen käyttö Tietokoneen käyttö sisältää sekä oman työaseman että verkon kautta käytettävien palveluiden käytön. Vastaat käyttäjänä omasta koneestasi. Ole siis huolellinen. Vain tietohallinto-organisaation valtuuttama taho saa asentaa tietokonelaitteita verkkoon ja asentaa tai päivittää koneisiin ohjelmia. Kirjaudu koneelle aina omilla käyttöoikeuksillasi. Estä asiaton pääsy tietojärjestelmiin lukitsemalla työasemasi (Windows-lippupainike ja kirjain L) aina kun poistut sen luota. Lisävarmistuksena voit myös käyttää salasanasuojattua näytönsäästäjää. Toimi organisaatiokohtaisen ohjeistuksen mukaisesti. Tallenna työsi käyttäen välitallennuksia. Älä jätä työtä tallentamatta, kun poistut koneesi luota. Jos työaseman kiintolevy tai muu tallennusväline (esim. muistitikku tai CD-/DVD-levy) rikkoutuu tai poistetaan muuten käytöstä, ei sitä saa laittaa roskakoriin, vaan se pitää hävittää tietoturvallisesti. Huolehdi hävittämisestä organisaation ohjeistuksen mukaisesti. Kirjaudu ulos sekä ohjelmistoista että koneeltasi ja sammuta tietokoneesi työpäivän päättyessä organisaation ohjeistuksen mukaisesti. Huijausohjelmistoja pitää varoa asentamasta yhtälailla työpaikalla kuin kotonakin! Sivu 9 / 22

10 Käyttöoikeudet ja salasanat Tietojärjestelmiin tarvitaan käyttöoikeus. Käyttöoikeus on henkilökohtainen ja se on yhdistetty juuri sinun henkilöllisyyteesi ja työtehtävääsi. Käsittele käyttäjätunnusta ja salasanaa samalla tavalla kuin pankkikorttiasi ja tunnuslukuasi. Hyvä salasana on sinun helppo muistaa, mutta vaikea ulkopuolisen arvata. Älä lainaa tai luovuta henkilökohtaisia käyttäjätunnuksiasi, salasanojasi, toimikorttiasi tai PINkoodejasi toisen henkilön käyttöön, älä edes IT-tukihenkilölle. Suhtaudu epäilevästi kaikkiin tiedusteluihin, jotka liittyvät salasanoihisi tai järjestelmien käyttöoikeuksiisi. Työasemien käynnistyksessä kysyttävä BitLocker salasana tulkitaan tässä konekohtaiseksi, ei henkilökohtaiseksi. Vaihda salasanat riittävän usein ja heti, jos epäilet niiden paljastuneen. Huolehdi, että salasanat ovat riittävän monimutkaisia ja vältä tuttujen jokapäiväisten sanojen käyttöä salasanana. Hyvässä salasanassa on pieniä ja isoja kirjaimia, numeroita ja jopa erikoismerkkejä. Älä kirjoita salasanoja muistiin ainakaan sellaiseen paikkaan, mistä ne ovat muiden löydettävissä. Tietokoneille on tarjolla turvallinen salasanojen tallennustyökalu (KeePass). Älä käytä organisaation antamaa käyttäjätunnusta tai salasanaa Internetin palveluihin rekisteröityessäsi. Työsähköpostiosoitetta voi käyttää jos palvelua käytetään työtehtävissä. Yhteiskäyttötunnuksiin liittyy useita riskejä ja ongelmia, jonka vuoksi niiden käyttöä pyritään välttämään. Jos erikseen on sallittu ja sovittu yhteiskäyttötunnuksen käytöstä, niin senkin salasana täytyy vaihtaa aina, kun jonkun käyttäjän käyttöoikeus siihen lakkaa tai epäillään jonkun ryhmään kuulumattoman saaneen sen tietoonsa. Salasana tulee muutoinkin vaihtaa riittävän usein Internet ja sähköposti Internet ja sähköposti ovat hyviä työvälineitä sekä tiedon hakuun että yhteydenpitoon. On kuitenkin muistettava, että sähköpostissa tai Internetissä ei itsessään ole oletuksena mitään suojausta, vaan tiedot liikkuvat salaamattomana julkisessa verkossa. Sähköpostin ja Internetin käyttö vaativatkin käyttäjältä huolellisuutta. Internet ja sähköposti ovat työpaikoilla tarkoitettu pääasiallisesti vain työkäyttöön. Muista, että kaikki asiakkaitamme koskeva tieto on aina luottamuksellista. Verkossa viestitty voi päätyä julkiseksi eikä sanojaan saa takaisin. Ota huomioon, että vaikka esiintyisit kotikoneeltasi käsin yksityishenkilönä, sinut voidaan nimesi perusteella yhdistää työnantajaasi vaikka et sitä haluaisikaan. Verkossa on monia, jotka yrittävät kalastella eri organisaatioiden salaisuuksia. Voit aina kysyä esimieheltäsi neuvoa epäselvissä tapauksissa. Sivu 10 / 22

11 Tampereen seudulla on vuoden 2016 toukokuusta alkaen ollut käytössä Sähköisten viestintävälineiden käyttösäännöt, jotka linjaavat ja opastavat laajasti mm. seuraavia asioita: Internetin käyttörajoitukset Sähköpostin käyttö ja sähköpostien salaus Sähköiset kyselyt, sähköisen kalenterin käyttö Skype for Business viestintä-/neuvottelusovelluksen käyttö Tekstiviesti ja pikaviestintäsovellusten käyttö Jokaisen sähköpostia tai internettiä käyttävän on hyvä tutustua tähän intranetista löytyvään Sähköisten viestintävälineiden käyttösäännöt dokumenttiin. Internetin ja sähköpostin käytön muistilista: Käytä vain sellaisia palveluita, jotka tiedät asiallisiksi. Internetin kautta ei ole luvallista välittää salassa pidettävää tietoa ilman asianmukaista salausta/suojausta. Tällaiset viestit ja tiedostot on salattava tietohallinto-organisaation hyväksymillä tuotteilla. Opettele salaustuotteiden oikea käyttö, jotta tieto ei vahingossa lähde salaamattomana. Mikäli organisaatiokohtaisen ohjeistuksen ja työtehtäviesi perusteella lataat ohjelmia, pyri aina varmistumaan ohjelmiston ja lähteen luotettavuudesta sekä ohjelmiston soveltuvuudesta kaupungin tai kunnan tietoarkkitehtuuriin. Jos käytät julkisia päätteitä tai tilapäisesti toisen henkilön hallussa olevaa tietokonetta, muista tyhjentää Internet-selaimen välimuisti ja evästeet (cookies). Pyydä tarvittaessa käyttäjätuesta (Tukikeskus) apua. Työhön liittyvä sähköposti vastaanotetaan ja ohjataan oman organisaation sähköpostijärjestelmään. Sitä ei saa ohjata tai jatkolähettää automaattisesti organisaation sähköpostijärjestelmän ulkopuolelle. Jos saat henkilökohtaiseen sähköpostiin työpostia, niin vastaat niistäkin työvelvollisuuksien mukaisesti. Varmista, että sähköpostisi käsittelyyn liittyvät velvollisuudet tulevat hoidettua myös poissaolosi aikana. Sähköpostin liitetiedostot voivat sisältää haittaohjelmia (viruksia, matoja tai troijalaisia). Varo kaikkia epätavallisia sähköposteja ja erityisesti liitetiedostoja sekä posteissa olevia suoria www-linkkejä. Älä avaa epäilyttäviä viestejä, vaan toimi ohjeistuksen mukaisesti. Tarvittaessa voit ilmoittaa asiasta Tukikeskukseen. Sivu 11 / 22

12 Roskapostia voivat olla esim. sähköpostiin tilaamatta tulleet mainokset. Roskapostiin ei kannata vastata, vaan se kannattaa tuhota heti. Jos viestiin vastaa, tietää roskapostittaja sähköpostiosoitteesi toimivaksi ja lisää roskapostien lähettämistä ja lisäksi välittää/myy osoitteesi myös muille roskapostittajille. Älä anna työsähköpostiosoitettasi ulkopuolisille muissa kuin työhön liittyvissä yhteyksissä. Ole terveen epäluuloinen sähköpostiviestin luotettavuuteen. Sähköpostiviesti voi tulla myös muualta kuin viestin lähettäjäkentässä näkyvältä taholta. Myös haittaohjelmat voivat lähettää sähköpostia ilman käyttäjän toimenpiteitä. Varo ns. kalasteluviestejä, joissa sinua pyydetään syöttämään tunnuksia ja salasanoja aidontuntuisiin palveluihin. Älä välitä ketjukirjeitä eteenpäin. Mikäli saat toiselle henkilölle kuuluvan sähköpostin, ohjaa viesti oikealle vastaanottajalle ja ilmoita lähettäjälle vastaanottajan oikea sähköpostiosoite. Mikäli oikea osoite ei ole tiedossa, ilmoita virheellisestä lähetyksestä lähettäjälle. Muista, että sinulla on vaitiolovelvollisuus saamastasi viestistä. Jakelulista on henkilöluettelo, jonka jokainen vastaanottaja saa tietoonsa ja se voi olla henkilörekisteritieto tai salassa pidettävä tieto, jonka luovuttamisesta on erikseen säädetty. Voit käyttää sähköpostin piilokopiotoimintoa, jos haluat estää jakelulistalla olevien osoitteiden näkymisen vastaanottajille. Huolehdi, että lähettämäsi sähköpostiviesti on kohdistettu oikeille henkilöille ja oikeisiin osoitteisiin, myös valmiita jakelulistoja käyttäessäsi. Vältä turhien sähköpostien lähettämistä. Työsuhteen päättyessä sähköpostiosoite ja -laatikko poistetaan. Siirrä työpostisi työnantajan käyttöön ja poista tai tallenna itsellesi mahdolliset yksityiset/henkilökohtaiset viestit Toimitilojen turvallisuus Toimitilojen turvallisuudella varmistetaan, että tietoja, asiakirjoja ja tietokonelaitteita säilytetään ja käsitellään asianmukaisesti turvallisissa tiloissa. Toimitilojen turvallisuus sisältää mm. kulunvalvonnan, teknisen valvonnan ja vartioinnin, palo-, vesi-, sähkö-, ilmastointi ja murtovahinkojen torjunnan sekä lähettipalvelujen ja tietoaineistoja sisältävien lähetysten turvallisuuden. Suuntaa asiakaspalvelupisteessä ja -tilanteessa tietokoneesi näyttö harkitusti. Onko tarkoitus, että tiedot näkyvät asioijalle vai ei? Noudata kulunvalvonnasta annettuja ohjeita. Käytä organisaation toimitiloissa kuvallista henkilökorttiasi (mikäli sellainen on annettu). Sivu 12 / 22

13 Pyri käyttämään vierailuihin ns. julkisen alueen neuvottelutiloja. Huolehdi, ettei neuvottelutiloissa ole esillä asiaankuulumatonta materiaalia. Vastaavasti neuvottelun päättyessä huolehdi, ettei pöydille, tauluihin, roskakoreihin tai muualle jää käsiteltyjä luottamuksellisia aineistoja tai muistiinpanoja. Varmista myös, että USB-tikut on otettu esityslaitteistoista pois. Älä jätä kannettavaa tietokonetta tai puhelinta ilman valvontaa. Säilytä laitteita lukitussa tilassa. Huolehdi myös muistitikkujen, CD-/DVD-levyjen, paperitulosteiden ym. asianmukaisesta säilyttämisestä. Noudata puhtaan pöydän periaatetta. Työpöydällä ei saa säilyttää salassa pidettävää tietoa. Älä jätä vierasta ilman valvontaa työhuoneeseesi tai muihin toimitiloihin. Ohjaa vieraat tai eksyneet henkilöt oikeisiin paikkoihin. Älä päästä asiattomia henkilöitä toimitiloihin samalla oven avauksella esim. töistä lähtiessäsi. Älä jätä kulunvalvonnassa olevia tai muuten lukittuna pidettäväksi tarkoitettuja ovia auki eli varmista, että tällaiset ovet lukkiutuvat takaisin kuljettuasi niistä Liikkuva työ, etätyö ja matkatyö Tampereen seudulla on vuoden 2013 marraskuusta alkaen ollut yhteinen mobiilipolitiikka, johon jokaisen kannattaa tutustua. Siinä määritellään ja samalla ohjeistetaan puhelinten ja muiden mobiililaitteiden käyttöön liittyviä asioita Liikkuva työ ja mobiililaitteet Liikkuvan työn välineisiin ja niiden käyttöön liittyy vastaavia uhkia kuin kiinteämmin asennettuihin, joten kyseeseen tulevat soveltuvin osin samat turvallisuusohjeet. Kun välineitä lisäksi kuljetetaan ja käytetään työpaikan toimitilojen tarjoamien turvatoimien ulkopuolella, tarvitaan erityistä huolellisuutta. Huolehdi työnteossa käyttämiesi tietokoneiden, älypuhelimien ja USB-tikkujen turvallisuudesta. Älä säilytä niissä ylimääräistä tietoa suojaamattomana. Tutustu laitteen ja siinä olevien ohjelmien käyttöohjeisiin ja turvallisuusominaisuuksiin (mm. lukitseminen, suojakoodikyselyt, Bluetooth-asetukset, sovellusten lataaminen, päivitykset). Huolehdi, että matkapuhelimessasi on päällä PIN-kysely. Vaihda laitevalmistajan tai palveluntarjoajan antamat oletusarvoiset PIN-koodit. Älä lataa ja asenna laitteisiin mitään työhön kuulumatonta. Sivu 13 / 22

14 Huolehdi tietojen varmuuskopioinnista ja/tai tarvittaessa synkronoinnista muuhun tietojärjestelmään organisaatiokohtaisen ohjeen mukaisesti Etätyö ja etäkäyttö Etätyöllä tarkoitetaan muualla kuin organisaation vakituisessa toimipisteessä suoritettavaa työtä. Tyypillinen etätyö on kotoa tehtävää toimistotyötä. Etätyötä voidaan tehdä tai tietojärjestelmiä käyttää myös muusta paikasta (esim. organisaation järjestämä etätyöpiste) tai matkoilla (esim. hotelli tai toisen organisaation tilat), jolloin käyttöympäristöt vaihtelevat eikä ympäristön turvallisuuteen voida juurikaan vaikuttaa. Työntekijän omilla toimenpiteillä ja menettelytavoilla on tällöin suuri merkitys. Etäyhteys on tietoliikenneyhteys organisaation sisäverkon ulkopuolelta ja etäkäyttö tietoteknisten palvelujen käyttöä etäyhteyden avulla. Langattomien verkkoyhteyksien yleistyessä etätyöntekijän on entistä useammin kyettävä tekemään itsenäiset arviot etätyöympäristön turvallisuudesta. Muista huolehtia tietokoneesta ja matkapuhelimesta hyvin! Kiinnitä kaikessa toiminnassasi huomiota tietoturvallisiin menettelytapoihin. Erityisen tärkeää tämä on toimittaessa vakituisten toimistotilojen ulkopuolella. Etätyössä sinun tulee noudattaa soveltuvin osin kaikkia samoja turvallisuusperiaatteita kuin ollessasi organisaation varsinaisissa toimitiloissa. Etäkäytön osalta tarkista asia organisaatiokohtaisesta ohjeistuksesta. Muista, että kaikkea organisaatiossa tehtävää työtä ei voida tehdä tietoturvallisesti etätyönä. Tunnista nämä työt. Joidenkin järjestelmien etäkäyttö voi olla kielletty tai estetty. Pääsääntöisesti työnantaja hoitaa etäkäytössä vaadittavien laitteiden, ohjelmistojen ja tietoliikenneyhteyksien hankinnan ja asentamisen. Huolehdi, että etätyössä käyttämäsi laitteistot, ohjelmistot, tietoliikenneyhteydet ja paperiaineistot ovat ja pysyvät vain sinun käytössäsi. Huolehdi, että käyttämäsi käyttäjätunnukset, salasanat, mahdolliset toimikortit ja muut todennusvälineet ovat vain sinun hallussasi ja tiedossasi. Käytä sovittuja suojausohjelmia ja varmista, että ne ovat ajan tasalla. Kuljeta mukanasi vain välttämätön määrä tietoaineistoa ja varmistu aina aineiston asianmukaisesta suojauksesta. Asiakirjojen käsittelyssä on noudatettava samoja periaatteita kuin normaalisti, etätyön erityisriskit huomioon ottaen. Etätyö on rajattava aineistoon, jonka paljastuminen ei vaaranna tietoturvallisuutta tai tietosuojaa. Myös etätyössä on otettava huomioon aineiston luokittelu ja siihen liittyvät käyttösäännöt sekä luovutusta, käyttöä ja käsittelyä koskevat rajoitukset. Huolehdi tietoaineistosi varmuuskopioinnista sekä turvallisesta säilytyksestä ja hävittämismenettelystä. Sivu 14 / 22

15 Matkatyö Vältä puhumasta luottamuksellisista työasioista julkisilla paikoilla ja kulkuvälineissä. Mikäli työskentelet julkisessa kulkuvälineessä, varmistu, etteivät kanssamatkustajat pysty kurkistamaan ja näkemään käsittelemiäsi tietoja ja asiakirjoja. Varo myös aiheettomien langattomien yhteyksien aktivoitumista koneeseesi. Säilytä tieto ja laitteet turvassa. Älä jätä kannettavaa tietokonetta tai puhelinta ilman valvontaa. Vältä julkisten päätteiden (esim. nettikahvilat, kirjastot) käyttöä työasioihin. Et voi vaikuttaa siihen, mitä tietoja käytöstäsi kerätään ja mitä tiedoilla tehdään. Yleensä sinulle ei myöskään tarjoudu mahdollisuutta poistaa näitä tietoja laitteelta. Säilytä laitetta lukitussa paikassa. Muista myös tietovälineiden, paperitulosteiden ym. asianmukainen säilyttäminen. Kannettavia tietokoneita ja matkapuhelimia ei saa jättää autoon näkyvälle paikalle, eikä niitä saa säilyttää autossa yön yli. 6. Ongelmatilanteet 6.1. Ilmoitusvelvollisuus ja toiminta ongelmatilanteessa Mikäli hallussasi oleva laite, kulkukortti, tunniste tms. katoaa tai varastetaan, ilmoita siitä välittömästi ao. vastuuhenkilölle riskien pienentämiseksi ja oman vastuusi rajaamiseksi. Ilmoita aina haittaohjelmista (esim. virukset tai kiristyshaittaohjelmat) ja muista tietoturvallisuuteen liittyvistä ongelmista välittömästi Tukikeskukseen ja oman organisaatiosi tietoturvavastaavalle tai omalle esimiehellesi. Ilmoita aina myös muista turvallisuuteen liittyvistä epäilyistä, suojauspuutteista tai ongelmista turvallisuusvastaaville tai omalle esimiehellesi. Jos epäilet tietoturvaloukkausta tai haittaohjelmatartuntaa: o Älä hätiköi! o Tietokonetta ei tarvitse sulkea, mutta irrota lähiverkkokaapeli työasemastasi ja sulje langaton verkkoyhteys (WLAN/ WI-FI). o Kirjoita ylös, mitä mahdollisessa ilmoituksessa tai varoituksessa luki. Kirjoita muistiin tekemisesi ja kirjaa menetetty työaika mahdollista korvausvaatimusta varten o Ota yhteyttä Tukikeskukseen ja/tai oman organisaatiosi tietoturvavastaavaan. o Kerro mitä olit tekemässä, kun kone alkoi toimia odottamattomasti. Toimi saamiesi ohjeiden mukaisesti. Auta tutkinnassa. Sivu 15 / 22

16 7. Seuraamukset Lakien, määräysten ja ohjeiden rikkomisesta käyttöoikeudet tietojärjestelmiin voidaan peruuttaa. Rikkomuksista tiedotetaan aina esimiehelle. Vakavissa tapauksissa väärinkäyttö voi johtaa myös vahingonkorvausvaatimuksiin, työoikeudellisiin seuraamuksiin ja rikosoikeudellisiin seuraamuksiin. Seurauksena voi olla irtisanominen tai palvelussuhteen purkaminen. 8. Kotikoneella tietoturvan toteuttaminen Mikäli sinulla on kotona oma tietokone ja Internet-liittymä, on tärkeää huolehtia myös niiden tietoturvallisuudesta. Mikäli mahdollista, niin pyydä ajoittain luotettavaa tietotekniikka-asiantuntijaa tarkistamaan, että työasemaympäristösi on turvallinen. Tee jokaiselle käyttäjälle omat henkilökohtaiset tunnukset, joilla on vain ns. normaalikäyttäjän oikeudet. Käytä ylläpitäjän tunnusta (esim. Järjestelmänvalvoja, Administrator) vain ylläpitotehtäviin. Asenna vain virallisia, ajan tasalla olevia ohjelmistoja. Huolehdi käyttöjärjestelmän ja muiden ohjelmien jatkuvasta (automaattisesta) päivittymisestä. Käytä jotain tunnettua ja hyvämaineista tietoturvaohjelmistoa (joka sisältää mm. virus-, vakoilu- ja muiden haittaohjelmien torjunnan sekä palomuurin ellei käyttöjärjestelmän oma palomuuri ole käytössä) ja huolehdi sen jatkuvasta automaattisesta päivittymisestä. Älä avaa epäilyttäviä sähköpostiviestejä ja -liitteitä. Tee säännöllisesti varmuuskopiot ja harjoittele niiden käyttöönottoa. Kun kirjaudut Internetin palveluihin ja teet esim. ostoksia, käytä vain luotettavia palveluita ja toimittajia. Älä anna enempää henkilökohtaista tietoa kuin on tarpeen. Älä käytä samoja salasanoja kuin työpaikan järjestelmissä. Sammuta tietokone ja katkaise Internet-yhteys, kun et käytä sitä. 9. Mistä löydän lisätietoa? Tämän oppaan lisäksi tietoa tietoturvallisuudesta on saatavissa mm. seuraavista lähteistä: 9.1. Oman organisaation tietolähteitä Sisäinen intranet - Tietoturvapolitiikka - Muut tietoturvaan liittyvät määräykset ja ohjeet mm. Tampereen seudun sähköisten viestintävälineiden käyttösäännöt ja Tampereen seudun mobiilipolitiikka - Potilastiedon ja sosiaalihuollon asiakastietojen käsittelyohjeet Perustietotekniikan käyttötuki eli Tukikeskus puh tai (03) Muita tietolähteitä Lainsäädäntö: Valtion säädöstietopankki ( Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmän VAHTI-ohjeet ( Viestintäviraston kyberturvallisuuskeskuksen sivut ( Tietosuojavaltuutetun toimiston ohjeet ( Sivu 16 / 22

17 Liite 1 Tampereen seudun tietojen ja tietojärjestelmien käyttö- ja salassapitositoumus SITOUMUS Sitoumusteksti on oppaan liitteenä malliksi ja perehdytyksen yhteydessä tutustuttavaksi. Tämä sitoumus hyväksytään Tampereen seudulla normaalisti sähköisesti, kun työntekijä saa henkilökohtaisen Windows-tunnuksen. Lue teksti huolellisesti ja kokonaisuudessaan läpi ennen sitoumuksen hyväksymistä. Tämä sitoumus on sisällöltään samanlainen Tampereen seudun kunnissa ja Pirkanmaan sairaanhoitopiirissä. Lisätietoa löytyy intranetista mm. Henkilöstön tietoturvaoppaasta sekä seudun kuntien yhteisestä tietoturvapolitiikasta. Salassapito sekä tietojen ja tietojärjestelmien käyttö perustuvat lainsäädäntöön sekä normiohjaukseen. Kaikkia tietoja pitää käsitellä aina huolellisesti ja hyvän hallintotavan mukaisesti. Salassapidolla tarkoitetaan välineriippumattomasti salassa pidettävän tiedon pitämistä salassa ja vaitiolovelvollisuutta eli kieltoa ilmaista tietoa sivullisille sekä kieltoa käyttää salaista tietoa omaksi tai toisen eduksi tai toisen vahingoksi. Salassa pidettävien tietojen selville ottaminen muita kuin työtehtäviä varten tai tahallinen ohjeiden vastainen toiminta on ehdottomasti kielletty ja sellaisenaan rangaistavaa. Tietojen oikeudettomasta käytöstä voi seurata rikos-, työ- ja vahingonkorvausoikeudellisia seuraamuksia. Salassapito koskee minua palvelus- tai toimeksiantosuhteeni aikana ja sen jälkeen. Velvollisuus koskee myös opiskelijoita ja muita henkilöitä, jotka käsittelevät organisaation salassa pidettäviä tietoja. 1. Noudatan tietojen ja tietojärjestelmien käyttöön liittyviä velvoittavia määräyksiä ja ohjeita. 2. Käytän organisaation tietojärjestelmiä ja laitteita vain työtehtävien hoitamiseen, ellei siitä ole erikseen työnantajan kanssa muuta sovittu. 3. Vastaan käytössäni olevista tietokoneista tai muista laitteista niin, etteivät laitteet tai niissä olevat tiedot joudu vääriin käsiin. Laitteiden vaihtuessa palautan vanhat laitteet ohjeiden mukaisesti. Työsuhteen päättyessä palautan laitteet esimiehelle, jos ei ole muuta ohjeistettu. 4. Varmistan esimieheni kanssa, että saan riittävän koulutuksen tarvitsemieni tietojärjestelmien käyttöön. 5. Käsittelen vain työtehtävieni edellyttämiä tietoja. En käsittele esim. omia, työtovereideni, lähiomaisteni tai julkisuuden henkilön tietoja, mikäli työtehtäväni eivät sitä edellytä. o Tiedoilla tarkoitetaan tässä yhteydessä salassa pidettäviä tietoja (esim. asiakas- ja potilastietoja tai liikesalaisuuksia) tai muita suojattavia henkilötietoja. o Käsittelyllä tarkoitetaan mm. tietojen katselua, tallettamista, käyttöä, siirtämistä, luovuttamista, säilyttämistä, muuttamista, yhdistämistä tai poistamista. 6. En luovuta sivullisille salassa pidettäviä tietoja ilman asianmukaista lupaa tai lain perustetta. Sivullisella tarkoitetaan jokaista, jonka tehtäviin asian käsittely ei kuulu. Sivu 17 / 22

18 7. En säilytä tai siirrä salassa pidettävää tietoa julkisiin pilvipalveluihin, kotilaitteisiin tai suojaamattomana muistitikuille tai muille suojaamattomille laitteille. 8. En tulosta salassa pidettäviä tietoja valvomattomaan tulostimeen. Käyttäessäni verkkotulostinta varmistan sen sijainnin ja valvonnan ennen tulostamista sekä käytän turvatulostusta tai tulostuskoodia jos se on käytettävissä. 9. Noudatan sähköisten viestintävälineiden (mm. sähköposti, kalenterit, pikaviestit ja älypuhelimet) käytöstä annettuja velvoittavia ohjeita ja määräyksiä. En esimerkiksi lähetä salassa pidettäviä tietoja suojaamattomalla sähköpostilla. 10. Käyttäessäni työnantajan järjestelmiä työpaikan ulkopuolelta, varmistan että sivulliset, kuten perheenjäsenet, eivät näe tai kuule työtietoja eivätkä käytä etätyölaitteita tai etäyhteyksiä. 11. En ano turhia käyttöoikeuksia ja ilmoitan minulle jääneistä tarpeettomista tai vääränlaisista tietojärjestelmien käyttöoikeuksista, jotta ne voidaan muuttaa tai poistaa. Turhat käyttöoikeudet voivat kuormittaa järjestelmiä ja lisätä kustannuksia sekä muita riskejä heikentäen myös omaa oikeusturvaani väärinkäytöksiä selviteltäessä. 12. Vastaan minulle myönnetyillä tunnuksilla, tunnistekorteilla ja koodeilla tapahtuvasta käytöstä (tietojärjestelmät, mobiililaitteet, kulunvalvonta jne.). 13. Vaihdan Windows-/verkkotunnuksen sekä tietojärjestelmien ja laitteiden käyttäjätunnusten salasanat/koodit ohjeiden mukaisesti. Säilytän henkilökohtaiset salasanat ja tunnuskoodit siten, että ne eivät paljastu muille. 14. Kirjaudun ulos tietojärjestelmistä tai lukitsen tietokoneen/muun laitteen silloin, kun se ei ole valvonnassani. Tietokoneen lukitsemisen voi tehdä helposti pitämällä pohjassa Windows näppäintä ja painamalla L-kirjainta. 15. Olen tietoinen siitä, että tietojärjestelmissä käyntejä ja siellä tehtyjä tapahtumia tallennetaan lokitietoihin, käyttöä valvotaan ja epäillystä väärinkäytöstä raportoidaan esimiehelleni. 16. En asenna, poista tai kopioi ohjelmistoja ilman myönnettyä lupaa. Tietokoneen ohjelmistojakelu-kuvakkeesta voin kuitenkin ottaa sovelluksen käyttöön tarvittaessa. 17. Hävitän tarpeettomaksi käyneet tiedot ja muun tietosuojattavan materiaalin asianmukaisesti esimerkiksi tietosuojattavan jätteen hävityspönttöihin. Kysyn tarvittaessa lisätietoja arkistovastaavalta. 18. Ilmoitan havaitsemistani tietoturvaan, tietosuojaan tai tietojärjestelmiin liittyvistä väärinkäytöksistä ja ongelmista organisaatiossani eteenpäin. 19. Jos toimin esimiehenä puutun tietojen, tietojärjestelmien, tietoturvan ja tietosuojan väärinkäytöksiin. Olen lukenut tämän sitoumuksen. Mikäli minulla on epäselvyyttä sitoumuksen sisällön tai merkityksen suhteen, selvitän asian ensi tilassa esimieheltäni. Noudattamalla annettuja ohjeita ja määräyksiä varmistetaan jokaisen oikeusturva. Tämän käyttö- ja salassapitositoumuksen hyväksyminen on edellytys tietojen ja tietojärjestelmien käytölle ja tämä versio korvaa mahdollisen aiemmin hyväksytyn version. Sitoudun noudattamaan tämän sitoumuksen sisältöä ja toimimaan sen mukaisesti. Sivu 18 / 22

19 Liite 2 Ohje kuvaamisesta ja tallentamisesta sote-palveluissa Sosiaali- ja terveyspalvelujen henkilökunnalta tulee kyselyjä siitä, miten kuvaamiseen kaupungin/kunnan tiloissa tulee suhtautua. Kuvaaminen ja tallentaminen sote-palvelujen tiloissa ovat yleensä luvanvaraista. Esimerkiksi vuodeosastoilla ja poliklinikoilla kuvaamista ja tallentamista rajoittavat yksityisyyden suoja ja potilasturvallisuus. Kuvan tai tallenteen julkaisemiseen tarvitaan erillinen lupa. Omaa ja läheisen hoitoa voi kuvata Rakennuksen pääaula ja kahvilat ovat julkisia paikkoja, joissa kuvaamiseen ei tarvita lupaa. Ilman lupaa jokainen voi myös kuvata itseään ja läheisiään osastoilla, poliklinikoilla ja toimenpidetiloissa. Potilas/asiakas voi lähtökohtaisesti kuvata ja tallentaa oman tai läheisensä hoitotilanteen sekä esimerkiksi tallentaa oman puhelunsa. Henkilökunnan, toisen potilaan/asiakkaan tai vierailijoiden kuvaamiseen tai tallentamiseen muualla kuin julkisissa tiloissa tulee aina kysyä lupa. Kuvausluvan voi antaa omasta puolestaan kuvattava henkilökunta, mutta toisten potilaiden, asiakkaiden ja vierailijoiden osalta yksikön esimies, sairaalan johto tai viestinnästä vastaavat sillä edellytyksellä, että potilas, asiakas tai vierailija itse suostuu kuvaamiseen. Kun media pyytää kuvauslupaa, henkilökunta kysyy kuvausluvan potilaalta/asiakkaalta toimittajan puolesta. Potilaan, asiakkaan tai hänen läheisensä kuvaamista tai tallentamista hoitotilanteessa voidaan rajoittaa yksityisyyteen tai potilasturvallisuuteen liittyvistä syistä. Kuvaaminen tai tallentaminen saattaa häiritä hoitotapahtumaa, haitata teknisten hoitolaitteiden käyttöä tai muuten vaikuttaa hoitotilanteeseen. Potilasta/asiakasta voidaan pyytää lopettamaan kuvaaminen tai tallentaminen hoitotoimenpiteen ajaksi. Potilaan hoitoa voidaan myös siirtää, jos kuvaamisesta tai tallentamisesta ei päästä yhteisymmärrykseen. Kuvan ja tallenteen julkaisemiseenkin lupa Vaikka kuvaamiseen olisi lupa, kuvan tai videon julkaisemiseen tarvitaan erillinen lupa. Mitään kuvia tai tallenteita ei voi julkaista ilman kuvissa näkyvien suostumusta. Jos henkilökunta epäilee, että kuvia tai videoita julkaistaan esimerkiksi sosiaalisessa mediassa ilman lupaa, kuvaaminen tulee pyytää keskeyttämään. Työyhteisöstä otettujen kuvien julkaisemiseen tulee myös pyytää lupa kaikilta kuvissa esiintyviltä työtovereilta. Pyritään yhteistyöhön Kuvaamisessa ja tallentamisessa tulee pyrkiä yhteisymmärrykseen. Kuvaamisesta voi olla myös hyötyä sosiaali- ja terveydenhuollon toiminnalle. Henkilökunnan osallistuminen potilaiden ja asiakkaiden kuviin tai videoihin voi edistää myös työyksikön hyvää mainetta. Lähtökohtaisesti potilas- ja asiakastyö tehdään aina niin hyvin, että se kestää julkisen tarkastelun. Sivu 19 / 22

20 Liite 3 Turvakielto Turvakielto-sana on arkikielessä käytettävä ilmaus. Asiassa on kysymys väestötietolain mukaisesta henkilön kotikunnan, asuinpaikan, osoitteen tai muun yhteystiedon luovutusrajoituksesta. Maistraatti voi henkilön perustellusta pyynnöstä määrätä, että henkilön yhteystietoja ei luovuteta muille kuin viranomaisille. Määräyksen perusteena ovat henkilön tai hänen perheensä terveyden tai turvallisuuden uhka. Kun henkilöllä on turvakielto, hänen yhteystietoja ei luovuteta useissa tapauksissa viranomaisillekaan. Turvakielto ei kuitenkaan estä viranomaista saamasta henkilön kyseisiä tietoja lakisääteisten tehtävien hoitamista varten. Saatuja tietoja ei saa kunta luovuttaa millekään sivulliselle taholle. Turvakiellon alaiset tiedot pitää pystyä rajaamaan tietojärjestelmän käyttöoikeuksilla vain niille henkilöille, joiden työtehtävään välttämättömästi kuuluu ko. tietojen käsittely. Tietojärjestelmissä pitää olla käyttöloki ja sen avulla pitää valvoa, kuka turvakiellon alaisia yhteystietoja käsittelee ja miksi. Muistilista: Tietojärjestelmiin pitää selvästi merkitä, mikäli henkilöllä on turvakielto voimassa. Suureen osaan julkisen sektorin asiakastietojärjestelmistä tieto päivittyy suoraan Väestörekisterikeskukselta eräajoina. Huomioi, etteivät turvakiellon alaiset osoitetiedot vahingossa paljastu sivullisille johonkin kysymykseen tapahtuvan vastauksen tai jostain asiasta esimerkiksi jollekin kohderyhmälle tiedottamisen yhteydessä. Varmista, että kysyjällä on oikeus saada tietoja, mikäli ne koskevat toista henkilöä (erityisen tärkeää sosiaali- ja terveyspalveluissa). Varmista mahdollisimman hyvin myös kysyjän henkilöllisyys. Lisätietoa henkilötietojen käsittelystä: Laki väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista /661 (=väestötietolaki) Henkilötietolaki /523 Laki viranomaisten toiminnan julkisuudesta /621 (=julkisuuslaki) Sivu 20 / 22

21 Liite 4 Tietoturvallisuuteen keskeisesti liittyvät säädökset Eri lakeihin sisältyvien salassapitosäännösten lisäksi laeista tärkeimpiä ovat: Euroopan unionin yleinen tietosuoja-asetus (velvoittaa 5/2018-) Suomen perustuslaki (731/1999) 2. luku 10 : Yksityiselämän suoja ja luottamuksellisen viestin salaisuus Suomen perustuslaki (731/1999) 2. luku 12 : Viranomaisten hallussa olevien asiakirjojen ja tallenteiden julkisuus Laki viranomaisten toiminnan julkisuudesta (621/1999) Henkilötietolaki (523/1999): Henkilötietojen käsittelyä koskevat yleiset periaatteet Asetus viranomaisen toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta (1030/1999) Laki kunnallisesta viranhaltijasta (304/2003) Työsopimuslaki (55/2001) Arkistolaki (831/1994): Asiakirjojen laatiminen, säilyttäminen ja käyttö Turvallisuusselvityslaki (726/2014) Laki yksityisyyden suojasta työelämässä (759/2004): Työntekijää koskevien henkilötietojen käsittely Laki sähköisestä asioinnista viranomaistoiminnassa (13/2003): Tietoturvallisuus asioinnissa ja viranomaisten keskinäisessä tietojenvaihdossa Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista (617/2009) Sähköisen viestinnän tietosuojalaki (516/2004): Sähköisen viestinnän luottamuksellisuus ja yksityisyyden suoja Rikoslaki (39/1889) 34. luku 9a : Vaaran aiheuttaminen tietojenkäsittelylle Rikoslaki (39/1889) 38. luku 8 : Tietomurto Rikoslaki (39/1889) 38. luku 9 1. kohta: Henkilötietorikos Henkilötietolaki (523/1999) 48 : Henkilörekisteririkkomus Vahingonkorvauslaki (41/1974) Sivu 21 / 22

22 Liite 5 Tietoturvan ja tietosuojan huoneentaulu 1. Selvitä ja noudata oman organisaatiosi tietoturvaohjeita ja käytäntöjä. Oikein mitoitettu ja toteutettu tietoturva on keskeinen osa riskienhallintaa. 2. Lukitse tietokoneesi/ohjelmistot tai kirjaudu niistä ulos aina kun poistut sen läheisyydestä. Pyri käyttämään eri salasanaa eri järjestelmissä. Säilytä salasanat ja muut kirjautumisessa käytettävät tunnisteet, kuten toimikorttisi ja PIN-koodit, huolellisesti. 3. Varo paljastamasta luottamuksellisia tietoja sivullisille työpaikalla tai sen ulkopuolella esim. sosiaalisessa mediassa. 4. Älä surffaa arveluttavilla nettisivuilla. Älä avaa outoja sähköpostiviestejä tai niiden liitteitä. 5. Huolehdi papereiden, muistitikkujen, CD-/DVD-levyjen, puhelinten, salasanojen, avainten, kulkunappien, toimikorttien ym. asianmukaisesta käsittelystä ja säilyttämisestä. 6. Hävitä tietosuojattava jäte asianmukaisesti. Suositeltavin ratkaisu suojattavan paperijätteen hävittämiseksi on lukitut ko. jätteelle tarkoitetut hävityspöntöt, joiden sisältö tuhotaan luotettavasti. 7. Huolehdi erityisesti mobiilityössä kannettavan tietokoneen ja älylaitteiden tietojen suojaamisesta. Hanki kannettavaan tietokoneeseen suojakalvo, joka estää sivulta tapahtuvan salakatselun. Älä jätä laitteita valvomatta näkyville esimerkiksi autoon tai hotelliin. 8. Muista pitää henkilökortti näkyvillä kulkiessasi yleisöltä suljetuissa tiloissa. Se on osa työpaikkojen ja työmaiden turvallisuuskulttuuria. 9. Muista kunnioittaa asiakkaiden ja työkavereiden yksityisyyttä. Näin ylläpidät luottamusta. 10. Kerro esimiehellesi, mikäli havaitset tietoturva- tai tietosuojarikkomuksia. Älä hätäänny poikkeavissa IT-asioihin liittyvissä tilanteissa, vaan ota rohkeasti yhteyttä Tukikeskukseen. Sivu 22 / 22