LUONNOS Esitelty Kaupungin johtoryhmälle Järvenpään kaupungin TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Transkriptio

1 Liite JAR JARDno LUONNOS 0.11 Esitelty Kaupungin johtoryhmälle Järvenpään kaupungin TIETOTURVA- JA TIETOSUOJAPOLITIIKKA 2018 Hyväksynyt: Järvenpään kaupungin hallitus x.x (12)

2 2 (12) Sisällys 1 TIETOTURVA- JA TIETOSUOJAPOLITIIKAN LÄHTÖKOHDAT KAUPUNGIN TIETOTURVA- JA TIETOSUOJAPERIAATTEET Tietoturvaperiaatteet Tietoturvan hallinnolliset periaatteet Fyysisen tietoturvan periaatteet Tietoaineiston turvallisuus Laitteistoturvallisuus Ohjelmistoturvallisuuden periaatteet Tietoliikenneturvallisuus Käyttöön ja käyttäjiin liittyvä turvallisuus Tietosuojaperiaatteet Tietojen kerääminen ja henkilötietojen käsittely Rekisteröidyistä muodostetut tietoryhmät Tietojen luovuttaminen Avoimuus rekisteröityjä kohtaan Yhteistyö eri sidosryhmien ja viranomaisten kanssa Kansainvälisyys Tietosuojaa valvova viranomainen ja tietosuojaloukkaukset TIETOTURVA- JA TIETOSUOJARISKEIHIN VARAUTUMINEN Riskien arviointi Riskien hallintasuunnitelma Toteutunut tietosuoja- ja tietoturvariski Tietoturvarikkomusten seuraamukset TIETOTURVAN JA TIETOSUOJAN VASTUUT JA ORGANISOINTI Osaamisen varmistaminen Tietoturvaan ja tietosuojaan liittyvä ohjeistus Tietoturva- ja tietosuoja-asioista tiedottaminen...14

3 3 (12) 1 TIETOTURVA- JA TIETOSUOJAPOLITIIKAN LÄHTÖKOHDAT Tietoturva- ja tietosuojapolitiikka velvoittaa Järvenpään kaupungin henkilöstöä, johtoa, luottamushenkilöitä, viranhaltijoita sekä muita kaupungin tietoja käsitteleviä henkilöitä, kuten konsultteja, alihankkijoita, sidosryhmiä riippumatta siitä missä muodossa käsiteltävä tieto on. Se tulee huomioida myös kaupungin käyttämien palvelutuottajien ja sidosryhmien toiminnassa. Tietoturvallisuus ja tietosuoja perustuvat lainsäädäntöön, normiohjaukseen ja sopimuksiin. Järvenpään kaupungin tietoturva- ja tietosuojapolitiikka määrittää vastuut, periaatteet ja toimintatavat tietojen käsittelyyn ja suojaamiseen. Tietoturva- ja tietosuojapolitiikka varmistaa yhdenmukaiset käytännöt tietoturvan ja tietosuojan toteuttamiseksi. Tietosuoja- ja tietoturvapolitiikan soveltaminen ei ole sidoksissa tiedon muotoon tai käsittely- tai esitystapaan ja sitä sovelletaan kaikkiin tiedon elinkaaren eri vaiheisiin. Tietoturva- ja tietosuojapolitiikkaa täydennetään ja tarkennetaan tarvittaessa organisaation laatimilla erillisillä ohjeilla ja ohjeistuksilla. Tietoturvalla tarkoitetaan tietojen saatavuuden, eheyden ja luottamuksellisuuden turvaamista. Tietoturva käsittää toimet, joilla suojataan tiedot ulkopuolisilta. Tietoturvaan kuuluu muun muassa tietoaineistojen, laitteistojen, ohjelmistojen, tietoliikenteen, tilojen ja toiminnan turvaaminen. Tietosuojalla tarkoitetaan yksilön (rekisteröidyn) yksityisyyden suojaamista. Tietosuojalla turvataan rekisteröidyn oikeuksia, yksilön tietoja ja luottamusta. Sisäänrakennettu ja oletusarvoinen tietosuoja tarkoittaa sitä, että henkilötietojen suoja otetaan huomioon jo toimintaa suunniteltaessa toimintaa, jossa käsitellään henkilötietoja. Tietoturva- ja tietosuojapolitiikka on voimassa toistaiseksi. Asiasisältöä tarkistetaan ja päivitetään säännöllisesti. Rekisteröidyn oikeudet Tietojen asiallinen käsittely Tiedon eheys, saatavuus ja käytettävyys Tekniset toimet

4 4 (12) 2 KAUPUNGIN TIETOTURVA- JA TIETOSUOJAPERIAATTEET Tietoturva- ja tietosuojaperiaatteilla ohjataan tietojen suojaamista. Tiedon suojaaminen on oleellinen osa kaupungin kokonaisturvaa ja päivittäistä toimintaa sekä tärkeä osa kaupungin toiminnan ja palveluiden laatua ja varmentamista. Tiedon suojaamisen käytänteet ovat edellytys uuden teknologian turvalliseen käyttämiseen. Tietoturvalla suojataan Järvenpään kaupungissa säilytettäviä manuaalisia ja sähköisiä tietoja sekä organisaatioiden, kuntalaisten, rekisteröityjen ja henkilöstön oikeuksia. Tietosuoja kattaa myös vaitiolovelvollisuuden piiriin kuuluvan ja muunkin puhutun tiedon käsittelyn. Järvenpään kaupunki toteuttaa sisäänrakennetun ja oletusarvoisen tietosuojan ja tietoturvan periaatteita. Tieturva- ja tietosuojaperiaatteita noudatetaan kaikissa tietojen käsittelyn elinkaaren eri vaiheissa ja tätä edistetään tuomalla tietoturva- ja tietosuojasuojaperiaatteet osaksi henkilöstön perehdytystä ja koulutusta. Teknisillä ja organisatorisilla ratkaisuilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kannalta tarpeellisia tietoja. Turvallisuudesta huolehditaan tiedon kaikissa olomuodoissa, tiedon koko elinkaaren ajan, mukaan lukien tietojen arkistointi ja suunniteltu hävittäminen. Ohjeistus tietomateriaalin elinkaaresta laaditaan yksikkökohtaisesti. Tiedon elinkaarella tarkoitetaan kaikkia tiedon käsittelyn vaiheita alkaen tiedon keräämisestä tiedon hävittämiseen. Näiden väliin kuuluu esimerkiksi tietojen tallentaminen, järjestäminen, käyttö, siirtäminen, luovuttaminen, säilyttäminen, muuttaminen, yhdistäminen, suojaaminen, poistaminen ja tuhoaminen. Vertaa Henkilötietojen käsittely. Käyttöoikeuksien ja järjestelmien käytön valvonnan vaatimukset niin tietoturvan kuin tietosuojankin osalta otetaan huomioon mahdollisimman aikaisessa vaiheessa sovelluksia hankittaessa ja kehitettäessä. Tietoturva- ja tietosuojajärjestelyt pyritään toteuttamaan siten, että turvallisuusloukkausten selvittäminen jälkikäteen on kohtuudella mahdollista. 1.1 Tietoturvaperiaatteet Tietoturvalla varmistetaan tietojen luottamuksellisuus, eheys, saatavuus ja käytettävyys ja tätä kautta kunnan palvelutuotannon, prosessien ja muiden toimintojen luotettavuus, laatu sekä jatkuvuus. Lähtökohtana tietoturvaa koskevissa päätöksissä ovat viranomaissäädökset sekä hyvä tiedonhallinta- ja -käsittelytapa. Tietoturvallisuudesta huolehtiminen on edellytys tietosuojaperiaatteiden toteutumiselle Tietoturvan hallinnolliset periaatteet Tietoriskit ennakoidaan ja niiden vaikutuksia hallitaan Tiedon ja tietolähteiden luotettavuus, virheettömyys ja laatu varmistetaan johtamisessa, päätöksenteossa, toiminnassa ja viestinnässä Tiedon saatavuus ja käytettävyys varmistetaan riittävillä toimilla Estetään tiedon tahaton tai tahallinen tuhoutuminen ja vääristyminen Estetään toiminnan keskeyttäviä häiriöitä ja varaudutaan mahdollisista häiriöistä toipumiseen Tietoturvaloukkauksien havaitseminen, jäljittäminen, tutkinta ja niistä toipuminen

5 5 (12) Varmistetaan sähköisen asioinnin saavutettavuus, luotettavuus ja kiistämättömyys, mikä tarkoittaa sitä, että ennen kuin sähköisen asioinnin palvelu otetaan käyttöön, on toimintaprosessi suunniteltava alusta loppuun huolellisesti Tietoturva huomioidaan kaupungin ja eri osapuolten välisissä sopimuksissa Kaupungin tietoturva- ja tietosuojapolitikan viedään käytäntöön ohjeistamalla, kouluttamalla ja tiedottamalla, ja sen toteutuminen näkyy tietojärjestelmien käytössä ja tietojen käsittelyssä Fyysisen tietoturvan periaatteet Fyysiseen tietoturvaan kuuluu kaikki ne keinot, joilla pyritään suojaamaan kaupungin tietoja ja tietovarantoja. Näitä keinoja ovat mm. Taloturvallisuus (paloturvallisuus, kosteudelta ja vedeltä suojaaminen, sähköhäiriöihin varautuminen, pelastussuunnitelma) Lukitut tilat Kulunvalvonta Henkilökortin käyttäminen (henkilön tunnistaminen) Kameravalvonta Kaupungin tärkeiden palveluiden ja prosessien keskeytymättömän toiminnan suojaaminen ja häiriöihin varautuminen mukaan lukien tietojärjestelmät ja verkot Jatkuvuus- ja toipumissuunnitelmat (esim. järjestelmäkohtaiset) Sopimuskumppaneilla tulee olla omat valmius- tai jatkuvuussuunnitelmat, jos se on tarpeen Järvenpään kaupungin tietojen suojaamiseen. Fyysisessä tietoturvassa otetaan huomioon se, mitkä ovat tärkeimmät suojattavat kohteet Tietoaineiston turvallisuus Riippumatta tiedon olomuodosta tietoturvallisilla toimilla tähdätään tietoaineistojen (mm. paperiset ja sähköiset asiakirjat, kuvat jne) käytettävyyteen, eheyteen ja luottamuksellisuuden ylläpitämiseen mm. seuraavin keinoin: tietoaineistojen luettelointia ja luokitus tietoaineistojen käsittelyn ohjeistus pääsynhallinta käyttöoikeusprosessit lukittavat säilytystilat tietoaineiston turvallinen hävitys salassapitosopimukset salaustekniikka dokumenttien tunnistetiedot tietosuojaohjeet tietovälineiden ohjeistettu hallinta, käsittely, säilytys ja hävittäminen Nämä toimet kattavat tiedon koko elinkaaren alkaen tiedon syntymisestä tiedon hävittämiseen.

6 6 (12) Laitteistoturvallisuus Laitteistoturvallisuudella turvataan kaupungin laitteiston (sisältää kaiken joka on jollain tapaa yhteydessä kaupungin verkkoon) elinkaarta. Tähän kuuluvat laitteiston suojauksen, asennuksen, takuun ja ylläpidon lisäksi erilaiset tukipalvelut ja -sopimukset sekä laitteiston turvallinen poisto elinkaaren lopussa. huolehditaan laitteiston elinkaareen liittyvistä palvelusopimuksista, esimerkiksi huolehditaan, että laitteistojen poistossa tietojen tuhoaminen hoidetaan lopullisesti huolehditaan sopimuksilla erityisesti tilanteita, joissa koko palvelu sijaitsee palveluntarjoajalla tai osa organisaation laitteista sijaitsee fyysisesti kaupungin tilojen ulkopuolella (ja vaaditaan selvityksiä) Järjestelmien tietoturvapäivityksiä varten tulee olla selkeitä ohjeita Tietojärjestelmätoimittajilla ja tietoinfrastruktuurin ylläpitäjällä on omat vastuunsa laitteistoturvallisuuden osalta ja nämä huomioidaan hankinnoissa ja sopimuksissa Ohjelmistoturvallisuuden periaatteet Pääsynhallinnan suunnittelulla estetään ohjelmien ja järjestelmien luvaton käyttö Ohjelmistojen ja järjestelmien käyttöön tulee aina saada perehdytys Ohjelmiston tietoturvallisuuteen kiinnitetään huomioita jo hankintavaiheessa. Hankintavaiheessa voidaan pyytää asiaan liittyviä dokumentteja. Ohjelmistoista tulee olla olemassa varmuuskopiot Muita huomioitavia asioita: lisenssien hallinta arkkitehtuuriyhteensopivuus tieturvalliset asennukset huolellinen ylläpito käyttäjien hallinta pääsyoikeudet, käyttäjien todennus tukipalvelut varmistukset jäljitettävyys haittaohjelmien torjunta Nämä asiat on otettava erityisesti huomioon silloin, kun vanhoja tietoja konvertoidaan järjestelmistä toiseen Tietoliikenneturvallisuus Tietoliikenneturvallisuus varmistetaan sopimuksilla palvelutoimittajien kanssa Käyttöön ja käyttäjiin liittyvä turvallisuus Tietoturvallinen toiminta on tietojen käyttäjien toiminnasta riippuvaista. Tietoturvallisuuden perustana on osaava ja tietoturvaan sitoutunut henkilöstö. Tietojen valtuudeton ja oikeudeton käyttö estetään hyvällä tietojen käsittelyn suunnittelulla sekä ajantasaisella ohjeistuksella, jota henkilöstö noudattaa. Järvenpään kaupunki velvoittaa jokaisen työntekijän hyväksymään Tietoturvallisuussitoumuksen palvelussuhteen alkaessa.

7 7 (12) Käyttäjän on noudatettava erityisesti seuraavia käyttöturvallisuuteen liittyviä periaatteita: Salatut tiedot ovat lukkojen takana Pääsy tietoihin on vain niillä, joille tiedot kuuluvat käsiteltäväksi työtehtävissä Ohjeistuksien ja suunnitelmien toteutusta valvotaan Salasanakäytännöt Salasanakäytännöissä huomioidaan mm.: Salasanojen tulee olla riittävät ja niitä on käsiteltävä huolellisesti Salasanakäytännöt tulevat yleensä järjestelmäkohtaisesti Käyttäjähallinta pyritään sitomaan mahdollisuuksien mukaan AD:hen 1.2 Tietosuojaperiaatteet Tietosuojan lähtökohdat tulevat henkilöiden perusoikeuksien ja vapauksien suojaamisesta, erityisesti henkilön ja hänen perheensä yksityisyyden suojasta. Järvenpään kaupunki noudattaa asiakkaiden, kuntalaisten, kaupungin henkilöstön ja muiden sidosryhmien henkilötietojen keräämisessä ja käsittelyssä voimassa olevaa lainsäädäntöä. Toukokuusta 2018 lähtien EU:n yleinen tietosuoja-asetus velvoittaa suunnittelemaan ja osoittamaan, että henkilötietojen käsittelyssä noudatetaan lakia ja kaupungin ohjeita. Tietosuojalla turvataan henkilötietojen asianmukainen käsittely koko organisaation toiminnassa, varmistetaan tietojen oikeellisuus ja ennalta ehkäistään henkilötietojen käyttöön liittyviä loukkauksia. Henkilötiedolla tarkoitetaan kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi. Rekisteröidyllä tarkoitetaan henkilöä, jonka henkilötietoja kerätään. Rekisterinpitäjällä tarkoitetaan yhtä tai useampaa henkilöä, yhteisöä, laitosta tai säätiötä, jonka käyttöä varten henkilötietoa kerätään ja jolla on oikeus määrätä henkilötiedon käytöstä tai jonka tehtäväksi henkilötiedon käsittely on lailla säädetty. Kunnissa rekisterinpitäjänä on yleensä lautakunta Tietojen kerääminen ja henkilötietojen käsittely Käyttötarkoitus Henkilötietojen käsitteleminen on aina suunniteltava Käsittelytoimet määritellään tiedon elinkaari huomioiden Henkilötietoja kerätään ja käsitellään vain siltä osin, kun se on kyseisen palvelun/tehtävän kannalta tarpeellista. Tietoja ei käytetä tarkoituksen kannalta yhteen sopimattomalla tavalla. Lainmukaisuus Henkilötietoja käsitellään lainmukaisesti ja asianmukaisesti Tietoja käsitellään siten, että varmistetaan niiden asianmukainen turvallisuus. Säilytettävyys

8 8 (12) Henkilötietoja säilytetään organisaatiossa asian käsittelyn kannalta tarpeellisen ajan, ellei näistä ole erikseen toisin säädetty, ja hävitetään säilytysajan päätyttyä kaupungin ohjeistuksen mukaisesti. Henkilötietojen säilytys ja hävittäminen toteutetaan suunnitellusti ja yhdenmukaisesti. Henkilötietoja ei voida hävittää suunnittelemattomasti ilman perusteita. Tietojen käsittelyn rajoittaminen Henkilötietoja ei saateta määrittelemättömästi saataville. Henkilötietojen saatavuus organisaatiossa on aina oletusarvoisesti rajoitettua. Henkilötietojen käsittelyyn suunnitellaan toimintatapoja, joilla henkilötietojen käsittelyä voidaan määritellä ja valvoa. Luottamuksellisuus ja eheys Henkilöiden oikeus omien tietojensa tarkastamiseen, korjaamiseen, poistamiseen tai siirtämiseen toteutetaan kaupungilla hallinnollisilla ja teknisillä toimenpiteillä. Henkilötietojen käsittelyssä huolehditaan tietojen virheettömyydestä ja siitä, että tarvittavat tiedot ovat saatavilla. Henkilötiedot kulkeutuvat tietoturvallisesti niille, joille ne on tarkoitettu. Tämä huomioidaan mm. siten, että henkilötiedot suojataan asianmukaisesti tilanteesta riippuen Rekisteröidyistä muodostetut tietoryhmät Järvenpään kaupungin henkilörekisterit koostuvat tietoryhmistä. Rekisteröidyt henkilöt ja niiden tietoryhmä kuvataan kaupungin tietosuojaselosteissa. Tietosuojaselosteesta rekisteröity saa tiedon hänen tietoihinsa kohdistuvista toimista ja tämä tieto tulee olla rekisteröidyn saatavilla. Tietosuojaselosteet pääsääntöisesti julkaistaan Järvenpään kaupungin internetsivuilla ja hallinnoidaan asianhallintajärjestelmässä Tietojen luovuttaminen Henkilötietojen luovuttamisen käytännöt ja vastuut kuvataan prosesseissa ja ohjeissa. Henkilötietojen luovuttamisessa huomioidaan tietosuoja-asetuksen, julkisuuslain ja erityslainsäädännön vaatimukset Avoimuus rekisteröityjä kohtaan Henkilötietoja käsitellään läpinäkyvästi, mikä tarkoittaa sitä, että Rekisteröityä informoidaan hänen tietojensa käsittelystä Rekisteröidyn oikeuksia kunnioitetaan. Rekisteröidyn oikeuksien turvaamiseksi luodaan käytäntöjä ja ohjeita Yhteistyö eri sidosryhmien ja viranomaisten kanssa Tietosuoja huomioidaan kaupungin ja eri osapuolten välisissä sopimuksissa. Sopimuksia tehdessä varmistetaan, että sopimusehdoissa varmistutaan tietosuojasäädöksien vaatimuksista

9 9 (12) Hankinta- ja ulkoistussopimuksia tekevät vastaavat siitä, että tietoturvan ja tietosuojan taso vastaa myös ostopalveluissa määräyksiä ja ohjeita sekä voimassa olevia säännöksiä sopimuksen tekohetkellä sekä toimeksiannon aikana Muiden viranomaisten kanssa toimimiseen liittyvään tietojen saamiseen ja luovuttamiseen liittyvät toimintatavat ohjeistetaan Kansainvälisyys Tietosuoja huomioidaan kaupungin ja eri osapuolten välisissä sopimuksissa, jotka ulottuvat kansainväliseen toimintaan. Sopimuksia tehdessä varmistutaan ensisijaisesti siitä, voiko henkilötietojen käsittelyä rajoittaa EU-alueelle ja ETA-alueella. Lisäksi tietosuojavaltuutettu pitää ajantasaista listaa muista hyväksytyistä maista. Näiden ulkopuolelle jäävien maiden kanssa etsitään muita tapoja toimia. Mikäli etätyötä tehdään EU-tai ETA-alueen ulkopuolella, työvälineiden ja tapojen käytännöistä on sovittava ennakkoon huomioiden tietoturvallisuus- ja tietosuojaperiaatteet Tietosuojaa valvova viranomainen ja tietosuojaloukkaukset Suomessa tietosuojavaltuutettu on viranomainen, joka ohjaa, neuvoo ja valvoo henkilötietojen käsittelyä henkilötietolain mukaisesti. Tietosuojavaltuutettu käyttää päätösvaltaa tarkastusoikeuden toteuttamista ja tiedon korjaamista koskevissa asioissa sekä antaa ratkaisuja rekisterinpidon lainmukaisuudesta ja rekisteröityjen oikeuksien toteutumisesta. Kaupungin tietosuojavastaava on yhdyshenkilö valvovaan tietosuojaviranomaiseen. 2 TIETOTURVA- JA TIETOSUOJARISKEIHIN VARAUTUMINEN 2.1 Riskien arviointi Asianmukaisen turvallisuustason arvioimisessa niin henkilötietoja kuin muitakin tietoja käsitellessä on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin. Riskejä muodostuu erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen tietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi. Kaupungin järjestelmät luokitellaan niiden kriittisyyden mukaan. Kriittisten järjestelmien turvajärjestelyt tarkistetaan säännöllisesti ja niiden toimivuus testataan tarvittaessa. Kriittisyys kuvataan kokonaisarkkitehtuuriin sisältyvässä tietojärjestelmäkartassa. Tietoon kohdistuu tyypillisesti seuraavia riskejä: Tietoon pääsy on hankalaa, hidasta tai se on estetty Tieto vuotaa sivullisille Tieto ei ole käyttökelpoista puutteen/virheen vuoksi tai tieto on hävinnyt Tieto ei ole kenenkään käytettävissä Tieto- ja tietosuojariskit voivat aiheutua tyypillisesti seuraavista syistä:

10 10 (12) Tietojen hallintatoimet ja käsittely on järjestetty puutteellisesti. Tietoja ja tietojärjestelmiä voivat vaarantaa mm. laite-, ohjelma-, tietokanta- ja tietoliikennevika sekä ympäristöriskit (esim. sähkökatkot). Henkilöstön tai ulkopuolisten henkilöiden tahattomat virheet tai tahallinen toiminta voi vaarantaa tiedon laadun tai tietojärjestelmän toiminnan. Tietoturva ja tietosuoja voivat vaarantua tietojen siirrossa tai yhteyksien ja käyttöoikeuksien määrittelyssä. Kun tietoja käsitellään ja tietojärjestelmiä käytetään julkisten verkkojen kautta, työpaikan ulkopuolelta ja/tai muilla kuin kaupungin laitteilla, tietosuoja- ja tietoturvariskit ovat suuremmat. 2.2 Riskien hallintasuunnitelma Tietoriskejä tulee arvioida ja hallita kaupungin riskienhallinnan ohjauksen mukaisesti ja suurimmat tietoturva- ja tietosuojariskit tulee sisällyttää organisaation tai palvelun riskienhallintasuunnitelmaan. Tietosuojavastaava ja tietohallintopäällikkö auttavat tietoturvan ja tietosuojan riskienhallinnan arvioimisessa ja riskeihin varautumisessa. 2.3 Toteutunut tietosuoja- ja tietoturvariski Riskien toteutuessa organisaatiossa on yhdenmukainen dokumentoitu menettelytapa tilanteen purkamiseksi. Toteutuneen tietoturva- tai tietosuojariskin tapahtuessa toimitaan Tietoturvapoikkeamiin reagointi ohjeen mukaan. Henkilötietojen tietoturvaloukkauksesta puhutaan, kun tietoturvapoikkeamaan liittyy henkilötietojen käsittelyä. Jokaisella organisaation työntekijällä on velvollisuus ilmoittaa huomaamastaan tietoturvaa kohdistuvasta riskistä, havaitsemastaan poikkeamasta tai muusta vastaavasta tilanteesta. Henkilötietojen tietoturvaloukkausten ilmoittamisesta valvontaviranomaisille ja rekisteröidylle toimitaan lainsäädännön ja kaupungin ohjeistuksen mukaan. Tämän kaltainen ilmoitus edellyttää aina arviointia. 2.4 Tietoturvarikkomusten seuraamukset Tietoturvarikkomuksista ja tietosuojaloukkauksista voi olla seurauksena käyttöoikeuksien rajoituksia, palvelussuhteeseen vaikuttavia toimenpiteitä sekä laissa ja asetuksissa määriteltyjä seuraamuksia. Palvelussuhteeseen vaikuttavista seuraamuksista on säädetty ensisijassa työsopimuslaissa ja viranhaltijalaissa. Sovellettavaksi voivat tulla myös rikos- ja vahingonkorvauslainsäädäntö. Seuraamuksia arvioitaessa moitittava toiminta, sen vaikutukset ja seuraukset käsitellään kokonaisuutena, jonka yhtenä osana tietoturvarikkomus on. 3 TIETOTURVAN JA TIETOSUOJAN VASTUUT JA ORGANISOINTI Jokainen viranhaltija ja työntekijä, luottamushenkilö sekä sopimus- ja yhteistyötaho vastaavat omalta osaltaan tietoturvan ja tietosuojan toteutumisesta omissa työtehtävissään.

11 11 (12) Jokaisen vastuulla on havaitsemiensa tietoturvaan tai tietosuojaan liittyvien uhkien, riskien tai rikkomusten ilmoittaminen viipymättä Esimiehelleen Palvelusta tai toiminnasta vastuulliselle taholle Tietohallintopäällikölle tai tietosuojavastaavalle Esimiehet vastaavat siitä, että työyksikössä noudatetaan tietoturvaa ja tietosuojaa koskevia ohjeistuksia ja menettelytapoja. Kaupunginjohtaja ja palvelualueiden johto vastaavat siitä, että kaupungin ja sen eri palvelualueiden toiminnassa otetaan huomioon tietoturvan ja tietosuojan vaatimukset. Kaupunginhallituksella ja kaupunginjohtajalla sekä eri toimialojen johdolla on vastuu tietoturvan ja tietosuojan järjestämisestä. Tietosuojavastaava on erityisasiantuntija, jonka tehtävä on toimia ensisijaisesti rekisterinpitäjän tukena ja auttaa rekisterinpitäjää lakisääteisten velvoitteiden toteuttamisessa. Tietosuojavastaavan tehtäviin kuuluu myös asiantuntija-avun antaminen sekä organisaation henkilöstölle, että organisaation johdolle tietosuojaan (henkilötietojen käsittelyyn) liittyvissä kysymyksissä. Tietosuojavastaavan tulee myös toimia organisaatiossa henkilötietojen käsittelyä valvovana tahona sekä yhdyssiteenä valvontaviranomaisiin. Tietojärjestelmän omistaja on palvelualue ja siitä on vastuussa palvelualueen johtaja. Tietojärjestelmien pääkäyttäjien rooli kuvataan muissa dokumenteissa. 3.1 Osaamisen varmistaminen Järvenpään kaupungin tulee osoittaa, että henkilöstön tietoturva- ja tietosuojaosaaminen on ajantasaista. Tietosuojaosaaminen tulee osoittaa toteutetulla perehdytyksellä, erilaisilla koulutustodistuksilla sekä osaamista seuraamalla. Johtajien, päälliköiden ja esimiesten tulee huolehtia alaistensa ja ulkopuolisten konsulttien tietosuoja- ja tietoturvaosaamisesta mm. seuraavien asioiden osalta Sitouttaminen kaupungin salassa pidettävän tiedon ja henkilötietojen asianmukaiseen suojaamiseen Perehdyttäminen tehtäviin kuuluviin tietoturva- ja tietosuojavastuisiin Annettujen tietoturva- ja tietosuojamääräysten ja-ohjeiden noudattaminen Pääsy tarpeelliseen tietoon työsuhteen tai yhteistyön aikana Työtehtävien muuttuessa valtuuksien muutokset Työsuhteen tai yhteistyön päättyessä tietoon pääsyn ja valtuuksien poistaminen sekä tietojen siirtäminen kaupungille Tietoturvaan ja tietosuojaan liittyvä ohjeistus Tietoturvaan ja tietosuojaan liittyvää koko kaupunkia ohjaavaa ohjeistusta laaditaan hallinnollisessa yhteistyössä. Lisäksi tietoturvaan ja tietosuojaan liittyvää ohjeistusta tulee sisällyttää kaupungin muihin ohjeistuksiin ja prosessien eri vaiheisiin. Henkilötietojen käsittelyyn liittyvä ohjeistus tarvitaan niihin työvaiheisiin, joissa henkilötietoja käsitellään.

12 12 (12) Tietoturvaohjeita tulee liittää erityisesti tietojärjestelmien käyttämiseen. Ohjeistuksen laatimista toteutetaan tämän politiikan periaatteet huomioiden. Tietohallintopäällikkö ja tietosuojavastaava koordinoivat tietoturvan ja tietosuojan ohjeistusta ja vastaavat siitä, että tietoturvaa ja tietosuojaa koskeva yleinen ohjeistus on riittävää, ajantasaista sekä säädösten mukaista. Tietohallintopäällikkö ja tietosuojavastaava raportoivat tietoturvan toteutumisesta kaupungin ylimmälle johdolle. He myös valvovat tietoturvan toteutumista sekä sitä, että tietoturvaloukkaukset kirjataan ja selvitetään viipymättä ja havaitut riskit saatetaan hallintaan Tietoturva- ja tietosuoja-asioista tiedottaminen Tietoturva- ja tietosuojapolitiikka määrittää voimassa olevat tietoturvan ja tietosuojan periaatteet ja dokumentista tiedotetaan koko henkilöstöä. Asiakirja rekisteröidään asianhallintajärjestelmään. Hyväksytty politiikka julkaistaan kaupungin intranetissä ja siitä tiedotetaan henkilöstöä myös muilla keinoilla. Yleisesti tietoturva- ja tietosuojasioissa tiedottaminen tapahtuu tietosuojaryhmän ja johtoryhmien kautta.