Oletusarvoinen ja sisäänrakennettu tietosuoja. Pyry Heikkinen

Samankaltaiset tiedostot
Miten tietoturvallisuus ja tietosuoja saadaan palveluihin sisäänrakennetuksi? Pyry Heikkinen

Tietosuoja sovelluskehityksessä. Pyry Heikkinen

Tietosuojan ja tietoturvan kehittämisen avainpelurit organisaatiossa Pyry Heikkinen

Tiedätkö, olet oman elämäsi riskienhallintapäällikkö! Miten sovellat riskienhallintaa omassa työssäsi? Pyry Heikkinen

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Tietosuoja-asetus (GDPR)

EU:n tietosuoja-asetus (GDPR)

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

Fintech-yrityksen tietosuoja: Tietosuoja-asetus Markus Myhrberg

Tietosuoja fi-välitystoiminnassa. Välittäjäinfo

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

Asiakaskokemus ja käyttäjäturvallisuus sovelluskehityksen keskiössä

SUOMEN AKATEMIAN TIETOSUOJAPOLITIIKKA

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Tietosuojavaltuutetun toimiston tietoisku

Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa

EU:n tietosuoja-asetus Matti Sarmela

Henkilöstön ohjeistaminen JUDO-työpaja Juho Nurmi, tietosuojavastaava, Espoon kaupunki

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Kokonaiskuva tietosuoja-asetuksesta General Data Protection Regulation,GDPR

EU:N TIETOSUOJA-ASETUS OPAS YHDISTYKSILLE JÄRJESTÖOHJAUS KUUROJEN LIITTO RY.

Tietoturva yhdistyksessä

Yhdistyksen jäsenluettelo ja EU:n tietosuoja-asetus

KMTK UUDET KUVAMITTAUSTEKNOLOGIAT - PROJEKTIN HANKINNAT JA TIETOSUOJA

5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018

Kolarin kunnan tietosuojapolitiikka

EU:N UUSI TIETOSUOJA- ASETUS (GDPR)

Strafican tietosuojakäytäntö

1 Tietosuojapolitiikka

EU:n yleinen tietosuoja-asetus mikä muuttuu. Niina Harjunheimo

Tietosuoja-asetus Tietoarkiston näkökulmasta. Aila ja aineistojen jatkokäyttö -seminaari Arja Kuula-Luumi Kehittämispäällikkö

GDPR ja eprivacy mitä siis nyt pitäisi tehdä?

Teknologia avusteiset palvelutverkostopalaveri

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

EU:n tietosuoja-asetus (GDPR)

EU TIETOSUOJA- ASETUS

DLP ratkaisut vs. työelämän tietosuoja

32E Markkinoiden juridinen toimintaympäristö. Tietosuojalainsäädännön soveltaminen käytännön liiketoiminnassa

Eu:n uusi tietosuojaasetus

Usein kysyttyjä kysymyksiä tietosuojasta

Case VRK: tietosuojan työkirjat osa 2. JUDO Työpaja #4 - tietosuoja Noora Kallio

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

HAVAINTOJA PARHAISTA KÄYTÄNNÖISTÄ. Harri Vilander, Nixu Oy

TIETOSUOJA- ASETUKSEN HUOMIOINTI YRITYSTASOLLA. FINNET-LIITTO Mikko Viemerö (KTL, CIPP/E, CIPM, CIPT, CISA, CISM)

Rekisteri- ja tietosuojaseloste

Kolarin Vuokra-asunnot Oy Tietosuojapolitiikka

Tietosuoja tutkimuksessa. Arja Kuula-Luumi (Tietoarkisto) Tutkimusaineistojen anonymisointi -seminaari Tampereen yliopisto

TIETOSUOJAVALTUUTETUN PUHEENVUORO

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

IF-INFO MEKLAREILLE

Karelia-ammattikorkeakoulun tietosuojapolitiikka

Tietosuoja Liikenneturvan kouluttajan toiminnassa. Katja Mäkilä Liikenneturvan valtakunnalliset kouluttajapäivät, Helsinki

Tietosuoja-asetus rekisterinpitäjän näkökulmasta sisäänrakennettu ja oletusarvoinen tietosuoja IAB Finland seminaari 14.4.

EU:n uusi tietosuoja-asetus

Eläketurvakeskuksen tietosuojapolitiikka

EU:n yleinen tietosuoja-asetus. Muuttuiko mikään?

EU:n tietosuoja-asetus GDPR (General data protection regulation) SF-Caravan ry

HSL Helsingin seudun liikenne -kuntayhtymä Tietosuojapolitiikka

Henkilötietoja sisältävän datan käsittely ja avaaminen TIETOSUOJA TUTKIJAN ARJESSA HY ARJA KUULA-LUUMI

siniset tarkoittavat linkkejä

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

Tietosuoja-asetus yhdistyksen kannalta mikä muuttuu?

Tietosuojauudistus tulee PTC:n käytännön vinkit. Tapio Lahtinen

Salon kaupunki , 1820/ /2018

Tietosuoja-asetus. Valo, Valtakunnallinen liikunta- ja urheiluorganisaatio ry Castrén & Snellman

Salon kaupunki , 1820/ /2018

Salon kaupunki / /2018

Tietosuojainfo. Tietosuojavastaava Tapani Rinne, Salon kaupunki

EU-TIETOSUOJA-ASETUS. Sosiaali- ja terveydenhuollon atk-päivät Avaussessio Jyväskylän Paviljonki Reijo Aarnio tietosuojavaltuutettu

Miten tietosuoja-asetuksen soveltamisen osalta on edetty? Havaintoja ja parhaita käytäntöjä-

Tietosuojakoulutus. Suomen Golfliitto ry Castrén & Snellman

Tietosuoja-asetus Immo Aakkula Arkistointi

Salon kaupunki / /2018

EU-tietosuoja-asetus Kari Kataja, HAMKin tietosuojavastaava

EU:n uusi tietosuoja-asetus tulee, oletko valmis? KEUKE Markus Myhrberg

EU:n tietosuoja-asetus (GDPR)

TIETOSUOJAOHJE PARTIOLIPPUKUNNILLE

Ylöjärven kaupungin tietosuojapolitiikka

Ulvilan kaupungin tietosuojapolitiikka

EU:N YLEINEN TIETOSUOJ ASETUS JA KLIININEN TU TKIMUS

Tietosuojalainsäädännön uudistus

JYVÄSKYLÄN YLIOPISTON TIETOSUOJAPOLITIIKKA

GDPR Tietosuoja-asetus

EU: n tietosuoja-asetus ja käytännön toimet

MPS Prewise aamiaistilaisuus klo Tietosuoja tiukentuu, oletko valmis?

EU-tietosuoja-asetus. Helsingin kaupunki Kaupunginkanslia

Asukkaan oikeus omaan dataan ja GDPR asuntoosakeyhtiössä. Ilmastoviisaat taloyhtiöt työpaja 1 Asukkaan MyData

Tampereen ympäristökuntien tietosuojapolitiikka. Hämeenkyrö-Kangasala-Lempäälä-Nokia-Orivesi-Pirkkala-Vesilahti-Ylöjärvi

TIETOTILINPÄÄTÖS OSANA ORGANISAATIOIDEN TIETOPÄÄOMAN HALLINTAA

V-S Piiri / Täyskäsi / Alma. Tietosuojauudistus

TIETOSUOJASELOSTE. 4. Rekisterin käyttötarkoitus ja henkilötietojen käsittelyn peruste

Tampereen Aikidoseura Nozomi ry

GDPR-pikaopas. Demand more. Puh

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun

EU:N YLEINEN TIETOSUOJA-ASETUS JA REKISTERINPITO

Sofia Wilson

Transkriptio:

Oletusarvoinen ja sisäänrakennettu tietosuoja Pyry Heikkinen

Taustaa ICT-tietoturvapäällikkö Tullissa Tietoturvan ja riskien hallinta Tietosuoja ja yksityisyyden suoja Tietoturvaarkkitehtuuri OWASP Helsingin hallituksen jäsen ISC 2 CISSP IAPP CIPP/E SABSA SCF VAHTI-sihteeristön jäsen ISACA CISM IAPP CIPT CSA CCSK LinkedIn: pyryheikkinen ITIL v3 Foundation PRINCE2 Foundation TOGAF 9 Certified Pyry Heikkinen 2

Privacy By Default https://www.ipc.on.ca/wpcontent/uploads/2018/01/pbd-1.pdf 1. Proaktiivista ei reaktiivista; Estävää ei korjaavaa 2. Tietosuojan maksimoivat oletusasetukset 3. Tietosuoja sisäänrakennettu osaksi lopputuotosta 4. Täysi toiminnallisuus arvoa tuottavaa ei poissulkevaa 5. Päästä-päähän tietoturva koko elinkaari suojattuna 6. Näkyvyys ja läpinäkyvyys ole avoin 7. Kunnioita käyttäjien tietosuojaa ole käyttäjäkeskeinen Pyry Heikkinen 3

Käyttäjä on kuningatar Pyry Heikkinen 4

Oletusarvoinen tietosuoja by GDPR (art. 25) 1. Ottaen huomioon uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi ja tarvittavat suojatoimet, jotta ne saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin. 2. Rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Näiden toimenpiteiden avulla on varmistettava etenkin se, että henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta. Pyry Heikkinen 5

Oletusarvoinen ja sisäänrakennettu tietosuoja Lainmukaisuus, kohtuullisuus ja läpinäkyvyys Luottamuk -sellisuus ja eheys Tietosuojan vaikutusarviointi Rekisteröidyn oikeudet Käyttötarkoitussidonnaisuus Tietosuojaja tietoturvatekniikoiden käyttö Osoitusvelvollisuus Henkilötietojen tunnistaminen ja niiden minimointi Tietosuojaperiaatteiden ja - oikeuksien toteutuminen Riskien arviointi ja hallinta Tietojen minimointi Säilytyksen rajoittaminen Täsmälli -syys Osa kehitys- ja tuotantomalleja ja arkkitehtuuria Pyry Heikkinen 6

Henkilötietojen tunnistaminen Lähes kaikki tiedot ovat henkilötietoja sillä ne voidaan liittää johonkin tunnistettuun yksilöön Pyry Heikkinen 7

Henkilötieto Yksilöivät suorat Epäsuorat Liittyvät / kuvaavat Tekniset Arkipäivän tunnistetiedot, Kuten nimi ja käyttäjätunnus Puhelinnumero Sähköpostiosoite HETU Rekisterinumero Kuva ja video Biometriset tiedot Osoitetiedot.. Vakuutusnumero Pankkitilin numero Opiskelijatunnus Pseudonyymi Yhdistettyinä: Sukupuoli Ikä Koulutus Postinumero.. Tunnistetietoihin jotenkin liittyvät tiedot Tavarat Viestit Transaktiot.. IP-osoitteet, MACosoitteet jne. Seurantatunnisteet Sijaintitiedot Näihin liittyvät loki-, analytiikka- ja telemetriatiedot.. Huonosti anonymisoitu data Pyry Heikkinen 8

Riskien hallinta Tietosuojariskit uhkaavat rekisteröityjen oikeuksia ja vapauksia Pyry Heikkinen 9

Tietosuojariski Henkilön oikeudet eivät toteudu Henkilön oikeudet Käsiteltävät tiedot keskiössä Henkilöön kohdistuvat tietosuojauhat Henkilötiedon luonne ja sensitiivisyys Käsittelytavat ja näiden heikkoudet Tietosuojauhat Alttius ja heikkoudet Pyry Heikkinen 10

Antti Vähä-Sipilä: https://wiki.aalto.fi/display/ssec/lecture+5%3a+privacy%2c+the+gdpr+and+privacy+engineering Tekninen uhka: (STRIDE+)TRIM-uhkamalli Tiedon siirto (yli rajojen) Säilytysaika ja tietojen poisto Henkilötietojen siirto toiselle taholle tai yli maantieteellisten rajojen (esim. ETA:n ulkopuolelle) Henkilötietojen säilytys tietovarastossa ilman määrättyä säilytysaikaa tai mahdollisuutta poistoon Tiedon yhdistäminen ja päättely Uusien henkilötietojen luominen (henkilötietämyksen lisääminen) tai anonymiteetin murtaminen Tietojen minimointi Ylenmääräisten henkilötietojen siirtäminen tai kerääminen ilman perustetta Pyry Heikkinen 11

Tietosuoja- ja tietoturvatekniikat Tietosuoja- ja tietoturvatekniikoilla hallitaan tunnistettuja riskejä Pyry Heikkinen 12

Esim. Salaus Metadatan poisto Tietoturvavalvonta Roolipohjaisuus Suostumuksen hallinta Oikeuksien hallinta Lokit Pseudonymisointi Anonymisointi Do-nottrack Käyttöoikeudet Informoinnin hallinta Pyry Heikkinen 13

Prosessi ja arkkitehtuuri Sekä prosessien että arkkitehtuurin avulla tietosuoja saatetaan sisäänrakennetuksi osaksi toimintaa Pyry Heikkinen 14

Arkkitehtuurin tarjoamat palvelut Prosessi ja malli Arkkitehtuurin mukaiset toteutustavat Pyry Heikkinen 15

Henkilötieto Design / Tietosuoja-arkkitehtuurin periaatteita Piilota ja suojaa Erottele Karkeista Oletusarvona tietosuoja Informoi Anna kontrolli Varmista / ohjaa Osoita / todista Prosessi Pyry Heikkinen 16

Arkkitehtuurin tietosuoja- ja turvapalvelut (esim.) Tietoliikenteen salaus Tietokantojen salausratkaisut Käyttövaltuushallinnan palvelut Anonymisointi- ja pseudonymisointi -palvelut Toteutusmallit (patternit) Lokipalvelut Tunnistuspalvelut Tietojen tarkastuspalvelu Pyry Heikkinen 17

ICT-projektin tietoturva- ja suojatehtävät (yleinen malli) Esiselvitys Hankinta: Turvallisuussopimus ja tietosuojasopimus Vaatimusmäärittely Käyttöönotto (sis. määrittely, suunnittelu, toteutus, testaus, tuotantoonsiirto) Tuotanto Tietoriskikartoitus Tietosuojariskiarvio Tietosuojan vaikutusarvio Tietoriskiesiarvio Uhka-analyysi (looginen) Kuvaus toimituksen turvajärjestelyistä Yleiset tietoturvavaatimukset Tietoturvavaatimukset ja alustava tietoturvaja tietoarkkitehtuuri Sisältyvät vaatimusmäärittely- ja arkkitehtuurityöhön Tietoturva-arkkitehtuurin ja suojausten katselmointi Tietoturvavaatimukset Tietosuojavaatimukset Turvallinen testiaineisto Päivitys tai uusi, jos luodaan täysin uusi henkilörekisteri Tietoturvaauditointi Turvallisen testiaineiston luonti eri testi- ja kehitysympäristöihin Tietoturva-auditoinnin pohjatiedot Tuotantoonmenon hyväksyntä tietoturvan näkökulmasta Tuotannon alkuvaiheen seuranta ja tuki Tietoturvareunaehdot Vaatimusmäärittely Arkkitehtuurikuvaus (Solution Design) Tietojärjestelmäseloste Rekisteri- Seloste / Seloste Tietojen käsittelystä Tietoturvaauditoinnin tilaus Tiedon omistaja hyväksyy tuotantokäytön ja jäännösriskit (jos on) Tietoriskiarvio Looginen uhkamalli Katselmointikommentit Tietoturvaauditointiraportti Tuotantoonmenon hyväksynnän kokousmuistio Pyry Heikkinen 18

Ketterä tuotehallinta User storyt / featuret Tietosuojatehtävät Tietoturvatehtävät Backlog Scrum, SAFe, jne. Pyry Heikkinen 19

Lokit ja kirjausketjut Riskiarviot ja vaikutusarviot Selosteet tietojen käsittelystä Päätökset tietojen käsittelystä Osoitusvelvollisuus periaatteiden ja rekisteröidyn oikeuksien toteutumisesta Tieto Auditointiraportit Metatiedot Dokumentointi Suunnitelmat, ohjeet ja sopimukset Suostumus Pyry Heikkinen 20

Kiitos! Ikonit: Open Security Architecture http://www.opensecurityarchitecture.org Kuvat: Tulli, unsplash.com, pixabay.com Pyry Heikkinen 21

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute