Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet Työpaja #13 14.06.2018 Aiheina ohjelmistokehitys tietosuojan näkökulmasta, näkökulmia Tullista ja F-Securesta. Lisäksi aiheena tekoäly ja tietosuoja sekä tietotilinpäätös Trafissa + VRK
EU:n yleistä tietosuoja-asetusta sovelletaan
Ohjelma: 8.30 Kahvi 9.00-9.15 Aloitus, Tuula & Kimmo 9.15-10.00 Ohjelmiston tilaaminen, Petri Stranden, KPMG 10.00-10.15 Biotauko 10.15-12.00 Ketterä kehitys mahdollisuus julkishallinnossa?, Sami Tervola, KPMG 12.00-13.00 Omakustanteinen lounas 13.00-13.30 Sovelluskehitys tietosuojan näkökulmasta, Pyry Heikkinen, ICTtietoturvapäällikkö,Tulli 13.30-14.15 Turvallisen sovelluskehityksen käsikirja, Antti Vähä-Sipilä, Johtava tietoturvakonsultti, F-Secure 14.15-14.30 kahvi 14.30 15.15 AI in the context of GDPR compliance, Jens Kremer Postdoctoral Researcher, University of Helsinki 15.15.- 16.00 Tietotilinpäätös Trafissa, Leila Hanhela-Lappeteläinen, johtava asiantuntija, tietosuojavastaava, Liikenteen turvallisuusvirasto Trafi
Ajankohtaista: Tietosuojalaki on edelleen eduskunnassa käsittelyssä, aikataulu heinäkuun alussa, HE 31/2018 rikosasioiden tietosuojadirektiivin kansallinen lainsäädäntö => todennäköisesti syksyyn Tietosuojavaltuutetun toimiston uudet sivut tietosuoja.fi https://tietosuoja.fi/etusivu GDPR-itsearviointityökalu, järjestelmän hallinta ja tietoturva Tietoturvan ja tietosuojan perusasioiden tarkastuslista hankinnoissa ja projekteissa http://vm.fi/documents/10623/4914009/tietoturvan_ja_tietosuojan_tarkastuslista_2510_2017.pdf/bd6176 5c-42e7-489f-a7a1-9549fe5ebde2/Tietoturvan_ja_tietosuojan_tarkastuslista_2510_2017.pdf.pdf Tietojärjestelmien tietoturvavaatimuksia GDPR-näkökulmasta http://vm.fi/juhta-vahti-yhteishankkeiden-materiaalit
Päivitetty käsikirja Euroopan tietosuojaoikeudesta julkaistiin EU:n perusoikeusvirasto on julkaissut yhdessä Euroopan neuvoston ja Euroopan tietosuojavaltuutetun kanssa päivitetyn käsikirjan Euroopan tietosuoja-oikeudesta. Käsikirjassa on huomioitu viimeaikaiset uudistukset, kuten EU:n tietosuoja-asetuksen voimaantulo. Siinä käsitellään tietosuojaa koskevia eurooppalaisia säännöksiä ja periaatteita, rekisteröityjen oikeuksia, tietosuojan valvontaa, rajojen yli tapahtuvaa henkilötietojen siirtoa sekä massadatan, algoritmien ja tekoälyn luomia moderneja haasteita. Käsikirjaan on koottu myös tapausesimerkkejä. Handbook on European data protection law - 2018 edition
GDPR-itsearviointityökalu: järjestelmien hallinta ja tietoturva 1) Järjestelmän vastuuhenkilö 2) Järjestelmän muut vastuut 3) Tietoturvauhkien analysointi 4) Säännöllinen testaus 5) Tietosisällön dokumentointi 6) Erityiset tietoryhmät ja alle 16-vuotiaiden tiedot 7) Tiedon kerääminen rekisteröidyn oikeuksien toteuttamiseksi 8) Suostumusten ja kieltojen hallinta 9) Henkilötietojen käsittelyn minimointi 10) Henkilötiedon anonymisointi 11) Salakirjoitus ja pseudonymisointi 12) Turvalliset tiedonsiirrot 13) Oletusarvoinen tietosuoja 14) Sovelluskehityksen tietosuojavaatimukset 15) Testausdata 16) Käyttäjien dokumentointi 17) Henkilökohtaiset käyttäjätunnukset 18) Käyttövaltuushallinnan periaatteet 19) Käyttöoikeuksien katselmointi 20) Pääsynvalvontaperiaatteet 21) Salasanapolitiikka 22) Kirjautumisloki 23) Varmuuskopiointisuunnitelma 24) Varmuuskopioiden suojaus 25) Varmuuskopioiden palauttaminen 26) Henkilötietojen käsittelyn lokitus 27) Admin-käyttäjien lokitus 28) Lokien suojaus 29) Lokien käyttökelpoisuus 30) Toipumissuunnitelma 31) Tietoturvapäivitykset 13.6.2018 32) Järjestelmän tietoturvakuvaus 7 33) Järjestelmän muu dokumentaatio
RAPORTOINTI 22.5.2018 tilanteesta Tulemme lähettämään teille uudestaan kyselyn siitä, miten tietosuoja-asetuksen vaatimukset on otettu käyttöön Raportoikaa 22.5.2018 tilanne Paitsi jos olette jo raportoineet!
Työpaja 22.8.2018 8.30 Kahvi 9.00-9.15 Aloitus, Tuula & Kimmo 9.15-10.00 TAISTO18-harjoitus, Kimmo Rousku 10.00-10.15 Biotauko 10.15-11.00 Helsingin kaupungin tietosuoja, käytännön kokemuksia ja vinkkejä, Päivi Vilkki, tietosuojavastaava, 11.00-11.30 Tietotilinpäätös malli, opiskelijat 11.30-12.00 Ajankohtaista tietosuojavaltuutetun toimistosta 12.00-13.00 Omakustanteinen lounas 13.00-13.45 Henkilötiedot ja paikkatiedot 13.45 Kahvi 14.00-14.45 Henkilötietojen käsittelyn oppilaitoksissa, Henriikka Hannula, Opetus- ja kulttuuriministeriö 14.45.- 15.15 Miltä EU:n tietosuoja-asetus näyttää Ruotsissa? Ida Sulin, Kuntaliitto 15.15-16.00 Sopimusasiat ja tietosuoja
Syksyn työpajojen aikataulut #15. 24.9.2018 #16. 23.10.2018 #17. 20.11.2018 #18. 4.12.2018 Yhteishankkeen päätöstilaisuus Säätytalolla
Ajankohtaista VAHTIn toiminnassa
TAISTO18-harjoitus TAISTO18-harjoituskuukausi - marraskuu 2018 TietoturvA- ja tietosuojaloukkausten hallinnan harjoitus VM HITKO 13.6.2018 12
Taustaa JUHTA/VAHTI-yhteishankkeissa kehitetään v. 2017-2018 useita tietosuojaan ja tietoturvallisuuteen liittyviä osa-alueita, erityisesti Riskienhallinta Tietosuoja-asetuksen yleiset vaatimukset ja osoitusvelvollisuus Henkilötietojen tietoturvaloukkaustilanteiden hallinta Toiminnan jatkuvuuden kehittäminen Kyky selviytyä erilaisista häiriötilanteista Kaikki nämä osa-alueet edellyttävät Organisaatioon omia prosesseja sekä niiden harjoittelua Yhteistyötä eri viranomaisten ja sidosryhmien kesken VM HITKO 13.6.2018 13
Taustaa Vaikka organisaatiolla olisi tähän saakka olleet tietoturvallisuuteen ja tietosuojaan liittyvät asiat kuinka hyvin tahansa, tilanne ei ole sama 25.5.2018 jälkeen, kun asetusta sovelletaan käytäntöön ja kun (kesällä?) uusi tietosuojalaki astuu voimaan Kukaan ei ole voinut harjoitella tätä aidosti oikeassa tilanteessa Tämän takia on erittäin tärkeää, että organisaatiot harjoittelevat näitä asetuksen edellyttämien prosessien toimivuutta ennen kuin niitä joutuu oikeassa elämässä testaamaan Parhaiten tämä onnistuu harjoittelemalla harjoitus tekee mestarin; mestaritkin harjoittelevat! VM HITKO 13.6.2018 14
Tavoite Organisaatioiden häiriöhallintatilanne prosessi toimii harjoitellusti Tässä pääpaino henkilötietojen tietoturvaloukkaustilanteissa Häiriötilanteen hallintaa kehitetään tässä tietoturva- ja tietosuojapoikkeustilanteiden näkökulmasta, mutta tässä yhteydessä on mahdollista sparrata ja kehittää sitä myös muiden, esimerkiksi perinteisten ICT-toimintahäiriöiden toteuttamiseksi VM HITKO 13.6.2018 15
Aikataulu Harjoituksen suunnittelu 1/2018 1/2019 Toteutus Marraskuu 2018 siten, että jokaisella viikolla on yksi mahdollinen harjoituspäivä, johon organisaatio voi osallistua Pilottiharjoitus syyskuun lopussa 5-10 organisaatiota 5-9.11.2018 12-16.11.2018 15.11.2018 19-23.11.2018 22.11.2018 26-30.11.2018 27.11.2018 1. Harjoitus käynnistyy 7.11.2018 Taiston päivänä - myös ruotsiksi (ja siis Suomi) Palaute harjoittelusta seminaari tammikuussa 2019 organisaatioiden haastatteluiden ja palautekyselyiden perusteella VM HITKO 13.6.2018 16
Osallistujat Harjoitus tarjotaan ensisijaisesti JUHTA/VAHTI-yhteishankkeeseen ilmoittautuneille julkisen hallinnon organisaatioille osana hanketta, mutta kutsu on lähetetty julkiseen hallintoon ja kaikki julkisen hallinnon organisaatiot ovat tervetulleita harjoittelemaan Osallistujia tulee olemaan 200 400 organisaatiota jakautuen neljälle eri viikolle, toivottavasti vieläkin enemmän! Harjoitus tullaan julkaisemaan joulukuussa harjoituksen www-sivustolla siten, että mikä tahansa organisaatio voi toteuttaa itse vastaavan harjoituksen VM HITKO 13.6.2018 17
Toteuttajat ja keskeiset roolit JUHTA-asiantuntijaryhmä sekä VAHTI-asiantuntijaryhmät Suomen Poliisi Rikosilmoitus, muu tuki harjoituspäivän osalta (tilannekatsaus) Viestintäviraston Kyberturvallisuuskeskus Sparraus sekä tietoturvaloukkausten vastaanotto, asiantuntijavideot Tietosuojavaltuutetun toimisto Ilmoitusvelvollisuuksien mukainen toiminta (harjoittelu), asiantuntijavideot Valtori Valtionhallinnon osalta osallistuminen teknisiin osioihin, tarkentuu vielä heidän ja muiden osalta elokuussa VM HITKO 13.6.2018 18
Miten harjoitus etenee Organisaatio saa ilmoituksen harjoituspäivänä klo 9.00 sähköposti, että jotain on tapahtumassa Ja sen jälkeen tällaisia ilmoituksia tulee päivän aikana 3-4 kpl Näiden perään tulee linkki lomakkeeseen / kyselyyn, jossa kysellään miten organisaatio on nämä tilanteet hoitanut Päivän päättyy kun viimeinen raportointi on suoritettu päivän päätteeksi Viikon sisällä tulee palautekysely harjoituksesta Palauteseminaari tammikuussa 2019. VM HITKO 13.6.2018 19
Ilmoittautuminen Kirje VM:stä lähtenyt viime viikolla kirjaamoiden kautta: Kutsu julkisen hallinnon organisaatioille osallistua TAISTO18-harjoitukseen: Kutsu Taisto18-harjoitukseen pdf 130kB Inbjudan till Taisto18-övningen pdf 135kB Ilmoittautumislinkki Taisto18-harjoitukseen Suomeksi: http://www.webropolsurveys.com/s/49348605cf4890e2.par Ruotsiksi: http://www.webropolsurveys.com/s/2cf949f09b81eda5.par VM HITKO 13.6.2018 20
Julkisen hallinnon digitaalisen turvallisuuden johtoryhmän (VAHTI) suosituksia digitaalisen turvallisuuden kehittämiseksi julkisessa hallinnossa 1) Ajankohtaista digiturvallisuudesta videoblogit julkaistu toivomme organisaation jakavan tietoa näistä henkilöstölle www.vm.fi/digiturva 2) Julkisen hallinnon digitaalisen turvallisuuden teemakuukausi lokakuussa https://vm.fi/digitaalisen-turvallisuuden-teemakuukausi 3) Tietosuojakoulutusten ja nettitestien käyttöönotto sekä yhteishankkeisiin osallistuminen 4) Materiaalien toimittaminen digitaalisen turvallisuuden materiaalipankkiin 5) Väestörekisterikeskus kehittää ja tarjoaa julkisen hallinnon digitaalisen turvallisuuden asiantuntijapalveluita https://eevertti.vrk.fi/tietoturvaasiantuntijapalvelut 6) Uudet julkaisut ja esitteet VM HITKO 13.6.2018 21
Ajankohtaista digiturvallisuudesta 1/2018 Uusi tiivis tapa tiedottaa ja kouluttaa ajankohtaisista aiheista Uusin julkaistaan loppuviikolla eli 2/2018 hyvin pian VM HITKO 13.6.2018 22
Ajankohtaista digiturvallisuudesta 1/2018 VM HITKO 13.6.2018 23
VM HITKO 13.6.2018 24
VM-linjaustyö tiedon sijainti ja hallinta Aka pilvi Työ käynnissä lausuntoversio kesän ajaksi, ellei muutoksia aikatauluun tule Yhdistetään tiedonhallintalain mukanaan tuomiin muutoksiin ja tehdään tarvittavat tarvittavat esimerkiksi tietoturvaan liittyvät säädöt uudessa VAHTI 100-vaatimuskehikossa Pilven osana lähinnä tilanteet, joissa käsitellään kansallista turvallisuutta, vastaavaa turvallisuusluokiteltua tietoa sisältävää tietoa tai jatkuvuus varautumis näkökulma, jolloin ainakin jokin instanssi palvelusta pitäisi olla saatavilla Suomessa VM HITKO 13.6.2018 25