Lausunto. Pilvipalveluiden hankinnasta voisi olla erillinen opas, joka kertoo, mihin asioihin tulisi kiinnittää huomiota hankittaessa pilvipalveluita.

Samankaltaiset tiedostot
Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Lausunto Julkisen hallinnon linjauksiin tiedon sijainnista ja hallinnasta pyydämme yleisesti huomioimaan seuraavaa:

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet. Lausunto

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. CSC-Tieteen tietotekniikan keskus Oy. Lausunto

Lausunto Linjausten tulisi perustua pilvipalvelujen käyttöön liittyvään yleiseen riskiarvioon

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta Pauli Kartano

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Julkisen hallinnon tietoliikennepalvelulinjaukset ja linjaukset tiedon sijainnista ja hallinnasta Aku Hilve

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet. Microsoft Oy.

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta

Julkisen hallinnon tietoliikennepalvelulinjaukset. Yhteenveto. Linjausten tarkoitus ja kohdealue. Väestorekisterikeskus. Lausunto

Puolustushallinnon lausunto julkisen hallinnon linjauksiin tiedon sijainnista ja hallinnasta

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta

Lausunto Ohjausvaikutusten parantamiseksi julkisen hallinnon yhteisten arkkitehtuurilinjausten laatukriteerejä ovat mm:

SELVITYS TIETOJEN SUOJAUKSESTA

Pilvipalveluiden arvioinnin haasteet

Pilvipalvelut ja henkilötiedot

Julkisen hallinnon tietoliikennepalvelulinjaukset. Yhteenveto. Linjausten tarkoitus ja kohdealue. Tietoliikennepalvelulinjaukset

ValtioExpo Pilvi tuli jo, oletko valmis. Valtiokonttori Tietohallinto

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

1.2 Mahdollista joustava muutos suojaustasolta toiselle tilanteen mukaan myös ylöspäin

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

OHJE YLEISEEN KÄYTTÖÖN TARKOITETTUJEN OHJELMISTOJEN HYÖDYNTÄMISESTÄ SOTE- PALVELUISSA

Laatua ja tehoa toimintaan

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

Miten valmistaudun tietosuoja-asetuksen vaatimuksiin?

Julkisen hallinnon ICT-linjauksia. Linjausten tarkoitus. Linjausten tavoitteet. Keitä nämä linjaukset koskevat. Visio 2025.

Julkisen hallinnon pilvipalvelulinjaukset

Julkisen hallinnon tietoliikennepalvelulinjaukset. Yhteenveto. Linjausten tarkoitus ja kohdealue. Mika Koskinen. Lausunto KEHA/2778/2018

Lausunto. Maa- ja metsätalousministeriön lausuntoon sisältyy Suomen metsäkeskuksen kommentit sisäisen valvonnan arviointikehikosta.

Lausunto Linjaukset koskevat myös maakuntia ja sitä kautta sosiaali- ja terveydenhuoltoa. Yksi liitteen esimerkeistä onkin tältä alueelta.

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Lausunto PELASTUSLAITOSTEN KUMPPANUUSVERKOSTO Lausunto PelJ/96/01.00/2018

Hankintalain mahdollisuudet sosiaali- ja terveydenhuollon hankinnoissa

Tietoturvallisuus osana tiedonhallintalakia. Lainsäädäntöneuvos Eeva Lantto VAHTI kesäseminaari

Julkisen hallinnon tietoliikennepalvelulinjaukset. Yhteenveto. Linjausten tarkoitus ja kohdealue. Tietoliikennepalvelulinjaukset

Käytönvalvonnan yhtenäistäminen ja tehostaminen organisaation ja kansalaisen kannalta

Tietosuoja-asetus Miten julkinen hallinto valmistautuu?

TALPOL linjaukset TORI-toimenpiteet

Tekoälyn hyödyntäminen asiakaspalvelun parantamiseksi Valtorissa ja Palkeissa

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

Asiakkaan valinnanvapaus maakunnan ja palvelujen tuottajan näkökulmasta. Hallituksen esitys valinnanvapaudesta

Suomi.fi - Tietoturvallisuus sovelluskehityksessä. VAHTI sähköisen asioinnin tietoturvaseminaari

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

TIETOSUOJASELOSTE. Yleistä. Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään? Mitä henkilötietoja minusta kerätään ja mistä lähteistä?

Haminan tietosuojapolitiikka

HPK Kannattajat ry. Tietosuojaseloste. EU:n tietosuoja-asetus (EU) 2016/679

TIETOSUOJASELOSTE. 4. Rekisterin käyttötarkoitus ja henkilötietojen käsittelyn peruste

Mistä on kyse ja mitä hyötyä ne tuovat?

Case VRK: tietosuojan työkirjat osa 2. JUDO Työpaja #4 - tietosuoja Noora Kallio

Palvelukuvaus v Alkujaan digitaalisen aineiston vastaanoton ja säilyttämisen palvelu

VRK yhteisenä tiedonhallintaa ja digitalisaatiota edistävänä toimijana. Juhta, Sami Kivivasara

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Henkilötietojen käsittelyn ehdot. 1. Yleistä

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

TIETOSUOJAA KOSKEVAT EHDOT

TIETOSUOJAA KOSKEVA SOPIMUSLIITE. Päivitetty

SÄHKE2-SOVELLUSAUDITOINNIT

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

Julkisen hallinnon ICT-linjauksia. Linjausten tarkoitus. Linjausten tavoitteet. Keitä nämä linjaukset koskevat. Visio 2025

Informaatiovelvoite ja tietosuojaperiaate

Lausunto Onko riskienhallinnan järjestämistä koskeva osuus sisällöltään käyttökelpoinen riskienhallinnan kehittämisessä?

Kanta-sertifiointi ja omavalvonta yleiskuva ja prosessit

- pienten ja keskisuurten yritysten ja järjestöjen valmennushanke

T I E TO S U O JA JA T I E TOT U RVA L L I S U U S O M N I A S S A Riina Kirilova, tietosuoja- ja tietoturvapäällikkö

Public. Kumppanuusforum Yksityinen terveydenhuolto EU:n yleinen tietosuoja-asetus / General Data Protection Regulation (GDPR) Perjantai 24.

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Tietoturvapolitiikka

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

OLENNAISET TOIMINNALLISET VAATIMUKSET - PÄIVITETTY LUOKITUS JA JÄRJESTELMÄLOMAKE Kela toimittajayhteistyökokous 26.4.

Lausuntopyyntö julkisen hallinnon tiedonhallinnan sääntelyn kehittämistä selvittäneen työryhmän raportista

Suomi.fi-palveluväylä. Palvelulupaus ja tiekartta

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

HENKILÖTIETOJEN KÄSITTELYÄ KOSKEVA LIITE

Kertomusluonnoksesta annetut lausunnot 20/2018 Valtionhallinnon riskienhallinta ja toimintojen jatkuvuus 263/54/2017

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

1. Henkilötietojen käsittely

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Haaga-Helian verkkokauppaa

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

EU:N TIETOSUOJA-ASETUKSET WALMU

KOULUELEKTRONIIKKA OY:N ASIAKASREKISTERIN TIETOSUOJASELOSTE. Rekisterin rekisterinpitäjä on Kouluelektroniikka Oy, Teuvo Tiusanen

Omavalvontasuunnitelma ja EU-tietosuojadirektiivi

Transkriptio:

Lausunto 07.09.2018 VRK/3920/2018 Asia: VM/276/00.01.00.01/2018 Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta Yhteenveto Kommentit yhteenvetoon: Taustaa linjauksille Kommentit taustaan: Yleisiä kommentteja: Linjaus lähtee liikkeelle teknisestä toteutusmallista niin, että pilvipalvelut on keskiössä. Yksittäinen ratkaisumalli ei sellaisenaan ole itseisarvo, tietojen käsittely tulisi suunnitella vaatimustenmukaisesti, turvallisesti ja tätä kautta saavuttaa laadun ohella kustannustehokkuutta. Tarkastelun tulisi käsitellä enemmän tietojen käsittelyvaatimuksia (tiedon sijainti) ja käsittelyyn liittyvää riskienhallintaa. Pilvipalveluiden hankinnasta voisi olla erillinen opas, joka kertoo, mihin asioihin tulisi kiinnittää huomiota hankittaessa pilvipalveluita. Linjaus keskittyy pilvipalveluihin, olisi hyvä huomioida linjauksen nimessä (esim tiedon sijainnista ja hallinnasta asemesta pilvipalvelujen hyödyntämisestä Linjausten tavoitteet Kommentit tavoitteisiin: Lausuntopalvelu.fi 1/6

Pilvipalveluiden edut sekä toteutus ja palvelumallit Pilviteknologian edut Palvelumallit Toteutusmallit Tiedon ja palveluiden sijainti, hallinta ja ohjaus Ristiriita linjauksen 9 kanssa: Suojaustason III tietoa voi käsitellä viranomaisen hyväksymissä pilvipalveluissa Tällaisen tiedon käsittelyyn käytettävän pilvipalvelun täytyy sijaita fyysisesti Suomen tai EU:n alueella ja sen täytyy olla Suomessa tai EU alueella sijaitsevan toimijan hallinnassa. Palvelun on täytettävä tiedon käsittelylle asetetut vaatimukset samalla tavalla kuin muiden toteutusmallien. palvelun on oltava lisäksi viranomaisen hyväksymä. sivun 10 linjauksessa rajataan käsittely Suomeen sivun 10 linjauksessa edellytetään myös peruste sekä riskienhallintaa Onko tästä linjauksesta mahdollisesti seurauksena, että rajoitetaan isojen toimijoiden palvelujen hyödyntämistä? On pystyttävä mahdollistamaan tilanne, jossa hallintatoimenpiteitä voidaan tehdä EU/ETAalueen ulkopuolelta, kuitenkin niin ettei itse tietoon ole pääsyä. Tiedon käsittelyn vaatimukset Lausuntopalvelu.fi 2/6

Palveluiden ohjaus Haasteet 1. Pilvipalveluita tulee käsitellä kuin mitä tahansa muutakin ICTpalvelun hankintaa tai muutosta Hankinta ja muutos voi tarkoittaa eri asioita eri tilanteessa. Yleispätevät periaatteet jäävät niin yleiselle tasolle, että ne voisi luetella. Lisäksi pilvipalvelut eivät ole käsitteenä yksi kokonaisuus, vaan voi tarkoittaa eri asioita. 2. Tiedon sijaitessa Suomen rajojen ulkopuolella erityistä on kiinnitettävä huomiota sopimuksiin, palvelun jatkuvuuden turvaamiseen ja tiedon saatavuuteen Linjauksen tulisi koskea mitä tahansa kriittistä palvelua myös rajojen sisäpuolella. 3. Pilvipalvelun tulee täyttää hankkivan osapuolen palveluhyöty ja takuuvaatimukset Hankittavan palvelun tulee lähtökohtaisesti aina olla hankkijalle hyödyllinen ja laadukas. Asiakas lähtökohtaisesti hankkii palvelua tai ratkaisua, eikä tiettyä ratkaisumallia. Mikäli ratkaisumalli tuottaa merkittävää hyötyä, tulisi se priorisoida. Tämä koskee myös pilvipalveluja. 4. Mikäli pilvipalvelut tarjoavat parhaan palveluhyödyn ja takuun, eikä muita esteitä ole, tulisi se ensisijaisesti valita Lausuntopalvelu.fi 3/6

5. Pilvipalveluiden palveluhyötyä ja takuuta tulee arvioida säännöllisesti vähintään kerran vuodessa ja oleellisten sopimusehtojen muuttuessa. 6 Viranomainen ylläpitää listaa hyväksytyistä palveluntarjoajista Mikä taho on tässä yhteydessä viranomainen? Minkälainen on viranomaisen hyväksymisprosessi? Jos esim hankintayksikkö tekee itsenäisesti hankinnan, ja palveluntarjoajaksi valikoituu sellainen taho, joka ei vielä ole viranomaisen hyväksyntä, kuinka kauan viranomaisen hyväksymisprossissa menee? Vai valitaanko (kilpailutetaanko) palveluntuottaja hyväksyntälistalta? Tällöin tulee ottaa kilpailunäkökulmat huomioon. Miten listalla olevia arvioidaan, eli että säännöllisesti voidaan varmistua, että toimittajat edelleen täyttävät vaatimukset? Mitä valvontakeinoja nimetyllä viranomaisella on eli vaatimusten jatkuvaa täyttymistä seurataan? Vaatimuslista pitäisi määrittää sellaiseksi, että on realistista saada listalle suuria kansainvälisiä toimijoita. Ei ole realistista odottaa, että nämä toimijat räätälöisivät palveluitaan Suomen mahdollisia erityistarpeita varten. Tukeudutaan esim. kansainvälisiin standardeihin. 7. Julkisen tiedon käsittelyä ei rajoiteta Linjauksen loppuun tulisi lisätä: Tässä tulee ottaa julkisen tiedon osalta sen saatavuuden ja eheyden merkitys osana tietoturvallisuuden toteutumista. 8. Henkilötietoa ja suojaustason IV tietoa voi käsitellä julkisessa pilvessä, kun tietoturva ja suoja on asianmukaisesti toteutettu ja todennettu Riittääkö tässä viraston oma arvio, kuka viranomainen tässä tapauksessa on? Mitä tarkoitetaan, kts alla, todentamisella ja hyväksynnällä? Lausuntopalvelu.fi 4/6

asianmukaisesti toteutettu ja todennettu mikäli kyseessä viranomaisen hyväksymä palvelu, tarvitaanko lisäksi auditointi asiakasviraston toimesta? jatkuvuudesta on varmistuttu asianmukaisesti viranomaisen hyväksymällä tavalla tarkoittaako tämä hyväksyntä auditointia, vai miten tämä vaatimus täytetään Henkilötietojen käsittelyn ja hallinnan osalta tulee lisäksi varmistua muista EU/ETAalueen ulkopuolella vaadittavista edellytyksistä. Mitä tällä tarkoitetaan, vaadittavat edellytykset? Henkilötiedot on laaja ryhmä, linjauksissa tulisi huomioida paremmin eri tyyppiset henkilötiedot (esim. potilastiedot). Kuten ei myöskään ole mahdollista ja järkevää rinnastaa suoraan henkilötietoja sekä ST IVluokiteltuja tietoja keskenään, näillä on varsinkin tietosuojaasetuksen näkökulmasta hyvin erilaisia vaatimuksia. 9. Suojaustason III tietoa voi käsitellä viranomaisen hyväksymissä pilvipalveluissa Suosituksia toimenpiteiksi Eikä suuri osa jatkotoimenpiteitä hoituisi sillä, että Valtori tarjoaa koko valtionhallinnolle tarkoitetun viranomaisen hyväksymän pilvipalvelun. Tuon baseline palvelun päälle asiakasvirasto voi tehdä lisäarvioita. Sopimusehtojen riittävä huomiointi: tähän täytyy olla osaamista ja neuvottelukykyä. Monet palveluntuottajat on siinä määrin isoja organisaatioita, etteivät välttämättä lähde neuvottelemaan näistä, tällöin ei saa hakea helppoa ratkaisua ja hyväksyä sopimusehtoja, jotka esim rikkovat tietosuojaasetuksen periaatteita. Huomattavaa on, että palveluntarjoajilla voi olla ehtoja, jotka Lausuntopalvelu.fi 5/6

tosiasiallisesti indikoivat sitä, etteivät vaatimukset palvelussa täyty (esim. rekisteröidyn oikeuksien toteuttaminen: saadaanko tosiasiallisesti palveluntarjoajalta ja tämän alihankkijoilta tieto siitä, mitä henkilön tietoa käsitellään ja missä). Lausunnonantajan lausunto Voitte kirjoittaa lausuntonne alla olevaan tekstikenttään Ristimäki Pekka Väestörekisterikeskus Lausuntopalvelu.fi 6/6

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute