Henkilötietoja sisältävän datan säilytyksen ja käsittelyn tekniset ratkaisut

Samankaltaiset tiedostot
Tietosisällön eheys. Kimmo Janhunen Riskienhallintapäällikkö

Pilvipalveluiden arvioinnin haasteet

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Datan hallinnan nykykäytännöt ja tulevaisuuden suunnitelmat Ville Tenhunen Helsingin yliopisto / Tietotekniikkakeskus

TIETOTILINPÄÄTÖS OSANA ORGANISAATIOIDEN TIETOPÄÄOMAN HALLINTAA

YHDISTYKSEN DIGITAALINEN VIESTINTÄ

Tietosuoja henkilöstön rekrytoinnissa

Tietosuoja-asetus Miten julkinen hallinto valmistautuu?

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

eresepti- ja KANTA-hankkeissa

Tietosuojauudistus tulee PTC:n käytännön vinkit. Tapio Lahtinen

DLP ratkaisut vs. työelämän tietosuoja

Päivitetty TIETOVERKON JA TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Yksityisyydensuoja ja kirjaaminen. Itsemääräämisoikeus ja asiakirjat THL Liisa Murto Ihmisoikeuslakimies Kynnys ry/vike

Maarit Pirttijärvi Pohjois-Suomen sosiaalialan osaamiskeskus Lapin toimintayksikkö

Kymenlaakson Kyläportaali

Hostingpalvelujen. oikeudelliset kysymykset. Viestintäviraston Abuse-seminaari Jaakko Lindgren

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

T I E TO S U O JA JA T I E TOT U RVA L L I S U U S O M N I A S S A Riina Kirilova, tietosuoja- ja tietoturvapäällikkö

Pertti Pennanen DOKUMENTTI 1 (5) EDUPOLI ICTPro

Tietoturvakoulutus Tietojenkäsittelyn koulutusohjelmassa

Lapin yliopiston tietoturvapolitiikka

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

Verkostokehittäjät-hanke Tietosuoja ja tietoturvallisuus

TIETOTURVA. Eduberry tietotekniikka marjanviljelijän apuvälineenä Leena Koponen

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta Pauli Kartano

TIETOTURVA JA TIETOSUOJAPOLITIIKKA

Käytettävyys eli tieto on siihen oikeutettujen hyödynnettävissä haluttuna aikana.

Tietoturva ja viestintä

Koulun ylläpitäjänä toimii Oulunkylän yhteiskoulun kannatusyhdistys Ry (Y-tunnus: )

Tietosuoja, tutkimusetiikka ja aineistonhallinta

Tietosuoja Copyright (c) 2005 ACE LAW Offices

IF-INFO MEKLAREILLE

Pilvipalvelut ja henkilötiedot

VISMA SEVERA. GDPR webinaari

Tutkittavan informointi ja suostumus

Tutkimusaineistojen etäkäyttö

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana

Korkeakoulujen valtakunnallinen tietovaranto. Ilmari Hyvönen

Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa

tiedon ja ihmisten johtamisen, asiakirjahallinnon osaamisen, ja jokaisen työntekijän sitoutumisen avulla.

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Toimitilojen tietoturva

Datan avaamisen reunaehdot. Katri Korpela Projektipäällikkö 6Aika - Avoin data ja rajapinnat

Sisällönhallinta, esteettämyys, henkilötiedot,

Sosiaaliset mediat ja tietosuoja. Juha Kontturi IT -suunnittelija Turun ammattikorkeakoulu

HAVAINTOJA PARHAISTA KÄYTÄNNÖISTÄ. Harri Vilander, Nixu Oy

EU:n tietosuoja-asetus (GDPR)

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

EU:n tietosuoja-asetus ja sähköposti

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Tietoturvatekniikka Ursula Holmström

- pienten ja keskisuurten yritysten ja järjestöjen valmennushanke

Haminan tietosuojapolitiikka

Asiakaskokemus ja käyttäjäturvallisuus sovelluskehityksen keskiössä

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka

Webinaarin sisällöt

Itsemääräämisoikeus ja yksityisyydensuoja

TIETOSUOJASELOSTEET. Lieksan Kehitys Oy LieKe

Kameravalvontarekisteri, Veho Oy Ab 1 (5) TIETOSUOJASELOSTE 1 YKSITYISYYTESI SUOJAAMINEN

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

Tietosuojaseloste. Trimedia Oy

KMTK UUDET KUVAMITTAUSTEKNOLOGIAT - PROJEKTIN HANKINNAT JA TIETOSUOJA

SÄHKÖPOSTIN KÄYTÖSTÄ SOSIAALIHUOLLOSSA

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

Usein kysyttyjä kysymyksiä tietosuojasta

LAURA TM -rekrytointijärjestelmän tietoturva. Markku Ekblom Teknologiajohtaja Uranus Oy

EU:n tietosuoja-asetus (GDPR)

Ryhmätyö Tietoturva ja tietosuoja digiohjauksessa -verkkotyöpajassa Ryhmien työskentelyn tulokset

Tietoturvapäivä

Mobiilin ekosysteemin muutos - kuoleeko tietoturva pilveen?

HPK Kannattajat ry. Tietosuojaseloste. EU:n tietosuoja-asetus (EU) 2016/679

Kyberturvallisuus kiinteistöautomaatiossa

Tiedonhallinnan lainsäädännön kehittäminen

Politiikka: Tietosuoja Sivu 1/5

Tietoturvapolitiikka

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

Tietosuojanäkökulma biopankkilainsäädäntöön

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Informaatiovelvoite ja tietosuojaperiaate

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Salon kaupunki , 1820/ /2018

AINEISTOJEN JAKAMISEN MYYTEISTÄ JA HAASTEISTA

Tietosuoja Liikenneturvan kouluttajan toiminnassa. Katja Mäkilä Liikenneturvan valtakunnalliset kouluttajapäivät, Helsinki

Tiedon elinkaaren hallinta Henkilötietojen suoja

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Omavalvontasuunnitelma ja EU-tietosuojadirektiivi

Salon kaupunki / /2018

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton sidosryhmärekisterissä

EU TIETOSUOJA- ASETUS

SUONENJOEN KAUPUNKI TIETOSUOJA- JA TIETOTURVAPOLITIIKKA

Asiakaskilpailuja koskeva tietosuojaseloste

alueen turvallisuuden lisääminen; sekä

Eläketurvakeskuksen tietosuojapolitiikka

Tampereen Aikidoseura Nozomi ry

Transkriptio:

Henkilötietoja sisältävän datan säilytyksen ja käsittelyn tekniset ratkaisut Ville Tenhunen 16. toukokuuta 2018

Agenda 1. Johdanto 2. Käsitteistä ja periaatteista 3. Keskeiset tietoturva-asiat 4. Käyttötapauksista ja valinnoista 5. Lopuksi 2/25

Johdanto Henkilötieto, arkaluontoinen henkilötieto, erityinen henkilötieto Yhdistelmätiedot Anonymisointi ja pseudonymisointi Tekniset ratkaisut sisällön mukaan eli yksi ratkaisu ei sovellu kaikkeen 3/25

Käsitteistä ja periaatteista

Tietoturva!= tietosuoja Tietoturva eli tietoturvallisuus tarkoittaa tiedon saatavuuden, luottamuksellisuuden ja eheyden ylläpitämistä. Turvattava tieto voi ilmetä useassa eri muodossa. Näitä ovat esimerkiksi digitaaliset tallenteen, fyysiset tallenteet sekä ihmisten, kuten työntekijöiden omaama tietämys. Tietoturva koskee tiedon suojaamista myös sen siirtämisen aikana.[1] Tietosuoja on osa perustuslain takaamaa yksityisyyden suojaa. Tietosuojalla viitataan viranomaisten ja yksityisten tahojen ylläpitämiin henkilörekistereihin sisältyviin tietoihin liittyvään salassapitovelvollisuuteen sekä muihin määräyksiin kuten ihmisten oikeuteen tutustua henkilötietoihinsa ja saada niihin aiheellisia poistoja ja korjauksia.[2] [1] https://fi.wikipedia.org/wiki/tietoturva [2] https://fi.wikipedia.org/wiki/tietosuoja 5/25

Hyvä tiedonhallintatapa (Julkisuuslaki 18 ) Hyvällä tiedonhallintatavalla tarkoitetaan viranomaisen velvollisuutta huolehtia hyvän tiedonhallintatavan luomiseksi ja toteuttamiseksi asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen asianmukaisesta saatavuudesta, käytettävyydestä ja suojaamisesta sekä eheydestä ja muusta tietojen laatuun vaikuttavista tekijöistä. 6/25

Hyvä tietojenkäsittelytapa Hyvällä tietojenkäsittelytavalla tarkoitetaan rekisterinpitäjän velvollisuutta huolehtia hyvän tietojenkäsittelyn toteutumisesta henkilötietojen käsittelyssä. Hyvän tietojenkäsittelytavan kannalta tärkeimmät yleiset periaatteet ovat tällöin suunnittelu-, tarpeellisuus-, huolellisuus- ja suojaamisvelvoitteet sekä rekisteröityjen henkilöiden oikeuksien huomioon ottaminen. (kts. esim. poistuva henkilötietolaki 5 ) 7/25

Keskeisiä tietoturvakäsitteitä Saatavuus tai käytettävyys: Tieto on saatavilla, kun sitä tarvitaan Luottamuksellisuus: Tietoa voivat käsitellä vain sellaiset henkilöt, joilla on siihen oikeus Eheys: Tieto ei saa muuttua tai muutos pitää ainakin havaita Lisäksi: Kiistämättömyys: Henkilö ei voi kiistää tekoa, jonka hän on tehnyt Tunnistus: Käyttäjä voidaan tarvittaessa liittää käyttäjätunnukseen (joka voi olla anonyymi). Todennus: Käyttäjä voidaan luottavasti tunnistaa luonnolliseksi tai oikeushenkilöksi. 8/25

Käytännössä Saatavuus tai käytettävyys: Riittävä palvelinten ja tietoverkkojen kapasiteetti, käyttöliittymät, ylläpito Luottamuksellisuus: Salaus ja pääsynhallinta Eheys: Tarkistussummat, tarkistuskoodit ja digitaaliset allekirjoitukset Käyttäjän todentaminen ja kiistämättömyys: Digitaaliset allekirjoitukset ja muut todennustavat 9/25

Keskeiset tietoturva-asiat

Pääsynhallinta ja autentikointi Pääsynhallinta: Kenelle myönnetään pääsy ja millä perusteella, miten pääsyn rajaus tehdään Autentikointi ja pääsynhallinta - - monivaiheinen tunnistus; esimerkiksi VDI- ja VPN-tekniikat tarjoavat sisällön mukaan (Monivaiheinen tunnistus: Käyttäjän identiteetti varmennetaan useaa tunnistusmenetelmää käyttäen, pyrkimyksenä estää järjestelmän luvaton käyttö) 11/25

Valvonta ja lokitus Tekninen loki, aineistonkäsittelyn loki Lokituksesta pitäisi saada selville: - Kenen tunnuksella käsiteltiin - mitä objektia, - milloin ja - mistä Käytön valvonta 12/25

Muita tietoturvatoimia Varmuuskopiointi: Turvaa kyvyn palautua vikatilanteesta Salaus: Tarpeen mukaan, erityisesti mobiililaitteet, kannettavat ja ulkoiset tallennuslaitteet Teknisen ympäristön suojaus: Miten käsittely-ympäristön suojataan ulkopuolisilta Henkilöstöturvallisuus: Tutkimusryhmän jäsenten perehdytys, koulutus, ohjeet sekä yhteisesti sovitut käytännöt Tilaturvallisuus: Työtilojen lukitukset, säilytyskalusteet, kameravalvonta sekä kulkuoikeuksien valvonta 13/25

Järjestelmävalinta ja tietoturva Henkilötietoja tai arkaluonteisia henkilötietoja kerättäessä tai siirrettäessä pitää varmistua koko käsittelyketjun tietoturvallisuudesta: - - - keräys- ja siirtovälineet käsittely-ympäristöt tallennusjärjestelmät ja ympäristöt Tietoturva on yhtä vahvaa kuin ketjun heikoin lenkki. 14/25

Käyttötapauksista ja valinnoista

Käyttötapauksista Kerääminen / tuottaminen Tallentaminen Käsittely / laskenta Jakaminen Julkaiseminen Arkistointi 16/25

VPN ja VDI - huomioitavia tekniikoita VPN (Virtual Private Network), virtuaalinen verkko - tunnistetaan käyttäjä - turvaa tietoliikenteen - mahdollistaa yleensä laajempien resurssien käytön VDI (Virtual Desktop Infrastructure), etätyöpöytä - esimerkiksi silloin kun aineiston saa nähdä, mutta ei jakaa edelleen - mahdollistaa erilaiset käsittely-ympäristöt ja sovellukset 17/25

Järjestelmiä ja palveluita Yliopistojen omat tallennusjärjestelmät ja -palvelut - Verkko- ja ryhmälevyt (NAS, SAN, NFS jne.) - Verkkopalvelut (esim. ryhmätyöpalvelut) epouta; käsittely-ympäristö eduuni; ryhmätyöt Repositoryt Salaamalla (esim. 7-zip, GnuPG, S/MIME jne.) voi dataa tallentaa ja käsitellä myös muualla 18/25

Pilveen? Lue aina ensin käyttöehdot ja tiedä mitä oikeuksia eri toimijoilla on Kun olet lukenut käyttöehdot, kysy itseltäsi a) ymmärsitkö ne ja b) voitko elää niiden kanssa? Tarkistuskysymys: Tiedätkö missä datasi on fyysisesti? - - Henkilötietojen tallentamisen ja käsittelyn kannalta tällä on merkitystä Nykyään pilvipalveluissa voi valita datan sijainnin Yleiset ja julkiset palvelut ovat sopimuksellisesti erilaisia kuin korkeakoulujen sopimuksilla hankitut palvelut Pilvipalveluissa usein hyvä tietoturva, mutta tietosuoja muodostuu haasteeksi 19/25

Tekeillä CSC:n sensitiivisen datan palvelu EUDAT Working Group on Sensitive Data Management Paikalliset sensitiivisen datan järjestelmäprojektit 20/25

Mihin voin tallentaa? 21/25

Lopuksi

Pohdintaa Jos sovellus on riittävän tietoturvallinen, sillä voi käsitellä henkilötietoja sisältävää dataa (mikäli tietosuojan muut edellytykset ovat voimassa) Tutkijalle palveluiden tietoturva ja tietosuoja ovat usein kuin musta laatikko, sen sisälle ei oikein näe - - Käyttö perustuu tosiasiassa monessa tapauksessa luottamukseen Käytä aina kun mahdollista uskottavien rekisterinpitäjien tarjoamia suojattuja käsittely-ympäristöjä Jos valittava ratkaisu tuntuu liian epävarmalta, älä käytä Kun kerran menettää kontrollin aineistoon, sen helposti menettää lopullisesti 23/25

Työpajasessiossa Henkilötietoja sisältävän datan säilytyksen ja käsittelyn tekniset ratkaisut: Millainen olisi hyvä henkilötiedon tallennuspalvelu? Työstetään speksin piirteitä - Toiminnalliset vaatimukset - Laadulliset vaatimukset - Tekniset vaatimukset 24/25

Kiitos! Sähköposti: ville.tenhunen@helsinki.fi Twitter: @vtenhunen 25/25

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute