KÄYTTÖLUPAHAKEMUS PALVELUTIETO- VARANTOON
KÄYTTÖLUPAHAKEMUS 2 (9) KÄYTTÖLUPAHAKEMUS PALVELUTIETOVARANTOON Hakemuksen sisältö Tällä hakemuksella organisaationne voi hakea käyttölupaa on. Mikäli teillä on kysyttävää on liittyen, voitte olla yhteydessä osoitteeseen suomi.fi-asiakaspalvelu@vrk.fi. Käyttölupaan liittyvissä kysymyksissä voitte olla yhteydessä osoitteeseen suomi.fi-kayttoluvat@vrk.fi. Käyttölupahakemus on jaettu kolmeen osaan: 1) Tiedot organisaatiosta ja yhteyshenkilöistä 2) Tiedot liitettävästä tietojärjestelmästä ja selvitys tietojen suojauksesta 3) Organisaation antamat sitoumukset Väestörekisterikeskus tekee käyttölupaan liittyvän päätöksen tässä hakemuksessa annettujen tietojen pohjalta. Päätös toimitetaan tiedoksi tässä lomakkeessa ilmoitetulle hallinnolliselle yhteyshenkilölle. Hakemuksen huolellinen täyttäminen nopeuttaa käsittelyaikaa. Väestörekisterikeskus toteaa, että hakija arvioi kohdassa selvitys tietojen suojauksesta annettujen tietojen luottamuksellisuutta ja salassapitoa. Mikäli hakija katsoo, että selvitys sisältää luottamuksellista tai salassa pidettävää tietoa, Väestörekisterikeskus suosittaa, että selvitys toimitetaan postitse kirjattuna kirjeenä tai sähköisesti salattuna sähköpostina osoitteeseen suomi.fi-kayttoluvat@vrk.fi. Mikäli selvitys toimitetaan normaalina kirjeenä, Väestörekisterikeskus suosittaa, että selvitys lähetetään mustaan läpinäkymättömään kirjekuoreen pakattuna. Lähetä käyttölupahakemus skannattuna osoitteeseen suomi.fi-kayttoluvat@vrk.fi tai postitse osoitteeseen: Väestörekisterikeskus Digitaaliset palvelut PL 123 00531 Helsinki
KÄYTTÖLUPAHAKEMUS 3 (9) 1 Tiedot organisaatiosta ja yhteyshenkilöistä 1.1 Organisaation tiedot Organisaation perustiedot Organisaation nimi Y-tunnus kuuluu hallinnon yhteisistä sähköisen asioinnin tukipalveluista annetun lain (571/2016) määrittelemiin tukipalveluihin, joiden käyttöön osalla julkisen hallinnon organisaatioista on käyttövelvoite ja osalla on käyttöoikeus. Lisäksi yksityisen sektorin toimijoilla on käyttöoikeus. Voitte tarvittaessa tutustua lakiin osoitteessa http://www.finlex.fi/fi/laki/ajantasa/2016/20160571 Valitsethan alta, millä lakiperusteella haette käyttöoikeutta. Tarvittaessa voitte valita useamman perusteen. Esimerkiksi kunta valitsee kohdat 5.1 ja 5.2. 5.1 Lain 5 1 :n mukaan valtion hallintoviranomaiset, virastot, laitokset ja liikelaitokset, kunnalliset viranomaiset niiden hoitaessa laissa niille säädettyjä tehtäviä sekä tuomioistuimet ja muut lainkäyttöelimet ovat velvollisia käyttämään a, kun tukipalvelu on käytettävissä ja kyseistä tukipalvelua vastaavan itsenäisesti hankitun palvelun palvelusopimus on päättynyt, jollei viranomaisen ole teknisistä tai toiminnallisista tai kustannustehokkuuteen taikka tietoturvallisuuteen liittyvistä syistä välttämätöntä käyttää toiminnassaan tai sen osassa muuta palvelua. 5.2 Lain 5.2 mukaan julkisen hallinnon viranomaiset, itsenäiset julkisoikeudelliset laitokset, eduskunta virastoineen ja valtion talousarvion ulkopuoliset rahastot sekä lailla tai lain nojalla annetulla asetuksella tai lain nojalla annetulla valtion hallintoviranomaisen päätöksellä julkista hallintotehtävää itsenäisesti hoitamaan asetetut saavat käyttää kaikkia tukipalveluja laissa säädetyn julkisen hallintotehtävän hoitamiseksi. Kunnalliset viranomaiset saavat käyttää kaikkia tukipalveluja myös muissa tehtävissään. 5.3 Lain 5.3 mukaan lakiin perustuvan sopimuksen nojalla tai muulla kuin 2 momentissa tarkoitetulla perusteella julkista tehtävää hoitavat saavat käyttää tässä tehtävässään muita tukipalveluja paitsi tunnistuspalveluja ja verkkomaksamisen kokoamis- ja hallinnointipalvelua sekä viestinvälityspalvelua. 8.2 Lain 8.2 mukaan yksityiset yhteisöt, säätiöt ja elinkeinonharjoittajat saavat tarjotessaan palvelujaan yleisölle käyttää palvelutietovarantoa palvelujaan koskevien tietojen tarjoamiseen.
KÄYTTÖLUPAHAKEMUS 4 (9) 1.2 Yhteyshenkilöt Täytättehän alla oleviin taulukoihin organisaationne yhteyshenkilöt yhteystietoineen. Tarvittaessa sama henkilö voi olla mainittuna useammassakin kohdassa. Tiedoissa mahdollisesti tapahtuvista muutoksista on viipymättä ilmoitettava Väestörekisterikeskukselle. 1.2.1 Hallinnollinen yhteyshenkilö Hallinnollinen yhteyshenkilö Yhteyshenkilön nimi Yhteyshenkilön sähköpostiosoite Varayhteyshenkilön nimi Varayhteyshenkilön sähköpostiosoite 1.2.2 PTV-pääkäyttäjä PTV-yhteyshenkilö toimii Palvelutietovarantoon liittyvissä hallinnollisissa asioissa yhteyshenkilönä. Hallinnollinen yhteyshenkilö on organisaation vastuuhenkilö Suomi.fi-palvelun hallinnollisissa asioissa. Väestörekisterikeskus on yhteydessä hallinnolliseen yhteyshenkilöön ja tämän varahenkilöön esimerkiksi seuraavissa tilanteissa: - Käyttölupahakemukseen liittyvät asiat ja tarpeelliset selvityspyynnöt - Käyttölupaan liittyvät asiat, käyttöluvan muutokset ja päättäminen - Suomi.fi-palvelun käyttöehtoihin liittyvät asiat ja käyttöehtojen muutostilanteet sekä - Erilaiset selvityspyynnöt. PTV-pääkäyttäjä PTV-pääkäyttäjän nimi PTV-pääkäyttäjän sähköpostiosoite PTV-pääkäyttäjän varahenkilön nimi PTV-pääkäyttäjän varahenkilön sähköpostiosoite Organisaation PTV-pääkäyttäjä ohjaa tietojen kuvaamista Palvelutietovarantoon käytännön tasolla ja huolehtii siitä, että organisaation PTV-tiedot löytyvät Palvelutietovarannosta aina ajantasaisina. PTV-pääkäyttäjä tuntee organisaation palvelut ja palveluprosessit vähintään oman vastuualueensa osalta. PTV-pääkäyttäjä saa Palvelutietovarannon pääkäyttäjätunnukset Väestörekisterikeskukselta ja hallinnoi oman organisaationsa muita PTV-käyttäjiä, muun muassa lisäämällä uusia käyttäjiä, ylläpitämällä käyttäjien tietoja sekä nollaamalla unohtuneita salasanoja. PTV-pääkäyttäjä yhdessä PTV-yhteyshenkilön kanssa huolehtii sitä, että kaikilla organisaation PTV-käyttäjillä on riittävä PTV-osaaminen. Hän osallistuu itse PTV-koulutuksiin ja jakaa tietoa organisaationsa sisällä. PTV-pääkäyttäjä osallistuu PTV-kuvausten tuottamiseen Palvelutietovarantoon yhdessä organisaation muiden PTV-käyttäjien kanssa.
KÄYTTÖLUPAHAKEMUS 5 (9) 1.2.3 Tietoturvan yhteyshenkilö Tietoturvan yhteyshenkilö Yhteyshenkilön nimi Yhteyshenkilön sähköpostiosoite Varayhteyshenkilön nimi Varayhteyshenkilön sähköpostiosoite Tietoturvan yhteyshenkilö on organisaation vastuuhenkilö Suomi.fi-palvelun ja siihen liitettyyn asiointipalveluun (tietojärjestelmään) liittyvissä tietoturva-asioissa. hallinnollisissa asioissa. Väestörekisterikeskus on yhteydessä tietoturvan yhteyshenkilöön ja tämän varahenkilöön esimerkiksi seuraavissa tilanteissa: - Tietoturvapoikkeamat ja niihin liittyvä yhteydenpito - Suomi.fi-palveluun liitetyn asiointipalvelun (tietojärjestelmä) tai asiointipalveluun liitettyjen muiden tietojärjestelmien tietoturvaan liittyvät asiat ja selvityspyynnöt - Muu tietoturvaan liittyvä yhteydenpito. 1.2.4 Tietosuojan yhteyshenkilö Tietosuojan yhteyshenkilö Yhteyshenkilön nimi Yhteyshenkilön sähköpostiosoite Varayhteyshenkilön nimi Varayhteyshenkilön sähköpostiosoite Tietosuojan vastuuhenkilö on organisaation vastuuhenkilö Suomi.fi-palveluun ja siihen liitettyyn asiointipalveluun (tietojärjestelmään) liittyvissä tietosuoja-asioissa. Tässä tarkoitettu tietosuojan vastuuhenkilö ei tarkoita samaa kuin yleisessä tietosuoja-asetuksessa nimettäväksi edellytetty tietosuojavastaava, Väestörekisterikeskus on yhteydessä tietosuojan vastuuhenkilöön ja tämän varahenkilöön esimerkiksi seuraavissa tilanteissa: - Tietosuojapoikkeamat ja niihin liittyvä yhteydenpito - Suomi.fi-palveluun liitetyn asiointipalvelun (tietojärjestelmä) tai asiointipalveluun liitettyjen muiden tietojärjestelmien tietosuojaan liittyvät asiat ja selvityspyynnöt sekä - Muu tietosuojaan liittyvä yhteydenpito. 1.2.5 Tekninen yhteyshenkilö Mikäli IN-rajapinta otetaan käyttöön Tekninen yhteyshenkilö Yhteyshenkilön nimi
KÄYTTÖLUPAHAKEMUS 6 (9) Yhteyshenkilön sähköpostiosoite Varayhteyshenkilön nimi Varayhteyshenkilön sähköpostiosoite Tekninen vastuuhenkilö on organisaation vastuuhenkilö Suomi.fi-palvelun ja siihen liitetyn asiointipalvelun (tietojärjestelmä) teknisluonteisissa sekä palveluiden toimivuuteen liittyvissä asioissa. Väestörekisterikeskus on yhteydessä tekniseen vastuuhenkilöön ja tämän varahenkilöön esimerkiksi seuraavissa tilanteissa: - Häiriötiedotteet ja niihin liittyvä yhteydenpito - Häiriö- ja vikatilanteiden Käyttölupaan liittyvät asiat, käyttöluvan muutokset ja päättäminen - Suomi.fi-palvelun käyttöehtoihin liittyvät asiat ja käyttöehtojen muutostilanteet sekä - Erilaiset selvityspyynnöt. 1.2.6 Tekninen prosessisähköpostiosoite Tekninen prosessisähköpostiosoite Tekninen prosessisähköpostiosoite Tekninen prosessisähköpostiosoite on henkilöistä riippumaton osoite, johon Väestörekisterikeskus voi toimittaa viestejä liittyen esimerkiksi Suomi.fi-palvelun teknisiin asioihin, palvelun toiminnallisuuksiin ja häiriötilanteisiin 2 Tiedot liitettävästä tietojärjestelmästä ja selvitys tietojen suojauksesta Mikäli organisaationne ottaa käyttöön IN-rajapinnan, käyttölupahakemuksessa täytetään myös tässä pyydetyt tiedot. liitettävästä tietojärjestelmästä ja selvitys tietojen suojauksesta. Jokaisesta liitettävästä tietojärjestelmästä täytetään selvitys tietojen suojauksesta. Samalla lomakkeella voi hakea käyttölupaa useammalle samankaltaiselle tietojärjestelmälle eli mikäli selvitys tietojen suojauksesta on vastauksiltaan sama myös muiden liitettyjen tietojärjestelmien osalta, riittää yksi selvitys tietojen suojauksesta. Organisaatiomme ottaa käyttöön IN-rajapinnan Mikäli otatte käyttöön IN-rajapinnan, täyttäkää myös kohdat 2.1 ja 2.2. Mikäli ette ota käyttöön IN-rajapintaa, voitte jättää alla olevat kohdat 2.1 ja 2.2 tyhjäksi. Siirtykää tässä tapauksessa suoraan kohtaan 3. 2.1 Tiedot liitettävästä tietojärjestelmästä Täyttäkää alla olevaan taulukkoon perustiedot liitettävästä tietojärjestelmästä. Mikäli olette liittämässä Palvelutietovarantoon useita tietojärjestelmiä, voitte toimittaa pyydetyt tiedot esimerkiksi tämän dokumentin liitteenä. Liitettävän tietojärjestelmän perustiedot Tietojärjestelmän nimi
KÄYTTÖLUPAHAKEMUS 7 (9) Suunniteltu käyttöönoton päivämäärä Mikäli käytätte alihankkijaa, jolla on jo käytössä INrajapinnan käyttöoikeus (API-käyttäjäoikeus), kirjatkaa tähän alihankkijan käyttämä API-käyttäjätunnus, mikäli se on tiedossanne. IN-rajapinnan API-käyttöoikeuden haltija API-käyttöoikeuden haltijan nimi API-käyttöoikeuden haltijan organisaation nimi API-käyttöoikeuden haltijan sähköpostiosoite API-käyttöoikeus mahdollistaa tietojen siirtämisen on Open API -rajapinnan kautta. APIkäyttöoikeus sidotaan henkilöön, joka on vastuussa rajapinnan kautta tapahtuvasta tietoliikenteestä. 2.2 Selvitys tietojen suojauksesta Tässä kuvataan on liitettäväksi haettavan asiointipalvelun (tietojärjestelmän) selvitys tietojen suojauksesta. Vastaa tietojen suojausta koskeviin kysymyksiin. Vastauksiin vastaaminen edellyttää organisaation tietoturva-asioiden tuntemista sekä tietojärjestelmän teknisten ratkaisujen ja sitä hyödyntävien organisaatioiden tuntemista. Väestörekisterikeskus noudattaa asiakirjojen käsittelyssä lakia viranomaisten toiminnan julkisuudesta (621/1999) sekä sen nojalla annettua valtioneuvoston asetusta tietoturvallisuudesta valtionhallinnossa (681/2010). Käyttölupaa hakevan organisaation on merkittävä selvitykseen, mikäli se katsoo, että annettu selvitys sisältää salassa pidettäviä tai luottamuksellisia kohtia. Merkinnät on tehtävä selvästi ja niistä on käytävä ilmi, miltä osin organisaatio katsoo selvityksen olevan salassa pidettävä. Mikäli organisaatio ei itse ole tehnyt selvitykseen merkintää salassapidosta tai luottamuksellisuudesta, annetut selvitykset käsitellään suojaustason IV (Käyttö rajoitettu) mukaisesti, ellei tietolupaa hakevan organisaation merkintöjen ja/tai Väestörekisterikeskuksen tekemän arvioinnin perusteella Väestörekisterikeskus katso, että annettua selvitystä on käsiteltävä suojaustason III (Luottamuksellinen) mukaisesti. Suomi.fi-palveluista säätävän hallinnon yhteisistä sähköisen asioinnin tukipalveluista annetun lain (571/2016) 17.3 :ssä säädetään Väestörekisterikeskuksen oikeudesta ja velvollisuudesta huolehtia Suomi.fi-palveluun liitettävän tietojärjestelmän tietoturvallisuuden arvioinnista. Palvelu tässä viittaa on. Tietojärjestelmä tässä viittaa tietojärjestelmään, jolla hakijaorganisaatio tai kolmas osapuoli hakijaorganisaation lukuun tuottaa tietoa on IN-rajapintaa hyödyntäen. Tietojärjestelmä voi olla hakijaorganisaation tai kolmannen osapuolen hallinnoima tietojärjestelmä. 1. Tietojärjestelmän tuotanto- ja testiympäristöt on eriytetty toisistaan.
KÄYTTÖLUPAHAKEMUS 8 (9) 2. Käytössä on palomuuri ja ohjelmistopohjainen haittaohjelmasuojaus, jota päivitetään automaattisesti, tai muu menettelytapa, jolla varmistutaan haittaohjelmien ja vahingollisen liikenteen estämisestä. 3. Organisaatiossa tietoturvapoikkeamien käsittely on ohjeistettu ja koulutettu. 4. Käyttöoikeudet ovat henkilökohtaisia ja käyttöoikeuden haltija voidaan selvittää. Käyttöoikeuksien hallintaprosessit on kuvattu ja voimassaolon edellytykset tarkastetaan säännöllisesti. Kirjautuminen tapahtuu salasanalla tai muutoin tietoturvallisesti tunnistautumalla. Salasanoja ja muita tunnistusvälineitä käsitellään tietoturvallisesti. Käyttöoikeudet eivät voi olla yhteiskäyttöisiä. Voimassaolon edellytykset tulee tarkastaa erityisesti henkilövaihdosten tai vuorotteluvapaan yhteydessä, tai virka- tai työsuhteen päättyessä. Salasanat ovat henkilökohtaisia ja salasanan haltija säilyttää salasanojaan huolellisesti ja siten, että ne eivät paljastu ulkopuolisille. Salasanoille on määritelty laatuvaatimukset ja säännöllinen vaihtoväli. Muu tietoturvallinen tunnistautuminen voi olla esimerkiksi korttikirjautuminen tai vahva sähköinen tunnistautuminen. 5. Tietojärjestelmän tietojen käsittelyä tulee tapahtumaan organisaation ulkopuolella, esimerkiksi ulkoistettu osin tai kokonaan. Organisaation ulkopuolella tapahtuvaksi käsittelyksi lasketaan myös esimerkiksi sopimuksin sovittu tietojärjestelmän kautta tapahtuva Suomi.fi-palvelutietovarannon tietojen päivittäminen. Tässä on kuvattava, mikäli esimerkiksi organisaation alihankkija käsittelee on välitettäviä tietoja taikka mikäli tietojärjestelmä on useamman organisaation käytettävissä. Tässä ei tarvitse kuvata sitä, että tietojärjestelmän käyttöpalvelut ovat ulkoistettu. Mikäli Kyllä, missä, miltä osin ja kenen toimesta tietojen käsittelyä tapahtuu? 6. Tietojärjestelmän kautta tapahtuvaa Suomi.fi-palvelutietovarannon tietojen päivittämistä tehdään useamman organisaation puolesta saman tietojärjestelmän avulla. Mikäli esimerkiksi alihankkijalla on tietojärjestelmä, jonka avulla se päivittää useamman organisaation tietoja. 7. Kirjautuuko tietojärjestelmän lokeihin tieto sen välityksellä tehtävästä tietojen kirjaamisesta Suomi.fipalvelutietovarantoon seuraavasti: tieto kirjauksen tekijästä, kirjauksen ajankohdasta sekä kirjauksen kohteesta? Kirjauksen kohteella tarkoitetaan on tietojärjestelmän avulla tallennettavia tietoja rivikohtaisesti. Tiedot tulee olla jälkikäteen yhdistettävissä käyttäjään, joka on hyväksynyt tiedot julkaistavaksi Palvelutietovarantoon.
KÄYTTÖLUPAHAKEMUS 9 (9) 8. Lokitiedot säilytetään vähintään yhden (1) vuoden ajan, jonka jälkeen ne hävitetään tietoturvallisesti. 9. Lokitiedot on suojattu tietojen jälkikäteiseltä muuttamiselta. 10. Organisaatiossa varmistutaan määräajoin lokien muodostumisesta. 3 Organisaation antamat sitoumukset Hyväksynnän ja sitoumuksen organisaation puolesta antaa henkilö, jolla on nimenkirjoitusoikeus organisaation puolesta tehtävissä oikeustoimissa. Vakuutamme yllä olevat tietojen suojaukseen liittyvät tiedot oikeiksi ja sitoudumme ilmoittamaan niihin tulevista muutoksista viipymättä Väestörekisterikeskukselle, mikäli organisaatiollemme myönnetään käyttöoikeus on. Organisaatiomme hyväksyy seuraavat Väestörekisterikeskuksen Suomi.fi-palvelujen käyttöehdot ja sitoutuu noudattamaan niitä: Suomi.fi-palvelutietovarannon käyttöehdot Käyttäjäorganisaatiolle (1632/810/16) Lisäksi organisaatiomme sitoutuu noudattamaan Suomi.fi-palvelutietovarannon kulloinkin voimassaolevia ohjeita, joita ovat Suomi.fi-palvelutietovarannon toimituspolitiikka ja Suomi.fi-palvelutietovarannon sisällöntuotannon ohjeet. Paikka: Aika: Allekirjoitus Nimen selvennys Toimi/asema organisaatiossa