Esityksen aihe: Digitaalinen turvallisuus terveydenhuollossa

Samankaltaiset tiedostot
Osaava tietosuojavastaava - Käytännön kokemuksia ja havaintoja tietosuojavastaavan elämässä

Tietosuojavastaavana julkisella sektorilla

Kertausta lähtökohtiin liittyen

Tietosuoja sosiaali- ja terveyspalveluissa

DLP ratkaisut vs. työelämän tietosuoja

Tietosuojan etukäteinen vaikutustenarviointi (DPIA)

EU:n yleinen tietosuoja-asetus (GDPR) ja sen toimeenpano Tampereen kaupungilla

Tietosuoja terveydenhuollossa

Tietosuoja sosiaali- ja terveyspalveluissa. Ari Andreasson tietosuojavastaava, Tampereen kaupunki , Helsinki

Tietosuoja kirjastoissa

Hyvä tietosuojakäytäntö

Tietosuojavastaavan nimittäminen, asema ja tehtävät

Hyvä tietosuojakäytäntö

Tietosuoja opettajan työssä

Haminan tietosuojapolitiikka

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

Miten tietosuoja-asetuksen soveltamisen osalta on edetty? Havaintoja ja parhaita käytäntöjä-

Miten valmistaudun tietosuoja-asetuksen vaatimuksiin?

T I E TO S U O JA JA T I E TOT U RVA L L I S U U S O M N I A S S A Riina Kirilova, tietosuoja- ja tietoturvapäällikkö

Tietosuojahankkeen esittely ota tietosuojaasetuksen. Kuinka koulutan ja ohjeistan henkilöstöä tietosuojan osalta! Tuula Seppo, Kuntaliitto

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Kokemuksia ja näkemyksiä tietosuojaasetuksen

Varustekorttirekisteri - Tietosuojaseloste

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

Liperin kunnan päätöksenteko- ja asianhallinta (hallinnolliset asiat)

TIETOSUOJATYÖN ORGANISOINTI

Organisaatioluvan hakeminen

Informaatiovelvoite ja tietosuojaperiaate

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa

ASIAKAS- JA HENKILÖTIETO REKISTERISELOSTE

Tietosuojalainsäädäntö uudistuu. Tietosuoja-asetus. Ylitarkastaja Anna Hänninen. VAHTIn kuntien tietoturvajaoston alueseminaarikiertue

Keräämämme tiedot voidaan jakaa asiakkaiden, huoltajan antamiin, viranomaisten antamiin ja eri järjestelmien keräämään tietoon.

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

1. Rekisterinpitäjä Nimi Hevostoiminta Laukki Yksityinen elinkeinonharjoittaja, Y-tunnus Yhteystiedot Puh: ,

Rekisterin nimi Varhaiskasvatuksen tuettu varhaiskasvatussuunnitelma. Varhaiskasvatusjohtaja Raili Liukkonen

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

REKISTERINPITÄJÄ JA YHTEYSHENKILÖ REKISTERIÄ KOSKEVISSA ASIOISSA Rekisterinpitäjä: Tmi ML-hahmoterapia Yhteyshenkilö: Mikko Lounela Puh:

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

TIETOSUOJASELOSTE Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (2016/679)

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

EU:n yleisen tietosuoja-asetuksen (GDPR) vaikutusten arviointi alueellisesti

Päivitämme materiaalia säännöllisesti kesän ja syksyn 2017 aikana.

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Paneeli: Käytön valvonta, lokien hallinta, poikkeamien havaitseminen, poliisiyhteistyö

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

- pienten ja keskisuurten yritysten ja järjestöjen valmennushanke

Tietosuojaseloste. Henkilötietolaki (523/1999) 10 ja 24, EU:n yleinen tietosuoja-asetus (679/2016) 12 ja 13 artikla. Urho Tuominen -konserni:

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

REKISTERINPITÄJÄ Fysioterapiapalvelut Kirsi Pätsi Rovaniemen toimipiste, Valtakatu 30 A 10, Rovaniemi

Tervetuloa! Juha Jolkkonen Toimialajohtaja Helsingin sosiaali- ja terveystoimiala Sosiaali- ja terveydenhuollon tietosuojaseminaari

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Tietosuojakysely 2019

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojakysely 2018

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Jäsenrekisteri tietosuoja-asetus ja henkilötietolaki

Miten tietosuoja-asetusta toteutetaan Palkeiden tuottamissa palveluissa Sami Nikula

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

REKISTERISELOSTE

Vaikutustenarviointi GDPR:n mukaan

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Tietosuojaseloste Espoon kaupunki

Postinumero Käyntiosoite Nordenskiöldinkatu 12, Helsinki. Nimi Kanta-palvelujen tietosuojavastaava

Rekisterin nimi Varhaiskasvatuksen varhaiskasvatussuunnitelma. Varhaiskasvatusjohtaja Raili Liukkonen. Yhteystiedot Puh.

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

Termit. Tietosuojaseloste

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

TIETOSUOJAPOLITIIKKA

Tietosuoja-asetus ja sen kansallinen implementointi

Rekisteri on perustettu Rauman kaupungin sosiaali- ja terveystoimialan terveyspalvelujen käyttöä varten.

Johdon ja tietosuojavastaavan yhteistyö

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste KasvaNet -oppimisympäristö

UKTY ry:n asiakasrekisterin tietosuojaseloste

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

Olemme sitoutuneet suojaamaan asiakkaidemme yksityisyyttä ja tarjoamme mahdollisuuden vaikuttaa henkilötietojen käsittelyyn.

Varhaiskasvatusjohtaja Raili Liukkonen. Yhteystiedot Puh Nimi ja tehtävänimike

Relipe Oy. Tilitoimiston asiakastiedotteen postituslistan TIETOSUOJASELOSTE

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Kuraattoripalveluiden asiakasrekisterin tietosuojaseloste

Postinumero Kela. Käyntiosoite Nordenskiöldinkatu 12, Helsinki. Nimi Kanta-palvelujen tietosuojavastaava

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Nimi ja yhteystiedot

Eläketurvakeskuksen tietosuojapolitiikka

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

TIETOSUOJAPOLITIIKKA. Turun kaupunki

Tietosuojaseloste 1 (6)

Tietosuojaseloste 1 (5)

Transkriptio:

Esityksen aihe: Digitaalinen turvallisuus terveydenhuollossa 8.2.2019, LABQUALITY, HELSINKI

Kuka? Ari Andreasson Sote-palvelujen tietosuojavastaavana 2008-2017 10/2017- Tampereen kaupungin konsernihallinnon johtoryhmä nimitti Arin koko peruskunnan tietosuojavastaavaksi Työpaikka: Konsernihallinto, tietohallintoyksikkö Tehtävänimike on tietosuojavastaava Sivutoiminen tietokirjailija tulossa uusi kirja painosta 2/2019: Osaava tietosuojavastaava ja EU:n yleinen tietosuoja-asetus

Digiturvallisuus on Henkilötietojen oikeaoppista käsittelyä Oikeusturvaa organisaatiolle, työntekijälle ja asiakkaalle Digitalisaation mahdollistaja Tiedon elinkaaren hallintaa Varautumista poikkeamiin Riskienhallintaa Maineenhallintaa

Haluaisin, että Digiturvallisuus olisi nykyajan kansalaistaito

Tietosuojavastaava (DPO=Data Protection Officer) Tehtävä ja asema määritellään suoraan tietosuoja-asetuksessa Tietosuojavastaavaa nimitettäessä otetaan huomioon henkilön ammattipätevyys ja erityisesti asiantuntemus tietosuojalainsäädännöstä ja alan käytänteistä sekä valmiudet suorittaa 39 artiklassa tarkoitetut tehtävät Rekisterinpitäjän tai henkilötietojen käsittelijän on julkistettava tietosuojavastaavan yhteystiedot ja ilmoitettava ne valvontaviranomaiselle Raportoi suoraan johdolle

Tietosuojavastaavan asema (38 artikla) Rekisterinpitäjän ja tietojen käsittelijän tulee varmistaa, että tietosuojavastaava otetaan asianmukaisesti ja riittävän ajoissa mukaan kaikkiin henkilötietojen käsittelyyn liittyviin asioihin sisäänrakennetun ja oletusarvoisen tietosuojan hengessä Turvattava riittävät resurssit ja pääsy tietojärjestelmiin Riippumaton Vastaavan tehtävien hoitaminen ei voi olla erottamisen syy Salassapitovelvollinen Ei estä muiden tehtävien hoitamista, huomioitava mahdollinen intressiristiriita

Tietosuojavastaavan tehtävät (39 artikla) Ainakin seuraavat : Seurata asetuksen ja muun tietosuojalainsäädännön noudattamista, kouluttaa, neuvoa ja antaa tietoa Antaa pyydettäessä neuvoja tietosuojaa koskevasta vaikutustenarvioinnista (35 art) ja valvoa sen toteutusta Tehdä yhteistyötä valvontaviranomaisen kanssa ja toimia valvontaviranomaisen yhteyspisteenä käsittelyyn liittyvissä kysymyksissä mukaan luettuna 36 art. ennakkokuuleminen Tehtävien hoitamisessa huomioitava mm. käsittelyn luonne, laajuus ja asiayhteys

Viikossa tapahtuu enemmän kuin ennen vuodessa Lainsäädäntöä on Suomessa nk. ilmassa erittäin runsaasti Digiloikka vs. vauhtisokeusvaara Tietoturva- ja tietosuojapoikkeamat mm. lunnashaittaohjelmat ja tunnusten kalasteluviestit ja niiden varoittamiseen/opettamiseen liittyvät asiat on otettava todella vakavasti!!! Erilaiset toimintaan/lainsäädäntöön liittyvät kokeilut ja pilotit (mm. potilaan valinnanvapaus) muuttavat nopeasti prosesseja Tietojärjestelmiä ja mobiilaitteita tulee ja menee poisoppiminen vanhasta vaikeampaa kuin puhtaalta pöydältä uuden opettelu Julkista toimintaa osakeyhtiöitetään Henkilöstön jaksamisesta huolehdittava (kuormaa aiheuttaa YT-menettelyt, maakunta/kuntauudistus, uudenlaiset palvelut ja järjestelmät ja niiden opettelu lyhyessä ajassa jne.)

Yleisiä taustahuomioita: Kansalaiset ovat valveutuneita Ihmiset tuntevat oikeutensa ja pyytävät tarkastusoikeuden pohjalta omien/ alaikäisten huollettavien tietojen tarkistamista ja sen jälkeen myös korjaamista/poistamista Kuolleiden henkilöiden elinaikaisia asiakirjoja pyydetään esim. testamenttiriitoihin liittyen Alaikäisten lasten tietoja pyydetään esim. huoltajuusriitoihin liittyen Käyttölokiselvityksiä pyydetään (=kuka tietojani katselee ja miksi?) Potilasasiamiehelle ja sosiaaliasiamiehille sekä tietosuojavastaavalle tulee erittäin runsaasti kysymyksiä Selvityspyyntöjä, kanteluita ja kysymyksiä esitetään suoraan esim. eduskunnan oikeusasiamiehelle, tietosuojavaltuutetulle, poliisille sekä Valviraan ja aluehallintovirastoon

Ajankohtaista EU:n yleinen tietosuoja-asetusta alettiin soveltaa 5/2018- rekisterinpitäjällä korkea vastuu osoitusvelvollisuus siihen, että toiminnassa noudatetaan lakeja rekisteröidyn oikeudet laajemmat kuin aikaisemmin SOTE-sektorilla useita lainsäädännön muutoshankkeita käynnissä tulee olemaan vaikutuksia mm. rekisterinpitoon ja henkilötietojen käsittelyyn sote-asiakastietojen toissijaiseen käyttöön liittyen tulee uusia linjauksia jos sote-uudistus toteutuu, niin rekisterinpitäjyys tullee muuttumaan merkittävästi maakuntatasoisesti Palveluita keskitetään yhä enemmän internettiin terveysteknologia lisääntyy palveluissa (myös itsehoidossa) etälääketiede mukana palveluissa tietoturvaan ja tietosuojaan liittyy uudentyyppisiä haasteita (ohjelmistorobotiikka, dataanalyysit, keinoäly) Internet of Things, Avoin data, My data, Big data kansalaisia pitää myös tarvittaessa osata neuvoa itseasioimis/web-palvelujen käytössä henkilöstö tarvitsee enemmän käyttötukea ja koulutusta

Uutta lainsäädäntö tullut tai tulossa paljon Tietosuojalaki (1050/2018) Tiedonhallintalaki Sote- ja maakuntalakipaketissa on noin 40 hallituksen esitystä Erilaisissa hankkeissa ei voi muistella vanhoja vaan pitää tarkastaa aina, onko tullut esim. erityislainsäädäntöön muutoksia (voivat vaikuttaa esim. henkilötietojen luovuttamiseen eli asia, joka ennen vaati suostumuksen ei välttämättä nyt vaadikaan jne.)

Erilaisia huijauksia on ollut nyt paljon Useimmat ovat lukeneet huijauksista uutisista tai netistä, mutta ikävämmässä tapauksessa huijausviestin uhriksi voi joutua itse On kuitenkin hyvä tietää, että pelkkä huijausviestin vastaanottaminen ei vielä aiheuta ongelmia. Ongelmia syntyy vasta, jos omaan tietokoneeseen tai puhelimeen pääsee haittaohjelma esimerkiksi epämääräistä linkkiä tai liitettä klikkaamalla tai jos luovuttaa pankkitietojaan tai muita tunnuksiaan huijareille Verkossa oleviin houkutteleviin tarjouksiin ja arvontoihin kannattaa suhtautua kriittisesti, jos ne kuulostavat liian hyviltä ollakseen totta. Kannattaa suhtautua varauksella kaikkiin viesteihin, jotka saapuvat yllättäen ja joissa pyydetään luovuttamaan tietoja, vaihtamaan salasanoja tai kirjautumaan palveluun

Ohjaavia tekijöitä Lainsäädäntö eli käytännössä Suomessa voimassa oleva erityislainsäädäntö, jolla ohjataan sote-palveluita Direktiivit ja standardit (esim. lääkintälaitedirektiivi, ISO/IEC 27001, ISO/IEC 27799 ISO 27789, ISO 22600, ISO 21298, HL7 EHR-FM, ISO 18308) Viranomaismääräykset/ohjeet kuten esim. Valtion tietoturvatasot (Vahti) THL:n määräykset sosiaali- ja terveydenhuollon tiedonhallinnan vaatimusten yhdenmukaistamiseksi (A ja B-luokan järjestelmät) Sosiaali- ja terveydenhuollon tietoturvan ja tietosuojan omavalvontasuunnitelma Eu:n yleisen tietosuoja-asetuksen soveltamisohjeet (guidelines) 8.2.2019 tietosuojavastaava Ari Andreasson

Varautuminen Tärkeiden/kriittisten tietojärjestelmien osalta on erittäin tärkeää selvittää mitä riskejä niihin liittyy sekä suunnitella ja harjoitella, miten varaudutaan erilaisiin ongelmatilanteisiin: Jatkuvuussuunnittelu Jatkuvuussuunnittelu on osa tietoturvallisuutta, toiminnan laadunvarmistusta ja organisaation riskienhallintaa Jatkuvuussuunnittelu ei ole kertaluontoinen projekti, vaan jatkuvaa kehittämistä (prosessi) Tarkoituksena taata toimintojen jatkuvuus normaalioloissa, normaaliolojen häiriötilanteissa, poikkeustilanteissa sekä erityistilanteiden ja poikkeusolojen aikana Toipumissuunnittelu Aikajänne on lyhempi kuin jatkuvuussuunnittelussa Jatkuvuussuunnitelman osa, joka sisältää ohjeet häiriötilanteesta toipumiseen, normaaliin toimintaan paluusta sekä toiminnan jatkamisesta Toipumissuunnitelma määrittelee prosesseille ja tietojärjestelmille varajärjestelmävaatimukset, vastuut ja toimet valmiuden luomiseksi sekä ohjeet toiminnasta normaaliolojen häiriötilanteissa

Havaintojani kansallisesti Toiminnoissa (eri organisaatioissa) on melkoisia kypsyystasoeroja ylipäätään tietoturva- ja tietosuoja-asioiden ymmärryksessä Osa toiminnoista on nyt tilanteessa, että siellä pystytään jo käsittelemään ja käsittämään rekisterinpitäjälle/organisaatiolle kohdistuvia riskejä ja niistä koituvia vaikutuksia Suurin osa ei vielä pysty pohtimaan juurikin rekisteröidylle (on se sitten työntekijä tai asiakas) koituvia riskejä ja niiden vaikutuksia (DPIA)

Ohjeiden laatiminen ja niiden sisällön kouluttaminen Pitää ensin selvittää, mitä ohjeita sekä minkälaista koulutusta henkilöstö kaipaa Esimiehet keskeisessä roolissa vaikuttamassa mm. uuden työntekijän perehdyttämisprosessin onnistumiseen Pitää muistaa hyvän esimerkin tärkeys! Kannattaa osallistaa koko organisaatio jo ohjeistuksen laatimisen aikana Koulutuksen pitää olla käytännönläheistä eli kouluttajan pitää pystyä tunnistamaan substanssin erityispiirteet Pitää muistuttaa aina, että oikeaoppiset käytännöt tuovat oikeusturvaa organisaatiolle, työntekijälle ja asiakkaalle Koulutetaan tietoturvan ja tietosuojan yhteyshenkilöitä yksiköihin, joilta saa neuvoja ja jotka voivat myös suodattaa keskeisimmät ongelmat ohjeiden tulkinnassa tai muutostarpeissa esim. tietosuojavastaavalle tai tietoturva- ja tietosuojaryhmälle ratkaistavaksi

Käytännön näkökulmia Henkilöstö tarvitsee pienissä erissä jatkuvasti koulutusta (mieluusti konkreettisia tapausesimerkkejä) Ohjeiden ymmärrettävyyteen ja jakelutapaan pitää panostaa Tampere ja seutukunnat jakelivat Henkilöstön tietoturva- ja tietosuojaoppaan suoraan työasemien työpöydille Sähköinen tietojärjestelmien ja tietojen käyttö- ja salassapitositoumus on myös hyvä miniperehdytys Tampere ja seutukunnat käyttävät Kyberoppi-verkkokurssia kouluttamiseen Tietosuojatyöhön tarvitaan resursseja jatkossa yhä enemmän johtuen mm. lainsäädännöstä ja hankkeiden suuruusluokista sekä palvelujen ulkoistamisesta

Tietosuojavinkit henkilöstölle 1) Lue huolellisesti läpi henkilötietojen käsittelyohjeet 2) Käsittele henkilötietoja vain kun työtehtävät sitä edellyttävät 3) Muista kunnioittaa asiakkaiden ja työkavereiden yksityisyyttä. - Näin ylläpidät luottamusta 4) Varo paljastamasta sivullisille luottamuksellisia tietoja työpaikan ulkopuolella esim. sosiaalisessa mediassa 5) Lukitse tietokone, kun se ei ole valvonnassasi (Windowslippupainike + L) 6) Hävitä tietosuojattava jäte asianmukaisesti 7) Älä hätäänny, jos jotain poikkeavaa tapahtuu vaan kerro esimiehelle/tietosuojavastaavalle mitä on tapahtunut

Tietosuojariskejä käytännössä Tietosuojattavan pienjätteen (paperit, usb-tikut, cd-levyt) käsittelyprosessin puutteet: Salassa pidettäviä tietoja sisältävää materiaalia voi päätyä kaatopaikalle tai muuten sivullisille (myös imagoriski). Manuaaliset henkilötiedot pitää säilyttää lukollisilla/valvotuissa tiloissa. Hävityksessä kannattaa käyttää lukollisia astioita ja käyttää jätteen hävityspalvelua siihen erikoistuneelta yritykseltä (esim. Tampereen kaupunki on kilpailuttanut prosessin) Tietojen luovutukset: Sähköisissä luovutuksissa pitää henkilötiedot suojata riittävästi (ei saa käyttää esim. suojaamatonta sähköpostia) Täytyy varmistaa, että luovutuksen saajalla on oikeus saada tiedot Käyttöoikeuksien hallinnan puutteet: Käyttöoikeuksia on voimassa, vaikka ei pitäisi tai ne ovat vääränlaiset eivätkä vastaa työtehtäviä Liian vähäinen koulutus henkilöstölle: Aikaansaa tyhjäkäyntiä asiakastietojen käsittelyssä Tietojärjestelmien ja laitteiden oikeaoppisen käytön puutteellinen osaaminen Voi vaarantaa salassapitovelvoitteen (esim. somessa kirjoittelu) Altistaa herkemmin esim. kalasteluviestihuijauksiin haksahtamiseen Huono ICT-sopimus/hankintaosaaminen: Vaikea jälkikäteen muuttaa voimassaolevia sopimuksia (tärkeä sopia henkilötietojen käsittelystä) Uusissa tietojärjestelmävaatimuksissa pitää kirjata turvavaatimukset erityisen tarkasti 8.2.2019 tietosuojavastaava Ari Andreasson

Lokitiedot Henkilötietojen käsittelystä tallentuu nk. lokitietoa Lokitietojen avulla pitää jälkikäteisesti valvoa tietojen käsittelyn luvallisuutta Sote-sektorilla on lakisääteistä pitää yllä käyttö- ja luovutuslokirekisteriä Asiakkaalla on lakisääteinen oikeus saada tieto (käyttö- ja luovutuslokirekisteristä) asiakastietojensa käsittelijöistä ja käsittelyn perusteista Lokit tuovat oikeusturvaa henkilöstölle, koska niistä voidaan myös todentaa se, ettei työntekijä ole käsitellyt luvatta tietoja, vaikka kansalainen niin väittäisi Henkilötietojen luvaton käyttö on rikos Suomessa on annettu rangaistuksena vankeustuomioita sakkojen ja vahingonkorvaussanktioiden lisäksi Muistakaa, että kaikkien pitää käyttää vain henkilökohtaisia käyttäjätunnuksia, käsitellä ainoastaan työtehtävien kannalta tarpeellisia tietoja, ja lukita ohjelmat tai tietokone, kun ne eivät ole omassa näköpiirissä/valvonnassa

yle.fi 8.2.2019 tietosuojavastaava Ari Andreasson

8.2.2019 tietosuojavastaava Ari Andreasson

iltalehti.fi

Käytännön esimerkkejä kuntayhteistyöstä Tampereen seudun tietoturva- ja tietosuoja yhteistyö seudun yhteinen tietoturvaryhmä, jossa jäsenet myös isoimmilta ICT-sopimuskumppaneilta seudun yhteinen tietoturvapolitiikka seudun yhteinen henkilöstön tietoturva- ja tietosuojaopas seudun yhteinen tietojen ja tietojärjestelmien käyttö- ja salassapitositoumus (sähköinen hyväksyntä) mukana myös Pirkanmaan sairaanhoitopiiri seudun yhteinen mobiilipolitiikka seudun yhteiset käyttövaltuusperiaatteet seudun yhteiset sähköisten viestintävälineiden käyttösäännöt

Hyviä linkkejä Hyvä linkki EU:n yleiseen tietosuoja-asetukseen: http://www.privacy-regulation.eu/fi/ Hyvä kirja: https://shop.almatalent.fi/uusi-tietosuojalainsaadanto Uusi tietosuojakirja tulossa (ilmestyy helmikuussa) https://kauppa.tietosanoma.fi/epages/tietosanoma.sf/fi_fi/?objectpath=/shops/tietosanoma/products/97895188545 10 Mielenkiintoinen taulukko https://iapp.org/media/pdf/resource_center/data_privacy_periodic_table.pdf Paula Himanka: Opinnäytetyö vaikutustenarvioinnista http://www.theseus.fi/bitstream/handle/10024/151902/himanka_paula.pdf?sequence=1&isallowed=y Sonja Vainio: Pro Gradu, Rekisterinpitäjän osoitusvelvollisuus EU:n yleisessä tietosuoja-asetuksessa https://helda.helsinki.fi/bitstream/handle/10138/232856/vainio%20sonja%20pro%20gradu%20rekisterinpit%c3%a4j %C3%A4n%20osoitusvelvollisuus%20EUn%20yleisess%C3%A4%20tietosuoja-asetuksessa.pdf?sequence=2 Vaatimusmäärittelyissä (ICT-hankinnat) hyvä vaatia pakollisena mm. OWASP10-listan mukaiset asiat huomioiduksi https://www.owasp.org/index.php/category:owasp_top_ten_project

Hyviä linkkejä lisää Julkisen hallinnon pilvipalvelulinjaukset http://julkaisut.valtioneuvosto.fi/handle/10024/161294 SUPO:n uusia esitteitä mm. matkustusturvallisuuteen: https://www.supo.fi/fi/ajankohtaista_supo/1/0/tutustu_uusiin_esitteisiimme_76194 Työelämän tietosuojakäsikirja (Tietosuojavaltuutetun toimisto) https://tietosuoja.fi/documents/6927448/8214540/ty%c3%b6el%c3%a4m%c3%a4n+tietosuojan+k%c 3%A4sikirja/236baba2-1f88-42a1-879cded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf Kyberhäiriöselvitys (Huoltovarmuuskeskus ja Tietoliikenteen ja tietotekniikan keskusliitto FiCom) https://www.ficom.fi/sites/default/files/pictures/kyberh%c3%a4iri%c3%b6selvitys_ficom_hvk_2018_ 0.pd Muistakaa myös VAHTI/JUHTA-tietosuojatyöpajojen tallenteet (erittäin hyvää materiaalia esim. koulutusmateriaalina käyttämiseen) https://vm.fi/juhta-vahti-yhteishankkeiden-materiaalit

Koulutustarjontaa on esim. Osaava tietosuojavastaava -täydennyskoulutusohjelma (15 op), Tampere; 1. Tietosuojavastaavan asema ja tehtävät (3 op), Tietosuojavastaavana julkisella sektorilla, Kehittämistehtävän (6 op) tuki, aloitus 3.-4.4.2019 2. Tiedonhallinnan lainsäädäntö tietosuojavastaaville (3 op), 6.-7.6.2019 3. Tietoturva ja riskienhallinta osana tietosuojavastaan työtä (3 op), Kehittämistehtävän purku, 14.-15.11.2019, lisätiedot ja ilmoittautuminen 18.3.2019 mennessä.

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute