tied osta 2018 TIETOTILINPÄÄTÖS 2018 UEF // University of Eastern Finland // Itä-Suomen yliopisto ITÄ-SUOMEN YLIOPISTO 1
SISÄLTÖ 1 JOHDANTO... 3 2 TIETOTILINPÄÄTÖKSEN TARKOITUS... 3 3 TIETOSUOJAN JA TIETOTURVALLI SUU DEN TOTEUTTAMINEN YLIOPISTOSSA... 4 4 TIEDONHALLINTA, TIETOVARANNOT JA TIETOVIRRAT... 5 5 TIETOJENKÄSITTELYYN VAIKUTTAVA LAINSÄÄDÄNTÖ JA MUU OHJEISTUS... 6 6 REKISTERÖIDYN OIKEUDET JA NIIDEN TOTEUTTAMINEN... 7 7 SEURANTA JA MITTAAMINEN... 8 8 ARVIOINTI JA KEHITTÄMINEN... 9 LINKIT MATERIAALEIHIN... 9 Itä-Suomen yliopiston (UEF) tietotilinpäätös 2018 Helena Eronen, Olavi Manninen, 26.3.2019. 2 ITÄ-SUOMEN YLIOPISTO
1 JOHDANTO Itä-Suomen yliopisto (UEF) yksi Suomen suurimmista tiedeyliopistoista. Yliopiston tutkimus on kansainvälisesti korkeatasoista ja vaikuttavaa. Tavoitteenamme on sijoittua maailman 200 parhaan tutkimusyliopiston joukkoon ja vahvoilla tutkimusaloilla 50 parhaan joukkoon. Yliopistossa on neljä tiedekuntaa ja se tarjoaa opetusta yli 100 pääaineessa. Kampuksemme sijaitsevat Joensuussa ja Kuopiossa. Opiskelijoita on noin 15 500, ja työllistämme 2 500 henkeä. Itä-Suomen yliopistossa opiskelijat, laadukkaat oppimisprosessit ja opiskeluhyvinvointi ovat etusijalla. Tavoitteenamme on Suomen paras yliopistollinen oppimisympäristö vuoteen 2020 mennessä. Yliopistomme tunnetaan aloitteellisena yhteistyökumppanina ja vaikuttavana yhteiskunnallisena keskustelijana. Yhteistyö tutkimuslaitosten ja elinkeinoelämän kanssa on tiivistä. Olemme tunnistaneet neljä globaalia haastetta, joihin haemme ratkaisuja tieteidenvälisen tutkimuksen ja koulutuksen avulla. Kuvan lähde: UEF STRATEGIA 2015-2020 2 TIETOTILINPÄÄTÖKSEN TARKOITUS Tämä on Itä-Suomen yliopiston (UEF) ensimmäinen tietotilinpäätös. Tietotilinpäätös kuvaa tietojen käsittelyn nykytilaa sekä arvioi tietosuojan ja tietoturvan toteutumista. Lisäksi se sisältää tietosuojaan ja tietoturvaan liittyviä kehittämistarpeita ja -toimenpiteitä. Tietotilinpäätös on tarkoitettu UEFin sisäiseen käyttöön joh tamisen raportiksi sekä sidosryhmille tietojen käsittelyn kuvaukseksi. Se toimii myös suunnittelun ja toiminnan ohjauksen sekä raportoinnin ja johtamisen tukena. Tietotilinpäätös on myös keskeinen dokumentti EU:n yleisen tietosuoja-asetuksen mukaista osoitusvelvollisuutta. Osoitusvelvollisuus tarkoittaa lakien, hyvän tietojenkäsittelytavan ja hyvän tiedonhallintatavan noudattamista. Tietosuojaa ja tietoturvaa on kehitetty UEFissa tiiviissä yhteistyössä eri yksiköiden kanssa. Vuonna 2018 toteutettiin yleishallinto- ja lakipalveluiden ja tietotekniikkapalveluiden yhteinen EU:n tietosuoja-asetukseen liittyvä laaja kehittämisprojekti. Projektissa toteutettiin mm. henkilötietoaineistojen kartoitukset, tietosuoja- ja tietoturvasäännöstön päivittäminen, henkilötietojen käsittelyn kuvaukset ja informointi sekä useita tietosuojakoulutuksia henkilöstölle. UEF palkittiin hyvin tehdystä tietosuojatyöstä ja aktiivisesta osallistumisesta Julkisen hallinnon tietohallinnon neuvottelukunnan (Juhta) ja Julkisen hallinnon digitaalisen turvallisuuden johtoryhmän (VAHTI) järjestämiin tietosuojan yhteishankkeisiin. UEF kunnioittaa tietosuoja-asetuksessa määriteltyjä tietosuojaperiaatteita. Henkilötietojen käsittelyssä noudatetaan seuraavia vaatimuksia: lainmukaisuus, kohtuullisuus ja läpinäkyvyys käyttötarkoitussidonnaisuus tietojen minimointi täsmällisyys säilytyksen rajoittaminen eheys ja luottamuksellisuus rekisterinpitäjän osoitusvelvollisuus Tässä dokumentissa kuvataan, miten em. periaatteet toteutuvat UEFin toiminnassa. UEFin tietotilinpäätös on kokonaisuudessaan julkinen raportti. ITÄ-SUOMEN YLIOPISTO 3
3 TIETOSUOJAN JA TIETOTURVALLI SUU DEN TOTEUTTAMINEN YLIOPISTOSSA Tässä luvussa kuvataan, miten eheys ja luottamuksellisuus tietosuojaperiaatteina toteutuvat UEFin toiminnassa. Tietosuojan ja tietoturvan organisointi, koulutus ja ohjeistus Yliopistolla on tietosuojapolitiikka ja tietoturvapolitiikka. Tietosuojasta ja tietoturvallisuudesta UEFissa vastaavat rehtori ja hallintojohtaja. Yleiset tietoturvavastuut ja tiettyihin tehtäviin liittyvät tietoturvavastuut on kuvattu yliopiston tietoturvapolitiikkaan liittyvässä tietoturvavastuut -dokumentissa. UEFissa on tietoturvapäällikkö ja tietosuojavastaava, joiden tehtävät ja vastuunjako on määritelty. Yliopiston tietosuoja- ja tietoturvaryhmän tehtävinä ovat mm. tietosuojan ja tietoturvan kehittämishankkeiden valmistelu, tietosuoja- ja it-riskien hallinta, tietotilinpäätöksen valmistelu, tietosuoja- ja tietoturvaohjeiden laatiminen, kehittäminen ja jalkauttaminen sekä henkilöstölle kohdennetut tietosuoja- ja tietoturvakoulutukset. Tietosuoja- ja tietoturva-asioista raportoidaan UEFin ylimmälle johdolle ja hallitukselle. Yliopiston sisällä on toimiva asiantuntijaverkosto tietosuojan, tietoturvan, asiakirjahallinnon, kirjaston ja lakipalvelujen kesken. Henkilöstölle on järjestetty tietosuojasta ja tietoturvasta yleiskoulutuksia sekä tiedekunta- ja yksikkökohtaisia koulutuksia. UEF on hankkinut tietosuojan ja tietoturvan verkkokoulutuksen, jonka käyttöönotto koko henkilöstölle on suunniteltu vuodelle 2019. Tietosuoja- ja tietoturvapolitiikkoja täydentävät tietoturvasäännöt, henkilöstön ja opiskelijoiden tietoturvaohjeet, tietosuojan mallilomakkeet, tietosuoja- ja tietoturvaohjeet, koulutusaineistot sekä henkilöstölle tehty tietosuojaesite. Henkilökunta sitoutuu salassapitoon työsopimuksessaan. Henkilötietojen tekniset ja organisatoriset suojauskeinot Henkilötietojen käsittelyssä käytettävien tietojärjestelmien hallinnassa noudatetaan Itä-Suomen yliopiston tietoturvasäännöstöä ja -ohjeita. Teknisesti tietojärjestelmät ja niiden käyttöliittymät ovat suojattu mm. palomuurilla ja järjestelmien tiedot varmuuskopioidaan säännöllisesti. Tietotekniikkapalvelut vastaa keskitetystä käyttöoikeuksien hallinnasta. Tietojärjestelmien käyttöoikeudet on käyttöoikeusryhmien avulla rajattu siten, että kullakin käyttäjällä on pääsy vain työtehtävissään tarvitsemiinsa tietoihin. Käytönvalvontaa toteutetaan eri tietojärjestelmissä olevilla lokeilla. Apteekin osalta lokit on toteutettu Kantapalveluissa. UEF on hankkinut 2018 lokienhallintajärjestelmän, joka mahdollistaa lokien kokoamisen keskitettyyn järjestelmään, parantaa lokitietojen suojaamista, mahdollistaa erilaiset säilytysajat eri lokitiedoille ja tarjoaa ajantasaisen näkymän tietoturvan tilanteeseen. Kannettavilla tietokoneilla olevat tiedot suojataan kovalevyn salauksella. Kovalevyn salausta suositellaan käytettävän myös pöytäkoneissa aina, jos siinä käsitellään korkean suojaustason aineistoa. Myös siirrettävien muistilaitteiden (muistitikut, kovalevyt) salaamisesta on ohje. UEF Tietotekniikkapalvelut vastaa työasemien, mobiililaitteiden, palvelimien, verkkolaitteiden ja muiden järjestelmien hankinnasta, käyttöönotosta ja ylläpidosta. Työasemien asennuspalvelu on ulkoistettu. Sovellushankinnat hoidetaan yhteistyössä sovellusta käyttävän yksikön, hankintapalveluiden ja tietotekniikkapalveluiden kesken. Järjestelmien etäkäyttö tapahtuu salattujen yhteyksien kautta. Osaa henkilötietojärjestelmistä voi etäkäyttää vain UEFin hallinnoimalla työasemalla VPN-yhteyden kautta. Pseudonymisointi, anonymisointi, riskienhallinta ja tietoturvapoikkeamien käsittely Pseudonymisointi (henkilötietojen käsittely siten, että niitä ei voida enää yhdistää tiettyyn henkilöön ilman erillään säilytettäviä lisätietoja) on osa tutkimusaineistojen käsittelyprosessia. Henkilötiedot pseudonymisoidaan aina, kun tutkittavan suora tunnistaminen ei ole välttämätöntä. Osa tutkimusaineistoista anonymisoidaan (henkilötiedot poistetaan siten, että tunnistaminen ja uusien tietojen yhdistäminen on mahdotonta) tutkimuksen päättymisen jälkeen. Vuosittain käydään läpi IT-riskienarviointi, joihin kuuluvat myös tietosuoja- ja tietoturvariskit. Vaikutustenarviointi tehdään aina otettaessa käyttöön uutta teknologiaa, käsiteltäessä laajamittaisesti erityisiä henkilötietoryhmiä (EU:n yleinen tietosuoja-asetus, artiklat 9 ja 10) koskevia henkilötietoja sekä muissa valvontaviranomaisen ohjeistamissa tilanteissa. Tietoturvapoikkeamiin varautumisesta on Tietoturvapoikkeamiin reagointi -ohje. Kaikki tietoturvapoikkeamat kirjataan järjestelmään. Merkittävin tietoturvapoikkeama oli Itä-Suomen yliopistoon kohdistettu poikkeuksellisen aktiivinen kalastelu heinä-elokuussa 2018. Kalasteluaalto saatiin pysäytettyä aktiivisella viestinnällä ja teknisillä toimenpiteillä. Kalastelu aallon aikana saatiin yli tuhat ilmoitusta kalasteluviesteistä, josta voi päätellä, että henkilökunnalla ja opiskelijoilla on hyvin tiedossa mihin ilmoittaa tietoturvapoikkeamista. Kalastelun lisäksi muita tietoturvapoikkeamia olivat mm. haittaohjelma tartunnat (27) ja eri palveluissa havaitut haavoittuvuudet. 4 ITÄ-SUOMEN YLIOPISTO
4 TIEDONHALLINTA, TIETOVARANNOT JA TIETOVIRRAT Tässä luvussa kuvataan, miten tietojen minimointi, käyttötarkoitussidonnaisuus ja säilytyksen rajoittaminen tietosuojaperiaatteina toteutuvat UEFin toiminnassa. Tietojärjestelmät, tutkimusaineistot ja arkistoissa olevat henkilötietovarannot on kartoitettu pääosin vuoden 2017 aikana ja tietoja on päivitetty vuoden 2018 aikana. Kokonaisarkkitehtuurityön osalta on jatkettu IT-roadmapien tekoa ja päivittämistä. Roadmapit tukevat strategista ja pitkäntähtäimen suunnittelua ja niiden avulla kuvataan järjestelmäkokonaisuutta ja kyetään ennakoimaan tulevia muutoksia. Arkistonmuodostussuunnitelmassa on määritelty mm. yliopiston tehtävistä syntyvät asiakirjat, tietoaineistojen julkisuu s- asteet, säilytysajat ja vastuuhenkilöt. Arkistonmuodostussuunnitelma on ohjannut yliopiston asiakirjallisen tiedon käsittelyä ja sitä on päivitetty säännöllisesti, viimeisimmäksi vuonna 2018. Syksyllä 2018 on aloitettu tiedonohjaussuunnitelman laatiminen pääosin arkistonmuodostussuunnitelman pohjalta. Suunnitelmaa on tehty yhteistyössä yksiköiden vastuuhenkilöiden kanssa ja samalla on tarkistettu ja päivitetty ohjeistuksia. Mistä henkilötiedot saadaan ja mihin niitä siirretään? Henkilöstön, opiskelijoiden ja eri sidosryhmiin kuuluvien henkilötiedot saadaan pääsääntöisesti rekisteröidyiltä itseltään tai eri viranomaisilta. Tutkimushankkeissa käsiteltävät henkilötiedot määritellään jokaisessa tutkimuksessa erikseen ja tiedot saadaan joko suoraan tutkittavilta, eri viranomaisilta tai muista lähteistä. Lähtökohtaisesti yliopisto ei siirrä henkilötietoja EU:n tai ETA:n ulkopuolelle lukuun ottamatta tiettyjä palveluiden toteuttamisen kannalta tarpeellisia henkilötietoja (mm. käyttäjätunnus, sähköpostiosoite ja nimi). Suhdetoiminnan ja viestinnän osalta henkilöstön tiedot ovat nähtävillä yliopiston julkisilla verkkosivuilla, joita voi katsoa myös EU-alueen ulkopuolelta. Henkilötietoja voidaan siirtää yliopiston sisäisiin palveluihin, esim. työsuhteen hoitamiseksi käsiteltäviä henkilötietoja ja opiskelijoiden henkilötietoja voidaan siirtää yliopiston eri järjestelmien välillä. Sekä henkilökunnan että opiskelijoiden henkilötietoja luovutetaan toisille rekisterinpitäjille ainoastaan asianomaisen suostumuksella tai lainsäädännön perusteella. Henkilötietojen siirrot on kuvattu yliopiston tietosuojaselosteissa. ITÄ-SUOMEN YLIOPISTO 5
Tietosuojaan liittyvät sopimusmallit UEF on tunnistanut tilanteet, joissa se on rekisterinpitäjä tai henkilötietojen käsittelijä. UEF tekee tietosuojasopimukset henkilötietojen käsittelijöiden kanssa. UEF on laatinut seuraavat tietosuojan sopimusmallit, joilla varmistetaan tietosuojan toteutuminen käytettäessä henkilötietojen käsittelijöitä UEFin ollessa rekisterinpitäjä: 1. UEF Tietosuojasopimus. Käytetään silloin, kun järjestelmätoimittaja toimii henkilötietojen käsittelijänä. 2. UEF Tietosuojasopimus tutkimushankkeisiin, joissa pohjalla on hankesopimus. Käytetään silloin, kun tutkimushankkeissa on mukana henkilötietojen käsittelijöitä. 3. UEF Tietosuojasopimus tutkimushankkeisiin, joissa pohjalla ei ole hankesopimusta. Käytetään esim. silloin, kun tutkijan tai tutkimusryhmän tutkimustyössä on mukana henkilötietojen käsittelijöitä. Tiedon laatu ja käytettävyys toteutuvat UEFin toiminnassa mm. siten, että käsitellään vain käyttötarkoituksen mukaisia ajan tasaisia henkilötietoja, käyttöoikeudet on määritelty käyttäjäroolien mukaisesti, tietosuoja ja tietoturva huomioidaan henkilötietojen käsittelyssä ja sitä valvotaan teknisin menetelmin, tietojen elinkaari on hallinnassa ja säilytysajat sekä hävittäminen on määritelty arkistonmuodostussuunnitelmassa. 5 TIETOJENKÄSITTELYYN VAIKUTTAVA LAINSÄÄDÄNTÖ JA MUU OHJEISTUS Tässä luvussa kuvataan, miten lainmukaisuus, kohtuullisuus ja läpinäkyvyys tietosuojaperiaatteina toteutuvat UEFin toiminnassa. Henkilötietojen käsittelyyn UEFissa vaikuttava keskeinen lainsäädäntö: > Yliopistolaki (558/2009) muutoksineen ja lisäyksineen > Valtioneuvoston asetus yliopistoista (770/2009) > Hallintol aki (434/2003) > EU:n yleinen tietosuoja-asetus (EU 2016/679) > Henkilötietolaki (523/1999, kumottu 1.1.2019 alkaen) > Laki yksityisyyden suojasta työelämässä (759/2004) > Laki sähköisen viestinnän palveluista (68/2018) > Laki viranomaisen toiminnan julkisuudesta (621/1999) > Arkistolaki (831/1994) > Hankintalaki (1397/2016) > Kirjanpitolaki (1336/1997) > Valtioneuvoston asetus yliopistojen tutkinnoista (794/2004) muutoksineen ja lisäyksineen > Työsopimuslaki (55/2001) > Työturvallisuuslaki (738/2002) > Yhdenvertaisuuslaki (1325/2014) > Laki naisten ja miesten välisestä tasa-arvosta (609/1986) > Laki yhteistoiminnasta yrityksissä (334/2007) UEFissa on ollut henkilötietolain mukaiset rekisteriselosteet kaikista eri käyttötarkoituksen omaavista henkilörekistereistä. Tietosuoja-asetus ei edellytä rekisterikohtaisia selosteita, vaan selosteet rekisterinpitäjän käsittelytoimista sekä läpinäkyvää informointia henkilötietojen käsittelystä. UEFissa on laadittu sisäiseen käyttöön tietosuoja-asetuksen artiklan 30 mukainen seloste käsittelytoimista ja sen lisäksi kuvaukset henkilötietojen käsittelystä on julkaistu yliopiston kotisivuilla (Henkilötietojen käsittely UEFissa). Tutkimusaineistojen osalta jokaisessa tutkimushankkeessa tehdään erilliset kuvaukset henkilötietojen käsittelystä. Tietoaineistojen käsittelyä ohjaavat mm. seuraavat dokumentit: Tietosuojapolitiikka Tietoturvapolitiikka Tietoturvasäännöt ja -ohjeet Tietosuojaselosteiden mallipohjat Tutkimustiedotteen mallipohja Tutkimukseen osallistumisen ja henkilötietojen käsittelyn suostumusmallipohjat Vaikutustenarvioinnin ohjeet ja mallipohjat Tietopyyntöohjeet ja lomakkeet (opiskelijat, henkilökunta) Henkilökunnalle jaettu tiedote 25.5.2018 6 ITÄ-SUOMEN YLIOPISTO
Seuraavassa kuvassa on ohjeistettu henkilötietojen käsittelyä tutkimustoiminnassa. Tarkemmat ohjeet avautuvat linkeistä. HENKILÖTIETOJEN KÄSITTELY UEF// TUTKIMUKSESSA TIETEELLINEN TUTKIMUS KÄSITELLÄÄNKÖ HENKILÖTIETOJA? EI > Ei toimenpiteitä tieto suojan osalta. Huomioi tutkimuksesta informointi. Huomio tietoturva aineiston käsittelyssä. Huolehdi tutkimusaineiston arkistoinnista tai hävittämisestä tutkimuksen päätyttyä. LINKKEJÄ OHJEISIIN: KYLLÄ > UEF// HEIMO > tietosuoja uef.fi/tutkimus/ohjeet-ja-lomakkeet tietosuoja.fi/mika-on-henkilotieto tietosuoja.fi/erityisten-henkilotietoryhmien-kasittely tietosuoja.fi/vaikutustenarviointi KÄSITELLÄÄNKÖ ERITYISIÄ HENKILÖ TIETORYHMIÄ? EI > Tee tarvittaessa vaikutustenarviointi. Laadi tietosuojaseloste. Informoi tutkittavia. Pyydä tutkimusetiikan mukai nen suos tumus tutkimukseen osallistumiseen tai henkilötie tojen käsittelyyn, jos käytät käsittely perusteena suostumusta. Huomioi tietoturva aineiston käsittelyssä. Huolehdi tutkimusaineiston arkistoinnista tai hävittämisestä tutkimuksen päätyttyä. KYLLÄ > Tee vaikutustenarviointi. Toimita se tarvittaessa tietosuojavaltuutetun toimistoon. Nimitä tietosuojavastaava, jos käsittely on laajamittaista. Laadi tietosuojaseloste. Informoi tutkittavia. Pyydä tutkimusetiikan mukainen suostumus tutkimukseen osallistumiseen tai henkilötietojen käsittelyyn, jos käytät käsittely perusteena suostumusta. Huomioi tietoturva aineis ton käsittelyssä. Huolehdi tutkimusaineiston arkistoinnista tai hävittämisestä tutkimuksen päätyttyä. 6 REKISTERÖIDYN OIKEUDET JA NIIDEN TOTEUTTAMINEN Tässä luvussa kuvataan, miten rekisteröityjen oikeudet toteutuvat UEFin toiminnassa (kohtuullisuus ja läpinäkyvyys tietosuojaperiaatteina). tiiviisti ja helposti ymmärrettävässä muodossa. Kuvaukset sisältävät tiedot rekisteröidyn oikeuksista ja siitä, miten oikeuksia voi käyttää. Rekisteröityjä informoidaan henkilötietojen käsittelystä UEFin kotisivuilla (Henkilötietojen käsittely UEFissa) olevilla tietosuojaselosteilla, joiden ajantasaisuutta seurataan koko ajan. Kuvaukset on koottu tehtäväkokonaisuuksittain sekä pyritty esittämään Rekisteröity voi käyttää oikeuksiaan toimittamalla pyynnön yliopiston asiointipalvelun kautta (henkilökunta, opiskelijat), yliopiston verkkosivuilta saatavalla lomakkeella tai olemalla yhteydessä yliopiston tietosuojavastaavaan. ITÄ-SUOMEN YLIOPISTO 7
7 SEURANTA JA MITTAAMINEN Tietosuojan ja tietoturvan tilaa UEFissa vuonna 2018 voidaan kuvata seuraavin tunnusluvuin. AIHE Henkilötietojen tarkastus-, oikaisu- ja poistopyynnöt Tarkastuspyynnöt Oikaisupyynnöt Poistopyynnöt MÄÄRÄ 2 3 (nimenmuutoksia) 0 Kieltäytymiset automaattisesta päätöksenteosta 2 Valvontaviranomaisten selvitys- ja tietopyynnöt 0 Tarpeelliset ilmoitukset valvontaviranomaiselle Tietoturvaloukkausilmoitukset 3 Käyttö- ja luovutuslokipyynnöt 0 Vakavat tietoturvapoikkeamat 0 Esille tulleet tietosuojarikkomukset ja niiden epäilyt 0 Tietojärjestelmien käyttökatkot ja niiden laajuudet ei ole tilastoitu Tietojärjestelmien määrä 224 Auditoinnit 2 Koulutusmäärät Yleiskoulutukset tietosuojasta henkilökunnalle Tietosuoja tutkimuksessa -yleiskoulutukset Yksikkökohtaiset tietosuojakoulutukset 2 2 16 UEFin vuotta 2018 koskevan tilintarkastuksen yhteydessä on tehty tietosuoja-asioiden tarkastus. Tarkastuksessa ei todettu olennaista huomautettavaa, mutta suositeltiin muutamia kehittämistoimenpiteitä. Lisäksi yliopiston yksiköiden tietosuoja-auditoinnissa ja -konsultoinnissa on käytetty vuoden 2018 aikana ulkopuolista arvioijaa. # TAISTO18 UEF osallistui Väestörekisterikeskuksen koordinoimaan TAISTO18-harjoitukseen, jonka tarkoituksena oli harjoitella toimintaa tilanteessa, jossa organisaation tietojärjestel mään on murtauduttu ja henkilötietoja on vuodettu luvatta verkkoon. Harjoitustilanteessa yliopiston sisäinen yhteistyö oli sujuvaa ja harjoituksen myötä vastuut ja roolit selkeytyivät entisestään. Erityisesti harjoituksen ajaksi koottu tilannehuone koettiin hyväksi tilanteen koordinoinnin kannalta. Sidosryhmäyhteistyön osalta UEF on mukana seuraavissa tietosuoja- ja tietoturvaryhmissä: Tietosuojavaltuutetun toimisto - Terveydenhuollon tieto suojan ohjausryhmä (TELLU), Helena Eronen, sihteeri - Opetustoimen tietosuojan ohjausryhmä (OTTO), Helena Eronen, jäsen - Tutkimuksen tietosuojan ohjausryhmä (TUTTI), Helena Eronen, sihteeri ja Reijo Sund, jäsen VAHTI -asiantuntijajaosto - Seuranta ja arviointi (SETI), Olavi Manninen, jäsen - Toiminnan jatkuvuus (TOJA), Olavi Manninen, jäsen Korkeakoulujen tietosuojavastaavien työvaliokunta, Helena Eronen, jäsen Korkeakoulujen SEC -työvaliokunta, Olavi Manninen, jäsen Tutkimuksen tietosuojan käytännesääntötyö Helena Eronen, sihteeri 8 ITÄ-SUOMEN YLIOPISTO
8 ARVIOINTI JA KEHITTÄMINEN Tilintarkastuksen yhteydessä tehdyn tietosuojatarkastuksen perusteella tietosuojan ja tietoturvan tila on UEFissa hyvä, eikä tarkastuksessa todettu olennaista huomautettavaa. Tarkastusraportin mukaan UEFissa on panostettu kiitettävästi tietosuoja- ja tietoturvatyöhön. Yliopistossa on ohjeistettu eri vastuutehtävien hoitaminen sekä annettu ohjeita henkilöstölle ja opiskelijoille ja siten parannettu valmiuksia vastata ja hoitaa rekisterinpitäjän velvoitteita ja tehtäviä. Tietosuoja- ja tietoturvapoikkeaminen hallintaan ja käsittelyyn on olemassa toimivat ja testatut prosessit. UEFissa on toteutettu GDPR-projekti vuonna 2018. Projekti on edetessään merkittävästi parantanut tietosuojaan ja tietoturvaan liittyvien riskien hallintaa. Tietosuojaa ja tietoturvaa on kehitetty ja arvioitu samanaikaisesti. Projekti on myös tuonut esille tiettyjä osa-alueita, joissa on vielä parannettavaa tai kehitettävää. Osa jatkotyöstä on tehtävien luoteen mukaisestikin jatkuvaa kehittämistä ja tietojen päivittämistä. Tarkastuksessa todettiin seuraavat jatkokehittämistarpeet: Henkilötietojen sekä tietoturva- ja tietosuojapoikkeamien käsittelyohjeiden tarkentaminen ja niiden osalta prosessikuvausten tekeminen. Tietoaineistojen suojausohjeen päivittäminen. Esimiesten valvontavelvollisuuden tarkentaminen. Tietojärjestelmäsopimusten päivittäminen niiden järjestelmien osalta, joissa sopimukset eivät kaikilta osin vielä täytä tietosuoja-asetuksen vaatimuksia. Tietoturva- ja tietosuoja-asioiden riskien- ja vaikuttavuusarvioinnin kehittäminen. Tietosuoja- ja tietoturvakoulutuksien ja -testien toteuttaminen henkilöstölle ja opiskelijoille tehdyn suunnitelman mukaisesti. Palvelinrekisterin toteuttaminen. Teknisten järjestelmäprojektien toteuttaminen suunnitelmien mukaisesti. Tietoturva- ja tietosuoja-asioiden korostaminen pakollisena vaatimuksena järjestelmähankinnoissa. LINKIT MATERIAALEIHIN > Tietosuojapolitiikka > Tietoturvapolitiikka > Tietoturvavastuut > IT-palveluiden käyttösäännöt > Sähköpostisäännöt > IT-palvelujen ylläpitosäännöt > Lokisääntö (*UEF Heimo) > Tietoturvapoikkeamiin reagointiohje (*UEF Heimo) > Tietoaineistojen suojaus- ja käsittelyohjeet (*UEF Heimo) > Tietosuojaseloste, mallipohja > Tieteellisen tutkimuksen tietosuojaseloste, mallipohja > Tutkimustiedotteen mallipohja > Suostumus tutkimukseen osallistumiseen, mallipohja > Suostumus tutkimukseen osallistumiseen ja henkilötietojen käsittelyyn, mallipohja (*UEF Heimo) > Tietosuojan vaikutustenarviointi tutkimuksessa, mallipohja > Tietopyyntöohjeet ja lomakkeet (opiskelijat, henkilökunta) > Henkilökunnalle jaettu tiedote 25.5.2018 (*UEF Heimo) > Esimerkkejä pidetyistä tietosuojakoulutuksista - Yleiskoulutus koko henkilökunnalle - Tietosuoja tutkimuksessa -koulutus tutkijoille ja opetushenkilökunnalle - Tietosuoja ja tiedonsaanti tieteellisessä tutkimuksessa - Tietojen säilyttäminen ja suojaaminen tutkimuksen aikana - Henkilötietojen käsittely tieteellisessä tutkimuksessa > Ohje muistitikkujen salaamisesta (*UEF asiointipalvelu) > UEF GDPR -projektin loppuraportti * UEFin sisäisiä ohjeita. ITÄ-SUOMEN YLIOPISTO 9
PIDÄ HUOLTA TIEDOSTA. Itä-Suomen yliopisto Joensuu Yliopistokatu 2 PL 111, 80101 Joensuu Kuopio Yliopistonranta 1 PL 1627, 70211 Kuopio ME uef.fi OLEMME UEF 10 ITÄ-SUOMEN YLIOPISTO