DLP ratkaisut vs. työelämän tietosuoja

Samankaltaiset tiedostot
Tietosuojan etukäteinen vaikutustenarviointi (DPIA)

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

Henkilöstön ohjeistaminen JUDO-työpaja Juho Nurmi, tietosuojavastaava, Espoon kaupunki

EU:n tietosuoja-asetus ja sähköposti

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

EU:n yleinen tietosuoja-asetus (GDPR) ja sen toimeenpano Tampereen kaupungilla

Vaikutustenarviointi GDPR:n mukaan

Eläketurvakeskuksen tietosuojapolitiikka

KMTK UUDET KUVAMITTAUSTEKNOLOGIAT - PROJEKTIN HANKINNAT JA TIETOSUOJA

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

3.1. DialOk käsittelee Käsiteltäviä tietoja sopimuksen ja Asiakkaalta saatujen kirjallisten ohjeiden mukaisesti.

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

Tietosuoja fi-välitystoiminnassa. Välittäjäinfo

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

Liana Technologiesin palveluita koskevat henkilötietojen käsittelyn yleiset ehdot

- pienten ja keskisuurten yritysten ja järjestöjen valmennushanke

Tietosuojavaltuutetun toimiston tietoisku

Tietosuojaseloste Espoon kaupunki

Varustekorttirekisteri - Tietosuojaseloste

Kameravalvontarekisteri, Veho Oy Ab 1 (5) TIETOSUOJASELOSTE 1 YKSITYISYYTESI SUOJAAMINEN

Tietosuojalainsäännön katsaus Virpi Korhonen, lainsäädäntöneuvos

Jäsenrekisteri tietosuoja-asetus ja henkilötietolaki

Työelämän tietosuojalaki Johanna Ylitepsa

OUKA/10235/ / Henkilörekisterin nimi Arava- ja korkotukilainoitettujen vuokra-asuntojen asukasvalinnan ja valvonnan rekisteri

Ajankohtaista työelämän tietosuojasta Johanna Ylitepsa

EU:n tietosuoja-asetus

Tietosuojaasiat. yhdistysten näkökulmasta

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

Improbaturin vastaanottajarekisterin TIETOSUOJASELOSTE

OUKA/10235/ /2017

T I E TO S U O JA JA T I E TOT U RVA L L I S U U S O M N I A S S A Riina Kirilova, tietosuoja- ja tietoturvapäällikkö

Salon kaupunki , 1820/ /2018

Tietosuojavastaavan nimittäminen, asema ja tehtävät

REKISTERINPITÄJÄ JA YHTEYSHENKILÖ REKISTERIÄ KOSKEVISSA ASIOISSA Rekisterinpitäjä: Tmi ML-hahmoterapia Yhteyshenkilö: Mikko Lounela Puh:

Teknologia avusteiset palvelutverkostopalaveri

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

TIETOSUOJASELOSTE Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (2016/679)

Varmaa ja vaivatonta

alueen turvallisuuden lisääminen; sekä

EU:N TIETOSUOJA-ASETUKSET WALMU

EU:n yleinen tietosuoja-asetus mikä muuttuu. Niina Harjunheimo

Organisaation turvallisuusvelvoitteet - Mitä lainsäädäntö ja sopimukset edellyttävät?

Henkilötietojesi käsittelyn tarkoituksena on:

SUOMEN AKATEMIAN TIETOSUOJAPOLITIIKKA

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Vaasan yliopiston kansainvälisen opiskelijaliikkuvuuden hallintajärjestelmä MoveOn

Tietosuojaa neuvojille Maaseutuviraston tietosuojavastaava

Tietosuojaseloste Espoon kaupunki

REKISTERINPIDON JA KÄYTÖNVALVONNAN HAASTEET

Tampereen Aikidoseura Nozomi ry

EU TIETOSUOJA- ASETUS

Keräämämme tiedot voidaan jakaa asiakkaiden, huoltajan antamiin, viranomaisten antamiin ja eri järjestelmien keräämään tietoon.

Tietosuojaseloste Espoon kaupunki

Tietosuojakysely 2019

Tietosuojakysely 2018

Tietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida?

Salon kaupunki , 1820/ /2018

Helsingin kaupunki Pöytäkirja 31/ (6) Kaupunginhallitus Asia/ Kaupunginhallitus päätti panna asian pöydälle.

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

Henkilötietojen käsittelyn oikeusperuste on rekisterinpitäjän oikeutettu etu tai sopimuksen valmistelu tai sopimuksen täytäntöönpano.

TIETOSUOJASELOSTE EU:n tietosuoja-asetuksen (679/2016) 13 ja 14 artiklan edellyttämä rekisteröidyn informointi

Salon kaupunki / /2018

SATASERVICEN TIETOSUOJAKÄYTÄNTÖ

Muut tietojärjestelmät, jotka on otettava huomioon arkaluonteisten asiakas- ja potilastietojen suojaamisen kannalta

EU:n tietosuoja-asetus (GDPR)

Taloyhtiön tietosuojakäytännöt

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

Tietosuojaseloste 1 (6)

Tietosuojavastaavan nimeämistä ja muita tietosuoja- ja tietoturva-asioita koskeva kysely sosiaalihuollon palvelujen antajille 2011

Salon kaupunki / /2018

Tietosuojaseloste Espoon kaupunki

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

Tietosuoja-asetus Tietoarkiston näkökulmasta. Aila ja aineistojen jatkokäyttö -seminaari Arja Kuula-Luumi Kehittämispäällikkö

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Henkilörekisterin tiedot

Informaatiovelvoite ja tietosuojaperiaate

Hostingpalvelujen. oikeudelliset kysymykset. Viestintäviraston Abuse-seminaari Jaakko Lindgren

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

Rekisteri- ja tietosuojaseloste

LIITE VARMENNEPALVELUJEN ASIAKAS- JA REKISTERÖINTISOPIMUKSIIN NRO

TIETOSUOJASELOSTE Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (2016/679)

Postinumero Kela. Käyntiosoite Nordenskiöldinkatu 12, Helsinki. Nimi Kanta-palvelujen tietosuojavastaava

Tietosuoja sosiaali- ja terveyspalveluissa

Yhdistyksen jäsenluettelo ja EU:n tietosuoja-asetus

Fintech-yrityksen tietosuoja: Tietosuoja-asetus Markus Myhrberg

OP Ryhmän tietosuojavastaava OP Ryhmä Postiosoite: PL 308, OP Sähköpostiosoite: OP Palveluhaku asiakasrekisteri

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste / Käyttölokitietojen rekisteri / Pegasos ja Alue-Pegasos potilastietojärjestelmät

Koulun ylläpitäjänä toimii Oulunkylän yhteiskoulun kannatusyhdistys Ry (Y-tunnus: )

Sopimus henkilötietojen käsittelystä (DPA)

OPAS VIISI ASKELTA HYVIIN YÖUNIIN GDPR-AIKAKAUDELLA. ICT- ja tulostusratkaisujen asiantuntija.

Tietosuojaseloste / Kansanterveystyön rekisteri / suun terveydenhuolto

Tietosuojaa hanketoimijoille Maaseutuviraston tietosuojavastaava

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA HAUSJÄRVEN KUNNAN IKÄIHMISTEN PALVELUISSA

ENERSENSE OY:N TIETOSUOJASELOSTE TYÖNHAKIJOILLE. Viimeksi päivitetty:

Transkriptio:

DLP ratkaisut vs. työelämän tietosuoja Sosiaali- ja terveydenhuollon ATK-päivät Tampere ARI ANDREASSON, TIETOSUOJAVASTAAVA

TIETOSUOJAVASTAAVA ARI ANDREASSON Nykyisiä rooleja: Tampereen kaupungin o työpaikkana: Tietohallintoyksikön digiturvallisuus ja riskienhallinta-tiimi o peruskunnan tietosuojavastaava (kunta liikelaitoksineen) o tietoturva- ja tietosuojaryhmän sihteeri o Pegasos-kehittämis- ja ylläpitoryhmän jäsen Tampereen kaupungin ja seudun (yhteensä 9 kuntaa) o Tampereen seudun tietoturvaryhmän jäsen Kansallisia rooleja o Kuntaliiton tietosuojavastaavien verkoston työvaliokunnan puheenjohtaja o Pirkanmaan tietosuojavastaavien verkoston jäsen o Terveydenhuollon tietosuojan yhteistyöryhmän jäsen Sivutoiminen tietokirjailija o uusin kirja ilmestyi 1.3.2019: Osaava tietosuojavastaava ja EU:n yleinen tietosuoja-asetus

DLP:n (data loss prevention, automaattiset tietosuojakeinot) etuja Oikein toteutettuna estää tietovuotoja ja parantaa tietoturvaa (sekä sen toteutumisen seurantaa) Varmistaa miten esim. erityisiin henkilötietoryhmiin tai liikesalaisuuksiin liittyviä tietoja voi liikutella tai mihin niitä ylipäätänsä saa edes tallentaa organisaatiossa Ehkäisee tiedon katoamista Auttaa työntekijöitä ymmärtämään tietojen käsittelyn ohjeet

Lainsäädäntöä, jota on syytä pohtia EU:n yleinen tietosuoja-asetus (32 artikla) 1. Ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet 2. Asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi Laki yksityisyyden suojasta työelämässä mm. yhteistoiminta teknisin menetelmin toteutetun valvonnan ja tietoverkon käytön järjestämisessä (jos YT-lainsäädäntöä ei sovelleta, niin tilaisuus tulla kuulluksi) Laki sähköisen viestinnän palveluista mm. välitystietojen käsittely, tiedonantovelvollisuudet, yhteisötilaajan erityissääntely ennakkoilmoitukset jne.

Mitä DLP-ratkaisut tekevät? DLP voi haluttaessa estää tiedon, kuten henkilötunnuksen, pankkitilin tai passin numeron tai muun vastaavan lähettämisen sähköpostilla tai tallentamisen tiedostoon tai pyytää käyttäjältä vahvistuksen toimenpiteeseen tai neuvoa käyttäjää toimimaan organisaation toimintapolitiikan mukaisesti DLP-tuotteet voivat automaattisesti luokitella viestejä ja tiedostoja tietosisällön mukaan, antaa käyttäjälle mahdollisuuden luokitella niitä ja automaattisesti salata tiedostot ja viestit koko niiden elinkaaren ajaksi Tuotteissa on usein myös erilaisia erikseen halutessa käynnistettäviä skannaustoimintoja, joilla voi etsiä haluttua dataa (esim. henkilötunnuksia). Näitä käyttäen organisaation kyvykkyys paranee arvioida sitä mitä dataa on tallennettu

Tietosuojakysymyksiä Miten organisaatio varmistaa työntekijän ja rekisteröidyn/asiakkaan oikeuksien yhteensovittamisen? Varsinkin kun työtekijä on usein myös rekisteröidyn roolissa esim. organisaation loki-, HR- ja taloushallinnon rekistereissä Tekninen valvonta ja automaattinen puuttuminen työntekijän toimiin: Riittääkö tiedottaminen ja YT-käsittely vai pitääkö olla työntekijän suostumus? Käsitelläänkö sähköisiä viestintävälineitä eri tavoin lainsäädännön näkökulmasta kuin esim. verkkotyötilojen ja verkkolevyjen suojaamista? Sähköpostin tunnistetiedot ovat eri asia kuin varsinaisen viestin sisältö Huomioitavaa on myös se, että organisaation tietoihin saa käyttöoikeuksia muutkin kuin vain työntekijät Mihin DLP:n lokeja kerätään? Onko käytössä esim. SIEM ja mihin henkilörekisteriin kerätyt tiedot kuuluvat? Joka tapauksessa ratkaisuja käyttöönotettaessa on syytä tehdä DPIA-arvio sekä pohtia miten asia informoidaan työsopimuksen teon yhteydessä ja esim. tietojen ja tietojärjestelmien käyttö- ja salassapitositoumuksissa sekä muissa politiikoissa ja ohjeissa, jotka organisaatiota ohjaavat.

Kyberhäiriöselvityksestä lainattua: Loppusanat DLP-ratkaisut Yrityksiltä kysyttiin haastatteluissa Data Loss Prevention-ratkaisuista, joita on melko laajasti saatavilla. Palveluntarjoajayritykset pitivät Suomen markkinaa jossakin määrin epäkypsänä ja yrityksiä tarpeettoman varovaisina DLPratkaisujen käytössä. Näiden ratkaisujen sallittuus lainsäädännön näkökulmasta riippuu pitkälti niiden toteuttamistavasta. Tarve ratkaisuille kasvaa samalla kun pilvipalvelujen tarjonta lisääntyy. Itse toivon kansallista ohjausta/mallia!

ARI ANDREASSON, TIETOSUOJAVASTAAVA TIETOSUOJAVASTAAVA@ TAMPERE.FI KIITOS

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute