Case VRK: tietosuojan työkirjat osa 2 JUDO Työpaja #4 - tietosuoja Noora Kallio
Esityksen sisältö Tietosuojan hallintamalli Prosessi Työkaluina tietosuojan työkirjat
Ratkaistava asia Miten tietosuoja-asetuksen vaatimukset saataisiin jalkautettua organisaatiossa?
Tietosuojan hallinta VRK:ssa Politiikat Tietoturva- ja tietosuojapolitiikka Lokipolitiikka Riskienhallintapolitiikka Käyttövaltuushallinnan politiikk Pääsynhallintapolitiikka Periaate tietovarantojen, palveluiden ja niiden sijainnin hallinnasta Ohjeet Tietoaineistojen luokittelu ja käsittely Turvallisen sovelluskehityksen käsikirja Riskienhallinnan menettelyohjeistus Lisäksi tarkemmat ohjeistukset eri palveluille Työkalut Business Outcom: tietosuojan esiarviointi Tietosuojan työkirjat Tietosuojan vaikutustenarviointi (DPIA) TIRAssa Riskienhallinta TIRAssa Tietosuojapoikkeamien hallinta TIRAssa
Prosessi Väestörekisterikeskuksessa Uhkamallinnus Mahdolliset tehtävät ja niiden seuraaminen Suunniteltu tai jo olemassa oleva käsittelytoimien kokonaisuus -Business outcome Tietosuojan toteutumisen arviointi Jos tarve: Tietosuojavaikutusten arviointi (DPIA) Dokumentointi
Business Outcome-analyysi Suunniteltu hanke, projekti, ominaisuus Tietosuoja- ja tietoturvaanalyysi Juristi ja tietoturvapäällikkö <GDPR:n ja tietojen luokittelu ja tietoturvatason määrittelyn mitä vaikutuksia näillä on tämän business outcome:n osalta> Ole yhteydessä xxxx ja keskustele seuraavat asiat läpi (varaa puolen tunnin palaveri) Tietosuojan työkirjojen läpikäynti yhdessä tietosuojaasiantuntijan kanssa Tarvitaanko palvelun kriittisyysluokittelun arviointia Palvelun tietoturvatason määrittely mikäli sitä ei vielä ole tehty Keskeiset BO:n liittyvät kohdat turvallisensovelluskehityksen käsikirjasta Tiedon / palvelun mahdollinen sijainti Jos tietoturva-asiantuntija luokittelee BO:n kiinnostavaksi sille lisätään "tietoturva" label, jotta se nousee oikeisiin seurantanäkymiin. Tarvittavat jatkotoimenpiteet sovitaan yhdessä tietoturvan/tietosuojan kanssa 30 minuutin palaverin yhteydessä. Ennen palaveria pitää lähettää linkki BO-kuvaukseen, jotta siihen voidaan perehtyä ennen palaveria. Tietosuojan työkirjat
Työkirjojen sisältö OSA I OSA II Avataan yleisesti tietosuojaasetuksen vaatimuksia Tarkempi kriteeristö per tietosuojaasetuksen osa-alueet Työkirjat jakautuvat kahteen osaan: I Rekisteröidyn oikeudet ja II Oletusarvoinen ja sisäänrakennettu tietosuoja
Työkirja II Oletusarvoinen ja sisäänrakennettu tietosuoja - esimerkkejä
Esimerkki: tietojen minimointi Palvelun/rekisterin/tietojärjestelmän eri tietojen käsittelyn vaiheet on määritelty siten, että käsittelyssä minimoidaan henkilötietojen käsittely. Määritellyn mukainen käsittely on välttämätöntä. Palvelun/rekisterin/tietojärjestelmän eri tietojen käsittelyä ei toteuta siten, että samaa tietoa käsitellään useissa eri kohdin samaan käyttötarkoitukseen eri järjestelmissä, ellei tähän ole löydettävissä selkeitä perusteita. Palvelun/rekisterin/tietojärjestelmän eri tietojen käsittelyn vaiheet on kuvattu ja dokumentoitu riittävästi (tietoflow-kuvaukset ja tätä tukeva excel käytössä VRK:ssa). Tietojen käsittelyn perusteet on löydettävissä dokumentaatiosta. Tietojen käsittelyyn liittyvät käyttövaltuudet on luotu siten, että on olemassa eritasoisia rooleja, joiden perusteella käsiteltävien tietojen tietosisältöä voidaan myös rajoittaa. Tärkeää on, että roolit ovat sellaiset, että tietyllä roolilla näkee vain sillä tehtävään toimeen tai määriteltyyn käyttötarkoitukseen nähden ehdottoman tarpeellisia tietoja. Vaatimus koskee sekä VRK:n sisäistä käyttöä että asiakkaille tarjottavia palveluita. Lokitietojen osalta toteutus on tehty siten, että 1) syntyvän lokitiedon tietosisältö ei tallenneta hyötykuormaa eli varsinaista tietosisältöä, ellei sen tallentamiseen ole erityisiä perusteita ja 2) mahdollisuuksien mukaan aineistoa on anonymisoinnin avulla tehty vähemmän sensitiivisemmäksi (pseudonymisointia ei suositella). Järjestys: 1) minimointi 2) anonymisointi ja vasta kolmantena vaihtoehtona pseudonymisointi Lokitietojen osalta on määritelty, kuvattu ja toteutettu erikseen henkilötietoja sisältävät lokit ja tekniset lokit. VRK:n ulkopuolelle tapahtuva tietojen luovuttaminen ja käsittely palvelusta/rekisteristä/tietojärjestelmästä on toteutettu huomioiden tietojen minimointi. Tämä sisältää asiakasorganisaatioiden tietojen käsittelyn, sopimuskumppanien ja alihankkijoiden sekä niiden henkilöstön tietojen käsittelyn sekä tarpeellisin osin rekisteröidyille itselleen tapahtuvan tietojen luovuttamisen. Tämä tarkoittaa, että tehtävät käsittelytoimet ja niiden laajuus ovat perusteltavissa eikä toimea ja käyttötarkoitusta voida toteuttaa siten, että käsiteltäisiin tietoja suppeammin. Toteutus ei voi seurata siitä, mikä katsotaan helpoimmaksi toteuttaa, vaan käsittelylle on sen koko laajuudessa oltava perusteet. Tämä tarkoittaa, että ei esimerkiksi kierrätetä tietoja turhaan usean palvelimen kautta tai tallenneta useille palvelimille väliaikaisesti tai osana väliaikaista käsittelyä. Tämä ei kuitenkaan estä tarpeellista tietojen säilyttämisen varmentamista esim. ympäristön tai tietokannan kahdentamisen avulla.
Esimerkki: säilytyksen rajoittaminen On arvioitu, mitä palvelun/rekisterin/tietojärjestelmän tietoja on tarpeen perustellusti säilyttää siten, että rekisteröity on tunnistettavissa. On arvioitu mahdollisuudet toteuttaa tietojen säilyttämistä siten, että rekisteröity ei ole tunnistettavissa. Tietojen säilyttämisessä on huomioitu sekä säilytyksen ajallisuus että laajuus. Ks. tarkemmin kohta 2.3 Tietojen minimointi. Palvelun/rekisterin/tietojärjestelmän tietojen yleinen ja tietokohtainen (erityisesti henkilötietokohtainen) säilytysaika on määritelty ja se on kirjattu erityisesti tietosuojaselosteeseen henkilötietojen osalta. Tietojen säilyttämisessä on huomioitu sekä säilytyksen ajallisuus että laajuus. Määritelty tietojen säilytys- ja saatavillaoloaika noudattaa käyttötarkoitussidonnaisuuden sekä käsittelyn minimoinnin periaatteita eli tietoja säilytetään (käsitellään) ajallisesti mahdollisimman lyhyt aika ja säilytys (käsittely) on perusteltavissa. Tietojen säilyttämisessä on huomioitu sekä säilytyksen ajallisuus että laajuus. Palvelun/rekisterin/tietojärjestelmän osalta toteutetaan asetetut määräajat henkilötietojen poistolle tai siirrolle palvelusta/rekisteristä/tietojärjestelmästä. Henkilötietojen poisto toteutetaan pysyvästi tietoturvallisuuden vaatimukset huomioiden, ellei henkilötietojen säilyttämisestä pysyvästi ole säädetty laissa. Mikäli henkilötiedot on tarpeen siirtää muuhun järjestelmään pidemmäksi säilytysajaksi, siirto toteutuu siten, että alkuperäisestä rekisteristä/tietojärjestelmästä tiedot poistuvat pysyvästi. Lokitiedon muodostumisesta poistoprosessin yhteydessä varmistutaan. Henkilötietojen säilymisestä (ml. lokitiedot) asianmukaisesti varmistutaan säännöllisesti. Henkilötietojen säilytystarvetta, -tapaa ja -aikaa arvioidaan säännöllisesti, esim. vuosittain.
Vaadittavia dokumentteja ovat ainakin seuraavat, listaa voi soveltaa sen mukaan, onko kyseessä tietojärjestelmä, palvelu vai toiminto: politiikat käytännesäännöt sertifoinnit arkkitehtuurikuvaukset tiedot auditoinneista rekisteriselosteet/tietosuojaselosteet seloste käsittelytoimista (vaadittava myös henkilötietojen käsittelijältä) salassapitosopimukset/-sitoumukset Esimerkki: dokumentaatio lokienhallinnan periaatteet palvelukohtaiset valvontasuunnitelmat palvelukuvaukset rekisteröidylle toiminnallisuuden näkökulmasta prosessikuvaukset koulutussuunnitelmat, tiedot henkilöstön koulutuksista sisäiset ohjeet ja määräykset käytönvalvontaa koskevat ohjeistukset ja teknisiä rajoituksia koskevat dokumentit tiedot etäkäyttöyhteyksistä lokeja koskeva prosessikuvaukset ja ohjeet
Kiitos mielenkiinnosta! Noora.kallio@vrk.fi