Riskienhallinta ja tietotilinpäätös

Samankaltaiset tiedostot
Tietosuoja sosiaali- ja terveyspalveluissa. Ari Andreasson tietosuojavastaava, Tampereen kaupunki , Helsinki

Tietosuoja sosiaali- ja terveyspalveluissa

TIETOSUOJATYÖN ORGANISOINTI

Tietosuojavastaavana julkisella sektorilla

Tietoturva ja suoja (GDPR), mikä käytännössä muuttuu? Lahti

Tietosuoja opettajan työssä

Hyvä tietosuojakäytäntö

Hyvä tietosuojakäytäntö

Tietosuoja terveydenhuollossa

T I E TO S U O JA JA T I E TOT U RVA L L I S U U S O M N I A S S A Riina Kirilova, tietosuoja- ja tietoturvapäällikkö

Kertausta lähtökohtiin liittyen

Länsi-Pohjan sairaanhoitopiiri Perusterveydenhuollon yksikkö Teija Horsma

Tietosuoja kirjastoissa

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

Rekisterinpidon ja käytönvalvonnan haasteet

Pelastuslaitosten tietoturvallisuuden

Tietoturva ja viestintä

Esityksen aihe: Digitaalinen turvallisuus terveydenhuollossa

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Eläketurvakeskuksen tietosuojapolitiikka

OMAVALVONTA SOSIAALI JA TERVEYDENHUOLLON LAINSÄÄDÄNNÖSSÄ. Riitta Husso, Valvira

Kuka auttaa johtoa sosiaali- ja terveydenhuollon asiakastietojen käytönvalvonnassa?

P-Frami sopimusasiakkaan käyttöohje

DLP ratkaisut vs. työelämän tietosuoja

Onnistunut liikkumissuunnitelma - ohjeet liikkumissuunnitelman tekemiseen

LIIKETOIMINNAN TIETOTURVALLISUUS - ASIANTUNTIJAN ERIKOISTUMISOPINNOT (30 op)

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

KOULUTUSPOLKU - KOULUTTAUDU LUOKKAKURSSEILLA MEPCO-OSAAJAKSI

Osaava tietosuojavastaava - Käytännön kokemuksia ja havaintoja tietosuojavastaavan elämässä

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa

SKYPE-RYHMÄN LUOMINEN

Kyberturvaopas. Tietoturvaa kotona ja työpaikalla

HENKILÖSTÖN TIETOTURVAOHJEET

Espoon kaupunki Tietoturvapolitiikka

Tietoturvapäivä. Tietoturva nyt ja tulevaisuudessa Mitä uusi tietosuoja-asetus tarkoittaa? Fiarone Oy

Tietotilinpäätös tietosuojan dokumentoinnissa Parhaat käytännöt: tietotilinpäätösmalli

Kriittisen polun hallinta CRIPMAN (CRItical Path MANagement) Pekka Maijala & Jaakko Paasi

Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa

Meneekö viesti perille?

MUUTOS 14! - Sosiaaliset kriteerit julkisissa hankinnoissa!

Mihin kotityöpalvelu perustuu asiakkaan kanssa tehtyyn sopimukseen

Hyvän johtamisen kriteerit julkiselle sektorille

Kokemuksia Sihteerin ammattitutkinnosta. Paula Turunen

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Kuntien haasteet sosiaali- ja terveydenhuollon palveluiden järjestämisessä - valvonnan näkökulma

VAHTI-toiminta ja kuntien tietoturvajaosto Kimmo Rousku, VAHTI-pääsihteeri JUHTA

Venäjän uudistunut henkilötietolainsäädäntö

Potilastietojärjestelmän laatu Mittaa ja paranna potilastietojärjestelmän laatua

Julkisuus ja salassapito. Pirjo Vehkamäki

= LV! "17. Seinäjoen kaupungin tietoturvapolitiikka SE I N ÄJ 0 K I. 1. Johdanto. 2. Tietoturvaan liittyvät tavoitteet ja periaatteet

Laki sosiaalihuollon asiakasasiakirjoista (luonnos)

Terveydenhuollon tietoturvan nykytilaa ja ajankohtaisia haasteita - kyselyraportti -

OULUN SEUDUN AMMATTIKORKEAKOULU TEKNIIKAN YKSIKKÖ TIETOTEKNIIKAN OSASTO OHJELMISTOKEHITYKSEN SUUNTAUTUMISVAIHTOEHTO

STRATEGISET PÄÄMÄÄRÄT

ASIAKASALOITTEINEN KÄYTÖNVALVONTA TERVEYDENHUOLLOSSA

Politiikka: Tietosuoja Sivu 1/5

Osaamisen tunnistaminen/tunnustaminen

TIETOSUOJASELOSTE Tilhilän palvelutalo Vuokrakiinteistöt

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Lue ohjeet huolellisesti ennen laitteen käyttöä.

Tietojohtaminen ja Eksoten AVH-prosessi

Mielestämme hyvä kannustus ja mukava ilmapiiri on opiskelijalle todella tärkeää.

TIETOTILINPÄÄTÖS OSANA ORGANISAATIOIDEN TIETOPÄÄOMAN HALLINTAA

VM:n Paja, Mika Okkola, Sulava Oy

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

TIETOTURVAA TOTEUTTAMASSA

JOHDON VELVOITTEET JA VASTUU yleiset periaatteet. Ylitarkastaja Arto Ylipartanen Tietosuojavaltuutetun toimisto

Turun ammattikorkeakoulu (5) Tietojärjestelmien käyttösäännöt

KESKI-SUOMEN SAIRAANHOITOPIIRI TIETOTURVAOHJE

Käytönvalvonnan yhtenäistäminen ja tehostaminen organisaation ja kansalaisen kannalta

Tietosuojavastaavan toiminta ja dokumentointi

EU-TIETOSUOJA-ASETUS JA SEN VAIKUTUKSET TOIMINTAAN

SOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTEL- MÄSTÄ

JUHTAn Perustietovarantojaosto Tietosuojan ydinryhmä muistio

Windows Live SkyDrive - esittely

Rakennuspalikoita hyvinvoinnin ja terveyden edistämisen suunnitteluun ja johtamiseen

Yrityksen tietoturva ja siihen liittyvät vakuutus- ja palveluratkaisut

TIETOSUOJASELOSTE Henkilötietolaki (523/1999) 10 ja 24 Rekisterinpitäjä Rekisterin nimi Henkilötietojen käsittelytarkoitus Rekisterin tietosisältö

Ohje PhotoPortaalin käytöstä

Tiedolla johtaminen Eksotessa

Lausuntopyyntö STM 2015

Vihdin kunnan tietoturvapolitiikka

OPPISOPIMUSKOULUTUS REKRYTOINNIN VÄLINEENÄ

Lokipolitiikka (v 1.0/2015)

Muutos on mahdollisuus

Sosiaalihuollon ja varhaiskasvatuksen henkilöstön tietotekninen osaaminen seitsemässä kaakkoissuomalaisessa kunnassa

SISÄLLYSLUETTELO. KVALT, :00, Pöytäkirja

Pohjoismainen työturvallisuusilmapiirikyselylomake

Ajankohtaista tukien maksamisesta

Tietoturvapolitiikka

Tutkimusaineistojen tekijänoikeus. TTA, Tekijänoikeus ja tutkimusetiikka, Helsinki OTT Pirjo Kontkanen

Tutkimusdatanhallinnan suunnittelu ja DMPTuuli-työkalu

POHJOIS-POHJANMAAN SAIRAANHOITOPIIRI. Laatutyö - laadukas toiminta terveydenhuollossa

TURVALLISESTI MATKALLA

KESKI-POHJANMAAN IT-ALUEKESKUKSEN TIETOTURVAOHJEET

Biopankkilain tavoitteet

Tietoturvapolitiikka. Hattulan kunta

Miten tietosuoja-asetuksen soveltamisen osalta on edetty? Havaintoja ja parhaita käytäntöjä-

TIETOSUOJASELOSTE Henkilötietolaki (523/99) 10 JA Rekisterin nimi Kokkolan perheneuvolan asiakas- ja potilasrekisteri

Transkriptio:

Riskienhallinta ja tietotilinpäätös Ari Andreasson tietosuojavastaava, Tampereen kaupunki Terveydenhuollon ATK-päivät, Lahti 1

Johdon rooli Mihin kannattaa keskittyä? Nykytilan kartoitus Henkilörekisterihallinnon järjestäminen ja tietosuoja/rekisteriselosteet Kirjalliset politiikat, periaatteet ja ohjeet ( data protection by design -periaatetta tukeva) Riittävät resurssit Tietosuojavastaavan nimeäminen ja tehtävien/aseman määrittely Tietosuojaryhmän perustaminen ja tehtävien määrittely Riskienhallinta Riskien tunnistaminen ja luokittelu Riskianalyysit Toimintaohjeet riskien toteutuessa Kirjalliset sopimukset palveluja ostettaessa (turvallisuusliitteet, raportointivelvoitteet) Seuraamuskäytännöt tietoturva- ja tietosuojarikkomuksissa Tietosuojattavan jätteen hävitysprosessin järjestäminen Tietoturvan ja tietosuojan omavalvontasuunnitelma Tietotilinpäätös ( accountability -periaatetta tukeva) 2

Tietosuojatyö Kilpailukyvyn lähde Asiakasnäkökulma Asiakkaiden yksityisyyden suoja paranee Potilasturvallisuus paranee terveydenhuollossa Organisaation näkökulma Organisaatio näyttäytyy luotettavana palvelujen antajana ja haluttuna yhteistyökumppanina Organisaation tuottavuus ja tehokkuus kasvaa (kustannussäästöt) Riskien todennäköisyydet ja vaikutukset pienenevät Henkilöstön näkökulma Henkilöstön osaaminen ja oikeusturva paranevat Kansalaistaidot karttuvat 3

Tietosuojaosaaminen ja tuottavuus Tietosuojaosaaminen Tuottavuus ja tehokkuus kasvaa Johdon riskit pienenevät Henkilöstön osaaminen kasvaa Tietosuojatyön organisoitiin käytetyt resurssit 4

Tietotilinpäätös Yleistä Johdolle suunnattu raportti, joka syntyy organisaation itsensä tarkastelun tuloksena Sen tarkoituksena on toimia dynaamisena työkaluna ja tietojohtamisen apuvälineenä Sen avulla johto voi osaltaan osoittaa noudattavansa lakeja (accountabilityperiaatetta tukeva) Oikein laadittuna antaa kokonaiskuvan organisaation tietojenkäsittelyn nykytilasta Tarkoituksena on myös lisätä asiakkaiden ja sidosryhmien luottamusta organisaation menettelytapoihin 5

Miksi tietotilinpäätös? Tietosuoja- ja tietoturva-asiat pitää hoitaa prosessinomaisesti, jota pystytään seuraamaan Tietojohtamisen pitää perustua faktoihin (tunnusluvut ja raportit) Tärkeät huomiot on helpompi nostaa johdon agendalle Auttaa tietoturva- ja suojatyöhön resursoinnissa sekä riskeihin varautumisessa 6

Tietotilinpäätös mahdollisuus säännölliseen seurantaan Tietotilinpäätös on hyvä tapa systemaattisesti seurata ja kehittää organisaation tietopääoman käyttöä Tietosuojan näkökulmasta se tarjoaa hyvän rakenteen seuraamiseen Esimerkkejä mittareista tietoturva- ja tietosuojapoikkeamat tietojärjestelmien käyttökatkot käytönvalvontasuunnitelman toteutuminen tietoturvan ja tietosuojan omavalvontasuunnitelman toteutuminen tietosuoja- ja tietoturvarikkomukset lakimuutokset tietosuoja- tietoturvakoulutukset ohjeistukset Ehdotus: Tietotilinpäätökselle tulee määritellä kansallisesti yhteinen rakenne ja mittaristo Organisaatioiden toimintaa voidaan verrata ja hyviä käytäntöjä siirtää 7

Tietosuojariskejä käytännössä Tietosuojattavan pienjätteen (paperit, usb-tikut, cd-levyt) käsittelyprosessin puutteet: Salassa pidettäviä tietoja sisältävää materiaalia voi päätyä kaatopaikalle tai muuten sivullisille (myös imagoriski) Hävityksessä kannattaa käyttää lukollisia astioita ja tilata jätteen hävityspalvelu siihen erikoistuneelta yritykseltä Tietojen luovutukset: Sähköisissä luovutuksissa pitää henkilötiedot suojata riittävästi (ei saa käyttää esim. suojaamatonta sähköpostia) Täytyy varmistaa, että luovutuksen saajalla on oikeus saada tiedot Käyttöoikeuksien hallinnan puutteet: Käyttöoikeuksia on voimassa, vaikka ei pitäisi tai ne ovat vääränlaiset eivätkä vastaa työtehtäviä Liian vähäinen koulutus henkilöstölle: Aikaansaa tyhjäkäyntiä asiakastietojen käsittelyssä Tietojärjestelmien ja laitteiden oikeaoppisen käytön puutteellinen osaaminen Voi vaarantaa salassapitovelvoitteen (esim. somessa kirjoittelu) Huono sopimus/hankintaosaaminen: Vaikea jälkikäteen muuttaa voimassaolevia sopimuksia Jatkossa kannattaa harkita myös vakuutuksia tietovuotojen varalle 8 24.5.2016 Ari Andreasson

Yhteistyöllä pienennät riskejä Tampereen seudun tietoturva- ja tietosuoja yhteistyö seudun yhteinen tietoturvaryhmä, jossa jäsenet myös isoimmilta ICT-sopimuskumppaneilta seudun yhteinen tietoturvapolitiikka seudun yhteinen henkilöstön tietoturvaopas seudun yhteinen tietojen ja tietojärjestelmien käyttö- ja salassapitositoumus (sähköinen) mukana myös Pirkanmaan sairaanhoitopiiri seudun yhteinen mobiilipolitiikka seudun yhteiset käyttövaltuusperiaatteet hyväksymisprosessissa tulossa seudun yhteinen sähköisten viestintävälineiden käyttösäännöt 9

Tietoturva ja tietosuoja 1. Selvitä ja noudata oman organisaatiosi tietoturvaohjeita ja käytäntöjä. 2. Lukitse tietokoneesi/ohjelmistot tai kirjaudu niistä ulos aina kun poistut sen läheisyydestä. Pyri käyttämään eri salasanaa eri järjestelmissä. Säilytä salasanat ja muut kirjautumisessa käytettävät tunnisteet, kuten toimikorttisi ja PIN-koodit huolellisesti. 3. Varo paljastamasta luottamuksellisia tietoja sivullisille työpaikalla tai sen ulkopuolella esim. sosiaalisessa mediassa. 4. Älä surffaa arveluttavilla nettisivuilla. Älä avaa outoja sähköpostiviestejä tai niiden liitteitä. 5. Huolehdi papereiden, muistitikkujen, CD-/DVD-levyjen, puhelinten, salasanojen, avainten, kulkunappien, toimikorttien ym. asianmukaisesta käsittelystä ja säilyttämisestä. 6. Hävitä tietosuojattava jäte asianmukaisesti. 7. Huolehdi erityisesti mobiilityössä kannettavan tietokoneen ja sen tietojen suojaamisesta. Hanki kannettavaan tietokoneeseen suojakalvo, joka estää sivulta tapahtuvan salakatselun. Älä jätä laitteita valvomatta näkyville esimerkiksi autoon tai hotelliin. 8. Muista kunnioittaa asiakkaiden ja työkavereiden yksityisyyttä. Näin ylläpidät luottamusta. 9. Kerro esimiehellesi, mikäli havaitset tietoturva- tai tietosuojarikkomuksia. 10. Älä hätäänny, jos jotain poikkeavaa tapahtuu. Soita rohkeasti tukikeskukseen. 10 24.5.2016 Ari Andreasson

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute