T-110.460 Henkilöturvallisuus ja fyysinen turvallisuus, k-04

T-110.460 Henkilöturvallisuus ja fyysinen turvallisuus, k-04 Ilkka Kouri Henkilöstöturvallisuus 17.3.2004: yrityksen toimintaan kohdistuva vahingonteko ja muu rikollisuus Henkilöstöturvallisuus Henkilöstöturvallisuustoimenpiteillä - pienennetään henkilöstöstä yrityksen toiminnalle aiheutuvia vahinkoja ja rikoksia Henkilöstöhallinnon toimenpitein - pyritään ennaltaehkäisemään riskien syntymistä Johtamistoiminnalla - johdetaan ja valvotaan työntekijöitä ja työn tekemistä 17.3.2004 T-110.460 Kouri 2 Ilkka Kouri 1

Työnantajan oikeus ja velvollisuus Työnantajalla (työnantajan edustajalla) on - oikeus antaa ja määrätä töitä sekä johtaa työn tekemistä - velvollisuus valvoa työn turvallista tekemistä - velvollisuus valvoa työn laatua, määrää.. - oikeus määrätä ja valvoa työpaikalla kulkemisesta, menemisestä ja olemisesta (Työsopimuslaki, työturvallisuuslaki) 17.3.2004 T-110.460 Kouri 3 Valvonnan toteuttaminen Kaikki lailliset keinot ovat käytettävissä - henkilökohtainen valvonta ja ohjaus - nykyajan mukainen tekninen valvonta - kulunhallintajärjestelmät - kameravalvonta - erilaiset lokitiedostot - järjestelmien seuranta - erilaiset mittausjärjestelmät Turvallisuusselvitykset (lain edellytykset) Työkykyisyyden tarkastukset 17.3.2004 T-110.460 Kouri 4 Ilkka Kouri 2

Valvontaa Yllätystarkastukset - työpaikalla - poistumistarkastukset Vahinkotilanteen tai onnettomuuden sattuessa - oma tutkinta - poliisi, työsuojeluviranomaiset Kun on perusteltua syytä epäillä... - työterveyshuolto 17.3.2004 T-110.460 Kouri 5 Vahingonteko ja rikollisuus Tahallinen - tarkoituksena vahingoittaa yritystä tai - saada hyötyä itselleen - voi olla ilkivaltaa/haitantekoa tai rikollista toimintaa Tahaton - epähuomiossa, kiireessä - huono perehdytys, ohjaus - ei vahingoittamisen tarkoitusta 17.3.2004 T-110.460 Kouri 6 Ilkka Kouri 3

Varkaus / näpistys - anastaa toisen irtainta omaisuutta Kavallus - anastaa hallussaan olevia varoja Rikoksia... Petos - hankkiakseen itselle tai toiselle oikeudetonta taloudellista hyötyä erehdyttää tai muuttaa, tuhoaa jne dataa Vahingonteko - oikeudettomasti vahingoittaa toisen omaisuutta - hävittää, turmelee jne tietovälineelle tallennetun tiedon 17.3.2004 T-110.460 Kouri 7... rikoksia... Tuhotyö - sytyttää tulipalon, räjäyttää jne - tietojärjestelmän toimintaan oikeudettomasti puuttumalla aiheuttaa vakavaa vaaraa Työpaikkakiusaaminen ja häirintä - esimies, työtoveri jatkuvasti epäasiallisesti kohtelee Työsopimuslain rikkominen - tehtävien laiminlyönti Työsyrjintä - joka etnisen taustan jne perusteella asettaa toisen.. 17.3.2004 T-110.460 Kouri 8 Ilkka Kouri 4

... rikoksia... Salakuuntelu - joka oikeudettomasti teknisellä laitteella kuuntelee tai tallentaa kotirauhan suojassa tapahtuvaa keskustelua, joka ei ole tarkoitettu hänen tietoonsa tai muualla, jossa puhuja olettaa, ettei kukaan kuule Salakatselu - joka oikeudettomasti teknisellä laitteella kuvaa tai katselee kotirauhan suojaamassa paikassa, käymälässä, pukeutumistilassa tai yleisöltä suljetussa rakennuksessa tai huoneistossa olevaa henkilöä tämän yksityisyyttä loukaten Myös valmistelu on rikos 17.3.2004 T-110.460 Kouri 9...rikoksia.. Yritysvakoilu - joka oikeudettomasti hankkii tiedon toiselle kuuluvasta yrityssalaisuudesta, tunkeutumalla suljettuun paikkaan tai tietojärjestelmään... Yrityssalaisuuden rikkominen - joka oikeudettomasti hankkiakseen itselle tai toiselle hyötyä ilmaisee tai käyttää yrityssalaisuutta, jonka on saanut tietoonsa Yrityssalaisuuden väärinkäyttö - joka oikeudettomasti käyttää rikollisella teolla tietoon saatua yrityssalaisuutta 17.3.2004 T-110.460 Kouri 10 Ilkka Kouri 5

... rikoksia.. Vaaran aiheuttaminen tietojenkäsittelylle - joka aiheuttaakseen haittaa tietojenkäsittelylle, valmistaa ohjelman (vast), mikä on suunniteltu vaarantamaan tietojenkäsittelyä tai vahingoittamaan tietoja tai ohjelmistoja Salassapitorikos - joka salassapitovelvollisuuden vastaisesti paljastaa salassa pidettävän seikan tai käyttää sitä hyödykseen Viestintäsalaisuuden loukkaus - joka oikeudettomasti avaa toiselle osoitetun kirjeen tai suljetun viestin, puhelun tai datan sisällön, murtaa suojauksen jne 17.3.2004 T-110.460 Kouri 11... rikoksia Tietoliikenteen häirintä - joka ilkivaltaisessa tarkoituksessa lähettää televerkossa häiritseviä viestejä Tietomurto - joka käyttämällä hänelle kuulumatonta käyttäjätunnusta tai turvajärjestelmän murtaen oikeudettomasti tunkeutuu tietojärjestelmään Suojauksen purkujärjestelmärikos - joka tuo maahan, levittää, kauppaa jne suojauksen purkujärjestelmää Henkilötietorikos 17.3.2004 T-110.460 Kouri 12 Ilkka Kouri 6

Tahaton vahingollinen toiminta Esimerkiksi: Virheet ja erehdykset - osaamattomuus Työajan huono hallinta Tahattomat tietovuodot Sosiaalisten taitojen puute 17.3.2004 T-110.460 Kouri 13 Rikosten ehkäisy Henkilöstön kulkuoikeuksien hallinta ja valvonta Henkilöstön käyttöoikeuksien hallinta ja valvonta Henkilöstön työtyytyväisyyden ja motivoituneisuuden mittaaminen Materian kulutuksen ja hävikin seuranta Työtapojen ja menetelmien tarkistukset 17.3.2004 T-110.460 Kouri 14 Ilkka Kouri 7

... ehkäisy Tarkastus- ja valvontatoiminnan ylläpitäminen Henkilövalinnat riskialttiisiin tehtäviin Perehdyttäminen, ohjeistus ja koulutus Omaisuuden merkitseminen ja rekisteröinti Valvonta- ja hälytysjärjestelmät, vartiointiliikkeen palvelut Havaittuihin väärinkäytöksiin puuttuminen 17.3.2004 T-110.460 Kouri 15 Tahattomien virheiden ehkäisy Oikeat henkilövalinnat, osaaminen Ohjeistus, koulutus, tehtäviin perehdyttäminen Työn oikea resurssointi ja aikataulutus Työvälineiden ja menetelmien kehittäminen Hyvän työilmapiirin ylläpitäminen Toimiva valvonta- ja tarkastusjärjestelmä 17.3.2004 T-110.460 Kouri 16 Ilkka Kouri 8

Sisäinen valvonta- ja tarkastustoiminta Sisäinen valvonta on johdon työväline Edistetään yrityksen toiminnan taloudellisuutta, tuottavuutta ja laatua Turvataan resursseja menetyksiltä, tuhlaukselta, väärinkäytöksiltä, virheiltä ja huonolta hoidolta Noudatetaan lakeja ja viranomaismääräyksiä Saadaan oikeaa tietoa taloudesta ja hallinnosta 17.3.2004 T-110.460 Kouri 17 Valvonnan periaatteita Ei ole erillinen tehtävä, kuuluu päivittäiseen toimintaan On oltava aukoton kaiken toiminnan kattava Ennalta ohjaava toiminta on jälkivalvontaa tärkeämpää Vastuut, valtuudet ja tehtävät on selkeästi määritetty Toiminta on persoonatonta: ketään ei epäillä, kehenkään ei sokeasti luoteta 17.3.2004 T-110.460 Kouri 18 Ilkka Kouri 9

Valvonnan kohteita Riskialttiita kohteita ovat: - maksuliikenne ja sen hoitaminen - kirjanpito- ja raportointijärjestelmä - palkanlaskenta ja kirjanpito - omaisuuden säilyminen - palveluiden ja tuotteiden hankinta Kukaan ei voi valvoa itseään tai lähiomaistaan 17.3.2004 T-110.460 Kouri 19 Valvonnan organisointi Pieni organisaatio - johto valvoo ja seuraa ohjauksen ja johtamisen toteutumista - johto elää päivittäisen toiminnan keskellä Suuri organisaatio - johdon resurssit ja kompetenssi ei aina riitä - avuksi on palkattava valvonnan asiantuntijoita eli sisäisiä tarkastajia 17.3.2004 T-110.460 Kouri 20 Ilkka Kouri 10

Sisäinen tarkastus On yrityksen johdon työkalu, ohjaus- ja valvontajärjestelmän osa Sisäinen tarkastus puuttuu tarkoituksenmukaisuuskysymyksiin On riippumatonta ja objektiivista arviointi-, varmistus- ja konsultointitoimintaa Se tukee organisaatiota sen tavoitteiden saavuttamisessa Raportoi johdolle havaitsemistaan asioista 17.3.2004 T-110.460 Kouri 21 Sisäinen tarkastaja ja turvallisuusjohtaja Kumpikin on osa yrityksen ohjaus- ja valvontaprosessia Turvallisuusjohdolla voi olla myös operatiivista vastuuta, ei tarkastusjohdolla Yhteistoiminnassa - väärinkäytösten tutkinta - riskienhallinta 17.3.2004 T-110.460 Kouri 22 Ilkka Kouri 11

Petokset ja väärinkäytökset Aiheuttavat suoria ja epäsuoria kustannuksia - varkaus, väärinkäytös, ylilaskutus, lahjonta, asioiden parantelu, eturistiriita Tekijöinä - työntekijät, esimiehet, johto tai yhdessä tavarantoimittajien, liikekumppanien, asiakkaiden tai ulkopuolisten rikollisten kanssa (kiristys, pakottaminen, taloudellinen hyöty) 17.3.2004 T-110.460 Kouri 23 Eihän meille näin voinut käydä Yritykselle YY tuli epäselvyyttä atkkoneiden ja palvelujen toimittajan XX kanssa maksamattomista laskuista YY:n tietohallintopäällikkö NN oli eronnut 6 kk sitten, riitoja uuden tj:n kanssa Jo jonkin aikaa YY:ssä oli ollut jatkuvia laiterikkoja, järjestelmäongelmia ja tietomurtoja 17.3.2004 T-110.460 Kouri 24 Ilkka Kouri 12

Kuitenkin kävi Asiaa tutkittaessa tuli esille - lukuisa määrä NN:n hyväksymiä itkonsultointilaskuja - laskuja käytetyistä atk-laitteista ja tarvikkeista - maksuja komissioista konsulttiyritys ÖÖ:lle - NN oli yritys ÖÖ:n pääosakas ja -omistaja - NN:n uusi yritys toimii samalla alalla kuin YY ja menestyy hyvin 17.3.2004 T-110.460 Kouri 25 Arvio menetyksistä Ylilaskutuksista... euroa Viallisten laitteiden uusinta... euroa Systeemivaurioita... euroa Menetettyjä markkinaosuuksia. euroa Johdon työaikaa... euroa Häiriöiden korjaukset... euroa Imagon menetys... euroa 17.3.2004 T-110.460 Kouri 26 Ilkka Kouri 13

Miksi? Ohjeiden ja oikeiden käytänteiden puuttuminen - NN loi omat käytänteet toiminnalleen Johto oli liian luottavainen - ei valvonta- ja tarkastustoimintaa - tilasi palvelun ja hyväksyi laskut itse Kustannuksia ei seurattu eikä kontrolloitu Tavarantoimittajia ei asiallisesti kilpailutettu eikä tarkistettu 17.3.2004 T-110.460 Kouri 27 Valvonnan merkitys Ihmiset ovat niin rehellisiä kuin kontrollit sallivat Vahvat kontrollit vähentävät riskejä Tietoisuus kontrollista vähentää rikosmotivaatiota IHMINEN TILAISUUS MOTIVAATIO VALVONTA 17.3.2004 T-110.460 Kouri 28 Ilkka Kouri 14

Työntekijöiden tekninen valvonta HE 162 / 2003 laiksi yksityisyyden suojasta työelämässä Nykyisen lain 477 / 2001 lisäksi säädetään - huumausaineiden käyttöä koskevien tietojen käsittelystä - kameravalvonnasta työpaikoilla - työntekijän sähköpostin hakemisesta ja avaamisesta 17.3.2004 T-110.460 Kouri 29 Kameravalvonta sallittua Työnantaja saa kuvata ja tallentaa teknisin laittein käytössään olevissa tiloissa - työntekijöiden ja muiden henkilökohtaisen turvallisuuden varmistamiseksi - omaisuuden suojaamiseksi - tuotantoprosessien valvomiseksi Sekä näitä vaarantavien tilanteiden ennalta ehkäisemiseksi ja selvittämiseksi 17.3.2004 T-110.460 Kouri 30 Ilkka Kouri 15

Kameravalvonta kiellettyä Tietyn työntekijän tai työntekijöiden tarkkailuun (poikkeukset) Käymälässä, pukeutumistiloissa tai muussa vastaavassa paikassa Henkilökohtaisissa työhuoneissa 17.3.2004 T-110.460 Kouri 31 Poikkeukset Saa kuvata tiettyä henkilöä, jos - työntekijän työhön liittyy ilmeinen väkivallan uhka - omaisuuteen kohdistuvan rikoksen estämiseksi ja selvittämiseksi esim arvoomaisuuden käsittelyssä - työntekijän etujen ja oikeuksien varmistamiseksi perustuen työntekijän pyyntöön ja asiasta on sovittu 17.3.2004 T-110.460 Kouri 32 Ilkka Kouri 16

Avoimuus kameravalvonnassa Ennen valvonnan käyttöönottoa selvitettävä muiden keinojen käyttömahdollisuudet Yksityisyyteen ei puututa enempää kuin on välttämätöntä Tallenteiden käytön suunnittelu (HetiL) - säilytystapa ja -aika - käyttötarkoitus Yt-menettely, tiedottaminen ja ilmoittaminen 17.3.2004 T-110.460 Kouri 33 Poikkeukset käyttötarkoitukseen Työnantajalla on oikeus käyttää tallenteita - työsuhteen päättämisen perusteen toteennäyttämiseksi - häirinnän, ahdistelun ja epäasiallisen kohtelun selvittämiseksi ja toteen näyttämiseksi - työtapaturman tai muun vaaran tai uhan selvittämiseksi 17.3.2004 T-110.460 Kouri 34 Ilkka Kouri 17

Tallenteen säilyttäminen Hävitettävä heti, kun eivät ole enää tarpeen Viimeistään vuoden kuluttua - paitsi, jos pitempi säilytys on tarpeen esim. - näyttää toteen edellä mainitut käyttötarkoituksesta poikkeavat tapahtumat tai - muu erityinen syy 17.3.2004 T-110.460 Kouri 35 Työntekijän sähköposti Työnantajalla on oikeus hakea esille tai avata työntekijän sähköposteja vain, jos hän on suunnitellut ja järjestänyt työntekijälle tiettyjä toimintomahdollisuuksia sähköpostiviestien suojaksi 17.3.2004 T-110.460 Kouri 36 Ilkka Kouri 18

Työnantajan velvollisuudet Työntekijä voi käyttää automaattista vastaustoimintoa poissaolostaan Työntekijä voi ohjata viestit toiselle työnantajan osoittamalle työntekijälle Työntekijän suostumus siihen, että hänen valitsema ja työnantajan hyväksymä henkilö voi selvittää, työntekijän poissa ollessa, onko viesti tarkoitettu työnantajalle työtehtävien hoitamiseksi 17.3.2004 T-110.460 Kouri 37 Viestin hakeminen Työnantajalla on oikeus järjestelmän pääkäyttäjän valtuuksin selvittää onko viesti sellainen, että ta:n olisi saatava siitä välttämättä tieto - jos asiaa ei muutoin saada selville - on ilmeistä, että työtehtäviin kuuluvia viestejä on lähetetty tai vastaanotettu - työntekijä on tilapäisesti estynyt hoitamaan tehtäviään - työntekijän suostumusta ei ehditä saada kohtuullisessa ajassa 17.3.2004 T-110.460 Kouri 38 Ilkka Kouri 19

Hakemisesta selvitys Jos hakeminen ei johda avaamiseen - laaditaan kirjallinen selvitys hakemisen perusteista ja suorittajista - suorittajat allekirjoittavat - selvitys on annettava työntekijälle - vaitiolovelvollisuus viesteistä 17.3.2004 T-110.460 Kouri 39 Viestin avaaminen Jos on ilmeistä, että viesti on työnantajalle kuuluva ja sen sisällöstä on välttämätöntä saada tieto Työnantaja voi avata viestin pääkäyttäjän valtuuksin ja toisen henkilön läsnä ollessa 17.3.2004 T-110.460 Kouri 40 Ilkka Kouri 20

Avaamisesta selvitys Viestin avaamisesta on laadittava kirjallinen selvitys - mitä avattiin, miksi, ajankohta ja suorittajat, kenelle tieto annettiin - suorittajat allekirjoittavat - selvitys annattava viivytyksettä työntekijälle Avattu viesti on säilytettävä Vaitiolovelvollisuus 17.3.2004 T-110.460 Kouri 41 Teknisen valvonnan menettelytavat Työnantajalla on työnjohto- ja valvontaoikeus Teknisen valvonnan tarkoitus, käyttöönotto ja menetelmät sekä sähköpostin ja muun tietoverkon käyttö on käsiteltävä yt-lain mukaisesti Käsittelyn jälkeen käyttöönotosta, aloittamisesta ja menettelystä on tiedotettava henkilöstölle 17.3.2004 T-110.460 Kouri 42 Ilkka Kouri 21

Tarkistuslista vahingontekojen ja rikosten tunnistamiseksi Lähde: www.pk-rh.com 1.Tahalliset teot - onko varkausriskit eri kohteissa selvitetty - onko rahojen käsittely hallinnassa, kavallusmahdollisuus? - onko omaisuuden ja tietojen myynti ja luovutus hallinnassa? - onko ulkoiset ja sisäiset sabotaasimahdollisuudet kartoitettu? - onko työyhteisö, henkilösuhteet ja työkyky hallinnassa? - miten sisäiset valvonta- ja tarkastusjärjestelmät toimivat? - onko maisuus vakuutettu ja turvamerkitty? 2. Murtosuojaus - onko kulunvalvonta-, rikosilmoitus- ja valvontajärjestelmä? - onko avainten / kulkulupien hallinta kunnossa? 17.3.2004 T-110.460 Kouri 43 tarkistuslista jatkuu 3. Tietoturvallisuus - onko tietoturvaperiaatteet määritetty ja perehdytetty? - kattaako sähköisen tietojärjestelmän, suullisen viestinnän ja paperidokumenttien käsittelyn ja jakelun? - onko tiedot luokiteltu ja suojausperiaatteet määritelty? - onko keskeiset tiedot suojattu käyttöoikeuksia rajaamalla? - onko varauduttu varajärjestelmiin tai korvaaviin toimintamenetelmiin? - toimiiko varmuuskopiointijärjestelmä? - onko työasemat suojattu riittävästi? - onko tietoturvallisuus työsuhteen päättyessä mietitty? 4. Tahattomat vahingot - selkeät työohjeet, virheraportointi, laadunvalvonta, toimintojen varmistukset ja tarkistukset 17.3.2004 T-110.460 Kouri 44 Ilkka Kouri 22