SELVITYS TIETOJEN SUOJAUKSESTA



Samankaltaiset tiedostot
SELVITYS TIETOJEN SUOJAUKSESTA

KÄYTTÖLUPAHAKEMUS PALVELUTIETO- VARANTOON. Suomi.fi-palvelutietovaranto

ESR-Henkilö. Tunnistautuminen ESR-Henkilö -järjestelmässä

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Suomi.fi-tunnistaminen

Tilintarkastusyhteisön valvontatiedot 1 (4)

Sähköpostiosoite: Postiosoite: PL HELSINGIN KAUPUNKI

Muutoksenhakuohje. Muutoksenhakukiellot. Oikaisuvaatimus. Valitusosoitus

Rekisterinpidon ja käytönvalvonnan haasteet

Suomen Lions-liitto ry Käyttäjätunnus ja sisäänkirjautuminen MyLCI - Käyttäjäohje Versio

VTJ-ylläpito. Käyttäjän ohje Kunnat. Vain luvansaajaorganisaation sisäiseen käyttöön

Henkilötietojen suojasta kiinteistökaupan verkkopalvelussa

Jäsenluettelo ja henkilörekisterit. Olli Välke Opintokeskus Visio

VTJ-RAJAPINTA PALVELUKUVAUS

Katso-palvelun siirto VRK:lle

JUHTAn Perustietovarantojaosto Tietosuojan ydinryhmä muistio

Suomi.fi-tunnistaminen Julkishallinto, valtion ja kuntien yhtiöt Versio 2.0, JTO142

HUOM! Sinisellä taustavärillä on merkitty tarjoajan täytettäväksi tarkoitetut sarakkeet/kohdat/solut.

SOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTEL- MÄSTÄ

Ohje hakulomakkeen täyttämiseen yliopistohaku.fi -palvelussa

Työttömyyskassat, Vakuutuslaitokset ja näiden ATK palvelukeskukset sekä Kansaneläkelaitos Diaarinumero A49 /7101/2013

Helsingin kaupunki Pöytäkirja 1 (6) Liikennelaitos -liikelaitos (HKL) Kunnossapitoyksikkö Yksikön johtaja

Pelastuslaitosten tietoturvallisuuden

Käyttövaltuushallintaa kehitetään (SAP IDM -projekti), hyödyt virastoille

Länsi-Pohjan sairaanhoitopiiri Perusterveydenhuollon yksikkö Teija Horsma

VTJ-RAJAPINTA PALVELUKUVAUS

ASIA HAKIJA. PÄÄTÖS Nro 17/2014/2 Dnro PSAVI/82/04.09/2013 Annettu julkipanon jälkeen

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Punaisen Ristin valokuvaetsintä

Lupapiste-palvelua koskeva Yritystilisopimus

perusopetuslain muuttamisesta

Ajankohtaista laboratoriorintamalla Pasila Emilia Savolainen, Suunnittelu- ja ohjausyksikkö

TIETOSUOJASELOSTE. yhdistetty rekisteriseloste ja informointiasiakirja. Henkilötietolaki (523/99) 10 ja 24

Työttömyyskassat, Vakuutuslaitokset ja näiden ATK palvelukeskukset sekä Kansaneläkelaitos Diaarinumero A36/7101/2014

Päätökset ( ) , 279. Sovellettava lainkohta: kuntalain (365/1995) 91. Päätökset ( ): ,

Yhteystiedot (osoite, puhelin ) Liperin kunta / Keskustie 10, LIPERI puh s-posti: kirjaamo@liperi.fi

Suomen Oikeudellinen Perintä

STRATEGISET PÄÄMÄÄRÄT

Tilaajavastuulain muutokset

Nuorten tieto- ja neuvontatyön sekä verkkonuorisotyön avustukset. Emma Kuusi

Aalto-yliopiston sähköisen asioinnin ja asiankäsittelyn alusta Apply-palvelu

Julkisuus ja salassapito. Pirjo Vehkamäki

Valtion viranomainen tai kunta/kuntayhtymä voi liittyä ilmoitusmenettelyllä tähän palveluun. Liite 1.

Katso-tunnistautuminen. Jyrki Laitinen ja Johanna Kallio Järjestelmän koulutus syksy 2015 Suomen ympäristökeskus SYKE

Oulun kaupunki / Joukkoliikennejaosto Y-tunnus

Valtion maksukortin käyttö

Palautetaan täytettynä liitteineen tarjouksen yhteydessä I. TARJOAJAN TIEDOT

Toimittajan yrityksen kaupparekisteriin merkitty virallinen nimi.

Sonera Hosted Mail -palvelun käyttöohje

HAKEMUS TEHOSTETUN PALVELUASUMISEN PALVELUSETELITUOTTAJAKSI

Sovellettava lainkohta: Kunta laki 91.

Lastensuojeluilmoitusten rekisteri

OHJE SÄHKÖISEN HAKEMUKSEN TÄYTTÄMISEEN

Venäjän uudistunut henkilötietolainsäädäntö

Joensuun seudun hankintatoimi

Tietosuoja sosiaali- ja terveyspalveluissa. Ari Andreasson tietosuojavastaava, Tampereen kaupunki , Helsinki

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Mäntsälän kunta, Mustijoen perusturva. sosiaalipalvelupäällikkö Arja Tolttila Heikinkuja MÄNTSÄLÄ. puhelin (vaihde)

Helsingin kaupunki Pöytäkirja 1 (5) Kiinteistövirasto 12/2015 Asunto-osasto Apulaisosastopäällikkö

EasyParkin Tietosuojakäytäntö

PÄÄTÖS SISÄPIIRINTIEDON JULKISTAMISEN LYKKÄÄMISESTÄ

2. Miksi keräämme käyttäjien tietoja? Fernando kerää ja käsittelee tiettyjä sivustonsa käyttäjien henkilötietoja, jotta:

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Todistus elintarvikealan toimijalle elintarvikehuoneistoa koskevan

KanTa-palveluiden liittyjämääritelmä. erespa Vaikuttajafoorumi2 Kehittämispäällikkö Maritta Korhonen

LIITE 3. Helsingin kaupunki (jäljempänä Tilaaja) Osoite: Helsingin kaupungin hankintakeskus PL 700, Helsingin kaupunki

Tilaaja: Espoon kaupunki / Espoo Kaupunkitekniikka - liikelaitos PL 6400 (Teirinsyrjä 4) ESPOON KAUPUNKI

Sisällysluettelo. Kysymyksiä ja vastauksia (Q&A) - Sisäpiiriluettelot (MAR 18 artikla) MAR-asetukseen liittyvät tulkinnat ja kannanotot

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

Tämän kyselyn määritelmät on kuvattu sopimuksessa.

Tilintarkastajan valvontatiedot 1 (5)

Laki sosiaalihuollon asiakasasiakirjoista (luonnos)

Lue ohjeet huolellisesti ennen laitteen käyttöä.

Liite 2 : RAFAELA -aineiston elinkaaren hallinta

Tarkentava virkaehtosopimus luottamusmiesten ja työsuojeluvaltuutettujen palkkioista ja palkkauksesta

HELSINGIN KAUPUNKI OSALLISTUMISPYYNTÖ 1 (5) HANKINTAKESKUS H HEL

Väli- ja loppuraportointi

Windows Live SkyDrive - esittely

LUONNOS ELINVOIMAPOLIITTINEN KUMPPANUUSSOPIMUS. Kumppanuuden osapuolet

Henkilöstön asema ja järjestöjen palvelut

HELSINGIN KAUPUNKI MUISTIO Numero 1 TALOUS- JA SUUNNITTELUKESKUS Tietotekniikkaosasto

TimeEdit henkilökunnan ohje

Lapin innovaatioassistentti -valmennuskokonaisuus 2016

Ohjelmiston käyttäjätunnukset ja käyttöoikeudet

MATKAHUOLLON MATKAPALVELUIDEN KÄYTTÖÄ KOS- KEVA SOPIMUS

Keskuskirjastokokous Pasila Hannu Sulin

Lokipolitiikka (v 1.0/2015)

Lääkkeiden velvoitevarastointi - uudistunut asetus

Tapahtumat.infon käyttöehdot

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Työtapaturman ilmoittaminen 2016-> Uusi sähköinen lomake, täyttäminen esimies ja palkkahallinto

Tarjoajalla on oltava hankinnan kohteen laatu ja laajuus huomioon ottaen kokemusta seuraavilla alueilla:

VAMMAISPALVELUHAKEMUS

ALAJÄRVEN, LEHTIMÄEN, SOININ JA VIMPELIN LOMATOIMISTOJEN PUOLUEETON JA VANKKUMATON ÄÄNENKANNATTAJA. Täyttä asiaa, ei arvailuja - jo vuodesta 2008

HAKEMUSLOMAKE OHJATTUUN RYHMÄTOIMINTAAN KOIVUTARHAAN (KANNUS), KOTIPÄÄSKYYN (KOKKOLA) JA VASKOOLIIN (VETELI)

Arkkitehtitoimistojen Liitto ATL ry Julkisten hankintojen lainsäädännön vaikutus arkkitehtipalveluihin Kesä-elokuu 2010, vastaajia: 66

Lastensuojelun asiakasrekisteri

TARJOUSYHTEENVETO LIITE 6.1 SISÄLTÖ KASELY/268/2016,

Kuulutus 1 (1) kokonaan raukeavat valtausalueet: 9202/8-12 ja 9446/1-5 sekä osittain raukeavat valtausalueet: 9202/1-7

Hallintarekisteröityjen osakkaiden äänestäminen (yht. 7 osakasta, ääntä)

Transkriptio:

SELVITYS 1 (11) Väestörekisterikeskus Tietopalvelut PL 123 00531 HELSINKI Väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain (661/2009) 44 :n mukainen selvitys tietojen suojauksesta SELVITYS TIETOJEN SUOJAUKSESTA Väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain (661/2009) 44 :ssä säädetään, että väestötietojärjestelmän (VTJ) tietojen käyttäjän on annettava kirjallinen selvitys siitä, kuinka tietojen hallinnollinen ja fyysinen turvallisuus sekä henkilöstö-, tietoliikenne- ohjelmisto-, tietoaineisto-, käyttö- ja laitteistoturvallisuus on varmistettu. Väestörekisterikeskuksen (VRK) myöntämää tietolupaa hakevan organisaation on annettava em. selvitys tietojen suojauksesta täyttämällä tämä selvityslomake ja tarvittaessa antamalla erillinen lisäselvitys tietojen suojauksen tavoista ja menettelyistä. Selvitys koskee VTJ-tietojen tai VTJ:stä peräisin olevien tietojen käsittelyä. Muuta tietojen käsittelyä ei ole tarpeen kuvata selvityksessä. Muutoksista tietojen käyttäjäorganisaatiossa tai sen toiminnassa, tietojen käyttötarkoituksessa, tietojen käsittelyn teknisessä toteutuksessa, tietoja käsittelevässä henkilöstössä tai muissa tässä selvityksessä annetuissa tiedoissa on ilmoitettava viipymättä Väestörekisterikeskukselle. Määritelmät Tässä selvityksessä tietojen käsittelyllä tarkoitetaan tietojen keräämistä, tallettamista, järjestämistä, käyttöä, siirtämistä, luovuttamista, säilyttämistä, muuttamista, yhdistämistä, suojaamista, poistamista, tuhoamista sekä muista tietoihin kohdistuvia toimenpiteitä. Tässä selvityksessä henkilöstöllä tarkoitetaan niitä tietolupaa hakevan organisaation tai em. organisaatioon sopimussuhteessa olevan alihankkijan palveluksessa olevia henkilöitä, jotka käsittelevät VTJ:stä peräisin olevia tietoja.

SELVITYS 2 (11) Tässä selvityksessä ulkopuolisella tarkoitetaan paitsi ulkopuolisia henkilöitä, kuten asiakkaita, myös niitä tietolupaa hakevan organisaation tai em. organisaatioon sopimussuhteessa olevan alihankkijan palveluksessa olevia henkilöitä, jotka eivät käsittele VTJ:stä peräisin olevia tietoja. Ohje täyttämiseen Kysymykset on jaoteltu aihealueittain ja osa kysymyksistä on luonteeltaan sellaisia, että niihin vastaaminen edellyttää tarkempaa tietoa tietojen teknisestä käsittelystä. Jos organisaatio hakee VTJkysely suorakysely palvelua, on täytettävä kohdat 1.1-1.5. Jos organisaatio hakee VTJkysely Sovelluskyselyn, Suomi.fi-tunnistamisen tai Muutostietopalvelun tietolupaa, on täytettävä kysymykset kohdassa 1.1-1.6. Jos julkishallinnon toimija hakee turvakiellon alaisia tietoja, tulee täyttää edellä mainittujen lisäksi myös kohta 1.7. Vaatimukset koskevat myös mahdollisia tietolupaa hakevan organisaation alihankkijoita, jotka osallistuvat VTJ-tietojen käsittelyyn ja/tai joilla on mahdollisuus nähdä VTJ-tietoja. Organisaatiossa on tällaisten alihankkijoiden kanssa solmituissa sopimuksissa huomioitava, että vaatimukset tulevat täytetyiksi myös alihankkijoiden käsitellessä ja/tai nähdessä VTJ-tietoja. Vaatimuskohdissa on erikseen kirjattu, mikäli ko. kohta ei koske alihankkijaa. Selvityksen salassapito Väestörekisterikeskus noudattaa asiakirjojen käsittelyssä lakia viranomaisten toiminnan julkisuudesta (621/1999) sekä sen nojalla annettua valtioneuvoston asetusta tietoturvallisuudesta valtionhallinnossa (681/2010). Tietolupaa hakevan organisaation on merkittävä selvitykseen, mikäli se katsoo, että annettu selvitys sisältää salassa pidettäviä tai luottamuksellisia kohtia. Merkinnät on tehtävä selvästi ja niistä on käytävä ilmi, miltä osin organisaatio katsoo selvityksen olevan salassa pidettävä. Mikäli organisaatio ei itse ole tehnyt selvitykseen merkintää salassapidosta tai luottamuksellisuudesta, annetut selvitykset käsitellään suojaustason IV (Käyttö rajoitettu) mukaisesti, ellei tietolupaa hakevan organisaation merkintöjen ja/tai Väestörekisterikeskuksen tekemän arvioinnin perusteella Väestörekisterikeskus katso, että annettua selvitystä on käsiteltävä suojaustason III (Luottamuksellinen) mukaisesti. Selvityksen allekirjoittaminen Hyväksynnän ja sitoumuksen yrityksen/yhteisön puolesta antaa henkilö, jolla on nimenkirjoitusoikeus organisaation puolesta tehtävissä oikeustoimissa. Selvityksen toimittaminen Väestörekisterikeskus suosittaa, että selvitys toimitetaan postitse kirjattuna kirjeenä tai sähköisesti salattuna sähköpostina. Mikäli selvitys toimitetaan normaalina kirjeenä, Väestörekisterikeskus suosittaa, että selvitys lähetetään mustaan läpinäkymättömään kirjekuoreen pakattuna.

SELVITYS 3 (11) Lisätietoja Lisätietoja tietojen suojauksesta annettavasta selvityksestä saa Väestörekisterikeskuksen Tietopalvelujen asiantuntijoilta: Julkishallinnon asiakkaat puh. 0295 535 001 / Vaihde/Tietopalvelut/Julkishallinto tai julkishallinto@vrk.fi Yksityissektorin asiakkaat puh. 0295 535 001 / Vaihde/Tietopalvelut/Yritysasiakkaat tai yritysasiakkaat@vrk.fi

SELVITYS 4 (11) Kaikille pakolliset kysymykset 1.1-1.5. Näihin kysymyksiin on vastattava palvelumuodosta riippumatta. 1.1 Hallinnollinen ja henkilöstöturvallisuus Kyllä Ei 1. Organisaatiossa on johdon hyväksymä tietoturvapolitiikka tai hyväksymät tietoturvakäytänteet ja -ohjeet. Vaatimus ei koske alihankkijoita. 2. Organisaatiossa on nimetty tietoturvallisuuden vastuuhenkilö. Vaatimus ei koske alihankkijoita. 3. Henkilötietojen käsittely on ohjeistettu ja koulutettu organisaatiossa. 4. Henkilötietojen käsittelyä seurataan organisaatiossa. Henkilötietojen käsittelyn seuraamisella tarkoitetaan esimerkiksi käyttöoikeuksien antamista vain tietyille henkilöille, käsittelyn mahdollistamista vain myönnetyin käyttöoikeuksin (käyttäjätunnus ja salasana) sekä käsittelyn lokitusta. 5. Organisaatio huolehtii, että henkilöstö toimii virkavastuulla tai muutoin sitoutuu kirjallisesti VTJ-tietojen ja muun materiaalin salassapitoon ja asianmukaiseen käsittelyyn, siten että VTJ:n tietojen salassapito ei pääty lainkaan, vaan on elinikäinen. 6. Organisaatiossa on sovittu menettelytapa, jolla varmistetaan, että henkilöstöllä on ajantasainen tieto VRK:n myöntämän tietoluvan ehdoista ja muista VTJ-tietojen käytön ehdoista. 7. Organisaatiossa on varmistettu, että henkilöillä, joilla ei työtehtävissään ole oikeutta käsitellä VTJ-tietoja, ei ole pääsyä tai näkymää niihin. 8. Organisaatiossa tietoturvapoikkeamien käsittely on ohjeistettu ja koulutettu. 1.2 Fyysinen turvallisuus Kyllä Ei 1. Tilat (esimerkiksi työpiste), joissa käsitellään VTJ-tietoja, ovat sellaiset, että ulkopuoliset pääsevät tiloihin vain saatettuna. Mikäli ei, kuvaile millaiset tilat ovat 2. Onko ulkopuolisilla näkymä VTJ-tietoihin? 3. Organisaatiossa on käytössä näytönsuojat näytöissä, joissa käsitellään VTJ-tietoja. 4. Organisaation tilat, joissa käsitellään VTJ-tietoja, ovat lukitut ja/tai valvotut henkilöstön poissa ollessa.

SELVITYS 5 (11) 1.3 Käyttö- ja laitteistoturvallisuus Kyllä Ei 1. Organisaatiossa on käytössä ns. puhtaan pöydän / näytön periaate VTJ-tietoja käsiteltäessä. Puhtaan pöydän periaatteella tarkoitetaan, että työpöydällä tai näytöllä ei ole saatavilla sellaista tietoa, joihin ulkopuolisilla ei kuulu olla pääsyä. 2. Käyttöoikeuksien hallintaprosessit ovat kuvattu ja ne ovat käytössä. Käyttöoikeuksien myöntäminen, muuttaminen, poistaminen ja hyväksyminen. 3. Käyttöoikeudet ovat henkilökohtaisia ja organisaatiossa voidaan tarvittaessa selvittää käyttöoikeuden haltija. 4. Käyttöoikeuksien voimassaolon edellytykset tarkastetaan säännöllisesti. 5. Organisaatiossa on käytössä kirjautumisten yhteydessä vahva tunnistautuminen. Vahvalla sähköisellä tunnistamisella tarkoitetaan henkilön yksilöimistä ja tunnisteen aitouden ja oikeellisuuden todentamista sähköistä menetelmää käyttämällä perustuen vähintään kahteen seuraavista kolmesta vaihtoehdosta: a) salasanaan tai johonkin muuhun sellaiseen, mitä tunnistusvälineen haltija tietää; b) sirukorttiin tai johonkin muuhun sellaiseen, mitä tunnistusvälineen haltijalla on hallussaan; c) sormenjälkeen tai johonkin muuhun tunnistusvälineen haltijan yksilöivään ominaisuuteen. Esimerkiksi korttikirjautuminen on vahva sähköinen tunnistusmenetelmä. Mikäli Kyllä, siirtykää kysymykseen seitsemän (7). Mikäli Ei, vastatkaa myös kysymykseen kuusi (6). 6. Salasanat järjestelmiin, joissa käsitellään tai voidaan nähdä VTJ-tietoja, ovat tietoturvallisia ja niitä käsitellään tietoturvallisesti. Salasanat ovat henkilökohtaisia ja salasanan haltija säilyttää salasanojaan huolellisesti ja siten, että ne eivät paljastu ulkopuolisille. Salasanoille on määritelty laatuvaatimukset ja säännöllinen vaihtoväli. (VRK suosittaa, että salasanat ovat esimerkiksi pituudeltaan vähintään 14 merkkiä sisältäen numeroita, isoja ja pieniä kirjaimia ja erikoismerkkejä. VRK suosittaa, että salasanojen vaihtoväli on 60 120 vuorokautta.) 7. Organisaatiossa on määritelty tietovälineiden ja asiakirjojen tietoturvalliset hävittämismenetelmät. Tässä tietovälineillä tarkoitetaan välineitä, joilla käsitellään tai välitetään VTJ-tietoja tai joille tallennetaan VTJ-tietoja. Tietovälineitä ovat esimerkiksi kovalevyt, levykkeet, muistitikut, muistikortit, CD-/DVD-levyt ja tallennusnauhat tai muut vastaavat. Tietovälineiden tietoturvallisella hävittämismenetelmällä tarkoitetaan esimerkiksi kovalevyjen, levykkeiden, muistitikkujen ja muistikorttien murskaamista tai ylikirjoittamista vähintään kolme (3) kertaa, mikäli ylikirjoittaminen on teknisesti mahdollista, CD-/DVD-levyjen murskaamista, prässäämistä tai mikroaalloilla tuhoamista ja tallennusnauhojen ylikirjoittamista vähintään kolme (3) kertaa. Tässä asiakirjoilla tarkoitetaan dokumentteja, jotka sisältävät VTJ-tietoja. Asiakirjoja ovat esimerkiksi tulosteet tai erimuotoiset sähköiset asiakirjat. Asiakirjojen tietoturvallisella hävittämismenetelmällä tarkoitetaan esimerkiksi paperitulosteen silppuamista siten, että silpun leveys on maksimissaan kaksi millimetriä (2 mm). 8. Organisaatiossa on käytössä menettely, jolla varmistetaan, että huoltoon menevillä tietovälineillä ei ole VTJ-tietoja. Esimerkiksi ylikirjoittamalla levyn tiedot vähintään kolme (3) kertaa.

SELVITYS 6 (11) 9. VTJ-tietoja käsitellään etätyössä. VRK:n etätyöohjeistuksen mukaan VTJ-tietojen käsittely etätyössä on sallittu vain valtion ja kunnan viranomaisille sekä Kelalle. 1.4 Ohjelmisto- ja tietoliikenneturvallisuus Kyllä Ei 1. Ohjelmistopohjainen haittaohjelmasuojaus on käytössä. 2. Haittaohjelmasuojaus päivitetään säännöllisesti ja automaattisesti. 3. Organisaatiossa on olemassa menettely, jolla estetään ulkopuolisten pääsy organisaation tietoverkkoon. Esimerkiksi pääsynhallinta ja palomuurit 1.5 Tietojen käsittely ja käyttö Kyllä Ei 1. Tietoluvan mukaisten henkilötietojen käsittelyä tapahtuu Suomen rajojen ulkopuolella. Mikäli Kyllä, missä [maa(t)]? 2. Tietoluvan mukaisten henkilötietojen käsittelyä tapahtuu organisaation ulkopuolella, esimerkiksi ulkoistettu osin tai kokonaan. Mikäli Kyllä, edellytetään lisäselvitystä siitä, missä, miltä osin ja kenen toimesta henkilötietojen käsittelyä tapahtuu. 3. VTJ-tietoja luovutetaan edelleen kolmannelle osapuolelle. Mikäli Kyllä, mille taho(i)lle? 4. Organisaatiolla on velvollisuus luovuttaa henkilötietoja jollekin kolmannelle taholle. Mikäli Kyllä, mille taho(i)lle?

SELVITYS 7 (11) 1.6 VTJkysely Sovelluskysely ja Muutostieto -palvelun tarkennetut vaatimukset Mikäli organisaatio hakee tai käyttää VTJkysely Sovelluskysely tai Muutostieto -palvelua, ko. palvelua koskevat tarkennetut vaatimusehdot tulee täyttää tähän ja antaa tarvittaessa lisäselvitys tietojen suojauksen tavoista ja menettelyistä. Osana tietojen käytön seurantaa ja valvontaa Väestörekisterikeskus edellyttää, että väestötietojärjestelmästä saatujen tietoaineistojen käsittely on lokitettava. 1. Tuotanto- ja testiympäristöt on eriytetty toisistaan. 2. VTJkysely Sovelluskysely -palvelulla saatavia VTJ-tietoja luovutetaan ulkopuolisille. Ulkopuoliseksi katsotaan kaikki muut tahot kuin tietoluvassa merkitty luvansaaja tai ns. raamiluvansaajan asiakas. Mikäli Kyllä, mille tahoille? Kyllä Ei 3. VTJkysely Sovelluskysely -palvelulla saatavia kyselyvastauksia näytetään kansalaisen käyttämässä palvelussa vain kun kansalainen on tunnistettu vahvasti. Tiedot, joita kansalaiselle voidaan näyttää, määritellään tietoluvassa. 4. Sovelluskyselyn suorittamiseen pyydetään henkilön suostumus tietojen tarkastamiseksi tai henkilöä informoidaan etukäteen tietojen tarkastamisesta sovelluskyselyn avulla. 5. Sovelluskyselyllä saatavat vastaukset tallennetaan rekisteriin. Mikäli Kyllä, mihin rekisteriin/rekistereihin? Luovutetaanko rekisteristä tietoja EU/ETA alueen ulkopuolelle? Mikäli Kyllä, mihin maahan/maihin? 6. Organisaation tässä palvelussa käyttämät palvelimet ja tietokannat sijaitsevat kokonaisuudessaan Suomessa. Mikäli Ei, edellytetään lisäselvitystä, missä [maa(t)]? 7. Organisaatio hyödyntää VTJ-tietojen käsittelyssä osaksi tai kokonaan pilvipalvelua. Mikäli Kyllä, edellytetään lisäselvitystä. Pilvipalvelun toimittajan nimi Pilvipalvelun tarjoajan kotipaikka Missä käytetty pilvipalvelu sijaitsee maantieteellisesti, mikäli tietoa?

SELVITYS 8 (11) 8. Lokeihin kirjautuu tieto kyselyn tekijästä, kyselyn ajankohdasta sekä kyselyn kohteesta. 9. Lokitiedot säilytetään viisi (5) vuotta. 10. Lokitiedot on suojattu tietojen jälkikäteiseltä muuttamiselta. Esimerkiksi sallimalla vain lukuoikeudet lokitietoihin tai organisaatiossa on käytössä keskitetty lokien hallintajärjestelmä. 11. Lokitietoihin pääsy on rajattu vain asiaankuuluvia tehtäviä tekeville henkilöille. 12. Em. henkilöjoukko on lukumäärältään rajattu 1 5 henkilöön. 13. Lokit hävitetään viiden (5) vuoden jälkeen tietoturvallisesti joko automaattisesti tai manuaalisesti. VRK suosittaa lokien hävittämistä automaattisesti. 14. Organisaatiossa varmistutaan määräajoin lokien muodostumisesta. VRK suosittaa lokien muodostuminen varmistamista vuosittain ja muutoin merkittävien muutosten yhteydessä.

SELVITYS 9 (11) 1.7 Turvakiellon alaisten tietojen käsittelyyn liittyvät vaatimukset julkishallinnon organisaatioille Mikäli viranomainen hakee tai käyttää VTJ-palvelua, jonka välityksellä viranomaiselle toimitetaan ja/tai se saa käyttöönsä turvakiellon alaisia tietoja, turvakiellon alaisten tietojen käsittelyä koskevat tarkennetut vaatimusehdot tulee täyttää tähän ja antaa tarvittaessa lisäselvitys tietojen suojauksen tavoista ja menettelyistä. Kyllä Ei 1. Turvakiellon alaisia tietoja käsitellään sellaisessa tilassa, että käytössä on näytönsuojat näytöissä, joissa käsitellään turvakiellon alaisia tietoja, tai tilassa, jossa ulkopuolisilla ei ole näkymää ja pääsyä turvakiellon alaisiin tiloihin. Esimerkiksi tilat on lukittu tai kulunvalvonnan piirissä ja tilan ikkunoissa on verhot tai sälekaihtimet tai näkymä tietoihin on muutoin estetty. 2. Viranomaisella on lakiin perustuva oikeus käsitellä turvakiellon alaisia tietoja. Viranomainen käyttää turvakiellon alaisia tietoja vain lain tai sen nojalla säädetyn tai määrätyn kyseessä olevan henkilön oikeutta tai velvollisuutta koskevan tehtävän, toimenpiteen tai toimeksiannon hoitamiseen. Mikäli Kyllä, luetteloi lain nimi ja pykälä mihin perustuu? 3. Onko hallinnonala tai yksikkö, jolle haetaan oikeutta turvakiellon alaisiin tietoihin, osakeyhtiö tai yritysmäisesti toimiva voittoa tuottava kuntalain 365/1995 mukainen liikelaitos? Jos Kyllä, nimi 4. Turvakiellon alaisia tietoja käsittelevät vain erikseen tehtävään nimetyt henkilöt, joiden tehtäviin kyseisten tietojen käsittely välittömästi kuuluu. Käyttöoikeudet tulee rajata teknisesti niin, että muilla kuin erikseen tehtävään nimetyillä henkilöillä ei ole mahdollisuutta käsitellä turvakiellon alaisia tietoja. 5. Viranomainen on tutustunut VRK:n antamiin väestötietojärjestelmän ajantasaisiin turvakiellon käytännesääntöihin 6. Viranomaisella on olemassa ajantasaiset kirjalliset ohjeistukset turvakiellon alaisten tietojen käsittelystä. 7. Henkilöstöä on ohjeistettu, että etätyössä ei saa käsitellä turvakiellon alaisia tietoja. 8. Henkilöstö (vastuu- ja varahenkilöt) perehdytetään turvakiellon alaisten tietojen käsittelyyn. 9. Viranomaisella on lakiin perustuva oikeus luovuttaa toiselle viranomaiselle turvakiellon alaista tietoa edelleen. Kun rekisterihallinnon viranomainen luovuttaa toiselle viranomaiselle turvakiellon kohteena olevia tietoja, sen on samalla ilmoitettava viranomaiselle myös turvakiellosta. Mikäli Kyllä, mille taho(i)lle ja mihin lakiin perustuen (tarkka pykäläviittaus ilmoitettava)?

SELVITYS 10 (11) 10. Viranomainen luovuttaa turvakiellon alaisia tietoja viranomaistahon ulkopuolelle. Mikäli Kyllä, mille taho(i)lle? 11. Tietoturvapoikkeamat, jotka liittyvät VTJ:n tietojen käsittelyyn, raportoidaan kirjallisesti ja ilmoitetaan VRK:lle. 12. Turvakiellon alaisia tietoja käsittelevät henkilöt ovat virkasuhteessa. Mikäli Ei, työnantajan nimi ja selvitys työsuhteesta 13. Viranomainen pitää yllä ajantasaista luetteloa henkilöistä, jotka saavat käsitellä turvakiellon alaisia tietoja. 14. Turvakiellon alaisia tietoja tallennetaan järjestelmiin tai tietovälineisiin. Mikäli Kyllä, mihin järjestelmiin tai tietovälineisiin tietoja tallennetaan ja miksi? Perusteltava huolella, sillä tämä on sallittua vain erittäin poikkeuksellisista syistä.

SELVITYS 11 (11) 1.8 Organisaatiotiedot ja allekirjoitus Väestörekisterikeskus korostaa, että organisaatio vastaa väestötietojärjestelmän tietojen tietoluvan mukaisesta käytöstä. Väestötietojärjestelmän tiedot eivät ole julkisia, eikä tietoja saa luovuttaa kolmannelle osapuolelle ilman Väestörekisterikeskuksen lupaa. Luvansaajan on valvottava, että väestötietojärjestelmän tietoja käytetään vain tietoluvassa määriteltyyn käyttötarkoitukseen ja että väestötietojärjestelmästä haetaan ainoastaan sellaiset tiedot, jotka ovat tarpeen ja joiden käsittelyyn luvansaajalla on oikeus. Vakuutamme tässä selvityksessä annetut tiedot oikeiksi ja sitoudumme ilmoittamaan muutoksista, mikäli organisaatiollemme myönnetään Väestörekisterikeskuksen myöntämä tietolupa palveluun/-palveluihin, joissa välitetään väestötietojärjestelmän tietoja. Organisaatio Y-tunnus Allekirjoitus ja nimenselvennys Päiväys / Toimi/asema organisaatiossa Puhelinnumero Sähköpostiosoite

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute