Liite 1 Muistio korkeakoulun rekisterissään ylläpitämien tietojen teknisestä tietojenkäsittelypalvelusta 0) JOHDANTO - Korkeakoulujen valtakunnalliseen tietovarantoon (tietovaranto) tallennetaan lakisääteisesti korkeakoulun opiskelijatietoja sisältävän henkilörekisterin tietoja (laki 1058/1998). Kyseessä ei ole tietojen luovutus vaan tiedot säilyvät osana korkeakoulun henkilörekisteriä ja vastuuta rekisterinpitäjänä. - Lain mukaisesti opetus- ja kulttuuriministeriö (OKM) on tietovarannon tekninen ylläpitäjä. OKM on delegoinut ylläpitotehtäviään CSC - Tieteen tietotekniikan keskus Oy:lle (CSC). Tietovarannon teknisenä ylläpitäjänä OKM tuottaa korkeakoululle korkeakoulun rekisterin tietojen teknistä tietojenkäsittelypalvelua, jota korkeakoulu käyttää lain velvoittamana. - Lain 6 b :n mukaan OKM vastaa tietovarannon teknisenä ylläpitäjänä tietovarannon yleisestä toiminnasta sekä teknisestä käyttöyhteydestä tietojen tallentamista, käsittelyä ja luovutusta varten. Pykälän mukaan tietovarannon tekninen ylläpitäjä vastaa tietovarannon käytettävyydestä, eheydestä ja muuttumattomuudesta sekä suojaamisesta ja säilyttämisestä. OKM antaa määräykset ja ohjeet, joita ammattikorkeakoulujen, yliopistojen (korkeakoulut) ja CSC:n sekä tietovarannon tietoja hyödyntävien tahojen on toiminnassaan noudatettava. - Tämä muistio on kooste niistä määräyksistä ja ohjeista, jotka laissa säädettyä tarkemmalla tasolla määrittelevät korkeakoulujen, OKM:n ja CSC:n väliset vastuut ja velvoitteet korkeakoulujen valtakunnallisen tietovarannon käytössä ja ylläpidossa. Muistion pohjana on käytetty tietosuojavaltuutetun toimiston tietojenkäsittelypalvelusopimusmallia, mutta koska tietovaranto on lakisääteinen palvelu, jota korkeakoulujen on velvollisuus käyttää, ei kyseessä kuitenkaan ole sopimus. Korkeakoululta ei edellytetä erikseen päätöstä tämän muistion mukaisesta toiminnasta. - CSC on ottanut tämän muistion mukaiset velvoitteet vastaan OKM:n ja CSC:n välisessä sopimuksessa SOPIMUS PALVELUKOKONAISUUKSIEN TOIMITTAMISESTA OPETUS- JA KULTTUURIMINISTERIÖN KORKEAKOULU- JA TIEDEPOLITIIKAN OSASTOLLE KOULUTUKSEN, TIETEEN, KULTTUURIN JA HALLINNON TARPEISIIN VUONNA 2014. 1) MUISTIOSSA KUVATUN TOIMINNAN OSAPUOLET - Korkeakoulu tietojensa rekisterinpitäjänä käyttää tietojenkäsittelypalvelua, josta - teknisenä ylläpitäjänä vastaa opetus- ja kulttuuriministeriö (OKM) ja OKM:n delegoimilta osin CSC Tieteen tietotekniikan keskus Oy (CSC) tämän muistion mukaisesti. 2) MUISTION KOHDE
- Laissa 1058/1998 säädetty korkeakoulujen valtakunnallisesta tietovaranto ja korkeakoulun opiskelijatietoja sisältävän rekisterin määrättyjen tietojen teknisen tietojenkäsittelypalvelujen antaminen korkeakoululle opetus- ja kulttuuriministeriön hoitaessa sille laissa määrättyä tehtävää tietovarannon teknisenä ylläpitäjänä. 3) KORKEAKOULUN ASEMA, OIKEUDET JA VELVOLLISUUDET SEKÄ CSC:N ASEMA, TEHTÄVÄT JA VELVOLLISUUDET - Henkilötietojen käsittely sekä korkeakoulun ja teknisen ylläpitäjän tehtävät ja velvollisuudet on määrätty laissa 1058/1998. Näitä on myös kuvattu hallituksen esityksessä 44 / 2012 yksityiskohtaisten perusteluiden sivuilla 39-46. - Korkeakoulu huolehtii rekisterinpitäjänä tietosuojan toteutumisesta sekä tietosisällön oikeellisuudesta, tietojen tarkastamisesta ja tietojen korjaamisesta sekä päättää tietojen luovuttamisesta palvelun kautta ellei laissa muuta määrätä. (Laissa on erikseen säädetty tietojen luovuttamisesta opetushallituksen opiskelijavalintarekisteriin tietovarannon kautta). - OKM ohjaa ja valvoo CSC:n toimintaa teknisen ylläpitäjänä ja vastaa toiminnan asianmukaisuuden varmistamisesta - CSC on velvollinen huolehtimaan valtakunnallisesti keskitetyn teknisen tietojenkäsittelypalvelun asianmukaisuudesta, ylläpidosta, suojaamisesta, tietoturvallisuudesta ja tietojen säilyttämisestä korkeakoulun lukuun ja palvelusta tehtävien tietojenluovutusten asianmukaisuudesta sekä korkeakoulun tietojen poistamisesta palvelusta, mikäli säädetään palvelun käyttämisen lopettamisesta. - CSC:llä on oikeus käyttää korkeakoulun tietoja teknisen tietojenkäsittelypalvelun virheettömyyden varmistamiseen ja toiminnan valvontaan osana teknisen ylläpidon tehtäviä. - CSC:llä on ilman korkeakoulun erillistä toimeksiantoa oikeus välittää korkeakoulun tietoja Opetushallituksen toteuttamien valtakunnallisten palveluiden testikäyttöä ja varsinaista käyttöä varten (laki 1058/1998) varmistuttuaan Opetushallituksen palveluiden tietoturvasta ja ilmoitettuaan tällaisesta testauksesta etukäteen korkeakoululle. - CSC ei saa käyttää korkeakoulun tietoja omassa toiminnassaan. - Teknisen tietojenkäsittelyn osat ja tehtävät jakautuvat korkeakoulun ja CSC:n kesken seuraavasti: 1. Rekisteritietojen kopioiden siirtäminen korkeakoulusta CSC:lle 1.1.CSC vastaa tietoja siirtävän tahon tunnistamisesta salausavaimen perusteella sekä korkeakoulun ja CSC:n palvelimien välisen liikenteen sallimisesta ja palvelimien välisen liikenteen suojaamisesta 1.2.Korkeakoulu vastaa siirtotiedostojen muodostamisesta ja siirtämisestä sekä oman salausavaimen julkisen osan ilmoittaumisesta CSC:lle ja tietoliikenteen sallimisesta oman palvelimensa ja CSC:n palvelimen välillä 2. Siirrettujen rekisteritietojen kopioiden tarkastaminen CSC:llä 2.1.CSC tarkistaa tietojen tiedonsiirtomääritysten mukaisuuden. Korkeakoulun vastuulla olevan sisällöllisen tarkistuksen tueksi CSC voi tehdä myös suuntaaantavia sisällöllisiä tarkistuksia 3. Tarkastustuloksista raportoiminen korkeakoululle ja mahdollisten virheiden korjaamiseksi tiedonsiirron aloittaminen alusta kohdasta "1".
3.1.CSC tallentaa henkilötietopohjaiset havainnot mahdollisista virheistä tiedonsiirtopalvelimelle ja ilmoittaa korkeakoulun erikseen ilmoittamille yhteyshenkilöille tilastomuotoiset yhteenvedot tarkastamisen tuloksista 3.2.Korkeakoulu vastaa CSC:n tuottamia havaintotietoja hyödyntäen mahdollisten virheiden havaitsemisesta ja korjaamisesta sekä tietojen siirron uusimisesta virheet aiheuttaneiden tekijöiden poistamisen jälkeen 4. Tietojen tallentaminen 4.1.CSC huolehtii tietojen säilyttämisestä tietovarannossa 5. Tietojen luovuttaminen lukurajapinnan avulla tietoja kysyvälle taholle 5.1.CSC huoletii siitä, että lukurajapintoja voivat käyttää ainoastaan sellaiset tahot, joilla on valtuutus tietojen käyttämiseen sekä siitä, että lukurajapintojen liikenne on suojattu 5.2.Korkeakoulu rekisterinpitäjänä päättää tietojen luovutuksista paitsi siltä osin kuin laissa 1058/1998 säädetään tietojen luovuttamisesta Opetushallitukselle opiskelijavalintarekisteriin 6. Tietoturvan ja tietosuojan varmistavat käytännöt ja toimintatavat 6.1.CSC varmistaa teknisen ylläpitäjän tehtävien osalta tietoturvan toteutumisen VAHTI 2010 -suosituksen liitteen 5 mukaisen korotetun turvatason vaatimusten mukaisesti 6.2.Korkeakoulu vastaa omien käytäntöjensä mukaisesti, että tiedonsiirtopalvelin, palvelimen käyttö ja tietovarannon käyttöön liittyvät ilmoitukset ja raportit suojataan siten, että tietoturva ja tietosuoja eivät vaarannu 4) YHTEISTYÖ - Korkeakoulun OKM:n pyynnöstä nimeämä yhteyshenkilö vastaa muistion mukaisen toiminnan valvonnasta ja toimii korkeakoulun vastuuhenkilönä muistiota koskevissa asioissa. Mikäli yhteyshenkilö vaihtuu jatkossa, korkeakoulua ilmoittaa asiasta palveluosoitteeseen virta@csc.fi - Korkeakoulun nimeämät rekisterinpitäjän yhteyshenkilö ja tietoturvasta vastaava henkilö osallistuvat muistion mukaisen toiminnan valvontaan ja CSC toimittaa heille toimeenpanoon ja valvontaan liittyvät tiedot kuten yhteyshenkilölle. - CSC:n korkeakoulujen valtakunnallisesta tietovarannosta vastaava henkilö (kehityspäällikkö Antti Mäki) vastaa yhteyshenkilönä CSC:n velvoitteiden täyttymisestä mukaan lukien toimeenpanoon ja valvontaan liittyvien tietojen toimittamisesta korkeakoulun yhteyshenkilölle. 5) HINTA - Teknisen tietojenkäsittelypalvelun toteuttamisesta CSC:lle syntyvistä kustannuksista vastaa OKM. - Osapuolet vastaavat omista kustannuksistaan. - Mahdollisten korkeakoulujen tilaamien lisäpalveluiden kustannuksista sovitaan erikseen. 6) MUISTION MUKAISEN TOIMINNAN PÄÄTTÄMINEN/PÄÄTTYMINEN - Muistion mukaisesti toimitaan toistaiseksi.
- Lain 1058/1998 6 a - 6e :n voimassa ollessa korkeakoululla ei ole oikeutta lopettaa tietojenkäsittelypalvelun käyttöä, eikä OKM:llä ole oikeutta lopettaa palvelun tarjoamista - CSC voi päättää muistion mukaisen toiminnan opetus- ja kulttuuriministeriön määräyksestä, mihin lukeutuu myös CSC:n toiminnan lopettaminen tai CSC:n toiminnan luovuttaminen toiselle taholle. - Toimeksiannon päättyessä CSC:n hallussa olevat korkeakoulun tiedot hävitetään kuukauden kuluessa. - Mahdolliselle uudelle toimeksisaajalle tiedot toimitetaan korkeakoulusta eikä CSC:n tehtävänä ole järjestää tietojen toimittamista, ellei siitä erikseen muuten sovita. 7) SEURANTA JA VALVONTA - Korkeakoulun yhteyshenkilö saa vähintään kaksi kertaa vuodessa tilannekatsauksen muistion mukaisen palvelun tuottamisesta, tietojen luovutuksista, mahdollisista häiriöistä ja palvelun jatkonäkymistä. - CSC pitää yllä korkeakoulun yhteyshenkilön käyttöön tarkoitettuja seurantaa ja valvontaa tukevia tietoja, joita CSC päivittää yhteyshenkilöiden pyyntöjen mukaisesti siten kuin on CSC:n käytettävissä olevien resurssien puitteissa mahdollista. - Korkeakoulun edustaja voi huomauttaa havaitsemastaan tietojen käsittelyyn liittyvästä epäkohdasta CSC:lle, joka ryhtyy tarvittaviin toimiin epäkohdan korjaamiseksi. - RAKETTI-VIRTA-projektin päättymiseen asti palvelun teknistä ylläpitoa ja käyttöä seurataan ja valvotaan RAKETTI-Tietohallinto-ohjausryhmässä, joka toimii korkeakoulujen valtakunnallista tietovarantoa toteuttavan RAKETTI-VIRTA-projektin ohjausryhmänä. Korkeakoulujen tietohallintojohtajien verkostojen edustajat ovat ohjausryhmässä. - RAKETTI-hankkeen päättyessä OKM asettaa tietovarannon ja tiedonkeruiden ohjausryhmän, jossa korkeakoulujen valtakunnalliseen tietovarantoon teknistä ylläpitoa ja tietovarannon käyttöä jatkossa ohjataan, seurataan ja valvotaan. 8) VAHINGONKORVAUS - Muistion mukaiseen toimintaan ei sisälly vahingonkorvaukseen oikeuttavia määräyksiä. 9) RAPORTOINTI - Tämän muistion myötä tarpeelliset ilmoitukset tietosuojavaltuutetulle korkeakoulun ja CSC:n puolesta laaditaan CSC:n toimesta (rekisteri-ilmoitus, toimintailmoitus). - CSC raportoi muistion mukaisesta toiminnasta opetus- ja kulttuuriministeriölle ja ministeriön määrittämille muille tahoille. 10) MUITA HUOMIOITA - CSC ei voi siirtää toimeksiantoa edelleen ellei niin erikseen sovita. - CSC kokoaa tähän muistioon liittyvää tietosuojavaltuuten suosituksen mukaista tarkastuslistaa sekä tietosuojaan ja tietoturvaan liittyviä määräyksiä ja ohjeita korkeakoulujen käytettäväksi korkeakoulujen valtakunnallista tietovarantoa
toteuttavan RAKETTI-VIRTA-projekin wiki-palvelussa ja jatkossa OKM:n osoittamassa verkkopalvelussa 11) MUISTION LIITTEET - Liite 1.1: Turvallisuusmuistio, jossa kuvattu salassapitositoumus on edellytys CSC:n sisäiseksi luokiteltuihin palvelun kuvauksiin ja palvelun tuottamiseen liittyviin asiakirjoihin, toimintoihin ja tiloihin tutustumiselle, mutta ei palvelun käyttöönotolle sinänsä.