Älä anna tietosuoja-asetuksen turruttaa Sertifioinnilla kilpailuetua - Inspectan tietopäivä

Samankaltaiset tiedostot
Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

EU:N TIETOSUOJA-ASETUKSET WALMU

Tietosuojauudistus tulee PTC:n käytännön vinkit. Tapio Lahtinen

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Tietoturva yhdistyksessä

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

General Data Protection Regulation, GDPR. Tietosuoja-asetuksen vaikutukset pk-yrittäjän näkökulmasta Juha Oravala D-Fence Oy

GDPR-pikaopas. Demand more. Puh

EU:n tietosuoja-asetukseen valmistautuminen FCG-konsernissa ja Kuntarekry-palvelussa

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

SR307 Tietoturvatekniikat ISO/IEC JTC 1/SC 27 IT Security Techniques. Tietoturvallisuuden hallinta ISO/IEC Reijo Savola Johtava tutkija VTT

Tietosuoja Liikenneturvan kouluttajan toiminnassa. Katja Mäkilä Liikenneturvan valtakunnalliset kouluttajapäivät, Helsinki

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

KMTK UUDET KUVAMITTAUSTEKNOLOGIAT - PROJEKTIN HANKINNAT JA TIETOSUOJA

Usein kysyttyjä kysymyksiä tietosuojasta

Pilvipalvelut ja henkilötiedot

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

- pienten ja keskisuurten yritysten ja järjestöjen valmennushanke

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

HSL Helsingin seudun liikenne -kuntayhtymä Tietosuojapolitiikka

5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018

T E R H O N E V A S A L O

TIETOSUOJAPOLITIIKKA

EU-TIETOSUOJAN KOKONAISUUDISTUS

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

TIETOSUOJAA KOSKEVA SOPIMUSLIITE. Päivitetty

Maksupalveludirektiivi (PSD2) tietosuojan näkökulmasta. Fintech Breakfast , Technopolis, Oulu

Teknologia avusteiset palvelutverkostopalaveri

GDPR Tietosuoja-asetus

Tietosuoja-asetus ja sen kansallinen implementointi

Public. Kumppanuusforum Yksityinen terveydenhuolto EU:n yleinen tietosuoja-asetus / General Data Protection Regulation (GDPR) Perjantai 24.

EU:n tietosuoja-asetus ja sähköposti

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Haminan tietosuojapolitiikka

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA HAUSJÄRVEN KUNNAN MAAHANMUUTTAJAPALVELUISSA

Tietosuoja-asetus (GDPR)

Tietosuoja fi-välitystoiminnassa. Välittäjäinfo

Tietosuojaa neuvojille Maaseutuviraston tietosuojavastaava

Yhdistyksen jäsenluettelo ja EU:n tietosuoja-asetus

Mikä GDPR? General Data Protection Regulation

Informaatiovelvoite ja tietosuojaperiaate

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

GDPR ja eprivacy mitä siis nyt pitäisi tehdä?

Tietosuojavaltuutetun esittelypuheenvuoro

TIETOSUOJAA KOSKEVA SOPIMUSLIITE. Päivitetty

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA HAUSJÄRVEN KUNNAN IKÄIHMISTEN PALVELUISSA

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

Tietosuoja tutkimuksessa. Arja Kuula-Luumi (Tietoarkisto) Tutkimusaineistojen anonymisointi -seminaari Tampereen yliopisto

EU TIETOSUOJA- ASETUS

Eläketurvakeskuksen tietosuojapolitiikka

Mitä jokaisen pitää tietää EU:n tietosuoja-asetuksesta IAB Finland ry:n tietosuojaseminaari

Tietosuojaa hanketoimijoille Maaseutuviraston tietosuojavastaava

EU:n uusi tietosuoja-asetus

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

T I E TO S U O JA JA T I E TOT U RVA L L I S U U S O M N I A S S A Riina Kirilova, tietosuoja- ja tietoturvapäällikkö

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

EU:n tietosuoja-asetus 2016

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 5

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA HAUSJÄRVEN KUNNAN VAMMAISPALVELUISSA

Tämä henkilötietojen käsittelyä ja tietosuojaa koskeva sopimusliite on tehty seuraavien sopijapuolten (Rekisterinpitäjä ja Toimittaja) välillä.

EU:n tietosuoja-asetus (GDPR)

Kokonaiskuva tietosuoja-asetuksesta General Data Protection Regulation,GDPR

M U U TO S TA L A A D U N E H D O I L L A W W W. A R T E R. F I

Koulutuskiertue

SOPIMUS HENKILÖTIETOJEN KÄSITTELYSTÄ

R-kioskin uutiskirjettä koskeva tietosuojaseloste

HENKILÖTIETOJEN KÄSITTELYOHJE TUUSULAN KUNNAN OHJE HENKILÖTIETOJEN KÄSITTELIJÖILLE

VISMA SEVERA. GDPR webinaari

Tietosuoja. Julkisten ja hyvinvointialojen liitto JHL

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

EU-tietosuoja-asetus Kari Kataja, HAMKin tietosuojavastaava

Määritelmät. Tarkoitus. Asiakkaan velvollisuudet. PULSE247 OY TIETOSUOJAEHDOT liite MyCashflow-verkkokauppapalvelun käyttöehtoihin 25.5.

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

Tietoturva osana oppilaitosturvallisuutta ja EUn tietosuoja-asetuksen velvoitteet

Liana Technologiesin palveluita koskevat henkilötietojen käsittelyn yleiset ehdot

GDPR. Timo Kokkonen Webinaari

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

EU:n tietosuoja-asetus ja tieteellinen tutkimus

Tulevat säädösmuutokset ja tietosuoja

Miten tietosuoja-asetusta toteutetaan Palkeiden tuottamissa palveluissa Sami Nikula

Tietosuoja-asetus Miten julkinen hallinto valmistautuu?

Tässä Liitteessä tarkoitetaan EU:n tietosuoja-asetuksen mukaisesti

Ulvilan kaupungin tietosuojapolitiikka

Vaikutustenarviointi GDPR:n mukaan

Tietosuojakoulutus. Suomen Golfliitto ry Castrén & Snellman

Tietosuojatehtävät. Järvenpään kaupungissa

Suomen Lentopalloliitto ry:n tietosuojapolitiikka

Tampereen ympäristökuntien tietosuojapolitiikka. Hämeenkyrö-Kangasala-Lempäälä-Nokia-Orivesi-Pirkkala-Vesilahti-Ylöjärvi

EU:N TIETOSUOJA- ASETUS JA SEN VAIKUTUS REKISTERÖITYNEELLE

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

EU-tietosuoja-asetus. Helsingin kaupunki Kaupunginkanslia

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Fintech-yrityksen tietosuoja: Tietosuoja-asetus Markus Myhrberg

Lausuntopyyntö Euroopan unionin verkko- ja tietoturvadirektiivin täytäntöönpanoon liittyvien lakien muuttamisesta annetuista laeista

Tietosuojaseloste 1 (6)

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

Transkriptio:

Älä anna tietosuoja-asetuksen turruttaa Sertifioinnilla kilpailuetua - Inspectan tietopäivä 7.9.2016 Tuukka Haarni, Pääarvioija 1

Päivän pointit Näistä (ainakin) puhutaan Tietosuoja-asetus mistä on kysymys? Henkilötieto mitä se on? Mitä taustalla? Mitä minun (organisaationi) pitäisi tehdä? Standardeista ja sertifioitumisesta on apua 2

Tuukka Haarni Pääarvioija / Lead auditor / Järjestelmäsertifiointi Inspecta Sertifioinnissa vuodesta 2015, ICT-alalla lähes 20 v Pitkä arviointikokemus (CMMI-DEV, CMMI-SVC, ISO 9001, ISO/IEC 20000-1, ISO/IEC 27001, SÄHKE2, sisäinen auditointi ym.). Erikoistumisalat Strateginen prosessikehitys ja liiketoiminnan muutosjohtaminen / Jatkuva parantaminen / Laajojen ICTjärjestelmien myynti, määrittely, toimitus ja ylläpito / Hankehallinta / Laadun ja riskien hallinta / Mittaaminen ja analysointi / Kokoonpanonhallinta / Ohjelmistojen tietoturvallisuus / Kyberturvallisuus / Tietosuoja Finnish Software Measurement Association FiSMA ry Varapuheenjohtaja International Organization for Standardization ISO ISO/IEC JTC 001 Information technology /SC 27 IT Security techniques Committee member Suomen Standardisoimisliitto SFS Seurantaryhmät SFS/SR 307 - ISO JTC 1/SC 27 IT Security techniques ja SFS/SR 308 - JTC 1/ SC 40 IT Service Management and IT Governance CEN-CENELEC Focus Group on Cybersecurity (CSCG) National representative

Tietosuoja Näinhän se toivottavasti ei mene 4

EU:n tietosuoja-asetus. ja muutamia lyhenteitä GDPR = General Data Protection Regulation = EU:n tietosuoja-asetus PII = Personally Identifiable Information = Henkilötieto PIA = Privacy Impact Assessment = Tietosuojan vaikutustenarviointi 5

Tietosuoja-asetus Pitäisikö turtua vai huolestua? Oikeus tulla unohdetuksi Oikeus siirtää tiedot järjestelmästä toiseen Oikeus käsittelyn rajoittamiseen Oikeus tietojen oikaisemiseen Rekisterinpitäjän vastuut Ilmoitusvelvollisuus Kirjanpitovelvollisuus Käsittelyn perustuminen suostumukseen Tietosuojavastaava Tietosuojaa koskeva vaikutustenarviointi Lasten henkilötietojen rekisteröintiin liittyvä suostumus Vastuu henkilötietojen käsittelijöistä ja alihankkijoista Tietojen minimointivaatimus Käsittelyn lainmukaisuus Asianmukaiset tekniset ja organisatoriset toimenpiteet tietosuojan suhteen Hallinnolliset seuraamukset 6

Tietosuoja-asetus Mistä on kysymys? Tietosuoja = Yksityisyyden suojaaminen henkilötietoja käsiteltäessä Tietoturva = Tiedon luottamuksellisuuden, eheyden ja saatavuuden säilyttäminen Tietosuoja on ihmisten yksityiselämän suojaamista, ja siihen kuuluu kunkin oikeus henkilötietoihinsa. Rekisteröityjen oikeuksien perusperiaatteena on henkilötietojen suojan takaaminen valtuudettomalta tai henkilöä vahingoittavalta tietojen käytöltä. Rekisteröidyn oikeudet vs. rekisterinpitäjän velvollisuudet Asetuksen tavoitteena on yhdenmukainen ja korkeatasoinen luonnollisten henkilöiden suojelu ja henkilötietojen liikkuvuuden esteiden poistaminen Euroopan unionissa Kahden vuoden siirtymäaika 25.5.2018 Tulee voimaan jäsenvaltioissa sellaisenaan Tarkentava kansallinen lainsäädäntö mahdollista Mahdolliset sanktiot jopa rekisterinpitäjälle jopa 20 MEUR 7

Henkilötieto mitä se on? Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 Asetuksessa tarkoitetaan henkilötiedoilla kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä rekisteröity, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella. Rooleja Rekisteröity Rekisterinpitäjä Käsittelijä Vastaanottaja Kolmas osapuoli 8

Taustalla uudenlaiset tietojen keräämisen ja käsittelyn tavat Tieto- ja kyberturvallisuus korostuvat Digitalisaatio, sähköiset palvelut Tieto on arvokasta ja sitä on paljon Mahdollisuus tiedusteluun, vahingontekoon ja taloudelliseen hyötyyn Ulkoistus, pilvipalvelut Big Data, profilointi, kohdennus Mitä tietoa minusta on / kenen hallussa / missä säilytetään? Uudet päätelaitteet, aika- ja paikkariippumattomuus Sensorit, aktiivisuusrannekkeet Riskit, uhkat, tietoturva Tietoturvallisuus on edellytys tietosuojan toteutumiselle 9

Mitä minun pitäisi tehdä? (Aloita joka tapauksessa jo tänään ) Tunnista henkilötiedot sekä henkilötietojen suojaamiseen liittyvät roolit organisaatiossa Tunnista tietojärjestelmät ja määrittele pääsynhallinta sekä valmiudet asetuksen vaatimuksiin Muodosta tilannekuva tietosuojan kyvykkyysarvioinnilla Kartoita riskit ja käynnistä projekti tarvittaville muutoksille - Arvioi kattavuus ja riittävyys START TODAY Ylläpidä ja kehitä tietosuojakyvykkyyttä - Arvioi uudelleen säännöllisesti ja erityisesti muutosten yhteydessä 10

Tyypillisimmät puutteet Meillä on rekisteriselosteet kunnossa, ei siis huolta. Organisaation johto ei ole tietoinen velvoitteista eikä sitoutunut tietosuojan hallintaan Tietosuojan merkitystä vähätellään, resurssit puuttuvat, vastuita ei märitelty Koulutusta ei ole järjestetty tai sen kattavuus puutteellista, tietoisuus ei ole riittävällä tasolla Organisaatiolta puuttuu tietosuojapolitiikka ja / tai tietosuojan hallintajärjestelmä Ei tiedetä mitä rekistereitä on käytössä, mitä ne sisältävät, miten ne on suojattu Henkilötietojen käsittelyoikeuksia ei ole rajoitettu eikä pääsynhallinta ole kunnossa Tietojärjestelmien tietoturva on puutteellista Tietosuojan vaatimuksia ei ole huomioitu kolmannen osapuolen sopimuksissa Henkilötietojen siirto EU:n ulkopuolelle ilman tietoturvatakeita Lähde: Jarkko Aula (2016). Tietosuoja ja tyypillisimmät puutteet. LinkedIn-blogi. 11

Standardeista ja sertifioitumisesta on apua Kättä pidempää johtamisen tueksi Asetuksessa vaatimuksia, joilla suoria liityntöjä standardeihin ISO/IEC 27001 ja ISO/IEC 20000-1 Käsittelyn turvallisuus Henkilötietojen pseudonymisointi ja salaus Kyky taata henkilötietoja käsitelevien järjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus Jatkuvuuden ja palautumisen hallinnan vaatimukset Yritysten velvollisuus vuotuiseen kontrollien tarkistamiseen ja järjestelmien testaamiseen Tietosuoja toimittaja- / alihankintaketjussa henkilöstön tietoisuus Tietoturvahäiriöt vs. tietosuojaloukkaukset Sertifioitu tietoturvallisuuden hallintajärjestelmä (ISO 27001 ISMS) on hyvä tuki vaikkei suoranainen tae tietosuojakyvykkyydelle (tietosuojaa ei voi olla ilman tietoturvaa) Johtaminen ja kokonaisvaltainen lähestymistapa riskienhallinta korostuvat Hallintakeinoissa lukuisia täsmäosumia tietosuojaan 12

Vaatimuksenmukaisuuden osoittaminen kilpailuetuna Nopeat syövät varmasti hitaat Organisaatiot, joilla asiat ovat kunnossa, tulevat varmasti hyödyntämään tätä tietoa julkisuuskuvansa rakentamisessa Sertifioituminen on yksi tapa osoittaa luotettavuutta ja vaatimuksenmukaista toimintaa Asetuksen 42 artiklan mukainen sertifiointi ei vähennä rekisterinpitäjän tai henkilötietojen käsittelijän vastuuta tämän asetuksen noudattamisesta eikä se rajoita 55 tai 56 artiklan nojalla toimivaltaisten valvontaviranomaisten tehtäviä ja valtuuksia. 13

Lainsäädäntö, tukimateriaali ja standardit Paljon uuttakin on tulossa Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta EU-tietosuojan kokonaisuudistus, VAHTI-raportti 1/2016 SFS-ISO/IEC 29100 Informaatioteknologia. Turvallisuus. Tietosuojan perusteet SFS-ISO/IEC 29190 Informaatioteknologia. Turvallisuus. Tietosuojakyvykkyyden arviointimalli SFS-ISO/IEC 27001 Informaatioteknologia. Turvallisuustekniikat. Tietoturvallisuuden hallintajärjestelmät. Vaatimukset Työn alla mm. ISO/IEC DIS 29134 Privacy impact assessment Guidelines ISO/IEC DIS 29151 Code of practice for personally identifiable information protection ISO/IEC 1st CD 19086-4 Cloud computing Service Level Agreement (SLA) framework Part 4: Security and privacy Proposal for a new work item on Information technology Enhancement to ISO/IEC 27001 for privacy management 14

Perehdy, aloita, seuraa 15

16 tuukka.haarni@inspecta.com +358 50 598 0892 https://fi.linkedin.com/in/tuukkahaarni

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute