Miten tietosuojavastaava voi auttaa? Kuntamarkkinat 10.9.2014 Kuka auttaa organisaation johtoa käytönvalvonnassa?
Esityksen sisältö Kuka puhuu? Tietoturva- ja tietosuojatyön organisointi TIEVA Tietosuojavastaavan rooli, asema ja tehtävät Käytönvalvonnan prosessit Väärinkäytökset Tutkimusta tietosuojavastaavan roolista Oppaita ja julkaisuja tietosuojatyön tueksi
Kuka puhuu? Helena Eronen: - pätkätöitä Joensuun maakunta-arkistossa 1988-1989 - arkistosihteeri PKSHP/Asiakirjahallinto 1989-2003 - arkistotoimen johtaja ja tietosuojavastaava PPSHP/Asiakirjahallinto 2003 2012 - kehittämispäällikkö ja tietosuojavastaava PSSHP/Tietohallinto 1.10.2012 alkaen - asiantuntijana Kanta-palveluiden määrittelytyössä ja käyttöönotossa - terveydenhuollon tietosuojan ohjausryhmän (TELLU) sihteeri - tietosuojavastaavien yhdistyksen (TIEVA) puheenjohtaja 17.9.2014 3
Tietoturva- ja tietosuojatyön organisointi esim. KYS Tietosuoja- ja tietoturvapolitiikka on yhteinen KYS erva alueella Politiikka on valmisteltu yhteistyössä KYS ervassa ja vahvistettu 2013 Organisointi ja vastuut osiota ei tehty yhtaikaa, koska organisaatioiden nimikkeet erosivat merkittävästi, jolloin sama dokumentti ei toiminut yhteisenä, mutta sovittiin nämä tehtävät tietylle ammattihenkilölle sopiviksi
Tietoturvavastuuhenkilöt KYSissä Organisaation johto: rekisterinpitäjän vastuu Tietohallintojohtaja ja tietohallintopäällikkö: tietoturva Tietosuojavastaava: tietosuoja Tietoturvan johtoryhmä linjaa tietoturvaa ja tietosuojaa koskevat asiat Tietoturvatyöryhmä valmistelee asioita tietoturvan joryyn ja koordinoi SHP:n kokonaisuutta Arkistopäällikkö vastaa arkistotoimen tehtävästä Esimiehet vastaavat yksiköidensä tietoturvallisuudesta ja siitä, että henkilöstö tuntee tietoturvallisuuden perusasiat Jokainen työntekijä vastaa omalta osaltaan tietoturvallisuuden toteutumisesta voimassaolevan lainsäädännön ja tietojen käsittelystä annettujen ohjeiden mukaisesti
Lainsäädäntötausta Miksi tietosuojavastaava? Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) ja laki sähköisestä lääkemääräyksestä (61/2007) edellyttävät, että jokainen sosiaali- ja terveydenhuollon palvelujen antaja ja apteekki sekä Kansaneläkelaitos ja Terveydenhuollon oikeusturvakeskus nimeävät tietosuojavastaavan Henkilötietolain (523/1999) mukaan henkilörekisteristä tulee laatia rekisteriseloste, johon merkitään rekisterinpitäjän lisäksi rekisteriasioista vastaava henkilö ja/tai rekisterinpitäjän edustaja, jonka tulee huolehtia rekisteröityjen oikeuksien toteutumiseen liittyvistä palveluista EU:n uuden tietosuoja-asetuksen myötä tietosuojavastaava tulossa pakolliseksi muuallekin kuin sosiaali- ja terveydenhuoltoon
Mikä tietosuojavastaava on? Organisaation erityisasiantuntija Tietosuojavastaavan nimeäminen organisaatioon ei poista rekisterinpitäjänä olevan organisaation vastuuta Tietosuojavastaavan tehtävänä on auttaa rekisterinpitäjää sen velvoitteiden toteuttamisessa Auttaa rekisterinpitäjää saavuttamaan korkea tietosuojan taso, jonka avulla voidaan rakentaa ja säilyttää luottamus rekisteröidyn ja rekisterinpitäjän välille Tehtävänä on antaa asiantuntija-apua sekä organisaation henkilöstölle että ennen kaikkea johdolle, jolla on viimekätinen vastuu rekisterinpitäjänä henkilötietojen käsittelystä
TIEVA Suomessa työskentelevien tietosuojavastaavien yhdistys TIEVA, tietosuojavastaavien nimi, on myös saamea ja tarkoittaa hiekkakumpua, harjua. Myös lyhenne tietosuojavastaavista. Nimi kuvastaa tietosuojan kasvavaa merkitystä Perustettu 25.5.2010 Sosiaali- ja terveydenhuollon tietojenkäsittely-yhdistyksen alajaosto Ensimmäinen puheenjohtaja Kirsi-Marja Remes 2010 2013 Sihteeri Hilkka Karivuo 2010 Puheenjohtajaksi Helena Eronen 2013 Tarjoaa koulutusta ja tietoa tietosuoja-asioissa sekä tukee tehtävänkuvaa ja auttaa tietosuojavastaavien verkostoitumisessa
Tietosuojavastaavan asema 1 Itsenäinen asema: tehtävät ja niihin liittyvät suunnittelu, seuranta ja raportointi saatava tehdä itsenäisesti Tietosuojavastaavan tulee tuntea organisaation asiakaspalvelu-, tietojenkäsittely- sekä asiakirjahallinnon prosessit ja niille asetettavat vaatimukset. Tietosuojavastaavan koulutuksesta tai ammattinimikkeestä ei varsinaisia määräyksiä, mutta: tulisi kuitenkin olla riittävä koulutus tehtäväänsä sekä mahdollisuus ylläpitää erityisammattitaitoaan Tulee olla mahdollisuus osallistua ja lausua käsityksensä organisaation suunnittelemista henkilötietojen käsittelyä koskevista hallinnollisista uudistuksista
Tietosuojavastaavan asema 2 Raportoi suoraan organisaation ylimmälle johdolle oltava suora yhteys organisaation johtoon tietosuoja-asioissa Osallistuu riittävän varhain ja korkealla tasolla organisaatiossa käynnistyviin asiakaspalveluprosessien suunnittelu- ja kehittämistehtäviin Tietosuojavastaava voi toimia myös useamman organisaation tietosuojavastaavana jos: on tosiasialliset mahdollisuudet hoitaa tehtävää useammassa organisaatiossa on huomioitu organisaatioiden koko ja samankaltaisuus, tietosuojavastaavan muiden tehtävien laajuus, mahdollisuudet perehtyä organisaatioiden henkilötietojen käsittelyyn käytännössä sekä toimia yhteistyössä eri organisaatioiden johdon ja henkilöstön apuna. Tietosuojavastaavan tehtävissä tulee noudattaa salassapitosäännöksiä.
Tietosuojavastaavan tehtävät 1 Osallistuu organisaation henkilötietojen käsittelyä koskevaan suunnittelutoimintaan Osallistuu rekisterinpitäjän hyväksymiä tietosuoja- ja tietoturvaohjeita koskevaan valmisteluun ja ylläpitoon tietosuoja- ja tietoturvakäsikirjat Seuraa ja valvoo henkilötietojen käsittelyä ja niiden suojausmenetelmiä mm. käytönvalvonta
Tietosuojavastaavan tehtävät 2 Osallistuu rekisterinpitäjän henkilöstölle annettavan tietosuojakoulutuksen toteuttamiseen Tukee henkilökuntaa ja rekisteröityjä tietosuoja-asioissa Toimii yhdyssiteenä valvontaviranomaisiin Raportoi organisaation johdolle tietosuojan (ja tietoturvallisuuden) tilasta ja kehittämistarpeista (sisäiset auditoinnit ja käytönvalvonta) Vastaa organisaation johdon osoittamista muista tietosuojaa tukevista tehtävistä
Käytönvalvonnan prosesseja ja miten tietosuojavastaava liittyy niihin?
Asiakasaloitteinen lokivalvonta 1
Asiakasaloitteinen lokivalvonta 2
Harkinnanvarainen lokivalvonta
Säännönmukainen lokivalvonta
Väärinkäytökset
Henkilötietolain seuraamusjärjestelmä http://www.tietosuoja.fi/uploads/sun8d1mo5mp1y.pdf Rikosoikeudelliset seuraamukset rikoslain mukaan henkilörekisteririkoksesta, vaitiolovelvollisuuden rikkomisesta ja salassapitorikkomuksesta Vahingonkorvausvelvollisuus: Rekisterinpitäjä on henkilötietolain 47 :n mukaan velvollinen korvaamaan sen taloudellisen ja muun vahingon, joka on aiheutunut rekisteröidylle tai muulle henkilölle henkilötietolain vastaisesta henkilötietojen käsittelystä. Kurinpidolliset seuraukset organisaation omien ohjeiden mukaisesti
Väärinkäyttötilanteet Henkilöstöhallinnon prosessi: Väärinkäyttöepäily syntyy Väärinkäytöstä epäillylle tulee antaa mahdolliseen vastineeseen Väärinkäyttötapauksista järjestetään kuulemistilaisuus Kuulemistilaisuudesta laaditaan pöytäkirja Kuulemistilaisuuden jälkeen esimies huolehtii sovittujen kurinpitomenettelyjen toimeenpanosta Sille, jonka tietoja on väärin perustein käytetty, ilmoitetaan väärinkäytöksestä
Sanktioprosessi
Tutkimusta Mirja Vilpponen: Tietosuojavastaavien rooli ja asema sosiaali- ja terveydenhuollossa. Pro gradu tutkielma. Sosiaali- ja terveydenhuollon tietohallinto. ItäSuomen yliopisto. Sosiaali- ja terveysjohtamisen laitos. 2012 Tutkimuksen taustalla tutkijan oma tehtävä Joensuun kaupungin tietosuojavastaavana. Tietosuojavastaavan tehtävä tuli lakisääteiseksi sosiaali- ja terveydenhuollossa 2007 eikä siitä oltu tehty tutkimuksia Tutkimuksen tavoitteena tietosuojavastaavan työn tunnettuuden ja näkyvyyden lisääminen sekä työn kehittämiskohteiden löytäminen Millainen on tietosuojavastaavan rooli ja asema sosiaali- ja terveydenhuollossa? Millaisena tietosuojavastaavat kokevat tehtävänsä?
Tutkimustuloksia: Tiedot ja taidot Koulutuksen riittämättömyys käytännön työ, lakiasiat, dokumenttien laatiminen, sosiaalihuollon ts-asiat Tehtävään saatu koulutus Osaava tietosuojavastaava (Itä-Suomen yliopisto) tietosuojavastaavien lakikoulutus TIEVAn järjestämät koulutukset alueelliset koulutukset (SHP, eresepti, KanTa) omaan tutkintoon tai työhön liittyvä Monipuolinen osaaminen tutkintoa tärkeämpi lainsäädäntö, alan tuntemus, tietotekniikka, tietojärjestelmät
Tutkimustuloksia: Organisaation ja työympäristön vaikutus Työtehtävien määrittely puutteellista toimenkuva, vastuut ja valtuudet Toimintaresurssit riittämättömät työaikaa koulutusta johdon tukea Itsenäinen asema, vaikutusmahdollisuus toteutui työtä koskeva päätöksenteko, tehtäviin vaikuttaminen organisaation tietosuoja-asioihin vaikuttaminen tietosuoja-asioiden suunnitteluun osallistuminen
Tutkimustuloksia 3: Henkilökohtaiset ominaisuudet Luottamuksen ja varmuuden tunne suurin osa luottaa osaamiseensa ja kokee työn tärkeäksi Oppimisasenne hyvä, halu oppia Sopeutumiskyky ja uudet haasteet työ koetaan haasteelliseksi, kiinnostavaksi enimmäkseen positiiviseksi suurin osa uskoo selviytyvänsä tsv:n työn uusista haasteista
Tutkimustuloksia 4: Tietosuojavastaavien kokemuksia Työ on tärkeää, haasteellista, vaikeaa haasteellisuus positiivista ja palkitsevaa osa koki tehtävän aliarvostetuksi, näkymättömäksi, vastemieliseksi ongelmakohdat: riittämätön koulutus, toimintaresurssien puute, puutteet työtehtävienmäärittelyssä Asema on vahva ja arvostettu/ heikko, epämääräinen ja vakiintumaton pakollinen paha, toimintaa jarruttava tekijä
Tutkimustuloksia 5 Tietosuojavastaavan rooli monitahoinen, tärkeä, epäselvä asiantuntija, valvoja, kouluttaja, yhteyshenkilö tehtävä haasteellinen, vaatii monipuolista osaamista Asemaa heikentävät koulutuksen riittämättömyys toimintaresurssien puute työtehtävien epäselvyys Tietosuojavastaavan roolin kehittäminen osaamisen kehittäminen näkyvyyttä työhön selkeitä toimintamalleja ja toimintaohjeita lisää toimintaresursseja tehtävänkuvan määrittely
Miten tukea tietosuojavastaavaa? Tehtävien ja aseman määrittely ei pelkästään nimetä tietosuojavastaava vaan nimeämisvaiheessa käydään läpi tehtävät ja asema ja kirjataan ne nimeämispäätökseen Organisaation johdon tuki tärkeää suurin osa Suomen tietosuojavastaavista tekee tietosuojatyötä oman toimen ohella Tarvitaan käytännön työhön liittyvää koulutusta Riittävästi aikaa työtehtävien hoitoon oman toimen ohella vai kokoaikaisesti
Oppaita ja julkaisuja tietosuojatyön tueksi 1 Tietosuojavastaavan käsikirja (Andreasson, Koivisto, Ylipartanen 2013) Tietosuojavastaavan käsikirja osa 2 (Andreasson, Koivisto, Ylipartanen 2014) Henkilötietojen suoja (Pitkänen, Tiilikka, Warma 2013) Tietoturvaa toteuttamassa (Andreasson, Koivisto 2013) Tietosuoja terveydenhuollossa (Ylipartanen 2010) www.panoramapartners.fi Tietosuoja kuntoon opas tietosuojavastuiden ja tehtävien organisointiin; ladattavissa tietokoneelle tai tilattavissa painettuna versiona Liiketoiminnan jatkuvuussuunnitelu ja ICT-varautuminen (Iivari, Laaksonen 2009) Vuoden tietoturvaopinnäytetyöt (http://www.tietoturva.org/tietoturvary/opinnaytetyo
http://kauppa.tietosanoma.fi/ Oppaita ja julkaisuja tietosuojatyön tueksi 2 Paljon asiantuntija/ammattikirjoja sekä koulutustarjontaa http://www.talentumshop.fi/ Paljon asiantuntija/ammattikirjoja sekä koulutustarjontaa http://www.edilex.fi Edilex on Suomen johtava ammattilaisten lakitietopalvelu. Edilex sisältää Suomen laajimman ajantasaisen säädöstietokannan erinomaisin linkityksin oikeustapauksiin, esitöihin ja muihin oikeudellisiin aineistoihin sekä juridisen uutispalvelun. www.vm.fi/vahti Valtion tietoturvallisuuden johtoryhmän julkaisut http://www.nixu.com/fi Nixu Oy on Pohjoismaiden suurin tietoturvakonsultointiyritys. Nettisivuilla ilmaisia julkaisuja tarjolla