T-110.5610 Henkilöstöturvallisuus ja fyysinen turvallisuus Ilkka Kouri Henkilöstöturvallisuus 23.4.2007: Yritykseen kohdistuva vahingonteko ja rikollisuus Henkilöstöturvallisuus Johtamistoiminnalla - johdetaan ja valvotaan työntekijöitä ja työn tekemistä Henkilöstöhallinnon toimenpitein - pyritään ennaltaehkäisemään riskien syntymistä Henkilöstöturvallisuustoimenpiteillä - Estetään ja pienennetään henkilöstöstä yrityksen toiminnalle, henkilöstölle, asiakkaille ja omaisuudelle aiheutuvia vahinkoja ja rikoksia 4/23/2007 T-110.5610 Kouri 2 Työnantajan oikeus ja velvollisuus Työnantajalla (työnantajan edustajalla) on - oikeus antaa ja määrätä töitä sekä johtaa työn tekemistä - velvollisuus valvoa työn turvallista tekemistä - velvollisuus valvoa työn laatua, määrää.. - oikeus määrätä ja valvoa työpaikalla kulkemisesta, menemisestä ja olemisesta (Työsopimuslaki, työturvallisuuslaki) 4/23/2007 T-110.5610 Kouri 3 Valvonnan toteuttaminen Kaikki lailliset keinot ovat käytettävissä - henkilökohtainen valvonta ja ohjaus - nykyaikainen tekninen valvonta - kulunhallintajärjestelmät - kameravalvonta - erilaiset lokitiedostot - järjestelmien seuranta - erilaiset mittausjärjestelmät Turvallisuusselvitykset (lain edellytykset) Työkykyisyyden tarkastukset ( - -) 4/23/2007 T-110.5610 Kouri 4 Valvontaa Yllätystarkastukset - työpaikalla - poistumistarkastukset Vahinkotilanteen tai onnettomuuden sattuessa - oma tutkinta - poliisi, työsuojeluviranomaiset Kun on perusteltua syytä epäillä... - työterveyshuolto 4/23/2007 T-110.5610 Kouri 5 Vahingonteko ja rikollisuus Tahallinen - tarkoituksena vahingoittaa yritystä tai - saada hyötyä itselleen - voi olla ilkivaltaa/haitantekoa tai rikollista toimintaa Tahaton - epähuomiossa, kiireessä - huono perehdytys, ohjaus - ei vahingoittamisen tarkoitusta 4/23/2007 T-110.5610 Kouri 6 Ilkka Kouri 1
Rikoksia... Varkaus / näpistys - anastaa toisen irtainta omaisuutta Kavallus - anastaa hallussaan olevia varoja Petos - hankkiakseen itselle tai toiselle oikeudetonta taloudellista hyötyä erehdyttää tai muuttaa, tuhoaa jne dataa Vahingonteko - oikeudettomasti vahingoittaa toisen omaisuutta - hävittää, turmelee jne tietovälineelle tallennetun tiedon 4/23/2007 T-110.5610 Kouri 7... rikoksia... Tuhotyö - sytyttää tulipalon, räjäyttää jne - tietojärjestelmän toimintaan oikeudettomasti puuttumalla aiheuttaa vakavaa vaaraa Työpaikkakiusaaminen ja häirintä - esimies, työtoveri jatkuvasti epäasiallisesti kohtelee Työsopimuslain rikkominen - tehtävien laiminlyönti Työsyrjintä - joka etnisen taustan jne perusteella asettaa toisen.. 4/23/2007 T-110.5610 Kouri 8... rikoksia... Salakuuntelu - joka oikeudettomasti teknisellä laitteella kuuntelee tai tallentaa kotirauhan suojassa tapahtuvaa keskustelua, joka ei ole tarkoitettu hänen tietoonsa tai muualla, jossa puhuja olettaa, ettei kukaan kuule Salakatselu - joka oikeudettomasti teknisellä laitteella kuvaa tai katselee kotirauhan suojaamassa paikassa, käymälässä, pukeutumistilassa tai yleisöltä suljetussa rakennuksessa tai huoneistossa olevaa henkilöä tämän yksityisyyttä loukaten Myös valmistelu on rikos...rikoksia.. Yritysvakoilu - joka oikeudettomasti hankkii tiedon toiselle kuuluvasta yrityssalaisuudesta, - tunkeutumalla suljettuun paikkaan tai tietojärjestelmään - jäljentämällä asiakirjan - käyttämällä teknistä erikoislaitetta - tarkoituksena oikeudettomasti ilmaista tai käyttää sitä, on tuomittava sakko tai vank max 2 v 4/23/2007 T-110.5610 Kouri 9 4/23/2007 T-110.5610 Kouri 10 Yrityssalaisuus RL 30 luku yrityssalaisuudella tarkoitetaan liike- tai ammattisalaisuutta tai muuta vastaavaa elinkeinotoimintaan liittyvää tietoa, jonka - elinkeinonharjoittaja pitää salassa - ilmaiseminen olisi omiaan aiheuttamaan taloudellista vahinkoa - elinkeinonharjoittajalle tai toiselle, joka on uskonut tiedon hänelle 4/23/2007 T-110.5610 Kouri 11... rikoksia... Yrityssalaisuuden rikkominen - joka oikeudettomasti hankkiakseen itselle tai toiselle hyötyä ilmaisee tai käyttää yrityssalaisuutta, jonka on saanut tietoonsa - ollessaan toisen palveluksessa (ei enää 2 v palv:n päättymisen jälkeen) - toimiessaan hallituksen (vast) jäsenenä, toimitusjohtajana, tilintarkastajana - luottamuksellisessa liikesuhteessa - yrityksen saneerausmenettelyn yhteydessä 4/23/2007 T-110.5610 Kouri 12 Ilkka Kouri 2
... rikoksia... Yrityssalaisuuden väärinkäyttö - joka oikeudettomasti käyttää rikollisella teolla tietoon saatua yrityssalaisuutta - tai hankkiakseen itselleen tai toiselle taloudellista hyötyä ilmaisee tällaisen salaisuuden 4/23/2007 T-110.5610 Kouri 13 vrt. työ.sop.laki 55/2001 3. luku 3. : kilpailevan toiminnan kielto työsuhteen kestäessä 4. : ammatti- ja liikesalaisuuksien hyödyntämisen ja ilmaisemisen kielto työsuhteen kestäessä, oikeudettomasti saatu tieto myös päättymisen jälkeen 5. : kilpailukieltosopimus; ei kilpailijan palvelukseen eikä omaa kilp. yritystä 6 kk:n tai kohtuullisella korvauksella1 v:n aikana - sopimussakko max 6 kk:n palkka 4/23/2007 T-110.5610 Kouri 14... rikoksia.. Vaaran aiheuttaminen tietojenkäsittelylle - joka aiheuttaakseen haittaa tietojenkäsittelylle, valmistaa ohjelman (vast), mikä on suunniteltu vaarantamaan tietojenkäsittelyä tai vahingoittamaan tietoja tai ohjelmistoja Salassapitorikos - joka salassapitovelvollisuuden vastaisesti paljastaa salassa pidettävän seikan tai käyttää sitä hyödykseen Viestintäsalaisuuden loukkaus - joka oikeudettomasti avaa toiselle osoitetun kirjeen tai suljetun viestin, puhelun tai datan sisällön, murtaa suojauksen jne 4/23/2007 T-110.5610 Kouri 15... rikoksia Tietoliikenteen häirintä - joka ilkivaltaisessa tarkoituksessa lähettää televerkossa häiritseviä viestejä Tietomurto - joka käyttämällä hänelle kuulumatonta käyttäjätunnusta tai turvajärjestelmän murtaen oikeudettomasti tunkeutuu tietojärjestelmään Suojauksen purkujärjestelmärikos - joka tuo maahan, levittää, kauppaa jne suojauksen purkujärjestelmää Henkilötietorikos 4/23/2007 T-110.5610 Kouri 16 Tahaton vahingollinen toiminta Esimerkiksi: Virheet ja erehdykset - osaamattomuus Työajan huono hallinta Tahattomat tietovuodot Sosiaalisten taitojen puute 4/23/2007 T-110.5610 Kouri 17 Rikosten ehkäisy Henkilöstön kulkuoikeuksien hallinta ja valvonta Henkilöstön käyttöoikeuksien hallinta ja valvonta Henkilöstön työtyytyväisyyden ja motivoituneisuuden mittaaminen Materian kulutuksen ja hävikin seuranta Työtapojen ja menetelmien tarkistukset 4/23/2007 T-110.5610 Kouri 18 Ilkka Kouri 3
... ehkäisy Tarkastus- ja valvontatoiminnan ylläpitäminen Henkilövalinnat riskialttiisiin tehtäviin Perehdyttäminen, ohjeistus ja koulutus Omaisuuden merkitseminen ja rekisteröinti Valvonta- ja hälytysjärjestelmät, vartiointiliikkeen palvelut Havaittuihin väärinkäytöksiin puuttuminen 4/23/2007 T-110.5610 Kouri 19 Tahattomien virheiden ehkäisy Oikeat henkilövalinnat, osaaminen Ohjeistus, koulutus, tehtäviin perehdyttäminen Työn oikea resurssointi ja aikataulutus Työvälineiden ja menetelmien kehittäminen Hyvän työilmapiirin ylläpitäminen Toimiva valvonta- ja tarkastusjärjestelmä 4/23/2007 T-110.5610 Kouri 20 Sisäinen valvonta- ja tarkastustoiminta Sisäinen valvonta on jokaisen esimiehen toimintaa Sisäinen tarkastustoiminta - erillinen tarkastusorganisaatio - edistetään yrityksen toiminnan taloudellisuutta, tuottavuutta ja laatua - turvataan resursseja menetyksiltä, tuhlaukselta, väärinkäytöksiltä, virheiltä ja huonolta hoidolta - noudatetaan lakeja ja viranomaismääräyksiä - saadaan oikeaa tietoa taloudesta ja hallinnosta 4/23/2007 T-110.5610 Kouri 21 Valvonnan periaatteita Ei ole erillinen tehtävä, kuuluu päivittäiseen toimintaan On oltava aukoton kaiken toiminnan kattava Ennalta ohjaava toiminta on jälkivalvontaa tärkeämpää Vastuut, valtuudet ja tehtävät on selkeästi määritetty Toiminta on persoonatonta: ketään ei epäillä, kehenkään ei sokeasti luoteta 4/23/2007 T-110.5610 Kouri 22 Valvonnan kohteita Riskialttiita kohteita ovat: - maksuliikenne ja sen hoitaminen - kirjanpito- ja raportointijärjestelmä - palkanlaskenta ja kirjanpito - omaisuuden säilyminen - palveluiden ja tuotteiden hankinta Kukaan ei voi valvoa itseään tai lähiomaistaan 4/23/2007 T-110.5610 Kouri 23 Valvonnan organisointi Pieni organisaatio - johto valvoo ja seuraa ohjauksen ja johtamisen toteutumista - johto elää päivittäisen toiminnan keskellä Suuri organisaatio - johdon resurssit ja kompetenssi ei aina riitä - avuksi on palkattava valvonnan asiantuntijoita eli sisäisiä tarkastajia 4/23/2007 T-110.5610 Kouri 24 Ilkka Kouri 4
Sisäinen tarkastus On yrityksen johdon työkalu, ohjaus- ja valvontajärjestelmän osa Sisäinen tarkastus puuttuu tarkoituksenmukaisuuskysymyksiin On riippumatonta ja objektiivista arviointi-, varmistus- ja konsultointitoimintaa Se tukee organisaatiota sen tavoitteiden saavuttamisessa Raportoi johdolle havaitsemistaan asioista 4/23/2007 T-110.5610 Kouri 25 Petokset ja väärinkäytökset Aiheuttavat suoria ja epäsuoria kustannuksia - varkaus, väärinkäytös, ylilaskutus, lahjonta, asioiden parantelu, eturistiriita Tekijöinä - työntekijät, esimiehet, johto tai yhdessä tavarantoimittajien, liikekumppanien, asiakkaiden tai ulkopuolisten rikollisten kanssa (kiristys, pakottaminen, taloudellinen hyöty) 4/23/2007 T-110.5610 Kouri 26 Eihän meille näin voinut käydä Investointipankki NIB:lle tuli epäselvyyttä atk-koneiden ja palvelujen toimittajan XX kanssa maksamattomista laskuista NIB:n atk-päällikkö oli eronnut 6 kk sitten, oli riitoja uuden tj:n kanssa Jo jonkin aikaa NIB:ssä oli ollut jatkuvia atklaiterikkoja, järjestelmäongelmia ja tietomurtoja 4/23/2007 T-110.5610 Kouri 27 Kuitenkin kävi Asiaa tutkittaessa tuli esille - suuri määrä atk-päällikön hyväksymiä itkonsultointilaskuja konsulttiyritys ÖÖ:lle - maksuja komissioista konsulttiyritys ÖÖ:lle - atk-päällikkö oli yritys ÖÖ:n pääosakas ja omistaja - laskuja käytetyistä atk-laitteista ja tarvikkeista, joista osa oli nyt rikkoutunut 4/23/2007 T-110.5610 Kouri 28 Arvio menetyksistä Ylilaskutuksista 640 000 euroa Viallisten laitteiden uusinta... euroa Systeemivaurioita... euroa Menetettyjä markkinaosuuksia. euroa Johdon työaikaa... euroa Häiriöiden korjaukset... euroa Imagon menetys... euroa 4/23/2007 T-110.5610 Kouri 29 Miksi? Ohjeiden ja oikeiden käytänteiden puuttuminen - atk-päällikkö loi omat käytänteet toiminnalleen Johto oli liian luottavainen - ei valvonta- ja tarkastustoimintaa - atk-päällikkö tilasi palvelun ja hyväksyi laskut itse Kustannuksia ei seurattu eikä kontrolloitu Tavarantoimittajia ei asiallisesti kilpailutettu eikä arvioitu 4/23/2007 T-110.5610 Kouri 30 Ilkka Kouri 5
Valvonnan merkitys Ihmiset ovat niin rehellisiä kuin kontrollit sallivat Vahvat kontrollit vähentävät riskejä Tietoisuus kontrollista vähentää rikosmotivaatiota TILAISUUS IHMINEN VALVONTA MOTIVAATIO 4/23/2007 T-110.5610 Kouri 31 Työntekijöiden tekninen valvonta Laki yksityisyyden suojasta työelämässä 759/2004 Laissa säädetään - henkilöön kohdistuvista testeistä - huumausaineiden käyttöä koskevien tietojen käsittelystä - kameravalvonnasta työpaikoilla - työntekijän sähköpostin hakemisesta ja avaamisesta Sähköisen viestinnän tietosuojalaki 516/2004 - koskee myös yritysten sisäisiä teletunnistetietoja 4/23/2007 T-110.5610 Kouri 32 Kameravalvonta sallittua Työnantaja saa kuvata ja tallentaa teknisin laittein käytössään olevissa tiloissa - työntekijöiden ja muiden henkilökohtaisen turvallisuuden varmistamiseksi - omaisuuden suojaamiseksi - tuotantoprosessien valvomiseksi Sekä näitä vaarantavien tilanteiden ennalta ehkäisemiseksi ja selvittämiseksi 4/23/2007 T-110.5610 Kouri 33 Kameravalvonta kiellettyä Tietyn työntekijän tai työntekijöiden tarkkailuun (poikkeukset) Käymälässä, pukeutumistiloissa tai muussa vastaavassa paikassa Henkilökohtaisissa työhuoneissa 4/23/2007 T-110.5610 Kouri 34 Poikkeukset Saa kuvata tiettyä henkilöä, jos - työntekijän työhön liittyy ilmeinen väkivallan uhka - omaisuuteen kohdistuvan rikoksen estämiseksi ja selvittämiseksi esim arvoomaisuuden käsittelyssä - työntekijän etujen ja oikeuksien varmistamiseksi perustuen työntekijän pyyntöön ja asiasta on sovittu 4/23/2007 T-110.5610 Kouri 35 Avoimuus kameravalvonnassa Ennen valvonnan käyttöönottoa selvitettävä muiden keinojen käyttömahdollisuudet Yksityisyyteen ei puututa enempää kuin on välttämätöntä Tallenteiden käytön suunnittelu (HetiL) - säilytystapa ja -aika - käyttötarkoitus Kameravalvonta on käsiteltävä yt-menettelyssä, tiedottaminen ja ilmoittaminen 4/23/2007 T-110.5610 Kouri 36 Ilkka Kouri 6
Poikkeukset käyttötarkoitukseen Työnantajalla on oikeus käyttää tallenteita - työsuhteen päättämisen perusteen toteennäyttämiseksi - häirinnän, ahdistelun ja epäasiallisen kohtelun selvittämiseksi ja toteen näyttämiseksi - työtapaturman tai muun vaaran tai uhan selvittämiseksi 4/23/2007 T-110.5610 Kouri 37 Tallenteen säilyttäminen Hävitettävä heti, kun eivät ole enää tarpeen Viimeistään vuoden kuluttua - paitsi, jos pitempi säilytys on tarpeen esim. - näyttää toteen edellä mainitut käyttötarkoituksesta poikkeavat tapahtumat tai - muu erityinen syy 4/23/2007 T-110.5610 Kouri 38 Sähköposti Periaatteessa työnantaja voi rajoittaa sähköpostin käytön vain työasioiden hoitoon: sähköposti on työväline, työnantaja päättää sen käyttötavasta Työntekijän sähköposti Työnantajalla on oikeus hakea esille tai avata työntekijän sähköposteja vain, jos hän on suunnitellut ja järjestänyt työntekijälle tiettyjä toimintomahdollisuuksia sähköpostiviestien suojaksi Menettely on käsiteltävä yt-menettelyssä 4/23/2007 T-110.5610 Kouri 39 4/23/2007 T-110.5610 Kouri 40 Työnantajan velvollisuudet Työntekijä voi käyttää automaattista vastaustoimintoa poissaolostaan Työntekijä voi ohjata viestit toiselle työnantajan osoittamalle työntekijälle Työntekijän suostumus siihen, että hänen valitsema ja työnantajan hyväksymä henkilö voi selvittää, työntekijän poissa ollessa, onko viesti tarkoitettu työnantajalle työtehtävien hoitamiseksi 4/23/2007 T-110.5610 Kouri 41 Viestin hakeminen Työnantajalla on oikeus järjestelmän pääkäyttäjän valtuuksin selvittää onko viesti sellainen, että ta:n olisi saatava siitä välttämättä tieto - jos asiaa ei muutoin saada selville - on ilmeistä, että työtehtäviin kuuluvia viestejä on lähetetty tai vastaanotettu - työntekijä on tilapäisesti estynyt hoitamaan tehtäviään - työntekijän suostumusta ei ehditä saada kohtuullisessa ajassa 4/23/2007 T-110.5610 Kouri 42 Ilkka Kouri 7
Hakemisesta selvitys Jos hakeminen ei johda avaamiseen - laaditaan kirjallinen selvitys hakemisen perusteista ja suorittajista - suorittajat allekirjoittavat - selvitys on annettava työntekijälle - vaitiolovelvollisuus viesteistä Viestin avaaminen Jos on ilmeistä, että viesti on työnantajalle kuuluva ja sen sisällöstä on välttämätöntä saada tieto Työnantaja voi avata viestin pääkäyttäjän valtuuksin ja toisen henkilön läsnä ollessa 4/23/2007 T-110.5610 Kouri 43 4/23/2007 T-110.5610 Kouri 44 Avaamisesta selvitys Viestin avaamisesta on laadittava kirjallinen selvitys - mitä avattiin, miksi, ajankohta ja suorittajat, kenelle tieto annettiin - suorittajat allekirjoittavat - selvitys annattava viivytyksettä työntekijälle Avattu viesti on säilytettävä Vaitiolovelvollisuus 4/23/2007 T-110.5610 Kouri 45 Teknisen valvonnan menettelytavat Työnantajalla on työnjohto- ja valvontaoikeus Teknisen valvonnan tarkoitus, käyttöönotto ja menetelmät sekä sähköpostin ja muun tietoverkon käyttö on käsiteltävä yt-lain mukaisesti Käsittelyn jälkeen käyttöönotosta, aloittamisesta ja menettelystä on tiedotettava henkilöstölle 4/23/2007 T-110.5610 Kouri 46 Tarkistuslista vahingontekojen ja rikosten tunnistamiseksi Lähde: www.pk-rh.com 1.Tahalliset teot - onko varkausriskit eri kohteissa selvitetty - onko rahojen käsittely hallinnassa, kavallusmahdollisuus? - onko omaisuuden ja tietojen myynti ja luovutus hallinnassa? - onko ulkoiset ja sisäiset sabotaasimahdollisuudet kartoitettu? - onko työyhteisö, henkilösuhteet ja työkyky hallinnassa? - miten sisäiset valvonta- ja tarkastusjärjestelmät toimivat? - onko maisuus vakuutettu ja turvamerkitty? 2. Murtosuojaus - onko kulunvalvonta-, rikosilmoitus- ja valvontajärjestelmä? - onko avainten / kulkulupien hallinta kunnossa? 4/23/2007 T-110.5610 Kouri 47 tarkistuslista jatkuu 3. Tietoturvallisuus - onko tietoturvaperiaatteet määritetty ja perehdytetty? - kattaako sähköisen tietojärjestelmän, suullisen viestinnän ja paperidokumenttien käsittelyn ja jakelun? - onko tiedot luokiteltu ja suojausperiaatteet määritelty? - onko keskeiset tiedot suojattu käyttöoikeuksia rajaamalla? - onko varauduttu varajärjestelmiin tai korvaaviin toimintamenetelmiin? - toimiiko varmuuskopiointijärjestelmä? - onko työasemat suojattu riittävästi? - onko tietoturvallisuus työsuhteen päättyessä mietitty? 4. Tahattomat vahingot - selkeät työohjeet, virheraportointi, laadunvalvonta, toimintojen varmistukset ja tarkistukset 4/23/2007 T-110.5610 Kouri 48 Ilkka Kouri 8