SUGIF Technical Club Jarno Lindqvist

Samankaltaiset tiedostot
Avoin data ja tietosuoja. Kuntien avoin data hyötykäyttöön Ida Sulin, lakimies

Duplikaattien havaitseminen ja poisto DataFlux välinein

Käytön avoimuus ja datanhallintasuunnitelma. Open access and data policy. Teppo Häyrynen Tiedeasiantuntija / Science Adviser

Innovative and responsible public procurement Urban Agenda kumppanuusryhmä. public-procurement

Use of spatial data in the new production environment and in a data warehouse

Perusoikeusbarometri. Panu Artemjeff Erityisasiantuntija

HITSAUKSEN TUOTTAVUUSRATKAISUT

BDD (behavior-driven development) suunnittelumenetelmän käyttö open source projektissa, case: SpecFlow/.NET.

Making diversity manageable. Miradore. Käytännön kokemuksia rahoituksen hakemisesta. Tiistai Technopolis Vapaudenaukio / Lappeenranta

Tietoturvallinen liikkuva työ. Juha Tschokkinen

7.4 Variability management

Data protection template

F-SECURE TOTAL. Pysy turvassa verkossa. Suojaa yksityisyytesi. Tietoturva ja VPN kaikille laitteille. f-secure.com/total

Choose Finland-Helsinki Valitse Finland-Helsinki

Toimitusketjun vastuullisuus ja riskien hallinta

Enterprise Architecture TJTSE Yrityksen kokonaisarkkitehtuuri

Pelit ja tietosuoja. Hannu Partanen / Fondia Oy

Rekisteriseloste. Rekisterinpitäjä. Yhteyshenkilö rekisteriä koskevissa asioissa. Rekisterin nimi. Henkilötietojen käsittelyn tarkoitus

GDPR-projektien ja johtoryhmien kuulumisia GDPR-päivä / Helsinki EU General Data Protection Regulation (GDPR) Juha Sallinen / GDPR Tech

Aiming at safe performance in traffic. Vastuullinen liikenne. Rohkeasti yhdessä.

GDPR-pikaopas. Demand more. Puh

EU:N TIETOSUOJA-ASETUKSET WALMU

Henkilötietosuojattu data

Efficiency change over time

Hankkeen toiminnot työsuunnitelman laatiminen

Työelämän tietosuojaan liittyvät ajankohtaiset kysymykset

TIETOTILINPÄÄTÖS OSANA ORGANISAATIOIDEN TIETOPÄÄOMAN HALLINTAA

IFAGG WORLD CUP I, CHALLENGE CUP I and GIRLS OPEN INTERNATIONAL COMPETITION 1 st 2 nd April 2011, Vantaa Finland

- pienten ja keskisuurten yritysten ja järjestöjen valmennushanke

Automaatiojärjestelmän hankinnassa huomioitavat tietoturva-asiat

SOA SIG SOA Tuotetoimittajan näkökulma

CySec Ice Wall Oy. Aki Pitkäjärvi (CSO/CTO/DPO) Eurooppalainen tietosuoja-asetus. GDPR General Data Protection Regulation

LANSEERAUS LÄHESTYY AIKATAULU OMINAISUUDET. Sähköinen jäsenkortti. Yksinkertainen tapa lähettää viestejä jäsenille

Data liiketoiminnan moottorina tietosuoja kilpailukyvyn vauhdittajana VTT:n media-aamiainen

Rekisteröiminen - FAQ

Mullistavat tulostusratkaisut

Kansallinen hankintailmoitus: HAAGA-HELIA Oy Ab : HAAGA-HELIA Oy Ab: Pasilan aktiivilaitteet 2011

Kansallinen hankintailmoitus: Mikkelin ammattikorkeakoulu Oy : Palvelimet ja kytkin

VISMA SEVERA. GDPR webinaari

TIEKE Verkottaja Service Tools for electronic data interchange utilizers. Heikki Laaksamo

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

KUSTANNUS- JA KANNATTAVUUSTIETOA NOPEAMMIN JA HAVAINNOLLISEMMIN SAS COST AND PROFITABILITY MANAGEMENT MIKKO VARILA BUSINESS ADVISOR

Sulautettu tietotekniikka Kimmo Ahola

Kansallinen hankintailmoitus: Tampereen kaupunki : Ulkoalueiden hoito

General Data Protection Regulation, GDPR. Tietosuoja-asetuksen vaikutukset pk-yrittäjän näkökulmasta Juha Oravala D-Fence Oy

Paikkatiedon semanttinen mallinnus, integrointi ja julkaiseminen Case Suomalainen ajallinen paikkaontologia SAPO

Kansallinen hankintailmoitus: Mikkelin ammattikorkeakoulu Oy : Neuropsykiatrinen valmentaja -koulutukset (3)

Teknologiateollisuus ry Ympäristöosaaminen arvoketjussa -seminaari Työkaluja arvoketjun ympäristöosaamisen kehittämiseen

OHJE TESTIAINEISTON ANONYMISOINNISTA

2017/S Contract notice. Supplies

7. Product-line architectures

Tiedon salaaminen tallennusverkossa Luottokorttinumeroiden tokenisointi

FOREX.COM MANAGED ACCOUNT (hallittutili) TILINAVAUSOHJE

PIC-koodin luominen URF-tietokantaan Participant Portal

Data Quality Master Data Management

Kansallinen hankintailmoitus: Savon koulutuskuntayhtymä : Plasma- ja kaasuleikkauskone/kone- ja metalliala

Software Signing System System overview and key domain concepts

National Building Code of Finland, Part D1, Building Water Supply and Sewerage Systems, Regulations and guidelines 2007

EU:n lääketutkimusasetus ja eettiset toimikunnat Suomessa Mika Scheinin

Data Governance tulee lihaksi

The Depository Trust Company IMPORTANT TIME CRITICAL

Jussi Klemola 3D- KEITTIÖSUUNNITTELUOHJELMAN KÄYTTÖÖNOTTO

Security server v6 installation requirements

Finland, Data Sources Last revision:

Curriculum. Gym card

Organisaation kokonaissuorituskyvyn arviointi

Olet vastuussa osaamisestasi

Results on the new polydrug use questions in the Finnish TDI data

DriveGate -ohjeet. DriveGate-käyttöohjeet: Rekisteröityminen palveluun. Rekisteröitymisohjeet ja rekisteröitymisprosessin kuvaus

Sosiaali- ja terveydenhuollon kehittämisestä

Aalto-yliopiston laatujärjestelmä ja auditointi. Aalto-yliopisto Inkeri Ruuska, Head of Planning & Management Support

Koulutuskiertue

ProAgria. Opportunities For Success

Palveluiden, prosessien ja tietoturvan hallinnointi monitoimittajaympäristössä

Maksupalveludirektiivi (PSD2) tietosuojan näkökulmasta. Fintech Breakfast , Technopolis, Oulu

Agora Center - Monitieteiset projektit

* for more information. Sakari Nurmela

Maailman ensimmäinen Plug & Go etäyhteyslaite

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

AYYE 9/ HOUSING POLICY

Museo 2015 järjestelmä ja Museoiden luettelointiohjeet

Mobility Tool. Demo CIMO

Network to Get Work. Tehtäviä opiskelijoille Assignments for students.

Miten Hadoopista tuli helppoa? Jarno Lindqvist Principal Advisor SAS

Improving advisory services through technology. Challenges for agricultural advisory after 2020 Jussi Juhola Warsaw,

Office 2013 ja SQL Server 2012 SP1 uudet BI toiminnallisuudet Marko Somppi/Invenco Oy

WAMS 2010,Ylivieska Monitoring service of energy efficiency in housing Jan Nyman,

Power BI Tech Conference Power BI. #TechConfFI. Johdanto

KOSKIEN SAUMA-SOVELLUKSIA

BLOCKCHAINS AND ODR: SMART CONTRACTS AS AN ALTERNATIVE TO ENFORCEMENT

AKKREDITOITU SERTIFIOINTIELIN ACCREDITED CERTIFICATION BODY

Miten teollinen internet voi mullistaa liiketoimintasi

MEETING PEOPLE COMMUNICATIVE QUESTIONS

Sisäinen tarkastus Nordeassa

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

SR307 Tietoturvatekniikat ISO/IEC JTC 1/SC 27 IT Security Techniques

Hankintailmoitus: Pohjois-Savon sairaanhoitopiirin kuntayhtymä/kiinteistöyksikkö : Puijon sairaalan Pääaula-alueen uudistus, Sähköurakka

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

LUONNOS RT EN AGREEMENT ON BUILDING WORKS 1 THE PARTIES. May (10)

Construction work for buildings relating to health

Transkriptio:

SAS ja EU:n yleinen tietosuoja-asetus SUGIF Technical Club 14.3.2017 Jarno Lindqvist

Mikä on EU GDPR? EU General Data Protection Regulation (GDPR) (EU:n yleinen tietosuoja-asetus) Asetus (ei direktiivi) -> jäsenvaltioita pakottava lainsäädäntö -> suoraan sovellettavaa lainsäädäntöä Suomessa. Hyväksyttiin EU parlamentissa 14.4.2016, soveltaminen alkaa 25.5.2018 Oikeusministeriö vastaa Suomessa tietosuoja-asetuksen täytäntöönpanon edellyttämistä lainsäädäntötoimista. Niin yksityisellä kuin julkisellakin sektorilla on huolehdittava siitä, että henkilötietojen käsittelyssä noudatetaan mainittuun päivään mennessä uuden tietosuoja-asetuksen vaatimuksia. Velvollisuus koskee sekä työntekijöiden että asiakkaiden henkilötietojen käsittelyä. http://eur-lex.europa.eu/legal-content/fi/txt/pdf/?uri=consil:st_5419_2016_init

Mikä on EU GDPR? EU General Data Protection Regulation (GDPR) (EU:n yleinen tietosuoja-asetus) Asetus tuo rekisterinpitäjille noudatettavaksi tilintekovelvollisuusperiaatteen (accountability) Jatkossa ei riitä, että rekisterinpitäjä passiivisesti noudattaa lakia (compliance), vaan: rekisterinpitäjän on pystyttävä osoittamaan että tietosuojasäännökset huomioidaan yhteisön tai yrityksen toiminnan suunnittelussa ja toteutuksessa -> raportointi!!! Todistustaakka ja näyttövelvollisuus tietosuojakysymysten lainmukaisesta hoidosta ja velvoitteiden täyttymisestä lankeaa rekisterinpitäjille

Mikä on EU GDPR? EU General Data Protection Regulation (GDPR) (EU:n yleinen tietosuoja-asetus) Tuo muutoksia useille datan hyödyntämiseen liittyviin alueisiin: Tallennuksen ja käsittelyn ulkoistaminen EU:n ulkopuolelle (pilviratkaisujen käyttö?) Datan kerääminen, käyttö ja jakaminen Henkilöiden profilointi ja automatisoitu päätöksenteko Henkilön suostumus datan keräämiseen ja käyttöön (consent) erikseen nimettyyn käyttötarkoitukseen määrä-ajaksi Oikeus tietojen poistamiseen (right to be forgotten) Tietoturvaloukkaukset jatkossa aina julkisia ilmoitusvelvollisuus 72 tunnin kuluessa, varautumissuunnitelma välttämätön

http://www.consilium.europa.eu/fi/infographics/data-protection-regulation-infographics/ Company Confidential - For Internal Use Only,

Yksi henkilötiedon määritelmistä Mikä tahansa tunnistettavissa olevan luonnollisen henkilön yksilöivä tieto.

Esimerkkejä henkilötiedoista Demographic Data o Name o Gender o Date of Birth o Age o Nationality Addresses o Postal Address o Apartment o Street o City o Country Government Identifiers o National Id o Tax Id o Passport Number o Social Security Number o Vehicle Registration Number o Driver License Bank and Insurance Identifiers o Bank Identifier Code (BIC) o IBAN o Insurance ID Credit Card Number o American Express o VISA o MasterCard o Diners Club o Discover o Etc. Digital Identifiers o Phone Number o IP Address (V4, V6) o MAC Address o X/Y Geographic Coordinate o Email Address Social Media o Twitter Account o URL FaceBook o URL Linkedin o URL Pinterest o URL Instagram Sensitive Data o o o o o o o o o o o Health, Sex Political Religious Philosophical Trade union member info Genetic Biometric Race Gender Ethnicity Children

Ulkoisia ja sisäisiä haasteita Viranomaisten suuntaan RAPORTOINTI! Onko meillä ajantasainen kirjanpito tietolähteistämme? Sisäiset haasteet - TOIMINNAN JATKUVUUS! Millaista henkilödataa meillä on? Onko tietolähteidemme riskitasoa arvioitu - PIA? Miten tunnistamme henkilödatan? Onko meillä valmius raportoida viranomaiselle, missä henkilödataa on? Pystymmekö todistamaan, että riittäviin toimenpiteisiin on ryhdytty? Kuinka moneen järjestelmään henkilötietoja replikoidaan automaattisesti? (mukaanlukien varmuuskopiot) Onko meillä tallessa lokitietoja datan käytöstä? Pystymmekö seuraamaan tietovirtoja ja auditoimaan datan käyttöä riittävällä tasolla? Miten voin jatkossa tehdä dataa vaativaa kehitystä jos kaikki kiva kielletään?

SAS ratkaisuja joidenkin GDPR osa-alueiden hanskaamiseen SAS Enterprise Governance Risk & Compliance Data Privacy Impact Assessments (PIA) and Reporting Data Flow Analysis Personal Data Incidents and Process Management SAS Data Management Identify and Categorize Personal Data Link Systems, Processes & Business Owners in data flows Monitor Personal Data Over Time & Retention Manage Consent Data & 360 0 View of Personal Data SAS Federation Server Manage & Secure Access to Personal Data Remove, Mask or Minimize Personal Data Report on Personal Data Access Copyright SAS Institute Inc. All rights reserved.

Viisi tunnistettua vaihetta Access data sources for personal data investigation or business use. Find, catalog, and analyze personal data attributes, patterns, and contexts to evaluate need for deidentification and risk assessment. Assess risk, handle incidents & manage policies *1) Link terms, systems, owners. *2) Support consent and erasure *3) Implement data protection safeguards and apply privacy-specific measures such as masking and encryption. Log, monitor, and audit usage of personal data. Report and demonstrate compliance for personal data SAS Federation Server SAS Federation Server SAS Data Quality SAS EGRC *1) SAS Data Governance *2) SAS MDM *3) SAS Federation Server SAS EGRC SAS Federation Server Missä henkilödata sijaitsee? Mikä järjestelmä, mikä prosessi? Onko riskiarvioinnit tehty? Onko data suojattu riittävällä tasolla? Raportointi ja automatisointi? Copyright SAS Institute Inc. All rights reserved.

SAS EGRC kuvaa tietolähteet, riskiarviot, prosessin ja vastuut Automates the generation of PIA (Privacy Impact Assessment) reports towards authorities that indicate: Reports overall exposure to Data Protection risks with understanding of: Where personal data lies What data flows treat personal data Policies for critical situations such as a data breaches Identify data flows Access data flows Mitigate data flow risks Reports

Välineistöä henkilödatan identifiointiin Personal Data Identification in SAS Data Management Parsing Extraction Pattern Analysis Identification Analysis Gender Analysis Standardization, Casing Matching Examples of supported PD Names Phone numbers Postal Codes E-mail addresses Street addresses IP address Health data HR data Personal files Social security numbers IBAN Credit card numbers VISA (4571) MasterCard (55XX) American Express

SAS Quality Knowledge Base monipuolinen työkalupakki

SAS Data Management Miten löytää henkilödata järjestelmistä Toimii kuten snifferi skannaa tekstikenttiä läpi ja luokittelee datan eri kategorioihin Sarakkeiden nimillä ei väliä, koska skannaus tehdään suoraan kenttien sisältöön Identification Analysis = tunnistaa yksittäisen tiedon, kuten nimi Data Extraction = erottelee kentästä esim. nimen, osoitteen ja sähköpostin

SAS Business Data Network henkilödatan käsitteet hallintaan Serves as a centralized Personal Data glossary Manage term definitions and link them to owners, processes and data resources Automated notifications to interested parties

SAS Business Data Network linkittää termit ja resurssit Link Personal Data with Terminology Systems Processes Business Owners Enables data owners and consumers to see how resources and processes are connected.

SAS Visual Analytics sopii myös tiedon laadun raportointiin Data Quality needs to be a part of GDPR compliance reporting due to issues such as data duplication Use Business Rules to define the criteria: Run the rules against data for Data Quality metrics Create dashboards based on these metrics

SAS Federation Server keskitetty, tietoturvallinen virtualisointikerros Easy and timely access to business data in a secure and seamless way. Internal and external systems Internal and external users Visualization and reporting Centralized way to manage diverse data sources Protect sensitive data and log queries and track data access by user or application. SAS Federation Server Secured, logical view into underlying data sources Reduces the burden of data access from the source systems by caching the data to the logical layer Org A Org B Org C

Useita välineitä liikkuvan datan suojaamiseen Data Anonymization Removal of Personal Data Data Pseudonymization Masking of Personal Data Data Protection Hashing (not reversible) Encryption (reversible with key) With SAS Federation Server these operations can be done on-the-fly when serving Personal Data to consumers no need to change the operational data sources

Miten datan pseudonymisointi tapahtuu? Data masking is implemented using a set of functions and arguments applied to a column of a table or view managed by Federation Server The rule types supported are ENCRYPT/DECRYPT, HASH, TRANC and a series of RANDOM The HASH rule hashes a single value into a fixedlength hash digest and is not reversible

Summa summarum Automaattista Get Compliant nappulaa ei ole Jotakin pitäisi tehdä, mutta miten päästä alkuun? GDPR on enemmän prosessi- ja policy kysymys kuin teknologiaa Teknologialla voi helpottaa joitakin GDPR:ään liityviä asioita: Datan löytäminen ja tunnistaminen Datan suojaaminen ja käytönvalvonta Viranomaisraportointi SAS-kehittäjän kannalta muistettavia asioita: Harkitse, minkälaista dataa ylipäätään voi käyttää esim. testidatana projektissa Perustele ensin itsellesi, miksi on pakko käyttää henkilödataa (live vs. dummy data?) Selvitä pärjätäänkö pseudonymisoidulla datalla Henkilödatan käytön valvonta myös kehitysympäristöissä

General Data Protection Regulation GDPR: What s the story? http://blogs.sas.com/content/hiddeninsights/2017/03/09/gdpr-whats-the-story/ jarno.lindqvist@sas.com

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute