Omavalvontasuunnitelma ja EU-tietosuojadirektiivi

Samankaltaiset tiedostot
EU:n tietosuoja-asetus - vaikutukset kuntiin. Lakiklinikka Kuntamarkkinat OTT, VT lakimies Ida Sulin

Kanta-sertifiointi ja omavalvonta yleiskuva ja prosessit

Rekisterinpitäjän ja käsittelijän velvollisuuksien sekä vastuiden jako. Miten EU:n tietosuoja-asetus vaikuttaa sopimiseen?

Kanta-sertifiointi ja omavalvonta yleiskuva ja prosessit

Teknologia avusteiset palvelutverkostopalaveri

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

Tietosuoja-asetus. Valo, Valtakunnallinen liikunta- ja urheiluorganisaatio ry Castrén & Snellman

Haminan tietosuojapolitiikka

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

M U U TO S TA L A A D U N E H D O I L L A W W W. A R T E R. F I

Tietosuojalainsäädännön uudistus

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

Sosiaali- ja terveydenhuollon asiakastietojärjestelmät ja niiden uudistukset

Miten tietosuoja-asetusta toteutetaan Palkeiden tuottamissa palveluissa Sami Nikula

Ajankohtaista tietosuoja-asetuksesta

OLENNAISET TOIMINNALLISET VAATIMUKSET - PÄIVITETTY LUOKITUS JA JÄRJESTELMÄLOMAKE Kela toimittajayhteistyökokous 26.4.

Miten valmistaudun tietosuoja-asetuksen vaatimuksiin?

Tietosuojakysely 2019

Tietosuojan toteuttaminen käytännössä

Kokonaiskuva tietosuoja-asetuksesta General Data Protection Regulation,GDPR

TIETOSUOJAPOLITIIKKA

Hostingpalvelujen. oikeudelliset kysymykset. Viestintäviraston Abuse-seminaari Jaakko Lindgren

Henkilötietojen käsittelyn ehdot. 1. Yleistä

EU:n tietosuoja-asetus (GDPR)

Tietosuojakoulutus. Suomen Golfliitto ry Castrén & Snellman

Tietosuojakysely 2018

Tietosuoja-asetus yhdistyksen kannalta mikä muuttuu?

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Pilvipalveluiden arvioinnin haasteet

DLP ratkaisut vs. työelämän tietosuoja

EU:n tietosuoja-asetus ja tieteellinen tutkimus

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

Maksupalveludirektiivi (PSD2) tietosuojan näkökulmasta. Fintech Breakfast , Technopolis, Oulu

1.1. Tämä sopimusliite Henkilötietojen käsittelyn ehdot on osa kuljetuspalvelujen operaattoripalvelusopimusta

GDPR Tietosuoja-asetus

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Kiuruveden kaupunki. Khall / 103

OHJE YLEISEEN KÄYTTÖÖN TARKOITETTUJEN OHJELMISTOJEN HYÖDYNTÄMISESTÄ SOTE- PALVELUISSA

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Pilvipalvelut ja henkilötiedot

TIETOTILINPÄÄTÖS OSANA ORGANISAATIOIDEN TIETOPÄÄOMAN HALLINTAA

EU TIETOSUOJA- ASETUS

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

Täyttyvätkö uudet tietosuojavaatimukset?

T E R H O N E V A S A L O

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

3.1. DialOk käsittelee Käsiteltäviä tietoja sopimuksen ja Asiakkaalta saatujen kirjallisten ohjeiden mukaisesti.

Lausunto. Pilvipalveluiden hankinnasta voisi olla erillinen opas, joka kertoo, mihin asioihin tulisi kiinnittää huomiota hankittaessa pilvipalveluita.

Tietosuojahankkeen esittely ota tietosuojaasetuksen. Kuinka koulutan ja ohjeistan henkilöstöä tietosuojan osalta! Tuula Seppo, Kuntaliitto

HPK Kannattajat ry. Tietosuojaseloste. EU:n tietosuoja-asetus (EU) 2016/679

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

EU:N TIETOSUOJA-ASETUKSET WALMU

Ulkoistaminen ja henkilötiedot

Tietosuojavastaavan nimeämistä ja muita tietosuoja- ja tietoturva-asioita koskeva kysely sosiaalihuollon palvelujen antajille 2011

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

EU:n tietosuoja-asetus (2016/679)

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

Tietosuoja-asetus (GDPR)

EU:n tietosuoja-asetus

Tietoturva yhdistyksessä

Uusi EU:n tietosuoja-asetus, mitä muuttuu ja mihin suuntaan

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

TIETOSUOJASELOSTE (laajennettu) Henkilötietolaki (523/1999) 10 ja 24 EU Tietosuoja-asetus 2016/679

T I E TO S U O JA JA T I E TOT U RVA L L I S U U S O M N I A S S A Riina Kirilova, tietosuoja- ja tietoturvapäällikkö

IF-INFO MEKLAREILLE

1 Tietosuojapolitiikka

Tietosuojalainsäännön katsaus Virpi Korhonen, lainsäädäntöneuvos

Salon kaupunki / /2018

Tietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida?

Ulvilan kaupungin tietosuojapolitiikka

EU-TIETOSUOJAN KOKONAISUUDISTUS

Tietosuoja-asetus Miten julkinen hallinto valmistautuu?

Fintech-yrityksen tietosuoja: Tietosuoja-asetus Markus Myhrberg

Tietosuoja-asetus Tietoarkiston näkökulmasta. Aila ja aineistojen jatkokäyttö -seminaari Arja Kuula-Luumi Kehittämispäällikkö

WestStar Oy Aleksanterinkatu 17 B Lahti. Liite Henkilötietojen käsittely

EU:n tietosuoja-asetus 2016

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa

Liana Technologiesin palveluita koskevat henkilötietojen käsittelyn yleiset ehdot

Salon kaupunki / /2018

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

TIETOSUOJASELOSTE. Pvm: EU:n yleinen tietosuoja-asetus (GDPR) Rekisterinpitäjä

Salon kaupunki , 1820/ /2018

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

Miten tietosuoja-asetusta toteutetaan Valtorin tuottamissa palveluissa. Aapo Immonen, Valtori

OPAS VIISI ASKELTA HYVIIN YÖUNIIN GDPR-AIKAKAUDELLA. ICT- ja tulostusratkaisujen asiantuntija.

Virtu tietoturvallisuus. Virtu seminaari

Verkostokehittäjät-hanke Tietosuoja ja tietoturvallisuus

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

Suomen Tilaajavastuu Oy:n palvelut ja tietosuojaasetuksen. Mika Huhtamäki ja Antti-Eemeli J. Mäkinen

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Transkriptio:

Omavalvontasuunnitelma ja EU-tietosuojadirektiivi Sosiaalihuollon tiedonhallinnan Kanta työpaja 4.5.2017 Jenni Siermala Tietoturvasuunnittelija

Voimassa oleva henkilötietolaki Henkilötietojen käsittely Rekisterinpitäjä YLEISET PERIAATTEET Suunnittelu- ja huolellisuusvelvollisuus Käyttötarkoitussidonnaisuus ja tarpeellisuusvaatimus Hyvä tietojenkäsittelytapa Henkilörekisteri Käsittelyn yleiset edellytykset Tietojen laatu ja hävittäminen Asiakkaan informointi ERITYISET VAATIMUKSET Arkaluontoiset henkilötiedot ja henkilötunnus Tarkastus- ja korjausoikeus Tietoturva ja vaitiolovelvollisuus Luovutukset ja siirrot Ilmoitukset tietosuojavaltuutetulle

EU:n tietosuoja-asetus SELKEYTTÄÄ NYKYISTÄ Peruskäsitteet Yleiset periaatteet Käsittelyn oikeutus Suostumus Tarkastus- ja korjausoikeus Oikeus tulla unohdetuksi Riskiarviot korostuvat TÄYDENTÄÄ NYKYISTÄ Tietosuojavastaavan asema Informointivelvollisuus Käsittelijän rooli määritetty Lapsen asema Henkilötietojen siirrot kolmansiin maihin Profilointi Tietoturvallisuus KOKONAAN UUTTA Sisäänrakennettu ja oletusarvoinen tietosuoja Tilintekovelvollisuus Käsittelytoimintojen kuvaaminen Tietojen siirrettävyys Vaikutusten arviointi, riskien arviointi Ilmoitus tietoturvaloukkauksesta Ennakkohyväksyntä ja ennakko kuuleminen Sanktiot, hallinnolliset seuraamukset Viranomaisorganisaatio (Tietosuojavaltuutetun asema) Ryhmäkanne oikeus Vahingonkorvaus

Siirtymäajalla Voimassa nyt, lakkaa 2018 Soveltaminen 25.5.2018 alkaa alkaen Henkilötietojen käsittely Rekisterinpitäjä Henkilörekisteri YLEISET PERIAATTEET Suunnittelu- ja huolellisuusvelvollisu us Käsittelyn yleiset edellytykset Käyttötarkoitussidonnaisuus ja tarpeellisuusvaatimus Tietojen laatu ja hävittäminen Hyvä tietojenkäsit -telytapa Asiakkaan informointi SELKEYTTÄÄ NYKYISTÄ Peruskäsitteet Yleiset periaatteet Käsittelyn oikeutus Suostumus Tarkastus- ja korjausoikeus Oikeus tulla unohdetuksi Riskiarviot korostuvat TÄYDENTÄÄ NYKYISTÄ Tietosuojavastaavan asema Informointivelvollisuus Käsittelijän rooli määritetty Lapsen asema Henkilötietojen siirrot kolmansiin maihin Profilointi ERITYISET VAATIMUKSET Arkaluontoiset henkilötiedot ja henkilötunnus Tarkastus- ja korjausoikeus Tietoturva ja vaitiolovelvollisuus Luovutukset ja siirrot Ilmoitukset tietosuojavaltuutetulle KOKONAAN UUTTA Sisäänrakennettu ja oletusarvoinen tietosuoja Tilintekovelvollisuus Käsittelytoimintojen kuvaaminen Tietojen siirrettävyys Vaikutusten arviointi, riskien arviointi Ilmoitus tietoturvaloukkauksesta Ennakkohyväksyntä ja ennakko kuuleminen Sanktiot, hallinnolliset seuraamukset Viranomaisorganisaatio (Tietosuojavaltuutetun asema) Ryhmäkanne oikeus vahingonkorvaus

Omavalvontasuunnitelma Asiakasorganisaatio / palvelun antaja vastaa omavalvontasuunnitelmasta ja asiakas- ja potilastietojen käsittelystä toiminnassaan Järjestelmän valmistaja vastaa järjestelmään kohdistuvien vaatimusten toteuttamisesta järjestelmässä Välittäjäorganisaatio vastaa omasta omavalvontasuunnitelmastaan ja välittäjäpalvelun sertifiointivaatimusten täyttämisestä, sen tietoturvaauditoinnista sekä välittäjäpalveluilta vaadittavista ilmoituksista Tietojärjestelmäpalvelun tuottaja vastaa järjestelmään kohdistuvien vaatimusten todentamisesta sekä sertifioinnista (mukaan lukien yhteistestaus ja tietoturvallisuuden auditointi), tietojärjestelmäpalvelun tuottamisesta palvelun antajille sekä tietojärjestelmiin liittyvistä ilmoituksista

Tekninen toteuttaminen EU: tietosuoja-asetus Velvoittaa rekisterinpitäjää toteuttamaan asianmukaiset tekniset ja organisatoriset toimenpiteet, jotta henkilötietojen käsittely on turvattua. Henkilötiedot tulee suojata siirron tallennuksen käsittelyn aikana oikeudetta vahingossa tapahtuvalta tuhoamiselta muuttamiselta luovuttamiselta pääsyltä. Omavalvonta Sote-palveluntuottajien on lain ja määräysten mukaisesti huolehdittava tietoturvallisuuden toteutumisesta toiminnassaan. Omavalvonta on keino tämän tavoitteen toteuttamiseen. Omavalvontaa toteutetaan omavalvontasuunnitelman laatimisen ja sen toteuttamisen kautta. Suunnitelmassa on otettava kantaa siihen, miten asiakas- ja potilastietojen käsittelyssä ja tietojärjestelmien käytössä huolehditaan keskeisistä tietoturvallisuuteen vaikuttavista asioista.

Riskianalyysi Asetus velvoittaa rekisterinpitäjää ottamaan huomioon uusimman tekniikan Toteuttamiskustannukset Arvioimaan tietoturvakeinojen kohtuullisuutta verrattuna arvioituun riskiin

Turvallinen verkko- ja järjestelmäarkkitehtuuri sisältäen esimerkiksi asianmukaiset palomuurit verkkojen eriyttämisen, palvelinten kovennukset henkilötietojen ja tietojen siirtoväylien salaamisen

Tietojärjestelmien hankinta, kehitys ja ylläpito Tietoturvavaatimusten määrittäminen hankintaa ja kehitystä varten Henkilötietojen käytön rajoittaminen tietojärjestelmien testauksessa Tietoturvatestauksen suorittaminen järjestelmien hyväksyntätestauksen yhteydessä Henkilötietoja käsittelevien järjestelmien ylläpitohenkilöstön sijainnin huomioiminen

Pääsynhallinta Pääsyn rajaaminen ja pääsyoikeuksien hallinta Pääsynhallinnassa tulee ottaa huomioon myös etäyhteydet EU:n tai Euroopan talousalueen ulkopuolelta etäyhteyden ottaminen rinnastetaan henkilötietojen siirtoon, jos toimenpiteessä käsitellään henkilötietoja

Omaisuuden ja tiedon hallinta Tietovälineiden käsittely sekä tiedon luokittelu ja luokitellun tiedon käsittelyohjeistukset Henkilöstölle tulee olla selvää, miten henkilötietoja on sallittua käsitellä esimerkiksi pilvipalveluun Tallentamisessa sähköpostilla siirtämisessä siirrettäville tietovälineille tallentamisessa. Valtionhallinnossa suojaustasot (IV III II I) määräävät tiedon luokittelua ja käsittelyä.

Päivitysten ja muutosten hallinta Ohjelmistokomponenttien haavoittuvuuksien saatavilla olevien päivitysten seuranta ja hallinta (CERT-ryhmät) Järjestelmien tietoturvallisuudesta huolehtiminen päivitysten ja muutosten yhteydessä Muutosten hallinnasta ja jäljitettävyydestä huolehtiminen

Fyysinen turvallisuus Tilaturvallisuudesta huolehtiminen tarvittavin pääsykontrollein ja -rajauksin Tietovälineiden joilla henkilötietoja käsitellään turvallinen huolto hävittäminen

Henkilöstöturvallisuus Henkilöstön tietoturvatietoisuuden ja osaamisen varmistaminen koulutuksilla ja ohjeilla Vaitiolo- ja salassapitosopimukset henkilöstön sekä alihankkijoiden kanssa Tarvittaessa ja lain mahdollistaessa tehtävät henkilöiden turvallisuusselvitykset

Toimittajien ja sopimusten hallinta Tietoturva- ja tietosuojavaatimusten määrittely sopimuksen/hankinnan kohteelle ja alihankkijoille Sovittava tietoturvan ja tietosuojan hallinnan menettelyt Henkilötietojen käsittelyn seuranta Valvonta Tietoturvaraportointi Tietoturvapoikkeamien hallinta

Toiminnan jatkuvuuden hallinta Henkilötietojen varmuuskopioinnista huolehtiminen niitä käsittelevien järjestelmien kapasiteetin hallinta Tarvittavat suunnitelmat epäsuotuisiin tilanteisiin ja niistä toipumiseen, jotta voidaan taata henkilötietojen saatavuus esimerkiksi teknisen vian sattuessa ICT toipumissuunnitelma

Käsittelyn valvonta ja seuranta Rekisterinpitäjän tulee voida jälkikäteen todentaa lokitiedostoista kuka on suorittanut henkilötietojen haun järjestelmästä mitä henkilötietoja on katsottu muutettu lisätty poistettu milloin toimenpide on suoritettu (aikaleima). Menettelyt, joilla lokitiedostoja seurataan miten epäillyt väärinkäytökset käsitellään tietojen käsittelyn seuranta- ja valvontatehtävät ovat selkeästi vastuutettu ja riittävästi resursoidut Myös mahdolliset seuraamukset henkilötietojen väärinkäytöksistä olisi hyvä kartoittaa ja määritellä etukäteen Rekisteröityjen viestinnän osana olisi syytä viestiä myös tietojen käsittelyn seurannasta ja mahdollisten väärinkäytösten seuraamuksista Seurantaa on mahdollisuuksien mukaan hyvä suorittaa automatisoidusti, sillä lokia muodostuu tyypillisesti hyvin paljon

Tietoturva-organisaation määrittäminen, roolit ja vastuut sisältäen henkilöstölle määriteltävät tietoturvavastuut. Tietoturvan hallintatehtävien määrittäminen vuosikelloon. Tietoturvan säännöllinen Mittaaminen Todentaminen Kehittäminen Tietoturvaa voidaan todentaa esimerkiksi Teknisellä testauksella hallinnollisten prosessien auditoimisella

Kiitos!

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute