JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 3

Samankaltaiset tiedostot
JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 4

Tietosuojahankkeen esittely ota tietosuojaasetuksen. Kuinka koulutan ja ohjeistan henkilöstöä tietosuojan osalta! Tuula Seppo, Kuntaliitto

JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 5

JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 2

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Miten valmistaudun tietosuoja-asetuksen vaatimuksiin?

JUHTA: n toteuttamat tietosuojayhteishankkeet Kick off-tilaisuus ja 1. työpaja

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

EU:n tietosuoja-asetus ja sähköposti

KMTK UUDET KUVAMITTAUSTEKNOLOGIAT - PROJEKTIN HANKINNAT JA TIETOSUOJA

Tietosuoja fi-välitystoiminnassa. Välittäjäinfo

DLP ratkaisut vs. työelämän tietosuoja

Vaikutustenarviointi GDPR:n mukaan

JULKISEN HALLINNON DIGITAALISEN TURVALLISUUDEN KEHITTÄMISHANKE VÄESTÖREKISTERIKESKUS

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Tietosuojavaltuutetun toimiston tietoisku

TIETOSUOJAA KOSKEVA SOPIMUSLIITE. Päivitetty

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

TIETOSUOJAA KOSKEVA SOPIMUSLIITE. Päivitetty

Sopimus henkilötietojen käsittelystä (DPA)

5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018

Henkilötietojen käsittelyn ehdot. 1. Yleistä

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Tietosuoja-asetus Immo Aakkula Arkistointi

Määritelmät. Tarkoitus. Asiakkaan velvollisuudet. PULSE247 OY TIETOSUOJAEHDOT liite MyCashflow-verkkokauppapalvelun käyttöehtoihin 25.5.

2.3 Tilaaja sitoutuu huolehtimaan henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön mukaisista rekisterinpitäjän velvollisuuksista.

AINEISTOJEN JAKAMISEN MYYTEISTÄ JA HAASTEISTA

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

Liana Technologiesin palveluita koskevat henkilötietojen käsittelyn yleiset ehdot

Tietosuoja-asetus. Valo, Valtakunnallinen liikunta- ja urheiluorganisaatio ry Castrén & Snellman

Specimen. Trafi tietoturvallisuusliite. Sopimusliite Versio 4.0 TRAFI 79475/ /2018. Copyright Liikenteen turvallisuusvirasto

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Tämä henkilötietojen käsittelyä ja tietosuojaa koskeva sopimusliite on tehty seuraavien sopijapuolten (Rekisterinpitäjä ja Toimittaja) välillä.

WestStar Oy Aleksanterinkatu 17 B Lahti. Liite Henkilötietojen käsittely

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa

1.1. Tämä sopimusliite Henkilötietojen käsittelyn ehdot on osa kuljetuspalvelujen operaattoripalvelusopimusta

Henkilöstön ohjeistaminen JUDO-työpaja Juho Nurmi, tietosuojavastaava, Espoon kaupunki

2.3. Tilaaja sitoutuu huolehtimaan henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön mukaisista rekisterinpitäjän velvollisuuksista.

LIITE VARMENNEPALVELUJEN ASIAKAS- JA REKISTERÖINTISOPIMUKSIIN NRO

EU:N YLEINEN TIETOSUOJA-ASETUS JA REKISTERINPITO

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

Politiikka: Tietosuoja Sivu 1/5

HSL Helsingin seudun liikenne -kuntayhtymä Tietosuojapolitiikka

Kanta-Hämeen sairaanhoitopiirin kuntayhtymä (jäljempänä Tilaaja ) Ahvenistontie 20, Hämeenlinna Y-tunnus:

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

LIITE 2. Henkilötietojen käsittelyn ehdot. 1. Yleistä

Henkilötietojen käsittelyn ehdot

EU:n yleinen tietosuoja-asetus mikä muuttuu. Niina Harjunheimo

Teknologia avusteiset palvelutverkostopalaveri

1. Tausta ja tarkoitus. 2. Määritelmät

SUOMEN AKATEMIAN TIETOSUOJAPOLITIIKKA

EU:N TIETOSUOJA-ASETUS OPAS YHDISTYKSILLE JÄRJESTÖOHJAUS KUUROJEN LIITTO RY.

3.1. DialOk käsittelee Käsiteltäviä tietoja sopimuksen ja Asiakkaalta saatujen kirjallisten ohjeiden mukaisesti.

EU:n tietosuoja-asetus

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

Henkilötietojen käsittelyn ehdot

Tietosuoja seuraava uusi musta? Kimmo Rousku, VAHTI-pääsihteeri, Tuula Seppo Kuntaliitto

TIETOSUOJA- ASETUKSEN HUOMIOINTI YRITYSTASOLLA. FINNET-LIITTO Mikko Viemerö (KTL, CIPP/E, CIPM, CIPT, CISA, CISM)

Kolarin kunnan tietosuojapolitiikka

1.1. Rekisterinpitäjän henkilötiedoilla tarkoitetaan näissä ehdoissa henkilötietoja, joista Rekisterinpitäjä

AJANKOHTAISTA TIETOSUOJASSA

Eläketurvakeskuksen tietosuojapolitiikka

Sopimuksen liite Henkilötietojen käsittelyn ehdot

Informaatiovelvoite ja tietosuojaperiaate

I Osa: Sopimusehdot [Siirrä nämä ehdot soveltuvin osin sopimukseen]:

T I E TO S U O JA JA T I E TOT U RVA L L I S U U S O M N I A S S A Riina Kirilova, tietosuoja- ja tietoturvapäällikkö

Henkilötietojen käsittelyn ehdot

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Miten tietosuoja-asetusta toteutetaan Valtorin tuottamissa palveluissa. Aapo Immonen, Valtori

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

TIETOSUOJAOHJE PARTIOLIPPUKUNNILLE

Maksupalveludirektiivi (PSD2) tietosuojan näkökulmasta. Fintech Breakfast , Technopolis, Oulu

Asiakaskilpailuja koskeva tietosuojaseloste

HENKILÖTIETOJEN KÄSITTELYÄ KOSKEVA LIITE

Tietosuoja-asetus (GDPR)

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

Tietosuojauudistus tulee PTC:n käytännön vinkit. Tapio Lahtinen

Haminan tietosuojapolitiikka

JUHTA-asiantuntijaryhmä tietoturva, tietosuoja, varautuminen Toteuma v. 2017, suunnitelma v. 2018

HPK Kannattajat ry. Tietosuojaseloste. EU:n tietosuoja-asetus (EU) 2016/679

Tietosuojauudistus - Välityömarkkinat. Sanni Harju

Tietoturvallisuus osana tiedonhallintalakia. Lainsäädäntöneuvos Eeva Lantto VAHTI kesäseminaari

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

Henkilötietojen käsittelyn ehdot palveluntuottajille

OHJELMA TIETOSUOJAVASTAAVAN KOULUTUSOHJEMA

Päivitämme materiaalia säännöllisesti kesän ja syksyn 2017 aikana.

HENKILÖTIETOJEN KÄSITTELYOHJE TUUSULAN KUNNAN OHJE HENKILÖTIETOJEN KÄSITTELIJÖILLE

TIETOSUOJAPOLITIIKKA. Turun kaupunki

EU:n tietosuoja-asetus (GDPR)

Transkriptio:

#tuki2018 #stöd2018 JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 3 Tuula Seppo, Kuntaliitto Kimmo Rousku, Valtiovarainministeriö Yhteistyössä mukana: Tietosuoja yhteishanke työpaja #3-04092017 1

Tietoturvallisuuden toteuttaminen organisaation toiminnassa mitä asetus edellyttää ja miten se käytännössä toteutetaan? Riskienhallinta osa 3, riskien hallinta ja toimenpiteiden seuranta sekä arviointityöpajojen toteuttaminen #tuki2018 #stöd2018 Ohjelma: 8.30 Kahvi 9.00 Tilaisuuden avaus Tuula Seppo, Kuntaliitto - yleistä, palaute työpajasta #2, palaute kotitehtävistä 9.15 Mikä on tarvittava tietoturvallisuuden vähimmäistaso, Kimmo Rousku, valtiovarainminiteriö 10.15-10.30 Bio- ja jaloittelutauko 10.30 Tietoturvallisuuden toteuttaminen organisaation toiminnassa mitä asetus edellyttää ja miten vaatimukset käytännössä toteutetaan, KPMG 12.15 Lounastauko (omakustanne) 13.00 Riskienhallinta osa 3 riskien hallinta ja toimenpiteiden seuranta sekä arviointityöpajojen toteuttaminen 14.30 Kahvitauko 14.45 Työpaja jatkuu 16.00 Yhteenveto ja kotitehtävä 16.15 Työpaja päättyy Tietosuoja yhteishanke työpaja #3-04092017 2

PALAUTE #2 TYÖPAJASTA #tuki2018 #stöd2018 - Työpaja pidetiin 18.8. aiheena mm. lokitus ja riskienhallinta - Ap 3.88 ja ip 3.97 - Palautetta tuli sekä hyvää että kehitettävää - Ryhmätehtävien tekeminen oli parempaa - Edelleen työpajat koetaan tärkeiksi, mutta - Asiaa on paljon - Konkretiaa kaivataan - Materiali toivotaan etukäteen - Välillä etänä olevat olijat unohdetaan - Aikataulu on tiukka, asiat mennään nopeasti läpi Tietosuoja yhteishanke työpaja #3-04092017 3

Kotitehtävät #tuki2018 #stöd2018 - Vanhat järjestelmät joissa ei ole lokitietoseurantaa on ongelma. - Milloin jätetään järjestelmä käyttöön ja hyväksytään ettei se ole vaatimusten mukainen, milloin vaaditaan järjestelmätoimittajaa rakentamaan lokijärjestelmä ja siihen jokin käyttöliittymä ja mitä se maksaa, milloin luovutaan järjestelmästä ja hankitaan uusi. - Sitä mukaa, kun tietojärjestelmiä uusitaan, lokivaatimukset otetaan huomioon vaatimusmäärittelyissä ja hankinnassa. - Lokituksen arkistointi on hankalaa ja kallista. Tietojärjestelmän lokien integrointi sähköiseen arkistoon on kallista - Henkilötietoja sisältävien tietojärjestelmien katselulokin vaatimus ja toteutus - Riskienhallinta on vielä irrallaan muusta toiminnasta - Pitäisi saada paremmin osaksi ydintoimintoja, jotta se huomioitaisiin kaikessa toiminnassa ja olisi osa jatkuvaa kehittämistä eikä kerran vuodessa tapahtuvaa tarkastelua. Tietosuoja yhteishanke työpaja #3-04092017 4

PALAUTE #2 TYÖPAJASTA #tuki2018 #stöd2018 - Ryhmätöiden merkitys keskustelun saaminen eri organisaatioiden välille - Kotitehtävien tulee haastaa organisaatiota tekemään asioita - Asiaa on paljon, mutta niitä syvennetään seuraavissa osioissa - Aikataulu on tiukka Tietosuoja yhteishanke työpaja #3-04092017 5

#tuki2018 #stöd2018 VERKKOKOULUTUSTA,OSAAMISEN TESTAAMISTA JA TYÖPAJOJA KOKO JULKISELLE SEKTORILLE YHDESSÄ Tietosuoja yhteishanke työpaja #3-04092017 6

MATERIAALIT JA VERKKOTALLENTEET #tuki2018 #stöd2018 Ensimmäinen video Arjen tietosuoja + nettitesti + materiaali on julkaistu, kaikki löytyvät arjentietosuoja.fi sivustolta, sivustolta löytyvät myös ilmoittautumislinkit Työpajojen tallenteet ja materiaalit löytyvät VM/Vahti-sivustolta JUHTA-VAHTIyhteishankkeiden materiaalit Chatiin voi lähettää viestejä selaimella ja tekstiviesteillä Tekstiviestin lähetetään numeroon 16232 Tekstiviestin alkuun tulee laittaa tunnus A välilyönti ja tämän jälkeen viesti Chat aukeaa lähetyksen alkaessa Tilaisuuden jälkeen osallistujille lähetetään palautekysely TWITTERISSÄ: #tuki2018 #stöd2018 #arjentietosuoja Tietosuoja yhteishanke työpaja #3-04092017 7

Työpajoja: tietosuoja + tietoturva 2017: 7 kpl 1. Tietosuojan osoitusvelvollisuus ja riskienhallinta osa 1 (yleinen osuus) 12.6.2017 2. Tietojärjestelmien lokittaminen, valvonta ja raportointi, lokien säilyttäminen ja riskienhallinta osa 2 (ISO 31000-prosessin soveltaminen) 18.8.2017 3. Tietoturvallisuuden toteuttaminen organisaation toiminnassa mitä asetus edellyttää ja miten se käytännössä toteutetaan? Riskienhallinta osa 3, riskien hallinta ja toimenpiteiden seuranta sekä arviointityöpajojen toteuttaminen 4. Rekisterinpitäjän velvollisuuksien toteuttaminen (politiikat, prosessit, Privacy by design, perustiedot henkilötietojen käsittelystä, lailliset käsittelyperusteet, käsittelyn periaatteet, tiedon elinkaaren hallinta, tiedonantovelvoitteet, dokumentaatio jne) ja riskienhallinta osa 4, tietosuojanäkökulma, 29.9.2017 5. Vaatimusten huomioiminen uusia palveluita ja tietojärjestelmiä kehittäessä, ennakkokuulemiset, vaikutusten arviointi sekä tietosuojan ja tietoturvallisuuden huomioiminen hankinnoissa ja sopimuksissa, 25.10.2017 6. Tietosuojavastaavan rooli sekä vastuut sekä kuinka tehtävän hoitaminen onnistuu menestyksekkäästi ja tietoturvapoikkeama- ja tietosuojaloukkaustilanteiden hallinta, osa 1 taustaa, havainnointikyky sekä reagointi kuinka tietosuojaloukkaukset voidaan tunnistaa? Tiedonannot ja viranomaisille ja rekisteröidyille, 17.11.2017 7. Rekisteröidyn oikeuksien toteuttaminen, lasten erityisaseman huomioiminen ja tietoturvapoikkeama- ja tietosuojaloukkaustilanteiden hallinta, osa 2 tarvittavien prosessien ja kyvykkyyksien kehittäminen sekä ohjeistus ja koulutus, tarvittava yhteistyö eri toimijoiden kesken. 8.12.2017 Tietosuoja yhteishanke työpaja #3-04092017 8

Työpajoja: tietosuoja + tietoturva, 2018: 11 kpl 8. Suostumukset (sovellettavuus, muoto, hallinta) ja uuden rekisteriselostemallin luominen ja tietosuojaselosteet ja tietoturvapoikkeama- ja tietosuojaloukkaustilanteiden hallinta, osa 4(Case esimerkki ja harjoitus), tammikuu 2018 9. Sopimukset ja hankinnat, tietojen luovuttaminen ja siirtäminen, helmikuu 2018 10. Jatkuvuussuunnittelun peruskäsitteet ja määritelmät, organisaation toimintaympäristö, jatkuvuuden hallinnan johtaminen tietosuojanäkökulma, helmikuu 2018 13. Jatkuvuudenhallinnan toteuttaminen tietosuojan näkökulmasta, toukokuu 2018 14. BIA-ohjeen läpikäynti, kesäkuu 2018 15. Tietosuojan hallinnan mittaaminen, arviointi ja kehittäminen, elokuu 2018 16. Häiriötilanneharjoitus - suunnittelu yhteistyössä JUHTA/VAHTI, syyskuu 2018 11. Jatkuvuuden hallintajärjestelmän suunnittelu tietosuojan näkökulmasta, maaliskuu 2018 12. Jatkuvuuden hallintajärjestelmän suunnittelu ja jatkuvuuden tukitoiminnot tietosuojan näkökulmasta, huhtikuu 2018 17. Häiriötilanneharjoituksen purku, yhteistyössä JUHTA/VAHTI, lokakuu 2018 18. Yhteishankkeen päätöstilaisuus Säätytalolla, joulukuu 2018 Tietosuoja yhteishanke työpaja #3-04092017 9

Työpajojen suunnitellut tuotokset Osoitusvelvollisuuden toteuttaminen Riskienhallinnan opas/dpia-prosessin kuvaus Prosessit, tiedon elinkaaren hallinta ja Privacy by design Rekisteröidyn oikeudet ja niiden toteuttaminen Henkilötietoihin kohdistuvien tietoturvaloukkausten hallinta ja ilmoitusprosessi Tietosuojavastaavan asema ja tehtävät Henkilötietojen siirrot/luovutukset Tietosuoja yhteishanke työpaja #3-04092017 10

#tuki2018 #stöd2018 Mikä on tarvittava tietoturvallisuuden vähimmäistaso? Kimmo Rousku, valtiovarainministeriö Tietosuoja yhteishanke työpaja #3-04092017 11

#tuki2018 #stöd2018 http://www.privacy-regulation.eu/fi/index.htm Tietosuoja yhteishanke työpaja #3-04092017 12

Saatavuus eheys luottamuksellisuus Valtaosa, lähes kaikki meidän tuottama tieto on julkista! Tietosuoja Luottamuksellisuus Saatavuus Kimmo Rousku 28081999-1234 Tietosuojan vähimmäistaso Tietoturvallisuuden vähimmäistaso 2 Tietoturvallisuuden vähimmäistaso 1 Eheys Tietosuojan yhteishanke työpaja #3 - tietoturvallisuus - 13

Tietosuojan yhteishanke työpaja #3 - tietoturvallisuus - 14

Mitä #TSAU edellyttää tietoturvallisuudelta?

Resitaali 39 Henkilötietoja olisi käsiteltävä siten, että varmistetaan henkilötietojen asianmukainen turvallisuus ja luottamuksellisuus, millä muun muassa ehkäistään luvaton pääsy henkilötietoihin tai niiden käsittelyyn käytettyihin laitteistoihin sekä tällaisten tietojen tai laitteistojen luvaton käyttö. Yleisesti termi turvallisuus on hyvin laajakäsitteinen termi, mutta sen alapuolella olevat lisämääritteet kohdistavat tämän käyttöoikeuksien hallintaa mutta myös pääsynhallintaan sekä toimitila- ja kiinteistöturvallisuuteen Ovat yleisiä tietoturvallisuuden perusperiaatteita Tietosuojan yhteishanke työpaja #3 - tietoturvallisuus - 17

Resitaali 49 On asianomaisen rekisterinpitäjän oikeutetun edun mukaista rajoittaa henkilötietojen käsittely siihen, mikä on ehdottoman välttämätöntä ja oikeasuhteista, jotta viranomaiset, tietoturvaloukkauksiin ja niiden ennaltaehkäisyyn keskittyvät CERT-ryhmät (Computer Emergency Response Teams), tietoturvaloukkauksiin reagoivat ja niitä tutkivat CSIRT-toimijat (Computer Security Incident Response Teams), sähköisten viestintäverkkojen ja -palvelujen tarjoajat sekä turvallisuusteknologian ja -palvelujen tarjoajat voivat varmistaa verkko- ja tietoturvallisuuden eli verkon tai tietojärjestelmän kyvyn suojautua tietyllä suojatasolla onnettomuuksilta tai laittomilta taikka ilkivaltaisilta toimilta, jotka vaarantavat tallennettujen tai siirrettävien henkilötietojen saatavuuden, aitouden, eheyden ja luottamuksellisuuden ja niihin liittyvien, verkoissa ja tietojärjestelmissä tarjottujen tai välitettävien palvelujen turvallisuuden. Tähän voisi kuulua esimerkiksi luvattoman sähköisiin viestintäverkkoihin pääsyn ja vahingollisen koodin jakamisen ehkäiseminen sekä palvelunestohyökkäysten ja tietokoneille ja sähköisille viestintäjärjestelmille koituvien vahinkojen estäminen. - yleistä hyvin toteutetun tieto- ja kyberturvallisuuden kuvausta tärkeintä on alkuosa Tietosuojan yhteishanke työpaja #3 - tietoturvallisuus - 18

Resitaali 83 Turvallisuuden ylläpitämiseksi ja asetuksen säännösten vastaisen käsittelyn estämiseksi rekisterinpitäjän tai henkilötietojen käsittelijän olisi arvioitava käsittelyyn liittyvät riskit ja toteutettava toimenpiteitä näiden riskien lieventämiseksi esimerkiksi salauksella. Näiden toimenpiteiden avulla olisi varmistettava asianmukainen turvallisuustaso, muun muassa luottamuksellisuus, ottaen huomioon uusin tekniikka ja toteuttamiskustannukset suhteessa tietojenkäsittelyn riskeihin ja suojeltavien henkilötietojen luonteeseen. Tietosuojariskiä arvioitaessa olisi otettava huomioon henkilötietojen käsittelyyn liittyvät riskit, kuten siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai laiton tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai henkilötietoihin pääsy, mikä voi aiheuttaa etenkin fyysisiä, aineellisia tai aineettomia vahinkoja. => Riskienhallinta Tietosuojan yhteishanke työpaja #3 - tietoturvallisuus - 19

5 artikla resitaali 39 Henkilötietojen käsittelyä koskevat periaatteet f) niitä on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia ( eheys ja luottamuksellisuus ). Ihan perustietoturvallisuuden edellytyksiä huomaa tämän alapuolella 2.Rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1 kohtaa on noudatettu ( osoitusvelvollisuus ) Eli kaikki kuusi 5. artiklan ensimmäistä kohtaa! Tietosuojan yhteishanke työpaja #3 - tietoturvallisuus - 20

32 artikla 2 Jakso Henkilötietojen turvallisuus 32 artikla Käsittelyn turvallisuus 1.Ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten Huom kuten eli siis esimerkiksi? Tietosuojan yhteishanke työpaja #3 - tietoturvallisuus - 21

a) henkilötietojen pseudonymisointi ja salaus; 5) pseudonymisoimisella henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää tiettyyn rekisteröityyn käyttämättä lisätietoja, edellyttäen että tällaiset lisätiedot säilytetään erillään ja niihin sovelletaan teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan, ettei henkilötietojen yhdistämistä tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön tapahdu, Pseudonymisointi ollut toistaiseksi varsin harvinaista, sen sijaan salausta on jo paljon käytetty ja sen merkitys tulee varmasti kasvamaan Esimerkiksi lähetettäessä henkilötietoja arkaluonteisia henkilötietoja sähköpostilla avoimen internet-verkon yli, tiedot pitäisi olla jatkossa salattu vrt valtionhallinnossa käytössä oleva turvaposti? Tietosuojan yhteishanke työpaja #3 - tietoturvallisuus - 22

b) kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus; Käytännössä tämä tarkoittaa tietoturvallisuuden määritystä (käytettävyys = saatavuus) ja vikasietoisuus liittyy tässä kohtaan toiminnan jatkuvuuden takaamisen, jatkuvuudenhallintaan ja varautumiseen sekä toipumiseen häiriötilanteista c) kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa; Liittyy osin vikasietoisuus, mutta vahvemmin toiminnan jatkuvuuden takaamisen, jatkuvuudenhallintaan ja varautumiseen sekä toipumiseen häiriötilanteista nopeasti pitää arvioida kyseisen suojattavan kohteen tärkeyden mukaan Tietosuojan yhteishanke työpaja #3 - tietoturvallisuus - 23

d) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi. Edellyttää minimissään itsearviointia, ulkopuolisen toimijan tietoturvaarvioinnista ei ole etenkään laajempien, kriittisempien tietojärjestelmäkokonaisuuksien osalta (ainakaan) haittaa Suhteutettava kokonaisuuteen tästä ei haluta mitään kaikkien järjestelmien auditointiautomaattia 2.Asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi. - ilmaistu varsin epäselvästi ovat osa tietoturvallisuuskokonaisuutta, mukana tulee jo pääsynhallintaa ja käyttöoikeuksien hallinta Tietosuojan yhteishanke työpaja #3 - tietoturvallisuus - 24

3.Jäljempänä 40 artiklassa tarkoitettujen hyväksyttyjen käytännesääntöjen tai 42 artiklassa tarkoitetun hyväksytyn sertifiointimekanismin noudattamista voidaan käyttää yhtenä tekijänä sen osoittamiseksi, että tämän artiklan 1 kohdassa asetettuja vaatimuksia noudatetaan. Tämä tulee asteittain selviämään sertifiointimekanismit ja ratkaisut eivät perinteisesti ole tarkoitettu pienille organisaatioille ja tästä ei pitäisi syntyä maan tapaa että kaikki pitää sertifioida Suojattavan kohteen (henkilötietoja käsittelevän organisaation, prosessin, kriittisyyden, tärkeyden) mukaisesti Tietosuojan yhteishanke työpaja #3 - tietoturvallisuus - 25

4.Rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava toimenpiteet sen varmistamiseksi, että jokainen rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoihin, käsittelee niitä ainoastaan rekisterinpitäjän ohjeiden mukaisesti, ellei unionin oikeudessa tai jäsenvaltion lainsäädännössä toisin vaadita. Tässä nousee esille sekä tarvittava koulutus ja ohjeistus Erityisen tärkeää huomioida palveluiden ulkoistuksessa Tietosuojan yhteishanke työpaja #3 - tietoturvallisuus - 26

35 artikla Tietosuojaa koskeva vaikutustenarviointi 1. Jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, rekisterinpitäjän on ennen käsittelyä toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle. Yhtä arviota voidaan käyttää samankaltaisiin vastaavia korkeita riskejä aiheuttaviin käsittelytoimiin. Jolloin tästä seuraa Tietosuojan yhteishanke työpaja #3 - tietoturvallisuus - 27

d) suunnitellut toimenpiteet riskeihin puuttumiseksi, mukaan lukien suoja- ja turvallisuustoimet ja mekanismit, joilla varmistetaan henkilötietojen suoja ja osoitetaan, että tätä asetusta on noudatettu ottaen huomioon rekisteröityjen ja muiden asianomaisten oikeudet ja oikeutetut edut. Jälleen osa normaalia tietoturvallisuuden toteuttamista Tietosuojan yhteishanke työpaja #3 - tietoturvallisuus - 28

Mikä on tarvittava tietoturvallisuuden vähimmäistaso? - suunnitelmana on, että tulevan tiedonhallintalain osana korvataan tietoturvallisuusasetus

Henkilötietoasetuksen tietoturvallisuusvaatimukset (kaikille) Arkaluonteiset henkilötiedot Muu erityisperuste TL IV TL III TL II TL I VAHTI 100-vaatimukset lainsäädännön vähimmäistaso Tietoturvallisuuden minimitaso luottamuksellisuus salassa pidettävä (nyk ST IV) L Suojattava kohde Muut eheydeltä edellytettävät vaatimukset Muut saatavuudelta edellytettävät vaatimukset Tietoturvallisuuden vähimmäistaso eheys ja saatavuus Tietosuojan yhteishanke työpaja #3 - tietoturvallisuus - 30

Tietoturvallisuuden vähimmäistaso eheys ja saatavuus Tietoturvallisuuden vähimmäistaso luottamuksellisuus VAHTI 100-vaatimukset lainsäädännön vähimmäisvaatimukset Luottamuksellisuus x z y Saatavuus Eheys y y Tietosuojan yhteishanke työpaja #3 - tietoturvallisuus - x x z z 31

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute