Osaava tietosuojavastaava - Käytännön kokemuksia ja havaintoja tietosuojavastaavan elämässä

Samankaltaiset tiedostot
EU:n yleinen tietosuoja-asetus (GDPR) ja sen toimeenpano Tampereen kaupungilla

Kertausta lähtökohtiin liittyen

Esityksen aihe: Digitaalinen turvallisuus terveydenhuollossa

DLP ratkaisut vs. työelämän tietosuoja

Tietosuoja kirjastoissa

TIETOSUOJATYÖN ORGANISOINTI

REKISTERINPIDON JA KÄYTÖNVALVONNAN HAASTEET

Tietosuojavastaavana julkisella sektorilla

EU:n yleisen tietosuoja-asetuksen (GDPR) vaikutusten arviointi alueellisesti

TIETOTURVAPOLITIIKKA

Tietosuoja terveydenhuollossa

Tietosuojan etukäteinen vaikutustenarviointi (DPIA)

Vihdin kunnan tietoturvapolitiikka

Tietoturvapolitiikka Porvoon Kaupunki

Tietoturvapolitiikka

Käytönvalvonnan yhtenäistäminen ja tehostaminen organisaation ja kansalaisen kannalta

Miten tietosuoja-asetuksen soveltamisen osalta on edetty? Havaintoja ja parhaita käytäntöjä-

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Paneeli: Käytön valvonta, lokien hallinta, poikkeamien havaitseminen, poliisiyhteistyö

Case VRK: tietosuojan työkirjat. JUDO Työpaja #2 - tietosuoja Noora Kallio

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Teknologia avusteiset palvelutverkostopalaveri

Tietosuojakysely 2018

Karkkilan kaupungin tietoturvapolitiikka

Tietosuojakysely 2019

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Espoon kaupunki Tietoturvapolitiikka

Kokemuksia ja näkemyksiä tietosuojaasetuksen

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Tietosuojavastaavan nimittäminen, asema ja tehtävät

Hyvä tietosuojakäytäntö

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

KIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA

Tietosuojakysely 2017

Päivitämme materiaalia säännöllisesti kesän ja syksyn 2017 aikana.

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Hyvä tietosuojakäytäntö

TIETOTURVAA TOTEUTTAMASSA

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

KMTK UUDET KUVAMITTAUSTEKNOLOGIAT - PROJEKTIN HANKINNAT JA TIETOSUOJA

Eläketurvakeskuksen tietosuojapolitiikka

Lokipolitiikka (v 1.0/2015)

Terveydenhuollon tietohallintostrategia Suomessaonko sitä ja millainen sen tulisi olla?

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

VAKAVA Valtakunnallinen kokonaisarkkitehtuurin suunnittelun ja kuvaamisen tukiprojekti

Tietosuojavastaavan rooli lokivalvonnassa

Tietoturvavastuut Tampereen yliopistossa

Tietosuojavastaavan nimeämistä ja muita tietosuoja- ja tietoturva-asioita koskeva kysely sosiaalihuollon palvelujen antajille 2011

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Kaupunginhallitus Liite EU:n tietosuoja-asetus Vaikutukset ja toimeenpano Etelä-Savossa TF

Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa

Tietosuojaselostepohja GDPR

Tietosuojakysely 2016

REKISTERINPITÄJÄ JA YHTEYSHENKILÖ REKISTERIÄ KOSKEVISSA ASIOISSA Rekisterinpitäjä: Tmi ML-hahmoterapia Yhteyshenkilö: Mikko Lounela Puh:

Miten tietosuoja-asetusta toteutetaan Palkeiden tuottamissa palveluissa Sami Nikula

Tietosuoja sosiaali- ja terveyspalveluissa

Alueellinen toimija Pirkanmaalla ja TAYSin erityisvastuualueella

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

JULKISEN HALLINNON DIGITAALISEN TURVALLISUUDEN KEHITTÄMISHANKE DIGITURVA-YHTEISHANKE VÄESTÖREKISTERIKESKUS

Hämeenkyrön kunnan tietotilinpäätös 2018

Espoon kaupunki Tietoturva- ja tietosuojapolitiikka

Miten valmistaudun tietosuoja-asetuksen vaatimuksiin?

Tietoturva- ja tietosuojapolitiikka

Case VRK: tietosuojan työkirjat osa 2. JUDO Työpaja #4 - tietosuoja Noora Kallio

Sosiaali- ja terveydenhuollon järjestämissuunnitelman arviointi

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Tietoturvapolitiikka

Tietosuojahankkeen esittely ota tietosuojaasetuksen. Kuinka koulutan ja ohjeistan henkilöstöä tietosuojan osalta! Tuula Seppo, Kuntaliitto

Kansallinen palveluarkkitehtuuri Tilannekatsaus JUHTA O-P Rissanen

Tietoturvapolitiikka NAANTALIN KAUPUNKI

GDPR. aka. Euroopan tietosuoja-asetus

Turun kaupungin tietohallintostrategia Tiivistelmä

ASIAKKAIDEN HENKILÖTIETOJEN KÄSITTELY KAUPUNGIN VUOKRATALOYHTIÖSSÄ. Lakimies Sanna Mäkilä, Helsingin kaupungin asunnot Oy

Minea Ahlroth Risto Havunen PUUN JA KUOREN VÄLISSÄ

EU TIETOSUOJA- ASETUS

APULAISKAUPUNGINSIHTEERIN REKRYTOINTI JA KONSERNIHALLINNON UU- DELLEENJÄRJESTELY. Stpj , 10

Keräämämme tiedot voidaan jakaa asiakkaiden, huoltajan antamiin, viranomaisten antamiin ja eri järjestelmien keräämään tietoon.

Tervetuloa! Juha Jolkkonen Toimialajohtaja Helsingin sosiaali- ja terveystoimiala Sosiaali- ja terveydenhuollon tietosuojaseminaari

<raikasta digitaalista ajattelua>

Tietosuoja-asetus ja sen kansallinen implementointi

MIKÄ ON TIETOSUOJAVASTAAVA?

KuntaIT Mikä muuttuu kunnan tietotekniikassa? Terveydenhuollon Atk-päivät Mikkeli Heikki Lunnas

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

Rekisteri- ja tietosuojaseloste, Mökkivuokraajan käsikirja -palvelu

Tietosuojatehtävät. Järvenpään kaupungissa

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

Kokonaiskuva tietosuoja-asetuksesta General Data Protection Regulation,GDPR

JULKISEN HALLINNON TIETOHALLINNON NEUVOTTELUKUNNAN ASETTAMINEN

Alueellisen hyvinvointikertomuksen ja suunnitelman valmistelu ja tilannekatsaus Pirkanmaalta

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

Kaupunginhallitus Liite 2 203

TIETOSUOJAPOLITIIKKA. Turun kaupunki

Kansallinen organisoituminen - ohjausmalli. Anne Kallio

Tietosuojaseloste / Käyttölokitietojen rekisteri / Pegasos ja Alue-Pegasos potilastietojärjestelmät

Tampere Ote viranhaltijapäätöksestä 1 (5) Tietohallintojohtaja Projektipäälliköksi nimetään Ari Andreasson.

1 Tietosuojapolitiikka

Johdon tuki tietosuojavastaavalle terveydenhuollon organisaatiossa

Transkriptio:

Osaava tietosuojavastaava - Käytännön kokemuksia ja havaintoja tietosuojavastaavan elämässä Juhta-Vahti-tietosuojatyöpaja VI 17.11.2017, Ari Andreasson tietosuojavastaava 1

Kuka, mitä, häh, tä? Ari Andreasson Sote-palvelujen tietosuojavastaavana 2008-2017 10/2017- Tampereen kaupungin konsernihallinnon johtoryhmä nimitti Arin koko peruskunnan tietosuojavastaavaksi Asemoituu Konsernihallinnon Strategia- ja kehittämisyksikköön Esimies tietohallintojohtaja Lähin työkaveri tietoturvapäällikkö Tehtävänimike on tietosuojavastaava ja 100% työajasta käytetään ko. tehtävän hoitamiseen Tietosuojavastaavalle on nimetty virkapäätöksellä varahenkilö Sivutoiminen tietokirjailija ja yrittäjä Yhtenä harrastuksena oman tietosuojatietouden kasvattaminen ja tarvittaessa väittely aiheesta alan harrastajien kanssa 2

Tietosuojavastaavat (1/2) Ovat keskiössä GDPR:n toimeenpanon varmistamisessa Voivat olla avainhenkilöriskejä tai uupuneita Pitää olla mukana DPIA-arvioita laatiessa Ovat välillä johdon suosikkilistalla ja välillä sen ulkopuolella Pitää olla määrätietoisia ja rohkeita- muttei tyhmänrohkeita Ovat asemassa, jossa voi vaatia itselleen asiaankuuluvaa asiantuntijan palkkatasoa sekä pääsyä koulutuksiin ja johtoryhmiin Ovat selkeä parannus lainsäädännön vaatimuksissa!!! 3

Tietosuojavastaavat (2/2) Ei ole järkevää vain nimetä tietosuojavastaavaa, vaan varmistaa, että hän saa riittävät resurssit ja mahdollisuuden kouluttautua osaavaksi tietosuojavastaavaksi Pahimmillaan ei osaava tietosuojavastaava voi olla pahin tietosuojariski organisaatiolle Tietosuojavastaavan pitää itse uida johtoportaan työryhmiin ja pystyä määrätietoisesti tuomaan asiantuntevia mielipiteitään esille Pitää muistaa, että tietosuojan ei pidä olla liian tiukka eikä tarpeettoman löysä! Pitää muistaa verkostoitua! 4

Arin tämä viikko & 100+ sähköpostia/pvä 5

Työtehtävät liittyvät käytännössä Ulkoistussopimuksien liitteisiin (henkilötietojen käsittely) Vaatimusmäärittelyihin eri (hankinta) ICT-projekteissa Yksittäisten työntekijöiden kysymyksiin (mutta silloin joku sakkaa, jos vastauksia ei saa esimiehiltä tai olemassa olevista ohjeista voi olla perehdyttämisprosessin ongelma) Johdon esittämiin todella vaikeisiin kysymyksiin, joissa tarvitaan myös kansallisia asiantuntijoita kaupungin asiantuntijoiden lisäksi Kansalaisten viikoittain esittämiin kysymyksiin Minä veronmaksajana vaadin saada tietää Yli puolella kysyjistä on Arin havaintojen mukaan henkisiä ongelmia esim. vainoharhaisuutta ja asian selvittelyssä pitää olla erityisen hienotunteinen, jottei pahenna tilannetta (esim. terveydenhuollon hoitosuhdetta) entisestään. 6

Yksi kasvava vyyhti on lokiselvitykset Kuka tietojani käsitteli sähköisesti tai miksi? Vaatii tarkempia valtakunnallisia linjauksia, että mitä edes tarkoitetaan sanoilla käyttö- ja luovutusloki ja millä tarkkuudella niitä pitää pystyä kansalaisille tuottamaan. Asiaan liittyy myös kustannusvaikutuksia sekä tietojärjestelmien toimintaan liittyviä (toiminnan hidastavia) asioita, joten asiaa pitää kansallisesti pohtia tarkasti. Tampereella on tarkoin määritelty soten asiakastietojen käsittelyn lokiselvitysprosessi, jossa otetaan tarvittaessa lausunto myös psykiatrian ylilääkäriltä, kun arvioidaan lokien luovutuksia tai niistä kieltäytymistä. Syytä on dokumentoida kuinka tietojen käsittelyä on valvottu lokitietojen avulla. Esim. Tampereella potilastietojärjestelmä-pegasoksen lokitietojen käsittelystä tallentuu myös loki. 7

Johdon ja tietosuojavastaavan yhteistyö Varmista perusedellytykset 1) Tietosuojavastaava: Nosta tietosuoja johdon agendalle ja pidä se siellä 2) Nimetkää yhdessä avainhenkilöt ja varmistakaa riittävä resursointi 3) Laatikaa pelisäännöt 4) Panostakaa henkilöstön kouluttamiseen 5) Seuratkaa ja kehittäkää, sekä puuttukaa poikkeamiin 8

Riskejä GDPR-valmiuden nostossa Avainhenkilöriskit organisaation sisällä Kansallinen ohjaus ontuu, EU-tasoiset soveltamisohjeet osin puuttuu Uutta lainsäädäntöä tullee Suomeen (mm. Tietosuojalaki, ehkä Tiedonhallintalaki, sote- ja maakuntalakipaketti jne.) Paljon uutta terminologiaa kaikille osapuolille Sopimusliitteitä tai niiden ehdotuksia alkaa tulemaan ovista ja ikkunoista Miten tietosuojavastaava osaa keskittyä oleelliseen? 9

Mitä riskejä voi esiintyä 2018- Alkuinnostuksen jälkeen organisaatioiden avainhenkilöiden voimat ehtyvät ja johdon kiinnostus laimenee Huomataan, että kyseessä oli enemmän GDPR-projekti kuin se, että lopputuloksena olisi jatkuva prosessi, jota kehitetään Tietosuojavastaavan työaika kuluu epäoleelliseen ja yksittäisten kysymyksien ja ongelmien ratkaisemiseen Kansalaiset voivat esittää enenevästi tiedusteluja Kuka tietojani käsittelee ja miksi?, Haluan tietoni poistettavaksi kaikista järjestelmistä Vakavista tietosuojalaiminlyönneistä tai tietovuodoista voi seurata tuntuvia seuraamuksia ml. imagotappioita 10

Varautuminen Suunnitelkaa tietosuojatyön organisointi huolella Toteuttakaa sitä suunnitelman mukaisesti Käyttäkää tarvittaessa ulkopuolisia asiantuntijoita kukaan ei pärjää yksin Tehkää vaikutustenarviointi isoriskisessä henkilötietojen käsittelyssä (DPIA=Data Protection Impact Assessment) Muistakaa riittävä dokumentointi Pitäkää tiedon elinkaaren hallinta keskiössä Verkostoitukaa kollegojen kanssa niin paljon kuin mahdollista ja vertailkaa käytäntöjä! 11

Käytännön esimerkkejä kuntayhteistyöstä Tampereen seudun tietoturva- ja tietosuoja yhteistyö seudun yhteinen tietoturvaryhmä, jossa jäsenet myös isoimmilta ICT-sopimuskumppaneilta seudun yhteinen tietoturvapolitiikka seudun yhteinen henkilöstön tietoturva- ja tietosuojaopas seudun yhteinen tietojen ja tietojärjestelmien käyttö- ja salassapitositoumus (sähköinen hyväksyntä) mukana myös Pirkanmaan sairaanhoitopiiri seudun yhteinen mobiilipolitiikka seudun yhteiset käyttövaltuusperiaatteet seudun yhteiset sähköisten viestintävälineiden käyttösäännöt 12

Lisätietovinkkejä www.tietosuoja.fi Tietosuojavastaavia koskevat ohjeet suomeksi www.arjentietosuoja.fi www.tietosuojavastaavat.fi http://shop.kunnat.net/product_details.php?p=3362 (hyvä julkaisu hankintojen tietosuojaan liittyen) Yksi linkki asetukseen http://www.privacy-regulation.eu/fi/ Kirjavinkki: Osaava tietosuojavastaava, Tietosanoma Oy, 2017 13

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute