Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö

Harto Pönkä
Harto PönkäCEO at Innowise à Innowise
Tietosuoja
sosiaalisessa
mediassa ja somen
turvallinen käyttö
Harto Pönkä
5.2.2019
Kuva: Pixabay
Kuva: Pixabay (CC0)
Somepalvelujen käyttö Suomessa
WhatsApp 72 %
Facebook 60 %
Facebook 59 %
Instagram 35 %
LinkedIn 15 %
Twitter 15 %
Snapchat 11 %
Datalähde: Sanomalehtien liitto, 19.12.2018, säännöllisesti käytetyt somepalvelut, N=1000, 15-74-vuotiaat suomalaiset,
https://www.sanomalehdet.fi/ajankohtaista/uutiset/sosiaalisen-median-laatumielikuva-on-heikentynyt
Lähde: DNA, Koululaistutkimus, 1.8. 2018,
https://www.sttinfo.fi/data/attachments/00830/f6f638f2-afe4-426b-bd3b-3d2601ae8aff.pdf (N=532, vastaajina lasten vanhemmat)
6-12-vuotiaiden somen käyttö
Somepalvelujen käyttö ikäryhmittäin
Lähde: Sanomalehtien liitto, 19.12.2018, säännöllisesti käytetyt somepalvelut, N=1000, 15-74-vuotiaat suomalaiset,
https://www.sanomalehdet.fi/ajankohtaista/uutiset/sosiaalisen-median-laatumielikuva-on-heikentynyt
Somepalvelujen ikärajat ja käyttöehdot
• Google: 13 vuotta (Google Play, Gmail, G Suite, Google Drive, Google+, Blogger)
• YouTube: 13 vuotta (osa videoista 18 v.)
• Facebook: 13 vuotta
• WhatsApp: 16 vuotta (oli 13 vuotta 8/2016 - 5/2018)
• Instagram: 13 vuotta
• Snapchat: 13 vuotta
• Twitter: 13 vuotta
• Steam: 13 vuotta
• Pinterest: 13 vuotta
• Twitch: 13 vuotta
• Ask.fm: 13 vuotta
• Kik Messenger: 13 vuotta (suositus 17 v.)
• WordPress.org: 13 vuotta
• We heart it: 13 vuotta
• Pokémon Go: 13 vuotta
Somepalvelujen ikärajat
Lisäksi alaikäinen
tarvitsee huoltajan
luvan sopimuksen
tekoon, mikäli hän
on alle GDPR-ikärajan
(nykyisin 13 v.).
WhatsAppin käyttö alle
16-vuotiaiden opetuksessa
• WhatsAppin käyttöehtojen tarkoittama ”käyttäjä”
on se, joka rekisteröi tunnuksen ja hyväksyy
käyttöehdot. Jos huoltaja hyväksyy käyttöehdot,
hän on sopimuksen osapuoli.
• Huoltaja saa antaa hallitsemansa WhatsApp-
tunnuksen lapsen käyttöön ikärajan sitä estämättä.
Käyttöehdoissa ei tätä kielletä.
• Lapsen kännykän käyttö perustuu muutenkin
huoltajan tekemiin sopimuksiin ja palveluihin, jotka
tämä on antanut lapsen käytettäväksi (esim.
puhelinliittymä ja Google-tunnus).
• Lapsen kännykän käyttö tapahtuu huoltajan luvalla,
valvonnassa ja vastuulla.
• Lapsen kännykän ja sen sovellusten opetuskäyttöön
tarvitaan huoltajan lupa.
• Luvan antaminen on vapaaehtoista: sitä ei voida
edellyttää eikä siihen pidä painostaa.
• Perusteet käyttää WhatsAppia opetuksessa on hyvä
käydä läpi opettajien, huoltajien ja lasten kanssa.
Lue lisää blogistani:
https://harto.wordpress.com/2018/05/18/whatsappin-
ikarajasta-opetuskaytosta-ja-gdprsta-viela-kerran/
• Ikärajat eivät kerro pelin vaikeudesta, vaan varoittavat sisällön
arvioidusta haitallisuudesta alaikäisille.
• Suomessa käytetään yleiseurooppalaisia PEGI-ikärajoja.
• Ikärajat velvoittavat esim. pelien myyjiä eli niitä ei saa tarjota
ikärajaa nuoremmille.
• Ikärajaa kolme vuotta nuorempi voi osallistua esim.
pelitapahtumaan, jos hän on aikuisen seurassa. Ei koske K18:aa.
Lähde ja lisätietoa: http://www.ikarajat.fi/
Lähde: Google/YouTube, https://support.google.com/youtube/answer/2802167?hl=fi (10.10.2018)
YouTubessa
rajoitetaan vain
K18-videoita.
Sopikaa yhdessä
pelisäännöistä, mitä
voi katsoa.
Tarkistuslista:
• Missä maassa palvelu sijaitsee? Suosi EU:ssa sijaitsevia.
• Mikä on palvelun ikäraja?
• Mitä henkilötietoja rekisteröitymisen ja palvelun käytössä
tallennetaan?
• Saako sama käyttäjä luoda palveluun useita käyttäjätunnuksia?
• Miten käyttäjä voi hallita henkilötietojaan palvelussa?
• Voidaanko tietojasi luovuttaa muille tai käyttää esimerkiksi
mainontaan?
• Mitä oikeuksia palvelu saa tekemiisi sisältöihin kuten teksteihisi
ja valokuviisi? Voidaanko niitä käyttää muualla?
• Mihin voit olla yhteydessä, jos palvelun käytössä ilmenee
ongelmia?
• Miten voit lopettaa palvelun käytön? Mitä tekemillesi sisällöille
ja muille sinusta kerätyille tiedoille tehdään siinä tapauksessa?
Palvelun käyttöehdot = sopimus
• Yhdysvalloissa ei ole vastaavaa tiukkaa henkilötietojen käytön sääntelyä kuin
EU-maissa. Tämän vuoksi yhdysvaltalaisten verkkopalvelujen käytössä
opetuksessa tulee olla erityisen varovainen.
• Henkilötietoja voidaan siirtää Privacy shield –järjestelmään sitoutuneille tahoille
– Privacy shield on toistaiseksi voimassa ja mahdollistaa laillisesti EU-kansalaisten henkilötietojen
siirron ja käsittelyn yhdysvaltalaisissa palveluissa.
– Privacy shield on kohdannut kritiikkiä ja on epäilty, että se tulee kaatumaan myöhemmin EU-
tuomioistuimessa
• Toinen lainmukainen vaihtoehto on, että yhdysvaltalainen palveluntarjoaja
sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin
– Esimerkiksi Google ja Microsoft toimivat näin
• Opetuksessa voidaan käyttää myös suoraan yhdysvaltalaisia palveluita
huoltajien luvalla tai mikäli niiden käyttö ei edellytä henkilötietojen antamista
Yhdysvaltalaiset verkkopalvelut
• Sopimuksen tekeminen vaatii lain mukaan 18 vuoden ikää
(oikeustoimikelpoisuus). Alaikäiset tarvitsevat huoltajan luvan
sopimuksen tekoon.
• Huoltaja voi hyväksyä käyttöehdot lapsen puolesta ja antaa
somepalvelun tämän käyttöön ikärajasta huolimatta, mikäli
ehdoissa ei kielletä palvelun antoa toisen käyttöön.
• Suostumuksen henkilötietojen käsittelyyn some-
/verkkopalveluille voi antaa yli 13 vuotias. Alaikäiset voivat
hyväksyä ikätasolle tavanomaisia ja merkitykseltään vähäisiä
käyttöehtoja.
• Mobiililaitteiden käyttöön opetuksessa tarvitaan huoltajan lupa
alle 15-vuotiailta (OPH:n ohjeistus). Yli 15-vuotias saa hallita itse
omaisuuttaan.
• Suostumus tulee dokumentoida. Se voidaan kirjata koulun
rekisteriin, jonka jälkeen lupalappuja ei tarvitse säilyttää.
• Suostumukset on hyvä tarkistaa vuosittain.
Ikä ja huoltajilta pyydettävät luvat
Lähteinä mm. GDPR ja Tietokoneen, kännykän ja muiden mobiililaitteiden käyttöön liittyvistä oikeuksista ja velvollisuuksista koulussa, OPH, 2017,
https://www.oph.fi/julkaisut/2017/tietokoneen_kannykan_ja_muiden_mobiililaitteiden_kayttoon_liittyvista_oikeuksista_ja_velvollisuuksista_koulussa
Lähde: Tietokoneen, kännykän ja muiden mobiililaitteiden
käyttöön liittyvistä oikeuksista ja velvollisuuksista koulussa,
OPH, 2017,
https://www.oph.fi/julkaisut/2017/tietokoneen_kannykan_ja
_muiden_mobiililaitteiden_kayttoon_liittyvista_oikeuksista_
ja_velvollisuuksista_koulussa
Omien laitteiden
käyttö opetuksessa
-mallisopimus
Suosittelen muokkaamaan
sopimuksen tekstin näin:
”oppilas voi käyttää
seuraavia laitteita ja niissä
olevia sovelluksia oppimisen
tukena…”
Suostumus omien laitteiden
käyttöön tarvitaan alle 15-
vuotiaiden huoltajilta.
Pilvi- ja somepalvelujen tietosuoja
Organisaatioiden käyttöön
tehdyissä pilvipalveluissa
organisaatio on yleensä
rekisterinpitäjä käyttäjilleen ja
palvelun ylläpitäjä
henkilötietojen käsittelijä.
Kuva: Pixabay
Verkkopalvelujen kolme tyyppiä
REKISTERINPITÄJÄ
Palvelun käyttöönsä
tilannut organisaatio
HENKILÖTIETOJEN
KÄSITTELIJÄ
Ulkopuolinen palveluntarjoaja
REKISTERINPITÄJÄ
Palvelun omistava ja siitä
vastaava organisaatio
KÄYTTÄJÄT & DATA
Palveluun tallennetut
sisällöt ja henkilötiedot
REKISTERINPITÄJÄ
Ulkopuolinen palveluntarjoaja
KÄYTTÄJÄT & DATA
Palveluun tallennetut
sisällöt ja henkilötiedot
KÄYTTÄJÄT & DATA
Palveluun tallennetut
sisällöt ja henkilötiedot
OMAT PALVELUT SOPIMUSPALVELUT ULKOPUOLISET PALVELUT
Sopimus henkilö-
tietojen käsittelystä
Käyttöehtosopimus
tai suostumus
Henkilötiedot pysyvät organisaation omassa hallinnassa
Henkilötietoja päätyy
ulkopuoliselle rekisterinpitäjälle
Palvelua käyttävä
organisaatio
Kaupalliset somepalvelut päiväkodin tai
koulun käytössä?
Julkisuus, salassapito ja viranomaisen asiakirjat somepalveluissa
Lähde: Oikeusasiamiehen päätös EOAK/2404/2017, 14.7.2017, https://www.oikeusasiamies.fi/fi/ratkaisut/-/eoar/2404/2017
• Joissakin tilanteissa Facebook-sivun ylläpitäjä voidaan katsoa
yhteisrekisterinpitäjäksi Facebookin kanssa.
• Facebook on henkilötietojen käsittelijä mm. organisaatioiden mainos-
ja analytiikkatyökalujen yhteydessä.
• Facebook on asettanut sivujen ylläpitäjille lisäehtoja, jotka tulivat
voimaan 28.9.2018.
– Katso ”Sivun kävijätietojen hallinnoija -lisäys”:
https://www.facebook.com/legal/terms/page_controller_addendum#
• Käytännön toimenpiteet:
– Tunnista Facebook-sivun rekisterinpitäjä ja käsittelyn oikeusperuste.
Ilmoita sivun tiedoissa siitä vastaava organisaatio.
– Lisää tietosuojaseloste Facebook-sivun tietoihin privacy policy -kohtaan.
– Jos saat sivun kävijöiltä tai viranomaisilta GDPR:n mukaisia pyyntöjä, välitä
ne viipymättä Facebookille tällä lomakkeella:
https://www.facebook.com/help/contact/308592359910928
Facebook-sivun ylläpitäjän asema
Päiväkotien ja
koulujen
Facebook-ryhmät
Pyydä suostumus ennen
kuin viet päiväkodin tai
koulun rekistereistä
henkilötietoja
ulkopuolisiin verkko-tai
somepalveluihin.
Kyse on henkilötietojen
luovuttamisesta toiselle
rekisterinpitäjälle
(Facebookille) sekä
niiden julkaisusta
(muille ryhmäläisille).
Kuvakaappaus: Facebookin hakutoiminnon löytämiä ei-
salaisia Facebook-ryhmiä, 4.2.2019.
• Facebookin käyttöehdot kieltävät
kahden eri käyttäjätunnuksen
luomisen.
• Erillistä työntekijätunnusta ei
pitäisi tehdä.
• Henkilökohtaisen tunnuksen
käyttö työssä voi perustua vain
vapaaehtoisuuteen.
• Facebook-ryhmissä ja -sivuilla voi
toimia henkilökohtaisella
tunnuksella, jolloin asiakkaita ei
tarvitse ottaa kavereiksi.
• Nykyään Facebook-sivut voivat
osallistua myös ryhmien
keskusteluihin.
• Facebookin käyttöehdot:
https://www.facebook.com/legal/t
erms/update
Tiedotus
(kirjallinen,
taiteellinen,
akateeminen ja
journalistinen sisältö)
Yhteydenpito
rekisteröityihin
Henkilötietojen
säilytys
Rekisteröityjen
sähköinen asiointi
Kunnan omat
verkkopalvelut
(kotisivut, intra)
Ok Ok, jos käyttöoikeudet
ovat oikein.
Ok, jos
käyttöoikeudet ovat
oikein.
Ok, jos
käyttöoikeudet
ovat oikein.
Kunnan hallinnoimat
verkkopalvelut
(pilvipalvelut ja muut
sopimuspalvelut)
Ok Ok, jos käyttöoikeudet
ovat oikein ja on
sopimus
henkilötietojen
käsittelystä.
Ok, jos
käyttöoikeudet ovat
oikein ja on sopimus
henkilötietojen
käsittelystä.
Ok, jos
käyttöoikeudet
ovat oikein ja on
sopimus
henkilötietojen
käsittelystä.
Kunnan hallinnoimat
profiilit julkisissa
somepalveluissa
Ok Ok, jos käyttöoikeudet
ovat oikein, ohjeistus
on kunnossa ja
rekisteröidyltä on
suostumus.
Ei.
Viestien osalta
tilanne on epäselvä.
Ei
Kunnan työntekijöiden
henkilökohtaiset
profiilit julkisissa
somepalveluissa
Ok Ok, jos ohjeistus on
kunnossa ja
rekisteröidyltä on
suostumus.
Ei.
Viestien osalta
tilanne on epäselvä.
Ei
Nyrkkisääntö: somepalvelujen käyttö rekisteröityä koskevien tietojen käsittelyssä ja
yhteydenpidossa voi perustua vain rekisteröidyn suostumukseen (aloitteeseen).
Kunnan tulee huolehtia siitä, ettei henkilötietoja ilman rekisteröidyn suostumusta tallenneta
verkko-/somepalveluihin, jotka eivät ole sen hallinnassa.
WhatsApp
vahva salaus automaattisesti
Facebook Messenger
salaus pitää kytkeä päälle
Skype
salattu, mutta viestejä on
periaatteessa mahdollista seurata
Pikaviestit ja ryhmäkeskustelut
Pikaviestipalvelujen tietosuoja
Lähde: Amnesty, For your eyes only?, 2016, https://www.amnesty.org/download/Documents/POL4049852016ENGLISH.PDF
Lähde: Tivi, 10.8.2017, https://www.tivi.fi/Kaikki_uutiset/viranomaiset-kayttavat-pikaviestimia-onko-viestinta-julkista-enta-turvallista-6667958
• Pikaviestit ja ryhmäkeskustelut
– Signal (USA:lainen), https://signal.org/
– Telegram (venäläinen), https://telegram.org/
– Threema (sveitsiläinen), https://threema.ch/
– FoilChat (suomalainen), https://www.foilchat.com/
• Wiki-/ryhmäsivustot
– Purot.net (suomalainen), https://purot.net/
• Palaute ja ryhmätyöskentely
– ClassDojo (USA:lainen), https://www.classdojo.com/
– Seesaw (USA:lainen), https://web.seesaw.me/
• Blogit
– Edublogs (USA:lainen), https://edublogs.org/
Vaihtoehtoja ryhmien yhteydenpitoon
• Kun opetuksessa käytetään erilaisia somepalveluita, on syytä sopia
yhteiset toimintamallit
– Työ- vai henkilökohtainen sähköpostiosoite tunnuksen luonnissa?
– Millä edellytyksin oppilaiden henkilötietoja voidaan viedä palveluun?
– Miten huolehditaan, ettei oppilaiden henkilötietoja ”unohdu” palveluun?
• Eri somepalveluissa on erilaisia käyttöehtoja, jotka on huomioitava
• Esimerkiksi koulun hallinnoimalla opettajan Google-käyttäjätunnuksella
on mahdollista käyttää useita muidenkin tahojen ylläpitämiä
somepalveluilta
• Yksityisten laitteiden ja tunnusten käytöstä työtehtäviin on syytä antaa
selvät ohjeet: mitä saa ja ei saa tehdä.
• Opettajaa ei voida velvoittaa käyttämään yksityisiä käyttäjätunnuksia
työssään, mikäli se ei ole ollut nimenomaisesti edellytyksenä
työtehtävän hoitamiselle
• WhatsAppin työkäyttöön on suositeltavaa olla työpuhelin
• Muista varovaisuus henkilötietojen tallentamisessa somepalveluihin
Somepalvelut ja tietosuoja
• Saman ryhmän kesken nimien ja kuvien näkyminen on ok.
• Älä julkaise tai luovuta henkilötietoja ilman suostumusta. Alaikäiseltä tarvitaan
huoltajan suostumus.
• Muista minimointiperiaate: käsittele henkilötietoja tarvittavassa laajuudessa.
• Huolehdi suostumuksista alle 13-vuotiaiden huoltajilta, kun käytetään kaupallisia
verkko- ja somepalveluita.
• Pyydä alle 15-vuotiaiden huoltajilta lupa omien laitteiden ja sovellusten käyttöön.
• Ryhmän kesken voidaan jakaa yhteystietoja, kun ne ovat koulun tai päiväkodin
hallinnoimia tai kyseisiin omiin laitteisiin ja sovelluksiin on opetuskäytön lupa.
– Esimerkiksi sähköpostiosoitteet, puhelinnumerot, somepalvelujen käyttäjätunnukset
• Julkisuuslaki mahdollistaa mm. oppijan huoltajan tietojen annon toiselle
huoltajalle, mikäli sille ei ole muuta estettä (esim. turvakielto).
• Muista salassapito- ja vaitiolovelvollisuudet.
– Oppilaan ja hänen perheensä yksityiselämän ja taloudellisen tilanteen tiedot
– Oppilashuoltoon ja tukeen liittyvät tiedot ja asiakirjat, esim. VASU ja HOJKS
– Asiakirjat, jotka sisältävät henkilökohtaisten ominaisuuksien sanallista arviointia
– Terveystiedot, terveydenhuollon ja kuntoutuksen palvelut
– Sosiaalihuollon asiakkuus, etuudet ja tukitoimet
• Oppijat tai huoltajat saavat jakaa keskenään henkilötietoja.
Opettajan muistilista tietosuojasta
Tietoturvaloukkaukset
• Tietoturvaloukkauksella tarkoitetaan henkilötietojen…
– vahingossa tapahtuvaa tai lainvastaista tuhoamista
– häviämistä
– muuttamista
– luvaton luovuttamista tai pääsyä tietoihin
• Rekisterinpitäjällä on velvollisuus ilmoittaa henkilötietojen
tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle, jos siitä
todennäköisesti aiheutuu korkea riski rekisteröityjen oikeuksille ja vapauksille
• Ilmoitus valvontaviranomaiselle 72 h kuluessa loukkauksen havaitsemisesta
• Rekisterinpitäjän on dokumentoitava kaikki tietoturvaloukkaukset, niihin
liittyvät seikat, vaikutukset ja korjaavat toimet
• Henkilötietojen käsittelijän on tehtävä ilmoitus tietoturvaloukkauksesta
rekisterinpitäjälle ilman aiheetonta viivytystä
• Esimerkkejä tietoturvaloukkauksista: https://bit.ly/2x9I4dA
Henkilötietojen tietoturvaloukkaukset
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf
Havainto
Rekisterinpitäjä havaitsee tai saa
tietoonsa tietoturvaloukkauksen.
Dokumentointi
Kaikki tietoturvaloukkaukset, niiden
vaikutukset ja korjaavat toimet
dokumentoidaan.
Riskiarvio
Aiheuttaako
tietoturvaloukkaus
todennäköisesti
riskin henkilöiden
oikeuksille ja
vapauksille?
Ei
Ilmoituksia ei
edellytetä
Kyllä
Ilmoitus valvontaviranomaiselle
Yleensä ilmoitus tehdään
rekisterinpitäjän päätoimipaikan
maan valvontaviranomaiselle.
Ilmoitus rekisteröidyille
Ilmoitetaan kohteena oleville henkilöille ja annetaan
tarvittaessa ohjeita, miten he voivat suojautua seurauksilta.
Ilmoitusvelvollisuus
tietoturva-
loukkauksista
Lähde: Tietosuojatyöryhmä, Suuntaviivat
asetuksen (EU) 2016/679 mukaisesta
henkilötietojen tietoturvaloukkauksen
ilmoittamisesta, 2017,
https://tietosuoja.fi/documents/6927448/8316711/
Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46
-33b1-4b01-9a50-
9320d59bd605/Tietoturvaloukkauksen+ilmoittami
nen+fi.pdf
Esimerkkejä tietoturvaloukkauksista
Lähde: Tietosuojatyöryhmä, Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta, 2017,
https://tietosuoja.fi/documents/6927448/8316711/Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46-33b1-4b01-9a50-
9320d59bd605/Tietoturvaloukkauksen+ilmoittaminen+fi.pdf
Tapahtuma Ilmoitus
valvontaviranomaiselle?
Ilmoitus
rekisteröidyille?
Rekisterinpitäjä on tallentanut salatun
varmuuskopion henkilötietoja sisältävästä
arkistosta USB-muistitikulle. Muistitikku
varastetaan murron yhteydessä.
Ei Ei
Rekisterinpitäjä ylläpitää verkkopalvelua.
Palveluun tehdyn verkkohyökkäyksen
seurauksena henkilöiden henkilötietoja
varastetaan.
Kyllä, jos henkilöille
todennäköisesti
aiheutuu seurauksia.
Kyllä, jos henkilöille
todennäköisesti
aiheutuvien seurausten
vakavuus on suuri.
Henkilötietojen käsittelijänä toimiva pilvipalvelu
havaitsee virheen koodissa, jolla hallitaan
käyttövaltuuksia. Vian vaikutuksesta käyttäjät
voivat nähdä toistensa tietoja palvelussa.
Kyllä, kun
rekisterinpitäjät ovat
saaneet tiedon
henkilötietojen
käsittelijältä.
Ei, jos henkilöille ei
todennäköisesti aiheudu
korkeaa riskiä.
Suuren opiskelijamäärän henkilötiedot lähetetään
erehdyksessä väärälle postituslistalle, jolla on yli
tuhat vastaanottajaa.
Kyllä Kyllä, mahdollisten
seurausten vakavuudesta
riippuen.
Riskiarviossa huomioitavaa
Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit
Henkilötietoihin kohdistuvan riskin taso
Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit
Jos riski arvioidaan korkeaksi, on tehtävä tietosuojaa koskeva vaikutustenarviointi, jossa
tarkastellaan toimenpiteitä, joilla voidaan pienentää riskiä (35 artikla).
Hallinto ja
toimintakulttuuri
•Tietosuoja ja sen
läpinäkyvyys on
keskeinen osa
toimintaperiaatteita
•Tietoturvapolitiikka ja
sen käytännöt on
määritelty
•Seloste käsittelytoimista
ja informointi
rekisteröidyille tehty
•Rekisteröityjen
pyyntöihin on
varauduttu
Henkilöstön
toimintamallit
•Henkilöstön roolit ja
vastuut on määritelty
•Salassapitovelvollisuus
•Koulutukset ja uusien
työntekijöiden
perehdytys
•Työsuhteiden
päättymiselle on
toimintamalli
•Tietoturvaloukkausten
raportointiin on
toimintamalli
Henkilötietojen käyttö
ja hallinta
•Henkilötietojen
käsittelylle on selvät
ohjeistukset
•Suostumukset ja kiellot
huomioitu toiminnassa
•Tietosuoja on huomioitu
mm. netin, sähköpostin
ja somen käyttöohjeissa
•Rekisteröidyt voivat
hallita itse tietojaan
•Tietojen tuhoaminen
tehdään turvallisesti
Tilojen valvonta
•Tiloihin pääsy on
valvottua ja avaimista
pidetään kirjaa
•Ulkopuolisten pääsy
henkilöstön työpisteisiin
on estetty
•Mahdollisesta
kameravalvonnasta on
rekisteri ja siitä
ilmoitetaan
•Tarvittaessa tilojen
turvaluokitukset
Rekisteröityjen
tunnistaminen
•Rekisteröidyt
tunnistetaan, kun tietoja
kerätään
•Rekisteröidyt
tunnistetaan, kun he
käyttävät oikeuksiaan
•Asiointi tapahtuu
ennalta nimettyjen
henkilöiden kanssa
Käyttäjätunnukset ja
oikeudet
•Henkilökohtaiset
käyttäjätunnukset
•Roolien mukaiset
käyttöoikeudet ja niiden
tarkistaminen
työtehtävien
muuttuessa
•Salasanoille ja
vastaaville on
laatuvaatimukset
•Järjestelmien
oletussalasanat on
vaihdettu
Ulkopuoliset toimijat
•Ulkopuolisista
toimijoista pidetään
kirjaa
•Sopimus ja ohjeet
henkilötietojen
käsittelystä
•Ulkopuolisten
palveluntarjoajien
vastuut on määritelty
•Ulkopuoliset toimijat
tuntevat
rekisterinpitäjän
toimintamallit ja ohjeet
Laitteet ja
tallennusvälineet
•Tietokoneista ja
mobiililaitteista
pidetään kirjaa
•Tietoturva- ja muut
päivitykset kunnossa
•Virustorjunnasta ja
palomuureista on
huolehdittu
•Siirrettävien
tallennusvälineiden
(muistitikut, ym.) ja
henkilökohtaisten
laitteiden käytöstä on
tehty ohjeistus
Palvelimet ja
verkkoyhteydet
•Palvelintiloissa on
pääsynvalvonta
•Langattomien verkkojen
liikenne on salattu
•Erilliset vierasverkot
•Palvelimien
ohjelmistopäivitykset
kunnossa
•Palvelimien
varmuuskopiointi on
kunnossa
•Palvelinohjelmistojen
lokitiedot on suojattu
Pilvipalvelut
•Pilvipalvelujen käyttö
henkilötietojen
käsittelyssä on
ohjeistettu
•Informointi ja
suostumukset kunnossa
•Sopimuksissa on
määritelty palvelutaso ja
palveluntarjoajan
vastuut
•Palveluntarjoajat ovat
sitoutuneet
noudattamaan GDPR:n
vaatimuksia
Tekniset ja organisatoriset suojatoimet
Somen turvallinen käyttö
• Suositus vähintään 8,
mielellään 15 merkkiä
• Ei ole yksittäinen sana. Lause
tai lorun pätkä ovat hyviä.
• Sisältää:
– Isoja ja pieniä kirjaimia
– Numeroita
– Erikoismerkkejä
• Ei ole arvattavissa
• Ei ole käytössä muualla
Hyvä salasana tai salalause
Lähde: Viestintävirasto, 2014, https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2014/12/ttn201412031257.html
Facebookin kirjautumisen asetukset
Facebook-tunnuksen asetukset, Turvallisuus ja sisäänkirjautuminen, https://www.facebook.com/settings?tab=security (28.9.2017)
Googlen kaksivaiheinen tunnistautuminen
1. Kirjaudu Google-tunnuksellasi
ja mene osoitteeseen:
https://myaccount.google.com/
2. Valitse ”Googleen kirjautuminen”
Kuvakaappaus ja lisätietoa:
https://www.google.com/landing/2step/
3. Ota käyttöön ”2-vaiheinen vahvistus”
Selaimen yksityinen tila
Firefox
Internet Explorer
Chrome
Yksityisessä tilassa nettiselain ei
tallenna laitteen muistiin:
• Sivuhistoriaa
• Lomaketietoja
• Evästeitä (engl. cookie)
• Www-sivustojen tiedostoja
välimuistiin
Verkkopalvelut ja verkkoyhteyden
tarjoaja näkevät toimintasi normaalisti.
Harmittomat Facebook-testit saavat yllättän paljon oikeuksia käyttäjätietoihisi ja voivat käyttää niitä haluamallaan tavalla.
Lisää aiheesta: https://harto.wordpress.com/2016/03/29/ala-anna-facebook-tietojasi-hupitestia-vastaan/
Vinkki: Rajoita Facebook-tietojesi käyttöä mainontaan.
Löydät nämä Facebookin ylävalikon kohdasta: ▼  Asetukset  Mainokset
Lisää aiheesta: https://harto.wordpress.com/2018/03/21/nailla-facebook-asetuksilla-estat-tietojesi-kayton-muilta-yrityksilta/ ja
https://harto.wordpress.com/2019/01/22/katso-miten-facebook-on-profiloinut-sinut-ja-mitka-yritykset-ovat-vieneet-asiakastietojasi-facebookiin/
Lista kymmenistä yrityksistä, jotka
ovat tuoneet tietojasi Facebookiin
Katso, miten monella eri tavalla
Facebook on profiloinut sinut
Lähde: http://yle.fi/aihe/artikkeli/2016/04/06/iphone-eurolla-aikuisten-oikeastiko (osallistuminen tarkoitti 59 euron kk-maksua)
Tilausansa
Vihapuhe ja häirintä somessa
Alle 16-vuotiailla
vielä tätä enemmän?
Vihamieliset viestit lisääntyvät iltaisin
Lähde: tutkija Matti Pohjonen, VOXPOL, kuva julkaistu:
https://www.facebook.com/kaikkiensome/photos/a.1741875395906647/1746262318801288/?type=3&theater
Koulussa tapahtunutta
Erään luokan WhatsApp-ryhmässä jaettu viesti
Ohjataan kertomaan kiusaamisesta aikuisille
Seksuaalinen häirintä (4.-5.-luokkalaiset)
Lähde: THL, kouluterveyskyselyn 2017 tuloksia, https://www.julkari.fi/bitstream/handle/10024/136131/URN_ISBN_978-952-343-091-
4.pdf?sequence=1
1. Pyydä lopettamaan:
”Lopeta, en halua kuunnella
tuollaista.”
2. Lähde sivustolta pois tai estä
häiriköijää näkemästä sinua.
3. Kerro luotettavalle aikuiselle.
Voitte ilmoittaa henkilöstä
sivuston ylläpidolle tai tehdä
asiasta rikosilmoituksen.
Keskustelu aikuisen kanssa
helpottaa oloasi ja saat apua.
Lähde: Mannerheimin Lastensuojeluliitto,
http://www.mll.fi/nuortennetti/mina_ja_media/seksuaalinen-
hairinta-netissa/
Jos et pidä siitä, mitä
sinulle netissä tehdään,
sano se suoraan.
Valeuutiset leviävät vahingossa
Lähde: Medialiitto, Valeuutistutkimus 2017, 14.11.2017, N=1000, yli 18-vuotiaat suomalaiset,
http://www.medialiitto.fi/files/4323/Valeuutistutkimus_14.11.2017.pdf
Lisää tapauksesta:
http://www.snopes.com/clinton-votes-found-
in-warehouse/
Kuvakaappaus: http://archive.is/5lfHH
Mitä viitteitä
valeuutisesta
huomaat?
Lisää tapauksesta:
http://www.snopes.com/clinton-votes-found-
in-warehouse/
Kuvakaappaus: http://archive.is/5lfHH
EI TUNNETTU
UUTISSIVUSTO
KOVA VÄITE.
KUINKA USKOTTAVAA ON,
ETTÄ TÄMÄN TASON
SKUUPPI JULKAISTAISIIN
TÄLLÄ SIVUSTOLLA?
KIRJOITTAJAN NIMI
PUUTTUU.
KUVASSA ON
KUMMALLISIA TUHRUJA –
ONKO SITÄ MUOKATTU?
1. Hyökkääjät etsivät haavoittuvia
verkkopalveluita, joita voidaan
käyttää esim. mainostamiseen tai
virusten ja haittaohjelmien
levittämiseen.
2. Saastunut palvelu etsii palvelun
käyttäjien käyttöjärjestelmän,
selaimen ja sen liitännäisten
tietoturva-aukkoja, joiden kautta
voidaan asentaa viruksia ja
haittaohjelma.
Saastuneet verkkopalvelut
Lähde: Viestintäviraston Kyberturvallisuuskeskuksen vuosiraportti 2015,
https://www.viestintavirasto.fi/attachments/tietoturva/Viestintaviraston_Kyberturvallisuuskeskuksen_vuosiraportti_2015.pdf
Kuvien lähteet: http://kioski.yle.fi/omat/hamara-whatsapp-viesti-lupaa-yllatyksen-ala-klikkaa ja
http://www.iltalehti.fi/digi/2015020519150182_du.shtml
Huijausviestit
WhatsAppissa
Yksittäiset käyttäjät
Lähde: Viestintävirasto, Tietoturvan vuosi 2017,
https://www.viestintavirasto.fi/attachments/cert/tietoturvakatsaukset/Tietoturvan-vuosi-2017.pdf
• Tee käyttöjärjestelmän ja sovellusten päivitykset viipymättä.
• Asenna sovelluksia vain virallisista sovelluskaupoista.
• Noudata omien laitteiden käytössä työnantajan ohjeistusta.
• IPhonet ja iPadit ovat Android-laitteita turvallisempia.
– App Storen sovellustarjontaa valvotaan tarkemmin kuin Google Playn.
– Androidille tehdään enemmän haittaohjelmia ja viruksia
• Tietoturvaohjelmia ei välttämättä vielä tarvita mobiililaitteille
– varovaisuus ja maalaisjärki riittävät pitkälle.
• Isoin tietoturvauhka on vanhoissa laitteissa, joihin ei tehdä
enää päivityksiä. Tällaisia laitteita ei kannattaisi kytkeä nettiin.
• Älä käytä suojaamattomia langattomia verkkoja (WLAN).
• Käytä VPN-nettiyhteyttä mobiililaitteissa, jos mahdollista.
Mobiililaitteiden tietoturva
Yango-taksipalvelussa
on epäselvyyksiä GDPR:n
näkökulmasta
• Käyttäjälle ei kerrota,
mihin kaikkia pyydettyjä
oikeuksia käytetään
• Sovellus ei pyydä
käyttöehtojen
hyväksyntää tai kysy
suostumusta
henkilötietojen käsittelylle
• Yandex katsoo
sopimuksen syntyvän
automaattisesti (nk.
hiljainen sopimus)
• Henkilötiedot siirtyvät
EU:n ulkopuolelle. Yandex
kertoo käyttävänsä EU-
komission
mallisopimuslausekkeita
• Yandexin
yksityisyyskäytäntö:
https://yandex.ru/legal/c
onfidential/?lang=en
5 neuvoa mobiilisovellusten arviointiin
1. Asenna sovelluksia vain luotetuista sovelluskaupoista.
– Suhtaudu varauksella sovellusten asentamiseen muista kuin virallisista
Googlen ja Applen sovelluskaupoista.
2. Tarkista sovelluksen tekijä ja sovelluksen saama palaute.
– Sovelluskaupoissa voi olla myös tunnettujen sovellusten väärennöksiä.
– Jos sovellukselle ei tule päivityksiä, se voi sisältää haavoittuvuuksia, joita
hyökkääjät voivat hyväksikäyttää.
3. Arvioi sovelluksen pyytämät oikeudet verrattuna
sovelluksen käyttäjää palvelevaan toiminnallisuuteen.
– Hyväksy mahdollisimman vähän oikeuksia laitteen tietoihin.
– Tarkista sovellusten oikeudet aika ajoin.
4. Tutustu sovelluksen käyttöehtoihin.
– Mitä tietojen keräämisestä ja käsittelystä kerrotaan?
– Missä maassa tietoja käsitellään?
5. Työnantajalla voi olla tarkempia ohjeita työssä käytettävän
mobiililaitteiden käytöstä.
– Noudata työnantajan ohjeita, jos asennat sovelluksia työssä käytettäviin
laitteisiin.
Lähde: Viestintäviraston Kyberturvallisuuskeskus, 2018, https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2018/11/ttn201811141100.html
Keskustelu
&
kysymykset
Harto Pönkä
http://twitter.com/hponka/
http://slideshare.com/hponka
http://harto.wordpress.com/
http://www.innowise.fi/
Kiitos!
1 sur 60

Recommandé

Tietosuoja ja sosiaalinen media par
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaHarto Pönkä
1.2K vues75 diapositives
Some- ja pikaviestisovellusten tietosuoja par
Some- ja pikaviestisovellusten tietosuojaSome- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuojaHarto Pönkä
193 vues35 diapositives
Sosiaalinen media tietosuojan näkökulmasta par
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaHarto Pönkä
529 vues35 diapositives
Kuvaaminen oppilaitoksissa par
Kuvaaminen oppilaitoksissaKuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissaHarto Pönkä
324 vues29 diapositives
Tietosuoja varhaiskasvatuksessa par
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaHarto Pönkä
260 vues45 diapositives
Tietosuoja ja digitaalinen turvallisuus koulussa par
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaHarto Pönkä
179 vues52 diapositives

Contenu connexe

Tendances

Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet par
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetTietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetHarto Pönkä
240 vues53 diapositives
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta par
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaHarto Pönkä
429 vues42 diapositives
Tietosuoja ja sosiaalinen media par
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaHarto Pönkä
862 vues84 diapositives
Tietosuojavaatimukset markkinointiviestinnässä par
Tietosuojavaatimukset markkinointiviestinnässäTietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässäHarto Pönkä
121 vues32 diapositives
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta par
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaSosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaHarto Pönkä
145 vues32 diapositives
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset par
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetDigiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetHarto Pönkä
134 vues64 diapositives

Tendances(20)

Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet par Harto Pönkä
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetTietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Harto Pönkä240 vues
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta par Harto Pönkä
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Harto Pönkä429 vues
Tietosuoja ja sosiaalinen media par Harto Pönkä
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
Harto Pönkä862 vues
Tietosuojavaatimukset markkinointiviestinnässä par Harto Pönkä
Tietosuojavaatimukset markkinointiviestinnässäTietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässä
Harto Pönkä121 vues
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta par Harto Pönkä
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaSosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Harto Pönkä145 vues
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset par Harto Pönkä
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetDigiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Harto Pönkä134 vues
Sosiaalinen media tietosuojan näkökulmasta par Harto Pönkä
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmasta
Harto Pönkä628 vues
Verkkopalvelujen datankeruu ja opetuksen tietosuoja par Harto Pönkä
Verkkopalvelujen datankeruu ja opetuksen tietosuojaVerkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
Harto Pönkä74 vues
Lasten ja nuorten somemaailma ja pelit par Harto Pönkä
Lasten ja nuorten somemaailma ja pelitLasten ja nuorten somemaailma ja pelit
Lasten ja nuorten somemaailma ja pelit
Harto Pönkä714 vues
Informaatiovaikuttaminen somessa par Harto Pönkä
Informaatiovaikuttaminen somessaInformaatiovaikuttaminen somessa
Informaatiovaikuttaminen somessa
Harto Pönkä402 vues
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin par Harto Pönkä
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Harto Pönkä155 vues
Evästystä evästeiden käyttöön par Harto Pönkä
Evästystä evästeiden käyttöönEvästystä evästeiden käyttöön
Evästystä evästeiden käyttöön
Harto Pönkä645 vues
Tietosuoja koulussa käytännössä par Harto Pönkä
Tietosuoja koulussa käytännössäTietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössä
Harto Pönkä604 vues
Teknologian ja somen trendit 2021 par Harto Pönkä
Teknologian ja somen trendit 2021Teknologian ja somen trendit 2021
Teknologian ja somen trendit 2021
Harto Pönkä443 vues
Tietosuoja kunnan viestinnässä ja asiakaspalvelussa par Harto Pönkä
Tietosuoja kunnan viestinnässä ja asiakaspalvelussaTietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussa
Harto Pönkä5.6K vues
Tietosuoja varhaiskasvatuksessa par Harto Pönkä
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
Harto Pönkä6.6K vues
Tietoturva ja tietosuoja Office 365 -palveluissa par Harto Pönkä
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissa
Harto Pönkä109 vues
Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua? par Harto Pönkä
Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?
Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?
Harto Pönkä5K vues
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta par Harto Pönkä
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
Harto Pönkä560 vues

Similaire à Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö

Somepalvelut musiikkiopiston opetuksessa par
Somepalvelut musiikkiopiston opetuksessaSomepalvelut musiikkiopiston opetuksessa
Somepalvelut musiikkiopiston opetuksessaHarto Pönkä
4.4K vues57 diapositives
Ope someviidakossa par
Ope someviidakossaOpe someviidakossa
Ope someviidakossaHarto Pönkä
2.1K vues73 diapositives
Oppimisanalytiikka ja GDPR par
Oppimisanalytiikka ja GDPROppimisanalytiikka ja GDPR
Oppimisanalytiikka ja GDPRHarto Pönkä
578 vues37 diapositives
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa par
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissaTietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissaHarto Pönkä
107 vues19 diapositives
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa par
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessaTietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessaHarto Pönkä
640 vues19 diapositives
Sosiaalisen median opetuskäyttö par
Sosiaalisen median opetuskäyttöSosiaalisen median opetuskäyttö
Sosiaalisen median opetuskäyttöHarto Pönkä
1.6K vues39 diapositives

Similaire à Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö(20)

Somepalvelut musiikkiopiston opetuksessa par Harto Pönkä
Somepalvelut musiikkiopiston opetuksessaSomepalvelut musiikkiopiston opetuksessa
Somepalvelut musiikkiopiston opetuksessa
Harto Pönkä4.4K vues
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa par Harto Pönkä
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissaTietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Harto Pönkä107 vues
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa par Harto Pönkä
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessaTietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Harto Pönkä640 vues
Sosiaalisen median opetuskäyttö par Harto Pönkä
Sosiaalisen median opetuskäyttöSosiaalisen median opetuskäyttö
Sosiaalisen median opetuskäyttö
Harto Pönkä1.6K vues
Opetuksen tietosuoja - mikä muuttui? par Harto Pönkä
Opetuksen tietosuoja - mikä muuttui?Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?
Harto Pönkä77 vues
Sosiaalinen media, pelit ja ruutuaika par Harto Pönkä
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaika
Harto Pönkä83 vues
Turvallisesti somessa ja netissä par Harto Pönkä
Turvallisesti somessa ja netissäTurvallisesti somessa ja netissä
Turvallisesti somessa ja netissä
Harto Pönkä205 vues
Some opetuksessa - aktivoi ja ymmärrä paremmin par Harto Pönkä
Some opetuksessa - aktivoi ja ymmärrä paremminSome opetuksessa - aktivoi ja ymmärrä paremmin
Some opetuksessa - aktivoi ja ymmärrä paremmin
Harto Pönkä851 vues
Tietosuoja verkko- ja etäopetuksessa par Harto Pönkä
Tietosuoja verkko- ja etäopetuksessaTietosuoja verkko- ja etäopetuksessa
Tietosuoja verkko- ja etäopetuksessa
Harto Pönkä2.6K vues
Tietosuoja sosiaalisessa mediassa par Harto Pönkä
Tietosuoja sosiaalisessa mediassaTietosuoja sosiaalisessa mediassa
Tietosuoja sosiaalisessa mediassa
Harto Pönkä1.4K vues
Tietosuoja perusopetuksessa ja toisella asteella par Harto Pönkä
Tietosuoja perusopetuksessa ja toisella asteellaTietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteella
Harto Pönkä188 vues
Verkon sovellusten pedagoginen ja turvallinen käyttö par Matleena Laakso
Verkon sovellusten pedagoginen ja turvallinen käyttöVerkon sovellusten pedagoginen ja turvallinen käyttö
Verkon sovellusten pedagoginen ja turvallinen käyttö
Matleena Laakso165 vues
Sosiaalinen media, koulu ja opetus par Harto Pönkä
Sosiaalinen media, koulu ja opetusSosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetus
Harto Pönkä63 vues
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ... par Jan Lindberg
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
Jan Lindberg138 vues

Plus de Harto Pönkä

Juuri nyt: Somen trendit ja algoritmit par
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitHarto Pönkä
255 vues40 diapositives
Henkilötietojen ja yksityisyyden suojaaminen par
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHarto Pönkä
114 vues25 diapositives
Toiminta tietoturvaloukkaustapauksissa par
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaHarto Pönkä
44 vues17 diapositives
Informaatiovaikuttamisen tunnistaminen somessa par
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaHarto Pönkä
55 vues48 diapositives
Twitter taitekohdassa par
Twitter taitekohdassaTwitter taitekohdassa
Twitter taitekohdassaHarto Pönkä
122 vues34 diapositives
Digikompassi ja digisivistys par
Digikompassi ja digisivistysDigikompassi ja digisivistys
Digikompassi ja digisivistysHarto Pönkä
50 vues24 diapositives

Plus de Harto Pönkä(14)

Juuri nyt: Somen trendit ja algoritmit par Harto Pönkä
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmit
Harto Pönkä255 vues
Henkilötietojen ja yksityisyyden suojaaminen par Harto Pönkä
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminen
Harto Pönkä114 vues
Toiminta tietoturvaloukkaustapauksissa par Harto Pönkä
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissa
Harto Pönkä44 vues
Informaatiovaikuttamisen tunnistaminen somessa par Harto Pönkä
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessa
Harto Pönkä55 vues
Case: jauhojengi-kohu Twitterissä kesällä 2022 par Harto Pönkä
Case: jauhojengi-kohu Twitterissä kesällä 2022Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022
Harto Pönkä1.8K vues
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta par Harto Pönkä
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkintaEvästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Harto Pönkä105 vues
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset par Harto Pönkä
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetKäsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Harto Pönkä101 vues
Informaatiovaikuttamisen tunnistaminen par Harto Pönkä
Informaatiovaikuttamisen tunnistaminenInformaatiovaikuttamisen tunnistaminen
Informaatiovaikuttamisen tunnistaminen
Harto Pönkä87 vues
LinkedInin käyttö rekrytoinnissa par Harto Pönkä
LinkedInin käyttö rekrytoinnissaLinkedInin käyttö rekrytoinnissa
LinkedInin käyttö rekrytoinnissa
Harto Pönkä200 vues
Twitter-bottien tunnistaminen Tweeps.net-analyysityökalulla par Harto Pönkä
Twitter-bottien tunnistaminen Tweeps.net-analyysityökalullaTwitter-bottien tunnistaminen Tweeps.net-analyysityökalulla
Twitter-bottien tunnistaminen Tweeps.net-analyysityökalulla
Harto Pönkä93 vues

Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö

  • 1. Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö Harto Pönkä 5.2.2019 Kuva: Pixabay Kuva: Pixabay (CC0)
  • 2. Somepalvelujen käyttö Suomessa WhatsApp 72 % Facebook 60 % Facebook 59 % Instagram 35 % LinkedIn 15 % Twitter 15 % Snapchat 11 % Datalähde: Sanomalehtien liitto, 19.12.2018, säännöllisesti käytetyt somepalvelut, N=1000, 15-74-vuotiaat suomalaiset, https://www.sanomalehdet.fi/ajankohtaista/uutiset/sosiaalisen-median-laatumielikuva-on-heikentynyt
  • 3. Lähde: DNA, Koululaistutkimus, 1.8. 2018, https://www.sttinfo.fi/data/attachments/00830/f6f638f2-afe4-426b-bd3b-3d2601ae8aff.pdf (N=532, vastaajina lasten vanhemmat) 6-12-vuotiaiden somen käyttö
  • 4. Somepalvelujen käyttö ikäryhmittäin Lähde: Sanomalehtien liitto, 19.12.2018, säännöllisesti käytetyt somepalvelut, N=1000, 15-74-vuotiaat suomalaiset, https://www.sanomalehdet.fi/ajankohtaista/uutiset/sosiaalisen-median-laatumielikuva-on-heikentynyt
  • 6. • Google: 13 vuotta (Google Play, Gmail, G Suite, Google Drive, Google+, Blogger) • YouTube: 13 vuotta (osa videoista 18 v.) • Facebook: 13 vuotta • WhatsApp: 16 vuotta (oli 13 vuotta 8/2016 - 5/2018) • Instagram: 13 vuotta • Snapchat: 13 vuotta • Twitter: 13 vuotta • Steam: 13 vuotta • Pinterest: 13 vuotta • Twitch: 13 vuotta • Ask.fm: 13 vuotta • Kik Messenger: 13 vuotta (suositus 17 v.) • WordPress.org: 13 vuotta • We heart it: 13 vuotta • Pokémon Go: 13 vuotta Somepalvelujen ikärajat Lisäksi alaikäinen tarvitsee huoltajan luvan sopimuksen tekoon, mikäli hän on alle GDPR-ikärajan (nykyisin 13 v.).
  • 7. WhatsAppin käyttö alle 16-vuotiaiden opetuksessa • WhatsAppin käyttöehtojen tarkoittama ”käyttäjä” on se, joka rekisteröi tunnuksen ja hyväksyy käyttöehdot. Jos huoltaja hyväksyy käyttöehdot, hän on sopimuksen osapuoli. • Huoltaja saa antaa hallitsemansa WhatsApp- tunnuksen lapsen käyttöön ikärajan sitä estämättä. Käyttöehdoissa ei tätä kielletä. • Lapsen kännykän käyttö perustuu muutenkin huoltajan tekemiin sopimuksiin ja palveluihin, jotka tämä on antanut lapsen käytettäväksi (esim. puhelinliittymä ja Google-tunnus). • Lapsen kännykän käyttö tapahtuu huoltajan luvalla, valvonnassa ja vastuulla. • Lapsen kännykän ja sen sovellusten opetuskäyttöön tarvitaan huoltajan lupa. • Luvan antaminen on vapaaehtoista: sitä ei voida edellyttää eikä siihen pidä painostaa. • Perusteet käyttää WhatsAppia opetuksessa on hyvä käydä läpi opettajien, huoltajien ja lasten kanssa. Lue lisää blogistani: https://harto.wordpress.com/2018/05/18/whatsappin- ikarajasta-opetuskaytosta-ja-gdprsta-viela-kerran/
  • 8. • Ikärajat eivät kerro pelin vaikeudesta, vaan varoittavat sisällön arvioidusta haitallisuudesta alaikäisille. • Suomessa käytetään yleiseurooppalaisia PEGI-ikärajoja. • Ikärajat velvoittavat esim. pelien myyjiä eli niitä ei saa tarjota ikärajaa nuoremmille. • Ikärajaa kolme vuotta nuorempi voi osallistua esim. pelitapahtumaan, jos hän on aikuisen seurassa. Ei koske K18:aa. Lähde ja lisätietoa: http://www.ikarajat.fi/
  • 9. Lähde: Google/YouTube, https://support.google.com/youtube/answer/2802167?hl=fi (10.10.2018) YouTubessa rajoitetaan vain K18-videoita. Sopikaa yhdessä pelisäännöistä, mitä voi katsoa.
  • 10. Tarkistuslista: • Missä maassa palvelu sijaitsee? Suosi EU:ssa sijaitsevia. • Mikä on palvelun ikäraja? • Mitä henkilötietoja rekisteröitymisen ja palvelun käytössä tallennetaan? • Saako sama käyttäjä luoda palveluun useita käyttäjätunnuksia? • Miten käyttäjä voi hallita henkilötietojaan palvelussa? • Voidaanko tietojasi luovuttaa muille tai käyttää esimerkiksi mainontaan? • Mitä oikeuksia palvelu saa tekemiisi sisältöihin kuten teksteihisi ja valokuviisi? Voidaanko niitä käyttää muualla? • Mihin voit olla yhteydessä, jos palvelun käytössä ilmenee ongelmia? • Miten voit lopettaa palvelun käytön? Mitä tekemillesi sisällöille ja muille sinusta kerätyille tiedoille tehdään siinä tapauksessa? Palvelun käyttöehdot = sopimus
  • 11. • Yhdysvalloissa ei ole vastaavaa tiukkaa henkilötietojen käytön sääntelyä kuin EU-maissa. Tämän vuoksi yhdysvaltalaisten verkkopalvelujen käytössä opetuksessa tulee olla erityisen varovainen. • Henkilötietoja voidaan siirtää Privacy shield –järjestelmään sitoutuneille tahoille – Privacy shield on toistaiseksi voimassa ja mahdollistaa laillisesti EU-kansalaisten henkilötietojen siirron ja käsittelyn yhdysvaltalaisissa palveluissa. – Privacy shield on kohdannut kritiikkiä ja on epäilty, että se tulee kaatumaan myöhemmin EU- tuomioistuimessa • Toinen lainmukainen vaihtoehto on, että yhdysvaltalainen palveluntarjoaja sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin – Esimerkiksi Google ja Microsoft toimivat näin • Opetuksessa voidaan käyttää myös suoraan yhdysvaltalaisia palveluita huoltajien luvalla tai mikäli niiden käyttö ei edellytä henkilötietojen antamista Yhdysvaltalaiset verkkopalvelut
  • 12. • Sopimuksen tekeminen vaatii lain mukaan 18 vuoden ikää (oikeustoimikelpoisuus). Alaikäiset tarvitsevat huoltajan luvan sopimuksen tekoon. • Huoltaja voi hyväksyä käyttöehdot lapsen puolesta ja antaa somepalvelun tämän käyttöön ikärajasta huolimatta, mikäli ehdoissa ei kielletä palvelun antoa toisen käyttöön. • Suostumuksen henkilötietojen käsittelyyn some- /verkkopalveluille voi antaa yli 13 vuotias. Alaikäiset voivat hyväksyä ikätasolle tavanomaisia ja merkitykseltään vähäisiä käyttöehtoja. • Mobiililaitteiden käyttöön opetuksessa tarvitaan huoltajan lupa alle 15-vuotiailta (OPH:n ohjeistus). Yli 15-vuotias saa hallita itse omaisuuttaan. • Suostumus tulee dokumentoida. Se voidaan kirjata koulun rekisteriin, jonka jälkeen lupalappuja ei tarvitse säilyttää. • Suostumukset on hyvä tarkistaa vuosittain. Ikä ja huoltajilta pyydettävät luvat Lähteinä mm. GDPR ja Tietokoneen, kännykän ja muiden mobiililaitteiden käyttöön liittyvistä oikeuksista ja velvollisuuksista koulussa, OPH, 2017, https://www.oph.fi/julkaisut/2017/tietokoneen_kannykan_ja_muiden_mobiililaitteiden_kayttoon_liittyvista_oikeuksista_ja_velvollisuuksista_koulussa
  • 13. Lähde: Tietokoneen, kännykän ja muiden mobiililaitteiden käyttöön liittyvistä oikeuksista ja velvollisuuksista koulussa, OPH, 2017, https://www.oph.fi/julkaisut/2017/tietokoneen_kannykan_ja _muiden_mobiililaitteiden_kayttoon_liittyvista_oikeuksista_ ja_velvollisuuksista_koulussa Omien laitteiden käyttö opetuksessa -mallisopimus Suosittelen muokkaamaan sopimuksen tekstin näin: ”oppilas voi käyttää seuraavia laitteita ja niissä olevia sovelluksia oppimisen tukena…” Suostumus omien laitteiden käyttöön tarvitaan alle 15- vuotiaiden huoltajilta.
  • 15. Organisaatioiden käyttöön tehdyissä pilvipalveluissa organisaatio on yleensä rekisterinpitäjä käyttäjilleen ja palvelun ylläpitäjä henkilötietojen käsittelijä. Kuva: Pixabay
  • 16. Verkkopalvelujen kolme tyyppiä REKISTERINPITÄJÄ Palvelun käyttöönsä tilannut organisaatio HENKILÖTIETOJEN KÄSITTELIJÄ Ulkopuolinen palveluntarjoaja REKISTERINPITÄJÄ Palvelun omistava ja siitä vastaava organisaatio KÄYTTÄJÄT & DATA Palveluun tallennetut sisällöt ja henkilötiedot REKISTERINPITÄJÄ Ulkopuolinen palveluntarjoaja KÄYTTÄJÄT & DATA Palveluun tallennetut sisällöt ja henkilötiedot KÄYTTÄJÄT & DATA Palveluun tallennetut sisällöt ja henkilötiedot OMAT PALVELUT SOPIMUSPALVELUT ULKOPUOLISET PALVELUT Sopimus henkilö- tietojen käsittelystä Käyttöehtosopimus tai suostumus Henkilötiedot pysyvät organisaation omassa hallinnassa Henkilötietoja päätyy ulkopuoliselle rekisterinpitäjälle Palvelua käyttävä organisaatio
  • 17. Kaupalliset somepalvelut päiväkodin tai koulun käytössä?
  • 18. Julkisuus, salassapito ja viranomaisen asiakirjat somepalveluissa
  • 19. Lähde: Oikeusasiamiehen päätös EOAK/2404/2017, 14.7.2017, https://www.oikeusasiamies.fi/fi/ratkaisut/-/eoar/2404/2017
  • 20. • Joissakin tilanteissa Facebook-sivun ylläpitäjä voidaan katsoa yhteisrekisterinpitäjäksi Facebookin kanssa. • Facebook on henkilötietojen käsittelijä mm. organisaatioiden mainos- ja analytiikkatyökalujen yhteydessä. • Facebook on asettanut sivujen ylläpitäjille lisäehtoja, jotka tulivat voimaan 28.9.2018. – Katso ”Sivun kävijätietojen hallinnoija -lisäys”: https://www.facebook.com/legal/terms/page_controller_addendum# • Käytännön toimenpiteet: – Tunnista Facebook-sivun rekisterinpitäjä ja käsittelyn oikeusperuste. Ilmoita sivun tiedoissa siitä vastaava organisaatio. – Lisää tietosuojaseloste Facebook-sivun tietoihin privacy policy -kohtaan. – Jos saat sivun kävijöiltä tai viranomaisilta GDPR:n mukaisia pyyntöjä, välitä ne viipymättä Facebookille tällä lomakkeella: https://www.facebook.com/help/contact/308592359910928 Facebook-sivun ylläpitäjän asema
  • 21. Päiväkotien ja koulujen Facebook-ryhmät Pyydä suostumus ennen kuin viet päiväkodin tai koulun rekistereistä henkilötietoja ulkopuolisiin verkko-tai somepalveluihin. Kyse on henkilötietojen luovuttamisesta toiselle rekisterinpitäjälle (Facebookille) sekä niiden julkaisusta (muille ryhmäläisille). Kuvakaappaus: Facebookin hakutoiminnon löytämiä ei- salaisia Facebook-ryhmiä, 4.2.2019.
  • 22. • Facebookin käyttöehdot kieltävät kahden eri käyttäjätunnuksen luomisen. • Erillistä työntekijätunnusta ei pitäisi tehdä. • Henkilökohtaisen tunnuksen käyttö työssä voi perustua vain vapaaehtoisuuteen. • Facebook-ryhmissä ja -sivuilla voi toimia henkilökohtaisella tunnuksella, jolloin asiakkaita ei tarvitse ottaa kavereiksi. • Nykyään Facebook-sivut voivat osallistua myös ryhmien keskusteluihin. • Facebookin käyttöehdot: https://www.facebook.com/legal/t erms/update
  • 23. Tiedotus (kirjallinen, taiteellinen, akateeminen ja journalistinen sisältö) Yhteydenpito rekisteröityihin Henkilötietojen säilytys Rekisteröityjen sähköinen asiointi Kunnan omat verkkopalvelut (kotisivut, intra) Ok Ok, jos käyttöoikeudet ovat oikein. Ok, jos käyttöoikeudet ovat oikein. Ok, jos käyttöoikeudet ovat oikein. Kunnan hallinnoimat verkkopalvelut (pilvipalvelut ja muut sopimuspalvelut) Ok Ok, jos käyttöoikeudet ovat oikein ja on sopimus henkilötietojen käsittelystä. Ok, jos käyttöoikeudet ovat oikein ja on sopimus henkilötietojen käsittelystä. Ok, jos käyttöoikeudet ovat oikein ja on sopimus henkilötietojen käsittelystä. Kunnan hallinnoimat profiilit julkisissa somepalveluissa Ok Ok, jos käyttöoikeudet ovat oikein, ohjeistus on kunnossa ja rekisteröidyltä on suostumus. Ei. Viestien osalta tilanne on epäselvä. Ei Kunnan työntekijöiden henkilökohtaiset profiilit julkisissa somepalveluissa Ok Ok, jos ohjeistus on kunnossa ja rekisteröidyltä on suostumus. Ei. Viestien osalta tilanne on epäselvä. Ei Nyrkkisääntö: somepalvelujen käyttö rekisteröityä koskevien tietojen käsittelyssä ja yhteydenpidossa voi perustua vain rekisteröidyn suostumukseen (aloitteeseen). Kunnan tulee huolehtia siitä, ettei henkilötietoja ilman rekisteröidyn suostumusta tallenneta verkko-/somepalveluihin, jotka eivät ole sen hallinnassa.
  • 24. WhatsApp vahva salaus automaattisesti Facebook Messenger salaus pitää kytkeä päälle Skype salattu, mutta viestejä on periaatteessa mahdollista seurata Pikaviestit ja ryhmäkeskustelut
  • 25. Pikaviestipalvelujen tietosuoja Lähde: Amnesty, For your eyes only?, 2016, https://www.amnesty.org/download/Documents/POL4049852016ENGLISH.PDF
  • 26. Lähde: Tivi, 10.8.2017, https://www.tivi.fi/Kaikki_uutiset/viranomaiset-kayttavat-pikaviestimia-onko-viestinta-julkista-enta-turvallista-6667958
  • 27. • Pikaviestit ja ryhmäkeskustelut – Signal (USA:lainen), https://signal.org/ – Telegram (venäläinen), https://telegram.org/ – Threema (sveitsiläinen), https://threema.ch/ – FoilChat (suomalainen), https://www.foilchat.com/ • Wiki-/ryhmäsivustot – Purot.net (suomalainen), https://purot.net/ • Palaute ja ryhmätyöskentely – ClassDojo (USA:lainen), https://www.classdojo.com/ – Seesaw (USA:lainen), https://web.seesaw.me/ • Blogit – Edublogs (USA:lainen), https://edublogs.org/ Vaihtoehtoja ryhmien yhteydenpitoon
  • 28. • Kun opetuksessa käytetään erilaisia somepalveluita, on syytä sopia yhteiset toimintamallit – Työ- vai henkilökohtainen sähköpostiosoite tunnuksen luonnissa? – Millä edellytyksin oppilaiden henkilötietoja voidaan viedä palveluun? – Miten huolehditaan, ettei oppilaiden henkilötietoja ”unohdu” palveluun? • Eri somepalveluissa on erilaisia käyttöehtoja, jotka on huomioitava • Esimerkiksi koulun hallinnoimalla opettajan Google-käyttäjätunnuksella on mahdollista käyttää useita muidenkin tahojen ylläpitämiä somepalveluilta • Yksityisten laitteiden ja tunnusten käytöstä työtehtäviin on syytä antaa selvät ohjeet: mitä saa ja ei saa tehdä. • Opettajaa ei voida velvoittaa käyttämään yksityisiä käyttäjätunnuksia työssään, mikäli se ei ole ollut nimenomaisesti edellytyksenä työtehtävän hoitamiselle • WhatsAppin työkäyttöön on suositeltavaa olla työpuhelin • Muista varovaisuus henkilötietojen tallentamisessa somepalveluihin Somepalvelut ja tietosuoja
  • 29. • Saman ryhmän kesken nimien ja kuvien näkyminen on ok. • Älä julkaise tai luovuta henkilötietoja ilman suostumusta. Alaikäiseltä tarvitaan huoltajan suostumus. • Muista minimointiperiaate: käsittele henkilötietoja tarvittavassa laajuudessa. • Huolehdi suostumuksista alle 13-vuotiaiden huoltajilta, kun käytetään kaupallisia verkko- ja somepalveluita. • Pyydä alle 15-vuotiaiden huoltajilta lupa omien laitteiden ja sovellusten käyttöön. • Ryhmän kesken voidaan jakaa yhteystietoja, kun ne ovat koulun tai päiväkodin hallinnoimia tai kyseisiin omiin laitteisiin ja sovelluksiin on opetuskäytön lupa. – Esimerkiksi sähköpostiosoitteet, puhelinnumerot, somepalvelujen käyttäjätunnukset • Julkisuuslaki mahdollistaa mm. oppijan huoltajan tietojen annon toiselle huoltajalle, mikäli sille ei ole muuta estettä (esim. turvakielto). • Muista salassapito- ja vaitiolovelvollisuudet. – Oppilaan ja hänen perheensä yksityiselämän ja taloudellisen tilanteen tiedot – Oppilashuoltoon ja tukeen liittyvät tiedot ja asiakirjat, esim. VASU ja HOJKS – Asiakirjat, jotka sisältävät henkilökohtaisten ominaisuuksien sanallista arviointia – Terveystiedot, terveydenhuollon ja kuntoutuksen palvelut – Sosiaalihuollon asiakkuus, etuudet ja tukitoimet • Oppijat tai huoltajat saavat jakaa keskenään henkilötietoja. Opettajan muistilista tietosuojasta
  • 31. • Tietoturvaloukkauksella tarkoitetaan henkilötietojen… – vahingossa tapahtuvaa tai lainvastaista tuhoamista – häviämistä – muuttamista – luvaton luovuttamista tai pääsyä tietoihin • Rekisterinpitäjällä on velvollisuus ilmoittaa henkilötietojen tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle, jos siitä todennäköisesti aiheutuu korkea riski rekisteröityjen oikeuksille ja vapauksille • Ilmoitus valvontaviranomaiselle 72 h kuluessa loukkauksen havaitsemisesta • Rekisterinpitäjän on dokumentoitava kaikki tietoturvaloukkaukset, niihin liittyvät seikat, vaikutukset ja korjaavat toimet • Henkilötietojen käsittelijän on tehtävä ilmoitus tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä • Esimerkkejä tietoturvaloukkauksista: https://bit.ly/2x9I4dA Henkilötietojen tietoturvaloukkaukset Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
  • 32. Havainto Rekisterinpitäjä havaitsee tai saa tietoonsa tietoturvaloukkauksen. Dokumentointi Kaikki tietoturvaloukkaukset, niiden vaikutukset ja korjaavat toimet dokumentoidaan. Riskiarvio Aiheuttaako tietoturvaloukkaus todennäköisesti riskin henkilöiden oikeuksille ja vapauksille? Ei Ilmoituksia ei edellytetä Kyllä Ilmoitus valvontaviranomaiselle Yleensä ilmoitus tehdään rekisterinpitäjän päätoimipaikan maan valvontaviranomaiselle. Ilmoitus rekisteröidyille Ilmoitetaan kohteena oleville henkilöille ja annetaan tarvittaessa ohjeita, miten he voivat suojautua seurauksilta. Ilmoitusvelvollisuus tietoturva- loukkauksista Lähde: Tietosuojatyöryhmä, Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta, 2017, https://tietosuoja.fi/documents/6927448/8316711/ Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46 -33b1-4b01-9a50- 9320d59bd605/Tietoturvaloukkauksen+ilmoittami nen+fi.pdf
  • 33. Esimerkkejä tietoturvaloukkauksista Lähde: Tietosuojatyöryhmä, Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta, 2017, https://tietosuoja.fi/documents/6927448/8316711/Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46-33b1-4b01-9a50- 9320d59bd605/Tietoturvaloukkauksen+ilmoittaminen+fi.pdf Tapahtuma Ilmoitus valvontaviranomaiselle? Ilmoitus rekisteröidyille? Rekisterinpitäjä on tallentanut salatun varmuuskopion henkilötietoja sisältävästä arkistosta USB-muistitikulle. Muistitikku varastetaan murron yhteydessä. Ei Ei Rekisterinpitäjä ylläpitää verkkopalvelua. Palveluun tehdyn verkkohyökkäyksen seurauksena henkilöiden henkilötietoja varastetaan. Kyllä, jos henkilöille todennäköisesti aiheutuu seurauksia. Kyllä, jos henkilöille todennäköisesti aiheutuvien seurausten vakavuus on suuri. Henkilötietojen käsittelijänä toimiva pilvipalvelu havaitsee virheen koodissa, jolla hallitaan käyttövaltuuksia. Vian vaikutuksesta käyttäjät voivat nähdä toistensa tietoja palvelussa. Kyllä, kun rekisterinpitäjät ovat saaneet tiedon henkilötietojen käsittelijältä. Ei, jos henkilöille ei todennäköisesti aiheudu korkeaa riskiä. Suuren opiskelijamäärän henkilötiedot lähetetään erehdyksessä väärälle postituslistalle, jolla on yli tuhat vastaanottajaa. Kyllä Kyllä, mahdollisten seurausten vakavuudesta riippuen.
  • 34. Riskiarviossa huomioitavaa Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit
  • 35. Henkilötietoihin kohdistuvan riskin taso Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit Jos riski arvioidaan korkeaksi, on tehtävä tietosuojaa koskeva vaikutustenarviointi, jossa tarkastellaan toimenpiteitä, joilla voidaan pienentää riskiä (35 artikla).
  • 36. Hallinto ja toimintakulttuuri •Tietosuoja ja sen läpinäkyvyys on keskeinen osa toimintaperiaatteita •Tietoturvapolitiikka ja sen käytännöt on määritelty •Seloste käsittelytoimista ja informointi rekisteröidyille tehty •Rekisteröityjen pyyntöihin on varauduttu Henkilöstön toimintamallit •Henkilöstön roolit ja vastuut on määritelty •Salassapitovelvollisuus •Koulutukset ja uusien työntekijöiden perehdytys •Työsuhteiden päättymiselle on toimintamalli •Tietoturvaloukkausten raportointiin on toimintamalli Henkilötietojen käyttö ja hallinta •Henkilötietojen käsittelylle on selvät ohjeistukset •Suostumukset ja kiellot huomioitu toiminnassa •Tietosuoja on huomioitu mm. netin, sähköpostin ja somen käyttöohjeissa •Rekisteröidyt voivat hallita itse tietojaan •Tietojen tuhoaminen tehdään turvallisesti Tilojen valvonta •Tiloihin pääsy on valvottua ja avaimista pidetään kirjaa •Ulkopuolisten pääsy henkilöstön työpisteisiin on estetty •Mahdollisesta kameravalvonnasta on rekisteri ja siitä ilmoitetaan •Tarvittaessa tilojen turvaluokitukset Rekisteröityjen tunnistaminen •Rekisteröidyt tunnistetaan, kun tietoja kerätään •Rekisteröidyt tunnistetaan, kun he käyttävät oikeuksiaan •Asiointi tapahtuu ennalta nimettyjen henkilöiden kanssa Käyttäjätunnukset ja oikeudet •Henkilökohtaiset käyttäjätunnukset •Roolien mukaiset käyttöoikeudet ja niiden tarkistaminen työtehtävien muuttuessa •Salasanoille ja vastaaville on laatuvaatimukset •Järjestelmien oletussalasanat on vaihdettu Ulkopuoliset toimijat •Ulkopuolisista toimijoista pidetään kirjaa •Sopimus ja ohjeet henkilötietojen käsittelystä •Ulkopuolisten palveluntarjoajien vastuut on määritelty •Ulkopuoliset toimijat tuntevat rekisterinpitäjän toimintamallit ja ohjeet Laitteet ja tallennusvälineet •Tietokoneista ja mobiililaitteista pidetään kirjaa •Tietoturva- ja muut päivitykset kunnossa •Virustorjunnasta ja palomuureista on huolehdittu •Siirrettävien tallennusvälineiden (muistitikut, ym.) ja henkilökohtaisten laitteiden käytöstä on tehty ohjeistus Palvelimet ja verkkoyhteydet •Palvelintiloissa on pääsynvalvonta •Langattomien verkkojen liikenne on salattu •Erilliset vierasverkot •Palvelimien ohjelmistopäivitykset kunnossa •Palvelimien varmuuskopiointi on kunnossa •Palvelinohjelmistojen lokitiedot on suojattu Pilvipalvelut •Pilvipalvelujen käyttö henkilötietojen käsittelyssä on ohjeistettu •Informointi ja suostumukset kunnossa •Sopimuksissa on määritelty palvelutaso ja palveluntarjoajan vastuut •Palveluntarjoajat ovat sitoutuneet noudattamaan GDPR:n vaatimuksia Tekniset ja organisatoriset suojatoimet
  • 38. • Suositus vähintään 8, mielellään 15 merkkiä • Ei ole yksittäinen sana. Lause tai lorun pätkä ovat hyviä. • Sisältää: – Isoja ja pieniä kirjaimia – Numeroita – Erikoismerkkejä • Ei ole arvattavissa • Ei ole käytössä muualla Hyvä salasana tai salalause Lähde: Viestintävirasto, 2014, https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2014/12/ttn201412031257.html
  • 39. Facebookin kirjautumisen asetukset Facebook-tunnuksen asetukset, Turvallisuus ja sisäänkirjautuminen, https://www.facebook.com/settings?tab=security (28.9.2017)
  • 40. Googlen kaksivaiheinen tunnistautuminen 1. Kirjaudu Google-tunnuksellasi ja mene osoitteeseen: https://myaccount.google.com/ 2. Valitse ”Googleen kirjautuminen” Kuvakaappaus ja lisätietoa: https://www.google.com/landing/2step/ 3. Ota käyttöön ”2-vaiheinen vahvistus”
  • 41. Selaimen yksityinen tila Firefox Internet Explorer Chrome Yksityisessä tilassa nettiselain ei tallenna laitteen muistiin: • Sivuhistoriaa • Lomaketietoja • Evästeitä (engl. cookie) • Www-sivustojen tiedostoja välimuistiin Verkkopalvelut ja verkkoyhteyden tarjoaja näkevät toimintasi normaalisti.
  • 42. Harmittomat Facebook-testit saavat yllättän paljon oikeuksia käyttäjätietoihisi ja voivat käyttää niitä haluamallaan tavalla. Lisää aiheesta: https://harto.wordpress.com/2016/03/29/ala-anna-facebook-tietojasi-hupitestia-vastaan/
  • 43. Vinkki: Rajoita Facebook-tietojesi käyttöä mainontaan. Löydät nämä Facebookin ylävalikon kohdasta: ▼  Asetukset  Mainokset Lisää aiheesta: https://harto.wordpress.com/2018/03/21/nailla-facebook-asetuksilla-estat-tietojesi-kayton-muilta-yrityksilta/ ja https://harto.wordpress.com/2019/01/22/katso-miten-facebook-on-profiloinut-sinut-ja-mitka-yritykset-ovat-vieneet-asiakastietojasi-facebookiin/ Lista kymmenistä yrityksistä, jotka ovat tuoneet tietojasi Facebookiin Katso, miten monella eri tavalla Facebook on profiloinut sinut
  • 45. Vihapuhe ja häirintä somessa Alle 16-vuotiailla vielä tätä enemmän?
  • 46. Vihamieliset viestit lisääntyvät iltaisin Lähde: tutkija Matti Pohjonen, VOXPOL, kuva julkaistu: https://www.facebook.com/kaikkiensome/photos/a.1741875395906647/1746262318801288/?type=3&theater
  • 47. Koulussa tapahtunutta Erään luokan WhatsApp-ryhmässä jaettu viesti Ohjataan kertomaan kiusaamisesta aikuisille
  • 48. Seksuaalinen häirintä (4.-5.-luokkalaiset) Lähde: THL, kouluterveyskyselyn 2017 tuloksia, https://www.julkari.fi/bitstream/handle/10024/136131/URN_ISBN_978-952-343-091- 4.pdf?sequence=1
  • 49. 1. Pyydä lopettamaan: ”Lopeta, en halua kuunnella tuollaista.” 2. Lähde sivustolta pois tai estä häiriköijää näkemästä sinua. 3. Kerro luotettavalle aikuiselle. Voitte ilmoittaa henkilöstä sivuston ylläpidolle tai tehdä asiasta rikosilmoituksen. Keskustelu aikuisen kanssa helpottaa oloasi ja saat apua. Lähde: Mannerheimin Lastensuojeluliitto, http://www.mll.fi/nuortennetti/mina_ja_media/seksuaalinen- hairinta-netissa/ Jos et pidä siitä, mitä sinulle netissä tehdään, sano se suoraan.
  • 50. Valeuutiset leviävät vahingossa Lähde: Medialiitto, Valeuutistutkimus 2017, 14.11.2017, N=1000, yli 18-vuotiaat suomalaiset, http://www.medialiitto.fi/files/4323/Valeuutistutkimus_14.11.2017.pdf
  • 52. Lisää tapauksesta: http://www.snopes.com/clinton-votes-found- in-warehouse/ Kuvakaappaus: http://archive.is/5lfHH EI TUNNETTU UUTISSIVUSTO KOVA VÄITE. KUINKA USKOTTAVAA ON, ETTÄ TÄMÄN TASON SKUUPPI JULKAISTAISIIN TÄLLÄ SIVUSTOLLA? KIRJOITTAJAN NIMI PUUTTUU. KUVASSA ON KUMMALLISIA TUHRUJA – ONKO SITÄ MUOKATTU?
  • 53. 1. Hyökkääjät etsivät haavoittuvia verkkopalveluita, joita voidaan käyttää esim. mainostamiseen tai virusten ja haittaohjelmien levittämiseen. 2. Saastunut palvelu etsii palvelun käyttäjien käyttöjärjestelmän, selaimen ja sen liitännäisten tietoturva-aukkoja, joiden kautta voidaan asentaa viruksia ja haittaohjelma. Saastuneet verkkopalvelut Lähde: Viestintäviraston Kyberturvallisuuskeskuksen vuosiraportti 2015, https://www.viestintavirasto.fi/attachments/tietoturva/Viestintaviraston_Kyberturvallisuuskeskuksen_vuosiraportti_2015.pdf
  • 54. Kuvien lähteet: http://kioski.yle.fi/omat/hamara-whatsapp-viesti-lupaa-yllatyksen-ala-klikkaa ja http://www.iltalehti.fi/digi/2015020519150182_du.shtml Huijausviestit WhatsAppissa
  • 55. Yksittäiset käyttäjät Lähde: Viestintävirasto, Tietoturvan vuosi 2017, https://www.viestintavirasto.fi/attachments/cert/tietoturvakatsaukset/Tietoturvan-vuosi-2017.pdf
  • 56. • Tee käyttöjärjestelmän ja sovellusten päivitykset viipymättä. • Asenna sovelluksia vain virallisista sovelluskaupoista. • Noudata omien laitteiden käytössä työnantajan ohjeistusta. • IPhonet ja iPadit ovat Android-laitteita turvallisempia. – App Storen sovellustarjontaa valvotaan tarkemmin kuin Google Playn. – Androidille tehdään enemmän haittaohjelmia ja viruksia • Tietoturvaohjelmia ei välttämättä vielä tarvita mobiililaitteille – varovaisuus ja maalaisjärki riittävät pitkälle. • Isoin tietoturvauhka on vanhoissa laitteissa, joihin ei tehdä enää päivityksiä. Tällaisia laitteita ei kannattaisi kytkeä nettiin. • Älä käytä suojaamattomia langattomia verkkoja (WLAN). • Käytä VPN-nettiyhteyttä mobiililaitteissa, jos mahdollista. Mobiililaitteiden tietoturva
  • 57. Yango-taksipalvelussa on epäselvyyksiä GDPR:n näkökulmasta • Käyttäjälle ei kerrota, mihin kaikkia pyydettyjä oikeuksia käytetään • Sovellus ei pyydä käyttöehtojen hyväksyntää tai kysy suostumusta henkilötietojen käsittelylle • Yandex katsoo sopimuksen syntyvän automaattisesti (nk. hiljainen sopimus) • Henkilötiedot siirtyvät EU:n ulkopuolelle. Yandex kertoo käyttävänsä EU- komission mallisopimuslausekkeita • Yandexin yksityisyyskäytäntö: https://yandex.ru/legal/c onfidential/?lang=en
  • 58. 5 neuvoa mobiilisovellusten arviointiin 1. Asenna sovelluksia vain luotetuista sovelluskaupoista. – Suhtaudu varauksella sovellusten asentamiseen muista kuin virallisista Googlen ja Applen sovelluskaupoista. 2. Tarkista sovelluksen tekijä ja sovelluksen saama palaute. – Sovelluskaupoissa voi olla myös tunnettujen sovellusten väärennöksiä. – Jos sovellukselle ei tule päivityksiä, se voi sisältää haavoittuvuuksia, joita hyökkääjät voivat hyväksikäyttää. 3. Arvioi sovelluksen pyytämät oikeudet verrattuna sovelluksen käyttäjää palvelevaan toiminnallisuuteen. – Hyväksy mahdollisimman vähän oikeuksia laitteen tietoihin. – Tarkista sovellusten oikeudet aika ajoin. 4. Tutustu sovelluksen käyttöehtoihin. – Mitä tietojen keräämisestä ja käsittelystä kerrotaan? – Missä maassa tietoja käsitellään? 5. Työnantajalla voi olla tarkempia ohjeita työssä käytettävän mobiililaitteiden käytöstä. – Noudata työnantajan ohjeita, jos asennat sovelluksia työssä käytettäviin laitteisiin. Lähde: Viestintäviraston Kyberturvallisuuskeskus, 2018, https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2018/11/ttn201811141100.html