Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö

2 013 vues

Publié le

Varhaiskasvattaja verkossa -webinaarisarja, 5.2.2019, Harto Pönkä, Innowise

Publié dans : Formation
  • Soyez le premier à commenter

Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö

  1. 1. Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö Harto Pönkä 5.2.2019 Kuva: Pixabay Kuva: Pixabay (CC0)
  2. 2. Somepalvelujen käyttö Suomessa WhatsApp 72 % Facebook 60 % Facebook 59 % Instagram 35 % LinkedIn 15 % Twitter 15 % Snapchat 11 % Datalähde: Sanomalehtien liitto, 19.12.2018, säännöllisesti käytetyt somepalvelut, N=1000, 15-74-vuotiaat suomalaiset, https://www.sanomalehdet.fi/ajankohtaista/uutiset/sosiaalisen-median-laatumielikuva-on-heikentynyt
  3. 3. Lähde: DNA, Koululaistutkimus, 1.8. 2018, https://www.sttinfo.fi/data/attachments/00830/f6f638f2-afe4-426b-bd3b-3d2601ae8aff.pdf (N=532, vastaajina lasten vanhemmat) 6-12-vuotiaiden somen käyttö
  4. 4. Somepalvelujen käyttö ikäryhmittäin Lähde: Sanomalehtien liitto, 19.12.2018, säännöllisesti käytetyt somepalvelut, N=1000, 15-74-vuotiaat suomalaiset, https://www.sanomalehdet.fi/ajankohtaista/uutiset/sosiaalisen-median-laatumielikuva-on-heikentynyt
  5. 5. Somepalvelujen ikärajat ja käyttöehdot
  6. 6. • Google: 13 vuotta (Google Play, Gmail, G Suite, Google Drive, Google+, Blogger) • YouTube: 13 vuotta (osa videoista 18 v.) • Facebook: 13 vuotta • WhatsApp: 16 vuotta (oli 13 vuotta 8/2016 - 5/2018) • Instagram: 13 vuotta • Snapchat: 13 vuotta • Twitter: 13 vuotta • Steam: 13 vuotta • Pinterest: 13 vuotta • Twitch: 13 vuotta • Ask.fm: 13 vuotta • Kik Messenger: 13 vuotta (suositus 17 v.) • WordPress.org: 13 vuotta • We heart it: 13 vuotta • Pokémon Go: 13 vuotta Somepalvelujen ikärajat Lisäksi alaikäinen tarvitsee huoltajan luvan sopimuksen tekoon, mikäli hän on alle GDPR-ikärajan (nykyisin 13 v.).
  7. 7. WhatsAppin käyttö alle 16-vuotiaiden opetuksessa • WhatsAppin käyttöehtojen tarkoittama ”käyttäjä” on se, joka rekisteröi tunnuksen ja hyväksyy käyttöehdot. Jos huoltaja hyväksyy käyttöehdot, hän on sopimuksen osapuoli. • Huoltaja saa antaa hallitsemansa WhatsApp- tunnuksen lapsen käyttöön ikärajan sitä estämättä. Käyttöehdoissa ei tätä kielletä. • Lapsen kännykän käyttö perustuu muutenkin huoltajan tekemiin sopimuksiin ja palveluihin, jotka tämä on antanut lapsen käytettäväksi (esim. puhelinliittymä ja Google-tunnus). • Lapsen kännykän käyttö tapahtuu huoltajan luvalla, valvonnassa ja vastuulla. • Lapsen kännykän ja sen sovellusten opetuskäyttöön tarvitaan huoltajan lupa. • Luvan antaminen on vapaaehtoista: sitä ei voida edellyttää eikä siihen pidä painostaa. • Perusteet käyttää WhatsAppia opetuksessa on hyvä käydä läpi opettajien, huoltajien ja lasten kanssa. Lue lisää blogistani: https://harto.wordpress.com/2018/05/18/whatsappin- ikarajasta-opetuskaytosta-ja-gdprsta-viela-kerran/
  8. 8. • Ikärajat eivät kerro pelin vaikeudesta, vaan varoittavat sisällön arvioidusta haitallisuudesta alaikäisille. • Suomessa käytetään yleiseurooppalaisia PEGI-ikärajoja. • Ikärajat velvoittavat esim. pelien myyjiä eli niitä ei saa tarjota ikärajaa nuoremmille. • Ikärajaa kolme vuotta nuorempi voi osallistua esim. pelitapahtumaan, jos hän on aikuisen seurassa. Ei koske K18:aa. Lähde ja lisätietoa: http://www.ikarajat.fi/
  9. 9. Lähde: Google/YouTube, https://support.google.com/youtube/answer/2802167?hl=fi (10.10.2018) YouTubessa rajoitetaan vain K18-videoita. Sopikaa yhdessä pelisäännöistä, mitä voi katsoa.
  10. 10. Tarkistuslista: • Missä maassa palvelu sijaitsee? Suosi EU:ssa sijaitsevia. • Mikä on palvelun ikäraja? • Mitä henkilötietoja rekisteröitymisen ja palvelun käytössä tallennetaan? • Saako sama käyttäjä luoda palveluun useita käyttäjätunnuksia? • Miten käyttäjä voi hallita henkilötietojaan palvelussa? • Voidaanko tietojasi luovuttaa muille tai käyttää esimerkiksi mainontaan? • Mitä oikeuksia palvelu saa tekemiisi sisältöihin kuten teksteihisi ja valokuviisi? Voidaanko niitä käyttää muualla? • Mihin voit olla yhteydessä, jos palvelun käytössä ilmenee ongelmia? • Miten voit lopettaa palvelun käytön? Mitä tekemillesi sisällöille ja muille sinusta kerätyille tiedoille tehdään siinä tapauksessa? Palvelun käyttöehdot = sopimus
  11. 11. • Yhdysvalloissa ei ole vastaavaa tiukkaa henkilötietojen käytön sääntelyä kuin EU-maissa. Tämän vuoksi yhdysvaltalaisten verkkopalvelujen käytössä opetuksessa tulee olla erityisen varovainen. • Henkilötietoja voidaan siirtää Privacy shield –järjestelmään sitoutuneille tahoille – Privacy shield on toistaiseksi voimassa ja mahdollistaa laillisesti EU-kansalaisten henkilötietojen siirron ja käsittelyn yhdysvaltalaisissa palveluissa. – Privacy shield on kohdannut kritiikkiä ja on epäilty, että se tulee kaatumaan myöhemmin EU- tuomioistuimessa • Toinen lainmukainen vaihtoehto on, että yhdysvaltalainen palveluntarjoaja sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin – Esimerkiksi Google ja Microsoft toimivat näin • Opetuksessa voidaan käyttää myös suoraan yhdysvaltalaisia palveluita huoltajien luvalla tai mikäli niiden käyttö ei edellytä henkilötietojen antamista Yhdysvaltalaiset verkkopalvelut
  12. 12. • Sopimuksen tekeminen vaatii lain mukaan 18 vuoden ikää (oikeustoimikelpoisuus). Alaikäiset tarvitsevat huoltajan luvan sopimuksen tekoon. • Huoltaja voi hyväksyä käyttöehdot lapsen puolesta ja antaa somepalvelun tämän käyttöön ikärajasta huolimatta, mikäli ehdoissa ei kielletä palvelun antoa toisen käyttöön. • Suostumuksen henkilötietojen käsittelyyn some- /verkkopalveluille voi antaa yli 13 vuotias. Alaikäiset voivat hyväksyä ikätasolle tavanomaisia ja merkitykseltään vähäisiä käyttöehtoja. • Mobiililaitteiden käyttöön opetuksessa tarvitaan huoltajan lupa alle 15-vuotiailta (OPH:n ohjeistus). Yli 15-vuotias saa hallita itse omaisuuttaan. • Suostumus tulee dokumentoida. Se voidaan kirjata koulun rekisteriin, jonka jälkeen lupalappuja ei tarvitse säilyttää. • Suostumukset on hyvä tarkistaa vuosittain. Ikä ja huoltajilta pyydettävät luvat Lähteinä mm. GDPR ja Tietokoneen, kännykän ja muiden mobiililaitteiden käyttöön liittyvistä oikeuksista ja velvollisuuksista koulussa, OPH, 2017, https://www.oph.fi/julkaisut/2017/tietokoneen_kannykan_ja_muiden_mobiililaitteiden_kayttoon_liittyvista_oikeuksista_ja_velvollisuuksista_koulussa
  13. 13. Lähde: Tietokoneen, kännykän ja muiden mobiililaitteiden käyttöön liittyvistä oikeuksista ja velvollisuuksista koulussa, OPH, 2017, https://www.oph.fi/julkaisut/2017/tietokoneen_kannykan_ja _muiden_mobiililaitteiden_kayttoon_liittyvista_oikeuksista_ ja_velvollisuuksista_koulussa Omien laitteiden käyttö opetuksessa -mallisopimus Suosittelen muokkaamaan sopimuksen tekstin näin: ”oppilas voi käyttää seuraavia laitteita ja niissä olevia sovelluksia oppimisen tukena…” Suostumus omien laitteiden käyttöön tarvitaan alle 15- vuotiaiden huoltajilta.
  14. 14. Pilvi- ja somepalvelujen tietosuoja
  15. 15. Organisaatioiden käyttöön tehdyissä pilvipalveluissa organisaatio on yleensä rekisterinpitäjä käyttäjilleen ja palvelun ylläpitäjä henkilötietojen käsittelijä. Kuva: Pixabay
  16. 16. Verkkopalvelujen kolme tyyppiä REKISTERINPITÄJÄ Palvelun käyttöönsä tilannut organisaatio HENKILÖTIETOJEN KÄSITTELIJÄ Ulkopuolinen palveluntarjoaja REKISTERINPITÄJÄ Palvelun omistava ja siitä vastaava organisaatio KÄYTTÄJÄT & DATA Palveluun tallennetut sisällöt ja henkilötiedot REKISTERINPITÄJÄ Ulkopuolinen palveluntarjoaja KÄYTTÄJÄT & DATA Palveluun tallennetut sisällöt ja henkilötiedot KÄYTTÄJÄT & DATA Palveluun tallennetut sisällöt ja henkilötiedot OMAT PALVELUT SOPIMUSPALVELUT ULKOPUOLISET PALVELUT Sopimus henkilö- tietojen käsittelystä Käyttöehtosopimus tai suostumus Henkilötiedot pysyvät organisaation omassa hallinnassa Henkilötietoja päätyy ulkopuoliselle rekisterinpitäjälle Palvelua käyttävä organisaatio
  17. 17. Kaupalliset somepalvelut päiväkodin tai koulun käytössä?
  18. 18. Julkisuus, salassapito ja viranomaisen asiakirjat somepalveluissa
  19. 19. Lähde: Oikeusasiamiehen päätös EOAK/2404/2017, 14.7.2017, https://www.oikeusasiamies.fi/fi/ratkaisut/-/eoar/2404/2017
  20. 20. • Joissakin tilanteissa Facebook-sivun ylläpitäjä voidaan katsoa yhteisrekisterinpitäjäksi Facebookin kanssa. • Facebook on henkilötietojen käsittelijä mm. organisaatioiden mainos- ja analytiikkatyökalujen yhteydessä. • Facebook on asettanut sivujen ylläpitäjille lisäehtoja, jotka tulivat voimaan 28.9.2018. – Katso ”Sivun kävijätietojen hallinnoija -lisäys”: https://www.facebook.com/legal/terms/page_controller_addendum# • Käytännön toimenpiteet: – Tunnista Facebook-sivun rekisterinpitäjä ja käsittelyn oikeusperuste. Ilmoita sivun tiedoissa siitä vastaava organisaatio. – Lisää tietosuojaseloste Facebook-sivun tietoihin privacy policy -kohtaan. – Jos saat sivun kävijöiltä tai viranomaisilta GDPR:n mukaisia pyyntöjä, välitä ne viipymättä Facebookille tällä lomakkeella: https://www.facebook.com/help/contact/308592359910928 Facebook-sivun ylläpitäjän asema
  21. 21. Päiväkotien ja koulujen Facebook-ryhmät Pyydä suostumus ennen kuin viet päiväkodin tai koulun rekistereistä henkilötietoja ulkopuolisiin verkko-tai somepalveluihin. Kyse on henkilötietojen luovuttamisesta toiselle rekisterinpitäjälle (Facebookille) sekä niiden julkaisusta (muille ryhmäläisille). Kuvakaappaus: Facebookin hakutoiminnon löytämiä ei- salaisia Facebook-ryhmiä, 4.2.2019.
  22. 22. • Facebookin käyttöehdot kieltävät kahden eri käyttäjätunnuksen luomisen. • Erillistä työntekijätunnusta ei pitäisi tehdä. • Henkilökohtaisen tunnuksen käyttö työssä voi perustua vain vapaaehtoisuuteen. • Facebook-ryhmissä ja -sivuilla voi toimia henkilökohtaisella tunnuksella, jolloin asiakkaita ei tarvitse ottaa kavereiksi. • Nykyään Facebook-sivut voivat osallistua myös ryhmien keskusteluihin. • Facebookin käyttöehdot: https://www.facebook.com/legal/t erms/update
  23. 23. Tiedotus (kirjallinen, taiteellinen, akateeminen ja journalistinen sisältö) Yhteydenpito rekisteröityihin Henkilötietojen säilytys Rekisteröityjen sähköinen asiointi Kunnan omat verkkopalvelut (kotisivut, intra) Ok Ok, jos käyttöoikeudet ovat oikein. Ok, jos käyttöoikeudet ovat oikein. Ok, jos käyttöoikeudet ovat oikein. Kunnan hallinnoimat verkkopalvelut (pilvipalvelut ja muut sopimuspalvelut) Ok Ok, jos käyttöoikeudet ovat oikein ja on sopimus henkilötietojen käsittelystä. Ok, jos käyttöoikeudet ovat oikein ja on sopimus henkilötietojen käsittelystä. Ok, jos käyttöoikeudet ovat oikein ja on sopimus henkilötietojen käsittelystä. Kunnan hallinnoimat profiilit julkisissa somepalveluissa Ok Ok, jos käyttöoikeudet ovat oikein, ohjeistus on kunnossa ja rekisteröidyltä on suostumus. Ei. Viestien osalta tilanne on epäselvä. Ei Kunnan työntekijöiden henkilökohtaiset profiilit julkisissa somepalveluissa Ok Ok, jos ohjeistus on kunnossa ja rekisteröidyltä on suostumus. Ei. Viestien osalta tilanne on epäselvä. Ei Nyrkkisääntö: somepalvelujen käyttö rekisteröityä koskevien tietojen käsittelyssä ja yhteydenpidossa voi perustua vain rekisteröidyn suostumukseen (aloitteeseen). Kunnan tulee huolehtia siitä, ettei henkilötietoja ilman rekisteröidyn suostumusta tallenneta verkko-/somepalveluihin, jotka eivät ole sen hallinnassa.
  24. 24. WhatsApp vahva salaus automaattisesti Facebook Messenger salaus pitää kytkeä päälle Skype salattu, mutta viestejä on periaatteessa mahdollista seurata Pikaviestit ja ryhmäkeskustelut
  25. 25. Pikaviestipalvelujen tietosuoja Lähde: Amnesty, For your eyes only?, 2016, https://www.amnesty.org/download/Documents/POL4049852016ENGLISH.PDF
  26. 26. Lähde: Tivi, 10.8.2017, https://www.tivi.fi/Kaikki_uutiset/viranomaiset-kayttavat-pikaviestimia-onko-viestinta-julkista-enta-turvallista-6667958
  27. 27. • Pikaviestit ja ryhmäkeskustelut – Signal (USA:lainen), https://signal.org/ – Telegram (venäläinen), https://telegram.org/ – Threema (sveitsiläinen), https://threema.ch/ – FoilChat (suomalainen), https://www.foilchat.com/ • Wiki-/ryhmäsivustot – Purot.net (suomalainen), https://purot.net/ • Palaute ja ryhmätyöskentely – ClassDojo (USA:lainen), https://www.classdojo.com/ – Seesaw (USA:lainen), https://web.seesaw.me/ • Blogit – Edublogs (USA:lainen), https://edublogs.org/ Vaihtoehtoja ryhmien yhteydenpitoon
  28. 28. • Kun opetuksessa käytetään erilaisia somepalveluita, on syytä sopia yhteiset toimintamallit – Työ- vai henkilökohtainen sähköpostiosoite tunnuksen luonnissa? – Millä edellytyksin oppilaiden henkilötietoja voidaan viedä palveluun? – Miten huolehditaan, ettei oppilaiden henkilötietoja ”unohdu” palveluun? • Eri somepalveluissa on erilaisia käyttöehtoja, jotka on huomioitava • Esimerkiksi koulun hallinnoimalla opettajan Google-käyttäjätunnuksella on mahdollista käyttää useita muidenkin tahojen ylläpitämiä somepalveluilta • Yksityisten laitteiden ja tunnusten käytöstä työtehtäviin on syytä antaa selvät ohjeet: mitä saa ja ei saa tehdä. • Opettajaa ei voida velvoittaa käyttämään yksityisiä käyttäjätunnuksia työssään, mikäli se ei ole ollut nimenomaisesti edellytyksenä työtehtävän hoitamiselle • WhatsAppin työkäyttöön on suositeltavaa olla työpuhelin • Muista varovaisuus henkilötietojen tallentamisessa somepalveluihin Somepalvelut ja tietosuoja
  29. 29. • Saman ryhmän kesken nimien ja kuvien näkyminen on ok. • Älä julkaise tai luovuta henkilötietoja ilman suostumusta. Alaikäiseltä tarvitaan huoltajan suostumus. • Muista minimointiperiaate: käsittele henkilötietoja tarvittavassa laajuudessa. • Huolehdi suostumuksista alle 13-vuotiaiden huoltajilta, kun käytetään kaupallisia verkko- ja somepalveluita. • Pyydä alle 15-vuotiaiden huoltajilta lupa omien laitteiden ja sovellusten käyttöön. • Ryhmän kesken voidaan jakaa yhteystietoja, kun ne ovat koulun tai päiväkodin hallinnoimia tai kyseisiin omiin laitteisiin ja sovelluksiin on opetuskäytön lupa. – Esimerkiksi sähköpostiosoitteet, puhelinnumerot, somepalvelujen käyttäjätunnukset • Julkisuuslaki mahdollistaa mm. oppijan huoltajan tietojen annon toiselle huoltajalle, mikäli sille ei ole muuta estettä (esim. turvakielto). • Muista salassapito- ja vaitiolovelvollisuudet. – Oppilaan ja hänen perheensä yksityiselämän ja taloudellisen tilanteen tiedot – Oppilashuoltoon ja tukeen liittyvät tiedot ja asiakirjat, esim. VASU ja HOJKS – Asiakirjat, jotka sisältävät henkilökohtaisten ominaisuuksien sanallista arviointia – Terveystiedot, terveydenhuollon ja kuntoutuksen palvelut – Sosiaalihuollon asiakkuus, etuudet ja tukitoimet • Oppijat tai huoltajat saavat jakaa keskenään henkilötietoja. Opettajan muistilista tietosuojasta
  30. 30. Tietoturvaloukkaukset
  31. 31. • Tietoturvaloukkauksella tarkoitetaan henkilötietojen… – vahingossa tapahtuvaa tai lainvastaista tuhoamista – häviämistä – muuttamista – luvaton luovuttamista tai pääsyä tietoihin • Rekisterinpitäjällä on velvollisuus ilmoittaa henkilötietojen tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle, jos siitä todennäköisesti aiheutuu korkea riski rekisteröityjen oikeuksille ja vapauksille • Ilmoitus valvontaviranomaiselle 72 h kuluessa loukkauksen havaitsemisesta • Rekisterinpitäjän on dokumentoitava kaikki tietoturvaloukkaukset, niihin liittyvät seikat, vaikutukset ja korjaavat toimet • Henkilötietojen käsittelijän on tehtävä ilmoitus tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä • Esimerkkejä tietoturvaloukkauksista: https://bit.ly/2x9I4dA Henkilötietojen tietoturvaloukkaukset Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
  32. 32. Havainto Rekisterinpitäjä havaitsee tai saa tietoonsa tietoturvaloukkauksen. Dokumentointi Kaikki tietoturvaloukkaukset, niiden vaikutukset ja korjaavat toimet dokumentoidaan. Riskiarvio Aiheuttaako tietoturvaloukkaus todennäköisesti riskin henkilöiden oikeuksille ja vapauksille? Ei Ilmoituksia ei edellytetä Kyllä Ilmoitus valvontaviranomaiselle Yleensä ilmoitus tehdään rekisterinpitäjän päätoimipaikan maan valvontaviranomaiselle. Ilmoitus rekisteröidyille Ilmoitetaan kohteena oleville henkilöille ja annetaan tarvittaessa ohjeita, miten he voivat suojautua seurauksilta. Ilmoitusvelvollisuus tietoturva- loukkauksista Lähde: Tietosuojatyöryhmä, Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta, 2017, https://tietosuoja.fi/documents/6927448/8316711/ Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46 -33b1-4b01-9a50- 9320d59bd605/Tietoturvaloukkauksen+ilmoittami nen+fi.pdf
  33. 33. Esimerkkejä tietoturvaloukkauksista Lähde: Tietosuojatyöryhmä, Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta, 2017, https://tietosuoja.fi/documents/6927448/8316711/Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46-33b1-4b01-9a50- 9320d59bd605/Tietoturvaloukkauksen+ilmoittaminen+fi.pdf Tapahtuma Ilmoitus valvontaviranomaiselle? Ilmoitus rekisteröidyille? Rekisterinpitäjä on tallentanut salatun varmuuskopion henkilötietoja sisältävästä arkistosta USB-muistitikulle. Muistitikku varastetaan murron yhteydessä. Ei Ei Rekisterinpitäjä ylläpitää verkkopalvelua. Palveluun tehdyn verkkohyökkäyksen seurauksena henkilöiden henkilötietoja varastetaan. Kyllä, jos henkilöille todennäköisesti aiheutuu seurauksia. Kyllä, jos henkilöille todennäköisesti aiheutuvien seurausten vakavuus on suuri. Henkilötietojen käsittelijänä toimiva pilvipalvelu havaitsee virheen koodissa, jolla hallitaan käyttövaltuuksia. Vian vaikutuksesta käyttäjät voivat nähdä toistensa tietoja palvelussa. Kyllä, kun rekisterinpitäjät ovat saaneet tiedon henkilötietojen käsittelijältä. Ei, jos henkilöille ei todennäköisesti aiheudu korkeaa riskiä. Suuren opiskelijamäärän henkilötiedot lähetetään erehdyksessä väärälle postituslistalle, jolla on yli tuhat vastaanottajaa. Kyllä Kyllä, mahdollisten seurausten vakavuudesta riippuen.
  34. 34. Riskiarviossa huomioitavaa Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit
  35. 35. Henkilötietoihin kohdistuvan riskin taso Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit Jos riski arvioidaan korkeaksi, on tehtävä tietosuojaa koskeva vaikutustenarviointi, jossa tarkastellaan toimenpiteitä, joilla voidaan pienentää riskiä (35 artikla).
  36. 36. Hallinto ja toimintakulttuuri •Tietosuoja ja sen läpinäkyvyys on keskeinen osa toimintaperiaatteita •Tietoturvapolitiikka ja sen käytännöt on määritelty •Seloste käsittelytoimista ja informointi rekisteröidyille tehty •Rekisteröityjen pyyntöihin on varauduttu Henkilöstön toimintamallit •Henkilöstön roolit ja vastuut on määritelty •Salassapitovelvollisuus •Koulutukset ja uusien työntekijöiden perehdytys •Työsuhteiden päättymiselle on toimintamalli •Tietoturvaloukkausten raportointiin on toimintamalli Henkilötietojen käyttö ja hallinta •Henkilötietojen käsittelylle on selvät ohjeistukset •Suostumukset ja kiellot huomioitu toiminnassa •Tietosuoja on huomioitu mm. netin, sähköpostin ja somen käyttöohjeissa •Rekisteröidyt voivat hallita itse tietojaan •Tietojen tuhoaminen tehdään turvallisesti Tilojen valvonta •Tiloihin pääsy on valvottua ja avaimista pidetään kirjaa •Ulkopuolisten pääsy henkilöstön työpisteisiin on estetty •Mahdollisesta kameravalvonnasta on rekisteri ja siitä ilmoitetaan •Tarvittaessa tilojen turvaluokitukset Rekisteröityjen tunnistaminen •Rekisteröidyt tunnistetaan, kun tietoja kerätään •Rekisteröidyt tunnistetaan, kun he käyttävät oikeuksiaan •Asiointi tapahtuu ennalta nimettyjen henkilöiden kanssa Käyttäjätunnukset ja oikeudet •Henkilökohtaiset käyttäjätunnukset •Roolien mukaiset käyttöoikeudet ja niiden tarkistaminen työtehtävien muuttuessa •Salasanoille ja vastaaville on laatuvaatimukset •Järjestelmien oletussalasanat on vaihdettu Ulkopuoliset toimijat •Ulkopuolisista toimijoista pidetään kirjaa •Sopimus ja ohjeet henkilötietojen käsittelystä •Ulkopuolisten palveluntarjoajien vastuut on määritelty •Ulkopuoliset toimijat tuntevat rekisterinpitäjän toimintamallit ja ohjeet Laitteet ja tallennusvälineet •Tietokoneista ja mobiililaitteista pidetään kirjaa •Tietoturva- ja muut päivitykset kunnossa •Virustorjunnasta ja palomuureista on huolehdittu •Siirrettävien tallennusvälineiden (muistitikut, ym.) ja henkilökohtaisten laitteiden käytöstä on tehty ohjeistus Palvelimet ja verkkoyhteydet •Palvelintiloissa on pääsynvalvonta •Langattomien verkkojen liikenne on salattu •Erilliset vierasverkot •Palvelimien ohjelmistopäivitykset kunnossa •Palvelimien varmuuskopiointi on kunnossa •Palvelinohjelmistojen lokitiedot on suojattu Pilvipalvelut •Pilvipalvelujen käyttö henkilötietojen käsittelyssä on ohjeistettu •Informointi ja suostumukset kunnossa •Sopimuksissa on määritelty palvelutaso ja palveluntarjoajan vastuut •Palveluntarjoajat ovat sitoutuneet noudattamaan GDPR:n vaatimuksia Tekniset ja organisatoriset suojatoimet
  37. 37. Somen turvallinen käyttö
  38. 38. • Suositus vähintään 8, mielellään 15 merkkiä • Ei ole yksittäinen sana. Lause tai lorun pätkä ovat hyviä. • Sisältää: – Isoja ja pieniä kirjaimia – Numeroita – Erikoismerkkejä • Ei ole arvattavissa • Ei ole käytössä muualla Hyvä salasana tai salalause Lähde: Viestintävirasto, 2014, https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2014/12/ttn201412031257.html
  39. 39. Facebookin kirjautumisen asetukset Facebook-tunnuksen asetukset, Turvallisuus ja sisäänkirjautuminen, https://www.facebook.com/settings?tab=security (28.9.2017)
  40. 40. Googlen kaksivaiheinen tunnistautuminen 1. Kirjaudu Google-tunnuksellasi ja mene osoitteeseen: https://myaccount.google.com/ 2. Valitse ”Googleen kirjautuminen” Kuvakaappaus ja lisätietoa: https://www.google.com/landing/2step/ 3. Ota käyttöön ”2-vaiheinen vahvistus”
  41. 41. Selaimen yksityinen tila Firefox Internet Explorer Chrome Yksityisessä tilassa nettiselain ei tallenna laitteen muistiin: • Sivuhistoriaa • Lomaketietoja • Evästeitä (engl. cookie) • Www-sivustojen tiedostoja välimuistiin Verkkopalvelut ja verkkoyhteyden tarjoaja näkevät toimintasi normaalisti.
  42. 42. Harmittomat Facebook-testit saavat yllättän paljon oikeuksia käyttäjätietoihisi ja voivat käyttää niitä haluamallaan tavalla. Lisää aiheesta: https://harto.wordpress.com/2016/03/29/ala-anna-facebook-tietojasi-hupitestia-vastaan/
  43. 43. Vinkki: Rajoita Facebook-tietojesi käyttöä mainontaan. Löydät nämä Facebookin ylävalikon kohdasta: ▼  Asetukset  Mainokset Lisää aiheesta: https://harto.wordpress.com/2018/03/21/nailla-facebook-asetuksilla-estat-tietojesi-kayton-muilta-yrityksilta/ ja https://harto.wordpress.com/2019/01/22/katso-miten-facebook-on-profiloinut-sinut-ja-mitka-yritykset-ovat-vieneet-asiakastietojasi-facebookiin/ Lista kymmenistä yrityksistä, jotka ovat tuoneet tietojasi Facebookiin Katso, miten monella eri tavalla Facebook on profiloinut sinut
  44. 44. Lähde: http://yle.fi/aihe/artikkeli/2016/04/06/iphone-eurolla-aikuisten-oikeastiko (osallistuminen tarkoitti 59 euron kk-maksua) Tilausansa
  45. 45. Vihapuhe ja häirintä somessa Alle 16-vuotiailla vielä tätä enemmän?
  46. 46. Vihamieliset viestit lisääntyvät iltaisin Lähde: tutkija Matti Pohjonen, VOXPOL, kuva julkaistu: https://www.facebook.com/kaikkiensome/photos/a.1741875395906647/1746262318801288/?type=3&theater
  47. 47. Koulussa tapahtunutta Erään luokan WhatsApp-ryhmässä jaettu viesti Ohjataan kertomaan kiusaamisesta aikuisille
  48. 48. Seksuaalinen häirintä (4.-5.-luokkalaiset) Lähde: THL, kouluterveyskyselyn 2017 tuloksia, https://www.julkari.fi/bitstream/handle/10024/136131/URN_ISBN_978-952-343-091- 4.pdf?sequence=1
  49. 49. 1. Pyydä lopettamaan: ”Lopeta, en halua kuunnella tuollaista.” 2. Lähde sivustolta pois tai estä häiriköijää näkemästä sinua. 3. Kerro luotettavalle aikuiselle. Voitte ilmoittaa henkilöstä sivuston ylläpidolle tai tehdä asiasta rikosilmoituksen. Keskustelu aikuisen kanssa helpottaa oloasi ja saat apua. Lähde: Mannerheimin Lastensuojeluliitto, http://www.mll.fi/nuortennetti/mina_ja_media/seksuaalinen- hairinta-netissa/ Jos et pidä siitä, mitä sinulle netissä tehdään, sano se suoraan.
  50. 50. Valeuutiset leviävät vahingossa Lähde: Medialiitto, Valeuutistutkimus 2017, 14.11.2017, N=1000, yli 18-vuotiaat suomalaiset, http://www.medialiitto.fi/files/4323/Valeuutistutkimus_14.11.2017.pdf
  51. 51. Lisää tapauksesta: http://www.snopes.com/clinton-votes-found- in-warehouse/ Kuvakaappaus: http://archive.is/5lfHH Mitä viitteitä valeuutisesta huomaat?
  52. 52. Lisää tapauksesta: http://www.snopes.com/clinton-votes-found- in-warehouse/ Kuvakaappaus: http://archive.is/5lfHH EI TUNNETTU UUTISSIVUSTO KOVA VÄITE. KUINKA USKOTTAVAA ON, ETTÄ TÄMÄN TASON SKUUPPI JULKAISTAISIIN TÄLLÄ SIVUSTOLLA? KIRJOITTAJAN NIMI PUUTTUU. KUVASSA ON KUMMALLISIA TUHRUJA – ONKO SITÄ MUOKATTU?
  53. 53. 1. Hyökkääjät etsivät haavoittuvia verkkopalveluita, joita voidaan käyttää esim. mainostamiseen tai virusten ja haittaohjelmien levittämiseen. 2. Saastunut palvelu etsii palvelun käyttäjien käyttöjärjestelmän, selaimen ja sen liitännäisten tietoturva-aukkoja, joiden kautta voidaan asentaa viruksia ja haittaohjelma. Saastuneet verkkopalvelut Lähde: Viestintäviraston Kyberturvallisuuskeskuksen vuosiraportti 2015, https://www.viestintavirasto.fi/attachments/tietoturva/Viestintaviraston_Kyberturvallisuuskeskuksen_vuosiraportti_2015.pdf
  54. 54. Kuvien lähteet: http://kioski.yle.fi/omat/hamara-whatsapp-viesti-lupaa-yllatyksen-ala-klikkaa ja http://www.iltalehti.fi/digi/2015020519150182_du.shtml Huijausviestit WhatsAppissa
  55. 55. Yksittäiset käyttäjät Lähde: Viestintävirasto, Tietoturvan vuosi 2017, https://www.viestintavirasto.fi/attachments/cert/tietoturvakatsaukset/Tietoturvan-vuosi-2017.pdf
  56. 56. • Tee käyttöjärjestelmän ja sovellusten päivitykset viipymättä. • Asenna sovelluksia vain virallisista sovelluskaupoista. • Noudata omien laitteiden käytössä työnantajan ohjeistusta. • IPhonet ja iPadit ovat Android-laitteita turvallisempia. – App Storen sovellustarjontaa valvotaan tarkemmin kuin Google Playn. – Androidille tehdään enemmän haittaohjelmia ja viruksia • Tietoturvaohjelmia ei välttämättä vielä tarvita mobiililaitteille – varovaisuus ja maalaisjärki riittävät pitkälle. • Isoin tietoturvauhka on vanhoissa laitteissa, joihin ei tehdä enää päivityksiä. Tällaisia laitteita ei kannattaisi kytkeä nettiin. • Älä käytä suojaamattomia langattomia verkkoja (WLAN). • Käytä VPN-nettiyhteyttä mobiililaitteissa, jos mahdollista. Mobiililaitteiden tietoturva
  57. 57. Yango-taksipalvelussa on epäselvyyksiä GDPR:n näkökulmasta • Käyttäjälle ei kerrota, mihin kaikkia pyydettyjä oikeuksia käytetään • Sovellus ei pyydä käyttöehtojen hyväksyntää tai kysy suostumusta henkilötietojen käsittelylle • Yandex katsoo sopimuksen syntyvän automaattisesti (nk. hiljainen sopimus) • Henkilötiedot siirtyvät EU:n ulkopuolelle. Yandex kertoo käyttävänsä EU- komission mallisopimuslausekkeita • Yandexin yksityisyyskäytäntö: https://yandex.ru/legal/c onfidential/?lang=en
  58. 58. 5 neuvoa mobiilisovellusten arviointiin 1. Asenna sovelluksia vain luotetuista sovelluskaupoista. – Suhtaudu varauksella sovellusten asentamiseen muista kuin virallisista Googlen ja Applen sovelluskaupoista. 2. Tarkista sovelluksen tekijä ja sovelluksen saama palaute. – Sovelluskaupoissa voi olla myös tunnettujen sovellusten väärennöksiä. – Jos sovellukselle ei tule päivityksiä, se voi sisältää haavoittuvuuksia, joita hyökkääjät voivat hyväksikäyttää. 3. Arvioi sovelluksen pyytämät oikeudet verrattuna sovelluksen käyttäjää palvelevaan toiminnallisuuteen. – Hyväksy mahdollisimman vähän oikeuksia laitteen tietoihin. – Tarkista sovellusten oikeudet aika ajoin. 4. Tutustu sovelluksen käyttöehtoihin. – Mitä tietojen keräämisestä ja käsittelystä kerrotaan? – Missä maassa tietoja käsitellään? 5. Työnantajalla voi olla tarkempia ohjeita työssä käytettävän mobiililaitteiden käytöstä. – Noudata työnantajan ohjeita, jos asennat sovelluksia työssä käytettäviin laitteisiin. Lähde: Viestintäviraston Kyberturvallisuuskeskus, 2018, https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2018/11/ttn201811141100.html
  59. 59. Keskustelu & kysymykset
  60. 60. Harto Pönkä http://twitter.com/hponka/ http://slideshare.com/hponka http://harto.wordpress.com/ http://www.innowise.fi/ Kiitos!

×