2. Somepalvelujen käyttö Suomessa
WhatsApp 72 %
Facebook 60 %
Facebook 59 %
Instagram 35 %
LinkedIn 15 %
Twitter 15 %
Snapchat 11 %
Datalähde: Sanomalehtien liitto, 19.12.2018, säännöllisesti käytetyt somepalvelut, N=1000, 15-74-vuotiaat suomalaiset,
https://www.sanomalehdet.fi/ajankohtaista/uutiset/sosiaalisen-median-laatumielikuva-on-heikentynyt
3. Lähde: DNA, Koululaistutkimus, 1.8. 2018,
https://www.sttinfo.fi/data/attachments/00830/f6f638f2-afe4-426b-bd3b-3d2601ae8aff.pdf (N=532, vastaajina lasten vanhemmat)
6-12-vuotiaiden somen käyttö
4. Somepalvelujen käyttö ikäryhmittäin
Lähde: Sanomalehtien liitto, 19.12.2018, säännöllisesti käytetyt somepalvelut, N=1000, 15-74-vuotiaat suomalaiset,
https://www.sanomalehdet.fi/ajankohtaista/uutiset/sosiaalisen-median-laatumielikuva-on-heikentynyt
6. • Google: 13 vuotta (Google Play, Gmail, G Suite, Google Drive, Google+, Blogger)
• YouTube: 13 vuotta (osa videoista 18 v.)
• Facebook: 13 vuotta
• WhatsApp: 16 vuotta (oli 13 vuotta 8/2016 - 5/2018)
• Instagram: 13 vuotta
• Snapchat: 13 vuotta
• Twitter: 13 vuotta
• Steam: 13 vuotta
• Pinterest: 13 vuotta
• Twitch: 13 vuotta
• Ask.fm: 13 vuotta
• Kik Messenger: 13 vuotta (suositus 17 v.)
• WordPress.org: 13 vuotta
• We heart it: 13 vuotta
• Pokémon Go: 13 vuotta
Somepalvelujen ikärajat
Lisäksi alaikäinen
tarvitsee huoltajan
luvan sopimuksen
tekoon, mikäli hän
on alle GDPR-ikärajan
(nykyisin 13 v.).
7. WhatsAppin käyttö alle
16-vuotiaiden opetuksessa
• WhatsAppin käyttöehtojen tarkoittama ”käyttäjä”
on se, joka rekisteröi tunnuksen ja hyväksyy
käyttöehdot. Jos huoltaja hyväksyy käyttöehdot,
hän on sopimuksen osapuoli.
• Huoltaja saa antaa hallitsemansa WhatsApp-
tunnuksen lapsen käyttöön ikärajan sitä estämättä.
Käyttöehdoissa ei tätä kielletä.
• Lapsen kännykän käyttö perustuu muutenkin
huoltajan tekemiin sopimuksiin ja palveluihin, jotka
tämä on antanut lapsen käytettäväksi (esim.
puhelinliittymä ja Google-tunnus).
• Lapsen kännykän käyttö tapahtuu huoltajan luvalla,
valvonnassa ja vastuulla.
• Lapsen kännykän ja sen sovellusten opetuskäyttöön
tarvitaan huoltajan lupa.
• Luvan antaminen on vapaaehtoista: sitä ei voida
edellyttää eikä siihen pidä painostaa.
• Perusteet käyttää WhatsAppia opetuksessa on hyvä
käydä läpi opettajien, huoltajien ja lasten kanssa.
Lue lisää blogistani:
https://harto.wordpress.com/2018/05/18/whatsappin-
ikarajasta-opetuskaytosta-ja-gdprsta-viela-kerran/
8. • Ikärajat eivät kerro pelin vaikeudesta, vaan varoittavat sisällön
arvioidusta haitallisuudesta alaikäisille.
• Suomessa käytetään yleiseurooppalaisia PEGI-ikärajoja.
• Ikärajat velvoittavat esim. pelien myyjiä eli niitä ei saa tarjota
ikärajaa nuoremmille.
• Ikärajaa kolme vuotta nuorempi voi osallistua esim.
pelitapahtumaan, jos hän on aikuisen seurassa. Ei koske K18:aa.
Lähde ja lisätietoa: http://www.ikarajat.fi/
10. Tarkistuslista:
• Missä maassa palvelu sijaitsee? Suosi EU:ssa sijaitsevia.
• Mikä on palvelun ikäraja?
• Mitä henkilötietoja rekisteröitymisen ja palvelun käytössä
tallennetaan?
• Saako sama käyttäjä luoda palveluun useita käyttäjätunnuksia?
• Miten käyttäjä voi hallita henkilötietojaan palvelussa?
• Voidaanko tietojasi luovuttaa muille tai käyttää esimerkiksi
mainontaan?
• Mitä oikeuksia palvelu saa tekemiisi sisältöihin kuten teksteihisi
ja valokuviisi? Voidaanko niitä käyttää muualla?
• Mihin voit olla yhteydessä, jos palvelun käytössä ilmenee
ongelmia?
• Miten voit lopettaa palvelun käytön? Mitä tekemillesi sisällöille
ja muille sinusta kerätyille tiedoille tehdään siinä tapauksessa?
Palvelun käyttöehdot = sopimus
11. • Yhdysvalloissa ei ole vastaavaa tiukkaa henkilötietojen käytön sääntelyä kuin
EU-maissa. Tämän vuoksi yhdysvaltalaisten verkkopalvelujen käytössä
opetuksessa tulee olla erityisen varovainen.
• Henkilötietoja voidaan siirtää Privacy shield –järjestelmään sitoutuneille tahoille
– Privacy shield on toistaiseksi voimassa ja mahdollistaa laillisesti EU-kansalaisten henkilötietojen
siirron ja käsittelyn yhdysvaltalaisissa palveluissa.
– Privacy shield on kohdannut kritiikkiä ja on epäilty, että se tulee kaatumaan myöhemmin EU-
tuomioistuimessa
• Toinen lainmukainen vaihtoehto on, että yhdysvaltalainen palveluntarjoaja
sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin
– Esimerkiksi Google ja Microsoft toimivat näin
• Opetuksessa voidaan käyttää myös suoraan yhdysvaltalaisia palveluita
huoltajien luvalla tai mikäli niiden käyttö ei edellytä henkilötietojen antamista
Yhdysvaltalaiset verkkopalvelut
12. • Sopimuksen tekeminen vaatii lain mukaan 18 vuoden ikää
(oikeustoimikelpoisuus). Alaikäiset tarvitsevat huoltajan luvan
sopimuksen tekoon.
• Huoltaja voi hyväksyä käyttöehdot lapsen puolesta ja antaa
somepalvelun tämän käyttöön ikärajasta huolimatta, mikäli
ehdoissa ei kielletä palvelun antoa toisen käyttöön.
• Suostumuksen henkilötietojen käsittelyyn some-
/verkkopalveluille voi antaa yli 13 vuotias. Alaikäiset voivat
hyväksyä ikätasolle tavanomaisia ja merkitykseltään vähäisiä
käyttöehtoja.
• Mobiililaitteiden käyttöön opetuksessa tarvitaan huoltajan lupa
alle 15-vuotiailta (OPH:n ohjeistus). Yli 15-vuotias saa hallita itse
omaisuuttaan.
• Suostumus tulee dokumentoida. Se voidaan kirjata koulun
rekisteriin, jonka jälkeen lupalappuja ei tarvitse säilyttää.
• Suostumukset on hyvä tarkistaa vuosittain.
Ikä ja huoltajilta pyydettävät luvat
Lähteinä mm. GDPR ja Tietokoneen, kännykän ja muiden mobiililaitteiden käyttöön liittyvistä oikeuksista ja velvollisuuksista koulussa, OPH, 2017,
https://www.oph.fi/julkaisut/2017/tietokoneen_kannykan_ja_muiden_mobiililaitteiden_kayttoon_liittyvista_oikeuksista_ja_velvollisuuksista_koulussa
13. Lähde: Tietokoneen, kännykän ja muiden mobiililaitteiden
käyttöön liittyvistä oikeuksista ja velvollisuuksista koulussa,
OPH, 2017,
https://www.oph.fi/julkaisut/2017/tietokoneen_kannykan_ja
_muiden_mobiililaitteiden_kayttoon_liittyvista_oikeuksista_
ja_velvollisuuksista_koulussa
Omien laitteiden
käyttö opetuksessa
-mallisopimus
Suosittelen muokkaamaan
sopimuksen tekstin näin:
”oppilas voi käyttää
seuraavia laitteita ja niissä
olevia sovelluksia oppimisen
tukena…”
Suostumus omien laitteiden
käyttöön tarvitaan alle 15-
vuotiaiden huoltajilta.
16. Verkkopalvelujen kolme tyyppiä
REKISTERINPITÄJÄ
Palvelun käyttöönsä
tilannut organisaatio
HENKILÖTIETOJEN
KÄSITTELIJÄ
Ulkopuolinen palveluntarjoaja
REKISTERINPITÄJÄ
Palvelun omistava ja siitä
vastaava organisaatio
KÄYTTÄJÄT & DATA
Palveluun tallennetut
sisällöt ja henkilötiedot
REKISTERINPITÄJÄ
Ulkopuolinen palveluntarjoaja
KÄYTTÄJÄT & DATA
Palveluun tallennetut
sisällöt ja henkilötiedot
KÄYTTÄJÄT & DATA
Palveluun tallennetut
sisällöt ja henkilötiedot
OMAT PALVELUT SOPIMUSPALVELUT ULKOPUOLISET PALVELUT
Sopimus henkilö-
tietojen käsittelystä
Käyttöehtosopimus
tai suostumus
Henkilötiedot pysyvät organisaation omassa hallinnassa
Henkilötietoja päätyy
ulkopuoliselle rekisterinpitäjälle
Palvelua käyttävä
organisaatio
20. • Joissakin tilanteissa Facebook-sivun ylläpitäjä voidaan katsoa
yhteisrekisterinpitäjäksi Facebookin kanssa.
• Facebook on henkilötietojen käsittelijä mm. organisaatioiden mainos-
ja analytiikkatyökalujen yhteydessä.
• Facebook on asettanut sivujen ylläpitäjille lisäehtoja, jotka tulivat
voimaan 28.9.2018.
– Katso ”Sivun kävijätietojen hallinnoija -lisäys”:
https://www.facebook.com/legal/terms/page_controller_addendum#
• Käytännön toimenpiteet:
– Tunnista Facebook-sivun rekisterinpitäjä ja käsittelyn oikeusperuste.
Ilmoita sivun tiedoissa siitä vastaava organisaatio.
– Lisää tietosuojaseloste Facebook-sivun tietoihin privacy policy -kohtaan.
– Jos saat sivun kävijöiltä tai viranomaisilta GDPR:n mukaisia pyyntöjä, välitä
ne viipymättä Facebookille tällä lomakkeella:
https://www.facebook.com/help/contact/308592359910928
Facebook-sivun ylläpitäjän asema
21. Päiväkotien ja
koulujen
Facebook-ryhmät
Pyydä suostumus ennen
kuin viet päiväkodin tai
koulun rekistereistä
henkilötietoja
ulkopuolisiin verkko-tai
somepalveluihin.
Kyse on henkilötietojen
luovuttamisesta toiselle
rekisterinpitäjälle
(Facebookille) sekä
niiden julkaisusta
(muille ryhmäläisille).
Kuvakaappaus: Facebookin hakutoiminnon löytämiä ei-
salaisia Facebook-ryhmiä, 4.2.2019.
22. • Facebookin käyttöehdot kieltävät
kahden eri käyttäjätunnuksen
luomisen.
• Erillistä työntekijätunnusta ei
pitäisi tehdä.
• Henkilökohtaisen tunnuksen
käyttö työssä voi perustua vain
vapaaehtoisuuteen.
• Facebook-ryhmissä ja -sivuilla voi
toimia henkilökohtaisella
tunnuksella, jolloin asiakkaita ei
tarvitse ottaa kavereiksi.
• Nykyään Facebook-sivut voivat
osallistua myös ryhmien
keskusteluihin.
• Facebookin käyttöehdot:
https://www.facebook.com/legal/t
erms/update
23. Tiedotus
(kirjallinen,
taiteellinen,
akateeminen ja
journalistinen sisältö)
Yhteydenpito
rekisteröityihin
Henkilötietojen
säilytys
Rekisteröityjen
sähköinen asiointi
Kunnan omat
verkkopalvelut
(kotisivut, intra)
Ok Ok, jos käyttöoikeudet
ovat oikein.
Ok, jos
käyttöoikeudet ovat
oikein.
Ok, jos
käyttöoikeudet
ovat oikein.
Kunnan hallinnoimat
verkkopalvelut
(pilvipalvelut ja muut
sopimuspalvelut)
Ok Ok, jos käyttöoikeudet
ovat oikein ja on
sopimus
henkilötietojen
käsittelystä.
Ok, jos
käyttöoikeudet ovat
oikein ja on sopimus
henkilötietojen
käsittelystä.
Ok, jos
käyttöoikeudet
ovat oikein ja on
sopimus
henkilötietojen
käsittelystä.
Kunnan hallinnoimat
profiilit julkisissa
somepalveluissa
Ok Ok, jos käyttöoikeudet
ovat oikein, ohjeistus
on kunnossa ja
rekisteröidyltä on
suostumus.
Ei.
Viestien osalta
tilanne on epäselvä.
Ei
Kunnan työntekijöiden
henkilökohtaiset
profiilit julkisissa
somepalveluissa
Ok Ok, jos ohjeistus on
kunnossa ja
rekisteröidyltä on
suostumus.
Ei.
Viestien osalta
tilanne on epäselvä.
Ei
Nyrkkisääntö: somepalvelujen käyttö rekisteröityä koskevien tietojen käsittelyssä ja
yhteydenpidossa voi perustua vain rekisteröidyn suostumukseen (aloitteeseen).
Kunnan tulee huolehtia siitä, ettei henkilötietoja ilman rekisteröidyn suostumusta tallenneta
verkko-/somepalveluihin, jotka eivät ole sen hallinnassa.
28. • Kun opetuksessa käytetään erilaisia somepalveluita, on syytä sopia
yhteiset toimintamallit
– Työ- vai henkilökohtainen sähköpostiosoite tunnuksen luonnissa?
– Millä edellytyksin oppilaiden henkilötietoja voidaan viedä palveluun?
– Miten huolehditaan, ettei oppilaiden henkilötietoja ”unohdu” palveluun?
• Eri somepalveluissa on erilaisia käyttöehtoja, jotka on huomioitava
• Esimerkiksi koulun hallinnoimalla opettajan Google-käyttäjätunnuksella
on mahdollista käyttää useita muidenkin tahojen ylläpitämiä
somepalveluilta
• Yksityisten laitteiden ja tunnusten käytöstä työtehtäviin on syytä antaa
selvät ohjeet: mitä saa ja ei saa tehdä.
• Opettajaa ei voida velvoittaa käyttämään yksityisiä käyttäjätunnuksia
työssään, mikäli se ei ole ollut nimenomaisesti edellytyksenä
työtehtävän hoitamiselle
• WhatsAppin työkäyttöön on suositeltavaa olla työpuhelin
• Muista varovaisuus henkilötietojen tallentamisessa somepalveluihin
Somepalvelut ja tietosuoja
29. • Saman ryhmän kesken nimien ja kuvien näkyminen on ok.
• Älä julkaise tai luovuta henkilötietoja ilman suostumusta. Alaikäiseltä tarvitaan
huoltajan suostumus.
• Muista minimointiperiaate: käsittele henkilötietoja tarvittavassa laajuudessa.
• Huolehdi suostumuksista alle 13-vuotiaiden huoltajilta, kun käytetään kaupallisia
verkko- ja somepalveluita.
• Pyydä alle 15-vuotiaiden huoltajilta lupa omien laitteiden ja sovellusten käyttöön.
• Ryhmän kesken voidaan jakaa yhteystietoja, kun ne ovat koulun tai päiväkodin
hallinnoimia tai kyseisiin omiin laitteisiin ja sovelluksiin on opetuskäytön lupa.
– Esimerkiksi sähköpostiosoitteet, puhelinnumerot, somepalvelujen käyttäjätunnukset
• Julkisuuslaki mahdollistaa mm. oppijan huoltajan tietojen annon toiselle
huoltajalle, mikäli sille ei ole muuta estettä (esim. turvakielto).
• Muista salassapito- ja vaitiolovelvollisuudet.
– Oppilaan ja hänen perheensä yksityiselämän ja taloudellisen tilanteen tiedot
– Oppilashuoltoon ja tukeen liittyvät tiedot ja asiakirjat, esim. VASU ja HOJKS
– Asiakirjat, jotka sisältävät henkilökohtaisten ominaisuuksien sanallista arviointia
– Terveystiedot, terveydenhuollon ja kuntoutuksen palvelut
– Sosiaalihuollon asiakkuus, etuudet ja tukitoimet
• Oppijat tai huoltajat saavat jakaa keskenään henkilötietoja.
Opettajan muistilista tietosuojasta
31. • Tietoturvaloukkauksella tarkoitetaan henkilötietojen…
– vahingossa tapahtuvaa tai lainvastaista tuhoamista
– häviämistä
– muuttamista
– luvaton luovuttamista tai pääsyä tietoihin
• Rekisterinpitäjällä on velvollisuus ilmoittaa henkilötietojen
tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle, jos siitä
todennäköisesti aiheutuu korkea riski rekisteröityjen oikeuksille ja vapauksille
• Ilmoitus valvontaviranomaiselle 72 h kuluessa loukkauksen havaitsemisesta
• Rekisterinpitäjän on dokumentoitava kaikki tietoturvaloukkaukset, niihin
liittyvät seikat, vaikutukset ja korjaavat toimet
• Henkilötietojen käsittelijän on tehtävä ilmoitus tietoturvaloukkauksesta
rekisterinpitäjälle ilman aiheetonta viivytystä
• Esimerkkejä tietoturvaloukkauksista: https://bit.ly/2x9I4dA
Henkilötietojen tietoturvaloukkaukset
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf
32. Havainto
Rekisterinpitäjä havaitsee tai saa
tietoonsa tietoturvaloukkauksen.
Dokumentointi
Kaikki tietoturvaloukkaukset, niiden
vaikutukset ja korjaavat toimet
dokumentoidaan.
Riskiarvio
Aiheuttaako
tietoturvaloukkaus
todennäköisesti
riskin henkilöiden
oikeuksille ja
vapauksille?
Ei
Ilmoituksia ei
edellytetä
Kyllä
Ilmoitus valvontaviranomaiselle
Yleensä ilmoitus tehdään
rekisterinpitäjän päätoimipaikan
maan valvontaviranomaiselle.
Ilmoitus rekisteröidyille
Ilmoitetaan kohteena oleville henkilöille ja annetaan
tarvittaessa ohjeita, miten he voivat suojautua seurauksilta.
Ilmoitusvelvollisuus
tietoturva-
loukkauksista
Lähde: Tietosuojatyöryhmä, Suuntaviivat
asetuksen (EU) 2016/679 mukaisesta
henkilötietojen tietoturvaloukkauksen
ilmoittamisesta, 2017,
https://tietosuoja.fi/documents/6927448/8316711/
Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46
-33b1-4b01-9a50-
9320d59bd605/Tietoturvaloukkauksen+ilmoittami
nen+fi.pdf
33. Esimerkkejä tietoturvaloukkauksista
Lähde: Tietosuojatyöryhmä, Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta, 2017,
https://tietosuoja.fi/documents/6927448/8316711/Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46-33b1-4b01-9a50-
9320d59bd605/Tietoturvaloukkauksen+ilmoittaminen+fi.pdf
Tapahtuma Ilmoitus
valvontaviranomaiselle?
Ilmoitus
rekisteröidyille?
Rekisterinpitäjä on tallentanut salatun
varmuuskopion henkilötietoja sisältävästä
arkistosta USB-muistitikulle. Muistitikku
varastetaan murron yhteydessä.
Ei Ei
Rekisterinpitäjä ylläpitää verkkopalvelua.
Palveluun tehdyn verkkohyökkäyksen
seurauksena henkilöiden henkilötietoja
varastetaan.
Kyllä, jos henkilöille
todennäköisesti
aiheutuu seurauksia.
Kyllä, jos henkilöille
todennäköisesti
aiheutuvien seurausten
vakavuus on suuri.
Henkilötietojen käsittelijänä toimiva pilvipalvelu
havaitsee virheen koodissa, jolla hallitaan
käyttövaltuuksia. Vian vaikutuksesta käyttäjät
voivat nähdä toistensa tietoja palvelussa.
Kyllä, kun
rekisterinpitäjät ovat
saaneet tiedon
henkilötietojen
käsittelijältä.
Ei, jos henkilöille ei
todennäköisesti aiheudu
korkeaa riskiä.
Suuren opiskelijamäärän henkilötiedot lähetetään
erehdyksessä väärälle postituslistalle, jolla on yli
tuhat vastaanottajaa.
Kyllä Kyllä, mahdollisten
seurausten vakavuudesta
riippuen.
35. Henkilötietoihin kohdistuvan riskin taso
Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit
Jos riski arvioidaan korkeaksi, on tehtävä tietosuojaa koskeva vaikutustenarviointi, jossa
tarkastellaan toimenpiteitä, joilla voidaan pienentää riskiä (35 artikla).
36. Hallinto ja
toimintakulttuuri
•Tietosuoja ja sen
läpinäkyvyys on
keskeinen osa
toimintaperiaatteita
•Tietoturvapolitiikka ja
sen käytännöt on
määritelty
•Seloste käsittelytoimista
ja informointi
rekisteröidyille tehty
•Rekisteröityjen
pyyntöihin on
varauduttu
Henkilöstön
toimintamallit
•Henkilöstön roolit ja
vastuut on määritelty
•Salassapitovelvollisuus
•Koulutukset ja uusien
työntekijöiden
perehdytys
•Työsuhteiden
päättymiselle on
toimintamalli
•Tietoturvaloukkausten
raportointiin on
toimintamalli
Henkilötietojen käyttö
ja hallinta
•Henkilötietojen
käsittelylle on selvät
ohjeistukset
•Suostumukset ja kiellot
huomioitu toiminnassa
•Tietosuoja on huomioitu
mm. netin, sähköpostin
ja somen käyttöohjeissa
•Rekisteröidyt voivat
hallita itse tietojaan
•Tietojen tuhoaminen
tehdään turvallisesti
Tilojen valvonta
•Tiloihin pääsy on
valvottua ja avaimista
pidetään kirjaa
•Ulkopuolisten pääsy
henkilöstön työpisteisiin
on estetty
•Mahdollisesta
kameravalvonnasta on
rekisteri ja siitä
ilmoitetaan
•Tarvittaessa tilojen
turvaluokitukset
Rekisteröityjen
tunnistaminen
•Rekisteröidyt
tunnistetaan, kun tietoja
kerätään
•Rekisteröidyt
tunnistetaan, kun he
käyttävät oikeuksiaan
•Asiointi tapahtuu
ennalta nimettyjen
henkilöiden kanssa
Käyttäjätunnukset ja
oikeudet
•Henkilökohtaiset
käyttäjätunnukset
•Roolien mukaiset
käyttöoikeudet ja niiden
tarkistaminen
työtehtävien
muuttuessa
•Salasanoille ja
vastaaville on
laatuvaatimukset
•Järjestelmien
oletussalasanat on
vaihdettu
Ulkopuoliset toimijat
•Ulkopuolisista
toimijoista pidetään
kirjaa
•Sopimus ja ohjeet
henkilötietojen
käsittelystä
•Ulkopuolisten
palveluntarjoajien
vastuut on määritelty
•Ulkopuoliset toimijat
tuntevat
rekisterinpitäjän
toimintamallit ja ohjeet
Laitteet ja
tallennusvälineet
•Tietokoneista ja
mobiililaitteista
pidetään kirjaa
•Tietoturva- ja muut
päivitykset kunnossa
•Virustorjunnasta ja
palomuureista on
huolehdittu
•Siirrettävien
tallennusvälineiden
(muistitikut, ym.) ja
henkilökohtaisten
laitteiden käytöstä on
tehty ohjeistus
Palvelimet ja
verkkoyhteydet
•Palvelintiloissa on
pääsynvalvonta
•Langattomien verkkojen
liikenne on salattu
•Erilliset vierasverkot
•Palvelimien
ohjelmistopäivitykset
kunnossa
•Palvelimien
varmuuskopiointi on
kunnossa
•Palvelinohjelmistojen
lokitiedot on suojattu
Pilvipalvelut
•Pilvipalvelujen käyttö
henkilötietojen
käsittelyssä on
ohjeistettu
•Informointi ja
suostumukset kunnossa
•Sopimuksissa on
määritelty palvelutaso ja
palveluntarjoajan
vastuut
•Palveluntarjoajat ovat
sitoutuneet
noudattamaan GDPR:n
vaatimuksia
Tekniset ja organisatoriset suojatoimet
38. • Suositus vähintään 8,
mielellään 15 merkkiä
• Ei ole yksittäinen sana. Lause
tai lorun pätkä ovat hyviä.
• Sisältää:
– Isoja ja pieniä kirjaimia
– Numeroita
– Erikoismerkkejä
• Ei ole arvattavissa
• Ei ole käytössä muualla
Hyvä salasana tai salalause
Lähde: Viestintävirasto, 2014, https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2014/12/ttn201412031257.html
40. Googlen kaksivaiheinen tunnistautuminen
1. Kirjaudu Google-tunnuksellasi
ja mene osoitteeseen:
https://myaccount.google.com/
2. Valitse ”Googleen kirjautuminen”
Kuvakaappaus ja lisätietoa:
https://www.google.com/landing/2step/
3. Ota käyttöön ”2-vaiheinen vahvistus”
41. Selaimen yksityinen tila
Firefox
Internet Explorer
Chrome
Yksityisessä tilassa nettiselain ei
tallenna laitteen muistiin:
• Sivuhistoriaa
• Lomaketietoja
• Evästeitä (engl. cookie)
• Www-sivustojen tiedostoja
välimuistiin
Verkkopalvelut ja verkkoyhteyden
tarjoaja näkevät toimintasi normaalisti.
42. Harmittomat Facebook-testit saavat yllättän paljon oikeuksia käyttäjätietoihisi ja voivat käyttää niitä haluamallaan tavalla.
Lisää aiheesta: https://harto.wordpress.com/2016/03/29/ala-anna-facebook-tietojasi-hupitestia-vastaan/
43. Vinkki: Rajoita Facebook-tietojesi käyttöä mainontaan.
Löydät nämä Facebookin ylävalikon kohdasta: ▼ Asetukset Mainokset
Lisää aiheesta: https://harto.wordpress.com/2018/03/21/nailla-facebook-asetuksilla-estat-tietojesi-kayton-muilta-yrityksilta/ ja
https://harto.wordpress.com/2019/01/22/katso-miten-facebook-on-profiloinut-sinut-ja-mitka-yritykset-ovat-vieneet-asiakastietojasi-facebookiin/
Lista kymmenistä yrityksistä, jotka
ovat tuoneet tietojasi Facebookiin
Katso, miten monella eri tavalla
Facebook on profiloinut sinut
46. Vihamieliset viestit lisääntyvät iltaisin
Lähde: tutkija Matti Pohjonen, VOXPOL, kuva julkaistu:
https://www.facebook.com/kaikkiensome/photos/a.1741875395906647/1746262318801288/?type=3&theater
49. 1. Pyydä lopettamaan:
”Lopeta, en halua kuunnella
tuollaista.”
2. Lähde sivustolta pois tai estä
häiriköijää näkemästä sinua.
3. Kerro luotettavalle aikuiselle.
Voitte ilmoittaa henkilöstä
sivuston ylläpidolle tai tehdä
asiasta rikosilmoituksen.
Keskustelu aikuisen kanssa
helpottaa oloasi ja saat apua.
Lähde: Mannerheimin Lastensuojeluliitto,
http://www.mll.fi/nuortennetti/mina_ja_media/seksuaalinen-
hairinta-netissa/
Jos et pidä siitä, mitä
sinulle netissä tehdään,
sano se suoraan.
50. Valeuutiset leviävät vahingossa
Lähde: Medialiitto, Valeuutistutkimus 2017, 14.11.2017, N=1000, yli 18-vuotiaat suomalaiset,
http://www.medialiitto.fi/files/4323/Valeuutistutkimus_14.11.2017.pdf
53. 1. Hyökkääjät etsivät haavoittuvia
verkkopalveluita, joita voidaan
käyttää esim. mainostamiseen tai
virusten ja haittaohjelmien
levittämiseen.
2. Saastunut palvelu etsii palvelun
käyttäjien käyttöjärjestelmän,
selaimen ja sen liitännäisten
tietoturva-aukkoja, joiden kautta
voidaan asentaa viruksia ja
haittaohjelma.
Saastuneet verkkopalvelut
Lähde: Viestintäviraston Kyberturvallisuuskeskuksen vuosiraportti 2015,
https://www.viestintavirasto.fi/attachments/tietoturva/Viestintaviraston_Kyberturvallisuuskeskuksen_vuosiraportti_2015.pdf
56. • Tee käyttöjärjestelmän ja sovellusten päivitykset viipymättä.
• Asenna sovelluksia vain virallisista sovelluskaupoista.
• Noudata omien laitteiden käytössä työnantajan ohjeistusta.
• IPhonet ja iPadit ovat Android-laitteita turvallisempia.
– App Storen sovellustarjontaa valvotaan tarkemmin kuin Google Playn.
– Androidille tehdään enemmän haittaohjelmia ja viruksia
• Tietoturvaohjelmia ei välttämättä vielä tarvita mobiililaitteille
– varovaisuus ja maalaisjärki riittävät pitkälle.
• Isoin tietoturvauhka on vanhoissa laitteissa, joihin ei tehdä
enää päivityksiä. Tällaisia laitteita ei kannattaisi kytkeä nettiin.
• Älä käytä suojaamattomia langattomia verkkoja (WLAN).
• Käytä VPN-nettiyhteyttä mobiililaitteissa, jos mahdollista.
Mobiililaitteiden tietoturva
57. Yango-taksipalvelussa
on epäselvyyksiä GDPR:n
näkökulmasta
• Käyttäjälle ei kerrota,
mihin kaikkia pyydettyjä
oikeuksia käytetään
• Sovellus ei pyydä
käyttöehtojen
hyväksyntää tai kysy
suostumusta
henkilötietojen käsittelylle
• Yandex katsoo
sopimuksen syntyvän
automaattisesti (nk.
hiljainen sopimus)
• Henkilötiedot siirtyvät
EU:n ulkopuolelle. Yandex
kertoo käyttävänsä EU-
komission
mallisopimuslausekkeita
• Yandexin
yksityisyyskäytäntö:
https://yandex.ru/legal/c
onfidential/?lang=en
58. 5 neuvoa mobiilisovellusten arviointiin
1. Asenna sovelluksia vain luotetuista sovelluskaupoista.
– Suhtaudu varauksella sovellusten asentamiseen muista kuin virallisista
Googlen ja Applen sovelluskaupoista.
2. Tarkista sovelluksen tekijä ja sovelluksen saama palaute.
– Sovelluskaupoissa voi olla myös tunnettujen sovellusten väärennöksiä.
– Jos sovellukselle ei tule päivityksiä, se voi sisältää haavoittuvuuksia, joita
hyökkääjät voivat hyväksikäyttää.
3. Arvioi sovelluksen pyytämät oikeudet verrattuna
sovelluksen käyttäjää palvelevaan toiminnallisuuteen.
– Hyväksy mahdollisimman vähän oikeuksia laitteen tietoihin.
– Tarkista sovellusten oikeudet aika ajoin.
4. Tutustu sovelluksen käyttöehtoihin.
– Mitä tietojen keräämisestä ja käsittelystä kerrotaan?
– Missä maassa tietoja käsitellään?
5. Työnantajalla voi olla tarkempia ohjeita työssä käytettävän
mobiililaitteiden käytöstä.
– Noudata työnantajan ohjeita, jos asennat sovelluksia työssä käytettäviin
laitteisiin.
Lähde: Viestintäviraston Kyberturvallisuuskeskus, 2018, https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2018/11/ttn201811141100.html