Tietoturva ja tietosuoja Office 365 -palveluissa

Harto Pönkä
Harto PönkäCEO at Innowise à Innowise
Tietoturva ja tietosuoja Office 365 -palveluissa 21.3.2023 Harto Pönkä Innowise Kuva: Marvin Meyer @Unsplash, 2018
Kuva: Matthew Henry @ Unsplash Tietoturvalla suojataan kaikenlaisia tietoja ja järjestelmiä ulkopuolisten urkinnalta ja muulta vahingonteolta. Tietosuojalla suojataan ihmisten oikeutta yksityisyyteen. Siitä on kyse, jos ihminen voidaan tunnistaa tiedoista.
GDPR = EU:n yleinen tietosuoja-asetus
Mihin EU:n yleistä tietosuoja-asetusta (GDPR) sovelletaan? 1) Osittain tai kokonaan autom. henkilötietojen käsittelyyn  Digitaaliset asiakirjat, valokuvat, videot ja muut tiedostot  Sähköpostit, tekstiviestit  Viestintäsovellukset  Verkkopalvelut, chatit  Sosiaalisen median palvelut  Digitaaliset arkistot  Tietojen siirto rajapintojen kautta 2) Kaikkiin henkilörekistereihin  Tietojärjestelmät/tietokannat  Yhteystietoluettelot  Henkilötietojen kokoelmat  Myös manuaaliset aineistot, henkilökortistot ja vastaavat, jotka muodostavat tai joiden on tarkoitus muodostaa rekisteri 4
Jussi Koskela 044-32132121 ABC-123 Suotie 1 192.168.13.73 Henkilötiedot = tunnistetiedot + muut henkilöön liittyvät tiedot Tunnistetiedot mahdollistavat henkilön tunnistamisen rekisterinpitäjän tai jonkun muun tahon toimesta – joko suoraan tai lisätietojen avulla. Milloin kyse on henkilötiedoista? Kaikki tiedot ovat henkilötietoja, jos ne koskevat tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä eli rekisteröityä.
Erityiset eli arkaluontoiset henkilötiedot Erityisten henkilötietoryhmien käsittely on kielletty ilman henkilön nimenomaista suostumusta tai laista tulevaa perustetta.  rotu tai etninen alkuperä  poliittiset mielipiteet  uskonnollinen tai filosofinen vakaumus  ammattiliiton jäsenyys  terveyttä koskevat tiedot  seksuaalinen suuntautuminen tai käyttäytyminen  geneettiset ja biometriset tunnistetiedot 6 Tämä viesti sisältää: • tunnistetietoja • lain mukaan salassa pidettäviä tietoja • terveystietoja Tämän tyyppisten henkilötietojen käsittelylle tulee olla selvät ohjeet ja määritellyt järjestelmät, joissa niitä saa säilyttää. WhatsApp tuskin kuuluu niihin.
Henkilötunnus Henkilötunnusta saa käsitellä:  Rekisteröidyn suostumuksella  Jos käsittelystä säädetään laissa  Laissa säädetyn tehtävän suorittamiseksi  Rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi, esim. työsuhteessa  Historiallista tai tieteellistä tutkimusta tai tilastointia varten Henkilötunnusta ei tule merkitä tarpeettomasti asiakirjoihin. Henkilötunnusta ei ole tarkoitettu henkilöllisyyden varmistamiseen. 7 Kuva: https://www.poliisi.fi/henkilokortti/suomen_henkilokorttien_ominaisuudet 010150-113X
GDPR:n tietosuojaperiaatteet 8  Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys  Käyttötarkoitussidonnaisuus  Henkilötietoja saa käyttää vain alkuperäisiin ja niiden kanssa yhteensopiviin tarkoituksiin  Myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua  Tietojen minimointi  Kerätään ja käsitellään vain tarkoitukseen olennaisia henkilötietoja  Tietojen täsmällisyys  Tietojen päivittäminen, tarkistaminen, virheiden korjaus  Tietojen säilytyksen rajoittaminen  Tietoja säilytetään vain tarvittavan ajan  Tietojen eheys ja luottamuksellisuus  Suojaustoimenpiteet, käytön valvonta, varmuuskopiointi  Rekisterinpitäjän osoitusvelvollisuus Lisätietoa: Tietosuoja-asetuksen 5 artikla, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1
Esimerkkejä käsiteltävistä henkilötiedoista 9 Tieto Henkilötiedon tyyppi Tyypillisiä riskejä Nimi Tavanomainen Nimen paljastuminen (vähäinen) Osoite ja kotikunta Tavanomainen tai salainen Salaisen osoitteen paljastuminen, suoramarkkinointi Puhelinnumero Tavanomainen tai salainen Salaisen numeron paljastuminen, huijausviestit Sähköpostiosoite Tavanomainen Käyttö spämmäykseen, tietojenkalasteluun ja murtautumisyrityksiin Henkilötunnus Tietosuojalaissa erikseen säädelty Käyttö esimerkiksi pikavippien ottoon ja verkkokaupoissa tilauksiin toisen henkilön nimissä Muu yksilöivä tunniste, esim. opiskelijanumero tai OID Tavanomainen Voidaan käyttää vahingontekoon tai urkintaan, jos paljastuu yhdessä nimen kanssa Terveydelliset tiedot, etninen tausta, vakaumus, ammattiliiton jäsenyys Erityinen henkilötieto Käyttö syrjintään ja häirintään, yksityiselämän loukkaus Taloudellinen asema, henkilökohtaiset olot, sanalliset arviot henkilön ominaisuuksista, psykologiset testit Lain mukaan salassa pidettävä tieto Käyttö syrjintään ja häirintään, yksityiselämän loukkaus
Rekisteri 10 Rekisteri muodostuu henkilötietojen joukosta, jotka liittyvät tiettyyn käyttötarkoitukseen.
Henkilötietojen käyttäjät ▪ ”Rekisterinpitäjä” on taho, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Jos monta tahoa tekee yhdessä kyseisen päätöksen, he ovat ”yhteisrekisterinpitäjiä”. ▪ ”Henkilötietojen käsittelijä” on luonnollinen henkilö tai oikeushenkilö, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Perusteena tulee olla sopimus henkilötietojen käsittelystä. ▪ ”Kolmas osapuoli” on muu luonnollinen henkilö tai oikeushenkilö, joilla on oikeus käsitellä henkilötietoja suoraan rekisterinpitäjän tai henkilötietojen käsittelijän välittömän vastuun alaisena. ▪ ”Vastaanottaja” on luonnollinen henkilö tai oikeushenkilö, jolle henkilötietoja luovutetaan. 11
Rekisterinpitäjä päättää, mitä tietoja käsitellään ja miten 12 Tarkoitukset ja keinot Rekisteriin kerätyt henkilötiedot Rekisterinpitäjä(t) Rekisterinpitäjä määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Rekisterinpitäjän tulee kerätä ja käsitellä vain tarkoituksenmukaisia henkilötietoja (määrä, laatu, säilytysaika, saatavilla olo). Käsittelyn tarkoitukset ja keinot (henkilötiedot) tulee ilmetä rekisteröityjen informoinnista. Rekisteröidylle ei saa tulla sen jälkeen ”yllätyksiä”, mitä tietoja ja miten hänestä käsitellään. Oikeus- peruste
REKIST. OIKEUDET OIKEUSPERUSTEEN MUKAAN Suostumus Sopimus Lakisääteiset velvoitteet Yleinen etu tai julkinen tehtävä Rekisterinpitäjän oikeutettu etu Elintärkeiden etujen suojaaminen Oikeus saada tietoa henkilötietojen käsittelystä Kyllä Kyllä Kyllä, ellei kyse ole laissa olevasta poikkeuksesta Kyllä, ellei kyse ole laissa olevasta poikkeuksesta Kyllä Kyllä Oikeus saada pääsy tietoihin Kyllä Kyllä Kyllä Kyllä Kyllä Kyllä Oikeus oikaista tietoja Kyllä Kyllä Kyllä Kyllä Kyllä Kyllä Oikeus poistaa tiedot Kyllä, perumalla suostumuksen Kyllä, jos tietoja ei enää tarvita sop. Ei Ei Kyllä Kyllä Oikeus rajoittaa tietojen käsittelyä Kyllä Kyllä Ei Kyllä Kyllä Kyllä Oikeus vastustaa tietojen käsittelyä Ei Ei Ei Kyllä Kyllä Ei Oikeus siirtää tiedot järjestelmästä toiseen Kyllä Kyllä Ei Ei Ei Ei Oikeus olla joutumatta autom. päätöksenteon kohteeksi ilman laillista perustetta Kyllä, mutta rekisteröity voi antaa suostumuksen automaattiseen päätöksentekoon Kyllä, paitsi jos autom. päät. on välttämätöntä sopimuksen tekoon tai täyttämiseen Kyllä, ellei kyse ole laissa olevasta poikkeuksesta Kyllä GDPR ei salli tällä perusteella automaattista päät.tekoa, jolla on merkittäviä vaikutuksia GDPR ei salli tällä perusteella automaattista päät.tekoa, jolla on merkittäviä vaikutuksia Lähteet: GDPR, Tietosuja.fi: Mitä oikeuksia rekisteröidyillä on eri tilanteissa?, 25.5.2020, https://tietosuoja.fi/rekisteroidyn-oikeudet-eri-tilanteissa, Tietosuojatyöryhmä, 2017, https://tietosuoja.fi/documents/6927448/8316711/Automaattinen+p%C3%A4%C3%A4t%C3%B6ksenteko/28ae24f4-3345-4fb2-8708-c84abd8f57b0/Automaattinen+p%C3%A4%C3%A4t%C3%B6ksenteko.pdf
Rekisteröityjen informointi / tietosuojaseloste 14  Tunne työhösi liittyvien rekisterien käyttötarkoitukset ja noudata niitä  Älä käytä tietoja muihin kuin rekisteröidyille kerrottuihin tarkoituksiin.  Valmistaudu kertomaan rekisteröidyille, mihin tarkoitukseen ja mitä tietoja heistä käsitellään.  Älä tallenna eri tietojärjestelmiin ja verkkopalveluihin muita tietoja kuin mitä niihin on sallittua tallentaa.  Esimerkkinä Keravan kaupungin lukion asiakasrekisterin Office 365:ttä koskevat kohdat Lähde: Keravan kaupungin lukion asiakasrekisterin tietosuojaseloste, https://kerava.production.geniem.io/uploads/sites/2/2022/12/keravan_kaupungin_lukion_asiakasrekisteri.pdf (20.3.2023)
“ ”Tietosuojasta huolehditaan, jotta jokainen tietäisi, mitä tietoja hänestä kerätään ja miten niitä voidaan käyttää.” 15
Henkilötietojen käsittely työssä 16
Ohjeita henkilötietojen käsittelyyn 17 ▪ Tietoja käytetään vain oikeisiin tarkoituksiin. ▪ Työntekijä saa käsitellä vain hänen työtehtäviinsä liittyviä henkilötietoja. ▪ Työn suorittamista varten tehdyt kopiot ja tulosteet henkilötiedoista hävitetään, kun niitä ei enää tarvita. ▪ Henkilötietoja tallennetaan vain niille sallittuihin tallennuspaikkoihin ja järjestelmiin. ▪ Henkilötietoja ei näytetä tai kerrota sivullisille. ▪ Henkilötietoja ei julkaista tai luovuteta ilman suostumusta tai laista tulevaa perustetta. ▪ Tietojen säilytyksessä noudatetaan fyysistä tietoturvaa: valvotaan tiloja ja laitteita. ▪ Tietojärjestelmissä käytetään henkilökohtaisia tunnuksia ja huolehditaan käyttöoikeuksista.
Tietosuojalaki 35 §: vaitiolovelvollisuus 18  Tietosuojalain vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa saadaan tietää henkilöiden ominaisuuksista, henkilökohtaisista oloista ja taloudellisesta asemasta.  Työnantajan vastuulla on määritellä, mitä henkilötietojen käsittelyä eri työtehtäviin kuuluu, sekä huolehtia tietojen turvallisesta säilytyksestä.  Jos rekisterinpitäjä käyttää ulkopuolisia palveluntarjoajia, sen tulee varmistua näiden vaitiolovelvollisuudesta henkilötietojen käsittelyn sopimuksella. Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050 Joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista, taloudellisesta asemasta taikka toisen liikesalaisuudesta, ei saa oikeudettomasti ilmaista sivulliselle näin saamiaan tietoja eikä käyttää niitä omaksi tai toisen hyödyksi tai toisen vahingoksi
Henkilötietojen luovuttaminen ja julkaisu 19  Henkilötietoja voi luovuttaa ulkopuolisille taholle tai julkaista vain rekisteröidyn suostumuksella tai jos siitä on nimenomaisesti laissa säädetty.  Esimerkkejä julkaisusta:  Tiedot nettisivulla tai netissä saatavana olevassa tiedostossa (esim. jakolinkki).  Sähköpostin lähetys useille rekisteröidyille niin, että he näkevät viestin tiedoista toistensa sähköpostiosoitteet.  Suostumus on käytännössä esimerkiksi:  Lupalomakkeen tms. hyväksyntä, jossa on mainittu, että tietoja tullaan julkaisemaan  Suostumus tietojen julkaisulle tietojenkeruun lomakkeessa  Julkaisuluvat esimerkiksi kuviin ja videoihin  Suostumukset merkitään rekisteriin.  Rekisteröity voi milloin tahansa perua antamansa suostumuksen. Suostumuksen perumisesta tulee ilmoittaa myös tietojen luovutusten vastaanottajille.
Viranomaisen henkilötietorekisterin tietojen anto  Ei koske salassa pidettäviä tietoja.  Vaikka rekisterissä olevat tiedot olisivat lain mukaan julkisia, niitä ei voi antaa kenelle tahansa.  Rekisterinpitäjän on arvioitava riskit, jos tietoja julkaistaan.  Ei tietojen massajulkaisua esimerkiksi nimi ja HETU.  Viranomaisen rekisterissä olevia henkilötietoja saa antaa, jos:  1) Kyse ei ole salassa pidettävistä tiedoista tai jokin muu laki ei estä luovutusta  2) Saajalla on oikeus käyttää kyseisiä tietoja (esim. yksityishenkilö)  Henkilötunnusta ei tule tällöinkään merkitä tarpeettomasti. Lähde: Laki viranomaisten toiminnan julkisuudesta, https://www.finlex.fi/fi/laki/ajantasa/1999/19990621 20
Office 365 –käyttäjätunnuksen pitäminen suojassa
Sisäänkirjautuminen Office 365:een  Tarkista netissä aina, että kirjautumisosoite on oikea. Microsoftin kirjautumislomakkeen osoite on yleensä tässä muodossa: https://login.microsoftonline.com/common/oauth2/...  Officen työpöytäsovelluksissa voit tarkistaa kirjautumisen kohdasta: Tiedosto  Tili. Lisätietoa: https://support.microsoft.com/fi-fi/office/sis%C3%A4%C3%A4nkirjautuminen-officeen-b9582171-fd1f-4284-9846-bdd72bb28426 ja https://support.microsoft.com/fi- fi/office/sis%C3%A4%C3%A4nkirjautuminen-microsoft-365-ss%C3%A4-1d646e83-1585-4278-8daf-d4a2cc0905e0 22
Office 365:n kirjautumisen muistaminen laitteella  Verkkosovelluksiin kirjautumista ei ole yleensä suositeltavaa tallentaa.  Poikkeus: laite, joka ei ole kenenkään muun käyttäjän käytössä  suojaa laite vahvalla salasanalla! 23
Tunnuksen ja salasanan tallennus selaimeen?  Selain saattaa kysyä, tallennetaanko salasana, kun kirjaudut johonkin verkkopalveluun.  Tunnuksia ja salasanoja ei ole suositeltavaa tallentaa selaimeen. 24
Vahva salasana  Älä luota pelkkään salasanaan - käytä kaksivaiheista todennusta aina, kun se on mahdollista!  Mieluummin salalause kuin salasana  Mitä pitempi, sen vahvempi (yli 8 merkkiä)  Kirjaimia, numeroita ja erikoismerkkejä  Ei ole nimi, sana, päivämäärä tai muuten arvattavissa  Ei ole käytössä muualla  Vaihda salasana, jos se on vuotanut 25
Kaksivaiheinen varmistus / monivaiheinen todentaminen (MFA)  Kaksivaiheisen tunnistamisen idea on, että käyttäjä vahvistaa kirjautumisen jollain, mitä hänellä on – kuten tekstiviestinä saapuvalla kertakäyttökoodilla tai autentikointisovelluksella.  Hyöty: hyökkääjä ei pysty kirjautumaan tunnuksella, vaikka hän olisi saanut tai keksinyt sen salasanan.  Mahdollistaa myös salasanattoman kirjautumisen.  Kaksivaiheinen tunnistus estää Microsoftin mukaan 99,9 % tunnuksiin kohdistuvista hyökkäyksistä.  Office 365:n organisaation järjestelmänvalvoja voi asettaa kaksivaiheisen pakolliseksi kaikille. *  Käyttäjille tehty Microsoftin ohje kaksivaiheisen tunnistuksen käyttöönotolle: https://support.microsoft.com/fi-fi/account- billing/kaksivaiheisen-tarkistamisen- k%C3%A4ytt%C3%A4minen-microsoft-tiliss%C3%A4- c7910146-672f-01e9-50a0-93b4585e7eb4 *) Ohje järjestelmänvalvojille, Security defaults in Azure AD: https://learn.microsoft.com/fi-fi/azure/active-directory/fundamentals/concept-fundamentals-security-defaults 26
Microsoft Authenticator -autentikointisovellus  Microsoft Authenticator sopii hyvin Office 365:n kaksivaiheiseen varmistukseen.  Kaksi kirjautumisen varmistustapaa: 1) Vaihtuva kertakäyttökoodi 2) Hyväksy kirjautuminen –kysymys  Toimii muidenkin verkkopalvelujen kaksivaiheisen varmistuksen kanssa.  Huom. Ota palvelukohtainen palautuskoodi talteen, kun kytket varmistuksen päälle.  Android-versio Google Playssä: https://play.google.com/store/apps/detail s?id=com.azure.authenticator  iOS-versio AppStoressa: https://apps.apple.com/us/app/microsoft -authenticator/id983156458 Kuvakaappaukset: Microsoft Authenticatorin Google Play –kauppasivu (20.3.2023) Lisätietoa: https://support.microsoft.com/fi-fi/account-billing/microsoft-authenticator-sovelluksen-lataaminen-ja-asentaminen-351498fc-850a-45da-b7b6-27e523b8702a 27
28 Laita kone kiinni aina, kun poistut paikalta!
Henkilötiedot Office 365:ssä 29
Organisaatioiden sisäisesti käyttämät viestintäsovellukset Lähde: North Patrol, Digitaaliset työympäristöt 2022 -selvitys, https://intranet-ostajanopas.fi/2022/08/22/suomalaisten-organisaatioiden-digityon-valineet-2022/ (N=64 vastaajaorganisaatiota) 30
 Todennäköisesti moni julkinen organisaatio päätyy samaan ratkaisuun kuin Kela Lähde: Kela, 27.4.2021, https://www.kela.fi/ajankohtaista-yhteistyokumppanit/- /asset_publisher/WQHcJ3JiaK7b/content/kela-ei-kasittele-salassa-pidettavia-tietoja-julkisissa-pilvipalveluissa (uutinen on sittemmin poistettu netistä) 31
Tietojen tallennus Office 365:n pilvipalveluun (ohjeellinen) 32 Huom. taulukko on esimerkinomainen, tarkista aina rekisterinpitäjän tekemät linjaukset! Outlook OneDrive ja Office- verkkosovellukset Teams-tiimit/ryhmät SharePoint-sivustot Käyttötarkoitus Henkilökohtainen kalenteri- ja sähköpostipalvelu Henkilökohtainen tallennustila Jaetut kansiot ja tiedostot Sisäinen yhteistyö Yhteistyö ulkopuolisten kanssa esim. hankkeissa ja projekteissa Sisäiset sivustot (intranet) Yhteistyö ulkopuolisten kanssa (extranet) Julkiset tiedot ja asiakirjat Ok Ok Ok Ok Ei-julkiset tiedot ja asiakirjat Ok Ok Ok / ei vieraskäyttäjille Ok / ei vieraskäyttäjille Viranomaisen lain mukaan salassa pidettävät tiedot ja asiakirjat Vain väliaikaisesti Vain väliaikaisesti Vain väliaikaisesti / ei vieraskäyttäjille Vain väliaikaisesti / ei vieraskäyttäjille Tavanomaiset henkilötiedot Ok Ok / ei vieraskäyttäjille Ok / ei vieraskäyttäjille Ok / ei vieraskäyttäjille Erityiset henkilötiedot Vain väliaikaisesti Ei Ei Ei Tietojen arkistointi Ei Ei Ei Ei
Tietosuoja viestinnässä 33 ▪ Normaalissa sähköpostissa: ▪ Tavalliset henkilötiedot (nimi, osoite jne.) ▪ Edellytys: henkilökohtaiset postilaatikot ja tietoturva kunnossa. ▪ Suojatussa sähköpostissa, turvapostissa tai muussa turvallisessa viestintäkanavassa: ▪ Arkaluontoiset/erityiset henkilötiedot ▪ Salassa pidettävät tiedot ja asiakirjat ▪ Huijauksia on tavallista enemmän liikenteessä.  Ohjeet, miten varmistaa viestien aitous?
Outlookin sähköpostin salaa-toiminto  Voit salata Outlookissa sähköpostin valitsemalla viestin lähetyksessä Asetukset  Salaa  Salaa  Kyse ei ole vahvasta suojauksesta, vaan turvallisuus riippuu vastaanottajasta. Jos vastaanottaja käyttää Outlookia tai Gmailia, näin salatun sähköpostin turvallisuus on kuitenkin hyvä. Lisätietoa: https://support.microsoft.com/fi-fi/office/lis%C3%A4tietoja-suojatuista-viesteist%C3%A4-microsoft-365-2baf3ac7-12db-40a4-8af7-1852204b4b67 34
Varmista aina vastaanottajat! ”Kaupungin mukaan kyse oli inhimillisestä virheestä. Se johtui Microsoftin sähköpostipalvelu Outlookin ominaisuudesta, joka esittää automaattisesti vastaanottajaa. Henkilö, jolle sähköposti meni, oli oikean vastaanottajan täyskaima. -- Aineisto sisälsi 1 143 henkilöstä tietoina nimen, henkilötunnuksen ja henkilönumeron. ” Lähde: Yle, 17.3.2023, https://yle.fi/a/74-20022944 35
Tietosuoja etäkokouksissa ja muissa yhteistyösovelluksissa 36  Käytä vain organisaation sallimia sovelluksia.  Toimita kutsu henkilökohtaisesti osallistujille.  Informoi osallistujia henkilötietojen käsittelystä.  Varmista huoneessa olijoiden henkilöllisyys.  Käsiteltävät henkilötiedot ja asiat riippuvat osallistujien työtehtävistä.  Varmista esittäjien osaaminen etukäteen.  Kerro etukäteen, jos kokous tallennetaan, ja näkyvätkö tallenteessa osallistujien nimet ja chat.  Kotoa osallistuvat: ei sivullisia kuulolla, videon ja mikrofonin käyttö kotirauhan alueella perustuu vapaaehtoisuuteen.  Lopuksi: päätä kokous, tyhjennä tai sulje huone.  Suojaa tallenne ja huolehdi sen tietosuojasta.
Ohjeita Teams-kokouksen esittäjälle 37 ▪ Valitse rauhallinen paikka: ei sivullisia kuulolle. ▪ Jos mahdollista, käytä toista näyttöä ruudunjakoon. ▪ Sulje kaikki muut ohjelmat kuin ne, mitä aiot näyttää ruudunjaossa. Erityisesti ohjelmat, joissa on henkilötietoja (mm. sähköpostit). ▪ Valmistele sovellukset ja tiedostot, joita aiot käyttää ruudunjaossa. ▪ Windowsissa voit luoda uuden työpöydän, johon avaat valmiiksi ruudunjaossa käytettävät sovellukset. (Win+Tab) ▪ Jos käytät samalla laitteella muita viestintäsovelluksia, laita niiden ilmoitukset pois päältä esim. asettamalla tilaksi ”varattu”.
Pilvipalvelut tiedostojen säilytyksessä ja jakamisessa  Tarkista rekisterinpitäjän ohjeistus:  1) mitä pilvipalveluita saa käyttää  2) mitä tietoja pilveen on sallittua tallentaa  3) saako tiedot synkronoida omille laitteille  Huolehdi työtehtävien mukaisista käyttöoikeuksista/jakamisesta.  Älä jaa henkilötietoja sisältäviä tiedostoja ulkopuolisille ilman suostumusta tai muuta perustetta. Kuvan lähde: GoodFirms , 2020, Usage & Trends of Personal Cloud Storage, https://www.goodfirms.co/resources/personal-cloud-storage-trends (N=648, vastaajat useista maista) 38
Office-tiedostojen jakaminen valituille käyttäjille ja ryhmille  Mieti ennen jakamista, kenelle saat jakaa tiedoston sisältämiä henkilötietoja!  Jaa: jako tietyille henkilöille, ryhmille ja/tai sähköpostiosoitteille (ulkoinen)  Oletuksena kutsumasi käyttäjät voivat muokata tiedostoa. Voit muuttaa asetusta klikkaamalla. 39
Office-tiedostojen jakaminen linkillä kenelle tahansa  Mieti ennen jakamista, kenelle saat jakaa tiedoston sisältämiä henkilötietoja!  Kopioi linkki: jako kenelle tahansa, jolle lähetät linkin.  Linkkiä voidaan jakaa eteenpäin, jolloin kuka tahansa linkin saanut voi käyttää sitä.  Älä jaa mitään henkilötietoja sisältäviä tietoja tällä tavalla!  Oletuksena linkin saaneet voivat muokata tiedostoa. Voit muuttaa asetusta klikkaamalla. 40
Officen jakamisasetukset: jakolinkin luominen tietyillä oikeuksilla  Kaikkien kanssa: kuka tahansa linkin saanut, myös organisaation ulkopuoliset  Yrityksen … henkilöt: edellyttää kirjautumista organisaation käyttäjätunnuksella  Käyttäjät, joilla on jo käyttöoikeus: linkin lähetys uudestaan niille, joilla on jo käyttöoikeus  Valitsemasi henkilöt: valitut käyttäjät, ryhmät ja sähköpostiosoitteet  Voi muokata / Voi tarkastella: valinnan mukaan muokkausoikeus tai pelkkä lukuoikeus  DD.MM.YYYY: mihin päivään asti jako on voimassa  Määritä salasana: voit antaa salasanan, jota ilman dokumentti ei aukea linkistä  Estä lataaminen: voit estää tiedoston lataamisen (ei estä tietojen kopiointia ruudulta)  Vinkki: testaa jakolinkin toiminta itse esim. toisessa selaimessa ennen kuin lähetät sen muille. Lisätietoa: https://support.microsoft.com/fi-fi/office/tiedostojen-kansioiden-ja-luettelokohteiden-jakaminen-74cab0bf-39c6-4112-a63f-88ee121722d0 41
Mistä tietää, mitkä dokumentit ja tiedostot on jaettu muille?  Kun olet avannut dokumentin, Jaa-nappi yläreunassa ilmaisee, onko se jaettu vai ei.  Officen aloitussivulta löydät jaetut tiedostot Jaettu-napista.  OneDrivessä löydät jaetut tiedostot vasemman valikon Jaettu-kohdasta. Lisätietoa: https://support.microsoft.com/fi-fi/office/tiedostojen-kansioiden-ja-luettelokohteiden-jakaminen-74cab0bf-39c6-4112-a63f-88ee121722d0 42 Ei ole jaettu On jaettu
Kokonaisen OneDrive-kansion jakaminen  Aluksi: luo kansio OneDrivessä ja siirrä kaikki jaettavat tiedostot sinne  Jaa: jako tietyille henkilöille, ryhmille ja/tai sähköpostiosoitteille (ulkoinen)  Kopioi linkki: jako kenelle tahansa, jolle lähetät linkin.  Jos lisäät kansioon uusia tiedostoja, myös ne aukeavat aiemmin tehdyn jakolinkin kautta.  Älä jaa kansion kautta henkilötietoja ulkopuolisille tai niille, joiden tehtäviin ne eivät kuulu! Lisätietoa: https://support.microsoft.com/fi-fi/office/tiedostojen-kansioiden-ja-luettelokohteiden-jakaminen-74cab0bf-39c6-4112-a63f-88ee121722d0 43
Harkitse ennen kuin jaat! 44 MITÄ? MITEN? RISKIT? Yksi dokumentti/tiedosto Jako yhdelle oman organisaation käyttäjälle Turvallisin vaihtoehto Yksi dokumentti/tiedosto Jako usealle oman organisaation käyttäjälle Lähes yhtä turvallinen vaihtoehto Yksi dokumentti/tiedosto Jako oman organisaation ryhmälle Turvallinen, jos ryhmä on tehty juuri kyseisten tietojen jakamiseen. Yksi dokumentti/tiedosto Jako ulkopuolisille linkillä Ei ole turvallinen henkilötietojen ja salassa pidettävien tietojen jakamiseen. Jaa linkillä vain julkisia tietoja. Kokonainen OneDrive- kansio Jako oman organisaation käyttäjille Turvallinen, jos kansio on tehty juuri kyseisten tietojen jakamiseen. Kokonainen OneDrive- kansio Jako oman organisaation ryhmälle Altis liian laajalle jakamiselle eli tietojen päätymiselle työntekijöille, joille ne eivät kuulu. Kokonainen OneDrive- kansio Jako ulkopuolisille linkillä Kaikkein turvattomin: altis tietojen vuodolle ulkopuolisille
Excelin salasanasuojaus ”Opettaja oli vienyt tiedot oppimisalustalle Excel-tiedostona siten, että henkilöiden nimet sisältävä sarake oli piilotettu salasanan taakse. Itä-Suomen yliopiston oikeustieteiden laitoksen johtaja Matti Turtiasen mukaan salasanasuojauksen toimivuus oli tarkistettu erikseen Excelissä. – Opettajalle tuli kuitenkin yllätyksenä, että salasanasuojaus ei toimi, jos tiedosto avataan Google-sovellusten avulla.” Lähde: Yle, 19.4.2021, https://yle.fi/a/3-11884988 45
Älä luota Excelin salasanasuojaukseen!  Vasemmalla: Excelissä on piilotettu sarakkeet B, C ja D sekä kytketty salasanasuojaus päälle  Oikealla: Kun tiedoston tuo Google Driveen, sarakkeet saa näkyville (salasanaa ei tarvita) 46
Kysymys: henkilötietojen kerääminen pilvipalveluihin 47  Pilvipalvelujen tarjoajat ovat henkilötietojen käsittelijöitä. Vastuu niiden käytöstä on rekisterinpitäjällä.  Käytä henkilötietojen tallentamiseen ja keräämiseen vain rekisterinpitäjän hyväksymiä pilvipalveluita. Noudata rekisterinpitäjän ohjeistusta, mitä tietoja saa tallentaa pilveen.  Pilvipalveluissa on pidettävä huolta, että käyttäjätunnukset ovat henkilökohtaisia ja pääsyoikeudet henkilötietoihin on määritelty työtehtävien mukaisesti.  Jos Office 365:n Forms-lomakkeella tai tiedostopyynnöllä kerätään henkilötietoja, tietosuojaseloste tulee toimittaa etukäteen rekisteröidyille tai linkittää lomakkeelle, jotta rekisteröidyt voivat tutustua siihen. • Saako henkilötietorekisteriä kerätä pilvipalveluun, esimerkiksi organisaation 0ffice 365:een? • Voiko Office.com:in lomakkeita käyttää henkilötietojen keräämiseen?
Tietojen kerääminen Forms-lomakkeella  Laita tietosuojaselosteen linkki lomakkeen alun tekstiin.  Lähetä lomakkeen linkki suoraan vastaanottajille.  Jos et todella tarvitse vastaajien nimiä, poista ”Tallenna nimi” –kohdan ruksi. 48
Tiedostojen pyytäminen OneDrive-kansioon  Tiedostopyyntö on turvallinen keino vastaanottaa tiedostoja.  Aluksi: Luo OneDrive-kansio  valitse se  ”Pyydä tiedostoja”  Kopioi linkki tai lähetä tiedostopyyntö tietyille käyttäjille, ryhmille ja/tai sähköpostiosoitteille.  Pidä vastaanotetut tiedostot tallessa, älä jaa niitä ulkopuolisille!  Vinkki: lähettämäsi tiedostopyynnöt ja sinulle lähetetyt tiedostot tallentuvat myös Outlookiin sähköposteina. Lisätietoa: https://support.microsoft.com/fi-fi/office/tiedostopyynn%C3%B6n-luominen-f54aa7f8-2589-4421-b351-d415fc3b83af 49
Tiedostopyyntö vastaanottajan näkökulmasta  Vinkki: kokeile lähettää tiedostopyyntö ensin itsellesi, niin näet, miten se toimii.  Ohjeista tarvittaessa vastaanottajaa, miten tunnistaa sinulta tuleva tiedostopyyntö. 50
Office 365:n ryhmät ja vieraskäyttäjät
Miten ryhmiä kannattaa luoda?  Koska Office 365 -ryhmiä kannattaa niitä luoda sen mukaan, miten organisaatiossa yleensä käytetään Office 365:ttä. 1. Jos organisaatiosi käyttää suurimman osan viestinnästään sähköpostitse, opasta käyttäjiä luomaan ryhmiä Outlookissa. 2. Jos organisaatiosi käyttää paljon SharePointia, opasta käyttäjiä luomaan SharePoint- työryhmäsivustoja yhteistyötä varten. 3. Jos organisaatiosi on ottanut Teamsin käyttöön, opasta käyttäjiäsi luomaan tiimi, kun he tarvitsevat yhteistyötilaa. Lähde: https://learn.microsoft.com/fi-fi/microsoft-365/admin/create-groups/explain-groups-knowledge-worker?view=o365-worldwide https://support.microsoft.com/fi-fi/office/lis%C3%A4tietoja-microsoft-365-ryhmist%C3%A4-b565caa1-5c40-40ef-9915-60fdb2d97fa2 52
Office 365 -ryhmien tietosuoja  Ryhmät luodaan Office 365 admin centerissä (järjestelmänvalvoja ja muut, joille on annettu oikeudet luoda ryhmiä)  Julkinen: käyttäjät voivat liittyä ilman omistajan hyväksyntää. Näytetään hakutuloksissa ja käytettävissä olevien tiimien luettelossa, johon voit liittyä.  Yksityinen: käyttäjät voivat liittyä vain, jos omistaja on lisännyt heidät. Ne eivät näy hakutuloksissa tai liityttävissä olevien tiimien luettelossa. 53
Office 365 –ryhmien käyttäjien roolit  Järjestelmänvalvojat: Voivat luoda uusia ryhmiä ja muuttaa ryhmien asetuksia.  Omistajat: Ryhmän omistajat voivat lisätä tai poistaa jäseniä, ja heillä voi olla yksilöllisiä käyttöoikeuksia, kuten mahdollisuus poistaa keskusteluja jaetusta Saapuneet-kansiosta tai muuttaa ryhmän eri asetuksia. Ryhmän omistajat voivat nimetä ryhmän uudelleen, päivittää kuvauksen tai kuvan ja paljon muuta.  Jäsenet: Jäsenet voivat käyttää kaikkea ryhmän osaa, mutta eivät voi muuttaa ryhmän asetuksia. Ryhmän jäsenet voivat oletusarvoisesti kutsua vieraita liittymään ryhmään.  Vieraat eli vieraskäyttäjät: Ryhmän vieraat ovat jäseniä, jotka ovat organisaatiosi ulkopuolisia käyttäjiä. Lähde: https://learn.microsoft.com/fi-FI/microsoft-365/admin/create-groups/office-365-groups?view=o365-worldwide 54
Ryhmien vieraskäyttäjät  Oletuksena Microsoft 365 -ryhmien vieraskäyttö on sallittuna.  Järjestelmänvalvojat voivat määrittää, sallitaanko vieraskäyttö ryhmille koko organisaatiolle vai yksittäisille ryhmille.  Järjestelmänvalvoja voi muuttaa asetusta kohdasta Organisaatio  Suojaus ja tietosuoja  Jakaminen  ”Salli käyttäjien lisätä uusia vieraita organisaatioon”  Kun vieraskäyttö on sallittu, ryhmän jäsenet voivat kutsua vieraita Microsoft 365 -ryhmiin mm. Teamsin kautta.  Jos joku muu kuin omistaja lisää vieraskäyttäjiä ryhmiin, kutsut lähetetään ryhmän omistajalle hyväksyttäväksi. Lisätietoa: https://learn.microsoft.com/fi-fi/microsoft-365/admin/create-groups/manage-guest-access-in-groups?view=o365-worldwide 55
Teams-ryhmät eli tiimit  Suunnittele etukäteen, millaisia tiimejä luot Teamsiin  Yleensä General-kanava riittää  Luo lisäkanavia, kun tarvitset niitä esimerkiksi tiedon järjestämistä varten tai pienryhmien työskentelyyn  Huomaa, että tiimin tiedostot ovat käytettävissä myös SharePoint- sivustolla sekä OneDrivessä 56 Alustat Kanavat Teams- ryhmät Ryhmä 1 General Viestit Kokoukset Tiedostot SharePoint- sivusto Muut sovellukset Kanava 1 Viestit Tiedostot SharePoint- sivusto
Kanavien lisääminen Teamsin tiimeihin  Valitse kanavan yksityisyys tarkoituksen mukaan: suunnittele, mitä henkilö- ja muita tietoja kanavassa on tarkoitus käsitellä. 57
Jäsenten lisääminen Teamsin tiimeihin  Voit lisätä Teamsiin uusia jäseniä kirjoittamalla mm. kutsuttavien nimet tai ulkopuolisten sähköpostiosoitteet (=vieraskäyttäjiä).  Varmista aina ensin, ettei tiimiin ole tallennettu tietoja, jotka eivät kuulu uusille jäsenille. 58
Kysymys: Teamsin käyttö hankkeissa 59  Rekisterinpitäjän tulee suunnitella henkilötietojen käsittely etukäteen. Tähän sisältyy mm. riskiarviointi, suojatoimenpiteet ja informointivelvollisuudesta huolehtiminen.  Selvitä, muodostaako Teamsiin luotava tiimi uuden rekisterin vai sisältyykö se johonkin olemassa olevaan rekisteriin. Kysy tarvittaessa apua organisaation tietosuojavastaavalta.  Teamsin sisäiset tiimit liittyvät organisaation henkilöstörekisteriin.  Teamsin tiimit, joihin kutsutaan organisaation ulkopuolisia, ovat esimerkiksi:  Asiakasrekistereitä  Yhteistyökumppaneiden rekistereitä  Hankkeiden osallistujien rekistereitä  Oikeusperusteena voi olla rekisterinpitäjän oikeutettu etu, sopimus tai suostumus.  Linkitä tietosuojaseloste Teamsiin ja/tai lähetä se etukäteen Teamsiin liittyville. • Pitäisikö Teamsiin liittymisen yhteydessä pyytää suostumus, että henkilön nimi ja yhteystiedot voidaan jakaa muiden tiimissä olevien kesken? • Voidaanko lähteä siitä, että hankkeen Teamsiin ei voi liittyä anonyymisti?
Liittyminen vieraskäyttäjänä toisen organisaation Office 365-ympäristöön  Varmista ennen kirjautumista, että kutsu toiseen organisaatioon on aito. Varo huijauksia! 60
Ajankohtaisia tietoturvariskejä
Huijauspuhelut Microsoftin nimissä ▪ Tavoitteena saada käyttäjätunnus haltuun. ▪ Huijauspuhelu voi tulla myös suomalaisesta numerosta. ▪ Huijarit esiintyvät yleisimmin Microsoftin IT- tukihenkilöinä. ▪ Huijaukseen voi liittyä myös sähköposteja, tekstiviestejä ja tietojenkalastelusivuja. ▪ Microsoftin tutkimuksen mukaan puolet Suomessa asuvista aikuisista oli altistunut IT-tukihuijauksille (2021). ▪ 12 % oli ensin jatkanut keskustelua huijarin kanssa, mutta lopettanut sitten. ▪ 3 % vastaajista oli menettänyt rahaa. 62 Lähde: Mtv, 5.8.2021, https://www.mtvuutiset.fi/artikkeli/karu-tulos-jo-puolet-suomalaisista-saanut-hamaran-microsoft-huijauspuhelun-nain-montaa-vedettiin-nenasta/8205906
Huijaus- ja tietojenkalasteluviestit 63 1. Älä luota sähköpostin tai tekstiviestin lähettäjän nimeen tai osoitteeseen/numeroon. 2. Älä koskaan avaa yllätyksenä tullutta liitetiedostoa. 3. Tarkista linkki esim. viemällä hiiri sen päälle. 4. Anna tietojasi vain varmasti luotettaville tahoille. 5. Jos epäilet huijausta, tarkista aitous muuta kautta
Varo: Office 365 -huijaukset ovat yleisiä!  Rikolliset pyrkivät tietojenkalastelusivun avulla saamaan haltuunsa käyttäjätunnuksia, joilla he voivat päästä käsiksi luottamuksellisiin tietoihin kuten lähetettyihin laskuihin.  Murretuilla tunnuksilla voidaan lähettää esim. ”korjattuja” huijauslaskuja. Lähde: Viestintävirasto, 2019, https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/uusin-microsoft-office-365-huijaus-ohjaa-uhrin-murretulle-sharepoint-tilille 64
Tietoturvaloukkaus 65 Tarkoitetaan henkilötietojen…  vahingossa tapahtuvaa tai lainvastaista tuhoamista  häviämistä  muuttamista  luvatonta luovuttamista tai pääsyä tietoihin Rekisterinpitäjällä on velvollisuus ilmoittaa 72 tunnin kuluessa tietoturvaloukkauksesta tietosuojaviranomaiselle ja lisäksi rekisteröidylle, jos siitä aiheutuu korkea riski. Henkilötietojen käsittelijän on ilmoitettava loukkauksesta rekisterinpitäjälle viipymättä.
Tietosuojarikkomukseen reagointi 1. Vahingon sattuessa tai tullessa esiin: rauhoitu. Onko jotain, mitä voit tehdä välittömästi vähentääksesi seurauksia? 2. Kerro lähimmälle esimiehelle ja/tai tietosuojavastaavalle. 3. Aloita tiedonkeruu tapauksesta. Kirjaa ylös, mitä tapahtui. Ensikäden havainnoista on hyötyä jatkotutkinnalle. 4. Pyri rajaamaan, keistä henkilöistä ja mistä tiedoista on kyse: nimet, tunnisteet, yhteystiedot, arkaluontoiset ja salassa pidettävät jne. Rekisterinpitäjä ja tietosuojavastaava:  Ilmoita TSV:lle: https://tietosuoja.fi/ilmoitus-tietoturvaloukkauksesta  Ilmoita Kyberturvallisuuskeskukselle: https://www.kyberturvallisuuskeskus.fi/fi/ilmoita  Ilmoita rekisteröidyille, jos heihin kohdistuu todennäköisesti korkea riski.  Anna ohjeita, miten välttää ikäviä seurauksia. 66
67 Kysymyksiä tai kommentteja? Yhteystiedot Harto Pönkä 0400500315 @hponka harto.ponka@innowise.fi https://www.innowise.fi/ Kiitos!
1 sur 67

Tietoturva ja tietosuoja Office 365 -palveluissa

Télécharger pour lire hors ligne
Droit

Koulutus KUUMA-seudun kunnille, 21.3.2023, Harto Pönkä, Innowise

Harto Pönkä
Harto PönkäCEO at Innowise à Innowise

Recommandé

Some- ja pikaviestisovellusten tietosuoja par
Some- ja pikaviestisovellusten tietosuojaSome- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuojaHarto Pönkä
193 vues35 diapositives
Tietosuoja ja digitaalinen turvallisuus koulussa par
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaHarto Pönkä
179 vues52 diapositives
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö par
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttöTietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttöHarto Pönkä
4.5K vues60 diapositives
Tietosuojavastaavan nimittäminen ja tehtävät par
Tietosuojavastaavan nimittäminen ja tehtävätTietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävätHarto Pönkä
113 vues18 diapositives
Sosiaalinen media tietosuojan näkökulmasta par
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaHarto Pönkä
529 vues35 diapositives
Tietosuoja perusopetuksessa ja toisella asteella par
Tietosuoja perusopetuksessa ja toisella asteellaTietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaHarto Pönkä
188 vues86 diapositives

Contenu connexe

Tendances

Tietosuojavaatimukset markkinointiviestinnässä par
Tietosuojavaatimukset markkinointiviestinnässäTietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässäHarto Pönkä
121 vues32 diapositives
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta par
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaSosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaHarto Pönkä
145 vues32 diapositives
Tietosuoja koulussa käytännössä par
Tietosuoja koulussa käytännössäTietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössäHarto Pönkä
604 vues43 diapositives
Case: jauhojengi-kohu Twitterissä kesällä 2022 par
Case: jauhojengi-kohu Twitterissä kesällä 2022Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022Harto Pönkä
1.8K vues21 diapositives
Verkkopalvelujen datankeruu ja opetuksen tietosuoja par
Verkkopalvelujen datankeruu ja opetuksen tietosuojaVerkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuojaHarto Pönkä
74 vues54 diapositives
Evästystä evästeiden käyttöön par
Evästystä evästeiden käyttöönEvästystä evästeiden käyttöön
Evästystä evästeiden käyttöönHarto Pönkä
645 vues31 diapositives

Tendances(20)

Tietosuojavaatimukset markkinointiviestinnässä par Harto Pönkä
Tietosuojavaatimukset markkinointiviestinnässäTietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässä
Harto Pönkä121 vues
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta par Harto Pönkä
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaSosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Harto Pönkä145 vues
Tietosuoja koulussa käytännössä par Harto Pönkä
Tietosuoja koulussa käytännössäTietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössä
Harto Pönkä604 vues
Case: jauhojengi-kohu Twitterissä kesällä 2022 par Harto Pönkä
Case: jauhojengi-kohu Twitterissä kesällä 2022Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022
Harto Pönkä1.8K vues
Verkkopalvelujen datankeruu ja opetuksen tietosuoja par Harto Pönkä
Verkkopalvelujen datankeruu ja opetuksen tietosuojaVerkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
Harto Pönkä74 vues
Evästystä evästeiden käyttöön par Harto Pönkä
Evästystä evästeiden käyttöönEvästystä evästeiden käyttöön
Evästystä evästeiden käyttöön
Harto Pönkä645 vues
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita par Harto Pönkä
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteitaTietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Harto Pönkä1.5K vues
Sosiaalinen media tietosuojan näkökulmasta par Harto Pönkä
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmasta
Harto Pönkä628 vues
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessa par Harto Pönkä
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessaVarhaiskasvatuksen julkaisuluvat ja tietosuoja somessa
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessa
Harto Pönkä3.2K vues
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset par Harto Pönkä
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetDigiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Harto Pönkä134 vues
Tietosuoja ja sosiaalinen media par Harto Pönkä
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
Harto Pönkä1.2K vues
Tietosuoja varhaiskasvatuksessa par Harto Pönkä
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
Harto Pönkä6.6K vues
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta par Harto Pönkä
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkintaEvästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Harto Pönkä105 vues
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet par Harto Pönkä
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetTietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Harto Pönkä240 vues
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta par Harto Pönkä
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Harto Pönkä429 vues
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset par Harto Pönkä
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetKäsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Harto Pönkä101 vues
Google Analytics, analytiikka ja evästeet -tietosuojanäkökulma par Harto Pönkä
Google Analytics, analytiikka ja evästeet -tietosuojanäkökulmaGoogle Analytics, analytiikka ja evästeet -tietosuojanäkökulma
Google Analytics, analytiikka ja evästeet -tietosuojanäkökulma
Harto Pönkä386 vues
Tietosuoja kunnan viestinnässä ja asiakaspalvelussa par Harto Pönkä
Tietosuoja kunnan viestinnässä ja asiakaspalvelussaTietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussa
Harto Pönkä5.6K vues
Paljonko digiosaamista on tarpeeksi? par Harto Pönkä
Paljonko digiosaamista on tarpeeksi?Paljonko digiosaamista on tarpeeksi?
Paljonko digiosaamista on tarpeeksi?
Harto Pönkä307 vues
Sosiaalinen media markkinoinnin välineenä par Harto Pönkä
Sosiaalinen media markkinoinnin välineenäSosiaalinen media markkinoinnin välineenä
Sosiaalinen media markkinoinnin välineenä
Harto Pönkä292 vues

Similaire à Tietoturva ja tietosuoja Office 365 -palveluissa

Tietosuoja etätyössä par
Tietosuoja etätyössäTietosuoja etätyössä
Tietosuoja etätyössäHarto Pönkä
557 vues53 diapositives
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta par
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaHarto Pönkä
560 vues51 diapositives
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä par
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäTietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäHarto Pönkä
612 vues82 diapositives
Gradia GDPR intro par
Gradia GDPR introGradia GDPR intro
Gradia GDPR introTiia Rantanen
110 vues18 diapositives
Yksityisyys on kuollut - Eläköön yksityisyys par
Yksityisyys on kuollut - Eläköön yksityisyysYksityisyys on kuollut - Eläköön yksityisyys
Yksityisyys on kuollut - Eläköön yksityisyysJyrki Kasvi
1.3K vues11 diapositives
Yksityisyys on kuollut - eläköön yksityisyys! par
Yksityisyys on kuollut - eläköön yksityisyys!Yksityisyys on kuollut - eläköön yksityisyys!
Yksityisyys on kuollut - eläköön yksityisyys!TIEKE Finnish Information Society Development Centre
223 vues11 diapositives

Similaire à Tietoturva ja tietosuoja Office 365 -palveluissa(20)

Tietosuoja etätyössä par Harto Pönkä
Tietosuoja etätyössäTietosuoja etätyössä
Tietosuoja etätyössä
Harto Pönkä557 vues
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta par Harto Pönkä
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
Harto Pönkä560 vues
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä par Harto Pönkä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäTietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Harto Pönkä612 vues
Gradia GDPR intro par Tiia Rantanen
Gradia GDPR introGradia GDPR intro
Gradia GDPR intro
Tiia Rantanen110 vues
Yksityisyys on kuollut - Eläköön yksityisyys par Jyrki Kasvi
Yksityisyys on kuollut - Eläköön yksityisyysYksityisyys on kuollut - Eläköön yksityisyys
Yksityisyys on kuollut - Eläköön yksityisyys
Jyrki Kasvi1.3K vues
Yksityisyys on kuollut - eläköön yksityisyys! par TIEKE Finnish Information Society Development Centre
Yksityisyys on kuollut - eläköön yksityisyys!Yksityisyys on kuollut - eläköön yksityisyys!
Yksityisyys on kuollut - eläköön yksityisyys!
TIEKE Finnish Information Society Development Centre223 vues
Henkilötiedot, tietosuoja ja GDPR opetuksessa par Harto Pönkä
Henkilötiedot, tietosuoja ja GDPR opetuksessaHenkilötiedot, tietosuoja ja GDPR opetuksessa
Henkilötiedot, tietosuoja ja GDPR opetuksessa
Harto Pönkä2.1K vues
Tietosuoja ja tietoturva opetuksessa par Harto Pönkä
Tietosuoja ja tietoturva opetuksessaTietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessa
Harto Pönkä4.5K vues
GDPR, GDPR, vaan mikä se on se GDPR par Jyrki Kasvi
GDPR, GDPR, vaan mikä se on se GDPRGDPR, GDPR, vaan mikä se on se GDPR
GDPR, GDPR, vaan mikä se on se GDPR
Jyrki Kasvi816 vues
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR par Harto Pönkä
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPROppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Harto Pönkä4.3K vues
Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -... par Accountor Enterprise Solutions Oy
Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...
Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...
Accountor Enterprise Solutions Oy181 vues
Mitä muutoksia GDPR vaatii CRM- ja ERP-järjestelmiin -webinaari 20.3.2018 (Ac... par Accountor Enterprise Solutions Oy
Mitä muutoksia GDPR vaatii CRM- ja ERP-järjestelmiin -webinaari 20.3.2018 (Ac...Mitä muutoksia GDPR vaatii CRM- ja ERP-järjestelmiin -webinaari 20.3.2018 (Ac...
Mitä muutoksia GDPR vaatii CRM- ja ERP-järjestelmiin -webinaari 20.3.2018 (Ac...
Accountor Enterprise Solutions Oy243 vues
GDPR ja tietosuoja opetustoimessa par Harto Pönkä
GDPR ja tietosuoja opetustoimessaGDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessa
Harto Pönkä2.4K vues
Tietosuoja ja sosiaalinen media par Harto Pönkä
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
Harto Pönkä732 vues
GDPR, GDPR, vaan mikä se on se GDPR par Jyrki Kasvi
GDPR, GDPR, vaan mikä se on se GDPRGDPR, GDPR, vaan mikä se on se GDPR
GDPR, GDPR, vaan mikä se on se GDPR
Jyrki Kasvi914 vues
Tietosuoja ja luvat arjen varhaiskasvatustyössä par Harto Pönkä
Tietosuoja ja luvat arjen varhaiskasvatustyössäTietosuoja ja luvat arjen varhaiskasvatustyössä
Tietosuoja ja luvat arjen varhaiskasvatustyössä
Harto Pönkä3K vues
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ... par Jan Lindberg
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
Jan Lindberg138 vues
Tietosuoja opetustoimessa par Harto Pönkä
Tietosuoja opetustoimessaTietosuoja opetustoimessa
Tietosuoja opetustoimessa
Harto Pönkä1K vues
EU:n yleinen tietosuoja-asetus opetuksessa par Harto Pönkä
EU:n yleinen tietosuoja-asetus opetuksessaEU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessa
Harto Pönkä2.6K vues
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to... par Eetu Uotinen
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Eetu Uotinen301 vues

Plus de Harto Pönkä

Sosiaalinen media, pelit ja ruutuaika par
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaHarto Pönkä
83 vues47 diapositives
Juuri nyt: Somen trendit ja algoritmit par
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitHarto Pönkä
255 vues40 diapositives
Henkilötietojen ja yksityisyyden suojaaminen par
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHarto Pönkä
114 vues25 diapositives
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin par
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinHarto Pönkä
155 vues51 diapositives
Toiminta tietoturvaloukkaustapauksissa par
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaHarto Pönkä
44 vues17 diapositives
Informaatiovaikuttamisen tunnistaminen somessa par
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaHarto Pönkä
55 vues48 diapositives

Plus de Harto Pönkä(17)

Sosiaalinen media, pelit ja ruutuaika par Harto Pönkä
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaika
Harto Pönkä83 vues
Juuri nyt: Somen trendit ja algoritmit par Harto Pönkä
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmit
Harto Pönkä255 vues
Henkilötietojen ja yksityisyyden suojaaminen par Harto Pönkä
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminen
Harto Pönkä114 vues
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin par Harto Pönkä
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Harto Pönkä155 vues
Toiminta tietoturvaloukkaustapauksissa par Harto Pönkä
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissa
Harto Pönkä44 vues
Informaatiovaikuttamisen tunnistaminen somessa par Harto Pönkä
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessa
Harto Pönkä55 vues
Twitter taitekohdassa par Harto Pönkä
Twitter taitekohdassaTwitter taitekohdassa
Twitter taitekohdassa
Harto Pönkä122 vues
Sosiaalinen media, koulu ja opetus par Harto Pönkä
Sosiaalinen media, koulu ja opetusSosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetus
Harto Pönkä63 vues
Mikä se some oikein on? par Harto Pönkä
Mikä se some oikein on?Mikä se some oikein on?
Mikä se some oikein on?
Harto Pönkä589 vues
Opetuksen tietosuoja - mikä muuttui? par Harto Pönkä
Opetuksen tietosuoja - mikä muuttui?Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?
Harto Pönkä77 vues
Digikompassi ja digisivistys par Harto Pönkä
Digikompassi ja digisivistysDigikompassi ja digisivistys
Digikompassi ja digisivistys
Harto Pönkä50 vues
Tietoturva hybridityössä par Harto Pönkä
Tietoturva hybridityössäTietoturva hybridityössä
Tietoturva hybridityössä
Harto Pönkä38 vues
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa par Harto Pönkä
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissaTietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Harto Pönkä107 vues
Informaatiovaikuttamisen tunnistaminen par Harto Pönkä
Informaatiovaikuttamisen tunnistaminenInformaatiovaikuttamisen tunnistaminen
Informaatiovaikuttamisen tunnistaminen
Harto Pönkä87 vues
LinkedInin käyttö rekrytoinnissa par Harto Pönkä
LinkedInin käyttö rekrytoinnissaLinkedInin käyttö rekrytoinnissa
LinkedInin käyttö rekrytoinnissa
Harto Pönkä200 vues
Twitter-bottien tunnistaminen Tweeps.net-analyysityökalulla par Harto Pönkä
Twitter-bottien tunnistaminen Tweeps.net-analyysityökalullaTwitter-bottien tunnistaminen Tweeps.net-analyysityökalulla
Twitter-bottien tunnistaminen Tweeps.net-analyysityökalulla
Harto Pönkä93 vues
Etätyön tietoturva ja -suoja par Harto Pönkä
Etätyön tietoturva ja -suojaEtätyön tietoturva ja -suoja
Etätyön tietoturva ja -suoja
Harto Pönkä85 vues

Tietoturva ja tietosuoja Office 365 -palveluissa

  • 1. Tietoturva ja tietosuoja Office 365 -palveluissa 21.3.2023 Harto Pönkä Innowise Kuva: Marvin Meyer @Unsplash, 2018
  • 2. Kuva: Matthew Henry @ Unsplash Tietoturvalla suojataan kaikenlaisia tietoja ja järjestelmiä ulkopuolisten urkinnalta ja muulta vahingonteolta. Tietosuojalla suojataan ihmisten oikeutta yksityisyyteen. Siitä on kyse, jos ihminen voidaan tunnistaa tiedoista.
  • 3. GDPR = EU:n yleinen tietosuoja-asetus
  • 4. Mihin EU:n yleistä tietosuoja-asetusta (GDPR) sovelletaan? 1) Osittain tai kokonaan autom. henkilötietojen käsittelyyn  Digitaaliset asiakirjat, valokuvat, videot ja muut tiedostot  Sähköpostit, tekstiviestit  Viestintäsovellukset  Verkkopalvelut, chatit  Sosiaalisen median palvelut  Digitaaliset arkistot  Tietojen siirto rajapintojen kautta 2) Kaikkiin henkilörekistereihin  Tietojärjestelmät/tietokannat  Yhteystietoluettelot  Henkilötietojen kokoelmat  Myös manuaaliset aineistot, henkilökortistot ja vastaavat, jotka muodostavat tai joiden on tarkoitus muodostaa rekisteri 4
  • 5. Jussi Koskela 044-32132121 ABC-123 Suotie 1 192.168.13.73 Henkilötiedot = tunnistetiedot + muut henkilöön liittyvät tiedot Tunnistetiedot mahdollistavat henkilön tunnistamisen rekisterinpitäjän tai jonkun muun tahon toimesta – joko suoraan tai lisätietojen avulla. Milloin kyse on henkilötiedoista? Kaikki tiedot ovat henkilötietoja, jos ne koskevat tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä eli rekisteröityä.
  • 6. Erityiset eli arkaluontoiset henkilötiedot Erityisten henkilötietoryhmien käsittely on kielletty ilman henkilön nimenomaista suostumusta tai laista tulevaa perustetta.  rotu tai etninen alkuperä  poliittiset mielipiteet  uskonnollinen tai filosofinen vakaumus  ammattiliiton jäsenyys  terveyttä koskevat tiedot  seksuaalinen suuntautuminen tai käyttäytyminen  geneettiset ja biometriset tunnistetiedot 6 Tämä viesti sisältää: • tunnistetietoja • lain mukaan salassa pidettäviä tietoja • terveystietoja Tämän tyyppisten henkilötietojen käsittelylle tulee olla selvät ohjeet ja määritellyt järjestelmät, joissa niitä saa säilyttää. WhatsApp tuskin kuuluu niihin.
  • 7. Henkilötunnus Henkilötunnusta saa käsitellä:  Rekisteröidyn suostumuksella  Jos käsittelystä säädetään laissa  Laissa säädetyn tehtävän suorittamiseksi  Rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi, esim. työsuhteessa  Historiallista tai tieteellistä tutkimusta tai tilastointia varten Henkilötunnusta ei tule merkitä tarpeettomasti asiakirjoihin. Henkilötunnusta ei ole tarkoitettu henkilöllisyyden varmistamiseen. 7 Kuva: https://www.poliisi.fi/henkilokortti/suomen_henkilokorttien_ominaisuudet 010150-113X
  • 8. GDPR:n tietosuojaperiaatteet 8  Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys  Käyttötarkoitussidonnaisuus  Henkilötietoja saa käyttää vain alkuperäisiin ja niiden kanssa yhteensopiviin tarkoituksiin  Myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua  Tietojen minimointi  Kerätään ja käsitellään vain tarkoitukseen olennaisia henkilötietoja  Tietojen täsmällisyys  Tietojen päivittäminen, tarkistaminen, virheiden korjaus  Tietojen säilytyksen rajoittaminen  Tietoja säilytetään vain tarvittavan ajan  Tietojen eheys ja luottamuksellisuus  Suojaustoimenpiteet, käytön valvonta, varmuuskopiointi  Rekisterinpitäjän osoitusvelvollisuus Lisätietoa: Tietosuoja-asetuksen 5 artikla, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1
  • 9. Esimerkkejä käsiteltävistä henkilötiedoista 9 Tieto Henkilötiedon tyyppi Tyypillisiä riskejä Nimi Tavanomainen Nimen paljastuminen (vähäinen) Osoite ja kotikunta Tavanomainen tai salainen Salaisen osoitteen paljastuminen, suoramarkkinointi Puhelinnumero Tavanomainen tai salainen Salaisen numeron paljastuminen, huijausviestit Sähköpostiosoite Tavanomainen Käyttö spämmäykseen, tietojenkalasteluun ja murtautumisyrityksiin Henkilötunnus Tietosuojalaissa erikseen säädelty Käyttö esimerkiksi pikavippien ottoon ja verkkokaupoissa tilauksiin toisen henkilön nimissä Muu yksilöivä tunniste, esim. opiskelijanumero tai OID Tavanomainen Voidaan käyttää vahingontekoon tai urkintaan, jos paljastuu yhdessä nimen kanssa Terveydelliset tiedot, etninen tausta, vakaumus, ammattiliiton jäsenyys Erityinen henkilötieto Käyttö syrjintään ja häirintään, yksityiselämän loukkaus Taloudellinen asema, henkilökohtaiset olot, sanalliset arviot henkilön ominaisuuksista, psykologiset testit Lain mukaan salassa pidettävä tieto Käyttö syrjintään ja häirintään, yksityiselämän loukkaus
  • 10. Rekisteri 10 Rekisteri muodostuu henkilötietojen joukosta, jotka liittyvät tiettyyn käyttötarkoitukseen.
  • 11. Henkilötietojen käyttäjät ▪ ”Rekisterinpitäjä” on taho, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Jos monta tahoa tekee yhdessä kyseisen päätöksen, he ovat ”yhteisrekisterinpitäjiä”. ▪ ”Henkilötietojen käsittelijä” on luonnollinen henkilö tai oikeushenkilö, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Perusteena tulee olla sopimus henkilötietojen käsittelystä. ▪ ”Kolmas osapuoli” on muu luonnollinen henkilö tai oikeushenkilö, joilla on oikeus käsitellä henkilötietoja suoraan rekisterinpitäjän tai henkilötietojen käsittelijän välittömän vastuun alaisena. ▪ ”Vastaanottaja” on luonnollinen henkilö tai oikeushenkilö, jolle henkilötietoja luovutetaan. 11
  • 12. Rekisterinpitäjä päättää, mitä tietoja käsitellään ja miten 12 Tarkoitukset ja keinot Rekisteriin kerätyt henkilötiedot Rekisterinpitäjä(t) Rekisterinpitäjä määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Rekisterinpitäjän tulee kerätä ja käsitellä vain tarkoituksenmukaisia henkilötietoja (määrä, laatu, säilytysaika, saatavilla olo). Käsittelyn tarkoitukset ja keinot (henkilötiedot) tulee ilmetä rekisteröityjen informoinnista. Rekisteröidylle ei saa tulla sen jälkeen ”yllätyksiä”, mitä tietoja ja miten hänestä käsitellään. Oikeus- peruste
  • 13. REKIST. OIKEUDET OIKEUSPERUSTEEN MUKAAN Suostumus Sopimus Lakisääteiset velvoitteet Yleinen etu tai julkinen tehtävä Rekisterinpitäjän oikeutettu etu Elintärkeiden etujen suojaaminen Oikeus saada tietoa henkilötietojen käsittelystä Kyllä Kyllä Kyllä, ellei kyse ole laissa olevasta poikkeuksesta Kyllä, ellei kyse ole laissa olevasta poikkeuksesta Kyllä Kyllä Oikeus saada pääsy tietoihin Kyllä Kyllä Kyllä Kyllä Kyllä Kyllä Oikeus oikaista tietoja Kyllä Kyllä Kyllä Kyllä Kyllä Kyllä Oikeus poistaa tiedot Kyllä, perumalla suostumuksen Kyllä, jos tietoja ei enää tarvita sop. Ei Ei Kyllä Kyllä Oikeus rajoittaa tietojen käsittelyä Kyllä Kyllä Ei Kyllä Kyllä Kyllä Oikeus vastustaa tietojen käsittelyä Ei Ei Ei Kyllä Kyllä Ei Oikeus siirtää tiedot järjestelmästä toiseen Kyllä Kyllä Ei Ei Ei Ei Oikeus olla joutumatta autom. päätöksenteon kohteeksi ilman laillista perustetta Kyllä, mutta rekisteröity voi antaa suostumuksen automaattiseen päätöksentekoon Kyllä, paitsi jos autom. päät. on välttämätöntä sopimuksen tekoon tai täyttämiseen Kyllä, ellei kyse ole laissa olevasta poikkeuksesta Kyllä GDPR ei salli tällä perusteella automaattista päät.tekoa, jolla on merkittäviä vaikutuksia GDPR ei salli tällä perusteella automaattista päät.tekoa, jolla on merkittäviä vaikutuksia Lähteet: GDPR, Tietosuja.fi: Mitä oikeuksia rekisteröidyillä on eri tilanteissa?, 25.5.2020, https://tietosuoja.fi/rekisteroidyn-oikeudet-eri-tilanteissa, Tietosuojatyöryhmä, 2017, https://tietosuoja.fi/documents/6927448/8316711/Automaattinen+p%C3%A4%C3%A4t%C3%B6ksenteko/28ae24f4-3345-4fb2-8708-c84abd8f57b0/Automaattinen+p%C3%A4%C3%A4t%C3%B6ksenteko.pdf
  • 14. Rekisteröityjen informointi / tietosuojaseloste 14  Tunne työhösi liittyvien rekisterien käyttötarkoitukset ja noudata niitä  Älä käytä tietoja muihin kuin rekisteröidyille kerrottuihin tarkoituksiin.  Valmistaudu kertomaan rekisteröidyille, mihin tarkoitukseen ja mitä tietoja heistä käsitellään.  Älä tallenna eri tietojärjestelmiin ja verkkopalveluihin muita tietoja kuin mitä niihin on sallittua tallentaa.  Esimerkkinä Keravan kaupungin lukion asiakasrekisterin Office 365:ttä koskevat kohdat Lähde: Keravan kaupungin lukion asiakasrekisterin tietosuojaseloste, https://kerava.production.geniem.io/uploads/sites/2/2022/12/keravan_kaupungin_lukion_asiakasrekisteri.pdf (20.3.2023)
  • 15. “ ”Tietosuojasta huolehditaan, jotta jokainen tietäisi, mitä tietoja hänestä kerätään ja miten niitä voidaan käyttää.” 15
  • 17. Ohjeita henkilötietojen käsittelyyn 17 ▪ Tietoja käytetään vain oikeisiin tarkoituksiin. ▪ Työntekijä saa käsitellä vain hänen työtehtäviinsä liittyviä henkilötietoja. ▪ Työn suorittamista varten tehdyt kopiot ja tulosteet henkilötiedoista hävitetään, kun niitä ei enää tarvita. ▪ Henkilötietoja tallennetaan vain niille sallittuihin tallennuspaikkoihin ja järjestelmiin. ▪ Henkilötietoja ei näytetä tai kerrota sivullisille. ▪ Henkilötietoja ei julkaista tai luovuteta ilman suostumusta tai laista tulevaa perustetta. ▪ Tietojen säilytyksessä noudatetaan fyysistä tietoturvaa: valvotaan tiloja ja laitteita. ▪ Tietojärjestelmissä käytetään henkilökohtaisia tunnuksia ja huolehditaan käyttöoikeuksista.
  • 18. Tietosuojalaki 35 §: vaitiolovelvollisuus 18  Tietosuojalain vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa saadaan tietää henkilöiden ominaisuuksista, henkilökohtaisista oloista ja taloudellisesta asemasta.  Työnantajan vastuulla on määritellä, mitä henkilötietojen käsittelyä eri työtehtäviin kuuluu, sekä huolehtia tietojen turvallisesta säilytyksestä.  Jos rekisterinpitäjä käyttää ulkopuolisia palveluntarjoajia, sen tulee varmistua näiden vaitiolovelvollisuudesta henkilötietojen käsittelyn sopimuksella. Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050 Joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista, taloudellisesta asemasta taikka toisen liikesalaisuudesta, ei saa oikeudettomasti ilmaista sivulliselle näin saamiaan tietoja eikä käyttää niitä omaksi tai toisen hyödyksi tai toisen vahingoksi
  • 19. Henkilötietojen luovuttaminen ja julkaisu 19  Henkilötietoja voi luovuttaa ulkopuolisille taholle tai julkaista vain rekisteröidyn suostumuksella tai jos siitä on nimenomaisesti laissa säädetty.  Esimerkkejä julkaisusta:  Tiedot nettisivulla tai netissä saatavana olevassa tiedostossa (esim. jakolinkki).  Sähköpostin lähetys useille rekisteröidyille niin, että he näkevät viestin tiedoista toistensa sähköpostiosoitteet.  Suostumus on käytännössä esimerkiksi:  Lupalomakkeen tms. hyväksyntä, jossa on mainittu, että tietoja tullaan julkaisemaan  Suostumus tietojen julkaisulle tietojenkeruun lomakkeessa  Julkaisuluvat esimerkiksi kuviin ja videoihin  Suostumukset merkitään rekisteriin.  Rekisteröity voi milloin tahansa perua antamansa suostumuksen. Suostumuksen perumisesta tulee ilmoittaa myös tietojen luovutusten vastaanottajille.
  • 20. Viranomaisen henkilötietorekisterin tietojen anto  Ei koske salassa pidettäviä tietoja.  Vaikka rekisterissä olevat tiedot olisivat lain mukaan julkisia, niitä ei voi antaa kenelle tahansa.  Rekisterinpitäjän on arvioitava riskit, jos tietoja julkaistaan.  Ei tietojen massajulkaisua esimerkiksi nimi ja HETU.  Viranomaisen rekisterissä olevia henkilötietoja saa antaa, jos:  1) Kyse ei ole salassa pidettävistä tiedoista tai jokin muu laki ei estä luovutusta  2) Saajalla on oikeus käyttää kyseisiä tietoja (esim. yksityishenkilö)  Henkilötunnusta ei tule tällöinkään merkitä tarpeettomasti. Lähde: Laki viranomaisten toiminnan julkisuudesta, https://www.finlex.fi/fi/laki/ajantasa/1999/19990621 20
  • 21. Office 365 –käyttäjätunnuksen pitäminen suojassa
  • 22. Sisäänkirjautuminen Office 365:een  Tarkista netissä aina, että kirjautumisosoite on oikea. Microsoftin kirjautumislomakkeen osoite on yleensä tässä muodossa: https://login.microsoftonline.com/common/oauth2/...  Officen työpöytäsovelluksissa voit tarkistaa kirjautumisen kohdasta: Tiedosto  Tili. Lisätietoa: https://support.microsoft.com/fi-fi/office/sis%C3%A4%C3%A4nkirjautuminen-officeen-b9582171-fd1f-4284-9846-bdd72bb28426 ja https://support.microsoft.com/fi- fi/office/sis%C3%A4%C3%A4nkirjautuminen-microsoft-365-ss%C3%A4-1d646e83-1585-4278-8daf-d4a2cc0905e0 22
  • 23. Office 365:n kirjautumisen muistaminen laitteella  Verkkosovelluksiin kirjautumista ei ole yleensä suositeltavaa tallentaa.  Poikkeus: laite, joka ei ole kenenkään muun käyttäjän käytössä  suojaa laite vahvalla salasanalla! 23
  • 24. Tunnuksen ja salasanan tallennus selaimeen?  Selain saattaa kysyä, tallennetaanko salasana, kun kirjaudut johonkin verkkopalveluun.  Tunnuksia ja salasanoja ei ole suositeltavaa tallentaa selaimeen. 24
  • 25. Vahva salasana  Älä luota pelkkään salasanaan - käytä kaksivaiheista todennusta aina, kun se on mahdollista!  Mieluummin salalause kuin salasana  Mitä pitempi, sen vahvempi (yli 8 merkkiä)  Kirjaimia, numeroita ja erikoismerkkejä  Ei ole nimi, sana, päivämäärä tai muuten arvattavissa  Ei ole käytössä muualla  Vaihda salasana, jos se on vuotanut 25
  • 26. Kaksivaiheinen varmistus / monivaiheinen todentaminen (MFA)  Kaksivaiheisen tunnistamisen idea on, että käyttäjä vahvistaa kirjautumisen jollain, mitä hänellä on – kuten tekstiviestinä saapuvalla kertakäyttökoodilla tai autentikointisovelluksella.  Hyöty: hyökkääjä ei pysty kirjautumaan tunnuksella, vaikka hän olisi saanut tai keksinyt sen salasanan.  Mahdollistaa myös salasanattoman kirjautumisen.  Kaksivaiheinen tunnistus estää Microsoftin mukaan 99,9 % tunnuksiin kohdistuvista hyökkäyksistä.  Office 365:n organisaation järjestelmänvalvoja voi asettaa kaksivaiheisen pakolliseksi kaikille. *  Käyttäjille tehty Microsoftin ohje kaksivaiheisen tunnistuksen käyttöönotolle: https://support.microsoft.com/fi-fi/account- billing/kaksivaiheisen-tarkistamisen- k%C3%A4ytt%C3%A4minen-microsoft-tiliss%C3%A4- c7910146-672f-01e9-50a0-93b4585e7eb4 *) Ohje järjestelmänvalvojille, Security defaults in Azure AD: https://learn.microsoft.com/fi-fi/azure/active-directory/fundamentals/concept-fundamentals-security-defaults 26
  • 27. Microsoft Authenticator -autentikointisovellus  Microsoft Authenticator sopii hyvin Office 365:n kaksivaiheiseen varmistukseen.  Kaksi kirjautumisen varmistustapaa: 1) Vaihtuva kertakäyttökoodi 2) Hyväksy kirjautuminen –kysymys  Toimii muidenkin verkkopalvelujen kaksivaiheisen varmistuksen kanssa.  Huom. Ota palvelukohtainen palautuskoodi talteen, kun kytket varmistuksen päälle.  Android-versio Google Playssä: https://play.google.com/store/apps/detail s?id=com.azure.authenticator  iOS-versio AppStoressa: https://apps.apple.com/us/app/microsoft -authenticator/id983156458 Kuvakaappaukset: Microsoft Authenticatorin Google Play –kauppasivu (20.3.2023) Lisätietoa: https://support.microsoft.com/fi-fi/account-billing/microsoft-authenticator-sovelluksen-lataaminen-ja-asentaminen-351498fc-850a-45da-b7b6-27e523b8702a 27
  • 28. 28 Laita kone kiinni aina, kun poistut paikalta!
  • 30. Organisaatioiden sisäisesti käyttämät viestintäsovellukset Lähde: North Patrol, Digitaaliset työympäristöt 2022 -selvitys, https://intranet-ostajanopas.fi/2022/08/22/suomalaisten-organisaatioiden-digityon-valineet-2022/ (N=64 vastaajaorganisaatiota) 30
  • 31.  Todennäköisesti moni julkinen organisaatio päätyy samaan ratkaisuun kuin Kela Lähde: Kela, 27.4.2021, https://www.kela.fi/ajankohtaista-yhteistyokumppanit/- /asset_publisher/WQHcJ3JiaK7b/content/kela-ei-kasittele-salassa-pidettavia-tietoja-julkisissa-pilvipalveluissa (uutinen on sittemmin poistettu netistä) 31
  • 32. Tietojen tallennus Office 365:n pilvipalveluun (ohjeellinen) 32 Huom. taulukko on esimerkinomainen, tarkista aina rekisterinpitäjän tekemät linjaukset! Outlook OneDrive ja Office- verkkosovellukset Teams-tiimit/ryhmät SharePoint-sivustot Käyttötarkoitus Henkilökohtainen kalenteri- ja sähköpostipalvelu Henkilökohtainen tallennustila Jaetut kansiot ja tiedostot Sisäinen yhteistyö Yhteistyö ulkopuolisten kanssa esim. hankkeissa ja projekteissa Sisäiset sivustot (intranet) Yhteistyö ulkopuolisten kanssa (extranet) Julkiset tiedot ja asiakirjat Ok Ok Ok Ok Ei-julkiset tiedot ja asiakirjat Ok Ok Ok / ei vieraskäyttäjille Ok / ei vieraskäyttäjille Viranomaisen lain mukaan salassa pidettävät tiedot ja asiakirjat Vain väliaikaisesti Vain väliaikaisesti Vain väliaikaisesti / ei vieraskäyttäjille Vain väliaikaisesti / ei vieraskäyttäjille Tavanomaiset henkilötiedot Ok Ok / ei vieraskäyttäjille Ok / ei vieraskäyttäjille Ok / ei vieraskäyttäjille Erityiset henkilötiedot Vain väliaikaisesti Ei Ei Ei Tietojen arkistointi Ei Ei Ei Ei
  • 33. Tietosuoja viestinnässä 33 ▪ Normaalissa sähköpostissa: ▪ Tavalliset henkilötiedot (nimi, osoite jne.) ▪ Edellytys: henkilökohtaiset postilaatikot ja tietoturva kunnossa. ▪ Suojatussa sähköpostissa, turvapostissa tai muussa turvallisessa viestintäkanavassa: ▪ Arkaluontoiset/erityiset henkilötiedot ▪ Salassa pidettävät tiedot ja asiakirjat ▪ Huijauksia on tavallista enemmän liikenteessä.  Ohjeet, miten varmistaa viestien aitous?
  • 34. Outlookin sähköpostin salaa-toiminto  Voit salata Outlookissa sähköpostin valitsemalla viestin lähetyksessä Asetukset  Salaa  Salaa  Kyse ei ole vahvasta suojauksesta, vaan turvallisuus riippuu vastaanottajasta. Jos vastaanottaja käyttää Outlookia tai Gmailia, näin salatun sähköpostin turvallisuus on kuitenkin hyvä. Lisätietoa: https://support.microsoft.com/fi-fi/office/lis%C3%A4tietoja-suojatuista-viesteist%C3%A4-microsoft-365-2baf3ac7-12db-40a4-8af7-1852204b4b67 34
  • 35. Varmista aina vastaanottajat! ”Kaupungin mukaan kyse oli inhimillisestä virheestä. Se johtui Microsoftin sähköpostipalvelu Outlookin ominaisuudesta, joka esittää automaattisesti vastaanottajaa. Henkilö, jolle sähköposti meni, oli oikean vastaanottajan täyskaima. -- Aineisto sisälsi 1 143 henkilöstä tietoina nimen, henkilötunnuksen ja henkilönumeron. ” Lähde: Yle, 17.3.2023, https://yle.fi/a/74-20022944 35
  • 36. Tietosuoja etäkokouksissa ja muissa yhteistyösovelluksissa 36  Käytä vain organisaation sallimia sovelluksia.  Toimita kutsu henkilökohtaisesti osallistujille.  Informoi osallistujia henkilötietojen käsittelystä.  Varmista huoneessa olijoiden henkilöllisyys.  Käsiteltävät henkilötiedot ja asiat riippuvat osallistujien työtehtävistä.  Varmista esittäjien osaaminen etukäteen.  Kerro etukäteen, jos kokous tallennetaan, ja näkyvätkö tallenteessa osallistujien nimet ja chat.  Kotoa osallistuvat: ei sivullisia kuulolla, videon ja mikrofonin käyttö kotirauhan alueella perustuu vapaaehtoisuuteen.  Lopuksi: päätä kokous, tyhjennä tai sulje huone.  Suojaa tallenne ja huolehdi sen tietosuojasta.
  • 37. Ohjeita Teams-kokouksen esittäjälle 37 ▪ Valitse rauhallinen paikka: ei sivullisia kuulolle. ▪ Jos mahdollista, käytä toista näyttöä ruudunjakoon. ▪ Sulje kaikki muut ohjelmat kuin ne, mitä aiot näyttää ruudunjaossa. Erityisesti ohjelmat, joissa on henkilötietoja (mm. sähköpostit). ▪ Valmistele sovellukset ja tiedostot, joita aiot käyttää ruudunjaossa. ▪ Windowsissa voit luoda uuden työpöydän, johon avaat valmiiksi ruudunjaossa käytettävät sovellukset. (Win+Tab) ▪ Jos käytät samalla laitteella muita viestintäsovelluksia, laita niiden ilmoitukset pois päältä esim. asettamalla tilaksi ”varattu”.
  • 38. Pilvipalvelut tiedostojen säilytyksessä ja jakamisessa  Tarkista rekisterinpitäjän ohjeistus:  1) mitä pilvipalveluita saa käyttää  2) mitä tietoja pilveen on sallittua tallentaa  3) saako tiedot synkronoida omille laitteille  Huolehdi työtehtävien mukaisista käyttöoikeuksista/jakamisesta.  Älä jaa henkilötietoja sisältäviä tiedostoja ulkopuolisille ilman suostumusta tai muuta perustetta. Kuvan lähde: GoodFirms , 2020, Usage & Trends of Personal Cloud Storage, https://www.goodfirms.co/resources/personal-cloud-storage-trends (N=648, vastaajat useista maista) 38
  • 39. Office-tiedostojen jakaminen valituille käyttäjille ja ryhmille  Mieti ennen jakamista, kenelle saat jakaa tiedoston sisältämiä henkilötietoja!  Jaa: jako tietyille henkilöille, ryhmille ja/tai sähköpostiosoitteille (ulkoinen)  Oletuksena kutsumasi käyttäjät voivat muokata tiedostoa. Voit muuttaa asetusta klikkaamalla. 39
  • 40. Office-tiedostojen jakaminen linkillä kenelle tahansa  Mieti ennen jakamista, kenelle saat jakaa tiedoston sisältämiä henkilötietoja!  Kopioi linkki: jako kenelle tahansa, jolle lähetät linkin.  Linkkiä voidaan jakaa eteenpäin, jolloin kuka tahansa linkin saanut voi käyttää sitä.  Älä jaa mitään henkilötietoja sisältäviä tietoja tällä tavalla!  Oletuksena linkin saaneet voivat muokata tiedostoa. Voit muuttaa asetusta klikkaamalla. 40
  • 41. Officen jakamisasetukset: jakolinkin luominen tietyillä oikeuksilla  Kaikkien kanssa: kuka tahansa linkin saanut, myös organisaation ulkopuoliset  Yrityksen … henkilöt: edellyttää kirjautumista organisaation käyttäjätunnuksella  Käyttäjät, joilla on jo käyttöoikeus: linkin lähetys uudestaan niille, joilla on jo käyttöoikeus  Valitsemasi henkilöt: valitut käyttäjät, ryhmät ja sähköpostiosoitteet  Voi muokata / Voi tarkastella: valinnan mukaan muokkausoikeus tai pelkkä lukuoikeus  DD.MM.YYYY: mihin päivään asti jako on voimassa  Määritä salasana: voit antaa salasanan, jota ilman dokumentti ei aukea linkistä  Estä lataaminen: voit estää tiedoston lataamisen (ei estä tietojen kopiointia ruudulta)  Vinkki: testaa jakolinkin toiminta itse esim. toisessa selaimessa ennen kuin lähetät sen muille. Lisätietoa: https://support.microsoft.com/fi-fi/office/tiedostojen-kansioiden-ja-luettelokohteiden-jakaminen-74cab0bf-39c6-4112-a63f-88ee121722d0 41
  • 42. Mistä tietää, mitkä dokumentit ja tiedostot on jaettu muille?  Kun olet avannut dokumentin, Jaa-nappi yläreunassa ilmaisee, onko se jaettu vai ei.  Officen aloitussivulta löydät jaetut tiedostot Jaettu-napista.  OneDrivessä löydät jaetut tiedostot vasemman valikon Jaettu-kohdasta. Lisätietoa: https://support.microsoft.com/fi-fi/office/tiedostojen-kansioiden-ja-luettelokohteiden-jakaminen-74cab0bf-39c6-4112-a63f-88ee121722d0 42 Ei ole jaettu On jaettu
  • 43. Kokonaisen OneDrive-kansion jakaminen  Aluksi: luo kansio OneDrivessä ja siirrä kaikki jaettavat tiedostot sinne  Jaa: jako tietyille henkilöille, ryhmille ja/tai sähköpostiosoitteille (ulkoinen)  Kopioi linkki: jako kenelle tahansa, jolle lähetät linkin.  Jos lisäät kansioon uusia tiedostoja, myös ne aukeavat aiemmin tehdyn jakolinkin kautta.  Älä jaa kansion kautta henkilötietoja ulkopuolisille tai niille, joiden tehtäviin ne eivät kuulu! Lisätietoa: https://support.microsoft.com/fi-fi/office/tiedostojen-kansioiden-ja-luettelokohteiden-jakaminen-74cab0bf-39c6-4112-a63f-88ee121722d0 43
  • 44. Harkitse ennen kuin jaat! 44 MITÄ? MITEN? RISKIT? Yksi dokumentti/tiedosto Jako yhdelle oman organisaation käyttäjälle Turvallisin vaihtoehto Yksi dokumentti/tiedosto Jako usealle oman organisaation käyttäjälle Lähes yhtä turvallinen vaihtoehto Yksi dokumentti/tiedosto Jako oman organisaation ryhmälle Turvallinen, jos ryhmä on tehty juuri kyseisten tietojen jakamiseen. Yksi dokumentti/tiedosto Jako ulkopuolisille linkillä Ei ole turvallinen henkilötietojen ja salassa pidettävien tietojen jakamiseen. Jaa linkillä vain julkisia tietoja. Kokonainen OneDrive- kansio Jako oman organisaation käyttäjille Turvallinen, jos kansio on tehty juuri kyseisten tietojen jakamiseen. Kokonainen OneDrive- kansio Jako oman organisaation ryhmälle Altis liian laajalle jakamiselle eli tietojen päätymiselle työntekijöille, joille ne eivät kuulu. Kokonainen OneDrive- kansio Jako ulkopuolisille linkillä Kaikkein turvattomin: altis tietojen vuodolle ulkopuolisille
  • 45. Excelin salasanasuojaus ”Opettaja oli vienyt tiedot oppimisalustalle Excel-tiedostona siten, että henkilöiden nimet sisältävä sarake oli piilotettu salasanan taakse. Itä-Suomen yliopiston oikeustieteiden laitoksen johtaja Matti Turtiasen mukaan salasanasuojauksen toimivuus oli tarkistettu erikseen Excelissä. – Opettajalle tuli kuitenkin yllätyksenä, että salasanasuojaus ei toimi, jos tiedosto avataan Google-sovellusten avulla.” Lähde: Yle, 19.4.2021, https://yle.fi/a/3-11884988 45
  • 46. Älä luota Excelin salasanasuojaukseen!  Vasemmalla: Excelissä on piilotettu sarakkeet B, C ja D sekä kytketty salasanasuojaus päälle  Oikealla: Kun tiedoston tuo Google Driveen, sarakkeet saa näkyville (salasanaa ei tarvita) 46
  • 47. Kysymys: henkilötietojen kerääminen pilvipalveluihin 47  Pilvipalvelujen tarjoajat ovat henkilötietojen käsittelijöitä. Vastuu niiden käytöstä on rekisterinpitäjällä.  Käytä henkilötietojen tallentamiseen ja keräämiseen vain rekisterinpitäjän hyväksymiä pilvipalveluita. Noudata rekisterinpitäjän ohjeistusta, mitä tietoja saa tallentaa pilveen.  Pilvipalveluissa on pidettävä huolta, että käyttäjätunnukset ovat henkilökohtaisia ja pääsyoikeudet henkilötietoihin on määritelty työtehtävien mukaisesti.  Jos Office 365:n Forms-lomakkeella tai tiedostopyynnöllä kerätään henkilötietoja, tietosuojaseloste tulee toimittaa etukäteen rekisteröidyille tai linkittää lomakkeelle, jotta rekisteröidyt voivat tutustua siihen. • Saako henkilötietorekisteriä kerätä pilvipalveluun, esimerkiksi organisaation 0ffice 365:een? • Voiko Office.com:in lomakkeita käyttää henkilötietojen keräämiseen?
  • 48. Tietojen kerääminen Forms-lomakkeella  Laita tietosuojaselosteen linkki lomakkeen alun tekstiin.  Lähetä lomakkeen linkki suoraan vastaanottajille.  Jos et todella tarvitse vastaajien nimiä, poista ”Tallenna nimi” –kohdan ruksi. 48
  • 49. Tiedostojen pyytäminen OneDrive-kansioon  Tiedostopyyntö on turvallinen keino vastaanottaa tiedostoja.  Aluksi: Luo OneDrive-kansio  valitse se  ”Pyydä tiedostoja”  Kopioi linkki tai lähetä tiedostopyyntö tietyille käyttäjille, ryhmille ja/tai sähköpostiosoitteille.  Pidä vastaanotetut tiedostot tallessa, älä jaa niitä ulkopuolisille!  Vinkki: lähettämäsi tiedostopyynnöt ja sinulle lähetetyt tiedostot tallentuvat myös Outlookiin sähköposteina. Lisätietoa: https://support.microsoft.com/fi-fi/office/tiedostopyynn%C3%B6n-luominen-f54aa7f8-2589-4421-b351-d415fc3b83af 49
  • 50. Tiedostopyyntö vastaanottajan näkökulmasta  Vinkki: kokeile lähettää tiedostopyyntö ensin itsellesi, niin näet, miten se toimii.  Ohjeista tarvittaessa vastaanottajaa, miten tunnistaa sinulta tuleva tiedostopyyntö. 50
  • 51. Office 365:n ryhmät ja vieraskäyttäjät
  • 52. Miten ryhmiä kannattaa luoda?  Koska Office 365 -ryhmiä kannattaa niitä luoda sen mukaan, miten organisaatiossa yleensä käytetään Office 365:ttä. 1. Jos organisaatiosi käyttää suurimman osan viestinnästään sähköpostitse, opasta käyttäjiä luomaan ryhmiä Outlookissa. 2. Jos organisaatiosi käyttää paljon SharePointia, opasta käyttäjiä luomaan SharePoint- työryhmäsivustoja yhteistyötä varten. 3. Jos organisaatiosi on ottanut Teamsin käyttöön, opasta käyttäjiäsi luomaan tiimi, kun he tarvitsevat yhteistyötilaa. Lähde: https://learn.microsoft.com/fi-fi/microsoft-365/admin/create-groups/explain-groups-knowledge-worker?view=o365-worldwide https://support.microsoft.com/fi-fi/office/lis%C3%A4tietoja-microsoft-365-ryhmist%C3%A4-b565caa1-5c40-40ef-9915-60fdb2d97fa2 52
  • 53. Office 365 -ryhmien tietosuoja  Ryhmät luodaan Office 365 admin centerissä (järjestelmänvalvoja ja muut, joille on annettu oikeudet luoda ryhmiä)  Julkinen: käyttäjät voivat liittyä ilman omistajan hyväksyntää. Näytetään hakutuloksissa ja käytettävissä olevien tiimien luettelossa, johon voit liittyä.  Yksityinen: käyttäjät voivat liittyä vain, jos omistaja on lisännyt heidät. Ne eivät näy hakutuloksissa tai liityttävissä olevien tiimien luettelossa. 53
  • 54. Office 365 –ryhmien käyttäjien roolit  Järjestelmänvalvojat: Voivat luoda uusia ryhmiä ja muuttaa ryhmien asetuksia.  Omistajat: Ryhmän omistajat voivat lisätä tai poistaa jäseniä, ja heillä voi olla yksilöllisiä käyttöoikeuksia, kuten mahdollisuus poistaa keskusteluja jaetusta Saapuneet-kansiosta tai muuttaa ryhmän eri asetuksia. Ryhmän omistajat voivat nimetä ryhmän uudelleen, päivittää kuvauksen tai kuvan ja paljon muuta.  Jäsenet: Jäsenet voivat käyttää kaikkea ryhmän osaa, mutta eivät voi muuttaa ryhmän asetuksia. Ryhmän jäsenet voivat oletusarvoisesti kutsua vieraita liittymään ryhmään.  Vieraat eli vieraskäyttäjät: Ryhmän vieraat ovat jäseniä, jotka ovat organisaatiosi ulkopuolisia käyttäjiä. Lähde: https://learn.microsoft.com/fi-FI/microsoft-365/admin/create-groups/office-365-groups?view=o365-worldwide 54
  • 55. Ryhmien vieraskäyttäjät  Oletuksena Microsoft 365 -ryhmien vieraskäyttö on sallittuna.  Järjestelmänvalvojat voivat määrittää, sallitaanko vieraskäyttö ryhmille koko organisaatiolle vai yksittäisille ryhmille.  Järjestelmänvalvoja voi muuttaa asetusta kohdasta Organisaatio  Suojaus ja tietosuoja  Jakaminen  ”Salli käyttäjien lisätä uusia vieraita organisaatioon”  Kun vieraskäyttö on sallittu, ryhmän jäsenet voivat kutsua vieraita Microsoft 365 -ryhmiin mm. Teamsin kautta.  Jos joku muu kuin omistaja lisää vieraskäyttäjiä ryhmiin, kutsut lähetetään ryhmän omistajalle hyväksyttäväksi. Lisätietoa: https://learn.microsoft.com/fi-fi/microsoft-365/admin/create-groups/manage-guest-access-in-groups?view=o365-worldwide 55
  • 56. Teams-ryhmät eli tiimit  Suunnittele etukäteen, millaisia tiimejä luot Teamsiin  Yleensä General-kanava riittää  Luo lisäkanavia, kun tarvitset niitä esimerkiksi tiedon järjestämistä varten tai pienryhmien työskentelyyn  Huomaa, että tiimin tiedostot ovat käytettävissä myös SharePoint- sivustolla sekä OneDrivessä 56 Alustat Kanavat Teams- ryhmät Ryhmä 1 General Viestit Kokoukset Tiedostot SharePoint- sivusto Muut sovellukset Kanava 1 Viestit Tiedostot SharePoint- sivusto
  • 57. Kanavien lisääminen Teamsin tiimeihin  Valitse kanavan yksityisyys tarkoituksen mukaan: suunnittele, mitä henkilö- ja muita tietoja kanavassa on tarkoitus käsitellä. 57
  • 58. Jäsenten lisääminen Teamsin tiimeihin  Voit lisätä Teamsiin uusia jäseniä kirjoittamalla mm. kutsuttavien nimet tai ulkopuolisten sähköpostiosoitteet (=vieraskäyttäjiä).  Varmista aina ensin, ettei tiimiin ole tallennettu tietoja, jotka eivät kuulu uusille jäsenille. 58
  • 59. Kysymys: Teamsin käyttö hankkeissa 59  Rekisterinpitäjän tulee suunnitella henkilötietojen käsittely etukäteen. Tähän sisältyy mm. riskiarviointi, suojatoimenpiteet ja informointivelvollisuudesta huolehtiminen.  Selvitä, muodostaako Teamsiin luotava tiimi uuden rekisterin vai sisältyykö se johonkin olemassa olevaan rekisteriin. Kysy tarvittaessa apua organisaation tietosuojavastaavalta.  Teamsin sisäiset tiimit liittyvät organisaation henkilöstörekisteriin.  Teamsin tiimit, joihin kutsutaan organisaation ulkopuolisia, ovat esimerkiksi:  Asiakasrekistereitä  Yhteistyökumppaneiden rekistereitä  Hankkeiden osallistujien rekistereitä  Oikeusperusteena voi olla rekisterinpitäjän oikeutettu etu, sopimus tai suostumus.  Linkitä tietosuojaseloste Teamsiin ja/tai lähetä se etukäteen Teamsiin liittyville. • Pitäisikö Teamsiin liittymisen yhteydessä pyytää suostumus, että henkilön nimi ja yhteystiedot voidaan jakaa muiden tiimissä olevien kesken? • Voidaanko lähteä siitä, että hankkeen Teamsiin ei voi liittyä anonyymisti?
  • 60. Liittyminen vieraskäyttäjänä toisen organisaation Office 365-ympäristöön  Varmista ennen kirjautumista, että kutsu toiseen organisaatioon on aito. Varo huijauksia! 60
  • 62. Huijauspuhelut Microsoftin nimissä ▪ Tavoitteena saada käyttäjätunnus haltuun. ▪ Huijauspuhelu voi tulla myös suomalaisesta numerosta. ▪ Huijarit esiintyvät yleisimmin Microsoftin IT- tukihenkilöinä. ▪ Huijaukseen voi liittyä myös sähköposteja, tekstiviestejä ja tietojenkalastelusivuja. ▪ Microsoftin tutkimuksen mukaan puolet Suomessa asuvista aikuisista oli altistunut IT-tukihuijauksille (2021). ▪ 12 % oli ensin jatkanut keskustelua huijarin kanssa, mutta lopettanut sitten. ▪ 3 % vastaajista oli menettänyt rahaa. 62 Lähde: Mtv, 5.8.2021, https://www.mtvuutiset.fi/artikkeli/karu-tulos-jo-puolet-suomalaisista-saanut-hamaran-microsoft-huijauspuhelun-nain-montaa-vedettiin-nenasta/8205906
  • 63. Huijaus- ja tietojenkalasteluviestit 63 1. Älä luota sähköpostin tai tekstiviestin lähettäjän nimeen tai osoitteeseen/numeroon. 2. Älä koskaan avaa yllätyksenä tullutta liitetiedostoa. 3. Tarkista linkki esim. viemällä hiiri sen päälle. 4. Anna tietojasi vain varmasti luotettaville tahoille. 5. Jos epäilet huijausta, tarkista aitous muuta kautta
  • 64. Varo: Office 365 -huijaukset ovat yleisiä!  Rikolliset pyrkivät tietojenkalastelusivun avulla saamaan haltuunsa käyttäjätunnuksia, joilla he voivat päästä käsiksi luottamuksellisiin tietoihin kuten lähetettyihin laskuihin.  Murretuilla tunnuksilla voidaan lähettää esim. ”korjattuja” huijauslaskuja. Lähde: Viestintävirasto, 2019, https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/uusin-microsoft-office-365-huijaus-ohjaa-uhrin-murretulle-sharepoint-tilille 64
  • 65. Tietoturvaloukkaus 65 Tarkoitetaan henkilötietojen…  vahingossa tapahtuvaa tai lainvastaista tuhoamista  häviämistä  muuttamista  luvatonta luovuttamista tai pääsyä tietoihin Rekisterinpitäjällä on velvollisuus ilmoittaa 72 tunnin kuluessa tietoturvaloukkauksesta tietosuojaviranomaiselle ja lisäksi rekisteröidylle, jos siitä aiheutuu korkea riski. Henkilötietojen käsittelijän on ilmoitettava loukkauksesta rekisterinpitäjälle viipymättä.
  • 66. Tietosuojarikkomukseen reagointi 1. Vahingon sattuessa tai tullessa esiin: rauhoitu. Onko jotain, mitä voit tehdä välittömästi vähentääksesi seurauksia? 2. Kerro lähimmälle esimiehelle ja/tai tietosuojavastaavalle. 3. Aloita tiedonkeruu tapauksesta. Kirjaa ylös, mitä tapahtui. Ensikäden havainnoista on hyötyä jatkotutkinnalle. 4. Pyri rajaamaan, keistä henkilöistä ja mistä tiedoista on kyse: nimet, tunnisteet, yhteystiedot, arkaluontoiset ja salassa pidettävät jne. Rekisterinpitäjä ja tietosuojavastaava:  Ilmoita TSV:lle: https://tietosuoja.fi/ilmoitus-tietoturvaloukkauksesta  Ilmoita Kyberturvallisuuskeskukselle: https://www.kyberturvallisuuskeskus.fi/fi/ilmoita  Ilmoita rekisteröidyille, jos heihin kohdistuu todennäköisesti korkea riski.  Anna ohjeita, miten välttää ikäviä seurauksia. 66