SlideShare a Scribd company logo

Tietoturva ja tietoturvaloukkaukset

Harto Pönkä
Harto Pönkä

Webinaari Snellman-kesäyliopiston järjestämällä Tietosuojavastaavan peruskurssilla (2 op) 3/3, 27.8.2019, Harto Pönkä, Innowise

Data & Analytics
1 of 44
Download to read offline
Tietoturva ja tietoturva- loukkaukset Tietosuojavastaavan peruskoulutus 3/3, Snellman-kesäyliopisto, 2 op Harto Pönkä 27.8.2019 Kuva: Pixabay
Kuva: Matthew Henry @ Unsplash Tietosuojalla suojataan ihmisten oikeutta yksityisyyteen (tunnistettavuus). Tietoturvalla suojataan henkilö- ja muitakin tietoja laittomalta käytöltä. Suojaustoimenpiteet suhteutetaan riskiarvioon tietoturvauhista.
Tietosuojavastaavan riskienhallinta
• GDPR:n mukaan tietosuojavastaavan on ”otettava asianmukaisesti huomioon käsittelytoimiin liittyvä riski ottaen samalla huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset” (39 artikla) • Riskiarvioinnin teko eri henkilötietojen käsittelytoimista on siten GDPR:n mukainen tietosuojavastaavan perustyökalu. • Käytännössä tietosuojavastaava… – Arvioi, mihin käsittelytoimiin hänen on syytä varata enemmän aikaa ja resursseja. – Arvioi tarvetta vaikutustenarvioinneille ja antaa rekisterinpitäjälle neuvoja vaikutustenarvioinnin menetelmistä. – Arvioi tarpeita toteuttaa sisäinen tai ulkoinen tietosuojaa koskeva tarkastus. – Arvioi, mitä koulutusta tarvitaan henkilöstölle ja johdolle. – Seuraa ja analysoi tietosuojasääntöjen noudattamista ja tuo esiin puutteita. • Edellyttää mm.: seloste käsittelytoimista, riittävät resurssit, yhteistyö organisaation sisällä, pääsy henkilötietoihin, raportointi johdolle. Tietosuojavastaavan riskienhallinta Lähde: Tietosuojatyöryhmä: Tietosuojavastaavia koskevat ohjeet, 2016, https://tietosuoja.fi/documents/6927448/8316711/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf/3aad84e5-bb59-4e64-bdaf- adc1e5f2d719/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf.pdf
Riskiarviossa huomioitavaa Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit
• Tietosuojaa koskeva vaikutustenarviointi on rekisterinpitäjän vastuulla, mutta tietosuojavastaava voi suositella sen tekoa. • Ennen vaikutustenarviointia tietosuojavastaavan olisi jo tullut tehdä riskiarvio kyseisestä henkilötietojen käsittelytoimesta. • Vaikutustenarvioinnin yhteydessä tietosuojavastaavalta tulisi pyytää neuvoja mm. seuraavissa kysymyksissä: – Onko syytä tehdä tietosuojaa koskeva vaikutustenarviointi? – Mitä menetelmiä vaikutustenarviointia tehtäessä olisi noudatettava? – Kannattaako vaikutustenarviointi toteuttaa sisäisesti vai ulkoistaa tehtävä? – Mitä suojatoimia (ml. tekniset ja organisatoriset toimenpiteet) olisi toteutettava, jotta vähennetään rekisteröityjen oikeuksiin ja etuihin kohdistuvia riskejä? – Onko tietosuojaa koskeva vaikutustenarviointi toteutettu oikein ja vastaavatko sen päätelmät yleisen tietosuoja-asetuksen vaatimuksia? • Vaikutustenarvioinnin dokumentoinnissa kirjataan tietosuojavastaavan antamat suositukset sekä mahdollisista erimielisyyksistä perusteet, miksi tietosuojavastaavan neuvoa ei noudateta. Tietosuojavastaava vaikutustenarvioinnissa Lähde: Tietosuojatyöryhmä: Tietosuojavastaavia koskevat ohjeet, 2016, https://tietosuoja.fi/documents/6927448/8316711/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf/3aad84e5-bb59-4e64-bdaf- adc1e5f2d719/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf.pdf
Hallinto ja toimintakulttuuri •Tietosuoja ja sen läpinäkyvyys on keskeinen osa toimintaperiaatteita •Tietoturvapolitiikka ja sen käytännöt on määritelty •Seloste käsittelytoimista ja informointi rekisteröidyille tehty •Rekisteröityjen pyyntöihin on varauduttu Henkilöstön toimintamallit •Henkilöstön roolit ja vastuut on määritelty •Salassapitovelvollisuus •Koulutukset ja uusien työntekijöiden perehdytys •Työsuhteiden päättymiselle on toimintamalli •Tietoturvaloukkausten raportointiin on toimintamalli Henkilötietojen käyttö ja hallinta •Henkilötietojen käsittelylle on selvät ohjeistukset •Suostumukset ja kiellot huomioitu toiminnassa •Tietosuoja on huomioitu mm. netin, sähköpostin ja somen käyttöohjeissa •Rekisteröidyt voivat hallita itse tietojaan •Tietojen tuhoaminen tehdään turvallisesti Tilojen valvonta •Tiloihin pääsy on valvottua ja avaimista pidetään kirjaa •Ulkopuolisten pääsy henkilöstön työpisteisiin on estetty •Mahdollisesta kameravalvonnasta on rekisteri ja siitä ilmoitetaan •Tarvittaessa tilojen turvaluokitukset Rekisteröityjen tunnistaminen •Rekisteröidyt tunnistetaan, kun tietoja kerätään •Rekisteröidyt tunnistetaan, kun he käyttävät oikeuksiaan •Asiointi tapahtuu ennalta nimettyjen henkilöiden kanssa Käyttäjätunnukset ja oikeudet •Henkilökohtaiset käyttäjätunnukset •Roolien mukaiset käyttöoikeudet ja niiden tarkistaminen työtehtävien muuttuessa •Salasanoille ja vastaaville on laatuvaatimukset •Järjestelmien oletussalasanat on vaihdettu Ulkopuoliset toimijat •Ulkopuolisista toimijoista pidetään kirjaa •Sopimus ja ohjeet henkilötietojen käsittelystä •Ulkopuolisten palveluntarjoajien vastuut on määritelty •Ulkopuoliset toimijat tuntevat rekisterinpitäjän toimintamallit ja ohjeet Laitteet ja tallennusvälineet •Tietokoneista ja mobiililaitteista pidetään kirjaa •Tietoturva- ja muut päivitykset kunnossa •Virustorjunnasta ja palomuureista on huolehdittu •Siirrettävien tallennusvälineiden (muistitikut, ym.) ja henkilökohtaisten laitteiden käytöstä on tehty ohjeistus Palvelimet ja verkkoyhteydet •Palvelintiloissa on pääsynvalvonta •Langattomien verkkojen liikenne on salattu •Erilliset vierasverkot •Palvelimien ohjelmistopäivitykset kunnossa •Palvelimien varmuuskopiointi on kunnossa •Palvelinohjelmistojen lokitiedot on suojattu Pilvipalvelut •Pilvipalvelujen käyttö henkilötietojen käsittelyssä on ohjeistettu •Informointi ja suostumukset kunnossa •Sopimuksissa on määritelty palvelutaso ja palveluntarjoajan vastuut •Palveluntarjoajat ovat sitoutuneet noudattamaan GDPR:n vaatimuksia Tekniset ja organisatoriset suojatoimet
Tietosuoja sähköisessä viestinnässä
Henkilötietojen julkaisu netissä: • Pyydä suostumus, jos julkaiset tai luovutat ulkopuolisille yksityishenkilöiden henkilötietoja • Työntekijöiden työhön liittyvät henkilötiedot voi yleensä julkaista Voi lähettää normaalissa sähköpostissa: • Tavanomaiset henkilötiedot (nimi, yhteystiedot jne.) • Edellytys: henkilökohtaiset sähköpostilaatikot ja tietoturva kunnossa Lähetä suojatussa sähköpostissa tai muussa turvallisessa viestintäkanavassa esim. suojatussa extranetissä: • Arkaluontoisia henkilötietoja • Lain mukaan salassa pidettäviä tietoja ja asiakirjoja Yksityiset laitteet ja sosiaalisen median palvelut: • Tee linjaus, saako yksityisiä laitteita ja sometunnuksia käyttää työssä • Ohjeista somepalvelujen käyttö työhön liittyvässä yhteydenpidossa Henkilötiedot digitaalisessa viestinnässä Lähteet: Tietosuojavaltuutetun päätös, 2008, http://www.tietosuoja.fi/fi/index/ratkaisut/saakohenkilotietojalahettaasahkopostilla.html
• Viestintä on perustuslain 10 §:n perusteella luottamuksellista. • Työntekijän sähköpostit ja muut sähköiset viestit kuuluvat luottamuksellisen viestinnän piiriin. – Työsuhteen päättyessä työntekijän sähköpostitili tulee sulkea. – Automaattivastauksen tai edelleenvälityksen asettaminen työntekijän sähköpostiosoitteeseen edellyttää tämän suostumusta. • Viestin ja välitystietojen luottamuksellisuus (laki sähköisen viestinnän palveluista, 136 §): – Viestinnän osapuoli voi käsitellä omia viestejään ja niiden välitystietoja. Hän voi esim. kertoa tai julkaista viestin sisällön, mikäli se ei loukkaa jonkun muun yksityisyyttä. – Muita sähköisiä viestejä ja välitystietoja saa käsitellä viestinnän osapuolen suostumuksella tai jos laissa niin säädetään. – Se, joka on ottanut vastaan tai muutoin saanut tiedon sähköisestä viestistä -- jota ei ole hänelle tarkoitettu, ei saa ilman viestinnän osapuolen suostumusta ilmaista tai käyttää hyväksi viestin sisältöä, välitystietoa tai tietoa viestin olemassaolosta • Rikoslain 38 luku 3 §, viestintäsalaisuuden loukkaus: joka oikeudettomasti 1) avaa toiselle osoitetun … taikka 2) hankkii tiedon.. Viestinnän luottamuksellisuus Lähde: Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018, https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88- 42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
GDPR vs. viestintäsalaisuus? • Vain lähettäjä ja vastaanottaja saavat lukea henkilölle osoitetun viestin • Työnantajalla voi joskus olla oikeus lukea työntekijän työhön liittyviä viestejä • On epäselvää, koskevatko GDPR:n määräykset niitä tietoja, jotka ovat työntekijöiden henkilökohtaisissa sähköpostilaatikoissa ja vastaavissa • Työnantajan tulisi ohjeistuksilla huolehtia, että GDPR:n mukaiset rekisteröityjen oikeudet toteutuvat viestintäsalaisuuden sitä estämättä
• Työnantajalle kuuluvan sähköpostiviestin hakeminen ja avaaminen työntekijän postilaatikosta ilman tämän lupaa on mahdollista työelämän tietosuojalain mukaisesti (laki yksityisyyden suojasta työelämässä, 6 luku) • ENSIN: Työnantajalla on huolehtimisvelvoite, että: – 1. Työntekijän käytettävissä on automaattivastaus-toiminto tai – 2. työntekijä voi ohjata viestit toiselle työnantajan hyväksymälle henkilölle tai toiseen omassa käytössään olevaan työnantajan hyväksymään osoitteeseen taikka – 3. työntekijälle varataan mahdollisuus antaa hyväksytylle henkilölle lupa ottaa vastaan viestejä, joista työnantajan on välttämätöntä saada tieto – 4. asia käsitellään YT-menettelyssä tai vastaavassa. • EDELLYTYKSET viestien (saapuneiden tai lähetettyjen) esille hakemiseen: – 1) vain yhdessä pääkäyttäjän kanssa, – 2) työnantajan toimintaan liittyvien neuvottelujen loppuun saattamiseksi, – 3) asiakkaan palvelemiseksi, – 4) työnantajan toimintojen turvaamiseksi. – JOS: 5) itsenäisesti työnantajan lukuun toimiva, eikä käytössä ole muuta vastaavaa järjestelmää, – 6) työntekijän tehtävien tai asioiden nojalla ilmeistä, että on työnantajalle kuuluvia viestejä, – 7) että työntekijän este on tilapäinen, eikä huolehtimisvelvoite ole ”tehonnut”, – 8) työntekijän suostumusta ei ole saatavilla riittävän nopeasti asian laatuun nähden. Työnantajalle kuuluvan viestin haku 1/2 Lähde: Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018, https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88- 42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
• Viestien esille hakemisen menettelytapa: – 9) Kirjallinen, allekirjoitettu selvitys (ketkä, miksi, milloin) – 10) Selvitys välittömästi työntekijälle – 11) Ei saa käsitellä viestejä tarpeettoman laajasti – 12) Salassapitovelvoite voimassa työsuhteen ajan + sen jälkeen. • Kun viestien otsikkotiedot on haettu esille (kohdat 1-12) ja – ilmenee, että on em. syistä välttämätöntä avata tietty viesti, – eikä viestin lähettäjään saada yhteyttä sisällön selvittämiseksi tai lähettämiseksi työnantajalle, – voidaan edetä tietyn viestin avaamiseen. • Viestien avaamisen menettelytapa: – 13) pääkäyttäjä + ”todistaja” läsnä – 14) kirjallinen, allekirjoitettu selvitys (mikä viesti, milloin, ketkä, kenelle viestin sisältö on paljastettu) – 15) selvitys välittömästi työntekijälle – 16) viesti on säilytettävä – 17) käsittely- ja ilmaisukielto on voimassa. • Ks. työelämän tietosuojalaki, 6 luku: https://www.finlex.fi/fi/laki/ajantasa/2004/20040759#L6 Työnantajalle kuuluvan viestin haku 2/2 Lähde: Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018, https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88- 42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
• Julkisuuslain 5 §:n mukaan viranomaisen asiakirjana pidetään myös tälle toimitettua asiakirjaa ja viestiä. • KHO:n ennakkopäätöksen mukaan: ”Wilma-järjestelmän kautta saapuneet ja lähetetyt viestit ovat pääsääntöisesti viranomaisen asiakirjoja, joihin sovelletaan julkisuuslakia”. • MUTTA tästä ei seuraa, että kuka vain voisi pyytää viranomaisen ja kansalaisen välisiä viestejä. Samaan aikaan on huomioitava: – Asiakirjapyyntö pitää yksilöidä riittävän tarkasti (esim. ajankohta ja asia) – Viestien mahdollisesti sisältämät salassa pidettävät tiedot (JulkL 24 §). • Näitä ovat mm. tiedot terveydentilasta, henkilökohtaisista oloista, oppilashuollosta ja henkilökohtaisten ominaisuuksien sanallisesta arvioinnista, salaisesta puhelinnumerosta ja yhteystiedoista, jos henkilö on pyytänyt salassapitoa ja hänellä on perusteltu syy epäillä itsensä tai perheensä tulevan uhatuksi. – Laissa säädetyt vaitiolovelvollisuudet. • Perusopetuslain 40 §:n mukaan opetuksen järjestämisestä vastaavat, rehtori ja opettajat, kouluterveydenhuollon ja oppilashuollon edustajat eivät saa sivullisille ilmaista, mitä he ovat saaneet tietää oppilaiden, henkilöstön tai heidän perheenjäsenten henkilökohtaisista oloista ja taloudellisesta asemasta. • Tietosuojalain 35 §:n mukaan se, joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista, taloudellisesta asemasta taikka toisen liikesalaisuudesta, ei saa oikeudettomasti ilmaista sivulliselle näin saamiaan tietoja eikä käyttää niitä omaksi tai toisen hyödyksi tai toisen vahingoksi. Viestit viranomaisen asiakirjoina (Wilma) Lähteet: Julkisuuslaki, https://www.finlex.fi/fi/laki/ajantasa/1999/19990621, KHO:n päätös 4242/2016, https://www.kho.fi/fi/index/paatoksia/muitapaatoksia/muupaatos/1475735437486.html
Somepalvelujen tietosuojasta
• GDPR:n mukaan 16-vuotias (Suomessa 13-v.) voi antaa itse suostumuksen henkilötietojen käsittelyyn tietoyhteiskunnan palveluissa kuten somepalveluihin rekisteröitymiseen. – Somepalvelut vaativat joko käyttäjän syntymäajan tai ilmoittavat ehdoissaan käyttöehtojen hyväksymiseen vaadittavan iän. – Jotkin palvelut kertovat poistavansa liian nuorten käyttäjätunnukset, mutta eivät käytännössä pyri varmistamaan käyttäjien ikiä. • GDPR ei edellytä, että somepalvelut pyytäisivät käyttäjien todelliset nimet. Esimerkiksi Twitter ja Google eivät vaadi oikeaa nimeä, mutta Facebook vaatii ”nimen, jota käytät elämässäsi”. • Somepalveluissa on eroja, kielletäänkö käyttäjätunnuksen antaminen jonkun muun käyttöön. Esimerkiksi Facebook kieltää tämän. • Tavallisesti tunnuksiin liitetään sähköpostiosoite ja/tai puhelinnumero. • Useat somepalvelut kuten Facebook ja LinkedIn mahdollistavat organisaatioiden tietosuojaselosteiden linkittämisen niiden profiileihin sekä ns. liidien keräyslomakkeille. • Useat somepalvelut ovat tehneet organisaatioiden käyttöä varten valmiin sopimuksen henkilötietojen käsittelystä. Miten GDPR vaikutti somepalveluihin?
Lähde: Facebookin käyttöehdot, ”Meille antamasi luvat ja oikeudet”, https://www.facebook.com/legal/terms (22.5.2019) Somepalvelujen käyttöehdot antavat ison vastuun käyttäjille, mutta vaativat laajat oikeudet näiden tietoihin – myös kaupalliset oikeudet käyttäjien nimiin.
Kuvakaappaus: https://twitter.com/valtioneuvosto/status/1126065410242117632 (22.5.2019) Jos somejulkaisun tarkoitus on ainoastaan journalistinen, kirjallinen tai taiteellinen, siihen ei sovelleta useimpia GDPR:n velvoitteita. Näin ei kuitenkaan voida julkaista alun perin muuhun tarkoitukseen kerättyjä henkilötietoja. Käyttäjät ovat hyväksyneet somepalvelujen käyttöehdot, joiden puitteissa julkaisuja voidaan esimerkiksi jakaa ja upottaa muualle. Myös lainaaminen on yleensä mahdollista. Somepalvelujen käyttäjätunnukset voivat olla henkilötietoja, jos ne mahdollistavat henkilön tunnistamisen. Tämä on huomioitava, jos niitä tallennetaan palvelun ulkopuolelle.
• Joissakin tilanteissa Facebook-sivun ylläpitäjä voidaan katsoa yhteisrekisterinpitäjäksi Facebookin kanssa. • Facebook on henkilötietojen käsittelijä mm. organisaatioiden mainos- ja analytiikkatyökalujen yhteydessä. • Facebook on asettanut sivujen ylläpitäjille lisäehtoja, jotka tulivat voimaan 28.9.2018. – Katso ”Sivun kävijätietojen hallinnoija -lisäys”: https://www.facebook.com/legal/terms/page_controller_addendum# • Käytännön toimenpiteet: – Tunnista Facebook-sivun rekisterinpitäjä ja käsittelyn oikeusperuste. Ilmoita sivun tiedoissa siitä vastaava organisaatio. – Lisää tietosuojaseloste Facebook-sivun tietoihin privacy policy -kohtaan. – Jos saat sivun kävijöiltä tai viranomaisilta GDPR:n mukaisia pyyntöjä, välitä ne viipymättä Facebookille tällä lomakkeella: https://www.facebook.com/help/contact/308592359910928 Facebook-sivun ylläpitäjän asema
Pikaviestipalvelujen tietosuoja Lähde: Amnesty, For your eyes only?, 2016, https://www.amnesty.org/download/Documents/POL4049852016ENGLISH.PDF
WhatsApp Business -sovellus • Android-versio tammikuussa 2018, iOS-versio huhtikuussa 2019 • Asennettu yli 50 miljoonaa kertaa • Kuten WhatsApp-sovellus, mutta voi luoda profiilin yritykselle/organisaatiolle • Sisältää GDPR:n mukaisen sopimuksen henkilötietojen käsittelystä • Keskustelun aloitus linkin kautta • Automaattiset aloitusviestit, pikavastaukset, tilastot • Android: https://play.google.com/store/apps/details?id=com.wh atsapp.w4b • iOS: https://itunes.apple.com/app/whatsapp- business/id1386412985?mt=8
Pilvipalvelut ja tietojärjestelmät
- Voiko yhteistä Excel-taulukkoa pitää missään pilvipalvelussa, esim. yrityksen G Suitessa tai 0ffice 365:ssa? - Voiko Google Driven lomakekyselyitä käyttää henkilötietojen keräämisessä? Kysymys: henkilötiedot pilvipalveluissa • Periaatteessa estettä esim. Microsoftin ja Googlen organisaatioille tarkoitettujen pilvipalvelujen käytölle henkilötietojen käsittelyssä ei ole estettä. – Pilvipalvelujen ylläpitäjät ovat henkilötietojen käsittelijöitä ja siitä on oltava sopimus. – Henkilötietojen siirto EU:n ulkopuolelle on mahdollista mm. Privacy shield-järjestelmän ja EU- komission mallisopimuslausekkeiden perusteella. • Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on määritelty työtehtävien mukaisesti. Ei yhteiskäyttötunnuksia. • Jos esim. Google-lomakkeella kerätään henkilötietoja, on sitä varten oltava tietosuojaseloste ja se tulee linkittää lomakkeelle. Tietojaan antavien henkilöiden tulee voida tietää etukäteen, miten heidän tietojaan käytetään. • Organisaation kannattaa ohjeistaa, saako esim. yksityistä Google-tunnusta ja sen alaista Google Drive -palvelua käyttää työssä henkilötietojen käsittelyssä.
• Yhdysvalloissa ei ole vastaavaa tiukkaa henkilötietojen käytön sääntelyä kuin EU-maissa. Tämän vuoksi yhdysvaltalaisten verkkopalvelujen käytössä tulee olla erityisen varovainen. • Henkilötietoja voidaan siirtää Privacy shield –järjestelmään sitoutuneille tahoille – Privacy shield on toistaiseksi voimassa ja mahdollistaa laillisesti EU-kansalaisten henkilötietojen siirron ja käsittelyn yhdysvaltalaisissa palveluissa. – Privacy shield on kohdannut kritiikkiä ja on epäilty, että se tulee kaatumaan myöhemmin EU- tuomioistuimessa • Toinen lainmukainen vaihtoehto on, että yhdysvaltalainen palveluntarjoaja sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin – Esimerkiksi Google ja Microsoft toimivat näin • Yhdysvaltalaisia palveluita voidaan käyttää myös rekisteröityjen tai alaikäisten huoltajien suostumuksella tai mikäli niiden käyttö ei edellytä henkilötietojen antamista Yhdysvaltalaiset verkkopalvelut
Tietojärjestelmien GDPR-valmius?
Tietoturvan osa-alue Vaatimus Vastaus Järjestelmän ylläpito Vastaako järjestelmän ylläpidosta organisaatio vai onko se ulkoistettu? Suostumusten hallinta Tukeeko tietokanta suostumusten ja kieltojen hallintaa? Käyttäjienhallinta Luottamuksellisuus Onko kaikilla käyttäjillä yksilölliset käyttäjätunnukset? Pääsynvalvonta Luottamuksellisuus Onko järjestelmä kertakirjautumisen piirissä? Pääsynvalvonta Luottamuksellisuus Onko salasanoilla laatuvaatimukset? Millaiset? Lokitus Luottamuksellisuus Lokitetaanko järjestelmään kirjautuminen? Lokitus Luottamuksellisuus Lokitetaanko henkilötietojen käyttö? Lokitus Luottamuksellisuus Lokitetaanko admin-käyttäjien toimet? Lokitus Luottamuksellisuus Onko järjestelmän tuottamien lokien muuttaminen tai poistaminen estetty? Varmuuskopiointi Eheys, saatavuus Onko järjestelmän ja sen tietojen varmuuskopioinnista suunnitelma, joka huomioi erilaiset tietojen palautustarpeet? Varmuuskopiointi Eheys, saatavuus Testataanko varmuuskopioiden palautuksia? Tietoturvapäivitykset Luottamuksellisuus, eheys, saatavuus Onko järjestelmässä automatisoitu (tietoturva)päivitysten jakelu? Toipumiskyky Saatavuus Onko järjestelmälle laadittu toipumissuunnitelma? Tiedon suojaus Luottamuksellisuus Onko tunnistettu tarvetta henkilötietojen salaamiselle tai pseudonymisoinnille? Tiedon suojaus Luottamuksellisuus Onko tiedonsiirrot organisaation ulkopuolelle salattu? Tietoturvatestaus Luottamuksellisuus, eheys, saatavuus Tehdäänkö säännöllisiä tietoturvatestauksia? Lähde: Valtiovarainministeriö, Tietojärjestelmien tietoturvavaatimuksia GDPR-näkökulmasta (Excel), saatavana: http://vm.fi/juhta-vahti-yhteishankkeiden-materiaalit (27.2.2018)
Pilvipalveluiden vastuunjakomallit Lähde: Traficom, Kyberturvallisuuskeskus, 2019, Pilvipalveluiden turvallisuuden arviointikriteeristö (PiTuKri), https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/file/Pilvipalveluiden_turvallisuuden_arviointikriteeristo_PiTuKri.pdf • Pilvipalveluissa vastuut jakautuvat palveluntarjoajan ja asiakkaan välillä. • Pilvipalvelun tarjoaja on sopimukseen perustuen henkilötietojen käsittelijä (data controller). • IaaS = Infrastructure as a Service eli infrastruktuuri palveluna • PaaS = Platform as a Service eli ohjelmistoalusta palveluna • SaaS = Software as a Service eli ohjelmisto palveluna
• Osa-alue 1: Esiehdot – EE 01: Järjestelmäkuvaus – EE 02: Lainsäädäntöjohdannaiset riskit • Osa-alue 2: Turvallisuusjohtaminen – TJ 01: Turvallisuusperiaatteet – TJ 02: Turvallisuuden vastuut – TJ 03: Turvallisuusriskien hallinta – TJ 04: Turvallisuuspoikkeamien hallinta – TJ 05: Jatkuvuudenhallinta – TJ 06: Tietojen ja muiden suojattavien kohteiden luokittelu ja merkintä – TJ 07: Vaatimustenmukaisuus ja tietosuoja – TJ 08: Palveluntarjoajien ja toimittajien turvallisuus • Osa-alue 3: Henkilöstöturvallisuus – HT 01: Työsuhteen elinkaaren huomioiminen – HT 02: Henkilöstön luotettavuuden arviointi – HT 03: Salassapito- ja vaitiolositoumukset – HT 04: Turvallisuustietoisuus – HT 05: Tiedonsaantitarpeet ja tehtävien erottelu • Osa-alue 4: Fyysinen turvallisuus – FT 01: Monitasoinen suojaaminen ja riskienhallinta – FT 02: Rakenteet ja turvallisuusjärjestelmät – FT 03: Luvattoman pääsyn estäminen – FT 04: Palveluntuottajat ja vierailijat – FT 05: Varautuminen ja jatkuvuudenhallinta • Osa-alue 5: Tietoliikenneturvallisuus – TT 01: Tietoliikenneverkon rakenne – TT 02: Yleisiä verkkohyökkäyksiä vastaan suojautuminen – TT 03: Hallintayhteydet • Osa-alue 6: Tietojärjestelmäturvallisuus – JT 01: Käyttöoikeushallinta – JT 02: Käyttäjätunnistus – JT 03: Jäljitettävyys ja havainnointikyky – JT 04: Järjestelmäkovennus – JT 05: Tiedon erottelu – JT 06: Haittaohjelmasuojaus – JT 07: Suojattavien kohteiden siirtäminen ja poistaminen – JT 08: Salauskäytännöt ja avainhallinta • Osa-alue 7: Tietoaineistoturvallisuus – TA 01: Salaus fyysisesti suojatun alueen ulkopuolella – TA 02: Salaus fyysisesti suojatun alueen sisäpuolella – TA 03: Tietoaineistojen hävittäminen • Osa-alue 8: Käyttöturvallisuus – KT 01: Järjestelmäkuvaus jatkuvuuden ja käyttöturvallisuuden tukemiseksi – KT 02: Suorituskyvyn hallinta – KT 03: Varmuuskopiointi – KT 04: Haavoittuvuuksien hallinta – KT 05: Etäkäyttö ja -hallinta • Osa-alue 9: Siirrettävyys ja yhteensopivuus – SI 01: Siirrettävyys ja yhteensopivuus • Osa-alue 10: Muutostenhallinta ja järjestelmäkehitys – MH 01: Muutostenhallinta – MH 02: Järjestelmäkehitys Pilvipalveluiden turvallisuuden arviointi Lähde: Traficom, Kyberturvallisuuskeskus, 2019, Pilvipalveluiden turvallisuuden arviointikriteeristö (PiTuKri), https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/file/Pilvipalveluiden_turvallisuuden_arviointikriteeristo_PiTuKri.pdf
Muut tietoturvauhat
Lähde: Traficom, Kyberturvallisuuskeskus, Tietoturvan vuosi 2018, https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/publication/Vuosikatsaus_2018_tulostettava_sivuttain.pdf
Lähde: Traficom, Kyberturvallisuuskeskus, Tietoturvan vuosi 2018, https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/publication/Vuosikatsaus_2018_tulostettava_sivuttain.pdf
Lähde: Traficom, Kyberturvallisuuskeskus, Tietoturvan vuosi 2018, https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/publication/Vuosikatsaus_2018_tulostettava_sivuttain.pdf Office 365 -huijaus (2018-)
Lähde: Traficom, Kyberturvallisuuskeskus, Tietoturvan vuosi 2018, https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/publication/Vuosikatsaus_2018_tulostettava_sivuttain.pdf Tietojen kalastelu ja tietomurto
1. Hyökkääjät etsivät haavoittuvia verkkopalveluita, joita voidaan käyttää esim. mainostamiseen tai virusten ja haittaohjelmien levittämiseen. 2. Saastunut palvelu etsii palvelun käyttäjien käyttöjärjestelmän, selaimen ja sen liitännäisten tietoturva-aukkoja, joiden kautta voidaan asentaa viruksia ja haittaohjelma. Saastuneet verkkopalvelut Lähde: Viestintäviraston Kyberturvallisuuskeskuksen vuosiraportti 2015, https://www.viestintavirasto.fi/attachments/tietoturva/Viestintaviraston_Kyberturvallisuuskeskuksen_vuosiraportti_2015.pdf
Huolehdi verkkosovellusten päivityksistä Lähde: Sucuri, 2018, https://sucuri.net/reports/2018-hacked-website-report/ WordPress-julkaisujärjestelmä on useimmin hakkeroinnin kohteeksi joutunut verkkosovellus.
5 neuvoa mobiilisovellusten arviointiin 1. Asenna sovelluksia vain luotetuista sovelluskaupoista. – Suhtaudu varauksella sovellusten asentamiseen muista kuin virallisista Googlen ja Applen sovelluskaupoista. 2. Tarkista sovelluksen tekijä ja sovelluksen saama palaute. – Sovelluskaupoissa voi olla myös tunnettujen sovellusten väärennöksiä. – Jos sovellukselle ei tule päivityksiä, se voi sisältää haavoittuvuuksia, joita hyökkääjät voivat hyväksikäyttää. 3. Arvioi sovelluksen pyytämät oikeudet verrattuna sovelluksen käyttäjää palvelevaan toiminnallisuuteen. – Hyväksy mahdollisimman vähän oikeuksia laitteen tietoihin. – Tarkista sovellusten oikeudet aika ajoin. 4. Tutustu sovelluksen käyttöehtoihin. – Mitä tietojen keräämisestä ja käsittelystä kerrotaan? – Missä maassa tietoja käsitellään? 5. Työnantajalla voi olla tarkempia ohjeita työssä käytettävän mobiililaitteiden käytöstä. – Noudata työnantajan ohjeita, jos asennat sovelluksia työssä käytettäviin laitteisiin. Lähde: Viestintäviraston Kyberturvallisuuskeskus, 2018, https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2018/11/ttn201811141100.html
Tietoturvaloukkaukset
• Tietoturvaloukkauksella tarkoitetaan henkilötietojen… – vahingossa tapahtuvaa tai lainvastaista tuhoamista – häviämistä – muuttamista – luvaton luovuttamista tai pääsyä tietoihin • Tietosuojavastaavaa kuullaan mahdollisimman nopeasti tietoturvaloukkauksen tai muun tietosuojaan liittyvän ongelman tullessa esiin. • Rekisterinpitäjällä on velvollisuus ilmoittaa henkilötietojen tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle, jos siitä todennäköisesti aiheutuu korkea riski rekisteröityjen oikeuksille ja vapauksille • Ilmoitus valvontaviranomaiselle 72 h kuluessa loukkauksen havaitsemisesta • Rekisterinpitäjän on dokumentoitava kaikki tietoturvaloukkaukset, niihin liittyvät seikat, vaikutukset ja korjaavat toimet • Henkilötietojen käsittelijän on tehtävä ilmoitus tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä Henkilötietojen tietoturvaloukkaukset Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
Lähde: Traficom, Kyberturvallisuuskeskus, Tietoturvan vuosi 2018, https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/publication/Vuosikatsaus_2018_tulostettava_sivuttain.pdf Henkilötietoloukkaukset Suomessa
Havainto Rekisterinpitäjä havaitsee tai saa tietoonsa tietoturvaloukkauksen. Dokumentointi Kaikki tietoturvaloukkaukset, niiden vaikutukset ja korjaavat toimet dokumentoidaan. Riskiarvio Aiheuttaako tietoturvaloukkaus todennäköisesti riskin henkilöiden oikeuksille ja vapauksille? Ei Ilmoituksia ei edellytetä Kyllä Ilmoitus valvontaviranomaiselle Yleensä ilmoitus tehdään rekisterinpitäjän päätoimipaikan maan valvontaviranomaiselle. Ilmoitus rekisteröidyille Ilmoitetaan kohteena oleville henkilöille ja annetaan tarvittaessa ohjeita, miten he voivat suojautua seurauksilta. Ilmoitusvelvollisuus tietoturva- loukkauksista Lähde: Tietosuojatyöryhmä, Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta, 2017, https://tietosuoja.fi/documents/6927448/8316711/ Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46 -33b1-4b01-9a50- 9320d59bd605/Tietoturvaloukkauksen+ilmoittami nen+fi.pdf
Esimerkkejä tietoturvaloukkauksista Lähde: Tietosuojatyöryhmä, Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta, 2017, https://tietosuoja.fi/documents/6927448/8316711/Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46-33b1-4b01-9a50- 9320d59bd605/Tietoturvaloukkauksen+ilmoittaminen+fi.pdf Tapahtuma Ilmoitus valvontaviranomaiselle? Ilmoitus rekisteröidyille? Rekisterinpitäjä on tallentanut salatun varmuuskopion henkilötietoja sisältävästä arkistosta USB-muistitikulle. Muistitikku varastetaan murron yhteydessä. Ei Ei Rekisterinpitäjä ylläpitää verkkopalvelua. Palveluun tehdyn verkkohyökkäyksen seurauksena henkilöiden henkilötietoja varastetaan. Kyllä, jos henkilöille todennäköisesti aiheutuu seurauksia. Kyllä, jos henkilöille todennäköisesti aiheutuvien seurausten vakavuus on suuri. Henkilötietojen käsittelijänä toimiva pilvipalvelu havaitsee virheen koodissa, jolla hallitaan käyttövaltuuksia. Vian vaikutuksesta käyttäjät voivat nähdä toistensa tietoja palvelussa. Kyllä, kun rekisterinpitäjät ovat saaneet tiedon henkilötietojen käsittelijältä. Ei, jos henkilöille ei todennäköisesti aiheudu korkeaa riskiä. Suuren opiskelijamäärän henkilötiedot lähetetään erehdyksessä väärälle postituslistalle, jolla on yli tuhat vastaanottajaa. Kyllä Kyllä, mahdollisten seurausten vakavuudesta riippuen.
Keskustelu & kysymykset
Harto Pönkä http://twitter.com/hponka/ http://slideshare.com/hponka http://harto.wordpress.com/ http://www.innowise.fi/ Kiitos!

Recommended

Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...
Sonera
 
Tietoturvainformaation rikastaminen laadukkaamman tilannekuvan aikaansaamiseksi
Tietoturvainformaation rikastaminen laadukkaamman tilannekuvan aikaansaamiseksiTietoturvainformaation rikastaminen laadukkaamman tilannekuvan aikaansaamiseksi
Tietoturvainformaation rikastaminen laadukkaamman tilannekuvan aikaansaamiseksi
Finceptum Oy
 
Tietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussa
Harto Pönkä
 
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteitaTietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Harto Pönkä
 
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetTietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Harto Pönkä
 
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018
Vihreä Sivistys- ja Opintokeskus Visio
 
Mita tsa muutti suomessa
Mita tsa muutti suomessaMita tsa muutti suomessa
Mita tsa muutti suomessa
Päivi Korpisaari
 
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
Jan Lindberg
 

Recommended

Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...
Sonera
 
Tietoturvainformaation rikastaminen laadukkaamman tilannekuvan aikaansaamiseksi
Tietoturvainformaation rikastaminen laadukkaamman tilannekuvan aikaansaamiseksiTietoturvainformaation rikastaminen laadukkaamman tilannekuvan aikaansaamiseksi
Tietoturvainformaation rikastaminen laadukkaamman tilannekuvan aikaansaamiseksi
Finceptum Oy
 
Tietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussa
Harto Pönkä
 
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteitaTietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Harto Pönkä
 
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetTietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Harto Pönkä
 
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018
Vihreä Sivistys- ja Opintokeskus Visio
 
Mita tsa muutti suomessa
Mita tsa muutti suomessaMita tsa muutti suomessa
Mita tsa muutti suomessa
Päivi Korpisaari
 
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
Jan Lindberg
 
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaariEU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
Teemu Tiainen
 
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaTietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Harto Pönkä
 
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPROppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Harto Pönkä
 
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetKäsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Harto Pönkä
 
Tietosuoja etätyössä
Tietosuoja etätyössäTietosuoja etätyössä
Tietosuoja etätyössä
Harto Pönkä
 
Tietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävätTietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävät
Harto Pönkä
 
Toiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissa
Harto Pönkä
 
GDPR-työkaluja
GDPR-työkalujaGDPR-työkaluja
GDPR-työkaluja
Harto Pönkä
 
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­kiTyö­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Harto Pönkä
 
EU:n tietosuoja-asetus käytännössä
EU:n tietosuoja-asetus käytännössäEU:n tietosuoja-asetus käytännössä
EU:n tietosuoja-asetus käytännössä
Finanssiala ry - Finance Finland
 
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Eetu Uotinen
 
EU:n yleisen tietosuoja-asetuksen perusteet
EU:n yleisen tietosuoja-asetuksen perusteetEU:n yleisen tietosuoja-asetuksen perusteet
EU:n yleisen tietosuoja-asetuksen perusteet
Harto Pönkä
 
Tietosuoja opetuksessa
Tietosuoja opetuksessaTietosuoja opetuksessa
Tietosuoja opetuksessa
Harto Pönkä
 
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessaEU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
Harto Pönkä
 
Tietosuoja verkko- ja etäopetuksessa
Tietosuoja verkko- ja etäopetuksessaTietosuoja verkko- ja etäopetuksessa
Tietosuoja verkko- ja etäopetuksessa
Harto Pönkä
 
Tietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissa
Tietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissaTietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissa
Tietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissa
Suomen metsäkeskus
 
Tietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaTietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteella
Harto Pönkä
 
Gradia GDPR intro
Gradia GDPR introGradia GDPR intro
Gradia GDPR intro
Tiia Rantanen
 
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäTietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Harto Pönkä
 
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdfPalveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
japijapi
 
Tietosuoja ja informaatioturvallisuus Euroopassa
Tietosuoja ja informaatioturvallisuus EuroopassaTietosuoja ja informaatioturvallisuus Euroopassa
Tietosuoja ja informaatioturvallisuus Euroopassa
Harto Pönkä
 
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatioKriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
Harto Pönkä
 

More Related Content

Similar to Tietoturva ja tietoturvaloukkaukset

EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaariEU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
Teemu Tiainen
 

Similar to Tietoturva ja tietoturvaloukkaukset (20)

EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaariEU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
 
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaTietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
 
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPROppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
 
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetKäsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
 
Tietosuoja etätyössä
Tietosuoja etätyössäTietosuoja etätyössä
Tietosuoja etätyössä
 
Tietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävätTietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävät
 
Toiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissa
 
GDPR-työkaluja
GDPR-työkalujaGDPR-työkaluja
GDPR-työkaluja
 
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­kiTyö­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
 
EU:n tietosuoja-asetus käytännössä
EU:n tietosuoja-asetus käytännössäEU:n tietosuoja-asetus käytännössä
EU:n tietosuoja-asetus käytännössä
 
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
 
EU:n yleisen tietosuoja-asetuksen perusteet
EU:n yleisen tietosuoja-asetuksen perusteetEU:n yleisen tietosuoja-asetuksen perusteet
EU:n yleisen tietosuoja-asetuksen perusteet
 
Tietosuoja opetuksessa
Tietosuoja opetuksessaTietosuoja opetuksessa
Tietosuoja opetuksessa
 
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessaEU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
 
Tietosuoja verkko- ja etäopetuksessa
Tietosuoja verkko- ja etäopetuksessaTietosuoja verkko- ja etäopetuksessa
Tietosuoja verkko- ja etäopetuksessa
 
Tietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissa
Tietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissaTietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissa
Tietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissa
 
Tietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaTietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteella
 
Gradia GDPR intro
Gradia GDPR introGradia GDPR intro
Gradia GDPR intro
 
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäTietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
 
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdfPalveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
 

More from Harto Pönkä

More from Harto Pönkä (20)

Tietosuoja ja informaatioturvallisuus Euroopassa
Tietosuoja ja informaatioturvallisuus EuroopassaTietosuoja ja informaatioturvallisuus Euroopassa
Tietosuoja ja informaatioturvallisuus Euroopassa
 
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatioKriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
 
Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?
 
Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024
 
Some, algoritmit ja tekoäly
Some, algoritmit ja tekoälySome, algoritmit ja tekoäly
Some, algoritmit ja tekoäly
 
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotInformaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
 
Tietoturva ja luotettava tieto
Tietoturva ja luotettava tietoTietoturva ja luotettava tieto
Tietoturva ja luotettava tieto
 
Sosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaika
 
Juuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmit
 
Henkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminen
 
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
 
Informaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessa
 
Twitter taitekohdassa
Twitter taitekohdassaTwitter taitekohdassa
Twitter taitekohdassa
 
Sosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusSosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetus
 
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuojaVerkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
 
Some- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuojaSome- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuoja
 
Mikä se some oikein on?
Mikä se some oikein on?Mikä se some oikein on?
Mikä se some oikein on?
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
 
Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?
 

Tietoturva ja tietoturvaloukkaukset

  • 2. Kuva: Matthew Henry @ Unsplash Tietosuojalla suojataan ihmisten oikeutta yksityisyyteen (tunnistettavuus). Tietoturvalla suojataan henkilö- ja muitakin tietoja laittomalta käytöltä. Suojaustoimenpiteet suhteutetaan riskiarvioon tietoturvauhista.
  • 4. • GDPR:n mukaan tietosuojavastaavan on ”otettava asianmukaisesti huomioon käsittelytoimiin liittyvä riski ottaen samalla huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset” (39 artikla) • Riskiarvioinnin teko eri henkilötietojen käsittelytoimista on siten GDPR:n mukainen tietosuojavastaavan perustyökalu. • Käytännössä tietosuojavastaava… – Arvioi, mihin käsittelytoimiin hänen on syytä varata enemmän aikaa ja resursseja. – Arvioi tarvetta vaikutustenarvioinneille ja antaa rekisterinpitäjälle neuvoja vaikutustenarvioinnin menetelmistä. – Arvioi tarpeita toteuttaa sisäinen tai ulkoinen tietosuojaa koskeva tarkastus. – Arvioi, mitä koulutusta tarvitaan henkilöstölle ja johdolle. – Seuraa ja analysoi tietosuojasääntöjen noudattamista ja tuo esiin puutteita. • Edellyttää mm.: seloste käsittelytoimista, riittävät resurssit, yhteistyö organisaation sisällä, pääsy henkilötietoihin, raportointi johdolle. Tietosuojavastaavan riskienhallinta Lähde: Tietosuojatyöryhmä: Tietosuojavastaavia koskevat ohjeet, 2016, https://tietosuoja.fi/documents/6927448/8316711/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf/3aad84e5-bb59-4e64-bdaf- adc1e5f2d719/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf.pdf
  • 5. Riskiarviossa huomioitavaa Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit
  • 6. • Tietosuojaa koskeva vaikutustenarviointi on rekisterinpitäjän vastuulla, mutta tietosuojavastaava voi suositella sen tekoa. • Ennen vaikutustenarviointia tietosuojavastaavan olisi jo tullut tehdä riskiarvio kyseisestä henkilötietojen käsittelytoimesta. • Vaikutustenarvioinnin yhteydessä tietosuojavastaavalta tulisi pyytää neuvoja mm. seuraavissa kysymyksissä: – Onko syytä tehdä tietosuojaa koskeva vaikutustenarviointi? – Mitä menetelmiä vaikutustenarviointia tehtäessä olisi noudatettava? – Kannattaako vaikutustenarviointi toteuttaa sisäisesti vai ulkoistaa tehtävä? – Mitä suojatoimia (ml. tekniset ja organisatoriset toimenpiteet) olisi toteutettava, jotta vähennetään rekisteröityjen oikeuksiin ja etuihin kohdistuvia riskejä? – Onko tietosuojaa koskeva vaikutustenarviointi toteutettu oikein ja vastaavatko sen päätelmät yleisen tietosuoja-asetuksen vaatimuksia? • Vaikutustenarvioinnin dokumentoinnissa kirjataan tietosuojavastaavan antamat suositukset sekä mahdollisista erimielisyyksistä perusteet, miksi tietosuojavastaavan neuvoa ei noudateta. Tietosuojavastaava vaikutustenarvioinnissa Lähde: Tietosuojatyöryhmä: Tietosuojavastaavia koskevat ohjeet, 2016, https://tietosuoja.fi/documents/6927448/8316711/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf/3aad84e5-bb59-4e64-bdaf- adc1e5f2d719/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf.pdf
  • 7. Hallinto ja toimintakulttuuri •Tietosuoja ja sen läpinäkyvyys on keskeinen osa toimintaperiaatteita •Tietoturvapolitiikka ja sen käytännöt on määritelty •Seloste käsittelytoimista ja informointi rekisteröidyille tehty •Rekisteröityjen pyyntöihin on varauduttu Henkilöstön toimintamallit •Henkilöstön roolit ja vastuut on määritelty •Salassapitovelvollisuus •Koulutukset ja uusien työntekijöiden perehdytys •Työsuhteiden päättymiselle on toimintamalli •Tietoturvaloukkausten raportointiin on toimintamalli Henkilötietojen käyttö ja hallinta •Henkilötietojen käsittelylle on selvät ohjeistukset •Suostumukset ja kiellot huomioitu toiminnassa •Tietosuoja on huomioitu mm. netin, sähköpostin ja somen käyttöohjeissa •Rekisteröidyt voivat hallita itse tietojaan •Tietojen tuhoaminen tehdään turvallisesti Tilojen valvonta •Tiloihin pääsy on valvottua ja avaimista pidetään kirjaa •Ulkopuolisten pääsy henkilöstön työpisteisiin on estetty •Mahdollisesta kameravalvonnasta on rekisteri ja siitä ilmoitetaan •Tarvittaessa tilojen turvaluokitukset Rekisteröityjen tunnistaminen •Rekisteröidyt tunnistetaan, kun tietoja kerätään •Rekisteröidyt tunnistetaan, kun he käyttävät oikeuksiaan •Asiointi tapahtuu ennalta nimettyjen henkilöiden kanssa Käyttäjätunnukset ja oikeudet •Henkilökohtaiset käyttäjätunnukset •Roolien mukaiset käyttöoikeudet ja niiden tarkistaminen työtehtävien muuttuessa •Salasanoille ja vastaaville on laatuvaatimukset •Järjestelmien oletussalasanat on vaihdettu Ulkopuoliset toimijat •Ulkopuolisista toimijoista pidetään kirjaa •Sopimus ja ohjeet henkilötietojen käsittelystä •Ulkopuolisten palveluntarjoajien vastuut on määritelty •Ulkopuoliset toimijat tuntevat rekisterinpitäjän toimintamallit ja ohjeet Laitteet ja tallennusvälineet •Tietokoneista ja mobiililaitteista pidetään kirjaa •Tietoturva- ja muut päivitykset kunnossa •Virustorjunnasta ja palomuureista on huolehdittu •Siirrettävien tallennusvälineiden (muistitikut, ym.) ja henkilökohtaisten laitteiden käytöstä on tehty ohjeistus Palvelimet ja verkkoyhteydet •Palvelintiloissa on pääsynvalvonta •Langattomien verkkojen liikenne on salattu •Erilliset vierasverkot •Palvelimien ohjelmistopäivitykset kunnossa •Palvelimien varmuuskopiointi on kunnossa •Palvelinohjelmistojen lokitiedot on suojattu Pilvipalvelut •Pilvipalvelujen käyttö henkilötietojen käsittelyssä on ohjeistettu •Informointi ja suostumukset kunnossa •Sopimuksissa on määritelty palvelutaso ja palveluntarjoajan vastuut •Palveluntarjoajat ovat sitoutuneet noudattamaan GDPR:n vaatimuksia Tekniset ja organisatoriset suojatoimet
  • 9. Henkilötietojen julkaisu netissä: • Pyydä suostumus, jos julkaiset tai luovutat ulkopuolisille yksityishenkilöiden henkilötietoja • Työntekijöiden työhön liittyvät henkilötiedot voi yleensä julkaista Voi lähettää normaalissa sähköpostissa: • Tavanomaiset henkilötiedot (nimi, yhteystiedot jne.) • Edellytys: henkilökohtaiset sähköpostilaatikot ja tietoturva kunnossa Lähetä suojatussa sähköpostissa tai muussa turvallisessa viestintäkanavassa esim. suojatussa extranetissä: • Arkaluontoisia henkilötietoja • Lain mukaan salassa pidettäviä tietoja ja asiakirjoja Yksityiset laitteet ja sosiaalisen median palvelut: • Tee linjaus, saako yksityisiä laitteita ja sometunnuksia käyttää työssä • Ohjeista somepalvelujen käyttö työhön liittyvässä yhteydenpidossa Henkilötiedot digitaalisessa viestinnässä Lähteet: Tietosuojavaltuutetun päätös, 2008, http://www.tietosuoja.fi/fi/index/ratkaisut/saakohenkilotietojalahettaasahkopostilla.html
  • 10. • Viestintä on perustuslain 10 §:n perusteella luottamuksellista. • Työntekijän sähköpostit ja muut sähköiset viestit kuuluvat luottamuksellisen viestinnän piiriin. – Työsuhteen päättyessä työntekijän sähköpostitili tulee sulkea. – Automaattivastauksen tai edelleenvälityksen asettaminen työntekijän sähköpostiosoitteeseen edellyttää tämän suostumusta. • Viestin ja välitystietojen luottamuksellisuus (laki sähköisen viestinnän palveluista, 136 §): – Viestinnän osapuoli voi käsitellä omia viestejään ja niiden välitystietoja. Hän voi esim. kertoa tai julkaista viestin sisällön, mikäli se ei loukkaa jonkun muun yksityisyyttä. – Muita sähköisiä viestejä ja välitystietoja saa käsitellä viestinnän osapuolen suostumuksella tai jos laissa niin säädetään. – Se, joka on ottanut vastaan tai muutoin saanut tiedon sähköisestä viestistä -- jota ei ole hänelle tarkoitettu, ei saa ilman viestinnän osapuolen suostumusta ilmaista tai käyttää hyväksi viestin sisältöä, välitystietoa tai tietoa viestin olemassaolosta • Rikoslain 38 luku 3 §, viestintäsalaisuuden loukkaus: joka oikeudettomasti 1) avaa toiselle osoitetun … taikka 2) hankkii tiedon.. Viestinnän luottamuksellisuus Lähde: Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018, https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88- 42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
  • 11. GDPR vs. viestintäsalaisuus? • Vain lähettäjä ja vastaanottaja saavat lukea henkilölle osoitetun viestin • Työnantajalla voi joskus olla oikeus lukea työntekijän työhön liittyviä viestejä • On epäselvää, koskevatko GDPR:n määräykset niitä tietoja, jotka ovat työntekijöiden henkilökohtaisissa sähköpostilaatikoissa ja vastaavissa • Työnantajan tulisi ohjeistuksilla huolehtia, että GDPR:n mukaiset rekisteröityjen oikeudet toteutuvat viestintäsalaisuuden sitä estämättä
  • 12. • Työnantajalle kuuluvan sähköpostiviestin hakeminen ja avaaminen työntekijän postilaatikosta ilman tämän lupaa on mahdollista työelämän tietosuojalain mukaisesti (laki yksityisyyden suojasta työelämässä, 6 luku) • ENSIN: Työnantajalla on huolehtimisvelvoite, että: – 1. Työntekijän käytettävissä on automaattivastaus-toiminto tai – 2. työntekijä voi ohjata viestit toiselle työnantajan hyväksymälle henkilölle tai toiseen omassa käytössään olevaan työnantajan hyväksymään osoitteeseen taikka – 3. työntekijälle varataan mahdollisuus antaa hyväksytylle henkilölle lupa ottaa vastaan viestejä, joista työnantajan on välttämätöntä saada tieto – 4. asia käsitellään YT-menettelyssä tai vastaavassa. • EDELLYTYKSET viestien (saapuneiden tai lähetettyjen) esille hakemiseen: – 1) vain yhdessä pääkäyttäjän kanssa, – 2) työnantajan toimintaan liittyvien neuvottelujen loppuun saattamiseksi, – 3) asiakkaan palvelemiseksi, – 4) työnantajan toimintojen turvaamiseksi. – JOS: 5) itsenäisesti työnantajan lukuun toimiva, eikä käytössä ole muuta vastaavaa järjestelmää, – 6) työntekijän tehtävien tai asioiden nojalla ilmeistä, että on työnantajalle kuuluvia viestejä, – 7) että työntekijän este on tilapäinen, eikä huolehtimisvelvoite ole ”tehonnut”, – 8) työntekijän suostumusta ei ole saatavilla riittävän nopeasti asian laatuun nähden. Työnantajalle kuuluvan viestin haku 1/2 Lähde: Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018, https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88- 42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
  • 13. • Viestien esille hakemisen menettelytapa: – 9) Kirjallinen, allekirjoitettu selvitys (ketkä, miksi, milloin) – 10) Selvitys välittömästi työntekijälle – 11) Ei saa käsitellä viestejä tarpeettoman laajasti – 12) Salassapitovelvoite voimassa työsuhteen ajan + sen jälkeen. • Kun viestien otsikkotiedot on haettu esille (kohdat 1-12) ja – ilmenee, että on em. syistä välttämätöntä avata tietty viesti, – eikä viestin lähettäjään saada yhteyttä sisällön selvittämiseksi tai lähettämiseksi työnantajalle, – voidaan edetä tietyn viestin avaamiseen. • Viestien avaamisen menettelytapa: – 13) pääkäyttäjä + ”todistaja” läsnä – 14) kirjallinen, allekirjoitettu selvitys (mikä viesti, milloin, ketkä, kenelle viestin sisältö on paljastettu) – 15) selvitys välittömästi työntekijälle – 16) viesti on säilytettävä – 17) käsittely- ja ilmaisukielto on voimassa. • Ks. työelämän tietosuojalaki, 6 luku: https://www.finlex.fi/fi/laki/ajantasa/2004/20040759#L6 Työnantajalle kuuluvan viestin haku 2/2 Lähde: Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018, https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88- 42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
  • 14. • Julkisuuslain 5 §:n mukaan viranomaisen asiakirjana pidetään myös tälle toimitettua asiakirjaa ja viestiä. • KHO:n ennakkopäätöksen mukaan: ”Wilma-järjestelmän kautta saapuneet ja lähetetyt viestit ovat pääsääntöisesti viranomaisen asiakirjoja, joihin sovelletaan julkisuuslakia”. • MUTTA tästä ei seuraa, että kuka vain voisi pyytää viranomaisen ja kansalaisen välisiä viestejä. Samaan aikaan on huomioitava: – Asiakirjapyyntö pitää yksilöidä riittävän tarkasti (esim. ajankohta ja asia) – Viestien mahdollisesti sisältämät salassa pidettävät tiedot (JulkL 24 §). • Näitä ovat mm. tiedot terveydentilasta, henkilökohtaisista oloista, oppilashuollosta ja henkilökohtaisten ominaisuuksien sanallisesta arvioinnista, salaisesta puhelinnumerosta ja yhteystiedoista, jos henkilö on pyytänyt salassapitoa ja hänellä on perusteltu syy epäillä itsensä tai perheensä tulevan uhatuksi. – Laissa säädetyt vaitiolovelvollisuudet. • Perusopetuslain 40 §:n mukaan opetuksen järjestämisestä vastaavat, rehtori ja opettajat, kouluterveydenhuollon ja oppilashuollon edustajat eivät saa sivullisille ilmaista, mitä he ovat saaneet tietää oppilaiden, henkilöstön tai heidän perheenjäsenten henkilökohtaisista oloista ja taloudellisesta asemasta. • Tietosuojalain 35 §:n mukaan se, joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista, taloudellisesta asemasta taikka toisen liikesalaisuudesta, ei saa oikeudettomasti ilmaista sivulliselle näin saamiaan tietoja eikä käyttää niitä omaksi tai toisen hyödyksi tai toisen vahingoksi. Viestit viranomaisen asiakirjoina (Wilma) Lähteet: Julkisuuslaki, https://www.finlex.fi/fi/laki/ajantasa/1999/19990621, KHO:n päätös 4242/2016, https://www.kho.fi/fi/index/paatoksia/muitapaatoksia/muupaatos/1475735437486.html
  • 16. • GDPR:n mukaan 16-vuotias (Suomessa 13-v.) voi antaa itse suostumuksen henkilötietojen käsittelyyn tietoyhteiskunnan palveluissa kuten somepalveluihin rekisteröitymiseen. – Somepalvelut vaativat joko käyttäjän syntymäajan tai ilmoittavat ehdoissaan käyttöehtojen hyväksymiseen vaadittavan iän. – Jotkin palvelut kertovat poistavansa liian nuorten käyttäjätunnukset, mutta eivät käytännössä pyri varmistamaan käyttäjien ikiä. • GDPR ei edellytä, että somepalvelut pyytäisivät käyttäjien todelliset nimet. Esimerkiksi Twitter ja Google eivät vaadi oikeaa nimeä, mutta Facebook vaatii ”nimen, jota käytät elämässäsi”. • Somepalveluissa on eroja, kielletäänkö käyttäjätunnuksen antaminen jonkun muun käyttöön. Esimerkiksi Facebook kieltää tämän. • Tavallisesti tunnuksiin liitetään sähköpostiosoite ja/tai puhelinnumero. • Useat somepalvelut kuten Facebook ja LinkedIn mahdollistavat organisaatioiden tietosuojaselosteiden linkittämisen niiden profiileihin sekä ns. liidien keräyslomakkeille. • Useat somepalvelut ovat tehneet organisaatioiden käyttöä varten valmiin sopimuksen henkilötietojen käsittelystä. Miten GDPR vaikutti somepalveluihin?
  • 17. Lähde: Facebookin käyttöehdot, ”Meille antamasi luvat ja oikeudet”, https://www.facebook.com/legal/terms (22.5.2019) Somepalvelujen käyttöehdot antavat ison vastuun käyttäjille, mutta vaativat laajat oikeudet näiden tietoihin – myös kaupalliset oikeudet käyttäjien nimiin.
  • 18. Kuvakaappaus: https://twitter.com/valtioneuvosto/status/1126065410242117632 (22.5.2019) Jos somejulkaisun tarkoitus on ainoastaan journalistinen, kirjallinen tai taiteellinen, siihen ei sovelleta useimpia GDPR:n velvoitteita. Näin ei kuitenkaan voida julkaista alun perin muuhun tarkoitukseen kerättyjä henkilötietoja. Käyttäjät ovat hyväksyneet somepalvelujen käyttöehdot, joiden puitteissa julkaisuja voidaan esimerkiksi jakaa ja upottaa muualle. Myös lainaaminen on yleensä mahdollista. Somepalvelujen käyttäjätunnukset voivat olla henkilötietoja, jos ne mahdollistavat henkilön tunnistamisen. Tämä on huomioitava, jos niitä tallennetaan palvelun ulkopuolelle.
  • 19. • Joissakin tilanteissa Facebook-sivun ylläpitäjä voidaan katsoa yhteisrekisterinpitäjäksi Facebookin kanssa. • Facebook on henkilötietojen käsittelijä mm. organisaatioiden mainos- ja analytiikkatyökalujen yhteydessä. • Facebook on asettanut sivujen ylläpitäjille lisäehtoja, jotka tulivat voimaan 28.9.2018. – Katso ”Sivun kävijätietojen hallinnoija -lisäys”: https://www.facebook.com/legal/terms/page_controller_addendum# • Käytännön toimenpiteet: – Tunnista Facebook-sivun rekisterinpitäjä ja käsittelyn oikeusperuste. Ilmoita sivun tiedoissa siitä vastaava organisaatio. – Lisää tietosuojaseloste Facebook-sivun tietoihin privacy policy -kohtaan. – Jos saat sivun kävijöiltä tai viranomaisilta GDPR:n mukaisia pyyntöjä, välitä ne viipymättä Facebookille tällä lomakkeella: https://www.facebook.com/help/contact/308592359910928 Facebook-sivun ylläpitäjän asema
  • 20. Pikaviestipalvelujen tietosuoja Lähde: Amnesty, For your eyes only?, 2016, https://www.amnesty.org/download/Documents/POL4049852016ENGLISH.PDF
  • 21. WhatsApp Business -sovellus • Android-versio tammikuussa 2018, iOS-versio huhtikuussa 2019 • Asennettu yli 50 miljoonaa kertaa • Kuten WhatsApp-sovellus, mutta voi luoda profiilin yritykselle/organisaatiolle • Sisältää GDPR:n mukaisen sopimuksen henkilötietojen käsittelystä • Keskustelun aloitus linkin kautta • Automaattiset aloitusviestit, pikavastaukset, tilastot • Android: https://play.google.com/store/apps/details?id=com.wh atsapp.w4b • iOS: https://itunes.apple.com/app/whatsapp- business/id1386412985?mt=8
  • 23.
  • 24. - Voiko yhteistä Excel-taulukkoa pitää missään pilvipalvelussa, esim. yrityksen G Suitessa tai 0ffice 365:ssa? - Voiko Google Driven lomakekyselyitä käyttää henkilötietojen keräämisessä? Kysymys: henkilötiedot pilvipalveluissa • Periaatteessa estettä esim. Microsoftin ja Googlen organisaatioille tarkoitettujen pilvipalvelujen käytölle henkilötietojen käsittelyssä ei ole estettä. – Pilvipalvelujen ylläpitäjät ovat henkilötietojen käsittelijöitä ja siitä on oltava sopimus. – Henkilötietojen siirto EU:n ulkopuolelle on mahdollista mm. Privacy shield-järjestelmän ja EU- komission mallisopimuslausekkeiden perusteella. • Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on määritelty työtehtävien mukaisesti. Ei yhteiskäyttötunnuksia. • Jos esim. Google-lomakkeella kerätään henkilötietoja, on sitä varten oltava tietosuojaseloste ja se tulee linkittää lomakkeelle. Tietojaan antavien henkilöiden tulee voida tietää etukäteen, miten heidän tietojaan käytetään. • Organisaation kannattaa ohjeistaa, saako esim. yksityistä Google-tunnusta ja sen alaista Google Drive -palvelua käyttää työssä henkilötietojen käsittelyssä.
  • 25. • Yhdysvalloissa ei ole vastaavaa tiukkaa henkilötietojen käytön sääntelyä kuin EU-maissa. Tämän vuoksi yhdysvaltalaisten verkkopalvelujen käytössä tulee olla erityisen varovainen. • Henkilötietoja voidaan siirtää Privacy shield –järjestelmään sitoutuneille tahoille – Privacy shield on toistaiseksi voimassa ja mahdollistaa laillisesti EU-kansalaisten henkilötietojen siirron ja käsittelyn yhdysvaltalaisissa palveluissa. – Privacy shield on kohdannut kritiikkiä ja on epäilty, että se tulee kaatumaan myöhemmin EU- tuomioistuimessa • Toinen lainmukainen vaihtoehto on, että yhdysvaltalainen palveluntarjoaja sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin – Esimerkiksi Google ja Microsoft toimivat näin • Yhdysvaltalaisia palveluita voidaan käyttää myös rekisteröityjen tai alaikäisten huoltajien suostumuksella tai mikäli niiden käyttö ei edellytä henkilötietojen antamista Yhdysvaltalaiset verkkopalvelut
  • 27. Tietoturvan osa-alue Vaatimus Vastaus Järjestelmän ylläpito Vastaako järjestelmän ylläpidosta organisaatio vai onko se ulkoistettu? Suostumusten hallinta Tukeeko tietokanta suostumusten ja kieltojen hallintaa? Käyttäjienhallinta Luottamuksellisuus Onko kaikilla käyttäjillä yksilölliset käyttäjätunnukset? Pääsynvalvonta Luottamuksellisuus Onko järjestelmä kertakirjautumisen piirissä? Pääsynvalvonta Luottamuksellisuus Onko salasanoilla laatuvaatimukset? Millaiset? Lokitus Luottamuksellisuus Lokitetaanko järjestelmään kirjautuminen? Lokitus Luottamuksellisuus Lokitetaanko henkilötietojen käyttö? Lokitus Luottamuksellisuus Lokitetaanko admin-käyttäjien toimet? Lokitus Luottamuksellisuus Onko järjestelmän tuottamien lokien muuttaminen tai poistaminen estetty? Varmuuskopiointi Eheys, saatavuus Onko järjestelmän ja sen tietojen varmuuskopioinnista suunnitelma, joka huomioi erilaiset tietojen palautustarpeet? Varmuuskopiointi Eheys, saatavuus Testataanko varmuuskopioiden palautuksia? Tietoturvapäivitykset Luottamuksellisuus, eheys, saatavuus Onko järjestelmässä automatisoitu (tietoturva)päivitysten jakelu? Toipumiskyky Saatavuus Onko järjestelmälle laadittu toipumissuunnitelma? Tiedon suojaus Luottamuksellisuus Onko tunnistettu tarvetta henkilötietojen salaamiselle tai pseudonymisoinnille? Tiedon suojaus Luottamuksellisuus Onko tiedonsiirrot organisaation ulkopuolelle salattu? Tietoturvatestaus Luottamuksellisuus, eheys, saatavuus Tehdäänkö säännöllisiä tietoturvatestauksia? Lähde: Valtiovarainministeriö, Tietojärjestelmien tietoturvavaatimuksia GDPR-näkökulmasta (Excel), saatavana: http://vm.fi/juhta-vahti-yhteishankkeiden-materiaalit (27.2.2018)
  • 28. Pilvipalveluiden vastuunjakomallit Lähde: Traficom, Kyberturvallisuuskeskus, 2019, Pilvipalveluiden turvallisuuden arviointikriteeristö (PiTuKri), https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/file/Pilvipalveluiden_turvallisuuden_arviointikriteeristo_PiTuKri.pdf • Pilvipalveluissa vastuut jakautuvat palveluntarjoajan ja asiakkaan välillä. • Pilvipalvelun tarjoaja on sopimukseen perustuen henkilötietojen käsittelijä (data controller). • IaaS = Infrastructure as a Service eli infrastruktuuri palveluna • PaaS = Platform as a Service eli ohjelmistoalusta palveluna • SaaS = Software as a Service eli ohjelmisto palveluna
  • 29. • Osa-alue 1: Esiehdot – EE 01: Järjestelmäkuvaus – EE 02: Lainsäädäntöjohdannaiset riskit • Osa-alue 2: Turvallisuusjohtaminen – TJ 01: Turvallisuusperiaatteet – TJ 02: Turvallisuuden vastuut – TJ 03: Turvallisuusriskien hallinta – TJ 04: Turvallisuuspoikkeamien hallinta – TJ 05: Jatkuvuudenhallinta – TJ 06: Tietojen ja muiden suojattavien kohteiden luokittelu ja merkintä – TJ 07: Vaatimustenmukaisuus ja tietosuoja – TJ 08: Palveluntarjoajien ja toimittajien turvallisuus • Osa-alue 3: Henkilöstöturvallisuus – HT 01: Työsuhteen elinkaaren huomioiminen – HT 02: Henkilöstön luotettavuuden arviointi – HT 03: Salassapito- ja vaitiolositoumukset – HT 04: Turvallisuustietoisuus – HT 05: Tiedonsaantitarpeet ja tehtävien erottelu • Osa-alue 4: Fyysinen turvallisuus – FT 01: Monitasoinen suojaaminen ja riskienhallinta – FT 02: Rakenteet ja turvallisuusjärjestelmät – FT 03: Luvattoman pääsyn estäminen – FT 04: Palveluntuottajat ja vierailijat – FT 05: Varautuminen ja jatkuvuudenhallinta • Osa-alue 5: Tietoliikenneturvallisuus – TT 01: Tietoliikenneverkon rakenne – TT 02: Yleisiä verkkohyökkäyksiä vastaan suojautuminen – TT 03: Hallintayhteydet • Osa-alue 6: Tietojärjestelmäturvallisuus – JT 01: Käyttöoikeushallinta – JT 02: Käyttäjätunnistus – JT 03: Jäljitettävyys ja havainnointikyky – JT 04: Järjestelmäkovennus – JT 05: Tiedon erottelu – JT 06: Haittaohjelmasuojaus – JT 07: Suojattavien kohteiden siirtäminen ja poistaminen – JT 08: Salauskäytännöt ja avainhallinta • Osa-alue 7: Tietoaineistoturvallisuus – TA 01: Salaus fyysisesti suojatun alueen ulkopuolella – TA 02: Salaus fyysisesti suojatun alueen sisäpuolella – TA 03: Tietoaineistojen hävittäminen • Osa-alue 8: Käyttöturvallisuus – KT 01: Järjestelmäkuvaus jatkuvuuden ja käyttöturvallisuuden tukemiseksi – KT 02: Suorituskyvyn hallinta – KT 03: Varmuuskopiointi – KT 04: Haavoittuvuuksien hallinta – KT 05: Etäkäyttö ja -hallinta • Osa-alue 9: Siirrettävyys ja yhteensopivuus – SI 01: Siirrettävyys ja yhteensopivuus • Osa-alue 10: Muutostenhallinta ja järjestelmäkehitys – MH 01: Muutostenhallinta – MH 02: Järjestelmäkehitys Pilvipalveluiden turvallisuuden arviointi Lähde: Traficom, Kyberturvallisuuskeskus, 2019, Pilvipalveluiden turvallisuuden arviointikriteeristö (PiTuKri), https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/file/Pilvipalveluiden_turvallisuuden_arviointikriteeristo_PiTuKri.pdf
  • 31. Lähde: Traficom, Kyberturvallisuuskeskus, Tietoturvan vuosi 2018, https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/publication/Vuosikatsaus_2018_tulostettava_sivuttain.pdf
  • 32. Lähde: Traficom, Kyberturvallisuuskeskus, Tietoturvan vuosi 2018, https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/publication/Vuosikatsaus_2018_tulostettava_sivuttain.pdf
  • 33. Lähde: Traficom, Kyberturvallisuuskeskus, Tietoturvan vuosi 2018, https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/publication/Vuosikatsaus_2018_tulostettava_sivuttain.pdf Office 365 -huijaus (2018-)
  • 34. Lähde: Traficom, Kyberturvallisuuskeskus, Tietoturvan vuosi 2018, https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/publication/Vuosikatsaus_2018_tulostettava_sivuttain.pdf Tietojen kalastelu ja tietomurto
  • 35. 1. Hyökkääjät etsivät haavoittuvia verkkopalveluita, joita voidaan käyttää esim. mainostamiseen tai virusten ja haittaohjelmien levittämiseen. 2. Saastunut palvelu etsii palvelun käyttäjien käyttöjärjestelmän, selaimen ja sen liitännäisten tietoturva-aukkoja, joiden kautta voidaan asentaa viruksia ja haittaohjelma. Saastuneet verkkopalvelut Lähde: Viestintäviraston Kyberturvallisuuskeskuksen vuosiraportti 2015, https://www.viestintavirasto.fi/attachments/tietoturva/Viestintaviraston_Kyberturvallisuuskeskuksen_vuosiraportti_2015.pdf
  • 36. Huolehdi verkkosovellusten päivityksistä Lähde: Sucuri, 2018, https://sucuri.net/reports/2018-hacked-website-report/ WordPress-julkaisujärjestelmä on useimmin hakkeroinnin kohteeksi joutunut verkkosovellus.
  • 37. 5 neuvoa mobiilisovellusten arviointiin 1. Asenna sovelluksia vain luotetuista sovelluskaupoista. – Suhtaudu varauksella sovellusten asentamiseen muista kuin virallisista Googlen ja Applen sovelluskaupoista. 2. Tarkista sovelluksen tekijä ja sovelluksen saama palaute. – Sovelluskaupoissa voi olla myös tunnettujen sovellusten väärennöksiä. – Jos sovellukselle ei tule päivityksiä, se voi sisältää haavoittuvuuksia, joita hyökkääjät voivat hyväksikäyttää. 3. Arvioi sovelluksen pyytämät oikeudet verrattuna sovelluksen käyttäjää palvelevaan toiminnallisuuteen. – Hyväksy mahdollisimman vähän oikeuksia laitteen tietoihin. – Tarkista sovellusten oikeudet aika ajoin. 4. Tutustu sovelluksen käyttöehtoihin. – Mitä tietojen keräämisestä ja käsittelystä kerrotaan? – Missä maassa tietoja käsitellään? 5. Työnantajalla voi olla tarkempia ohjeita työssä käytettävän mobiililaitteiden käytöstä. – Noudata työnantajan ohjeita, jos asennat sovelluksia työssä käytettäviin laitteisiin. Lähde: Viestintäviraston Kyberturvallisuuskeskus, 2018, https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2018/11/ttn201811141100.html
  • 39. • Tietoturvaloukkauksella tarkoitetaan henkilötietojen… – vahingossa tapahtuvaa tai lainvastaista tuhoamista – häviämistä – muuttamista – luvaton luovuttamista tai pääsyä tietoihin • Tietosuojavastaavaa kuullaan mahdollisimman nopeasti tietoturvaloukkauksen tai muun tietosuojaan liittyvän ongelman tullessa esiin. • Rekisterinpitäjällä on velvollisuus ilmoittaa henkilötietojen tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle, jos siitä todennäköisesti aiheutuu korkea riski rekisteröityjen oikeuksille ja vapauksille • Ilmoitus valvontaviranomaiselle 72 h kuluessa loukkauksen havaitsemisesta • Rekisterinpitäjän on dokumentoitava kaikki tietoturvaloukkaukset, niihin liittyvät seikat, vaikutukset ja korjaavat toimet • Henkilötietojen käsittelijän on tehtävä ilmoitus tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä Henkilötietojen tietoturvaloukkaukset Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
  • 40. Lähde: Traficom, Kyberturvallisuuskeskus, Tietoturvan vuosi 2018, https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/publication/Vuosikatsaus_2018_tulostettava_sivuttain.pdf Henkilötietoloukkaukset Suomessa
  • 41. Havainto Rekisterinpitäjä havaitsee tai saa tietoonsa tietoturvaloukkauksen. Dokumentointi Kaikki tietoturvaloukkaukset, niiden vaikutukset ja korjaavat toimet dokumentoidaan. Riskiarvio Aiheuttaako tietoturvaloukkaus todennäköisesti riskin henkilöiden oikeuksille ja vapauksille? Ei Ilmoituksia ei edellytetä Kyllä Ilmoitus valvontaviranomaiselle Yleensä ilmoitus tehdään rekisterinpitäjän päätoimipaikan maan valvontaviranomaiselle. Ilmoitus rekisteröidyille Ilmoitetaan kohteena oleville henkilöille ja annetaan tarvittaessa ohjeita, miten he voivat suojautua seurauksilta. Ilmoitusvelvollisuus tietoturva- loukkauksista Lähde: Tietosuojatyöryhmä, Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta, 2017, https://tietosuoja.fi/documents/6927448/8316711/ Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46 -33b1-4b01-9a50- 9320d59bd605/Tietoturvaloukkauksen+ilmoittami nen+fi.pdf
  • 42. Esimerkkejä tietoturvaloukkauksista Lähde: Tietosuojatyöryhmä, Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta, 2017, https://tietosuoja.fi/documents/6927448/8316711/Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46-33b1-4b01-9a50- 9320d59bd605/Tietoturvaloukkauksen+ilmoittaminen+fi.pdf Tapahtuma Ilmoitus valvontaviranomaiselle? Ilmoitus rekisteröidyille? Rekisterinpitäjä on tallentanut salatun varmuuskopion henkilötietoja sisältävästä arkistosta USB-muistitikulle. Muistitikku varastetaan murron yhteydessä. Ei Ei Rekisterinpitäjä ylläpitää verkkopalvelua. Palveluun tehdyn verkkohyökkäyksen seurauksena henkilöiden henkilötietoja varastetaan. Kyllä, jos henkilöille todennäköisesti aiheutuu seurauksia. Kyllä, jos henkilöille todennäköisesti aiheutuvien seurausten vakavuus on suuri. Henkilötietojen käsittelijänä toimiva pilvipalvelu havaitsee virheen koodissa, jolla hallitaan käyttövaltuuksia. Vian vaikutuksesta käyttäjät voivat nähdä toistensa tietoja palvelussa. Kyllä, kun rekisterinpitäjät ovat saaneet tiedon henkilötietojen käsittelijältä. Ei, jos henkilöille ei todennäköisesti aiheudu korkeaa riskiä. Suuren opiskelijamäärän henkilötiedot lähetetään erehdyksessä väärälle postituslistalle, jolla on yli tuhat vastaanottajaa. Kyllä Kyllä, mahdollisten seurausten vakavuudesta riippuen.