1 / 15

TIETOTURVAN JA TIETOSUOJAN TOTEUTTAMINEN Ari Andreasson 31.1.2013

T A M P E R E E N K A U P U N K I. TIETOTURVAN JA TIETOSUOJAN TOTEUTTAMINEN Ari Andreasson 31.1.2013. Tietoturva ja tietosuoja. Kansainvälistä ja yksilön perusoikeus Luottamuksellista asiakassuhdetta tukeva kokonaisuus Välineriippumatonta

vadin
Download Presentation

TIETOTURVAN JA TIETOSUOJAN TOTEUTTAMINEN Ari Andreasson 31.1.2013

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. T A M P E R E E N K A U P U N K I TIETOTURVAN JA TIETOSUOJANTOTEUTTAMINENAri Andreasson 31.1.2013

  2. Tietoturva ja tietosuoja • Kansainvälistä ja yksilön perusoikeus • Luottamuksellista asiakassuhdetta tukeva kokonaisuus • Välineriippumatonta • Varsinkin terveydenhuollossa pitkään tunnistettuja asioita • Oikeusturvaa asiakkaalle sekä työntekijöille • Sähköisissä järjestelmissä vahingon torjunta onhalvempaa kuin vahingon korjaaminen • Tietoturvasta/tietosuojasta 80 % on ihmistä/psykologiaa Ari Andreasson

  3. Tietosuojavastaava • Tietosuojavastaavan rooli ja tehtävät perustuvat lakiin: laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) ja laki sähköisestä lääkemääräyksestä (61/2007) • Edellytys on, että jokainen sosiaali- ja terveydenhuollon palvelujen antaja ja mm. apteekki sekä Kansaneläkelaitos nimeävät tietosuojavastaavan • Tampereen kaupungilla tietosuojavastaavalla on myös nimetty varahenkilö • Asiaan on valmisteluja myös laajemmin Eun yleisen tietosuoja-asetuksen osalta (tietosuojavastaavan rooli tullee olemaan vaatimuksena muuallakin kuin sosiaali- ja terveydenhuollossa) Ari Andreasson

  4. Tietosuojavastaavan tehtäviä Tampereella • Osallistuu organisaation henkilötietojen käsittelyä koskevaan suunnittelutoimintaan • Osallistuu tietoturva- ja tietosuojaohjeita sekä sopimusliitteitä koskevaan valmisteluun ja ylläpitoon • Osallistuu tietoturva ja tietosuojariskien hallintaan • Seuraa ja valvoo henkilötietojen käsittelyä ja niiden suojausmenetelmiä • Tukee henkilökuntaa ja rekisteröityjä tietosuoja-asioissa (mm. koulutus) • Toimii yhdyssiteenä valvontaviranomaisiin • Suorittaa käytönvalvonnan suunnittelua ja toteuttamista • Raportoi organisaation johdolle tietosuojan tilasta ja kehittämistarpeista • Toimii VETUMA (=verkossa tunnistaminen ja maksaminen yhteyshenkilönä • Vastaa organisaation johdon osoittamista muista tietosuojaa tukevista tehtävistä • Ylläpitää intran tietoturvasivustoa yhdessä tietoturvapäällikön kanssa Ari Andreasson

  5. Kansalaiset ovat valveutuneita • He tuntevat oikeutensa ja pyytävät enenevästi tarkastusoikeuden pohjalta omien tietojensa tarkistamista ja sen jälkeen myös korjaamista • nk. käyttölokiselvitykset ovat lisääntyneet • mm. potilasasiamiehelle ja sosiaaliasiamiehille sekä tietosuojavastaavalle tulee runsaasti kysymyksiä • Selvityspyyntöjä ja kanteluita viedään vireille suoraan tietosuojavaltuutetulle, poliisille sekä Valviraan ja aluehallintovirastoon • Työntekijät ovat itse useassa roolissa; välillä ammattilainen, välillä asiakas, välillä huoltaja. Roolit eivät saa sekoittua! Ari Andreasson

  6. Tietomurrot/tietovuodot • Reilun vuoden sisällä on internetissä tehty useita paljon julkisuutta saaneita tietomurtoja, joissa varastettiin käyttäjien henkilötietoja, luottokorttitietoja ja luottamuksellisia dokumentteja • Myös palvelunestohyökkäyksiä uutisoitiin vuoden 2012 aikana useita • Lukuisat onnistuneet tietomurrot ovat osoittaneet, että verkkopalvelujen turvalliseen toteuttamiseen ja ylläpitoon ei useissa organisaatioissa kiinnitetä riittävästi huomiota. Tietojen varastaminen järjestelmistä onnistuu usein yleisesti saatavilla olevien, haavoittuvuuksia etsivien ja niitä hyväksi käyttävien ohjelmistojen avulla • Murtautujien julkaisemista tiedoista voi päätellä, että käyttäjien salasanat ovat usein liian helposti murrettavissa. Lisäksi samaa salasanaa käytetään valitettavan usein eri palveluissa, mikä moninkertaistaa varastettujen tietojen hyväksikäyttämiseen liittyvän riskin • Murtoja on kohdistunut myös julkishallinnon kohteisiin Ari Andreasson

  7. Salasspito • Salassapito sekä tietojen ja tietojärjestelmien käyttö perustuvat lainsäädäntöön sekä normiohjaukseen • Salassapidolla tarkoitetaan asiakirjojen salaisuuden säilyttämisvelvollisuutta sekä vaitiolovelvollisuutta • Salassapito koskee kaikkia salassa pidettäviä tietoja riippumatta siitä, miten tai mihin ne on tallennettu tai millä tavalla tieto on saatu (kirjallisesti, suullisesti tai havainnoimalla) Ari Andreasson

  8. (Sähköinen) käyttö- ja salassapitositoumus Ari Andreasson

  9. Keskeistä ”tietoturvalainsäädäntöä” • Suomen perustuslaki (731/1999) 2. luku 10 §: Yksityiselämän suoja ja luottamuksellisen viestin salaisuus • Suomen perustuslaki (731/1999) 2. luku 12 §: Viranomaisten hallussa olevien asiakirjojen ja tallenteiden julkisuus • Henkilötietolaki (523/1999): Henkilötietojen käsittelyä koskevat yleiset periaatteet • Laki viranomaisten toiminnan julkisuudesta (621/1999) • Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) • Asetus viranomaisen toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta (1030/1999) • Työsopimuslaki (55/2001) • Arkistolaki (831/1994): Asiakirjojen laatiminen, säilyttäminen ja käyttö • Laki turvallisuusselvityksistä (177/2002): Henkilöiden taustat • Laki yksityisyyden suojasta työelämässä (759/2004): Työntekijää koskevien henkilötietojen käsittely • Laki sähköisestä asioinnista viranomaistoiminnassa (13/2003) • Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista (617/2009) • Sähköisen viestinnän tietosuojalaki (516/2004) • Rikoslaki (39/1889) 38. luku 8 §: Tietomurto, henkilörekisteririkos Ari Andreasson

  10. Ohjeet ja määräykset • Voimassaolevan lainsäädännön lisäksi työntekijöitä velvoittavat oman organisaation määräykset • Esim. Tampereen kaupungilla on useita ohjeita, määräyksiä ja päätöksiä, jotka liittyvät erityisesti tietoturvaan/tietosuojaan/henkilötietojen käsittelyyn • Tietoturvapolitiikka, Henkilöstön tietoturvaopas, Potilastiedon käsittely, Sosiaalihuollon asiakastiedon käsittely, Työntekijöiden terveydentilatietojen käsittely, Sähköpostisäännöt, Henkilörekisterihallinnon järjestäminen, Etätyö jne. • Sopimuksissa velvoitetaan myös ostopalvelutuottajia noudattamaan kaupungin ohjeita ja määräyksiä • Kaupungilla käytössä tietoturvan ja tietosuojan verkkokurssit Ari Andreasson

  11. Mistä saa lisätietoja • Selvitä oman organisaation ohjeet • Tee yhteistyötä muiden saman toimialan yksiköiden kanssa • Lainsäädäntö www.finlex.fi • mm. henkilötietolaki, laki viranomaisten toiminnan julkisuudesta, laki yksityisyyden suojasta työelämässä, sähköisen viestinnän tietosuojalaki, arkistolaki jne. • VAHTI-ohjeetwww.vm.fi/vahti • VAHTI=valtionhallinnon tietoturvallisuuden johtoryhmä • Arkistolaitoksen ohjeet www.arkisto.fi • Tietosuojavaltuutetun toimiston ohjeet www.tietosuoja.fi (sekä Tietosuoja-lehti) • Viestintäviraston ohjeet www.ficora.fi Ari Andreasson

  12. Kuva Tampereen kaupungin intranetista Ari Andreasson

  13. Henkilöstön tietoturvaopas • Eli mitä jokaisen työntekijän tulisi tietää tietoturvasta • Muistilistat • Mistä lisätietoa • Miksi tietoturvaa tarvitaan? • Vastaus: varmistamaan toiminnan jatkuvuus ja minimoimaan sitä uhkaavat riskit • Lyhyellä tähtäyksellä tietoturva ja järjestelmien käytettävyys voivat olla ristiriidassa, pitkällä tähtäyksellä tietoturvalla varmistetaan käytettävyys Ari Andreasson

  14. Ari Andreasson

  15. Tietoturva ja tietosuoja 1. Selvitä ja noudata oman organisaatiosi tietoturvaohjeita ja –käytäntöjä. 2. Lukitse tietokoneesi/ohjelmistot tai kirjaudu niistä ulos aina kun poistut sen läheisyydestä. Pyri käyttämään eri salasanaa eri järjestelmissä. Säilytä salasanat ja muut kirjautumisessa käytettävät tunnisteet, kuten toimikorttisi ja PIN-koodit huolellisesti. 3. Varo paljastamasta luottamuksellisia tietoja sivullisille työpaikalla tai sen ulkopuolella esim. sosiaalisessa mediassa. 4. Älä surffaa arveluttavilla nettisivuilla. Älä avaa outoja sähköpostiviestejä tai niiden liitteitä. 5. Huolehdi papereiden, muistitikkujen, CD-/DVD-levyjen, puhelinten, salasanojen, avainten, kulkunappien, toimikorttien ym. asianmukaisesta käsittelystä ja säilyttämisestä. 6. Hävitä tietosuojattava jäte asianmukaisesti. 7. Huolehdi erityisesti mobiilityössä kannettavan tietokoneen ja sen tietojen suojaamisesta. Hanki kannettavaan tietokoneeseen suojakalvo, joka estää sivulta tapahtuvan salakatselun. Älä jätä laitteita valvomatta näkyville esimerkiksi autoon tai hotelliin. 8. Muista kunnioittaa asiakkaiden ja työkavereiden yksityisyyttä. Näin ylläpidät luottamusta. 9. Kerro esimiehellesi, mikäli havaitset tietoturva- tai tietosuojarikkomuksia. 10. Älä hätäänny, jos jotain poikkeavaa tapahtuu. Soita rohkeasti tukikeskukseen. Ari Andreasson

More Related