Valislide
kuva6
TIETOTURVAN JA TIETOSUOJANTOTEUTTAMINENAri Andreasson 31.1.2013
vaakunakuva_vaaka
T A M P E R E E N                K A U P U N K I
vaakuna2
TRE_toimii_ALIOuu2_120rotraj
TRE_toimii_YLIO100raj2
T A M P E R E E N                K A U P U N K I
vaakuna2
Ari Andreasson
2
Tietoturva ja tietosuoja
Kansainvälistä ja yksilön perusoikeus
Luottamuksellista asiakassuhdetta tukeva kokonaisuus
Välineriippumatonta
Varsinkin terveydenhuollossa pitkään tunnistettuja asioita
Oikeusturvaa asiakkaalle sekä työntekijöille
Sähköisissä järjestelmissä vahingon torjunta onhalvempaa kuin vahingon korjaaminen
Tietoturvasta/tietosuojasta 80 % on ihmistä/psykologiaa
TRE_toimii_ALIOuu2_120rotraj
TRE_toimii_YLIO100raj2
T A M P E R E E N                K A U P U N K I
vaakuna2
Ari Andreasson
3
Tietosuojavastaavan rooli ja tehtävät perustuvat lakiin:laki sosiaali- ja terveydenhuollon asiakastietojensähköisestä käsittelystä (159/2007) ja laki sähköisestälääkemääräyksestä (61/2007)
Edellytys on, että jokainen sosiaali- ja terveydenhuollonpalvelujen antaja ja mm. apteekki sekäKansaneläkelaitos nimeävät tietosuojavastaavan
Tampereen kaupungilla tietosuojavastaavalla on myösnimetty varahenkilö
Asiaan on valmisteluja myös laajemmin Eun yleisentietosuoja-asetuksen osalta (tietosuojavastaavan roolitullee olemaan vaatimuksena muuallakin kuin sosiaali- jaterveydenhuollossa)
Tietosuojavastaava
TRE_toimii_ALIOuu2_120rotraj
TRE_toimii_YLIO100raj2
T A M P E R E E N                K A U P U N K I
vaakuna2
Ari Andreasson
4
Tietosuojavastaavan tehtäviä Tampereella
Osallistuu organisaation henkilötietojen käsittelyä koskevaansuunnittelutoimintaan
Osallistuu tietoturva- ja tietosuojaohjeita sekä sopimusliitteitäkoskevaan valmisteluun ja ylläpitoon
Osallistuu tietoturva ja tietosuojariskien hallintaan
Seuraa ja valvoo henkilötietojen käsittelyä ja niidensuojausmenetelmiä
Tukee henkilökuntaa ja rekisteröityjä tietosuoja-asioissa (mm.koulutus)
Toimii yhdyssiteenä valvontaviranomaisiin
Suorittaa käytönvalvonnan suunnittelua ja toteuttamista
Raportoi organisaation johdolle tietosuojan tilasta jakehittämistarpeista
Toimii VETUMA (=verkossa tunnistaminen ja maksaminenyhteyshenkilönä
Vastaa organisaation johdon osoittamista muista tietosuojaatukevista tehtävistä
Ylläpitää intran tietoturvasivustoa yhdessä tietoturvapäällikönkanssa
TRE_toimii_ALIOuu2_120rotraj
TRE_toimii_YLIO100raj2
T A M P E R E E N                K A U P U N K I
vaakuna2
Kansalaiset ovat valveutuneita
He tuntevat oikeutensa ja pyytävät enenevästitarkastusoikeuden pohjalta omien tietojensatarkistamista ja sen jälkeen myös korjaamista
nk. käyttölokiselvitykset ovat lisääntyneet
mm. potilasasiamiehelle ja sosiaaliasiamiehille sekätietosuojavastaavalle tulee runsaasti kysymyksiä
Selvityspyyntöjä ja kanteluita viedään vireillesuoraan tietosuojavaltuutetulle, poliisille sekäValviraan ja aluehallintovirastoon
Työntekijät ovat itse useassa roolissa; välilläammattilainen, välillä asiakas, välillä huoltaja. Rooliteivät saa sekoittua!
Ari Andreasson
5
TRE_toimii_ALIOuu2_120rotraj
TRE_toimii_YLIO100raj2
T A M P E R E E N                K A U P U N K I
vaakuna2
Tietomurrot/tietovuodot
Reilun vuoden sisällä on internetissä tehty useita paljon julkisuuttasaaneita tietomurtoja, joissa varastettiin käyttäjien henkilötietoja,luottokorttitietoja ja luottamuksellisia dokumentteja
Myös palvelunestohyökkäyksiä uutisoitiin vuoden 2012 aikana useita
Lukuisat onnistuneet tietomurrot ovat osoittaneet, että verkkopalvelujenturvalliseen toteuttamiseen ja ylläpitoon ei useissa organisaatioissakiinnitetä riittävästi huomiota. Tietojen varastaminen järjestelmistäonnistuu  usein yleisesti saatavilla olevien, haavoittuvuuksia etsivien janiitä hyväksi käyttävien ohjelmistojen avulla
Murtautujien julkaisemista tiedoista voi päätellä, että käyttäjien salasanatovat usein liian helposti murrettavissa. Lisäksi samaa salasanaakäytetään valitettavan usein eri palveluissa, mikä moninkertaistaavarastettujen tietojen hyväksikäyttämiseen liittyvän riskin
Murtoja on kohdistunut myös julkishallinnon kohteisiin
Ari Andreasson
6
TRE_toimii_ALIOuu2_120rotraj
TRE_toimii_YLIO100raj2
T A M P E R E E N                K A U P U N K I
vaakuna2
Salasspito
Salassapito sekä tietojen ja tietojärjestelmien käyttöperustuvat lainsäädäntöön sekä normiohjaukseen
Salassapidolla tarkoitetaan asiakirjojen salaisuudensäilyttämisvelvollisuutta sekä vaitiolovelvollisuutta
Salassapito koskee kaikkia salassa pidettäviä tietojariippumatta siitä, miten tai mihin ne on tallennettu taimillä tavalla tieto on saatu (kirjallisesti, suullisesti taihavainnoimalla)
Ari Andreasson
7
TRE_toimii_ALIOuu2_120rotraj
TRE_toimii_YLIO100raj2
T A M P E R E E N                K A U P U N K I
vaakuna2
(Sähköinen) käyttö- ja salassapitositoumus
Ari Andreasson
8
TRE_toimii_ALIOuu2_120rotraj
TRE_toimii_YLIO100raj2
T A M P E R E E N                K A U P U N K I
vaakuna2
Ari Andreasson
9
Keskeistä ”tietoturvalainsäädäntöä”
Suomen perustuslaki (731/1999) 2. luku 10 §: Yksityiselämän suoja jaluottamuksellisen viestin salaisuus
Suomen perustuslaki (731/1999) 2. luku 12 §: Viranomaisten hallussa olevienasiakirjojen ja tallenteiden julkisuus
Henkilötietolaki (523/1999): Henkilötietojen käsittelyä koskevat yleiset periaatteet
Laki viranomaisten toiminnan julkisuudesta (621/1999)
Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007)
Asetus viranomaisen toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta(1030/1999)
Työsopimuslaki (55/2001)
Arkistolaki (831/1994): Asiakirjojen laatiminen, säilyttäminen ja käyttö
Laki turvallisuusselvityksistä (177/2002): Henkilöiden taustat
Laki yksityisyyden suojasta työelämässä (759/2004): Työntekijää koskevienhenkilötietojen käsittely
Laki sähköisestä asioinnista viranomaistoiminnassa (13/2003)
Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista (617/2009)
Sähköisen viestinnän tietosuojalaki (516/2004)
Rikoslaki (39/1889) 38. luku 8 §: Tietomurto, henkilörekisteririkos
TRE_toimii_ALIOuu2_120rotraj
TRE_toimii_YLIO100raj2
T A M P E R E E N                K A U P U N K I
vaakuna2
Ari Andreasson
10
Ohjeet ja määräykset
Voimassaolevan lainsäädännön lisäksi työntekijöitävelvoittavat oman organisaation määräykset
Esim. Tampereen kaupungilla on useita ohjeita, määräyksiä japäätöksiä, jotka liittyvät erityisestitietoturvaan/tietosuojaan/henkilötietojen käsittelyyn
Tietoturvapolitiikka, Henkilöstön tietoturvaopas, Potilastiedonkäsittely, Sosiaalihuollon asiakastiedon käsittely,Työntekijöiden terveydentilatietojen käsittely,Sähköpostisäännöt, Henkilörekisterihallinnon järjestäminen,Etätyö jne.
Sopimuksissa velvoitetaan myös ostopalvelutuottajianoudattamaan kaupungin ohjeita ja määräyksiä
Kaupungilla käytössä tietoturvan ja tietosuojan verkkokurssit
TRE_toimii_ALIOuu2_120rotraj
TRE_toimii_YLIO100raj2
T A M P E R E E N                K A U P U N K I
vaakuna2
Mistä saa lisätietoja
Selvitä oman organisaation ohjeet
Tee yhteistyötä muiden saman toimialan yksiköiden kanssa
Lainsäädäntö www.finlex.fi
mm. henkilötietolaki, laki viranomaisten toiminnan julkisuudesta,laki yksityisyyden suojasta työelämässä, sähköisen viestinnäntietosuojalaki, arkistolaki jne.
VAHTI-ohjeet www.vm.fi/vahti
VAHTI=valtionhallinnon tietoturvallisuuden johtoryhmä
Arkistolaitoksen ohjeet www.arkisto.fi
Tietosuojavaltuutetun toimiston ohjeet www.tietosuoja.fi (sekäTietosuoja-lehti)
Viestintäviraston ohjeet www.ficora.fi
Ari Andreasson
TRE_toimii_ALIOuu2_120rotraj
TRE_toimii_YLIO100raj2
T A M P E R E E N                K A U P U N K I
vaakuna2
Kuva Tampereen kaupungin intranetista
Ari Andreasson
12
TRE_toimii_ALIOuu2_120rotraj
TRE_toimii_YLIO100raj2
T A M P E R E E N                K A U P U N K I
vaakuna2
Henkilöstön tietoturvaopas
Eli mitä jokaisen työntekijän tulisi tietäätietoturvasta
Muistilistat
Mistä lisätietoa
Miksi tietoturvaa tarvitaan?
Vastaus: varmistamaan toiminnan jatkuvuus jaminimoimaan sitä uhkaavat riskit
Lyhyellä tähtäyksellä tietoturva ja järjestelmienkäytettävyys voivat olla ristiriidassa, pitkällätähtäyksellä tietoturvalla varmistetaankäytettävyys
Ari Andreasson
TRE_toimii_ALIOuu2_120rotraj
TRE_toimii_YLIO100raj2
T A M P E R E E N                K A U P U N K I
vaakuna2
Ari Andreasson
14
TRE_toimii_ALIOuu2_120rotraj
TRE_toimii_YLIO100raj2
T A M P E R E E N                K A U P U N K I
vaakuna2
Ari Andreasson
15
Tietoturva ja tietosuoja
1.
Selvitä ja noudata oman organisaatiosi tietoturvaohjeita ja –käytäntöjä.
2.
Lukitse tietokoneesi/ohjelmistot tai kirjaudu niistä ulos aina kun poistut sen läheisyydestä.
Pyri käyttämään eri salasanaa eri järjestelmissä. Säilytä salasanat ja muut kirjautumisessa käytettävät tunnisteet, kutentoimikorttisi ja PIN-koodit huolellisesti.
3.
Varo paljastamasta luottamuksellisia tietoja sivullisille työpaikalla tai sen ulkopuolella esim. sosiaalisessa mediassa.
4.
Älä surffaa arveluttavilla nettisivuilla. Älä avaa outoja sähköpostiviestejä tai niiden liitteitä.
5.
Huolehdi papereiden, muistitikkujen, CD-/DVD-levyjen, puhelinten, salasanojen, avainten, kulkunappien, toimikorttien ym.asianmukaisesta käsittelystä ja säilyttämisestä.
6.
Hävitä tietosuojattava jäte asianmukaisesti.
7.
Huolehdi erityisesti mobiilityössä kannettavan tietokoneen ja sen tietojen suojaamisesta. Hanki kannettavaantietokoneeseen suojakalvo, joka estää sivulta tapahtuvan salakatselun. Älä jätä laitteita valvomatta näkyville esimerkiksiautoon tai hotelliin.
8.
Muista kunnioittaa asiakkaiden ja työkavereiden yksityisyyttä. Näin ylläpidät luottamusta.
9.
Kerro esimiehellesi, mikäli havaitset tietoturva- tai tietosuojarikkomuksia.
10.
Älä hätäänny, jos jotain poikkeavaa tapahtuu. Soita rohkeasti tukikeskukseen.