TIETOTURVAN JA TIETOSUOJAN TOTEUTTAMINEN Ari Andreasson 31.1.2013 T A M P E R E E N K A U P U N K I
Tietoturva ja tietosuoja Kansainvälistä ja yksilön perusoikeus Luottamuksellista asiakassuhdetta tukeva kokonaisuus Välineriippumatonta Varsinkin terveydenhuollossa pitkään tunnistettuja asioita Oikeusturvaa asiakkaalle sekä työntekijöille Sähköisissä järjestelmissä vahingon torjunta on halvempaa kuin vahingon korjaaminen Tietoturvasta/tietosuojasta 80 % on ihmistä/psykologiaa Ari Andreasson
Tietosuojavastaava Tietosuojavastaavan rooli ja tehtävät perustuvat lakiin: laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) ja laki sähköisestä lääkemääräyksestä (61/2007) Edellytys on, että jokainen sosiaali- ja terveydenhuollon palvelujen antaja ja mm. apteekki sekä Kansaneläkelaitos nimeävät tietosuojavastaavan Tampereen kaupungilla tietosuojavastaavalla on myös nimetty varahenkilö Asiaan on valmisteluja myös laajemmin Eun yleisen tietosuoja-asetuksen osalta (tietosuojavastaavan rooli tullee olemaan vaatimuksena muuallakin kuin sosiaali- ja terveydenhuollossa) Ari Andreasson
Tietosuojavastaavan tehtäviä Tampereella Osallistuu organisaation henkilötietojen käsittelyä koskevaan suunnittelutoimintaan Osallistuu tietoturva- ja tietosuojaohjeita sekä sopimusliitteitä koskevaan valmisteluun ja ylläpitoon Osallistuu tietoturva ja tietosuojariskien hallintaan Seuraa ja valvoo henkilötietojen käsittelyä ja niiden suojausmenetelmiä Tukee henkilökuntaa ja rekisteröityjä tietosuoja-asioissa (mm. koulutus) Toimii yhdyssiteenä valvontaviranomaisiin Suorittaa käytönvalvonnan suunnittelua ja toteuttamista Raportoi organisaation johdolle tietosuojan tilasta ja kehittämistarpeista Toimii VETUMA (=verkossa tunnistaminen ja maksaminen yhteyshenkilönä Vastaa organisaation johdon osoittamista muista tietosuojaa tukevista tehtävistä Ylläpitää intran tietoturvasivustoa yhdessä tietoturvapäällikön kanssa Ari Andreasson
Kansalaiset ovat valveutuneita He tuntevat oikeutensa ja pyytävät enenevästi tarkastusoikeuden pohjalta omien tietojensa tarkistamista ja sen jälkeen myös korjaamista nk. käyttölokiselvitykset ovat lisääntyneet mm. potilasasiamiehelle ja sosiaaliasiamiehille sekä tietosuojavastaavalle tulee runsaasti kysymyksiä Selvityspyyntöjä ja kanteluita viedään vireille suoraan tietosuojavaltuutetulle, poliisille sekä Valviraan ja aluehallintovirastoon Työntekijät ovat itse useassa roolissa; välillä ammattilainen, välillä asiakas, välillä huoltaja. Roolit eivät saa sekoittua! Ari Andreasson
Tietomurrot/tietovuodot Reilun vuoden sisällä on internetissä tehty useita paljon julkisuutta saaneita tietomurtoja, joissa varastettiin käyttäjien henkilötietoja, luottokorttitietoja ja luottamuksellisia dokumentteja Myös palvelunestohyökkäyksiä uutisoitiin vuoden 2012 aikana useita Lukuisat onnistuneet tietomurrot ovat osoittaneet, että verkkopalvelujen turvalliseen toteuttamiseen ja ylläpitoon ei useissa organisaatioissa kiinnitetä riittävästi huomiota. Tietojen varastaminen järjestelmistä onnistuu usein yleisesti saatavilla olevien, haavoittuvuuksia etsivien ja niitä hyväksi käyttävien ohjelmistojen avulla Murtautujien julkaisemista tiedoista voi päätellä, että käyttäjien salasanat ovat usein liian helposti murrettavissa. Lisäksi samaa salasanaa käytetään valitettavan usein eri palveluissa, mikä moninkertaistaa varastettujen tietojen hyväksikäyttämiseen liittyvän riskin Murtoja on kohdistunut myös julkishallinnon kohteisiin Ari Andreasson
Salasspito Salassapito sekä tietojen ja tietojärjestelmien käyttö perustuvat lainsäädäntöön sekä normiohjaukseen Salassapidolla tarkoitetaan asiakirjojen salaisuuden säilyttämisvelvollisuutta sekä vaitiolovelvollisuutta Salassapito koskee kaikkia salassa pidettäviä tietoja riippumatta siitä, miten tai mihin ne on tallennettu tai millä tavalla tieto on saatu (kirjallisesti, suullisesti tai havainnoimalla) Ari Andreasson
(Sähköinen) käyttö- ja salassapitositoumus Ari Andreasson
Keskeistä ”tietoturvalainsäädäntöä” Suomen perustuslaki (731/1999) 2. luku 10 §: Yksityiselämän suoja ja luottamuksellisen viestin salaisuus Suomen perustuslaki (731/1999) 2. luku 12 §: Viranomaisten hallussa olevien asiakirjojen ja tallenteiden julkisuus Henkilötietolaki (523/1999): Henkilötietojen käsittelyä koskevat yleiset periaatteet Laki viranomaisten toiminnan julkisuudesta (621/1999) Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) Asetus viranomaisen toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta (1030/1999) Työsopimuslaki (55/2001) Arkistolaki (831/1994): Asiakirjojen laatiminen, säilyttäminen ja käyttö Laki turvallisuusselvityksistä (177/2002): Henkilöiden taustat Laki yksityisyyden suojasta työelämässä (759/2004): Työntekijää koskevien henkilötietojen käsittely Laki sähköisestä asioinnista viranomaistoiminnassa (13/2003) Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista (617/2009) Sähköisen viestinnän tietosuojalaki (516/2004) Rikoslaki (39/1889) 38. luku 8 §: Tietomurto, henkilörekisteririkos Ari Andreasson
Ohjeet ja määräykset Voimassaolevan lainsäädännön lisäksi työntekijöitä velvoittavat oman organisaation määräykset Esim. Tampereen kaupungilla on useita ohjeita, määräyksiä ja päätöksiä, jotka liittyvät erityisesti tietoturvaan/tietosuojaan/henkilötietojen käsittelyyn Tietoturvapolitiikka, Henkilöstön tietoturvaopas, Potilastiedon käsittely, Sosiaalihuollon asiakastiedon käsittely, Työntekijöiden terveydentilatietojen käsittely, Sähköpostisäännöt, Henkilörekisterihallinnon järjestäminen, Etätyö jne. Sopimuksissa velvoitetaan myös ostopalvelutuottajia noudattamaan kaupungin ohjeita ja määräyksiä Kaupungilla käytössä tietoturvan ja tietosuojan verkkokurssit Ari Andreasson
Mistä saa lisätietoja Selvitä oman organisaation ohjeet Tee yhteistyötä muiden saman toimialan yksiköiden kanssa Lainsäädäntö www.finlex.fi mm. henkilötietolaki, laki viranomaisten toiminnan julkisuudesta, laki yksityisyyden suojasta työelämässä, sähköisen viestinnän tietosuojalaki, arkistolaki jne. VAHTI-ohjeet www.vm.fi/vahti VAHTI=valtionhallinnon tietoturvallisuuden johtoryhmä Arkistolaitoksen ohjeet www.arkisto.fi Tietosuojavaltuutetun toimiston ohjeet www.tietosuoja.fi (sekä Tietosuoja-lehti) Viestintäviraston ohjeet www.ficora.fi Ari Andreasson
Kuva Tampereen kaupungin intranetista Ari Andreasson
Henkilöstön tietoturvaopas Eli mitä jokaisen työntekijän tulisi tietää tietoturvasta Muistilistat Mistä lisätietoa Miksi tietoturvaa tarvitaan? Vastaus: varmistamaan toiminnan jatkuvuus ja minimoimaan sitä uhkaavat riskit Lyhyellä tähtäyksellä tietoturva ja järjestelmien käytettävyys voivat olla ristiriidassa, pitkällä tähtäyksellä tietoturvalla varmistetaan käytettävyys Ari Andreasson
Ari Andreasson
Tietoturva ja tietosuoja 1. Selvitä ja noudata oman organisaatiosi tietoturvaohjeita ja –käytäntöjä. 2. Lukitse tietokoneesi/ohjelmistot tai kirjaudu niistä ulos aina kun poistut sen läheisyydestä. Pyri käyttämään eri salasanaa eri järjestelmissä. Säilytä salasanat ja muut kirjautumisessa käytettävät tunnisteet, kuten toimikorttisi ja PIN-koodit huolellisesti. 3. Varo paljastamasta luottamuksellisia tietoja sivullisille työpaikalla tai sen ulkopuolella esim. sosiaalisessa mediassa. 4. Älä surffaa arveluttavilla nettisivuilla. Älä avaa outoja sähköpostiviestejä tai niiden liitteitä. 5. Huolehdi papereiden, muistitikkujen, CD-/DVD-levyjen, puhelinten, salasanojen, avainten, kulkunappien, toimikorttien ym. asianmukaisesta käsittelystä ja säilyttämisestä. 6. Hävitä tietosuojattava jäte asianmukaisesti. 7. Huolehdi erityisesti mobiilityössä kannettavan tietokoneen ja sen tietojen suojaamisesta. Hanki kannettavaan tietokoneeseen suojakalvo, joka estää sivulta tapahtuvan salakatselun. Älä jätä laitteita valvomatta näkyville esimerkiksi autoon tai hotelliin. 8. Muista kunnioittaa asiakkaiden ja työkavereiden yksityisyyttä. Näin ylläpidät luottamusta. 9. Kerro esimiehellesi, mikäli havaitset tietoturva- tai tietosuojarikkomuksia. 10. Älä hätäänny, jos jotain poikkeavaa tapahtuu. Soita rohkeasti tukikeskukseen. Ari Andreasson