Korkeakoulujen ja opetus- ja kulttuuriministeriön yhteinen tietohallintohanke, jota CSC koordinoi RAkenteellisen KEhittämisen Tukena TIetohallinto Tietoturvan ja tietosuojan järjestelyt , Antti Mäki
Korkeakoulujen valtakunnallisen tietovarannon turvaaminen Tietosuojan ja tietoturvan pääperiaatteet Tietosuojan ja tietoturvan tarkistuslista Sopimus teknisestä tietojenkäsittelypalvelusta sekä CSC:n asiakkaan tietoturvasopimus Tietoturvan miniauditointi (Aalto-yliopisto) Tietoturvan käsittely korkeakoulujen tietoturvasta vastaavien henkilöiden kanssa Ulkopuolinen tietoturva-auditointi myöhemmin
Korkeakoulujen valtakunnallisen tietovarannon turvaaminen Tietosuojan ja tietoturvan pääperiaatteet Tietosuojan ja tietoturvan tarkistuslista Sopimus teknisestä tietojenkäsittelypalvelusta sekä CSC:n asiakkaan tietoturvasopimus Tietoturvan miniauditointi (Aalto-yliopisto) Tietoturvan käsittely korkeakoulujen tietoturvasta vastaavien henkilöiden kanssa Ulkopuolinen tietoturva-auditointi myöhemmin
OKM palvelun tarjoajana (CSC) Opetushallitus Tilastokeskus OKM-tiedonkeruut Korkeakoulut? Korkeakoulun vastuulla sekä toteutus että tietosisältö rekisterinpitäjänä Tiedon luovutus suoraan lain nojalla tai korkeakoulun päätöksellä Muuntaa rekisterinsä tiedon Korkeakoulujen tietomalliin (xdw- malli) Tallentaa tiedon valtakunnalliseen tietovarantoon Tiedon käyttäjät hakevat kaikkien korkeakoulujen tietoja omiin järjestelmiinsä
Tietojen turvaamisen tavoitteet tietovarannon toteutuksessa Tietojen mahdollisimman sujuva ja laaja käyttö joustavasti erilaisissa tilanteissa on ensisijainen tavoite rekistereihin kuuluvien henkilöiden oikeuksien edistämisessä Samalla tietovarantoon tuotavat tiedot turvataan tietosuojan ja tietoturvan toteutumisen varmistavilla kuvauksilla, määrityksillä ja ratkaisuilla
Tietojen ajantasaisuus- ja säilytysvaatimukset Säilytysaika määräytyy sen mukaan, miten tietoja säilytetään korkeakoulujen omissa rekistereissä korkeakoulujen arkistonmuodostussuunnitelmien ja muiden säilytysvelvoitteiden mukaisesti Yhdenvertaisen kohtelun turvaamiseksi tietoa on tietovarannon kautta pidettävä saatavilla eliniän ajan eli käytännössä pysyvästi Kun tietovarannon tieto on kopio lähdejärjestelmästä, on myös lähdejärjestelmän tieto säilytettävä vastaavasti
Tietojen luovuttaminen Opiskelijavalintarekisterin käyttöön eli OPH:n toteuttamiin valtakunnallisiin palveluihin laissa säädetyn velvollisuuden nojalla eikä edellytä korkeakoululta erillistä ratkaisua Muihin viranomaistarpeisiin perustuu eri laeissa määriteltyihin tiedonsaantioikeuksiin sekä siihen, että kyseiset viranomaiset pyytävät korkeakouluja toimittamaan tiedot tietovarannon kautta Muuten rekisterinpitäjän päätöksellä
Tietovarannon tietojen käsittely Tietovarantoon ei ole suoria käyttöliittymiä Tietovarannon lukurajanpinta luovuttaa automaattisesti kaiken pyydetyn tiedon sallituille palveluille (nyt vai OPH) OPH:n ylläpitämien palveluiden osana valvotaan henkilötietojen käyttöä Viranomaistiedonkeruita varten poiminnat toteutetaan erikseen valtuutetun CSC:n henkilöstön toimesta
Käyttöoikeus- ja lokirekisterit Tietoja käyttävä palvelu vastaa käyttövaltuuksien valvonnasta ja tietojen katselulokin muodostamisesta (esim. OPH:n palvelut) Tietovarannon lukurajapinta tallentaa lokitietona jokaisen kutsun, kutsujan ja vastauksen Lukurajapinnan lokitieto muodostaa lokirekisterin korkeakoulukohtaisesti. Lokirekisteriin tallennetaan tieto, mikäli kutsu koski korkeakoulun rekisteriin kuuluvia tietoja
Toimintatavat …joilla rekisterinpitäjä voi varmistua henkilötietojen käsittelyn lainmukaisuudesta Tietovarannon hallinnoimiseksi ja käytännöistä sopimiseksi luodaan teknisen ylläpitäjän ja korkeakoulujen yhteiset toimintatava Ehdotuksia valmistellaan RAKETTI-VIRTA- projektissa, mutta päätös toimintatavoista on opetus- ja kulttuuriministeriön, korkeakoulujen ja tietojen käyttöön osallistuvien viranomaisten yhteinen
Korkeakoulujen valtakunnallisen tietovarannon turvaaminen Tietosuojan ja tietoturvan pääperiaatteet Tietosuojan ja tietoturvan tarkistuslista Sopimus teknisestä tietojenkäsittelypalvelusta sekä CSC:n asiakkaan tietoturvasopimus Tietoturvan miniauditointi (Aalto-yliopisto) Tietoturvan käsittely korkeakoulujen tietoturvasta vastaavien henkilöiden kanssa Ulkopuolinen tietoturva-auditointi myöhemmin
Tieto on korkeakoulun rekisterin osa valtakunnallisessa tietovarannossa Korkeakoulujen valtakunnalliseen tietovarantoon tallennetaan korkeakoulun opiskelijatietoja sisältävän henkilörekisterin tietoja Henkilötietolain nojalla korkeakoulun on rekisterinpitäjänä varmistuttava tietojen käsittelyn asianmukaisuudesta ja erityisesti tietoturvan ja tietosuojan toteutumisesta
Asianmukaisuuden varmistaminen Korkeakoulu varmistaa tietoturvan ja tietosuojan toteutumisen yhdessä CSC:n kanssa laaditun sopimuksen sisällön, sen liitteen sisällön sekä tietosuojavaltuutetun toimiston suosituksen mukaisen tarkistuslistan avulla a+ja+vastauksethttps://confluence.csc.fi/display/VIRTA/Tarkistulist a+ja+vastaukset
Korkeakoulujen valtakunnallisen tietovarannon turvaaminen Tietosuojan ja tietoturvan pääperiaatteet Tietosuojan ja tietoturvan tarkistuslista Sopimus teknisestä tietojenkäsittelypalvelusta sekä CSC:n asiakkaan tietoturvasopimus Tietoturvan miniauditointi (Aalto-yliopisto) Tietoturvan käsittely korkeakoulujen tietoturvasta vastaavien henkilöiden kanssa Ulkopuolinen tietoturva-auditointi myöhemmin
Sopimus teknisestä tietojekäsittelypalvelusta Tietosuojavaltuutetun toimiston suosituksen mukaiseen sopimukseen on koottu korkeakoulun ja CSC:n kesken sovittavat asiat Sopimus ja sen liitteen sisältö ovat voimassa korkeakoulun ja CSC:n välillä yhteisenä ymmärryksenä osapuolten välisistä velvoitteista kunnes kirjallinen sopimus on allekirjoitettu Sopimuksen liitteenä on CSC:n yhteistyökumppanin turvallisuussopimus
Muistio tietovarantoon liittyvästä teknisestä tietojenkäsittelypalvelusta Lainsäätämisen myötä sopimus muuttuu korkeakoulun CSC:n ja OKM:n vastuunjaon kuvaavaksi muistioksi Sopimuksen varainen asia on enää varsinaisesti vain teknisen ylläpitäjän tehtävän delegoiminen OKM:ltä CSC:lle korkeakoulun+ja+CSCn+keskenhttps://confluence.csc.fi/display/VIRTA/Sopimus+ korkeakoulun+ja+CSCn+kesken
Korkeakoulujen valtakunnallisen tietovarannon turvaaminen Tietosuojan ja tietoturvan pääperiaatteet Tietosuojan ja tietoturvan tarkistuslista Sopimus teknisestä tietojenkäsittelypalvelusta sekä CSC:n asiakkaan tietoturvasopimus Tietoturvan miniauditointi (Aalto-yliopisto) Tietoturvan käsittely korkeakoulujen tietoturvasta vastaavien henkilöiden kanssa Ulkopuolinen tietoturva-auditointi myöhemmin
Tietoturvan miniauditointi (Aalto- yliopisto) RAKETTI-Tietohallinto-ohjausryhmä päätti, että korkeakoulukohtaisten integraatioiden toteutuksien alkaessa ensimmäisenä toteuttajana Aalto-yliopisto perehtyy tietovarannon tietoturvan varmistamiseen ja sitä koskeviin suunnitelmiin Miniauditointi on suoritettu eikä tunnistettu esteitä tietointegraatioiden toteutukselle tässä vaiheessa Aalto-yliopiston lakiasiantuntijat perehtyvät myös sopimukseen teknisestä tietojenkäsittelypalvelusta
Korkeakoulujen valtakunnallisen tietovarannon turvaaminen Tietosuojan ja tietoturvan pääperiaatteet Tietosuojan ja tietoturvan tarkistuslista Sopimus teknisestä tietojenkäsittelypalvelusta sekä CSC:n asiakkaan tietoturvasopimus Tietoturvan miniauditointi (Aalto-yliopisto) Tietoturvan käsittely korkeakoulujen tietoturvasta vastaavien henkilöiden kanssa Ulkopuolinen tietoturva-auditointi myöhemmin
välikysymys Onko teillä tietoturvasta vastaava ja rekisterinpidosta vastaava perillä tietointegraation toteuttamisesta?
Tietoturvan käsittely korkeakoulujen vastaavien henkilöiden kanssa Korkeakoulukorttien tietointegraatiokyselyssä kohdassa ilmoitetut henkilöt seminaarissa esitetty toimitetaan tiedoksi Syksyllä (marraskuussa?) järjestettävässä seminaarissa tietoturva- ja tietosuoja-asioiden käsittely Mukaan toteuttamaan tietoturvan auditointi sekä arvioimaan auditoinnin tulokset
Korkeakoulujen valtakunnallisen tietovarannon turvaaminen Tietosuojan ja tietoturvan pääperiaatteet Tietosuojan ja tietoturvan tarkistuslista Sopimus teknisestä tietojenkäsittelypalvelusta sekä CSC:n asiakkaan tietoturvasopimus Tietoturvan miniauditointi (Aalto-yliopisto) Tietoturvan käsittely korkeakoulujen tietoturvasta vastaavien henkilöiden kanssa Ulkopuolinen tietoturva-auditointi myöhemmin
Tietoturva-auditointi Ulkopuolisen tahon toteuttamana Kun tietovaranto on kokonaisuutena audiotoitavissa (vuoden vaihteessa ) Kohteena ketju korkeakoulusta tietoa käyttäviin palveluihin saakka (Opetushallituksen valtakunnalliset palvelut) Korkeakoulujen vastaavat henkilöt osallistuvat
Korkeakoulujen valtakunnallisen tietovarannon turvaaminen Tietosuojan ja tietoturvan pääperiaatteet Tietosuojan ja tietoturvan tarkistuslista Sopimus teknisestä tietojenkäsittelypalvelusta sekä CSC:n asiakkaan tietoturvasopimus Tietoturvan miniauditointi (Aalto-yliopisto) Tietoturvan käsittely korkeakoulujen tietoturvasta vastaavien henkilöiden kanssa Ulkopuolinen tietoturva-auditointi myöhemmin
OKM palvelun tarjoajana (CSC) Opetushallitus Tilastokeskus OKM-tiedonkeruut Korkeakoulut? Korkeakoulun vastuulla sekä toteutus että tietosisältö rekisterinpitäjänä Tiedon luovutus suoraan lain nojalla tai korkeakoulun päätöksellä Muuntaa rekisterinsä tiedon Korkeakoulujen tietomalliin (xdw- malli) Tallentaa tiedon valtakunnalliseen tietovarantoon Tiedon käyttäjät hakevat kaikkien korkeakoulujen tietoja omiin järjestelmiinsä
Päivittyvä kooste +ja+tietoturvahttps://confluence.csc.fi/display/VIRTA/Tietosuoja +ja+tietoturva