Digiturvamalli
Digiturvamallin sisältökirjastoTietosuojaSisäänrakennettu ja oletusarvoinen tietosuoja

Henkilötietojen käyttötarkoitussidonnaisuuden tarkistaminen

Organisaatio kerää henkilötietoja vain tietyssä, nimenomaisessa ja laillisessa tarkoituksessa, eikä käsittele henkilötietoja alkuperäisten tarkoitusten kanssa yhteensopimattomalla tavalla myöhemmin.

Periaatteen toteutuminen tulisi varmistaa säännöllisesti kokonaisuuden näkökulmasta vertaamalla hallintajärjestelmän dokumentaatiota (etenkin tietojen käyttötarkoitukset) henkilötietojen todelliseen hyödyntämiseen organisaation arjessa.

Tehtävään liittyvät Digiturvamallin ominaisuudet

Näytä vaatimustenmukaisuus raporttikirjaston avulla

Digiturvamalli sisältää raporttikirjaston, josta löytyvät omat raporttipohjat jokaiselle vaatimuskehikolle.

Olipa kuulijana oma johto, viranomainen, auditoija tai asiakas, saat tarvittavan raportin muodostettua yhdellä klikkauksella.

Lue lisää raportoinnista

Vastuuta tehtävät ja kuvaa oma toteutus

Tehtävälistat sisältävät digiturvan ydinasiat. Päätä, mitkä tehtävät teillä hoidetaan ja kuka vastaa. Näet vaaditut tehtävät suoraan valitun vaatimuskehikon perusteella, ja voit halutessasi täydentää listaa omilla.

Lue lisää tietoturvatehtävistä

Jakele ohjeet automaattisesti ja valvo lukemista

Kohdista ohjeet kaikilla tai vain relevanteille yksiköille. Saat ehdotuksia suoraan valitun vaatimuskehikon perusteella ja voit lisätä omat ohjeenne.

Työntekijöille ohjeet jaellaan Teams-botin kautta. Botti ei myöskään anna lukemisen unohtua.

Lue lisää tietoturvaohjeista

Dokumentoi esimerkkien ja älykkäiden pohjien avulla

Digiturvamalli sisältää älykkäät mallipohjat mm. järjestelmien, henkilötietojen ja riskien dokumentointiin. Et turhaan kirjoita tai piirrä, vaan klikkailet linkittäen tietoja, jolloin automaattinen raportointi mahdollistuu.

Lue lisää dokumentoinnista

Tehtävään liittyvät vaatimukset eri vaatimuskehikoista

Saman teeman muita tehtäviä

Klikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.

Säännöllinen, sisäinen tietosuojakäytäntöjen arviointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietosuojan vastuuhenkilön tehtävänä on seurata, että tietosuoja-asetusta ja muita tietosuojavaatimuksia noudatetaan organisaation toiminnassa.

Vastuuhenkilön on arviointia tehdessään otettava asianmukaisesti huomioon käsittelytoimiin liittyvä riski sekä henkilötietojen käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset.

Säännöllinen ulkopuolinen tietosuojakäytäntöjen auditointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiossa suoritetaan säännöllisesti tietosuoja-auditointia. Auditoinnin avulla tunnistetaan esimerkiksi henkilötietojen käsittelyprosesseihin sekä henkilötietojen käsittelijöihin liittyviä puutteita ja kehitystarpeita.

Henkilötunnuksen käsittelyperusteiden tunnistaminen ja dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio tunnistaa kaikki henkilötietojen käsittelytoimet, joissa käytetään henkilötunnusta. Organisaatio varmistaa kunkin käsittelytoimen osalta, että henkilötunnuksen käytölle on laissa hyväksytty peruste.

Henkilötunnusta saa käsitellä rekisteröidyn suostumuksella tai, jos käsittelystä säädetään laissa. Lisäksi henkilötunnusta saa käsitellä, jos rekisteröidyn yksiselitteinen yksilöiminen on tärkeää:

  • laissa säädetyn tehtävän suorittamiseksi;
  • rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi; tai
  • historiallista tai tieteellistä tutkimusta taikka tilastointia varten.

Henkilötietojen pseudonymisointi valituissa tilanteissa

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Henkilötietojen pseudonymisointi tarkoittaa tietojen käsittelemistä niin, että tietoja ei voida enää suoraan yhdistää tiettyyn rekisteröityyn käyttämättä lisätietoja.

Henkilötietojen anonymisointi valituissa tilanteissa

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Anonymisointi tarkoittaa henkilötietojen muokkaamista niin, että henkilöä ei enää voida tunnistaa niistä. Tietoja voidaan esimerkiksi karkeistaa yleiselle tasolle tai niistä voidaan poistaa yksittäistä henkilöä koskevat tiedot. Anonymisoinnissa tunnistaminen estyy peruuttamattomasti, toisin kuin pseudonymisoinnissa, jossa tiedot voidaan palauttaa lisätietojen avulla alkuperäiseen muotoon.

Tietosuojakulttuurin mittaaminen ja kehittäminen organisaatiossa

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietosuojasta huolehtimisesta pyritään määrätietoisesti muodostamaan osa organisaatiokulttuuria ja tämän toteutumista arvioidaan säännöllisesti.

Organisaatio on lisäksi määritellyt selkeät toimintatavat, joilla henkilöstön asenteita tietosuojaa kohtaan mitataan (esim. kyselyt, testit). Mittauksen tulokset tulkitaan ja näiden perusteella muodostetaan selkeitä toimenpiteitä.

Henkilötietojen säilytyksen rajoittamisen tarkistaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio säilyttää henkilötietoja muodossa, josta rekisteröity on tunnistettavissa, ainoastaan niin kauan, kun on tarpeen tietojen käsittelyn tarkoitusten toteuttamista varten.

Periaatteen toteutuminen tulisi varmistaa säännöllisesti kokonaisuuden näkökulmasta analysoimalla hallintajärjestelmän dokumentaatiota (etenkin määritellyt tietoaineistojen säilytysajat) ja myös vertaamalla dokumentaatiota tietojen todelliseen poistamiseen.

Henkilötietojen tarpeellisuuden ja oikeasuhtaisuuden tarkistaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio varmistaa, että henkilötietojen käsittely on tarpeellista ja oikeasuhtaista käsittelyn laillisten tarkoitusten saavuttamiseksi. Henkilötietoja olisi käsiteltävä vain, jos käsittelyn tarkoitusta ei voida kohtuullisesti toteuttaa muilla keinoilla.

Periaatteen toteutuminen tulisi varmistaa säännöllisesti kokonaisuuden näkökulmasta analysoimalla hallintajärjestelmän dokumentaatiota (etenkin tietojen käyttötarkoitukset).

Prosessi tilapäistietojen hävittämiseen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiolla tulisi olla dokumentoitu prosessi henkilötietojen käsittelyn seuraksena syntyvien tilapäistietojen hävittämiseen määritellyssä ajassa.

Hävittäminen tulisi toteuttaa tyhjentämällä tai tuhoamalla tilapäistiedostot menettelyn mukaisesti määräajassa.

Tavoitteet henkilötietojen minimointiin sekä käsittelyn rajoittamiseen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on tunnistettava erilaiset käsittelytilanteet, joissa voi olla tarpeen rajoittaa henkilötietojen käsittelyä sekä henkilötietojen määrää suhteessa niiden käyttötarkoituksiin. Tämä voi sisältää mm. tunnistamisyhteyksien poistoa ja muita tiedonkäsittelyn rajoittamistekniikoita.

Organisaation tulisi määrittää ja dokumentoida rajoittamistavoitteet tietojenkäsittelylle ja tavoitteiden toteuttamiseen käytettävät mekanismit.

Henkilötietojen oikeellisuuden varmistaminen ja dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiolla tulisi olla prosessi henkilötietojen täsmällisyyden ja oikeellisuuden säännölliseen arviointiin, tarpeellisten päivitysten tekemiseen sekä oikaisuista ilmoittamiseen tiedon vastaanottajille.

Mitä tärkeämpää tiedon täsmällisyys on, sitä enemmän rekisterinpitäjän on tehtävä toimenpiteitä tietojen oikeellisuuden varmistamiseksi. Tietojen oikeellisuuden varmistaminen on erityisen tärkeää silloin, kun henkilötietojen perusteella tehdään yksilön kannalta olennaisia päätöksiä. Tällöin epätäsmälliset ja virheelliset tiedot voivat vakavalla tavalla vaarantaa rekisteröidyn oikeuksia (esim. johtaa vääriin hoitopäätöksiin).

Henkilötietojen minimoinnin tarkistaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation tulisi rajoittaa henkilötietojen kerääminen vähimmäistasolle, joka on olennainen ja tarvittava kerättävien henkilötietojen käsittelytarkoitusta varten.

Periaatteen toteutuminen tulisi varmistaa säännöllisesti kokonaisuuden näkökulmasta verraten hallintajärjestelmän dokumentaatiot (esim. tietojen käyttötarkoitukset) käytännössä organisaation hallussa oleviin henkilötietoihin.

Tietoturvapolitiikat
Tietosuoja
Sisäänrakennettu ja oletusarvoinen tietosuoja
Henkilötietojen käyttötarkoitussidonnaisuuden tarkistaminen
on tietoturvatoimenpide, jolla vastataan mm. seuraaviin tietoturvavaatimuksiin:
TSU-09: Käyttötarkoitussidonnaisuus
(
Julkri
)  
Yleensä tämä toimenpide nähdään osaksi
Tietosuoja
-teemaa sekä
Sisäänrakennettu ja oletusarvoinen tietosuoja
-politiikkaa.
Alla on esimerkki kokonaisuudesta, joka voi muodostaa kyseisen politiikan. Omaan politiikkaa voit lähteä jalkauttaamaan perustamalla ilmaisen Digiturvamalli-tilin.

Sisäänrakennettu ja oletusarvoinen tietosuoja

-politiikka

Kaikki tehtävät
No items found.
No items found.