Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

TSU-13
Julkri

Julkisen hallinnon tietoturvakriteeristö

Muita saman teeman digiturvatehtäviä

Tietosuojavastaavan nimittäminen, tehtävät ja asema

Critical
High
Normal
Low

Organisaatiomme on määritellyt, tuleeko tietosuojavastaava nimittää, ja tarvittaessa tehnyt nimityksen.

Tietosuojavastaava on nimitettävä, jos:

  • organisaatio käsittelee laajamittaisesti arkaluontoisia tietoja
  • organisaatio seuraa ihmisiä laajamittaisesti, säännöllisesti ja järjestelmällisesti
  • organisaatio on julkishallinnon toimija

Nimittämisen lisäksi oleellista on säännöllisesti arvioida, toimiiko tietosuojavastaava tietosuoja-asetuksen määräämässä asemassa ja toteuttaen asetuksen määräämiä tehtäviä.

37. Tietosuojavastaavan nimittäminen
GDPR
38. Tietosuojavastaavan asema
GDPR
39. Tietosuojavastaavan tehtävät
GDPR
18.1.4: Privacy and protection of personally identifiable information
TSU-05.1: Tehtävät ja vastuut - Tietosuojavastaava
Julkri

Asiakkaan vaatimusten välittäminen asiaankuuluville kumppaniorganisaatioille

Critical
High
Normal
Low

Organisaation on varmistettava, että asiakkaiden asettamat sopimusvelvoitteet välitetään käytetyille alihankkijoille ja muille yhteistyökumppaneille.

Kumppaniorganisaatioiden asetettujen velvoitteiden noudattaminen on tarkistettava säännöllisesti. Jokaisella kumppanilla on oltava nimetty yhteyshenkilö, ja tarvittavien yhteystietojen on oltava ajan tasalla.

Tietosuojavastaavasta ilmoittaminen

Critical
High
Normal
Low

Organisaation on julkistettava tietosuojavastaavan yhteystiedot (esim. organisaation verkkosivulla) ja ilmoitettava ne valvontaviranomaiselle.

37. Tietosuojavastaavan nimittäminen
GDPR
6.1.1: Information security roles and responsibilities
ISO 27001
18.1.4: Privacy and protection of personally identifiable information
18.2.2: Compliance with security policies and standards
ISO 27001
TSU-05.1: Tehtävät ja vastuut - Tietosuojavastaava
Julkri

Tietosuojan seuranta ja valvontasuunnitelma

Critical
High
Normal
Low

Organisaation on määriteltävä, miten tehdään säännöllistä henkilötietojen käytön seurantaa (esim. tietoja voivat katsella ja käsitellä vain siihen oikeutetut henkilöt) ja miten toimitaan, jos väärinkäytöksiä ilmenee.

12: Digiturvan tilan seuraaminen

Hallintakeinot henkilötietojen siirron kohteen varmistamiseen

Critical
High
Normal
Low

Kun henkilötietoja siirretään verkon kautta, organisaatiolla on oltava asianmukaiset valvontatoimenpiteet sen varmistamiseksi, että tiedot saapuvat aiottuun määränpäähänsä.

A.12.2: Intended destination of PII
ISO 27018
A.7.4.9: PII transmission controls
ISO 27701
A.8.4.3: PII transmission controls
ISO 27701

Tietojen tallennustilan turvallinen uudelleenkäyttö pilvipalveluasiakkaille

Critical
High
Normal
Low

Pilvipalvelut eivät välttämättä aina poista kaikkia käyttäjien poistamia tietoja esim. suorituskykyongelmien vuoksi.

Organisaatiolla tulee olla käytössä teknisiä toimenpiteitä sen varmistamiseksi, että aina kun asiakkaalle osoitetaan tallennustilaa, kyseisellä tallennustilalla aiemmin olleet tiedot eivät näy uudelle asiakkaalle.

A.11.13: Access to data on pre-used data storage space
ISO 27018

Vaikutustenarviointiin liittyvä tietosuojaviranomaisen ennakkokuuleminen

Critical
High
Normal
Low

Organisaation on kuultava relevanttia tietosuojaviranomaista ennen henkilötietojen käsittelyn aloittamista, kun vaikutustenarviointi osoittaa, että käsittely aiheuttaisi korkean riskin rekisteröidylle, eikä rekisterinpitäjä ole omilla toimenpiteillään saanut riskiä alhaisemmaksi.

Tietosuojaviranomaista on kuultava esimerkiksi silloin, kun rekisteröidyt voisivat joutua kärsimään huomattavista tai peruuttamattomista seurauksista, joita he eivät välttämättä pysty torjumaan.

TSU-17.1: Tietosuojan vaikutustenarviointi - Ennakkokuuleminen
Julkri

Käsittelyn turvallisuuden lisätoimenpiteet erityisiä henkilötietoja käsiteltäessä

Critical
High
Normal
Low

Käsiteltäessä erityisiin henkilötietoryhmiin kuuluvia tai rikostuomioihin ja rikoksiin liittyviä henkilötietoja organisaatio toteuttaa asianmukaiset ja erityiset toimenpiteet rekisteröidyn oikeuksien suojaamiseksi.

Näitä erityisiä toimenpiteitä voivat olla mm.:

  • käsittelyn tarkempi lokitus
  • erityisiä henkilötietoja käsittelevän henkilöstön tarkempi ohjeistaminen
  • tarkempi pääsynhallinta liittyviin henkilötietoihin
  • henkilötietojen pseudonymisointi liittyvissä käsittelytoimissa
  • henkilötietojen salaus liittyvissä käsittelytoimissa
  • käsittelyyn liittyvien järjestelmien tietoturvatarkistukset
  • tietosuojan vaikutustenarvioinnin toteuttaminen
  • muut tietojen turvallisuutta parantavat toimenpiteet
TSU-13: Käsittelyn turvallisuus
Julkri

Organisaation rooli käsiteltyjen henkilötietojen osalta

Critical
High
Normal
Low

Organisaatio määrittelee käsittelemiensä henkilötietojen osalta, toimiiko organisaatio rekisterinpitäjänä, yhteisrekisterinpitäjänä vai henkilötietojen käsittelijänä.

Digiturvamallissa tietovarannot, joiden osalta organisaatio toimii rekisterinpitäjänä, dokumentoidaan Tietovarannot-listaan. Ulkoiset tietovarannot -listassa on tarkoitus dokumentoida tietovarannot, joiden osalta organisaatio toimii itse henkilötietojen käsittelijänä.

TSU-02: Organisaation roolit
Julkri
56: Organisaation roolin tunnistaminen

Yhteisrekisterinpitäjien tunnistaminen ja vastuut

Critical
High
Normal
Low

Organisaation olisi määritettävä henkilötietojen käsittelyyn liittyvät vastuut ja roolit selkeästi yhteisrekisterinpitäjien kanssa. Määrittelyyn on sisällyttävä vaatimukset liittyen henkilötietojen suojaamiseen ja käsittelyn turvallisuuteen.

Organisaatio voi esimerkiksi tehdä sopimuksen eri yhteisrekisteripitäjien kanssa tai dokumentoida kirjallisesti yhteisrekisterinpitäjyyteen liittyvät menettelyt sekä julkaista ne verkossa ja asettaa saataville toimipisteissä.

A.7.2.7: Joint PII controller
ISO 27701
TSU-03: Yhteisrekisterinpitäjät
Julkri
58: Yhteisrekisterinpitäjyystilanteiden tunnistaminen

Rekisterinpitäjän antamien henkilötietojen käsittelyä koskevien ohjeiden käsitteleminen

Critical
High
Normal
Low

Organisaatiolla on oltava menettely, jolla käsitellään rekisterinpitäjältä tulevia henkilötietojen käsittelyä koskevia ohjeita. Menettelyllä on varmistettava:

  • Vastaanotetut ohjeet dokumentoidaan
  • Ohjeet pannaan täytäntöön ja täytäntöönpanoa ylläpidetään
  • Tiedot erotellaan asiakkaittain, projekteittain tai muulla erityisellä tavalla ryhmiteltyinä.

Unionin alueella toimivan edustajan nimeäminen

Critical
High
Normal
Low

Tietosuoja-asetusta sovelletaan EU:ssa olevia rekisteröityjä koskevien henkilötietojen käsittelyyn, jota suorittava organisaatio ei ole sijoittautunut EU:n alueelle, jos käsittely liittyy

  • tavaroiden tai palvelujen tarjoamiseen näille rekisteröidyille unionissa riippumatta siitä, edellytetäänkö rekisteröidyltä maksua; tai
  • näiden rekisteröityjen käyttäytymisen seurantaan siltä osin kuin heidän käyttäytymisensä tapahtuu unionissa

Näissä tapauksissa organisaation on nimettävä kirjallisesti edustaja unionin aluetta varten, mikäli henkilötietojen käsittely ei ole satunnaista.

Edustajan on oltava sijoittautunut johonkin jäsenvaltioista, joissa ovat ne rekisteröidyt, joiden henkilötietoja käsitellään. Edustajalle on annettava toimivaltuudet siihen, että erityisesti valvontaviranomaiset ja rekisteröidyt ottavat edustajaan yhteyttä kaikissa kysymyksissä, jotka liittyvät henkilötietojen käsittelyyn.

27. Unionin ulkopuolelle sijoittautuneiden rekisterinpitäjien tai henkilötietojen käsittelijöiden edustajat
GDPR

Kumppanien tietosuojasitoumukset ja niiden valvonta

Critical
High
Normal
Low

Henkilötietoja käsitteleviltä kumppaneilta kerätään tietosuojasitoumukset, joiden kautta he vakuuttavat henkilötietojen oikeaoppista käsittelyä. Nämä sitoumukset voivat olla osa henkilötietojen käsittelystä tehtävää sopimusta.

Organisaatio on itse lisäksi määritellyt toimintatavat näiden sitoumusten valvontaan kumppanien osalta sekä tarvittaviin toimenpiteisiin ryhtymiseen.