GDPR

Rekisterinpitäjä ja henkilötietojen käsittelijä

Teema-alueen vaatimukset

Teeman tehtävien osa-alueet

GDPR

Rekisterinpitäjä ja henkilötietojen käsittelijä

Vaatimuskategoriaan liittyvät vaatimukset

No items found.

Esimerkkejä vaatimuksiin liittyvistä tehtävistä

Klikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.

Seloste käsittelytoimista -raportin laatiminen ja ylläpito

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Seloste käsittelytoimista on kirjallinen kuvaus organisaation tekemästä henkilötietojen käsittelystä. 

Selosteen laatiminen on pakollista, mikäli joku seuraavista toteutuu:

  • organisaatiossa on yli 250 työntekijää
  • henkilötietojen käsittely ei ole satunnaista
  • henkilötietojen käsittely aiheuttaa todennäköisesti riskin rekisteröidyn oikeuksille ja vapauksille
  • käsiteltävät henkilötiedot sisältävät erityisiä tietoryhmiä tai rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja

Seloste on pidettävä ajan tasalla. Se toimii myös ensimmäisen tason tapana arvioda käsittelyn lainmukaisuutta, joten se on pyydettäessä toimitettava valvontaviranomaiselle.

Digiturvamallissa "Seloste käsittelytoimista" on oma raporttinsa, joka muodostuu automaattisesti dokumentaatio-osioihin kerättyjen tietojen perusteella.

Tietoturvahäiriöiden käsittely ja dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Kaikki tietoturvahäiriöt käsitellään johdonmukaisesti, jotta tietoturvaa voidaan parantaa tapahtuneen perusteella.

Häiriöiden käsittelyprosessissa:

  • vahvistetaan raportoit häiriö (tai todetaan tarpeettomaksi kirjata ylös)
  • dokumentoidaan häiriön tyyppi ja syy
  • dokumentoidaan häiriöön liittyneet riskit 
  • käsitellään riskit, mikäli häiriön perusteella niiden käsittelyä täytyy päivittää
  • määritellään ja dokumentoidaan toimenpiteet riskien pienentämiseksi tai päätös niiden hyväksymisestä
  • määritellään tahot, joille on tärkeää tiedottaa käsittelyn tuloksista (myös organisaation ulkopuoliset)
  • määritetään tarve häiriön jälkianalyysille

Pääsyoikeusroolien määrittely

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietojärjestelmän tai muun suojattavan omaisuuden omistaja valitsee liiketoimintaroolit, joilla henkilö voi saada pääsyn omaisuuteen. Roolien tiukkuuden tulisi heijastaa omaisuuteen liittyviä tietoturvariskejä.

Määrittelyn tueksi pitää harkita seuraavia asioita:

  • kuinka laajoihin tietoihin kukin käyttäjä tarvitsee pääsyn
  • kuinka laajasti käyttäjän tulee pystyä muokkaamaan tietoja (luku-, kirjoitus-, poisto-, tulostamis-, suorittamisoikeus)
  • onko muilla sovelluksilla pääsyä tietoihin
  • voidaanko tietoja eriyttää omaisuuden sisällä niin, että arkaluonteiset tiedot paljastuvat vähemmän

Toimittajasopimusten dokumentointi ja turvallisuus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Toimittajasopimusten sisältö ja tila dokumentoitaan toimittajalistauksen yhteydessä. Tavoitteena on varmistaa, että organisaation ja toimittajan välillä ei ole väärinymmärryksiä osapuolten velvoitteista tietoturvavaatimusten täyttämisessä.

Organisaatiomme sisällyttää toimittajasopimukseen tarvittaessa seuraavat asiat:

  • toimittajan käyttämät tiedot (ja tiedon mahdollinen luokitus) sekä tietoihin pääsyn saava henkilöstö
  • työnjako viranomaisvaatimusten täyttämisessä
  • sopimusosapuolten hallintatehtävät tietoturvaan liittyen (esim. pääsynhallinta, valvonta)
  • tiedon hyväksyttävän käytön säännöt
  • häiriöiden ilmoittaminen ja korjaaminen
  • vaatimukset toimittajan alihankkijoiden käytölle
  • lupa auditoida sopimukseen liittyvät toimittajan prosessit ja hallintakeinot (ja puutteiden korjaaminen)
  • toimittajan vastuu noudattaa organisaation tietoturvakäytäntöjä

Kumppanilistauksen ylläpito

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on ylläpidettävä listaa kumppaneista, joilla on pääsy luottaumuksellisiin tietoihin. Järjestelmätoimittajat sekä henkilötietojen käsittelijät listataan erillään muista sidosryhmistä.

Listauksia on tarkasteltava säännöllisesti, jotta ne ovat tarkkoja, ajantasaisia ja johdonmukaisia.

Tietojärjestelmien omistajien nimeäminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Jokaiselle tietojärjestelmälle nimetään omistaja. Omistaja on vastuussa tieto-omaisuuden elinkaaresta ja vastaa kyseiseen omaisuuteen liittyvien hallintatehtävien toteuttamisesta.

Omistajan tehtäviin kuuluu mm.:

  • varmistaa omaisuuden dokumentointi
  • varmistaa omaisuuden asianmukainen suojaus
  • pääsyoikeuksien säännöllinen katselmointi
  • varmistaa tietojen asianmukainen käsittely, myös tietoja tuhottaessa

Omistaja voi delegoida osan tehtävistä eteenpäin, mutta vastuu säilyy omistajalla.

Tietojärjestelmien dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on ylläpidettävä listaa käytetyistä tietojärjestelmistä.

Dokumentaatio sisältää vähintään seuraavat tiedot:

  • Järjestelmään liittyvät vastuut ja sen käyttötarkoitus
  • Järjestelmän tietojen sijainti
  • Kuvaus järjestelmän ylläpito- ja kehitysvastuista sekä tähän mahdollisesti liittyvät toimittajat (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa tietojärjestelmän pääsyoikeusroolit ja tunnistautumistavat (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa liittymät muihin järjestelmiin (käsitellään tarkemmin erillisessä tehtävässä)

Ennakoiva riskien arviointi ja käsittely

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio pyrkii ennakoivasti listaamaan ja arvioimaan erilaisten tietoturvariskien todennäköisyyttä ja vakavuutta. Dokumentaatio sisältää seuraavat asiat:

  • Riskin kuvaus
  • Riskin vakavuus ja todennäköisyys
  • Riskiä hallitsevat ohjeet ja hallintatehtävät
  • Riskin hyväksyttävyys

Tehtävän omistaja tarkastelee prosessia säännöllisesti. Omistaja varmistaa, että toistuvat tietoturvariskien arvioinnit tuottavat yhdenmukaisia, päteviä ja verrattavissa olevia tuloksia ja arvioi koko käsittelyprosessin vaikuttavuutta.

Häiriöperusteinen, reagoiva riskien arviointi ja käsittely

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio arvioi tietoturvaan liittyvien riskiejä reagoivasti, rohkaisemalla tietoturvahäiriöiden raportointiin sekä dokumentoimalla ja analysoimalla tarkasti kaikki tapahtuneet tietoturvahäiriöt. Dokumentaatio sisältää seuraavat asiat:

  • Häiriön kuvaus
  • Häiriöön liittyneet riskit
  • Riskin vakavuus ja todennäköisyys
  • Riskiä hallitsevat ohjeet ja hallintatehtävät
  • Riskin hyväksyttävyys

Tehtävän omistaja tarkastelee prosessia säännöllisesti. Omistaja varmistaa, että toistuvat tietoturvariskien arvioinnit tuottavat yhdenmukaisia, päteviä ja verrattavissa olevia tuloksia ja arvioi koko käsittelyprosessin vaikuttavuutta.

Käsittelysopimusten inventaario ja dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Henkikötietojen käsittelijät (esim. tietojärjestelmien toimittajat, muut henkilötietojen käsittelijät) sekä henkilötietojen käsittelyyn liittyvät sopimukset on kartoitettu. Dokumentaatio sisältää mm.:

  • Käsittelijän nimen ja sijainnin
  • Henkilötietojen käsittelyn luonne ja tarkoitus
  • Sopimuksen statuksen

Vaikutustenarviointien tarpeellisuuden arviointi ja toteutus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Vaikutustenarvioinnin tarkoituksena on auttaa tunnistamaan, arvioimaan ja hallitsemaan henkilötietojen käsittelyyn sisältyviä riskejä. Vaikutustenarviointi on tehtävä, kun henkilötietojen käsittely todennäköisesti aiheuttaa korkean riskin ihmisten oikeuksille ja vapauksille. Riskiä nostavat esimerkiksi uuden teknologian käyttö, arkaluontoisten henkilötietojen käsittely, henkilökohtaisiin ominaisuuksiin kohdistuva automatisointi tai käsittelyn laajamittaisuus yleisesti.

Tietosuojan vastuuhenkilöt arvioivat säännöllisesti organisaation henkilötietojen käsittelyä, erityisesti esimerkiksi tietovarantoje ja niihin liittyviä käyttötarkoituksia sekä käytettyjä tietojärjestelmiä, määritelläkseen vaikutustenarviointien tarpeellisuuden. Tietosuojan vastuuhenkilöt myös vastaavat vaikutustenarviointien toteuttamisesta ja dokumentoinnista.

Tärkeiden henkilötietojen käsittelijöiden käsittelysopimusten arviointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Käsittelysopimuksella sidotaan henkilötietoja käsittelevän kumppaniin tekemisiä. Etenkin tärkeiden kumppanien kanssa käsittelysopimuksen sisältöä on syytä analysoida tarkemmin, josta dokumentoidaan oma arvioinsa. Tärkeät kumppanit voivat olla meihin nähden joko henkilötietojen käsittelijöitä tai rekisterinpitäjiä.

Meille voi olla tärkeää esimerkiksi vastuuttaa tärkeää kumppania huolehtimaan salassapitovelvollisuuden varmistamisesta henkilöstölleen sekä rajoittaa toisten henkilötietojen käsittelijöiden (alihankinnan) käyttöä tietoihimme liittyen.

Tärkeiden järjestelmätoimittajien käsittelysopimusten erillinen analysointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Käsittelysopimuksella sidotaan henkilötietojen käsittelijän (kuten järjestelmätoimittajan) tekemisiä.

Meille voi olla tärkeää vastuuttaa tärkeää kumppania haluamallamme tasolla huolehtimaan mm. käytön valvonnasta (lokituksista) sekä tietojen palauttamisesta sopimuksen päättyessä haluamiemme toimintatapojen mukaan.

Tietoluovutusten dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietovarannon tiedot ovat lähtökohtaisesti vain kyseisen rekisterinpitäjän käytössä ja samalla vastuulla. Mikäli luovutat tietoja eteenpäin toiselle organisaatiolle muuta käyttöä varten, siitä on informoitava selkeästi ja kerrottava mm. luovutuksen vastaanottaja sekä peruste.

Tietosuojaan liittyvien ohjeistusten ja koulutuksen varmistaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietosuojan vastuuhenkilö on muodostanut toimintaohjeet henkilötietoja käsittelevälle henkilöstölle. Lisäksi tietosuojan vastuuhenkilö on valmiina antamaan neuvoja rekisterinpitäjälle, henkilötietoja käsitteleville kumppaneille tai omalle henkilöstölle tietosuojaan liittyen tietosuoja-asetuksen tai muiden tietosuojavaatimusten noudattamiseen.

Häiriöiden ilmoitusprosessi ja -ohjeet henkilöstölle

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Häiriöiden ilmoittamiseen ylläpidetään prosessia, joka auttaa henkilöstöä ilmoittamaan häiriöistä tehokkaasti ja johdonmukaisesti.

Häiriönä ilmoitettavia asioita ovat mm.:

  • luvaton pääsy tietoihin / tiloihin
  • tietoturvaohjeiden vastainen toiminta
  • epäilty tietoturvaongelma (esim. tietojenkalastelu, haittaohjelmatartunta)
  • tietojärjestelmän käyttökatko
  • tietojen tuhoutuminen / muuttuminen vahingossa tai tahallaan
  • kadonnut tai varastettu laite
  • vaarantunut salasana
  • kadonnut fyysinen tunniste (esim. avaimenperä, älykortti, älytarra)
  • epäilty tietoturvaheikkous (esim. käytetyssä tietojärjestelmässä tai muissa toimintatavoissa)

Henkilöstön ohjeissa korostetaan velvollisuutta raportoida tietoturvahäiriöistä mahdollisimman pian sovitun prosessin mukaisesti. Ohjeistus kuvaa myös muun toiminnan häiriön tapauksessa (mm. virheilmoitusten ja muiden yksityiskohtien kirjaaminen ylös).

Yleiset tietoturvaohjeet henkilöstölle

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Henkilöstölle on laadittu ja jaeltu tietoturvaohjeet, jotka käsittelevät mm. seuraavia aiheita:

  • mobiilaitteiden käyttö ja päivitykset
  • tiedon tallentaminen ja varmuuskopiointi
  • tietosuoja
  • sähköpostin käyttö
  • tulosteiden, papereiden ja tiedostojen käsittely
  • häiriöistä ilmoittaminen
  • huijausten estäminen

Ohjeet tietojärjestelmien ja tunnistautumistietojen käytölle

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiolla tulisi olla määritelly ohjeet tietojärjestelmien yleisesti hyväksyttävälle käytölle sekä tarvittavien tunnistautumistietojen hallinnalle.

Tärkeäksi luokiteltujen tietojärjestelmien omistaja voi lisäksi määritellä, dokumentoida ja jalkauttaa tarkempia sääntöjä juuri tämän tietojärjestelmän käytöstä. Nämä saannöt voivat kuvata mm. tietoturvavaatimukset, jotka järjestelmän sisältävään tietoon liittyvät.

Järjestelmien käyttöoikeuksien säännöllinen katselmointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietojärjestelmästä vastuuva taho määrittää järjestelmän käyttöoikeudet käyttäjien tehtäviin liittyen. Todellisten käyttöoikeuksien vastaavuutta suunniteltuun on valvottava ja oikeuksia uudelleenarvioitava säännöllisin aikavälein.

Toteutuksessa huomioidaan mm.:

  • ylläpito-oikeuksien minimointi
  • välittömästi poistetaan käyttäjätunnukset, joiden haltijat eivät ole enää organisaation palveluksessa
  • tunnistetaan ja joko poistetaan tai jäädytetään tarpeettomat käyttäjätunnukset

Unionin alueella toimivan edustajan nimeäminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietosuoja-asetusta sovelletaan EU:ssa olevia rekisteröityjä koskevien henkilötietojen käsittelyyn, jota suorittava organisaatio ei ole sijoittautunut EU:n alueelle, jos käsittely liittyy

  • tavaroiden tai palvelujen tarjoamiseen näille rekisteröidyille unionissa riippumatta siitä, edellytetäänkö rekisteröidyltä maksua; tai
  • näiden rekisteröityjen käyttäytymisen seurantaan siltä osin kuin heidän käyttäytymisensä tapahtuu unionissa

Näissä tapauksissa organisaation on nimettävä kirjallisesti edustaja unionin aluetta varten, mikäli henkilötietojen käsittely ei ole satunnaista.

Edustajan on oltava sijoittautunut johonkin jäsenvaltioista, joissa ovat ne rekisteröidyt, joiden henkilötietoja käsitellään. Edustajalle on annettava toimivaltuudet siihen, että erityisesti valvontaviranomaiset ja rekisteröidyt ottavat edustajaan yhteyttä kaikissa kysymyksissä, jotka liittyvät henkilötietojen käsittelyyn.

Tietosuojavastaavasta ilmoittaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on julkistettava tietosuojavastaavan yhteystiedot (esim. organisaation verkkosivulla) ja ilmoitettava ne valvontaviranomaiselle.

Tietosuojavastaavan nimittäminen ja asema

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiomme on määritellyt, tuleeko tietosuojavastaava nimittää, ja tarvittaessa tehnyt nimityksen.

Tietosuojavastaava on nimitettävä, jos:

  • organisaatio käsittelee laajamittaisesti arkaluontoisia tietoja
  • organisaatio seuraa ihmisiä laajamittaisesti, säännöllisesti ja järjestelmällisesti
  • organisaatio on julkishallinnon toimija

Nimittämisen lisäksi oleellista on säännöllisesti arvioida, toimiiko tietosuojavastaava tietosuoja-asetuksen määräämässä asemassa ja toteuttaen asetuksen määräämiä tehtäviä.

Tietovarantojen omistajien nimeäminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Jokaiselle tietovarannolle nimetään omistaja. Omistaja on vastuussa tieto-omaisuuden elinkaaresta ja vastaa kyseiseen omaisuuteen liittyvien hallintatehtävien toteuttamisesta.

Omistajan tehtäviin kuuluu mm.:

  • varmistaa omaisuuden dokumentointi
  • varmistaa omaisuuden asianmukainen suojaus
  • varmistaa rekisterinpitoon liittyvien vastuiden toteutuminen (mm. informointi, tietopyyntöjen hallinta)
  • varmistaa tietojen asianmukainen käsittely, myös tietoja tuhottaessa

Omistaja voi delegoida osan tehtävistä eteenpäin, mutta vastuu säilyy omistajalla.

Tietoaineistojen omistajien nimeäminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Jokaiselle tietoaineistolle nimetään omistaja. Omistaja on vastuussa tieto-omaisuuden elinkaaresta ja vastaa kyseiseen omaisuuteen liittyvien hallintatehtävien toteuttamisesta.

Omistajan tehtäviin kuuluu mm.:

  • varmistaa omaisuuden dokumentointi
  • varmistaa omaisuuden asianmukainen suojaus
  • pääsyoikeuksien säännöllinen katselmointi
  • varmistaa tietojen asianmukainen käsittely, myös tietoja tuhottaessa

Omistaja voi delegoida osan tehtävistä eteenpäin, mutta vastuu säilyy omistajalla.

Säännöllinen, sisäinen tietosuojakäytäntöjen arviointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietosuojan vastuuhenkilön tehtävänä on seurata, että tietosuoja-asetusta ja muita tietosuojavaatimuksia noudatetaan organisaation toiminnassa.

Vastuuhenkilön on arviointia tehdessään otettava asianmukaisesti huomioon käsittelytoimiin liittyvä riski sekä henkilötietojen käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset.

Henkilöstön yleinen tietoturvapätevyys ja -tietoisuus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Koko organisaation ohjauksessa toimivan henkilöstön on oltava tietoisia:

  • miten he voivat osaltaan lisätä tietoturvallisuuden hallintajärjestelmän vaikuttavuutta ja millaista hyötyä tietoturvallisuuden tason parantamisesta on
  • seurauksista, joita tietoturvallisuuden hallintajärjestelmää koskevien vaatimusten noudattamatta jättämisellä voi ollaminkä osan henkilöstöstä työ vaikuttaa tietoturvan tasoon

Lisäki johto on määrittänyt tavat, joilla henkilöstö pidetään tietoisina omaan työrooliinsa liittyvistä tietoturvaohjeista.

Häiriöiden hallinnan resursointi ja seuranta

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Johdon on määriteltävä hallintavastuut ja luotava menettelyt, joilla taataan tehokas ja johdonmukainen reagointi tietoturvahäiriöihin.

Johdon on varmistettava mm.:

  • häiriöiden hallinta on vastuutettu 
  • häiriöiden vastaamiseen, käsittelyyn ja raportointiin on dokumentoitu prosessi

Prosessin on varmistettava mm.:

  • henkilöstöllä on selkeä yhteydenottopiste / -työkalu sekä ohjeistus häiriöiden raportoimiselle
  • pätevä henkilöstö käsittelee raportoidut tietoturvahäiriöt tarpeeksi kattavasti

Tietoturvaohjeiden noudattamisen valvonta

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Ohjeiden noudattamista voidaan valvoa joko teknisesti tai suoraan kysymällä / testaamalla työntekijöiltä.

Järjestelmädokumentaation säännöllinen katselmointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietojärjestelmälistausta on katselmoitava säännöllisesti, jotta varmistetaan sen tarkkuus, ajantasaisuus ja johdonmukaisuus.

Johdon sitoutuminen tietoturvan hallintaan ja hallintajärjestelmään

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation johdon on osoitettava sitoutumista tietoturvatyötä ja tietoturvallisuuden hallintajärjestelmää kohtaan. Johto sitoutuu:

  • määrittämään työn perusteena toimivat vaatimukset (esim. asiakasvaatimukset, lait ja asetukset tai standardit)
  • määrittämään tietoturvan hallintaan tarvittavat resurssit
  • viestimäään tietoturvallisuuden tärkeydestä
  • varmistamaan, että työllä saavutetaan halutut tulokset
  • edistämään tietoturvan jatkuvaa parantamista

Johto päättää lisäksi tietoturvan hallintajärjestelmän soveltamisalan ja kirjaa päätöksen ylös hallintajärjestelmän kuvaukseen. Tämä tarkoittaa, rajataanko esimerkiksi joitain osia organisaation toiminnasta tai hallinnoimasta tiedosta pois hallintajärjestelmän piiristä, vai koskeeko se organisaation kaikkea tietoa / toimintaa.

Tietoturvaloukkauksesta rekisteröidyille aiheutuneen riskin tarkempi arviointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Rekisterinpitäjän on arvioitava, millainen riski tietoturvaloukkauksesta aiheutuu vuodon kohteena olevalle henkilölle. Arviossa on huomioitava esimerkiksi seuraavat asiat:

  • Miten todennäköistä on, että tietoja käytetään haitantekoon?
  • Millaista haittaa tietojen avulla voitaisiin tehdä (mahdollistuuko esim. identiteettivarkaus, petos, psyykkisen ahdistuksen tuottaminen, nöyryyttäminen tai mainevahingon tuottaminen)?
  • Henkilötietojen luonne, arkaluonteisuus ja määrä
  • Kuinka helppoa rekisteröity on tunnistaa tiedoista?
  • Onko rekisteröityjen joukossa paljon esimerkiksi lapsia tai muuten heikossa asemassa olevia?

Riskiarvio vaikuttaa loukkauksesta ilmoittamisen kiireellisyyteen ja laajuuteen.

Tietoturvaloukkauksesta ilmoittaminen viranomaiselle / rekisteröidyille

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Henkilötietojen tietoturvaloukkauksesta täytyy ilmoittaa valvontaviranomaiselle, mikäli loukkauksesta voi aiheutua riski ihmisten oikeuksille ja vapauksille. Rekisteröidyille on puolestaan ilmoitettava, mikäli loukkauksestta todennäköisesti aiheutuu korkean riski oikeuksille ja vapauksille. Ilmoituksen perusteella rekisteröidyt voivat esimerkiksi ryhtyä toimiin haittavaikutuksen pienentämiseksi (esim. sulkemalla luottokorttinsa).

Ilmoitukseen on sisällytettävä seuraavat tiedot:

  • selkeä kuvaus henkilötietojen tietoturvaloukkauksesta
  • tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa
  • henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset
  • toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on jo toteuttanut; tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

Prosessi tietoturvaloukkauksen käsittelyn aloittamiseen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiomme on ennalta määritellyt toimintatavat, joiden kautta havaittua tietoturvaloukkausta aletaan käsitellä. Prosessi voivat sisältää mm. seuraavia asioita:

  • ketkä kuuluvat tiimiin, joka on valmiina reagoimaan loukkauksiin
  • kuinka ja mitä kanavaa myöten loukkauksesta tiedotetaan välittömästi koko tiimia
  • tiimi määrittää loukkaukselle vakavuuden (matala, keskiverto, korkea) ennaltamääriteltyjen kriteerien perusteella
  • loukkauksen käsittelyä jatketaan isommalla porukalla vakavuustason mukaisesti

Tietosuojaan liittyvät käytännesäännöt ja sertifikaatit

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietosuoja-asetus kannustaa ottamaan käyttöön erilaisia yleisiä käytännesääntöjä ja sertifiointimekanismeja, tietosuojasinettejä ja -merkkejä erityisesti Euroopan Unionin tasolla.

Näiden kaikkien ideana on osoittaa, että käsittelyssä noudatetaan hyvää tietojenkäsittelytapaa ja tietosuoja-asetuksen vaatimuksia. Euroopan tietosuojaneuvosto tulee kokoamaan kaikki saataville tulevat sertifiointimekanismit julkisesti nähtäville.

Henkilötietojen pseudonymisointi valituissa tilanteissa

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Henkilötietojen pseudonymisointi tarkoittaa tietojen käsittelemistä niin, että tietoja ei voida enää suoraan yhdistää tiettyyn rekisteröityyn käyttämättä lisätietoja.

Henkilötietojen anonymisointi valituissa tilanteissa

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Anonymisointi tarkoittaa henkilötietojen muokkaamista niin, että henkilöä ei enää voida tunnistaa niistä. Tietoja voidaan esimerkiksi karkeistaa yleiselle tasolle tai niistä voidaan poistaa yksittäistä henkilöä koskevat tiedot. Anonymisoinnissa tunnistaminen estyy peruuttamattomasti, toisin kuin pseudonymisoinnissa, jossa tiedot voidaan palauttaa lisätietojen avulla alkuperäiseen muotoon.

Tietoturvan avainhenkilöstön määrä, pätevyys ja riittävyys

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiossa on tarpeeksi koulutettua, valvottua ja tarvittaessa asianmukaisesti turvallisuusselvitettyä henkilöstöä, jotka toimivat tietoturvan avainrooleissa suorittaen tietoturvallisuuden hallintajärjestelmään liittyviä hallintatehtäviä.

Organisaatio on määritellyt:

  • millainen pätevyys tällä henkilöstöllä tulee olla
  • kuinka pätevyys hankitaan ja varmistetaan (esim. soveltuvan koulutuksen ja koulutuksen seurannan avulla)
  • kuinka pätevyys voidaan osoittaa dokumentaation avulla

Tehtävän omistaja katselmoi turvallisuushenkilöstön määrää ja osaamistasoa säännöllisesti.

Säännöllinen, tarpeisiin perustuva digiturvakoulutus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiomme on määritellyt toimintatavat henkilöstön digiturvaosaamisen ylläpitämiseen. Näihin voi liittyä mm. seuraavia asioita:

  • henkilöstölle on olemassa ohjeet, joilla kuvataan työrooliin liittyvät digiturvan yleiset säännöt
  • henkilöstöä koulutetaan, jotta he pystyvät toimimaan turvallisesti, tietävät ohjeet ja kykenevät noudattamaan niitä
  • henkilöstö osoittaa testien tai muun vastaavan avulla omaavansa turvallisen toiminnan vaatimat digiturvataidot ja -tiedot

Koulutus keskittyy kullekin työroolille oleellisimpiin digiturvateemoihin, mutta sisältää tarpeeksi usein myös kaikkia työntekijöitä koskevat "perusasiat":

  • työntekijän henkilökohtainen vastuu (mm. päätelaitteista ja käsittelemästään tiedosta)
  • kaikkia koskevat käytännöt (mm. tietoturvahäiriöiden raportointi)
  • kaikkia koskevat säännöt (mm. puhdas työpöytä)
  • organisaation tietoturvaroolit (keneen yhteyttä ongelmatilanteissa)

Toimittajien tietoturvavaatimusten noudattamisen seuranta

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Nimetty vastuuhenkilö seuraa toimittajan toimintaa ja palveluita aktiivisesti, jotta varmistetaan sopimusten tietoturvaehtojen noudattaminen ja tietoturvahäiriöiden asianmukainen hallinta.

Seurantaan sisältyvät seuraavat asiat:

  • luvatun palvelutason tarkkailu
  • toimittajan raporttien katselmointi ja seurantapalaverien järjestäminen
  • riippumattomien auditointien säännöllinen järjestäminen
  • auditoinneissa tunnistettujen ongelmien seuranta
  • tietoturvahäiriöiden tarkempi selvittäminen ja niihin liittyvän dokumentaation katselmointi
  • toimittajan tulevaisuuteen liittyvien suunnitelmien läpikäynti (palvelutason ylläpitämiseen liittyen)

Tietojärjestelmien ulkopuolisen tiedon minimointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Suuri määrä organisaation arvokkaista tiedoista on usein aikojen saatossa kertynyt vaikeasti löydättäväksi ja hallittavaksi rakenteettomiin tietoihin - exceleihin, tekstidokumentteihin, intranetin sivuille tai sähköposteihin.

Kun nämä tiedot on tunnistettu, niiden määrää voidaan määrätietoisesti pyrkiä minimoimaan. Tärkeille järjestelmien ulkopuolisille tiedoille tehdään joku seuraavista päätöksistä:

  • siirretään järjestelmään
  • hankkiudutaan eroon (kun tieto vanhaa, ei enää tarpeen tai muuten merkityksetöntä)
  • pidetään tietoisesti käytössä ja nimetään vastuuhenkilö hallitsemaan riskejä

Jaettujen käyttäjätunnusten välttäminen ja dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Jaetut käyttäjätunnukset olisi sallittava vain, jos ne ovat tarpeellisia liiketoiminnallisista tai toiminnallisista syistä, ja ne olisi hyväksytettävä ja dokumentoitava.

Mikäli jaettuja käyttäjätunnuksia käytetään ylläpitokäyttöön, salasanat on vaihdettava mahdollisimman pian sen jälkeen, kun ylläpitooikeuksin varustettu käyttäjä jättää työnsä.

Tietoturvaroolien ja -vastuiden määrittäminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Ylimmän johdon on varmistettava selkeät vastuut / valtuudet vähintään seuraavissa teemoissa:

  • kuka on päävastuussa siitä, että tietoturvallisuuden hallintajärjestelmä on tietoturvallisuutta koskevien vaatimusten mukainen
  • ketkä toimivat tietoturvan hallintajärjestelmän pääteemojen vastuuhenkilöinä
  • kenellä on vastuu ja valtuudet raportoida ylimmälle johdolle tietoturvallisuuden hallintajärjestelmän suorituskyvystä
  • kenellä on valtuudet sisäisten auditointien toteuttamiseen

Tietoturvan hallintajärjestelmän pääteemojen vastuuhenkilöt esitetään hallintajärjestelmän työpöydällä sekä Tietoturvapolitiikka-raportissa.

Ylimmän johdon on lisäksi varmistettava, että kaikki tietoturvan kannalta tärkeät roolit sekä niihin liittyvät vastuut ja valtuudet on määritelty ja niistä viestitään.

GDPRRekisterinpitäjä ja henkilötietojen käsittelijä

Rekisterinpitäjä ja henkilötietojen käsittelijä

Tämän vaatimuksen toteuttamiseen liittyvät tehtävät

Alla näet tehtäviä, joiden avulla Digiturvamallissa tämän vaatimuksen toteutusta vastuutetaan ja jalkautetaan. Klikkaa itsesi tehtävän sivulle lukeaksesi toteutuksesta tarkemmin.

Oletko valmis aloittamaan?

Aloita kokeilu tai varaa demo.