Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Henkilötiedot, EU:n tietosuoja-asetus ja tietoturva opetuksessa

5,408 views

Published on

Koulutus 28.2.2018 Oulussa

Published in: Education
  • Follow the link, new dating source: ❶❶❶ http://bit.ly/2u6xbL5 ❶❶❶
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Dating direct: ♥♥♥ http://bit.ly/2u6xbL5 ♥♥♥
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

Henkilötiedot, EU:n tietosuoja-asetus ja tietoturva opetuksessa

  1. 1. Henkilötiedot, EU:n tietosuoja- asetus ja tietoturva opetuksessa Harto Pönkä 28.2.2018 Kuva: Pixabay
  2. 2. Aloitetaan uutiskatsauksella… Kuva: Roman Kraft @ Unsplash
  3. 3. Lähteet: Yle uutiset, https://yle.fi/uutiset/3-9684480, https://yle.fi/uutiset/3-8002554 ja https://yle.fi/uutiset/3-9736915, Iltalehti: http://www.iltalehti.fi/kotimaa/201801222200687694_u0.shtml, Tivi: http://www.tivi.fi/Kaikki_uutiset/jattimainen-tietovuoto-paljasti-monen-suuren-sivuston-kayttajatiedot-vaihda-salasanasi-naissa-palveluissa-6627758
  4. 4. Lähteet: HS: https://www.hs.fi/kotimaa/art-2000005557900.html, Yle uutiset: https://yle.fi/uutiset/3-7100385 ja https://yle.fi/uutiset/3-8596990, HS: http://www.hs.fi/kotimaa/art-2000005327088.html
  5. 5. Yksityisyyden suoja on perusoikeus Jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Henkilötietojen suojasta säädetään tarkemmin lailla. PeL 10 § Henkilötietojen luvaton käsittely sekä yksityisyyttä loukkaavan tiedon levittäminen voivat olla rikoksia. Kuva: Edvard Isto, 1899 , Hyökkäys
  6. 6. • Tietosuoja-asetusta sovelletaan osittain tai kokonaan automaattiseen henkilötietojen käsittelyyn sekä henkilötietorekistereihin • Voimaan 24.5.2017. Sovelletaan 25.5.2018 lähtien, jolloin henkilötietojen käsittelyn on oltava tietosuoja-asetuksen mukaista • Tavoitteena ajantasaistaa ja yhtenäistää tietosuojan sääntelyä EU:ssa • Koskee pääsääntöisesti kaikkia yksityisiä ja julkisia organisaatioita, jotka ovat rekisterinpitäjiä tai henkilötietojen käsittelijöitä • Asetuksessa henkilötiedot on määritelty vastaavasti kuin henkilötietolaissa • Uutta nykyiseen henkilötietolakiin verrattuna: – Aiempaa yksityiskohtaisempi – Läpinäkyvyys ja osoitusvelvollisuus mm. dokumentoimalla – Tietosuojavastaava (pakollinen julkisissa organisaatioissa) – Pakollinen tietomurroista ilmoittaminen – Sakot (enintään 4 % liikevaihdosta tai 20 miljoonaa euroa) – Monessa EU-maassa toimiva rekisterinpitäjä voi asioida vain yhden maan valvontaviranomaisen kanssa organisaation (pää-)toimipaikan mukaan EU:n yleinen tietosuoja-asetus (GDPR) Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
  7. 7. Kuva: Matthew Henry @ Unsplash Tietosuojalla suojataan ihmisten oikeutta yksityisyyteen (tunnistettavuus). Tietoturvalla suojataan henkilö- ja muitakin tietoja laittomalta käytöltä. Tietosuojan suojaamisen toimenpiteet suhteutetaan riskiarvioon tietoturvauhista.
  8. 8. • Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys • Käyttötarkoitussidonnaisuus – Kuitenkin myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua • Tietojen minimointi – Vain tarkoitukseen olennaiset tiedot. • Tietojen täsmällisyys – Tietojen päivittäminen, tarkistaminen, virheiden korjaus • Tietojen säilytyksen rajoittaminen – Tietoja säilytetään vain tarvittavan ajan • Tietojen eheys ja luottamuksellisuus – Suojaus, käytön valvonta, varmuuskopiointi • Rekisterinpitäjän osoitusvelvollisuus Tietosuojaperiaatteet Lisätietoa: Tietosuoja-asetuksen 5 artikla, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1
  9. 9. 4 artikla Tässä asetuksessa tarkoitetaan 1) ’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella, Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN Mitä henkilötiedot ovat?
  10. 10. Kuva: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+- koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73
  11. 11. Arkaluontoiset henkilötiedot 9 artikla Erityisiä henkilötietoryhmiä koskeva käsittely 1. Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely on kiellettyä. Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN
  12. 12. Kuva: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+- koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73
  13. 13. 4 artikla 2) ’käsittelyllä’ toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista, Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN Henkilötietojen käsittely
  14. 14. 4 artikla 6) ’rekisterillä’ mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu, Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN Rekisteri
  15. 15. 4 artikla 7) ’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti, Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN Rekisterinpitäjä
  16. 16. • Kun henkilörekisteri muodostuu, rekisterinpitäjän tulee tehdä rekisteriseloste ja se tulee olla jokaisen saatavilla. • Rekisteri voi olla myös usean yhteisrekisterinpitäjän yhteinen • Rekisteriselosteessa tulee kertoa seuraavat asiat (HetiL 10 §): – Rekisterinpitäjän ja tarvittaessa tämän edustajan nimi ja yhteystiedot – Henkilötietojen käsittelyn tarkoitus – Kuvaus rekisteröityjen ryhmästä tai ryhmistä ja näihin liittyvistä tiedoista tai tietoryhmistä – Mihin tietoja säännönmukaisesti luovutetaan ja siirretäänkö tietoja EU:n tai ETA:n ulkopuolelle – Kuvaus rekisterin suojauksen periaatteista – Rekisterissä mainitaan yleensä laatimispäivä ja viimeisimmän muutoksen päivämäärä • Tietosuoja-asetuksen uusia vaatimuksia mm. – Mahdollinen tietosuojavastaava ja tämän yhteystiedot – Henkilötietojen käsittelyn oikeusperuste – Henkilötietojen säilytysaika – Henkilötietojen luovutuksen vastaanottajat – Rekisteröityjen uudet oikeudet • Rekisteriselosteeseen liitetään usein kuvaus rekisteröidyn oikeuksista, jolloin muodostuu tietosuojaseloste. Näin rekisterinpitäjä täyttää samalla informointivelvollisuuden kertoa rekisteröidyille heidän oikeuksistaan. Rekisteriseloste ja tietosuojaseloste Lähde: Henkilötietolaki, 22.4.1999/523, http://www.finlex.fi/fi/laki/ajantasa/1999/19990523
  17. 17. Alle 250 työntekijän yritykset ja järjestöt Kuva: Tietosuoja - Paremmat säännöt pienten yritysten kannalta, http://ec.europa.eu/justice/smedataprotect/index_fi.htm (27.2.2018)
  18. 18. • Yksityisen henkilön yksityiseen tarkoitukseen tekemä rekisteri kuten kännykän tai sähköpostin kontaktilista ei vaadi rekisteriselostetta – Henkilötietolakia ei sovelleta lainkaan • Henkilötietojen käsittelyä toimituksellisia sekä taiteellisen tai kirjallisen ilmaisun tarkoituksia varten ei tarvitse tehdä rekisteriselostetta – Voimassa vain muutamat henkilötietolain kohdat • Kunnan toimielinten esityslistojen ja pöytäkirjojen ei ole katsottu yksinään muodostavan henkilörekisteriä – Arvioitava tapauskohtaisesti, milloin henkilötietoja on syytä julkaista – Liitteenä ei voida julkaista varsinaisten henkilötietorekisterien tietoja Poikkeuksia Lähteet: Henkilötietolaki, 22.4.1999/523, http://www.finlex.fi/fi/laki/ajantasa/1999/19990523 ja Kuntaliiton yleiskirje 15/2017: https://www.kuntaliitto.fi/yleiskirjeet/2017/kunnan-verkkotiedottaminen-seka-henkilotietojen-kasittely-ja- julkisuus-kuntalain#henkilotiedot-ja-verkkotiedottaminen
  19. 19. Mallit ja ohjeet selosteiden laadintaan: http://www.tietosuoja.fi/fi/index/materiaalia/lomakkeet/rekisteri-jatietosuojaselosteet.html Kerro tässä tarkoituksen lisäksi oikeusperuste: - Henkilön suostumus - Sopimus, jossa rekisteröity osapuolena - Laki - Julkisen tehtävän hoitaminen - Rekisterinpitäjän oikeutettu etu (esim. asiakassuhde, työsuhde, jäsenyys)
  20. 20. • Henkilötietojen käsittelylle on aina oltava laissa säädetty oikeusperuste • Henkilötietojen käsittely voi perustua esimerkiksi: – Henkilön suostumukseen – Sopimukseen, jossa rekisteröity on osapuolena – Lakiin – Julkisen tehtävän hoitamiseen – Rekisterinpitäjän oikeutettuun etuun (esim. asiakassuhde tai työsuhde) • Erityisiin henkilötietoryhmiin (arkaluontoiset henkilötiedot) kuuluvien tietojen käsittely on lähtökohtaisesti kielletty. – Mahdollista kuitenkin nimenomaisella suostumuksella • Aiemmin kerättyjä henkilötietoja voidaan käsitellä myöhemmin – yleisen edun mukaisia arkistointitarkoituksia, – tieteellisiä tai historiallisia tutkimustarkoituksia – tai tilastollisia tarkoituksia varten Henkilötietojen käsittelyn oikeusperusteet Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
  21. 21. • Suostumuksen tulee olla vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen • Suostumusta ei voi antaa: – Vaikenemalla – Valmiiksi rastitetulla ruudulla – Jättämättä jotakin tekemättä • Rekisterinpitäjän on voitava osoittaa suostumuksen olemassaolo • Tietosuoja-asetuksen mukaan alle 16-vuotiaalta tarvitaan huoltajan suostumus henkilötietojen käsittelylle. – Kansallisesti voidaan määrätä ikärajaksi vähintään 13 vuotta – Suomessa ei ole vielä päätöstä ikärajasta, ehdotus 13 tai 15 v. (Nykyisenä rajana on 15 vuotta.) Suostumuksen antaminen Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
  22. 22. Kuvakaappaus Oulun kaupungin opetustoimen rekisteriselosteesta: https://www.ouka.fi/c/document_library/get_file?uuid=d04cc48d- 822c-4118-b11d-10b63dbbd1ea&groupId=64277 (29.11.2017)
  23. 23. Mallit ja ohjeet selosteiden laadintaan: http://www.tietosuoja.fi/fi/index/materiaalia/lomakkeet/rekisteri-jatietosuojaselosteet.html Huomaa, että Tietosuojavaltuutetun toimiston tietosuojaselosteen pohjassa ei ole vielä huomioitu EU:n yleisen tietosuoja-asetuksen vaatimuksia!
  24. 24. Kuvakaappaus Espoon kaupungin Google G Suite for Education –palvelun tietosuojaselosteesta: http://www.espoo.fi/download/noname/%7BD288C16C-71F6-40EE-9A16-34F6864CC620%7D/86398 (29.11.2017)
  25. 25. Koulutoimessa muodostuvia rekistereitä Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa, http://www.oph.fi/download/152370_julkisuus_ja _tietosuoja_opetustoimessa.pdf
  26. 26. Rekisteri- ja tietosuojaselosteen malli Katso GDPR:n mukainen rekisteri- ja tietosuojaselosteen malli: http://www.innowise.fi/fi/gdprn-mukainen- rekisteri-ja-tietosuojaselosteen-malli/
  27. 27. • Oikeus saada läpinäkyvää tietoa henkilötietojen käsittelystä (informointivelvollisuus) – Ilmoittaminen henkilötietojen käsittelystä ja rekisterinpitäjästä (rekisteri-/tietosuojaseloste) – Helposti ymmärrettävässä ja saatavilla olevassa muodossa – Kuukauden määräaika rekisteröityä koskeviin toimenpiteisiin vastaamisessa. Tarvittaessa enintään kaksi kuukautta lisäaikaa, jos rekisteröidyn pyyntö on monimutkainen tai laaja. • Rekisteröidyn oikeus saada pääsy tietoihin (tarkastusoikeus) – Oikeus tietää, käsitelläänkö henkilöä koskevia tietoja yhä – Oikeus saada jäljennös henkilötiedoista – Rekisterinpitäjä voi pyytää lisätietoja henkilöllisyyden varmistamiseksi • Oikeus tietojen oikaisemiseen – Rekisterinpitäjällä on velvollisuus korjata puutteelliset tai virheelliset tiedot viivytyksettä • Oikeus tietojen poistamiseen / oikeus tulla unohdetuksi – Rekisterinpitäjällä on myös velvollisuus kertoa tietojen poistamisesta muille rekisterinpitäjille, joille se on luovuttanut kyseisiä tietoja Rekisteröidyn oikeudet 1/2 Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
  28. 28. • Oikeus käsittelyn rajoittamiseen – Jos rekisteröity kiistää henkilötietojen paikkansapitävyyden, kunnes tiedot on varmistettu. – Jos käyttö on lainvastaista, mutta rekisteröity vastustaa niiden poistamisesta – Jos rekisterinpitäjä ei tarvitse tietoja, mutta rekisteröity tarvitsee niitä oikeusturvansa vuoksi – Jos rekisteröity on vastustanut henkilötietojen käsittelyä • Oikeus siirtää tiedot järjestelmästä toiseen – Jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa – Tietojen siirto suoraan järjestelmästä toiseen, mikäli se on teknisesti mahdollista – Koskee vain rekisteröityjä, joiden tietojen käsittely perustuu suostumukseen tai sopimukseen, ja jos käsittely tapahtuu automaattisesti. • Vastustamisoikeus (kielto-oikeus) – Rekisteröity voi vastustaa esimerkiksi tietojen käyttöä suoramarkkinointia varten • Automatisoidut yksittäispäätökset ja profilointi – Rekisteröidyllä oltava vähintään oikeus vaatia, että tiedot käsittelee ja päätöksen tekee luonnollinen henkilö, saada esittää kantansa ja riitauttaa tehty päätös Rekisteröidyn oikeudet 2/2 Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
  29. 29. 4 artikla 8) ’henkilötietojen käsittelijällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun, Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN Henkilötietojen käsittelijä
  30. 30. Henkilötietojen käsittely toisen lukuun Henkilötietojen käsittelijä käyttää luovutettuja tietoja sovittuun tarkoitukseen Rekisterinpitäjä luovuttaa henkilötietoja tiettyä tarkoitusta varten Rekisteri- ja tietosuojaseloste (13 ja 30 artiklat) Seloste rekisterinpitäjän lukuun suoritettavista käsittelytoimista (30 artikla) Sopimus ja ohjeet henkilötietojen käsittelystä (28 artikla) Rekisteröity Valvontaviranomainen
  31. 31. Osallistujalistat kouluttajille?
  32. 32. • Rekisterinpitäjän ja henkilötietojen käsittelijän välillä tulee olla sopimus tai muu oikeudellinen asiakirja, jossa vahvistetaan – käsittelyn kohde, kesto, luonne ja tarkoitus, – henkilötietojen tyyppi ja rekisteröityjen ryhmät, – rekisterinpitäjän velvollisuudet ja oikeudet. • Erityisesti tulee sopia, että henkilötietojen käsittelijä – käsittelee henkilötietoja rekisterinpitäjän ohjeiden mukaisesti – varmistaa, että henkilötietoja käsittelevillä henkilöillä on salassapitovelvollisuus – toteuttaa tietosuoja-asetuksen vaatimukset käsittelyn turvallisuudesta (32 artikla) – ei käytä toisia henkilötietojen käsittelijöitä ilman ennakkolupaa – auttaa rekisterinpitäjää täyttämään tietosuoja-asetuksen mukaiset velvoitteet – rekisterinpitäjän valinnan mukaan poistaa tai palauttaa käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset – antaa rekisterinpitäjälle tarvittavat tiedot osoitusvelvollisuuden noudattamisesta, sallii rekisterinpitäjän tekemän valvonnan ja mahdolliset tarkastukset. Sopimus henkilötietojen käsittelystä Lisätietoa: Tietosuoja-asetuksen 28 artikla, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3130-1-1
  33. 33. Rekisterinpitäjän velvollisuuksia
  34. 34. • Organisaation voitava osoittaa, että tietosuojaperiaatteita noudatetaan. • Osoitusvelvollisuus edellyttää tietosuojaperiaatteiden käytännön toteuttamisen dokumentointia. • Organisaation on ylläpidettävä selostetta sen vastuulla olevasta henkilötietojen käsittelystä. • Tietosuojaseloste ja muut dokumentit on pyydettäessä toimitettava valvontaviranomaiselle (nykyisin tietosuojavaltuutettu, jatkossa uusi tietosuojavirasto). • Rekisteröityjen antamien suostumusten ja kieltojen hallinta. Esimerkiksi sähköiseen suoramarkkinointiin tarvitaan erikseen suostumus. • Tietojärjestelmissä henkilötietojen käsittely on dokumentoitava esim. ylläpitäjien lokitiedoilla. • Myös tietosuojaloukkaukset dokumentoidaan. • Osoitusvelvollisuus voidaan täyttää myös alakohtaisilla tietosuojasertifikaateilla tai käytännesäännöillä Osoitusvelvollisuus Lähteenä mm.: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
  35. 35. Läpinäkyvyys luo luottamusta Kuva: Jack Kaminski @Unsplash
  36. 36. • Rekisterinpitäjän tulee oletusarvoisesti käsitellä vain kunkin tarkoituksen kannalta tarpeellisia henkilötietoja • Velvollisuus koskee kerättyjen henkilötietojen määrää, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. • Rekisterinpitäjän on huolehdittava erityisesti siitä, että henkilötietoja ei saateta julkisesti saataville ilman luonnollisen henkilön myötävaikutusta • Rekisterinpitäjän vastuulla on arvioida ja toteuttaa tietosuojan kannalta tarpeelliset toimenpiteet organisaatiossaan. Esimerkiksi: – Henkilöstön koulutus – Ohjeistukset ja määräykset – Salassapitositoumukset – Tilojen ja tietojärjestelmien valvonta – Tietojärjestelmien tietoturva – Tietojen salaus, anonymisointi tai pseudonymisointi, tekniset rajoitukset – Auditoinnit, tietotilinpäätökset jne. • Rekisterinpitäjä määrittelee pääsääntöisesti itse tarvittavat toimenpiteet. Tietosuoja lähtee jo toiminnan ja tietojärjestelmien suunnittelusta. Oletusarvoinen tietosuoja Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
  37. 37. • Tietosuoja-asetuksen mukaan rekisterinpitäjän velvollisuudet määräytyvät riskiperusteisesti • Se tarkoittaa, että riskit pitää arvioida ja henkilötietojen käsittelyn suojatoimet on suhteutettava rekisteröidyn oikeuksille ja vapauksille aiheutuvaan riskiin • Riskeillä tarkoitetaan henkilötietojen käsittelystä rekisteröidylle mahdollisesti aiheutuvia fyysisiä, aineellisia tai aineettomia vahinkoja. – Esimerkiksi jos henkilötietoja voidaan käyttää syrjintään, identiteettivarkauteen, petokseen, taloudellisiin menetyksiin, sosiaaliseen vahinkoon tai nimen paljastumiseen. • Riski voi olla korkeampi, kun – käsitellään heikossa asemassa olevien tietoja (esim. lapset) – käsitellään suuria määriä henkilötietoja tai rekisteröityjä on runsaasti – käsitellään henkilökohtaisia ominaisuuksia kuten henkilöprofilointi • Jos riski arvioidaan korkeaksi, on tehtävä tietosuojaa koskeva vaikutustenarviointi, jossa tarkastellaan toimenpiteitä, joilla voidaan pienentää riskiä (35 artikla). Riskiperusteinen lähestymistapa Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
  38. 38. Tietojärjestelmien GDPR-valmius?
  39. 39. Tietoturvan osa-alue Vaatimus Vastaus Järjestelmän ylläpito Vastaako järjestelmän ylläpidosta organisaatio vai onko se ulkoistettu? Suostumusten hallinta Tukeeko tietokanta suostumusten ja kieltojen hallintaa? Käyttäjienhallinta Luottamuksellisuus Onko kaikilla käyttäjillä yksilölliset käyttäjätunnukset? Pääsynvalvonta Luottamuksellisuus Onko järjestelmä kertakirjautumisen piirissä? Pääsynvalvonta Luottamuksellisuus Onko salasanoilla laatuvaatimukset? Millaiset? Lokitus Luottamuksellisuus Lokitetaanko järjestelmään kirjautuminen? Lokitus Luottamuksellisuus Lokitetaanko henkilötietojen käyttö? Lokitus Luottamuksellisuus Lokitetaanko admin-käyttäjien toimet? Lokitus Luottamuksellisuus Onko järjestelmän tuottamien lokien muuttaminen tai poistaminen estetty? Varmuuskopiointi Eheys, saatavuus Onko järjestelmän ja sen tietojen varmuuskopioinnista suunnitelma, joka huomioi erilaiset tietojen palautustarpeet? Varmuuskopiointi Eheys, saatavuus Testataanko varmuuskopioiden palautuksia? Tietoturvapäivitykset Luottamuksellisuus, eheys, saatavuus Onko järjestelmässä automatisoitu (tietoturva)päivitysten jakelu? Toipumiskyky Saatavuus Onko järjestelmälle laadittu toipumissuunnitelma? Tiedon suojaus Luottamuksellisuus Onko tunnistettu tarvetta henkilötietojen salaamiselle tai pseudonymisoinnille? Tiedon suojaus Luottamuksellisuus Onko tiedonsiirrot organisaation ulkopuolelle salattu? Tietoturvatestaus Luottamuksellisuus, eheys, saatavuus Tehdäänkö säännöllisiä tietoturvatestauksia? Lähde: Valtiovarainministeriö, Tietojärjestelmien tietoturvavaatimuksia GDPR-näkökulmasta (Excel), saatavana: http://vm.fi/juhta-vahti-yhteishankkeiden-materiaalit (27.2.2018)
  40. 40. • Rekisterinpitäjällä on velvollisuus ilmoittaa henkilötietojen tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle • Tietoturvaloukkauksella tarkoitetaan toimintaa, jonka seurauksena on henkilötietojen – vahingossa tapahtuva tai lainvastainen tuhoaminen – häviäminen – muuttaminen – luvaton luovuttaminen tai – pääsy tietoihin • Ilmoitus valvontaviranomaiselle on tehtävä mahdollisuuksien mukaan 72 tunnin kuluessa siitä, kun loukkaus on havaittu • Rekisterinpitäjä voi jättää ilmoitukset tekemättä, mikäli loukkauksesta ei todennäköisesti aiheudu henkilöiden oikeuksiin tai vapauksiin kohdistuvaa riskiä • Henkilötietojen käsittelijän on tehtävä ilmoitus tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä • Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, niihin liittyvät seikat, vaikutukset ja korjaavat toimet Henkilötietojen tietoturvaloukkaukset Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
  41. 41. • Organisaation on hahmotettava kokonaiskuva henkilötietojen käsittelyn nykytilasta ja kehitystarpeista • Arviointi sisältää esimerkiksi: – Mitä henkilötietoja organisaation hallussa on – Miten tietosuojaperiaatteet on otettu huomioon – Toimintaan liittyvät henkilötietovirrat – Henkilötietojen käsittelyn oikeusperusteet – Miten tietoturvasta on huolehdittu – Miten henkilötietojen käsittelyyn liittyvä riskienhallinta on toteutettu • Kartoituksen voi tehdä esimerkiksi laatimalla tietotilinpäätöksen, ks. http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/t ietosuojavaltuutetuntoimisto/oppaat/6JfpzNVCh/Laadi_tietotilinpaatos. pdf • Erityisesti organisaation johdon tulisi olla tietoinen tietosuoja-asetuksen sisällöstä, sillä se on viime kädessä vastuussa Henkilötietojen nykytilan arviointi Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
  42. 42. • Tietosuojavastaavan tehtävänä on neuvoa, kehittää ja seurata henkilötietojen käsittelyä organisaatiossa • Tietosuojavastaava on nimitettävä, kun – rekisterinpitäjä on julkishallinnon toimija (pois lukien tuomioistuimet) – ydintehtävät edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa, tai – henkilötietojen käsittely on laajamittaista, kohdistuu erityisiin henkilötietoryhmiin kuten terveystietoihin, etniseen alkuperään, poliittisiin mielipiteisiin, uskonnolliseen vakaumukseen tai seksuaaliseen suuntautumiseen tai rikoksia koskeviin tietoihin. • Konsernilla sekä usealla viranomaisella tai julkishallinnon toimijalla voi olla yhteinen tietosuojavastaava. • Tietosuojavastaava voi olla ulkoistettu palveluntarjoaja. • Tietosuojavastaavan yhteystiedot julkistetaan ja ilmoitetaan valvontaviranomaiselle. • Tietosuojavastaavalla on vahva asema: riippumaton tehtävässään, raportoi suoraan johdolle, ei saa irtisanoa tehtäviensä hoidon takia. Tarvitsetko tietosuojavastaavan? Lisätietoa: Tietosuoja-asetuksen 4 jakso, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3702-1-1
  43. 43. Kenellä on vastuu tietosuojasta? Lähde: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+- koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73 Rekisterinpitäjä - Vastuussa rekisterin henkilötietojen käsittelyn lainmukaisuudesta - Voi olla yksi tai useampi henkilö, yritys tai muu organisaatio Organisaation johto ja esimiehet - Kokonaisvastuu henkilötietojen käsittelyn lainmukaisuudesta - Esimerkin näyttäminen Tietosuojavastaava - Vastaa neuvonnasta, kehittämisestä ja seurannasta sekä yhteydenpidosta valvontaviranomaiseen Henkilöstö - Jokainen on vastuussa toiminnastaan - Ohjeiden noudattaminen - Ongelmista ilmoittaminen
  44. 44. Kuva: Tietosuoja - Paremmat säännöt pienten yritysten kannalta, http://ec.europa.eu/justice/smedataprotect/index_fi.htm (27.2.2018)
  45. 45. Esimerkkejä koulun tilanteista
  46. 46. Lisätietoa: Tietosuojavaltuutetun päätös 1222/41/2013, http://www.tietosuoja.fi/fi/index/ratkaisut/virkamiestenkuvaaminenjahenkilotietojenjulkaiseminenvideotallenteenmuodossasosiaalisess amediassa.html ja Marko Forss, 17.10.2016, http://markofobbaforss.puheenvuoro.uusisuomi.fi/224559-saako-opettajaa-kuvata Opetuksen videokuvaaminen
  47. 47. • Henkilötietorekisterin tietojen julkaisu verkkosivuilla tai somepalveluissa tarkoittaa henkilötietojen sähköistä luovuttamista • Henkilötietoja (nimi, arvosanat jne.) voidaan julkaista netissä vain oppilaan tai alaikäisen oppilaan huoltajan suostumuksella – Oppilaitoksessa henkilötietojen käsittelyn tarkoitus on opetuksen järjestäminen. Siten henkilötietojen julkaisun netissä tulee liittyä opetuksen järjestämiseen. • Tunnistamisen mahdollistava valokuva on henkilötieto, jonka julkaisuun tarvitaan myös asianomaisen lupa • Henkilötietolain mukaan opiskelijavalinnan tuloksista voidaan ilmoittaa netissä. – Hakijoilta ja alaikäisten huoltajilta tarvitaan suostumus – Valitut hakijat aakkosjärjestyksessä, ei valitsematta jätettyjä – Henkilötunnusta ei pidä julkaista netissä – Samannimisistä hakijoista voidaan ilmoittaa syntymäaika • Oppilasta koskevia päätöksiä ja muita tietoja ei saa ilman lupaa: – Julkaista verkkosivuilla, somepalveluissa tai esimerkiksi kunnan intranetissä – Lähettää suojaamattomassa muodossa sähköpostilla Oppilaiden tietojen julkaisu netissä Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa, http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf
  48. 48. Huoltajat: • Huoltajat voivat laatia ja jakaa yhteystietolistan itsenäisesti esimerkiksi vanhempainillassa, jolloin kyse on yksityishenkilöiden rekisteristä, josta koulu ei ole vastuussa. Koulu: • Huoltajille kerrotaan luettelon laatimisesta ja jakamisesta ja samalla vanhempia pyydetään ilmoittamaan ne yhteystiedot, joiden antamiseen he suostuvat • Jos yksittäinen huoltaja pyytää toisen huoltajan yhteystietoja, tiedot voi antaa, jos ne ovat julkisia. Suositeltavaa on kuitenkin pyytää kysyjää hankkimaan yhteystiedot julkisesta lähteestä. • Salassa pidettäviä yhteystietoja ei voi luovuttaa ilman huoltajan suostumusta. Salassapito tulee merkitä oppilasrekisteriin. Yhteystietojen jakaminen koteihin Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa, http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf
  49. 49. Julkisuus ja tietosuoja opetustoimessa – Opas koulujen ja oppilaitosten käyttöön (2013): http://www.oph.fi/julkaisut/2013/julkisuus_ja_tietosuoja_opetustoimessa
  50. 50. Keskustelu & kysymykset
  51. 51. Tietosuojasta huolehditaan, jotta jokainen tietäisi, mitä tietoja hänestä kerätään ja miten niitä voidaan käyttää.
  52. 52. Somepalvelujen tietosuoja opetuksessa
  53. 53. Organisaatioiden käyttöön tehdyissä pilvipalveluissa organisaatio on yleensä rekisterinpitäjä käyttäjilleen ja palvelun ylläpitäjä henkilötietojen käsittelijä. Kuva: Pixabay
  54. 54. Pilvipalveluissa vastuu jakaantuu Tiedot asiakkaasta Laskutustiedot Tiedot käytettävistä palveluista ja niiden käytöstä Asiakkaan vastuulla olevien muiden käyttäjien palveluun tallentamat tiedot Mahdolliset muut palvelun tuottamiseen liittyvät tiedot Asiakas on rekisterinpitäjä Muut käyttäjät ovat rekisterinpitäjiä mahdollisesti luomiinsa rekistereihin Palveluntarjoaja on henkilötietojen käsittelijä Palveluntarjoaja on rekisterinpitäjä Lisäksi voi olla muita henkilötietojen käsittelijöitä Mahdolliset muut rekisterinpitäjät ja henkilötietojen käsittelijät sekä valvovat viranomaistahot Asiakkaan palveluun tallentamat tiedot
  55. 55. Somepalvelut opetuksessa?
  56. 56. • Yhdysvalloissa ei ole vastaavaa tiukkaa henkilötietojen käytön sääntelyä kuin EU-maissa. Tämän vuoksi yhdysvaltalaisten verkkopalvelujen käytössä opetuksessa tulee olla erityisen varovainen. • Aiemmin EU-kansalaisten henkilötietojen siirtäminen EU-maista yhdysvaltalaisiin verkkopalveluihin oli mahdollista, jos palvelun ylläpitäjä oli sitoutunut Safe harbor -sopimusjärjestelmään, joka takasi henkilötietojen suojan. – Päättyi lokakuussa 2015, kun EU-tuomioistuin totesi pätemättömäksi (Schrems-tuomio) • Neuvottelujen jälkeen luotiin uusi korvaava Privacy shield -järjestelmä helmikuussa 2016. – Privacy shield on toistaiseksi voimassa ja mahdollistaa laillisesti EU-kansalaisten henkilötietojen siirron ja käsittelyn yhdysvaltalaisissa palveluissa. • Privacy shield on kohdannut kritiikkiä ja on epäilty, että se tulee kaatumaan myöhemmin EU-tuomioistuimessa • Toinen lainmukainen vaihtoehto on, että yhdysvaltalainen palveluntarjoaja sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin – Esimerkiksi Google ja Microsoft toimivat näin • Opetuksessa voidaan käyttää myös suoraan yhdysvaltalaisia palveluita huoltajien luvalla tai mikäli niiden käyttö ei edellytä henkilötietojen antamista Yhdysvaltalaiset verkkopalvelut
  57. 57. Lähde: Mediataitokoulu, http://www.mediataitokoulu.fi/index.php?option=com_content&view=article&id=608:netiketti- sarjakuvat&catid=11:tehtavat&Itemid=388&lang=fi (viitattu 14.12.2016)
  58. 58. • Koulun tehtävänä on opettaa oppilaille, kuinka tieto- ja viestintätekniikkaa käytetään oppimisen välineenä ja miten se tehdään turvallisesti • Koulun tehtävänä on kertoa oppilaille ja heidän vanhemmilleen internetin luonteesta ja sen turvallisesta käytöstä • On tärkeää saada oppilaat miettimään, miten he voivat suojata henkilötietojaan ja mille tahoille henkilötietoja on turvallista luovuttaa – Somepalveluihin rekisteröitymisessä – Chat- ja pikaviestikeskusteluissa • Neuvoja netin turvalliseen käyttöön (huomioi ikätaso) – Älä kerro omia tai toisten henkilötietoja – Älä kerro, milloin perheesi on lomalla tai mitä koulua käyt. – Älä sovi tapaamisia äläkä anna yhteystietojasi tuntemattomille. – Jos haluat tavata jonkun nettiystäväsi, pyydä aikuinen mukaasi. – Aina kun tuntuu pelottavalta, kerro asiasta aikuiselle. – Muista, että et voi tietää, kenen kanssa olet yhteydessä internetin välityksellä. – On hyvä harkita, minkälaisia valokuvia itsestä kannattaa julkaista. – Pyydä kavereiden tai opettajien valokuvien julkaisuun lupa. – Mieti, millaisen kuvan annat itsestäsi • Koulun tulee taata oppilaiden omien sähköpostien kirjesalaisuus • Yhteistyö kotien kanssa tärkeää. Alaikäisten vanhemmilta tarvittavat luvat. Turvallisesti netissä Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa, http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf
  59. 59. Miten some-palveluita opetukseen? • Monia somepalveluita voi käyttää ilman oppijoiden rekisteröitymistä tai henkilötietojen antamista • Kaupalliset somepalvelut, jotka edellyttävät käyttöehtojen hyväksyntää: – Alaikäiset huoltajan suostumuksella – Täysi-ikäiset omalla vastuullaan • Omassa hallinnassa olevat somepalvelut – Koulu/kunta voi hankkia osto-/sopimuspalveluita – Koulu/kunta voi asentaa ja ylläpitää omia somepalveluita – Tällöin koulu/kunta on rekisterinpitäjä ja voi monesti määrätä myös käyttösäännöistä.
  60. 60. Tarkistuslista: • Missä maassa palvelu sijaitsee? Suosi EU:ssa sijaitsevia. • Mikä on palvelun ikäraja? • Mitä henkilötietoja rekisteröitymisen ja palvelun käytössä tallennetaan? • Saako sama käyttäjä luoda palveluun useita käyttäjätunnuksia? • Miten käyttäjä voi hallita henkilötietojaan palvelussa? • Voidaanko tietojasi luovuttaa muille tai käyttää esimerkiksi mainontaan? • Mitä oikeuksia palvelu saa tekemiisi sisältöihin kuten teksteihisi ja valokuviisi? Voidaanko niitä käyttää muualla? • Mihin voit olla yhteydessä, jos palvelun käytössä ilmenee ongelmia? • Miten voit lopettaa palvelun käytön? Mitä tekemillesi sisällöille ja muille sinusta kerätyille tiedoille tehdään siinä tapauksessa? Palvelun käyttöehdot = sopimus
  61. 61. • Google: 13 vuotta (Google Play, Gmail, G Suite, Google Drive, Google+, Blogger) • YouTube: 13 vuotta (osa videoista 18 v.) • Facebook: 13 vuotta • WhatsApp: 13 vuotta (8/2016 lähtien, aiemmin 16 v.) • Instagram: 13 vuotta • Snapchat: 13 vuotta • Twitter: 13 vuotta • Steam: 13 vuotta • Pinterest: 13 vuotta • Twitch: 13 vuotta • Ask.fm: 13 vuotta • Kik Messenger: 13 vuotta (suositus 17 v.) • WordPress.org: 13 vuotta • We heart it: 13 vuotta • Pokémon Go: 13 vuotta Some-palvelujen ikäraja: 13 vuotta Lisäksi alaikäinen tarvitsee huoltajan luvan sopimuksen tekoon.
  62. 62. • Sopimuksen tekeminen kuten verkkopalvelun käyttöehtojen hyväksyminen vaatii lain mukaan 18 vuoden ikää (oikeustoimikelpoisuuden) riippumatta palvelun ikärajasta. • Vähintään 16-vuotiaat voivat antaa itse luvan henkilötietojensa käsittelyyn (saattaa muuttua 13- tai 15-v.) • Alaikäisten oppilaiden tuotosten julkaisuun verkossa täytyy olla hänen oma lupansa sekä huoltajan lupa. Alaikäiset oppilaat
  63. 63. • Kun opetuksessa käytetään erilaisia somepalveluita ja niihin luotuja ryhmiä, koulussa on syytä sopia yhteiset toimintamallit, miten opettajat rekisteröityvät niihin – Nimen, koulun ja luokan kertominen somessa – Käyttäjätunnuksen muodostamistapa – Käytettävä sähköpostiosoite (yleensä henkilökohtainen on parempi kuin työosoite) – Miten tuodaan esiin, että kyse on työkäytöstä / somen opetuskäytöstä – Tavallisesti opettajien ei ole suositeltavaa pyytää tai hyväksyä alaikäisiä oppilaita kavereiksi vapaa-ajan somepalveluissa • Eri somepalveluissa on erilaisia käyttöehtoja, jotka on huomioitava • Esimerkiksi koulun hallinnoimalla opettajan Google-käyttäjätunnuksella on mahdollista käyttää useita muidenkin tahojen ylläpitämiä somepalveluilta • Opettajaa ei voida velvoittaa käyttämään yksityisiä käyttäjätunnuksia työssään, mikäli se ei ole ollut nimenomaisesti edellytyksenä työtehtävän hoitamiselle • WhatsAppin työkäyttöön on suositeltavaa olla työpuhelin Opettajan tunnus ja työprofiili
  64. 64. • Facebookin käyttöehdot kieltävät kahden eri käyttäjätunnuksen luomisen. • Erillistä oppilas-, opettaja- tai ohjaajatunnusta ei pitäisi tehdä. • Facebook-ryhmissä ja -sivuilla voi toimia henkilökohtaisella tunnuksella, jolloin esimerkiksi oppilaita ei tarvitse ottaa kavereiksi. • Facebookin käyttöehdot: https://www.facebook.com/legal/ terms/update
  65. 65. Yksittäisen käyttäjän tietoturva
  66. 66. Yksittäiset käyttäjät Lähde: Viestintäviraston Kyberturvallisuuskeskuksen vuosiraportti 2015, https://www.viestintavirasto.fi/attachments/tietoturva/Viestintaviraston_Kyberturvallisuuskeskuksen_vuosiraportti_2015.pdf
  67. 67. Harmittomat Facebook-testit saavat yllättän paljon oikeuksia käyttäjätietoihisi ja voivat käyttää niitä haluamallaan tavalla. Lisää aiheesta: https://harto.wordpress.com/2016/03/29/ala-anna-facebook-tietojasi-hupitestia-vastaan/
  68. 68. Älä koskaan avaa epäilyttävää liitetiedostoa tai linkkiä.
  69. 69. Facebook Messengerin virusviestit Lähde: Iltalehti, 8.8.2017, http://www.iltalehti.fi/digi/201708082200311839_du.shtml 1. Viestillä houkutellaan käyttäjä avaamaan linkki. 2. Linkki johtaa huijaussivulle, jossa käyttäjää pyydetään asentamaan selaimen ”lisätoiminto” (todellisuudessa virus) katsoakseen videon. 3. Lisäki käyttäjän Facebook-tunnuksella lähetetään huijausviesti kaikille hänen kontakteilleen.
  70. 70. Lähde: https://www.viestintavirasto.fi/attachments/cert/certtiedostot/Nain_meita_huijataan.pdf
  71. 71. Kirjautuminen palveluihin
  72. 72. Lähde: Tom Evans, Maailman suurimmat tietomurrot, http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
  73. 73. 1. 123456 2. 123456789 3. qwerty 4. 12345678 5. 111111 6. 1234567890 7. 1234567 8. password 9. 123123 10. 987654321 Maailman yleisimmät salasanat Lähde: Digitoday, 24.1.2017, https://www.is.fi/digitoday/tietoturva/art-2000005057583.html 11. qwertyuiop 12. mynoob 13. 123321 14. 666666 15. 18atcskd2w 16. 7777777 17. 1q2w3e4r 18. 654321 19. 555555 20. 3rjs1la7qe
  74. 74. 1. Lemmikin nimi 2. Merkittävät päivämäärät kuten hääpäivä 3. Lähisukulaisen syntymäpäivä 4. Lapsen nimi 5. Muun sukulaisen nimi 6. Syntymäpaikka 7. Suosikkiloma 8. Suosikkijalkapallojoukkueeseen liittyvä sana 9. Puolison nimi 10. Sana "password" Helposti arvattavia salasanoja Lähde: Talouselämä,1.8.2013, http://www.talouselama.fi/uutiset/nain-helppoa-on-salasanan-arvaaminen-katso-10-yleisinta-3442375
  75. 75. TÄMÄN TIETOKONEEN SALASANA: DA@97ds!aEwLö
  76. 76. Kuva tehty Imgflip-meemigeneraattorilla: https://imgflip.com/memegenerator/First-World-Problems
  77. 77. • Suositus vähintään 8, mielellään 15 merkkiä • Ei ole yksittäinen sana. Lause tai lorun pätkä ovat hyviä. • Sisältää: – Isoja ja pieniä kirjaimia – Numeroita – Erikoismerkkejä • Ei ole arvattavissa • Ei ole käytössä muualla Hyvä salasana tai salalause Lähde: Viestintävirasto, 2014, https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2014/12/ttn201412031257.html
  78. 78. • Säilytä käyttäjätunnukset ja salasanat erillään • Tunnukset voit tallentaa esimerkiksi kännykkään, Google Driveen, OneNoteen tai Evernoteen • Salasanojen hallintaohjelmat vapauttavat muistamasta useita salasanoja: – LastPass: https://www.lastpass.com/ – F-Secure KEY: https://www.f- secure.com/fi_FI/web/home_fi/key – KeePass: http://keepass.info/ • Kertakäyttöisistä salasanalistoista ei kannata ottaa kuvia tai tallentaa niitä pilvipalveluihin Salasanojen säilyttäminen Lähde: Talouselämä,1.8.2013, http://www.talouselama.fi/uutiset/nain-helppoa-on-salasanan-arvaaminen-katso-10-yleisinta-3442375
  79. 79. Googlen kaksivaiheinen tunnistautuminen 1. Kirjaudu Google-tunnuksellasi ja mene osoitteeseen: https://myaccount.google.com/ 2. Valitse ”Googleen kirjautuminen” Kuvakaappaus ja lisätietoa: https://www.google.com/landing/2step/ 3. Ota käyttöön ”2-vaiheinen vahvistus”
  80. 80. Facebookin kirjautumisen asetukset Facebook-tunnuksen asetukset, Turvallisuus ja sisäänkirjautuminen, https://www.facebook.com/settings?tab=security (28.9.2017)
  81. 81. Jos käyttäjätunnuksesi on murrettu tai vuotanut, vaihda heti salasanasi! Kuva: Patryk Grądys @ Unsplash
  82. 82. Laitteen ja nettiyhteyden turvallisuus
  83. 83. 1. Hyökkääjät etsivät haavoittuvia verkkopalveluita, joita voidaan käyttää esim. mainostamiseen tai virusten ja haittaohjelmien levittämiseen. 2. Saastunut palvelu etsii palvelun käyttäjien käyttöjärjestelmän, selaimen ja sen liitännäisten tietoturva-aukkoja, joiden kautta voidaan asentaa viruksia ja haittaohjelma. Saastuneet verkkopalvelut Lähde: Viestintäviraston Kyberturvallisuuskeskuksen vuosiraportti 2015, https://www.viestintavirasto.fi/attachments/tietoturva/Viestintaviraston_Kyberturvallisuuskeskuksen_vuosiraportti_2015.pdf
  84. 84. Kuvat: Google Chromen tietosuojailmoitus, 2017, https://www.google.fi/chrome/browser/privacy/whitepaper.html
  85. 85. Jos käytät yleistä tietokonetta, tyhjennä www-selaimen välimuisti ja tallennetut kirjautumistiedot käytön jälkeen.
  86. 86. Selaimen yksityinen tila Firefox Internet Explorer Chrome Yksityisessä tilassa nettiselain ei tallenna laitteen muistiin: • Sivuhistoriaa • Lomaketietoja • Evästeitä (engl. cookie) • Www-sivustojen tiedostoja välimuistiin Verkkopalvelut ja verkkoyhteyden tarjoaja näkevät toimintasi normaalisti.
  87. 87. Langattoman verkon turvallisuus Lähde: Viestintävirasto, 2011, https://www.viestintavirasto.fi/ohjausjavalvonta/ohjeetjajulkaisut/ohjeidentulkintojensuositustenjaselvitystenasiakirjat/ohje22011langatt omienverkkojentietoturvasta.html
  88. 88. • VPN = virtual private network (suom. virtuaalinen erillisverkko) • Organisaatioissa VPN-yhteyksiä käytetään liittämään useita suljettuja verkkoja internetin välityksellä näennäisesti yhdeksi verkoksi. • Nykyään monet yritykset tarjoavat yksityisille käyttäjille VPN-yhteyksiä nettiselailun turvaamiseksi. • Tavallisesti VPN-yhteydellä kaikki nettiliikenne kulkee salattuna palveluntarjoajan palvelimen kautta. – Netin käyttö on turvallista jopa avoimissa WLAN-verkoissa. – Vain VPN-palveluntarjoaja pystyy seuraamaan nettiliikenteen sisältöä. – Samaa VPN-palvelua voi käyttää yleensä tietokoneella, tabletilla ja kännykällä – VPN estää oikean IP-osoitteesi näkymisen verkkopalveluille ja sen avulla voidaan kiertää myös palvelujen maakohtaisia rajoituksia (laillisesti) • VPN-palveluita: – F-Secure Freedome, https://www.f-secure.com/en/web/home_global/freedome – Opera-nettiselain suojaa www-selailun VPN:llä, http://www.opera.com/fi – Ilmaisia VPN-ohjelmia tietokoneelle: http://www.download.fi/verkko/vpn/ – Kännyköiden sovelluskaupoissa on lukuisia ilmaisia VPN-ohjelmia, mm. Opera VPN VPN-yhteys suojaa netinkäyttöä
  89. 89. 1. Ota käyttöjärjestelmän pakollinen kirjautuminen käyttöön. Myös tietokoneen aikakatkaisu tai salasanalla suojattu näytönsäästäjä kannattaa kytkeä käyttöön. 2. Käytä tuoretta nettiselainta ja hyväksy sen automaattinen päivittäminen 3. Käytä mahdollisuuksien mukaan sekä ns. rautapalomuuri (ulkoista palomuurilaitetta) että ohjelmallista palomuuria. 4. Tarkista langattoman verkon asetukset 5. Pidä virus- ja haittaohjelmien torjuntaohjelmat ajan tasalla ja aja niiden tarkistukset tasaisin väliajoin. 6. Tee aina käyttöjärjestelmän ja muiden tärkeiden ohjelmien versiopäivitykset. Helpoiten tämä onnistuu hyväksymällä järjestelmän automaattinen päivittäminen. 7. Varo roskaposteja – älä avaa epäilyttäviä liiketiedostoja tai linkkejä. 8. Varmuuskopioi tärkeät tiedostosi – varmuuden vuoksi! Tietokoneen tietoturvan tarkistuslista Lähde: H. Pönkä, 2014, Sosiaalisen median käsikirja
  90. 90. • Tee käyttöjärjestelmän ja sovellusten päivitykset viipymättä • Asenna sovelluksia vain virallisista sovelluskaupoista • IPhonet ja iPadit ovat Android-laitteita turvallisempia. – App Storen sovellustarjontaa valvotaan tarkemmin kuin Google Playn. – Androidille tehdään enemmän haittaohjelmia ja viruksia • Tietoturvaohjelmia ei välttämättä vielä tarvita mobiililaitteille – varovaisuus ja maalaisjärki riittävät pitkälle. • Isoin tietoturvauhka on vanhoissa laitteissa, joihin ei tehdä enää päivityksiä. Tällaisia laitteita ei kannattaisi kytkeä nettiin lainkaan. Mobiililaitteiden tietoturva
  91. 91. Harto Pönkä http://twitter.com/hponka/ http://slideshare.com/hponka http://harto.wordpress.com/ http://www.innowise.fi/ Kiitos!

×