SlideShare a Scribd company logo
1 of 67
Download to read offline
Tietoturva ja tietosuoja
Office 365 -palveluissa
21.3.2023
Harto Pönkä
Innowise
Kuva: Marvin Meyer @Unsplash, 2018
Kuva: Matthew Henry @ Unsplash
Tietoturvalla suojataan kaikenlaisia
tietoja ja järjestelmiä ulkopuolisten
urkinnalta ja muulta vahingonteolta.
Tietosuojalla suojataan ihmisten
oikeutta yksityisyyteen. Siitä on
kyse, jos ihminen voidaan
tunnistaa tiedoista.
GDPR = EU:n yleinen tietosuoja-asetus
Mihin EU:n yleistä tietosuoja-asetusta (GDPR) sovelletaan?
1) Osittain tai kokonaan autom.
henkilötietojen käsittelyyn
 Digitaaliset asiakirjat, valokuvat,
videot ja muut tiedostot
 Sähköpostit, tekstiviestit
 Viestintäsovellukset
 Verkkopalvelut, chatit
 Sosiaalisen median palvelut
 Digitaaliset arkistot
 Tietojen siirto rajapintojen kautta
2) Kaikkiin henkilörekistereihin
 Tietojärjestelmät/tietokannat
 Yhteystietoluettelot
 Henkilötietojen kokoelmat
 Myös manuaaliset aineistot,
henkilökortistot ja vastaavat, jotka
muodostavat tai joiden on tarkoitus
muodostaa rekisteri
4
Jussi Koskela
044-32132121
ABC-123
Suotie 1
192.168.13.73
Henkilötiedot =
tunnistetiedot + muut
henkilöön liittyvät tiedot
Tunnistetiedot mahdollistavat henkilön
tunnistamisen rekisterinpitäjän
tai jonkun muun tahon toimesta – joko
suoraan tai lisätietojen avulla.
Milloin kyse on
henkilötiedoista?
Kaikki tiedot ovat henkilötietoja, jos
ne koskevat tunnistettua tai
tunnistettavissa olevaa luonnollista
henkilöä eli rekisteröityä.
Erityiset eli arkaluontoiset henkilötiedot
Erityisten henkilötietoryhmien käsittely on
kielletty ilman henkilön nimenomaista
suostumusta tai laista tulevaa perustetta.
 rotu tai etninen alkuperä
 poliittiset mielipiteet
 uskonnollinen tai filosofinen vakaumus
 ammattiliiton jäsenyys
 terveyttä koskevat tiedot
 seksuaalinen suuntautuminen tai
käyttäytyminen
 geneettiset ja biometriset tunnistetiedot
6
Tämä viesti sisältää:
• tunnistetietoja
• lain mukaan salassa
pidettäviä tietoja
• terveystietoja
Tämän tyyppisten
henkilötietojen
käsittelylle tulee olla
selvät ohjeet ja
määritellyt järjestelmät,
joissa niitä saa säilyttää.
WhatsApp tuskin kuuluu
niihin.
Henkilötunnus
Henkilötunnusta saa käsitellä:
 Rekisteröidyn suostumuksella
 Jos käsittelystä säädetään laissa
 Laissa säädetyn tehtävän suorittamiseksi
 Rekisteröidyn tai rekisterinpitäjän
oikeuksien ja velvollisuuksien
toteuttamiseksi, esim. työsuhteessa
 Historiallista tai tieteellistä tutkimusta tai
tilastointia varten
Henkilötunnusta ei tule merkitä
tarpeettomasti asiakirjoihin.
Henkilötunnusta ei ole tarkoitettu
henkilöllisyyden varmistamiseen.
7
Kuva: https://www.poliisi.fi/henkilokortti/suomen_henkilokorttien_ominaisuudet
010150-113X
GDPR:n tietosuojaperiaatteet
8
 Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys
 Käyttötarkoitussidonnaisuus
 Henkilötietoja saa käyttää vain alkuperäisiin ja niiden kanssa yhteensopiviin
tarkoituksiin
 Myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua
 Tietojen minimointi
 Kerätään ja käsitellään vain tarkoitukseen olennaisia henkilötietoja
 Tietojen täsmällisyys
 Tietojen päivittäminen, tarkistaminen, virheiden korjaus
 Tietojen säilytyksen rajoittaminen
 Tietoja säilytetään vain tarvittavan ajan
 Tietojen eheys ja luottamuksellisuus
 Suojaustoimenpiteet, käytön valvonta, varmuuskopiointi
 Rekisterinpitäjän osoitusvelvollisuus
Lisätietoa: Tietosuoja-asetuksen 5 artikla,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1
Esimerkkejä käsiteltävistä henkilötiedoista
9
Tieto Henkilötiedon tyyppi Tyypillisiä riskejä
Nimi Tavanomainen Nimen paljastuminen (vähäinen)
Osoite ja kotikunta Tavanomainen tai salainen Salaisen osoitteen paljastuminen,
suoramarkkinointi
Puhelinnumero Tavanomainen tai salainen Salaisen numeron paljastuminen, huijausviestit
Sähköpostiosoite Tavanomainen Käyttö spämmäykseen, tietojenkalasteluun ja
murtautumisyrityksiin
Henkilötunnus Tietosuojalaissa erikseen
säädelty
Käyttö esimerkiksi pikavippien ottoon ja
verkkokaupoissa tilauksiin toisen henkilön
nimissä
Muu yksilöivä tunniste, esim.
opiskelijanumero tai OID
Tavanomainen Voidaan käyttää vahingontekoon tai urkintaan,
jos paljastuu yhdessä nimen kanssa
Terveydelliset tiedot, etninen tausta,
vakaumus, ammattiliiton jäsenyys
Erityinen henkilötieto Käyttö syrjintään ja häirintään, yksityiselämän
loukkaus
Taloudellinen asema, henkilökohtaiset
olot, sanalliset arviot henkilön
ominaisuuksista, psykologiset testit
Lain mukaan salassa pidettävä
tieto
Käyttö syrjintään ja häirintään, yksityiselämän
loukkaus
Rekisteri
10
Rekisteri muodostuu henkilötietojen joukosta, jotka liittyvät tiettyyn käyttötarkoitukseen.
Henkilötietojen käyttäjät
▪ ”Rekisterinpitäjä” on taho, joka määrittelee henkilötietojen käsittelyn
tarkoitukset ja keinot. Jos monta tahoa tekee yhdessä kyseisen päätöksen, he
ovat ”yhteisrekisterinpitäjiä”.
▪ ”Henkilötietojen käsittelijä” on luonnollinen henkilö tai oikeushenkilö, joka
käsittelee henkilötietoja rekisterinpitäjän lukuun. Perusteena tulee olla
sopimus henkilötietojen käsittelystä.
▪ ”Kolmas osapuoli” on muu luonnollinen henkilö tai oikeushenkilö, joilla on
oikeus käsitellä henkilötietoja suoraan rekisterinpitäjän tai henkilötietojen
käsittelijän välittömän vastuun alaisena.
▪ ”Vastaanottaja” on luonnollinen henkilö tai oikeushenkilö, jolle henkilötietoja
luovutetaan.
11
Rekisterinpitäjä päättää, mitä tietoja käsitellään ja miten
12
Tarkoitukset ja keinot
Rekisteriin kerätyt
henkilötiedot
Rekisterinpitäjä(t)
Rekisterinpitäjä määrittelee
henkilötietojen käsittelyn
tarkoitukset ja keinot.
Rekisterinpitäjän tulee kerätä ja
käsitellä vain tarkoituksenmukaisia
henkilötietoja (määrä, laatu,
säilytysaika, saatavilla olo).
Käsittelyn tarkoitukset ja keinot
(henkilötiedot) tulee ilmetä
rekisteröityjen informoinnista.
Rekisteröidylle ei saa tulla sen
jälkeen ”yllätyksiä”, mitä tietoja ja
miten hänestä käsitellään.
Oikeus-
peruste
REKIST. OIKEUDET
OIKEUSPERUSTEEN
MUKAAN
Suostumus Sopimus Lakisääteiset
velvoitteet
Yleinen etu tai
julkinen tehtävä
Rekisterinpitäjän
oikeutettu etu
Elintärkeiden
etujen
suojaaminen
Oikeus saada tietoa
henkilötietojen
käsittelystä
Kyllä Kyllä Kyllä, ellei kyse
ole laissa
olevasta
poikkeuksesta
Kyllä, ellei kyse ole
laissa olevasta
poikkeuksesta
Kyllä Kyllä
Oikeus saada pääsy
tietoihin
Kyllä Kyllä Kyllä Kyllä Kyllä Kyllä
Oikeus oikaista tietoja Kyllä Kyllä Kyllä Kyllä Kyllä Kyllä
Oikeus poistaa tiedot Kyllä, perumalla
suostumuksen
Kyllä, jos tietoja ei
enää tarvita sop.
Ei Ei Kyllä Kyllä
Oikeus rajoittaa
tietojen käsittelyä
Kyllä Kyllä Ei Kyllä Kyllä Kyllä
Oikeus vastustaa
tietojen käsittelyä
Ei Ei Ei Kyllä Kyllä Ei
Oikeus siirtää tiedot
järjestelmästä toiseen
Kyllä Kyllä Ei Ei Ei Ei
Oikeus olla joutumatta
autom. päätöksenteon
kohteeksi ilman laillista
perustetta
Kyllä, mutta
rekisteröity voi
antaa
suostumuksen
automaattiseen
päätöksentekoon
Kyllä, paitsi jos
autom. päät. on
välttämätöntä
sopimuksen tekoon
tai täyttämiseen
Kyllä, ellei kyse
ole laissa
olevasta
poikkeuksesta
Kyllä GDPR ei salli tällä
perusteella
automaattista
päät.tekoa, jolla
on merkittäviä
vaikutuksia
GDPR ei salli tällä
perusteella
automaattista
päät.tekoa, jolla
on merkittäviä
vaikutuksia
Lähteet: GDPR, Tietosuja.fi: Mitä oikeuksia rekisteröidyillä on eri tilanteissa?, 25.5.2020, https://tietosuoja.fi/rekisteroidyn-oikeudet-eri-tilanteissa, Tietosuojatyöryhmä, 2017,
https://tietosuoja.fi/documents/6927448/8316711/Automaattinen+p%C3%A4%C3%A4t%C3%B6ksenteko/28ae24f4-3345-4fb2-8708-c84abd8f57b0/Automaattinen+p%C3%A4%C3%A4t%C3%B6ksenteko.pdf
Rekisteröityjen informointi / tietosuojaseloste
14
 Tunne työhösi liittyvien rekisterien
käyttötarkoitukset ja noudata niitä
 Älä käytä tietoja muihin kuin
rekisteröidyille kerrottuihin tarkoituksiin.
 Valmistaudu kertomaan rekisteröidyille,
mihin tarkoitukseen ja mitä tietoja heistä
käsitellään.
 Älä tallenna eri tietojärjestelmiin ja
verkkopalveluihin muita tietoja kuin mitä
niihin on sallittua tallentaa.
 Esimerkkinä Keravan kaupungin lukion
asiakasrekisterin Office 365:ttä koskevat
kohdat
Lähde: Keravan kaupungin lukion asiakasrekisterin tietosuojaseloste,
https://kerava.production.geniem.io/uploads/sites/2/2022/12/keravan_kaupungin_lukion_asiakasrekisteri.pdf (20.3.2023)
“
”Tietosuojasta huolehditaan, jotta
jokainen tietäisi, mitä
tietoja hänestä kerätään ja miten
niitä voidaan käyttää.”
15
Henkilötietojen käsittely työssä
16
Ohjeita henkilötietojen käsittelyyn
17
▪ Tietoja käytetään vain oikeisiin tarkoituksiin.
▪ Työntekijä saa käsitellä vain hänen
työtehtäviinsä liittyviä henkilötietoja.
▪ Työn suorittamista varten tehdyt kopiot ja
tulosteet henkilötiedoista hävitetään, kun niitä
ei enää tarvita.
▪ Henkilötietoja tallennetaan vain niille
sallittuihin tallennuspaikkoihin ja järjestelmiin.
▪ Henkilötietoja ei näytetä tai kerrota sivullisille.
▪ Henkilötietoja ei julkaista tai luovuteta ilman
suostumusta tai laista tulevaa perustetta.
▪ Tietojen säilytyksessä noudatetaan fyysistä
tietoturvaa: valvotaan tiloja ja laitteita.
▪ Tietojärjestelmissä käytetään henkilökohtaisia
tunnuksia ja huolehditaan käyttöoikeuksista.
Tietosuojalaki 35 §: vaitiolovelvollisuus
18
 Tietosuojalain vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa saadaan tietää
henkilöiden ominaisuuksista, henkilökohtaisista oloista ja taloudellisesta asemasta.
 Työnantajan vastuulla on määritellä, mitä henkilötietojen käsittelyä eri työtehtäviin
kuuluu, sekä huolehtia tietojen turvallisesta säilytyksestä.
 Jos rekisterinpitäjä käyttää ulkopuolisia palveluntarjoajia, sen tulee varmistua
näiden vaitiolovelvollisuudesta henkilötietojen käsittelyn sopimuksella.
Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050
Joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää
jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista, taloudellisesta
asemasta taikka toisen liikesalaisuudesta, ei saa oikeudettomasti ilmaista sivulliselle näin
saamiaan tietoja eikä käyttää niitä omaksi tai toisen hyödyksi tai toisen vahingoksi
Henkilötietojen luovuttaminen ja julkaisu
19
 Henkilötietoja voi luovuttaa ulkopuolisille taholle tai julkaista vain rekisteröidyn
suostumuksella tai jos siitä on nimenomaisesti laissa säädetty.
 Esimerkkejä julkaisusta:
 Tiedot nettisivulla tai netissä saatavana olevassa tiedostossa (esim. jakolinkki).
 Sähköpostin lähetys useille rekisteröidyille niin, että he näkevät viestin tiedoista
toistensa sähköpostiosoitteet.
 Suostumus on käytännössä esimerkiksi:
 Lupalomakkeen tms. hyväksyntä, jossa on mainittu, että tietoja tullaan julkaisemaan
 Suostumus tietojen julkaisulle tietojenkeruun lomakkeessa
 Julkaisuluvat esimerkiksi kuviin ja videoihin
 Suostumukset merkitään rekisteriin.
 Rekisteröity voi milloin tahansa perua antamansa suostumuksen. Suostumuksen
perumisesta tulee ilmoittaa myös tietojen luovutusten vastaanottajille.
Viranomaisen henkilötietorekisterin tietojen anto
 Ei koske salassa pidettäviä tietoja.
 Vaikka rekisterissä olevat tiedot
olisivat lain mukaan julkisia, niitä ei
voi antaa kenelle tahansa.
 Rekisterinpitäjän on arvioitava
riskit, jos tietoja julkaistaan.
 Ei tietojen massajulkaisua
esimerkiksi nimi ja HETU.
 Viranomaisen rekisterissä olevia
henkilötietoja saa antaa, jos:
 1) Kyse ei ole salassa pidettävistä
tiedoista tai jokin muu laki ei estä
luovutusta
 2) Saajalla on oikeus käyttää kyseisiä
tietoja (esim. yksityishenkilö)
 Henkilötunnusta ei tule tällöinkään
merkitä tarpeettomasti.
Lähde: Laki viranomaisten toiminnan julkisuudesta, https://www.finlex.fi/fi/laki/ajantasa/1999/19990621
20
Office 365 –käyttäjätunnuksen pitäminen suojassa
Sisäänkirjautuminen Office 365:een
 Tarkista netissä aina, että kirjautumisosoite on oikea. Microsoftin kirjautumislomakkeen osoite on
yleensä tässä muodossa: https://login.microsoftonline.com/common/oauth2/...
 Officen työpöytäsovelluksissa voit tarkistaa kirjautumisen kohdasta: Tiedosto  Tili.
Lisätietoa: https://support.microsoft.com/fi-fi/office/sis%C3%A4%C3%A4nkirjautuminen-officeen-b9582171-fd1f-4284-9846-bdd72bb28426 ja https://support.microsoft.com/fi-
fi/office/sis%C3%A4%C3%A4nkirjautuminen-microsoft-365-ss%C3%A4-1d646e83-1585-4278-8daf-d4a2cc0905e0
22
Office 365:n kirjautumisen muistaminen laitteella
 Verkkosovelluksiin kirjautumista ei
ole yleensä suositeltavaa tallentaa.
 Poikkeus: laite, joka ei ole kenenkään
muun käyttäjän käytössä  suojaa
laite vahvalla salasanalla!
23
Tunnuksen ja salasanan tallennus selaimeen?
 Selain saattaa kysyä, tallennetaanko salasana, kun kirjaudut johonkin verkkopalveluun.
 Tunnuksia ja salasanoja ei ole suositeltavaa tallentaa selaimeen.
24
Vahva salasana
 Älä luota pelkkään salasanaan - käytä
kaksivaiheista todennusta aina, kun se on
mahdollista!
 Mieluummin salalause kuin salasana
 Mitä pitempi, sen vahvempi (yli 8 merkkiä)
 Kirjaimia, numeroita ja erikoismerkkejä
 Ei ole nimi, sana, päivämäärä tai muuten
arvattavissa
 Ei ole käytössä muualla
 Vaihda salasana, jos se on vuotanut
25
Kaksivaiheinen varmistus / monivaiheinen todentaminen (MFA)
 Kaksivaiheisen tunnistamisen idea on, että käyttäjä
vahvistaa kirjautumisen jollain, mitä hänellä on –
kuten tekstiviestinä saapuvalla kertakäyttökoodilla
tai autentikointisovelluksella.
 Hyöty: hyökkääjä ei pysty kirjautumaan tunnuksella,
vaikka hän olisi saanut tai keksinyt sen salasanan.
 Mahdollistaa myös salasanattoman kirjautumisen.
 Kaksivaiheinen tunnistus estää Microsoftin mukaan
99,9 % tunnuksiin kohdistuvista hyökkäyksistä.
 Office 365:n organisaation järjestelmänvalvoja voi
asettaa kaksivaiheisen pakolliseksi kaikille. *
 Käyttäjille tehty Microsoftin ohje kaksivaiheisen
tunnistuksen käyttöönotolle:
https://support.microsoft.com/fi-fi/account-
billing/kaksivaiheisen-tarkistamisen-
k%C3%A4ytt%C3%A4minen-microsoft-tiliss%C3%A4-
c7910146-672f-01e9-50a0-93b4585e7eb4
*) Ohje järjestelmänvalvojille, Security defaults in Azure AD: https://learn.microsoft.com/fi-fi/azure/active-directory/fundamentals/concept-fundamentals-security-defaults
26
Microsoft Authenticator -autentikointisovellus
 Microsoft Authenticator sopii hyvin Office
365:n kaksivaiheiseen varmistukseen.
 Kaksi kirjautumisen varmistustapaa:
1) Vaihtuva kertakäyttökoodi
2) Hyväksy kirjautuminen –kysymys
 Toimii muidenkin verkkopalvelujen
kaksivaiheisen varmistuksen kanssa.
 Huom. Ota palvelukohtainen palautuskoodi
talteen, kun kytket varmistuksen päälle.
 Android-versio Google Playssä:
https://play.google.com/store/apps/detail
s?id=com.azure.authenticator
 iOS-versio AppStoressa:
https://apps.apple.com/us/app/microsoft
-authenticator/id983156458
Kuvakaappaukset: Microsoft Authenticatorin Google Play –kauppasivu (20.3.2023)
Lisätietoa: https://support.microsoft.com/fi-fi/account-billing/microsoft-authenticator-sovelluksen-lataaminen-ja-asentaminen-351498fc-850a-45da-b7b6-27e523b8702a
27
28
Laita kone kiinni aina, kun poistut paikalta!
Henkilötiedot Office 365:ssä
29
Organisaatioiden sisäisesti käyttämät viestintäsovellukset
Lähde: North Patrol, Digitaaliset työympäristöt 2022 -selvitys, https://intranet-ostajanopas.fi/2022/08/22/suomalaisten-organisaatioiden-digityon-valineet-2022/
(N=64 vastaajaorganisaatiota)
30
 Todennäköisesti moni julkinen organisaatio
päätyy samaan ratkaisuun kuin Kela
Lähde: Kela, 27.4.2021, https://www.kela.fi/ajankohtaista-yhteistyokumppanit/-
/asset_publisher/WQHcJ3JiaK7b/content/kela-ei-kasittele-salassa-pidettavia-tietoja-julkisissa-pilvipalveluissa
(uutinen on sittemmin poistettu netistä)
31
Tietojen tallennus Office 365:n pilvipalveluun (ohjeellinen)
32
Huom. taulukko on esimerkinomainen, tarkista aina rekisterinpitäjän tekemät linjaukset!
Outlook OneDrive ja Office-
verkkosovellukset
Teams-tiimit/ryhmät SharePoint-sivustot
Käyttötarkoitus Henkilökohtainen
kalenteri- ja
sähköpostipalvelu
Henkilökohtainen
tallennustila
Jaetut kansiot ja
tiedostot
Sisäinen yhteistyö
Yhteistyö ulkopuolisten
kanssa esim. hankkeissa
ja projekteissa
Sisäiset sivustot
(intranet)
Yhteistyö ulkopuolisten
kanssa (extranet)
Julkiset tiedot ja asiakirjat Ok Ok Ok Ok
Ei-julkiset tiedot ja
asiakirjat
Ok Ok Ok / ei vieraskäyttäjille Ok / ei vieraskäyttäjille
Viranomaisen lain
mukaan salassa
pidettävät tiedot ja
asiakirjat
Vain väliaikaisesti Vain väliaikaisesti Vain väliaikaisesti / ei
vieraskäyttäjille
Vain väliaikaisesti / ei
vieraskäyttäjille
Tavanomaiset
henkilötiedot
Ok Ok / ei vieraskäyttäjille Ok / ei vieraskäyttäjille Ok / ei vieraskäyttäjille
Erityiset henkilötiedot Vain väliaikaisesti Ei Ei Ei
Tietojen arkistointi Ei Ei Ei Ei
Tietosuoja viestinnässä
33
▪ Normaalissa sähköpostissa:
▪ Tavalliset henkilötiedot (nimi, osoite jne.)
▪ Edellytys: henkilökohtaiset postilaatikot
ja tietoturva kunnossa.
▪ Suojatussa sähköpostissa, turvapostissa tai
muussa turvallisessa viestintäkanavassa:
▪ Arkaluontoiset/erityiset henkilötiedot
▪ Salassa pidettävät tiedot ja asiakirjat
▪ Huijauksia on tavallista enemmän liikenteessä.
 Ohjeet, miten varmistaa viestien aitous?
Outlookin sähköpostin salaa-toiminto
 Voit salata Outlookissa sähköpostin valitsemalla viestin lähetyksessä Asetukset  Salaa  Salaa
 Kyse ei ole vahvasta suojauksesta, vaan turvallisuus riippuu vastaanottajasta. Jos vastaanottaja
käyttää Outlookia tai Gmailia, näin salatun sähköpostin turvallisuus on kuitenkin hyvä.
Lisätietoa: https://support.microsoft.com/fi-fi/office/lis%C3%A4tietoja-suojatuista-viesteist%C3%A4-microsoft-365-2baf3ac7-12db-40a4-8af7-1852204b4b67
34
Varmista aina vastaanottajat!
”Kaupungin mukaan kyse oli
inhimillisestä virheestä. Se johtui
Microsoftin sähköpostipalvelu Outlookin
ominaisuudesta, joka esittää
automaattisesti vastaanottajaa. Henkilö,
jolle sähköposti meni, oli oikean
vastaanottajan täyskaima.
--
Aineisto sisälsi 1 143 henkilöstä tietoina
nimen, henkilötunnuksen ja
henkilönumeron. ”
Lähde: Yle, 17.3.2023, https://yle.fi/a/74-20022944
35
Tietosuoja etäkokouksissa ja muissa yhteistyösovelluksissa
36
 Käytä vain organisaation sallimia sovelluksia.
 Toimita kutsu henkilökohtaisesti osallistujille.
 Informoi osallistujia henkilötietojen käsittelystä.
 Varmista huoneessa olijoiden henkilöllisyys.
 Käsiteltävät henkilötiedot ja asiat riippuvat
osallistujien työtehtävistä.
 Varmista esittäjien osaaminen etukäteen.
 Kerro etukäteen, jos kokous tallennetaan, ja
näkyvätkö tallenteessa osallistujien nimet ja chat.
 Kotoa osallistuvat: ei sivullisia kuulolla, videon ja
mikrofonin käyttö kotirauhan alueella perustuu
vapaaehtoisuuteen.
 Lopuksi: päätä kokous, tyhjennä tai sulje huone.
 Suojaa tallenne ja huolehdi sen tietosuojasta.
Ohjeita Teams-kokouksen esittäjälle
37
▪ Valitse rauhallinen paikka: ei sivullisia kuulolle.
▪ Jos mahdollista, käytä toista näyttöä
ruudunjakoon.
▪ Sulje kaikki muut ohjelmat kuin ne, mitä aiot
näyttää ruudunjaossa. Erityisesti ohjelmat,
joissa on henkilötietoja (mm. sähköpostit).
▪ Valmistele sovellukset ja tiedostot, joita aiot
käyttää ruudunjaossa.
▪ Windowsissa voit luoda uuden työpöydän,
johon avaat valmiiksi ruudunjaossa
käytettävät sovellukset. (Win+Tab)
▪ Jos käytät samalla laitteella muita
viestintäsovelluksia, laita niiden ilmoitukset
pois päältä esim. asettamalla tilaksi ”varattu”.
Pilvipalvelut tiedostojen säilytyksessä ja jakamisessa
 Tarkista rekisterinpitäjän ohjeistus:
 1) mitä pilvipalveluita saa käyttää
 2) mitä tietoja pilveen on sallittua tallentaa
 3) saako tiedot synkronoida omille laitteille
 Huolehdi työtehtävien mukaisista
käyttöoikeuksista/jakamisesta.
 Älä jaa henkilötietoja sisältäviä tiedostoja
ulkopuolisille ilman suostumusta tai muuta
perustetta.
Kuvan lähde: GoodFirms , 2020, Usage & Trends of Personal Cloud Storage, https://www.goodfirms.co/resources/personal-cloud-storage-trends (N=648, vastaajat useista maista)
38
Office-tiedostojen jakaminen valituille käyttäjille ja ryhmille
 Mieti ennen jakamista, kenelle saat jakaa
tiedoston sisältämiä henkilötietoja!
 Jaa: jako tietyille henkilöille, ryhmille ja/tai
sähköpostiosoitteille (ulkoinen)
 Oletuksena kutsumasi käyttäjät voivat muokata
tiedostoa. Voit muuttaa asetusta klikkaamalla.
39
Office-tiedostojen jakaminen linkillä kenelle tahansa
 Mieti ennen jakamista, kenelle saat jakaa tiedoston sisältämiä henkilötietoja!
 Kopioi linkki: jako kenelle tahansa, jolle lähetät linkin.
 Linkkiä voidaan jakaa eteenpäin, jolloin kuka tahansa linkin saanut voi käyttää sitä.
 Älä jaa mitään henkilötietoja sisältäviä tietoja tällä tavalla!
 Oletuksena linkin saaneet voivat muokata tiedostoa. Voit muuttaa asetusta klikkaamalla.
40
Officen jakamisasetukset: jakolinkin luominen tietyillä oikeuksilla
 Kaikkien kanssa: kuka tahansa linkin saanut, myös
organisaation ulkopuoliset
 Yrityksen … henkilöt: edellyttää kirjautumista
organisaation käyttäjätunnuksella
 Käyttäjät, joilla on jo käyttöoikeus: linkin lähetys
uudestaan niille, joilla on jo käyttöoikeus
 Valitsemasi henkilöt: valitut käyttäjät, ryhmät ja
sähköpostiosoitteet
 Voi muokata / Voi tarkastella: valinnan mukaan
muokkausoikeus tai pelkkä lukuoikeus
 DD.MM.YYYY: mihin päivään asti jako on voimassa
 Määritä salasana: voit antaa salasanan, jota ilman
dokumentti ei aukea linkistä
 Estä lataaminen: voit estää tiedoston lataamisen
(ei estä tietojen kopiointia ruudulta)
 Vinkki: testaa jakolinkin toiminta itse esim. toisessa
selaimessa ennen kuin lähetät sen muille.
Lisätietoa: https://support.microsoft.com/fi-fi/office/tiedostojen-kansioiden-ja-luettelokohteiden-jakaminen-74cab0bf-39c6-4112-a63f-88ee121722d0
41
Mistä tietää, mitkä dokumentit ja tiedostot on jaettu muille?
 Kun olet avannut dokumentin, Jaa-nappi yläreunassa ilmaisee, onko se jaettu vai ei.
 Officen aloitussivulta löydät jaetut tiedostot Jaettu-napista.
 OneDrivessä löydät jaetut tiedostot vasemman valikon Jaettu-kohdasta.
Lisätietoa: https://support.microsoft.com/fi-fi/office/tiedostojen-kansioiden-ja-luettelokohteiden-jakaminen-74cab0bf-39c6-4112-a63f-88ee121722d0
42
Ei ole jaettu On jaettu
Kokonaisen OneDrive-kansion jakaminen
 Aluksi: luo kansio OneDrivessä ja siirrä kaikki jaettavat tiedostot sinne
 Jaa: jako tietyille henkilöille, ryhmille ja/tai sähköpostiosoitteille (ulkoinen)
 Kopioi linkki: jako kenelle tahansa, jolle lähetät linkin.
 Jos lisäät kansioon uusia tiedostoja, myös ne aukeavat aiemmin tehdyn jakolinkin kautta.
 Älä jaa kansion kautta henkilötietoja ulkopuolisille tai niille, joiden tehtäviin ne eivät kuulu!
Lisätietoa: https://support.microsoft.com/fi-fi/office/tiedostojen-kansioiden-ja-luettelokohteiden-jakaminen-74cab0bf-39c6-4112-a63f-88ee121722d0
43
Harkitse ennen kuin jaat!
44
MITÄ? MITEN? RISKIT?
Yksi dokumentti/tiedosto
Jako yhdelle oman
organisaation käyttäjälle
Turvallisin vaihtoehto
Yksi dokumentti/tiedosto Jako usealle oman
organisaation käyttäjälle
Lähes yhtä turvallinen vaihtoehto
Yksi dokumentti/tiedosto Jako oman
organisaation ryhmälle
Turvallinen, jos ryhmä on tehty juuri kyseisten tietojen
jakamiseen.
Yksi dokumentti/tiedosto Jako ulkopuolisille
linkillä
Ei ole turvallinen henkilötietojen ja salassa pidettävien
tietojen jakamiseen.
Jaa linkillä vain julkisia tietoja.
Kokonainen OneDrive-
kansio
Jako oman
organisaation käyttäjille
Turvallinen, jos kansio on tehty juuri kyseisten
tietojen jakamiseen.
Kokonainen OneDrive-
kansio
Jako oman
organisaation ryhmälle
Altis liian laajalle jakamiselle eli tietojen päätymiselle
työntekijöille, joille ne eivät kuulu.
Kokonainen OneDrive-
kansio
Jako ulkopuolisille
linkillä
Kaikkein turvattomin: altis tietojen vuodolle
ulkopuolisille
Excelin salasanasuojaus
”Opettaja oli vienyt tiedot
oppimisalustalle Excel-tiedostona siten,
että henkilöiden nimet sisältävä sarake
oli piilotettu salasanan taakse.
Itä-Suomen yliopiston oikeustieteiden
laitoksen johtaja Matti Turtiasen mukaan
salasanasuojauksen toimivuus oli
tarkistettu erikseen Excelissä.
– Opettajalle tuli kuitenkin yllätyksenä,
että salasanasuojaus ei toimi, jos
tiedosto avataan Google-sovellusten
avulla.”
Lähde: Yle, 19.4.2021, https://yle.fi/a/3-11884988
45
Älä luota Excelin salasanasuojaukseen!
 Vasemmalla: Excelissä on piilotettu sarakkeet B, C ja D sekä kytketty salasanasuojaus päälle
 Oikealla: Kun tiedoston tuo Google Driveen, sarakkeet saa näkyville (salasanaa ei tarvita)
46
Kysymys: henkilötietojen kerääminen pilvipalveluihin
47
 Pilvipalvelujen tarjoajat ovat henkilötietojen käsittelijöitä. Vastuu niiden käytöstä on
rekisterinpitäjällä.
 Käytä henkilötietojen tallentamiseen ja keräämiseen vain rekisterinpitäjän hyväksymiä
pilvipalveluita. Noudata rekisterinpitäjän ohjeistusta, mitä tietoja saa tallentaa pilveen.
 Pilvipalveluissa on pidettävä huolta, että käyttäjätunnukset ovat henkilökohtaisia ja
pääsyoikeudet henkilötietoihin on määritelty työtehtävien mukaisesti.
 Jos Office 365:n Forms-lomakkeella tai tiedostopyynnöllä kerätään henkilötietoja,
tietosuojaseloste tulee toimittaa etukäteen rekisteröidyille tai linkittää lomakkeelle, jotta
rekisteröidyt voivat tutustua siihen.
• Saako henkilötietorekisteriä kerätä pilvipalveluun, esimerkiksi organisaation
0ffice 365:een?
• Voiko Office.com:in lomakkeita käyttää henkilötietojen keräämiseen?
Tietojen kerääminen Forms-lomakkeella
 Laita tietosuojaselosteen linkki lomakkeen alun tekstiin.
 Lähetä lomakkeen linkki suoraan vastaanottajille.
 Jos et todella tarvitse vastaajien nimiä, poista ”Tallenna nimi” –kohdan ruksi.
48
Tiedostojen pyytäminen OneDrive-kansioon
 Tiedostopyyntö on turvallinen keino vastaanottaa tiedostoja.
 Aluksi: Luo OneDrive-kansio  valitse se  ”Pyydä tiedostoja”
 Kopioi linkki tai lähetä tiedostopyyntö tietyille käyttäjille,
ryhmille ja/tai sähköpostiosoitteille.
 Pidä vastaanotetut tiedostot tallessa, älä jaa niitä ulkopuolisille!
 Vinkki: lähettämäsi tiedostopyynnöt ja sinulle lähetetyt
tiedostot tallentuvat myös Outlookiin sähköposteina.
Lisätietoa: https://support.microsoft.com/fi-fi/office/tiedostopyynn%C3%B6n-luominen-f54aa7f8-2589-4421-b351-d415fc3b83af
49
Tiedostopyyntö vastaanottajan näkökulmasta
 Vinkki: kokeile lähettää tiedostopyyntö ensin itsellesi, niin näet, miten se toimii.
 Ohjeista tarvittaessa vastaanottajaa, miten tunnistaa sinulta tuleva tiedostopyyntö.
50
Office 365:n ryhmät ja vieraskäyttäjät
Miten ryhmiä kannattaa luoda?
 Koska Office 365 -ryhmiä kannattaa niitä luoda sen mukaan, miten organisaatiossa
yleensä käytetään Office 365:ttä.
1. Jos organisaatiosi käyttää suurimman osan viestinnästään sähköpostitse, opasta käyttäjiä
luomaan ryhmiä Outlookissa.
2. Jos organisaatiosi käyttää paljon SharePointia, opasta käyttäjiä luomaan SharePoint-
työryhmäsivustoja yhteistyötä varten.
3. Jos organisaatiosi on ottanut Teamsin käyttöön, opasta käyttäjiäsi luomaan tiimi, kun he
tarvitsevat yhteistyötilaa.
Lähde: https://learn.microsoft.com/fi-fi/microsoft-365/admin/create-groups/explain-groups-knowledge-worker?view=o365-worldwide
https://support.microsoft.com/fi-fi/office/lis%C3%A4tietoja-microsoft-365-ryhmist%C3%A4-b565caa1-5c40-40ef-9915-60fdb2d97fa2
52
Office 365 -ryhmien tietosuoja
 Ryhmät luodaan Office 365 admin centerissä (järjestelmänvalvoja ja muut, joille on
annettu oikeudet luoda ryhmiä)
 Julkinen: käyttäjät voivat liittyä ilman omistajan hyväksyntää. Näytetään hakutuloksissa ja
käytettävissä olevien tiimien luettelossa, johon voit liittyä.
 Yksityinen: käyttäjät voivat liittyä vain, jos omistaja on lisännyt heidät. Ne eivät näy
hakutuloksissa tai liityttävissä olevien tiimien luettelossa.
53
Office 365 –ryhmien käyttäjien roolit
 Järjestelmänvalvojat: Voivat luoda uusia ryhmiä ja muuttaa ryhmien asetuksia.
 Omistajat: Ryhmän omistajat voivat lisätä tai poistaa jäseniä, ja heillä voi olla yksilöllisiä
käyttöoikeuksia, kuten mahdollisuus poistaa keskusteluja jaetusta Saapuneet-kansiosta
tai muuttaa ryhmän eri asetuksia. Ryhmän omistajat voivat nimetä ryhmän uudelleen,
päivittää kuvauksen tai kuvan ja paljon muuta.
 Jäsenet: Jäsenet voivat käyttää kaikkea ryhmän osaa, mutta eivät voi muuttaa ryhmän
asetuksia. Ryhmän jäsenet voivat oletusarvoisesti kutsua vieraita liittymään ryhmään.
 Vieraat eli vieraskäyttäjät: Ryhmän vieraat ovat jäseniä, jotka ovat organisaatiosi
ulkopuolisia käyttäjiä.
Lähde: https://learn.microsoft.com/fi-FI/microsoft-365/admin/create-groups/office-365-groups?view=o365-worldwide
54
Ryhmien vieraskäyttäjät
 Oletuksena Microsoft 365 -ryhmien vieraskäyttö on sallittuna.
 Järjestelmänvalvojat voivat määrittää, sallitaanko vieraskäyttö ryhmille koko
organisaatiolle vai yksittäisille ryhmille.
 Järjestelmänvalvoja voi muuttaa asetusta kohdasta Organisaatio  Suojaus ja tietosuoja
 Jakaminen  ”Salli käyttäjien lisätä uusia vieraita organisaatioon”
 Kun vieraskäyttö on sallittu, ryhmän jäsenet voivat kutsua vieraita Microsoft 365 -ryhmiin
mm. Teamsin kautta.
 Jos joku muu kuin omistaja lisää vieraskäyttäjiä ryhmiin, kutsut lähetetään ryhmän
omistajalle hyväksyttäväksi.
Lisätietoa: https://learn.microsoft.com/fi-fi/microsoft-365/admin/create-groups/manage-guest-access-in-groups?view=o365-worldwide
55
Teams-ryhmät eli tiimit
 Suunnittele etukäteen, millaisia
tiimejä luot Teamsiin
 Yleensä General-kanava riittää
 Luo lisäkanavia, kun tarvitset niitä
esimerkiksi tiedon järjestämistä
varten tai pienryhmien
työskentelyyn
 Huomaa, että tiimin tiedostot ovat
käytettävissä myös SharePoint-
sivustolla sekä OneDrivessä
56
Alustat
Kanavat
Teams-
ryhmät
Ryhmä 1
General
Viestit
Kokoukset
Tiedostot
SharePoint-
sivusto
Muut
sovellukset
Kanava 1
Viestit
Tiedostot
SharePoint-
sivusto
Kanavien lisääminen Teamsin tiimeihin
 Valitse kanavan yksityisyys tarkoituksen mukaan: suunnittele, mitä henkilö- ja muita tietoja
kanavassa on tarkoitus käsitellä.
57
Jäsenten lisääminen Teamsin tiimeihin
 Voit lisätä Teamsiin uusia jäseniä kirjoittamalla mm. kutsuttavien nimet tai ulkopuolisten
sähköpostiosoitteet (=vieraskäyttäjiä).
 Varmista aina ensin, ettei tiimiin ole tallennettu tietoja, jotka eivät kuulu uusille jäsenille.
58
Kysymys: Teamsin käyttö hankkeissa
59
 Rekisterinpitäjän tulee suunnitella henkilötietojen käsittely etukäteen. Tähän sisältyy mm.
riskiarviointi, suojatoimenpiteet ja informointivelvollisuudesta huolehtiminen.
 Selvitä, muodostaako Teamsiin luotava tiimi uuden rekisterin vai sisältyykö se johonkin
olemassa olevaan rekisteriin. Kysy tarvittaessa apua organisaation tietosuojavastaavalta.
 Teamsin sisäiset tiimit liittyvät organisaation henkilöstörekisteriin.
 Teamsin tiimit, joihin kutsutaan organisaation ulkopuolisia, ovat esimerkiksi:
 Asiakasrekistereitä
 Yhteistyökumppaneiden rekistereitä
 Hankkeiden osallistujien rekistereitä
 Oikeusperusteena voi olla rekisterinpitäjän oikeutettu etu, sopimus tai suostumus.
 Linkitä tietosuojaseloste Teamsiin ja/tai lähetä se etukäteen Teamsiin liittyville.
• Pitäisikö Teamsiin liittymisen yhteydessä pyytää suostumus, että henkilön nimi
ja yhteystiedot voidaan jakaa muiden tiimissä olevien kesken?
• Voidaanko lähteä siitä, että hankkeen Teamsiin ei voi liittyä anonyymisti?
Liittyminen vieraskäyttäjänä toisen organisaation Office 365-ympäristöön
 Varmista ennen kirjautumista, että kutsu toiseen organisaatioon on aito. Varo huijauksia!
60
Ajankohtaisia tietoturvariskejä
Huijauspuhelut Microsoftin nimissä
▪ Tavoitteena saada käyttäjätunnus haltuun.
▪ Huijauspuhelu voi tulla myös suomalaisesta
numerosta.
▪ Huijarit esiintyvät yleisimmin Microsoftin IT-
tukihenkilöinä.
▪ Huijaukseen voi liittyä myös sähköposteja,
tekstiviestejä ja tietojenkalastelusivuja.
▪ Microsoftin tutkimuksen mukaan puolet
Suomessa asuvista aikuisista oli altistunut
IT-tukihuijauksille (2021).
▪ 12 % oli ensin jatkanut keskustelua huijarin
kanssa, mutta lopettanut sitten.
▪ 3 % vastaajista oli menettänyt rahaa.
62
Lähde: Mtv, 5.8.2021, https://www.mtvuutiset.fi/artikkeli/karu-tulos-jo-puolet-suomalaisista-saanut-hamaran-microsoft-huijauspuhelun-nain-montaa-vedettiin-nenasta/8205906
Huijaus- ja tietojenkalasteluviestit
63
1. Älä luota sähköpostin tai
tekstiviestin lähettäjän nimeen
tai osoitteeseen/numeroon.
2. Älä koskaan avaa yllätyksenä
tullutta liitetiedostoa.
3. Tarkista linkki esim. viemällä hiiri
sen päälle.
4. Anna tietojasi vain varmasti
luotettaville tahoille.
5. Jos epäilet huijausta, tarkista
aitous muuta kautta
Varo: Office 365 -huijaukset ovat yleisiä!
 Rikolliset pyrkivät tietojenkalastelusivun avulla saamaan haltuunsa käyttäjätunnuksia,
joilla he voivat päästä käsiksi luottamuksellisiin tietoihin kuten lähetettyihin laskuihin.
 Murretuilla tunnuksilla voidaan lähettää esim. ”korjattuja” huijauslaskuja.
Lähde: Viestintävirasto, 2019,
https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/uusin-microsoft-office-365-huijaus-ohjaa-uhrin-murretulle-sharepoint-tilille
64
Tietoturvaloukkaus
65
Tarkoitetaan henkilötietojen…
 vahingossa tapahtuvaa tai lainvastaista
tuhoamista
 häviämistä
 muuttamista
 luvatonta luovuttamista tai pääsyä tietoihin
Rekisterinpitäjällä on velvollisuus ilmoittaa 72
tunnin kuluessa tietoturvaloukkauksesta
tietosuojaviranomaiselle ja lisäksi
rekisteröidylle, jos siitä aiheutuu korkea riski.
Henkilötietojen käsittelijän on ilmoitettava
loukkauksesta rekisterinpitäjälle viipymättä.
Tietosuojarikkomukseen reagointi
1. Vahingon sattuessa tai tullessa esiin: rauhoitu. Onko jotain, mitä voit tehdä
välittömästi vähentääksesi seurauksia?
2. Kerro lähimmälle esimiehelle ja/tai tietosuojavastaavalle.
3. Aloita tiedonkeruu tapauksesta. Kirjaa ylös, mitä tapahtui. Ensikäden
havainnoista on hyötyä jatkotutkinnalle.
4. Pyri rajaamaan, keistä henkilöistä ja mistä tiedoista on kyse: nimet, tunnisteet,
yhteystiedot, arkaluontoiset ja salassa pidettävät jne.
Rekisterinpitäjä ja tietosuojavastaava:
 Ilmoita TSV:lle: https://tietosuoja.fi/ilmoitus-tietoturvaloukkauksesta
 Ilmoita Kyberturvallisuuskeskukselle: https://www.kyberturvallisuuskeskus.fi/fi/ilmoita
 Ilmoita rekisteröidyille, jos heihin kohdistuu todennäköisesti korkea riski.
 Anna ohjeita, miten välttää ikäviä seurauksia.
66
67
Kysymyksiä tai
kommentteja?
Yhteystiedot
Harto Pönkä
0400500315
@hponka
harto.ponka@innowise.fi
https://www.innowise.fi/
Kiitos!

More Related Content

What's hot

Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäTietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäHarto Pönkä
 
Tietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaHarto Pönkä
 
Evästystä evästeiden käyttöön
Evästystä evästeiden käyttöönEvästystä evästeiden käyttöön
Evästystä evästeiden käyttöönHarto Pönkä
 
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaSosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaHarto Pönkä
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaHarto Pönkä
 
Tietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaTietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaHarto Pönkä
 
Tietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössäTietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössäHarto Pönkä
 
Henkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHarto Pönkä
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaHarto Pönkä
 
Tietosuoja opetuksessa
Tietosuoja opetuksessaTietosuoja opetuksessa
Tietosuoja opetuksessaHarto Pönkä
 
Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaHarto Pönkä
 
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetDigiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetHarto Pönkä
 
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­kiTyö­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­kiHarto Pönkä
 
Tietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussaTietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussaHarto Pönkä
 
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttöTietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttöHarto Pönkä
 
LinkedInin käyttö rekrytoinnissa
LinkedInin käyttö rekrytoinnissaLinkedInin käyttö rekrytoinnissa
LinkedInin käyttö rekrytoinnissaHarto Pönkä
 
Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Harto Pönkä
 
Tietosuoja ja luvat arjen varhaiskasvatustyössä
Tietosuoja ja luvat arjen varhaiskasvatustyössäTietosuoja ja luvat arjen varhaiskasvatustyössä
Tietosuoja ja luvat arjen varhaiskasvatustyössäHarto Pönkä
 
GDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaGDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaHarto Pönkä
 
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotInformaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotHarto Pönkä
 

What's hot (20)

Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäTietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
 
Tietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussa
 
Evästystä evästeiden käyttöön
Evästystä evästeiden käyttöönEvästystä evästeiden käyttöön
Evästystä evästeiden käyttöön
 
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaSosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
 
Tietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaTietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteella
 
Tietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössäTietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössä
 
Henkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminen
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
 
Tietosuoja opetuksessa
Tietosuoja opetuksessaTietosuoja opetuksessa
Tietosuoja opetuksessa
 
Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmasta
 
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetDigiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
 
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­kiTyö­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
 
Tietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussaTietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussa
 
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttöTietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö
 
LinkedInin käyttö rekrytoinnissa
LinkedInin käyttö rekrytoinnissaLinkedInin käyttö rekrytoinnissa
LinkedInin käyttö rekrytoinnissa
 
Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?
 
Tietosuoja ja luvat arjen varhaiskasvatustyössä
Tietosuoja ja luvat arjen varhaiskasvatustyössäTietosuoja ja luvat arjen varhaiskasvatustyössä
Tietosuoja ja luvat arjen varhaiskasvatustyössä
 
GDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaGDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessa
 
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotInformaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
 

Similar to Tietoturva ja tietosuoja Office 365 -palveluissa

Tietosuoja etätyössä
Tietosuoja etätyössäTietosuoja etätyössä
Tietosuoja etätyössäHarto Pönkä
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaHarto Pönkä
 
Yksityisyys on kuollut - Eläköön yksityisyys
Yksityisyys on kuollut - Eläköön yksityisyysYksityisyys on kuollut - Eläköön yksityisyys
Yksityisyys on kuollut - Eläköön yksityisyysJyrki Kasvi
 
Henkilötiedot, tietosuoja ja GDPR opetuksessa
Henkilötiedot, tietosuoja ja GDPR opetuksessaHenkilötiedot, tietosuoja ja GDPR opetuksessa
Henkilötiedot, tietosuoja ja GDPR opetuksessaHarto Pönkä
 
Tietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessaTietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessaHarto Pönkä
 
GDPR, GDPR, vaan mikä se on se GDPR
GDPR, GDPR, vaan mikä se on se GDPRGDPR, GDPR, vaan mikä se on se GDPR
GDPR, GDPR, vaan mikä se on se GDPRJyrki Kasvi
 
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPROppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPRHarto Pönkä
 
Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...
Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...
Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...Accountor Enterprise Solutions Oy
 
Mitä muutoksia GDPR vaatii CRM- ja ERP-järjestelmiin -webinaari 20.3.2018 (Ac...
Mitä muutoksia GDPR vaatii CRM- ja ERP-järjestelmiin -webinaari 20.3.2018 (Ac...Mitä muutoksia GDPR vaatii CRM- ja ERP-järjestelmiin -webinaari 20.3.2018 (Ac...
Mitä muutoksia GDPR vaatii CRM- ja ERP-järjestelmiin -webinaari 20.3.2018 (Ac...Accountor Enterprise Solutions Oy
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaHarto Pönkä
 
GDPR, GDPR, vaan mikä se on se GDPR
GDPR, GDPR, vaan mikä se on se GDPRGDPR, GDPR, vaan mikä se on se GDPR
GDPR, GDPR, vaan mikä se on se GDPRJyrki Kasvi
 
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...Jan Lindberg
 
Tietosuoja opetustoimessa
Tietosuoja opetustoimessaTietosuoja opetustoimessa
Tietosuoja opetustoimessaHarto Pönkä
 
EU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessaEU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessaHarto Pönkä
 
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...Eetu Uotinen
 
Tietosuoja sosiaalisessa mediassa
Tietosuoja sosiaalisessa mediassaTietosuoja sosiaalisessa mediassa
Tietosuoja sosiaalisessa mediassaHarto Pönkä
 
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaTietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaHarto Pönkä
 
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessaTietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessaHarto Pönkä
 

Similar to Tietoturva ja tietosuoja Office 365 -palveluissa (20)

Tietosuoja etätyössä
Tietosuoja etätyössäTietosuoja etätyössä
Tietosuoja etätyössä
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
 
Gradia GDPR intro
Gradia GDPR introGradia GDPR intro
Gradia GDPR intro
 
Yksityisyys on kuollut - Eläköön yksityisyys
Yksityisyys on kuollut - Eläköön yksityisyysYksityisyys on kuollut - Eläköön yksityisyys
Yksityisyys on kuollut - Eläköön yksityisyys
 
Yksityisyys on kuollut - eläköön yksityisyys!
Yksityisyys on kuollut - eläköön yksityisyys!Yksityisyys on kuollut - eläköön yksityisyys!
Yksityisyys on kuollut - eläköön yksityisyys!
 
Henkilötiedot, tietosuoja ja GDPR opetuksessa
Henkilötiedot, tietosuoja ja GDPR opetuksessaHenkilötiedot, tietosuoja ja GDPR opetuksessa
Henkilötiedot, tietosuoja ja GDPR opetuksessa
 
Tietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessaTietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessa
 
GDPR, GDPR, vaan mikä se on se GDPR
GDPR, GDPR, vaan mikä se on se GDPRGDPR, GDPR, vaan mikä se on se GDPR
GDPR, GDPR, vaan mikä se on se GDPR
 
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPROppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
 
Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...
Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...
Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...
 
Mitä muutoksia GDPR vaatii CRM- ja ERP-järjestelmiin -webinaari 20.3.2018 (Ac...
Mitä muutoksia GDPR vaatii CRM- ja ERP-järjestelmiin -webinaari 20.3.2018 (Ac...Mitä muutoksia GDPR vaatii CRM- ja ERP-järjestelmiin -webinaari 20.3.2018 (Ac...
Mitä muutoksia GDPR vaatii CRM- ja ERP-järjestelmiin -webinaari 20.3.2018 (Ac...
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
 
GDPR, GDPR, vaan mikä se on se GDPR
GDPR, GDPR, vaan mikä se on se GDPRGDPR, GDPR, vaan mikä se on se GDPR
GDPR, GDPR, vaan mikä se on se GDPR
 
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
 
Tietosuoja opetustoimessa
Tietosuoja opetustoimessaTietosuoja opetustoimessa
Tietosuoja opetustoimessa
 
EU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessaEU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessa
 
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
 
Tietosuoja sosiaalisessa mediassa
Tietosuoja sosiaalisessa mediassaTietosuoja sosiaalisessa mediassa
Tietosuoja sosiaalisessa mediassa
 
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaTietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
 
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessaTietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa
 

More from Harto Pönkä

Tietosuoja ja informaatioturvallisuus Euroopassa
Tietosuoja ja informaatioturvallisuus EuroopassaTietosuoja ja informaatioturvallisuus Euroopassa
Tietosuoja ja informaatioturvallisuus EuroopassaHarto Pönkä
 
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatioKriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatioHarto Pönkä
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaHarto Pönkä
 
Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Harto Pönkä
 
Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Harto Pönkä
 
Some, algoritmit ja tekoäly
Some, algoritmit ja tekoälySome, algoritmit ja tekoäly
Some, algoritmit ja tekoälyHarto Pönkä
 
Tietoturva ja luotettava tieto
Tietoturva ja luotettava tietoTietoturva ja luotettava tieto
Tietoturva ja luotettava tietoHarto Pönkä
 
Sosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaHarto Pönkä
 
Juuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitHarto Pönkä
 
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinHarto Pönkä
 
Toiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaHarto Pönkä
 
Informaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaHarto Pönkä
 
Twitter taitekohdassa
Twitter taitekohdassaTwitter taitekohdassa
Twitter taitekohdassaHarto Pönkä
 
Sosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusSosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusHarto Pönkä
 
Mikä se some oikein on?
Mikä se some oikein on?Mikä se some oikein on?
Mikä se some oikein on?Harto Pönkä
 
Digikompassi ja digisivistys
Digikompassi ja digisivistysDigikompassi ja digisivistys
Digikompassi ja digisivistysHarto Pönkä
 
Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022Harto Pönkä
 
Tietoturva hybridityössä
Tietoturva hybridityössäTietoturva hybridityössä
Tietoturva hybridityössäHarto Pönkä
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaHarto Pönkä
 
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkintaEvästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkintaHarto Pönkä
 

More from Harto Pönkä (20)

Tietosuoja ja informaatioturvallisuus Euroopassa
Tietosuoja ja informaatioturvallisuus EuroopassaTietosuoja ja informaatioturvallisuus Euroopassa
Tietosuoja ja informaatioturvallisuus Euroopassa
 
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatioKriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
 
Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?
 
Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024
 
Some, algoritmit ja tekoäly
Some, algoritmit ja tekoälySome, algoritmit ja tekoäly
Some, algoritmit ja tekoäly
 
Tietoturva ja luotettava tieto
Tietoturva ja luotettava tietoTietoturva ja luotettava tieto
Tietoturva ja luotettava tieto
 
Sosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaika
 
Juuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmit
 
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
 
Toiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissa
 
Informaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessa
 
Twitter taitekohdassa
Twitter taitekohdassaTwitter taitekohdassa
Twitter taitekohdassa
 
Sosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusSosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetus
 
Mikä se some oikein on?
Mikä se some oikein on?Mikä se some oikein on?
Mikä se some oikein on?
 
Digikompassi ja digisivistys
Digikompassi ja digisivistysDigikompassi ja digisivistys
Digikompassi ja digisivistys
 
Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022
 
Tietoturva hybridityössä
Tietoturva hybridityössäTietoturva hybridityössä
Tietoturva hybridityössä
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
 
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkintaEvästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
 

Tietoturva ja tietosuoja Office 365 -palveluissa

  • 1. Tietoturva ja tietosuoja Office 365 -palveluissa 21.3.2023 Harto Pönkä Innowise Kuva: Marvin Meyer @Unsplash, 2018
  • 2. Kuva: Matthew Henry @ Unsplash Tietoturvalla suojataan kaikenlaisia tietoja ja järjestelmiä ulkopuolisten urkinnalta ja muulta vahingonteolta. Tietosuojalla suojataan ihmisten oikeutta yksityisyyteen. Siitä on kyse, jos ihminen voidaan tunnistaa tiedoista.
  • 3. GDPR = EU:n yleinen tietosuoja-asetus
  • 4. Mihin EU:n yleistä tietosuoja-asetusta (GDPR) sovelletaan? 1) Osittain tai kokonaan autom. henkilötietojen käsittelyyn  Digitaaliset asiakirjat, valokuvat, videot ja muut tiedostot  Sähköpostit, tekstiviestit  Viestintäsovellukset  Verkkopalvelut, chatit  Sosiaalisen median palvelut  Digitaaliset arkistot  Tietojen siirto rajapintojen kautta 2) Kaikkiin henkilörekistereihin  Tietojärjestelmät/tietokannat  Yhteystietoluettelot  Henkilötietojen kokoelmat  Myös manuaaliset aineistot, henkilökortistot ja vastaavat, jotka muodostavat tai joiden on tarkoitus muodostaa rekisteri 4
  • 5. Jussi Koskela 044-32132121 ABC-123 Suotie 1 192.168.13.73 Henkilötiedot = tunnistetiedot + muut henkilöön liittyvät tiedot Tunnistetiedot mahdollistavat henkilön tunnistamisen rekisterinpitäjän tai jonkun muun tahon toimesta – joko suoraan tai lisätietojen avulla. Milloin kyse on henkilötiedoista? Kaikki tiedot ovat henkilötietoja, jos ne koskevat tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä eli rekisteröityä.
  • 6. Erityiset eli arkaluontoiset henkilötiedot Erityisten henkilötietoryhmien käsittely on kielletty ilman henkilön nimenomaista suostumusta tai laista tulevaa perustetta.  rotu tai etninen alkuperä  poliittiset mielipiteet  uskonnollinen tai filosofinen vakaumus  ammattiliiton jäsenyys  terveyttä koskevat tiedot  seksuaalinen suuntautuminen tai käyttäytyminen  geneettiset ja biometriset tunnistetiedot 6 Tämä viesti sisältää: • tunnistetietoja • lain mukaan salassa pidettäviä tietoja • terveystietoja Tämän tyyppisten henkilötietojen käsittelylle tulee olla selvät ohjeet ja määritellyt järjestelmät, joissa niitä saa säilyttää. WhatsApp tuskin kuuluu niihin.
  • 7. Henkilötunnus Henkilötunnusta saa käsitellä:  Rekisteröidyn suostumuksella  Jos käsittelystä säädetään laissa  Laissa säädetyn tehtävän suorittamiseksi  Rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi, esim. työsuhteessa  Historiallista tai tieteellistä tutkimusta tai tilastointia varten Henkilötunnusta ei tule merkitä tarpeettomasti asiakirjoihin. Henkilötunnusta ei ole tarkoitettu henkilöllisyyden varmistamiseen. 7 Kuva: https://www.poliisi.fi/henkilokortti/suomen_henkilokorttien_ominaisuudet 010150-113X
  • 8. GDPR:n tietosuojaperiaatteet 8  Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys  Käyttötarkoitussidonnaisuus  Henkilötietoja saa käyttää vain alkuperäisiin ja niiden kanssa yhteensopiviin tarkoituksiin  Myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua  Tietojen minimointi  Kerätään ja käsitellään vain tarkoitukseen olennaisia henkilötietoja  Tietojen täsmällisyys  Tietojen päivittäminen, tarkistaminen, virheiden korjaus  Tietojen säilytyksen rajoittaminen  Tietoja säilytetään vain tarvittavan ajan  Tietojen eheys ja luottamuksellisuus  Suojaustoimenpiteet, käytön valvonta, varmuuskopiointi  Rekisterinpitäjän osoitusvelvollisuus Lisätietoa: Tietosuoja-asetuksen 5 artikla, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1
  • 9. Esimerkkejä käsiteltävistä henkilötiedoista 9 Tieto Henkilötiedon tyyppi Tyypillisiä riskejä Nimi Tavanomainen Nimen paljastuminen (vähäinen) Osoite ja kotikunta Tavanomainen tai salainen Salaisen osoitteen paljastuminen, suoramarkkinointi Puhelinnumero Tavanomainen tai salainen Salaisen numeron paljastuminen, huijausviestit Sähköpostiosoite Tavanomainen Käyttö spämmäykseen, tietojenkalasteluun ja murtautumisyrityksiin Henkilötunnus Tietosuojalaissa erikseen säädelty Käyttö esimerkiksi pikavippien ottoon ja verkkokaupoissa tilauksiin toisen henkilön nimissä Muu yksilöivä tunniste, esim. opiskelijanumero tai OID Tavanomainen Voidaan käyttää vahingontekoon tai urkintaan, jos paljastuu yhdessä nimen kanssa Terveydelliset tiedot, etninen tausta, vakaumus, ammattiliiton jäsenyys Erityinen henkilötieto Käyttö syrjintään ja häirintään, yksityiselämän loukkaus Taloudellinen asema, henkilökohtaiset olot, sanalliset arviot henkilön ominaisuuksista, psykologiset testit Lain mukaan salassa pidettävä tieto Käyttö syrjintään ja häirintään, yksityiselämän loukkaus
  • 10. Rekisteri 10 Rekisteri muodostuu henkilötietojen joukosta, jotka liittyvät tiettyyn käyttötarkoitukseen.
  • 11. Henkilötietojen käyttäjät ▪ ”Rekisterinpitäjä” on taho, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Jos monta tahoa tekee yhdessä kyseisen päätöksen, he ovat ”yhteisrekisterinpitäjiä”. ▪ ”Henkilötietojen käsittelijä” on luonnollinen henkilö tai oikeushenkilö, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Perusteena tulee olla sopimus henkilötietojen käsittelystä. ▪ ”Kolmas osapuoli” on muu luonnollinen henkilö tai oikeushenkilö, joilla on oikeus käsitellä henkilötietoja suoraan rekisterinpitäjän tai henkilötietojen käsittelijän välittömän vastuun alaisena. ▪ ”Vastaanottaja” on luonnollinen henkilö tai oikeushenkilö, jolle henkilötietoja luovutetaan. 11
  • 12. Rekisterinpitäjä päättää, mitä tietoja käsitellään ja miten 12 Tarkoitukset ja keinot Rekisteriin kerätyt henkilötiedot Rekisterinpitäjä(t) Rekisterinpitäjä määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Rekisterinpitäjän tulee kerätä ja käsitellä vain tarkoituksenmukaisia henkilötietoja (määrä, laatu, säilytysaika, saatavilla olo). Käsittelyn tarkoitukset ja keinot (henkilötiedot) tulee ilmetä rekisteröityjen informoinnista. Rekisteröidylle ei saa tulla sen jälkeen ”yllätyksiä”, mitä tietoja ja miten hänestä käsitellään. Oikeus- peruste
  • 13. REKIST. OIKEUDET OIKEUSPERUSTEEN MUKAAN Suostumus Sopimus Lakisääteiset velvoitteet Yleinen etu tai julkinen tehtävä Rekisterinpitäjän oikeutettu etu Elintärkeiden etujen suojaaminen Oikeus saada tietoa henkilötietojen käsittelystä Kyllä Kyllä Kyllä, ellei kyse ole laissa olevasta poikkeuksesta Kyllä, ellei kyse ole laissa olevasta poikkeuksesta Kyllä Kyllä Oikeus saada pääsy tietoihin Kyllä Kyllä Kyllä Kyllä Kyllä Kyllä Oikeus oikaista tietoja Kyllä Kyllä Kyllä Kyllä Kyllä Kyllä Oikeus poistaa tiedot Kyllä, perumalla suostumuksen Kyllä, jos tietoja ei enää tarvita sop. Ei Ei Kyllä Kyllä Oikeus rajoittaa tietojen käsittelyä Kyllä Kyllä Ei Kyllä Kyllä Kyllä Oikeus vastustaa tietojen käsittelyä Ei Ei Ei Kyllä Kyllä Ei Oikeus siirtää tiedot järjestelmästä toiseen Kyllä Kyllä Ei Ei Ei Ei Oikeus olla joutumatta autom. päätöksenteon kohteeksi ilman laillista perustetta Kyllä, mutta rekisteröity voi antaa suostumuksen automaattiseen päätöksentekoon Kyllä, paitsi jos autom. päät. on välttämätöntä sopimuksen tekoon tai täyttämiseen Kyllä, ellei kyse ole laissa olevasta poikkeuksesta Kyllä GDPR ei salli tällä perusteella automaattista päät.tekoa, jolla on merkittäviä vaikutuksia GDPR ei salli tällä perusteella automaattista päät.tekoa, jolla on merkittäviä vaikutuksia Lähteet: GDPR, Tietosuja.fi: Mitä oikeuksia rekisteröidyillä on eri tilanteissa?, 25.5.2020, https://tietosuoja.fi/rekisteroidyn-oikeudet-eri-tilanteissa, Tietosuojatyöryhmä, 2017, https://tietosuoja.fi/documents/6927448/8316711/Automaattinen+p%C3%A4%C3%A4t%C3%B6ksenteko/28ae24f4-3345-4fb2-8708-c84abd8f57b0/Automaattinen+p%C3%A4%C3%A4t%C3%B6ksenteko.pdf
  • 14. Rekisteröityjen informointi / tietosuojaseloste 14  Tunne työhösi liittyvien rekisterien käyttötarkoitukset ja noudata niitä  Älä käytä tietoja muihin kuin rekisteröidyille kerrottuihin tarkoituksiin.  Valmistaudu kertomaan rekisteröidyille, mihin tarkoitukseen ja mitä tietoja heistä käsitellään.  Älä tallenna eri tietojärjestelmiin ja verkkopalveluihin muita tietoja kuin mitä niihin on sallittua tallentaa.  Esimerkkinä Keravan kaupungin lukion asiakasrekisterin Office 365:ttä koskevat kohdat Lähde: Keravan kaupungin lukion asiakasrekisterin tietosuojaseloste, https://kerava.production.geniem.io/uploads/sites/2/2022/12/keravan_kaupungin_lukion_asiakasrekisteri.pdf (20.3.2023)
  • 15. “ ”Tietosuojasta huolehditaan, jotta jokainen tietäisi, mitä tietoja hänestä kerätään ja miten niitä voidaan käyttää.” 15
  • 17. Ohjeita henkilötietojen käsittelyyn 17 ▪ Tietoja käytetään vain oikeisiin tarkoituksiin. ▪ Työntekijä saa käsitellä vain hänen työtehtäviinsä liittyviä henkilötietoja. ▪ Työn suorittamista varten tehdyt kopiot ja tulosteet henkilötiedoista hävitetään, kun niitä ei enää tarvita. ▪ Henkilötietoja tallennetaan vain niille sallittuihin tallennuspaikkoihin ja järjestelmiin. ▪ Henkilötietoja ei näytetä tai kerrota sivullisille. ▪ Henkilötietoja ei julkaista tai luovuteta ilman suostumusta tai laista tulevaa perustetta. ▪ Tietojen säilytyksessä noudatetaan fyysistä tietoturvaa: valvotaan tiloja ja laitteita. ▪ Tietojärjestelmissä käytetään henkilökohtaisia tunnuksia ja huolehditaan käyttöoikeuksista.
  • 18. Tietosuojalaki 35 §: vaitiolovelvollisuus 18  Tietosuojalain vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa saadaan tietää henkilöiden ominaisuuksista, henkilökohtaisista oloista ja taloudellisesta asemasta.  Työnantajan vastuulla on määritellä, mitä henkilötietojen käsittelyä eri työtehtäviin kuuluu, sekä huolehtia tietojen turvallisesta säilytyksestä.  Jos rekisterinpitäjä käyttää ulkopuolisia palveluntarjoajia, sen tulee varmistua näiden vaitiolovelvollisuudesta henkilötietojen käsittelyn sopimuksella. Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050 Joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista, taloudellisesta asemasta taikka toisen liikesalaisuudesta, ei saa oikeudettomasti ilmaista sivulliselle näin saamiaan tietoja eikä käyttää niitä omaksi tai toisen hyödyksi tai toisen vahingoksi
  • 19. Henkilötietojen luovuttaminen ja julkaisu 19  Henkilötietoja voi luovuttaa ulkopuolisille taholle tai julkaista vain rekisteröidyn suostumuksella tai jos siitä on nimenomaisesti laissa säädetty.  Esimerkkejä julkaisusta:  Tiedot nettisivulla tai netissä saatavana olevassa tiedostossa (esim. jakolinkki).  Sähköpostin lähetys useille rekisteröidyille niin, että he näkevät viestin tiedoista toistensa sähköpostiosoitteet.  Suostumus on käytännössä esimerkiksi:  Lupalomakkeen tms. hyväksyntä, jossa on mainittu, että tietoja tullaan julkaisemaan  Suostumus tietojen julkaisulle tietojenkeruun lomakkeessa  Julkaisuluvat esimerkiksi kuviin ja videoihin  Suostumukset merkitään rekisteriin.  Rekisteröity voi milloin tahansa perua antamansa suostumuksen. Suostumuksen perumisesta tulee ilmoittaa myös tietojen luovutusten vastaanottajille.
  • 20. Viranomaisen henkilötietorekisterin tietojen anto  Ei koske salassa pidettäviä tietoja.  Vaikka rekisterissä olevat tiedot olisivat lain mukaan julkisia, niitä ei voi antaa kenelle tahansa.  Rekisterinpitäjän on arvioitava riskit, jos tietoja julkaistaan.  Ei tietojen massajulkaisua esimerkiksi nimi ja HETU.  Viranomaisen rekisterissä olevia henkilötietoja saa antaa, jos:  1) Kyse ei ole salassa pidettävistä tiedoista tai jokin muu laki ei estä luovutusta  2) Saajalla on oikeus käyttää kyseisiä tietoja (esim. yksityishenkilö)  Henkilötunnusta ei tule tällöinkään merkitä tarpeettomasti. Lähde: Laki viranomaisten toiminnan julkisuudesta, https://www.finlex.fi/fi/laki/ajantasa/1999/19990621 20
  • 21. Office 365 –käyttäjätunnuksen pitäminen suojassa
  • 22. Sisäänkirjautuminen Office 365:een  Tarkista netissä aina, että kirjautumisosoite on oikea. Microsoftin kirjautumislomakkeen osoite on yleensä tässä muodossa: https://login.microsoftonline.com/common/oauth2/...  Officen työpöytäsovelluksissa voit tarkistaa kirjautumisen kohdasta: Tiedosto  Tili. Lisätietoa: https://support.microsoft.com/fi-fi/office/sis%C3%A4%C3%A4nkirjautuminen-officeen-b9582171-fd1f-4284-9846-bdd72bb28426 ja https://support.microsoft.com/fi- fi/office/sis%C3%A4%C3%A4nkirjautuminen-microsoft-365-ss%C3%A4-1d646e83-1585-4278-8daf-d4a2cc0905e0 22
  • 23. Office 365:n kirjautumisen muistaminen laitteella  Verkkosovelluksiin kirjautumista ei ole yleensä suositeltavaa tallentaa.  Poikkeus: laite, joka ei ole kenenkään muun käyttäjän käytössä  suojaa laite vahvalla salasanalla! 23
  • 24. Tunnuksen ja salasanan tallennus selaimeen?  Selain saattaa kysyä, tallennetaanko salasana, kun kirjaudut johonkin verkkopalveluun.  Tunnuksia ja salasanoja ei ole suositeltavaa tallentaa selaimeen. 24
  • 25. Vahva salasana  Älä luota pelkkään salasanaan - käytä kaksivaiheista todennusta aina, kun se on mahdollista!  Mieluummin salalause kuin salasana  Mitä pitempi, sen vahvempi (yli 8 merkkiä)  Kirjaimia, numeroita ja erikoismerkkejä  Ei ole nimi, sana, päivämäärä tai muuten arvattavissa  Ei ole käytössä muualla  Vaihda salasana, jos se on vuotanut 25
  • 26. Kaksivaiheinen varmistus / monivaiheinen todentaminen (MFA)  Kaksivaiheisen tunnistamisen idea on, että käyttäjä vahvistaa kirjautumisen jollain, mitä hänellä on – kuten tekstiviestinä saapuvalla kertakäyttökoodilla tai autentikointisovelluksella.  Hyöty: hyökkääjä ei pysty kirjautumaan tunnuksella, vaikka hän olisi saanut tai keksinyt sen salasanan.  Mahdollistaa myös salasanattoman kirjautumisen.  Kaksivaiheinen tunnistus estää Microsoftin mukaan 99,9 % tunnuksiin kohdistuvista hyökkäyksistä.  Office 365:n organisaation järjestelmänvalvoja voi asettaa kaksivaiheisen pakolliseksi kaikille. *  Käyttäjille tehty Microsoftin ohje kaksivaiheisen tunnistuksen käyttöönotolle: https://support.microsoft.com/fi-fi/account- billing/kaksivaiheisen-tarkistamisen- k%C3%A4ytt%C3%A4minen-microsoft-tiliss%C3%A4- c7910146-672f-01e9-50a0-93b4585e7eb4 *) Ohje järjestelmänvalvojille, Security defaults in Azure AD: https://learn.microsoft.com/fi-fi/azure/active-directory/fundamentals/concept-fundamentals-security-defaults 26
  • 27. Microsoft Authenticator -autentikointisovellus  Microsoft Authenticator sopii hyvin Office 365:n kaksivaiheiseen varmistukseen.  Kaksi kirjautumisen varmistustapaa: 1) Vaihtuva kertakäyttökoodi 2) Hyväksy kirjautuminen –kysymys  Toimii muidenkin verkkopalvelujen kaksivaiheisen varmistuksen kanssa.  Huom. Ota palvelukohtainen palautuskoodi talteen, kun kytket varmistuksen päälle.  Android-versio Google Playssä: https://play.google.com/store/apps/detail s?id=com.azure.authenticator  iOS-versio AppStoressa: https://apps.apple.com/us/app/microsoft -authenticator/id983156458 Kuvakaappaukset: Microsoft Authenticatorin Google Play –kauppasivu (20.3.2023) Lisätietoa: https://support.microsoft.com/fi-fi/account-billing/microsoft-authenticator-sovelluksen-lataaminen-ja-asentaminen-351498fc-850a-45da-b7b6-27e523b8702a 27
  • 28. 28 Laita kone kiinni aina, kun poistut paikalta!
  • 30. Organisaatioiden sisäisesti käyttämät viestintäsovellukset Lähde: North Patrol, Digitaaliset työympäristöt 2022 -selvitys, https://intranet-ostajanopas.fi/2022/08/22/suomalaisten-organisaatioiden-digityon-valineet-2022/ (N=64 vastaajaorganisaatiota) 30
  • 31.  Todennäköisesti moni julkinen organisaatio päätyy samaan ratkaisuun kuin Kela Lähde: Kela, 27.4.2021, https://www.kela.fi/ajankohtaista-yhteistyokumppanit/- /asset_publisher/WQHcJ3JiaK7b/content/kela-ei-kasittele-salassa-pidettavia-tietoja-julkisissa-pilvipalveluissa (uutinen on sittemmin poistettu netistä) 31
  • 32. Tietojen tallennus Office 365:n pilvipalveluun (ohjeellinen) 32 Huom. taulukko on esimerkinomainen, tarkista aina rekisterinpitäjän tekemät linjaukset! Outlook OneDrive ja Office- verkkosovellukset Teams-tiimit/ryhmät SharePoint-sivustot Käyttötarkoitus Henkilökohtainen kalenteri- ja sähköpostipalvelu Henkilökohtainen tallennustila Jaetut kansiot ja tiedostot Sisäinen yhteistyö Yhteistyö ulkopuolisten kanssa esim. hankkeissa ja projekteissa Sisäiset sivustot (intranet) Yhteistyö ulkopuolisten kanssa (extranet) Julkiset tiedot ja asiakirjat Ok Ok Ok Ok Ei-julkiset tiedot ja asiakirjat Ok Ok Ok / ei vieraskäyttäjille Ok / ei vieraskäyttäjille Viranomaisen lain mukaan salassa pidettävät tiedot ja asiakirjat Vain väliaikaisesti Vain väliaikaisesti Vain väliaikaisesti / ei vieraskäyttäjille Vain väliaikaisesti / ei vieraskäyttäjille Tavanomaiset henkilötiedot Ok Ok / ei vieraskäyttäjille Ok / ei vieraskäyttäjille Ok / ei vieraskäyttäjille Erityiset henkilötiedot Vain väliaikaisesti Ei Ei Ei Tietojen arkistointi Ei Ei Ei Ei
  • 33. Tietosuoja viestinnässä 33 ▪ Normaalissa sähköpostissa: ▪ Tavalliset henkilötiedot (nimi, osoite jne.) ▪ Edellytys: henkilökohtaiset postilaatikot ja tietoturva kunnossa. ▪ Suojatussa sähköpostissa, turvapostissa tai muussa turvallisessa viestintäkanavassa: ▪ Arkaluontoiset/erityiset henkilötiedot ▪ Salassa pidettävät tiedot ja asiakirjat ▪ Huijauksia on tavallista enemmän liikenteessä.  Ohjeet, miten varmistaa viestien aitous?
  • 34. Outlookin sähköpostin salaa-toiminto  Voit salata Outlookissa sähköpostin valitsemalla viestin lähetyksessä Asetukset  Salaa  Salaa  Kyse ei ole vahvasta suojauksesta, vaan turvallisuus riippuu vastaanottajasta. Jos vastaanottaja käyttää Outlookia tai Gmailia, näin salatun sähköpostin turvallisuus on kuitenkin hyvä. Lisätietoa: https://support.microsoft.com/fi-fi/office/lis%C3%A4tietoja-suojatuista-viesteist%C3%A4-microsoft-365-2baf3ac7-12db-40a4-8af7-1852204b4b67 34
  • 35. Varmista aina vastaanottajat! ”Kaupungin mukaan kyse oli inhimillisestä virheestä. Se johtui Microsoftin sähköpostipalvelu Outlookin ominaisuudesta, joka esittää automaattisesti vastaanottajaa. Henkilö, jolle sähköposti meni, oli oikean vastaanottajan täyskaima. -- Aineisto sisälsi 1 143 henkilöstä tietoina nimen, henkilötunnuksen ja henkilönumeron. ” Lähde: Yle, 17.3.2023, https://yle.fi/a/74-20022944 35
  • 36. Tietosuoja etäkokouksissa ja muissa yhteistyösovelluksissa 36  Käytä vain organisaation sallimia sovelluksia.  Toimita kutsu henkilökohtaisesti osallistujille.  Informoi osallistujia henkilötietojen käsittelystä.  Varmista huoneessa olijoiden henkilöllisyys.  Käsiteltävät henkilötiedot ja asiat riippuvat osallistujien työtehtävistä.  Varmista esittäjien osaaminen etukäteen.  Kerro etukäteen, jos kokous tallennetaan, ja näkyvätkö tallenteessa osallistujien nimet ja chat.  Kotoa osallistuvat: ei sivullisia kuulolla, videon ja mikrofonin käyttö kotirauhan alueella perustuu vapaaehtoisuuteen.  Lopuksi: päätä kokous, tyhjennä tai sulje huone.  Suojaa tallenne ja huolehdi sen tietosuojasta.
  • 37. Ohjeita Teams-kokouksen esittäjälle 37 ▪ Valitse rauhallinen paikka: ei sivullisia kuulolle. ▪ Jos mahdollista, käytä toista näyttöä ruudunjakoon. ▪ Sulje kaikki muut ohjelmat kuin ne, mitä aiot näyttää ruudunjaossa. Erityisesti ohjelmat, joissa on henkilötietoja (mm. sähköpostit). ▪ Valmistele sovellukset ja tiedostot, joita aiot käyttää ruudunjaossa. ▪ Windowsissa voit luoda uuden työpöydän, johon avaat valmiiksi ruudunjaossa käytettävät sovellukset. (Win+Tab) ▪ Jos käytät samalla laitteella muita viestintäsovelluksia, laita niiden ilmoitukset pois päältä esim. asettamalla tilaksi ”varattu”.
  • 38. Pilvipalvelut tiedostojen säilytyksessä ja jakamisessa  Tarkista rekisterinpitäjän ohjeistus:  1) mitä pilvipalveluita saa käyttää  2) mitä tietoja pilveen on sallittua tallentaa  3) saako tiedot synkronoida omille laitteille  Huolehdi työtehtävien mukaisista käyttöoikeuksista/jakamisesta.  Älä jaa henkilötietoja sisältäviä tiedostoja ulkopuolisille ilman suostumusta tai muuta perustetta. Kuvan lähde: GoodFirms , 2020, Usage & Trends of Personal Cloud Storage, https://www.goodfirms.co/resources/personal-cloud-storage-trends (N=648, vastaajat useista maista) 38
  • 39. Office-tiedostojen jakaminen valituille käyttäjille ja ryhmille  Mieti ennen jakamista, kenelle saat jakaa tiedoston sisältämiä henkilötietoja!  Jaa: jako tietyille henkilöille, ryhmille ja/tai sähköpostiosoitteille (ulkoinen)  Oletuksena kutsumasi käyttäjät voivat muokata tiedostoa. Voit muuttaa asetusta klikkaamalla. 39
  • 40. Office-tiedostojen jakaminen linkillä kenelle tahansa  Mieti ennen jakamista, kenelle saat jakaa tiedoston sisältämiä henkilötietoja!  Kopioi linkki: jako kenelle tahansa, jolle lähetät linkin.  Linkkiä voidaan jakaa eteenpäin, jolloin kuka tahansa linkin saanut voi käyttää sitä.  Älä jaa mitään henkilötietoja sisältäviä tietoja tällä tavalla!  Oletuksena linkin saaneet voivat muokata tiedostoa. Voit muuttaa asetusta klikkaamalla. 40
  • 41. Officen jakamisasetukset: jakolinkin luominen tietyillä oikeuksilla  Kaikkien kanssa: kuka tahansa linkin saanut, myös organisaation ulkopuoliset  Yrityksen … henkilöt: edellyttää kirjautumista organisaation käyttäjätunnuksella  Käyttäjät, joilla on jo käyttöoikeus: linkin lähetys uudestaan niille, joilla on jo käyttöoikeus  Valitsemasi henkilöt: valitut käyttäjät, ryhmät ja sähköpostiosoitteet  Voi muokata / Voi tarkastella: valinnan mukaan muokkausoikeus tai pelkkä lukuoikeus  DD.MM.YYYY: mihin päivään asti jako on voimassa  Määritä salasana: voit antaa salasanan, jota ilman dokumentti ei aukea linkistä  Estä lataaminen: voit estää tiedoston lataamisen (ei estä tietojen kopiointia ruudulta)  Vinkki: testaa jakolinkin toiminta itse esim. toisessa selaimessa ennen kuin lähetät sen muille. Lisätietoa: https://support.microsoft.com/fi-fi/office/tiedostojen-kansioiden-ja-luettelokohteiden-jakaminen-74cab0bf-39c6-4112-a63f-88ee121722d0 41
  • 42. Mistä tietää, mitkä dokumentit ja tiedostot on jaettu muille?  Kun olet avannut dokumentin, Jaa-nappi yläreunassa ilmaisee, onko se jaettu vai ei.  Officen aloitussivulta löydät jaetut tiedostot Jaettu-napista.  OneDrivessä löydät jaetut tiedostot vasemman valikon Jaettu-kohdasta. Lisätietoa: https://support.microsoft.com/fi-fi/office/tiedostojen-kansioiden-ja-luettelokohteiden-jakaminen-74cab0bf-39c6-4112-a63f-88ee121722d0 42 Ei ole jaettu On jaettu
  • 43. Kokonaisen OneDrive-kansion jakaminen  Aluksi: luo kansio OneDrivessä ja siirrä kaikki jaettavat tiedostot sinne  Jaa: jako tietyille henkilöille, ryhmille ja/tai sähköpostiosoitteille (ulkoinen)  Kopioi linkki: jako kenelle tahansa, jolle lähetät linkin.  Jos lisäät kansioon uusia tiedostoja, myös ne aukeavat aiemmin tehdyn jakolinkin kautta.  Älä jaa kansion kautta henkilötietoja ulkopuolisille tai niille, joiden tehtäviin ne eivät kuulu! Lisätietoa: https://support.microsoft.com/fi-fi/office/tiedostojen-kansioiden-ja-luettelokohteiden-jakaminen-74cab0bf-39c6-4112-a63f-88ee121722d0 43
  • 44. Harkitse ennen kuin jaat! 44 MITÄ? MITEN? RISKIT? Yksi dokumentti/tiedosto Jako yhdelle oman organisaation käyttäjälle Turvallisin vaihtoehto Yksi dokumentti/tiedosto Jako usealle oman organisaation käyttäjälle Lähes yhtä turvallinen vaihtoehto Yksi dokumentti/tiedosto Jako oman organisaation ryhmälle Turvallinen, jos ryhmä on tehty juuri kyseisten tietojen jakamiseen. Yksi dokumentti/tiedosto Jako ulkopuolisille linkillä Ei ole turvallinen henkilötietojen ja salassa pidettävien tietojen jakamiseen. Jaa linkillä vain julkisia tietoja. Kokonainen OneDrive- kansio Jako oman organisaation käyttäjille Turvallinen, jos kansio on tehty juuri kyseisten tietojen jakamiseen. Kokonainen OneDrive- kansio Jako oman organisaation ryhmälle Altis liian laajalle jakamiselle eli tietojen päätymiselle työntekijöille, joille ne eivät kuulu. Kokonainen OneDrive- kansio Jako ulkopuolisille linkillä Kaikkein turvattomin: altis tietojen vuodolle ulkopuolisille
  • 45. Excelin salasanasuojaus ”Opettaja oli vienyt tiedot oppimisalustalle Excel-tiedostona siten, että henkilöiden nimet sisältävä sarake oli piilotettu salasanan taakse. Itä-Suomen yliopiston oikeustieteiden laitoksen johtaja Matti Turtiasen mukaan salasanasuojauksen toimivuus oli tarkistettu erikseen Excelissä. – Opettajalle tuli kuitenkin yllätyksenä, että salasanasuojaus ei toimi, jos tiedosto avataan Google-sovellusten avulla.” Lähde: Yle, 19.4.2021, https://yle.fi/a/3-11884988 45
  • 46. Älä luota Excelin salasanasuojaukseen!  Vasemmalla: Excelissä on piilotettu sarakkeet B, C ja D sekä kytketty salasanasuojaus päälle  Oikealla: Kun tiedoston tuo Google Driveen, sarakkeet saa näkyville (salasanaa ei tarvita) 46
  • 47. Kysymys: henkilötietojen kerääminen pilvipalveluihin 47  Pilvipalvelujen tarjoajat ovat henkilötietojen käsittelijöitä. Vastuu niiden käytöstä on rekisterinpitäjällä.  Käytä henkilötietojen tallentamiseen ja keräämiseen vain rekisterinpitäjän hyväksymiä pilvipalveluita. Noudata rekisterinpitäjän ohjeistusta, mitä tietoja saa tallentaa pilveen.  Pilvipalveluissa on pidettävä huolta, että käyttäjätunnukset ovat henkilökohtaisia ja pääsyoikeudet henkilötietoihin on määritelty työtehtävien mukaisesti.  Jos Office 365:n Forms-lomakkeella tai tiedostopyynnöllä kerätään henkilötietoja, tietosuojaseloste tulee toimittaa etukäteen rekisteröidyille tai linkittää lomakkeelle, jotta rekisteröidyt voivat tutustua siihen. • Saako henkilötietorekisteriä kerätä pilvipalveluun, esimerkiksi organisaation 0ffice 365:een? • Voiko Office.com:in lomakkeita käyttää henkilötietojen keräämiseen?
  • 48. Tietojen kerääminen Forms-lomakkeella  Laita tietosuojaselosteen linkki lomakkeen alun tekstiin.  Lähetä lomakkeen linkki suoraan vastaanottajille.  Jos et todella tarvitse vastaajien nimiä, poista ”Tallenna nimi” –kohdan ruksi. 48
  • 49. Tiedostojen pyytäminen OneDrive-kansioon  Tiedostopyyntö on turvallinen keino vastaanottaa tiedostoja.  Aluksi: Luo OneDrive-kansio  valitse se  ”Pyydä tiedostoja”  Kopioi linkki tai lähetä tiedostopyyntö tietyille käyttäjille, ryhmille ja/tai sähköpostiosoitteille.  Pidä vastaanotetut tiedostot tallessa, älä jaa niitä ulkopuolisille!  Vinkki: lähettämäsi tiedostopyynnöt ja sinulle lähetetyt tiedostot tallentuvat myös Outlookiin sähköposteina. Lisätietoa: https://support.microsoft.com/fi-fi/office/tiedostopyynn%C3%B6n-luominen-f54aa7f8-2589-4421-b351-d415fc3b83af 49
  • 50. Tiedostopyyntö vastaanottajan näkökulmasta  Vinkki: kokeile lähettää tiedostopyyntö ensin itsellesi, niin näet, miten se toimii.  Ohjeista tarvittaessa vastaanottajaa, miten tunnistaa sinulta tuleva tiedostopyyntö. 50
  • 51. Office 365:n ryhmät ja vieraskäyttäjät
  • 52. Miten ryhmiä kannattaa luoda?  Koska Office 365 -ryhmiä kannattaa niitä luoda sen mukaan, miten organisaatiossa yleensä käytetään Office 365:ttä. 1. Jos organisaatiosi käyttää suurimman osan viestinnästään sähköpostitse, opasta käyttäjiä luomaan ryhmiä Outlookissa. 2. Jos organisaatiosi käyttää paljon SharePointia, opasta käyttäjiä luomaan SharePoint- työryhmäsivustoja yhteistyötä varten. 3. Jos organisaatiosi on ottanut Teamsin käyttöön, opasta käyttäjiäsi luomaan tiimi, kun he tarvitsevat yhteistyötilaa. Lähde: https://learn.microsoft.com/fi-fi/microsoft-365/admin/create-groups/explain-groups-knowledge-worker?view=o365-worldwide https://support.microsoft.com/fi-fi/office/lis%C3%A4tietoja-microsoft-365-ryhmist%C3%A4-b565caa1-5c40-40ef-9915-60fdb2d97fa2 52
  • 53. Office 365 -ryhmien tietosuoja  Ryhmät luodaan Office 365 admin centerissä (järjestelmänvalvoja ja muut, joille on annettu oikeudet luoda ryhmiä)  Julkinen: käyttäjät voivat liittyä ilman omistajan hyväksyntää. Näytetään hakutuloksissa ja käytettävissä olevien tiimien luettelossa, johon voit liittyä.  Yksityinen: käyttäjät voivat liittyä vain, jos omistaja on lisännyt heidät. Ne eivät näy hakutuloksissa tai liityttävissä olevien tiimien luettelossa. 53
  • 54. Office 365 –ryhmien käyttäjien roolit  Järjestelmänvalvojat: Voivat luoda uusia ryhmiä ja muuttaa ryhmien asetuksia.  Omistajat: Ryhmän omistajat voivat lisätä tai poistaa jäseniä, ja heillä voi olla yksilöllisiä käyttöoikeuksia, kuten mahdollisuus poistaa keskusteluja jaetusta Saapuneet-kansiosta tai muuttaa ryhmän eri asetuksia. Ryhmän omistajat voivat nimetä ryhmän uudelleen, päivittää kuvauksen tai kuvan ja paljon muuta.  Jäsenet: Jäsenet voivat käyttää kaikkea ryhmän osaa, mutta eivät voi muuttaa ryhmän asetuksia. Ryhmän jäsenet voivat oletusarvoisesti kutsua vieraita liittymään ryhmään.  Vieraat eli vieraskäyttäjät: Ryhmän vieraat ovat jäseniä, jotka ovat organisaatiosi ulkopuolisia käyttäjiä. Lähde: https://learn.microsoft.com/fi-FI/microsoft-365/admin/create-groups/office-365-groups?view=o365-worldwide 54
  • 55. Ryhmien vieraskäyttäjät  Oletuksena Microsoft 365 -ryhmien vieraskäyttö on sallittuna.  Järjestelmänvalvojat voivat määrittää, sallitaanko vieraskäyttö ryhmille koko organisaatiolle vai yksittäisille ryhmille.  Järjestelmänvalvoja voi muuttaa asetusta kohdasta Organisaatio  Suojaus ja tietosuoja  Jakaminen  ”Salli käyttäjien lisätä uusia vieraita organisaatioon”  Kun vieraskäyttö on sallittu, ryhmän jäsenet voivat kutsua vieraita Microsoft 365 -ryhmiin mm. Teamsin kautta.  Jos joku muu kuin omistaja lisää vieraskäyttäjiä ryhmiin, kutsut lähetetään ryhmän omistajalle hyväksyttäväksi. Lisätietoa: https://learn.microsoft.com/fi-fi/microsoft-365/admin/create-groups/manage-guest-access-in-groups?view=o365-worldwide 55
  • 56. Teams-ryhmät eli tiimit  Suunnittele etukäteen, millaisia tiimejä luot Teamsiin  Yleensä General-kanava riittää  Luo lisäkanavia, kun tarvitset niitä esimerkiksi tiedon järjestämistä varten tai pienryhmien työskentelyyn  Huomaa, että tiimin tiedostot ovat käytettävissä myös SharePoint- sivustolla sekä OneDrivessä 56 Alustat Kanavat Teams- ryhmät Ryhmä 1 General Viestit Kokoukset Tiedostot SharePoint- sivusto Muut sovellukset Kanava 1 Viestit Tiedostot SharePoint- sivusto
  • 57. Kanavien lisääminen Teamsin tiimeihin  Valitse kanavan yksityisyys tarkoituksen mukaan: suunnittele, mitä henkilö- ja muita tietoja kanavassa on tarkoitus käsitellä. 57
  • 58. Jäsenten lisääminen Teamsin tiimeihin  Voit lisätä Teamsiin uusia jäseniä kirjoittamalla mm. kutsuttavien nimet tai ulkopuolisten sähköpostiosoitteet (=vieraskäyttäjiä).  Varmista aina ensin, ettei tiimiin ole tallennettu tietoja, jotka eivät kuulu uusille jäsenille. 58
  • 59. Kysymys: Teamsin käyttö hankkeissa 59  Rekisterinpitäjän tulee suunnitella henkilötietojen käsittely etukäteen. Tähän sisältyy mm. riskiarviointi, suojatoimenpiteet ja informointivelvollisuudesta huolehtiminen.  Selvitä, muodostaako Teamsiin luotava tiimi uuden rekisterin vai sisältyykö se johonkin olemassa olevaan rekisteriin. Kysy tarvittaessa apua organisaation tietosuojavastaavalta.  Teamsin sisäiset tiimit liittyvät organisaation henkilöstörekisteriin.  Teamsin tiimit, joihin kutsutaan organisaation ulkopuolisia, ovat esimerkiksi:  Asiakasrekistereitä  Yhteistyökumppaneiden rekistereitä  Hankkeiden osallistujien rekistereitä  Oikeusperusteena voi olla rekisterinpitäjän oikeutettu etu, sopimus tai suostumus.  Linkitä tietosuojaseloste Teamsiin ja/tai lähetä se etukäteen Teamsiin liittyville. • Pitäisikö Teamsiin liittymisen yhteydessä pyytää suostumus, että henkilön nimi ja yhteystiedot voidaan jakaa muiden tiimissä olevien kesken? • Voidaanko lähteä siitä, että hankkeen Teamsiin ei voi liittyä anonyymisti?
  • 60. Liittyminen vieraskäyttäjänä toisen organisaation Office 365-ympäristöön  Varmista ennen kirjautumista, että kutsu toiseen organisaatioon on aito. Varo huijauksia! 60
  • 62. Huijauspuhelut Microsoftin nimissä ▪ Tavoitteena saada käyttäjätunnus haltuun. ▪ Huijauspuhelu voi tulla myös suomalaisesta numerosta. ▪ Huijarit esiintyvät yleisimmin Microsoftin IT- tukihenkilöinä. ▪ Huijaukseen voi liittyä myös sähköposteja, tekstiviestejä ja tietojenkalastelusivuja. ▪ Microsoftin tutkimuksen mukaan puolet Suomessa asuvista aikuisista oli altistunut IT-tukihuijauksille (2021). ▪ 12 % oli ensin jatkanut keskustelua huijarin kanssa, mutta lopettanut sitten. ▪ 3 % vastaajista oli menettänyt rahaa. 62 Lähde: Mtv, 5.8.2021, https://www.mtvuutiset.fi/artikkeli/karu-tulos-jo-puolet-suomalaisista-saanut-hamaran-microsoft-huijauspuhelun-nain-montaa-vedettiin-nenasta/8205906
  • 63. Huijaus- ja tietojenkalasteluviestit 63 1. Älä luota sähköpostin tai tekstiviestin lähettäjän nimeen tai osoitteeseen/numeroon. 2. Älä koskaan avaa yllätyksenä tullutta liitetiedostoa. 3. Tarkista linkki esim. viemällä hiiri sen päälle. 4. Anna tietojasi vain varmasti luotettaville tahoille. 5. Jos epäilet huijausta, tarkista aitous muuta kautta
  • 64. Varo: Office 365 -huijaukset ovat yleisiä!  Rikolliset pyrkivät tietojenkalastelusivun avulla saamaan haltuunsa käyttäjätunnuksia, joilla he voivat päästä käsiksi luottamuksellisiin tietoihin kuten lähetettyihin laskuihin.  Murretuilla tunnuksilla voidaan lähettää esim. ”korjattuja” huijauslaskuja. Lähde: Viestintävirasto, 2019, https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/uusin-microsoft-office-365-huijaus-ohjaa-uhrin-murretulle-sharepoint-tilille 64
  • 65. Tietoturvaloukkaus 65 Tarkoitetaan henkilötietojen…  vahingossa tapahtuvaa tai lainvastaista tuhoamista  häviämistä  muuttamista  luvatonta luovuttamista tai pääsyä tietoihin Rekisterinpitäjällä on velvollisuus ilmoittaa 72 tunnin kuluessa tietoturvaloukkauksesta tietosuojaviranomaiselle ja lisäksi rekisteröidylle, jos siitä aiheutuu korkea riski. Henkilötietojen käsittelijän on ilmoitettava loukkauksesta rekisterinpitäjälle viipymättä.
  • 66. Tietosuojarikkomukseen reagointi 1. Vahingon sattuessa tai tullessa esiin: rauhoitu. Onko jotain, mitä voit tehdä välittömästi vähentääksesi seurauksia? 2. Kerro lähimmälle esimiehelle ja/tai tietosuojavastaavalle. 3. Aloita tiedonkeruu tapauksesta. Kirjaa ylös, mitä tapahtui. Ensikäden havainnoista on hyötyä jatkotutkinnalle. 4. Pyri rajaamaan, keistä henkilöistä ja mistä tiedoista on kyse: nimet, tunnisteet, yhteystiedot, arkaluontoiset ja salassa pidettävät jne. Rekisterinpitäjä ja tietosuojavastaava:  Ilmoita TSV:lle: https://tietosuoja.fi/ilmoitus-tietoturvaloukkauksesta  Ilmoita Kyberturvallisuuskeskukselle: https://www.kyberturvallisuuskeskus.fi/fi/ilmoita  Ilmoita rekisteröidyille, jos heihin kohdistuu todennäköisesti korkea riski.  Anna ohjeita, miten välttää ikäviä seurauksia. 66