Toukokuussa 2018 voimaan tullut EU:n uusi tietosuoja-asetus toi paljon velvoitteita myös yhdistyksille. Yksi näistä on se, että rekistereitä ylläpitävän yhdistyksen on osattava varmistaa henkilötietojen turvallinen käsittely. Moni yhdistys säilyttää tietoja erilaisissa pilvipalveluissa (esim. Google Drive, OneDrive, Dropbox, jne.). Miten turvallisia eri pilvipalvelut ovat ja mitkä asiat vaikuttavat niiden turvallisuuteen? Milloin kannattaa epäillä tietomurtoa? Miten siirtää turvallisesti tietoa toimijalta toiselle verkon välityksellä?

1. Yhdistyksen tietosuoja ja
pilvipalvelut
Opintokeskus Vision verkkoluento,
DI, CTO Petteri Räty
23.8.2018 klo 10–12
www.opintokeskusvisio.fi

2. Luennoitsija Petteri Räty
§ DI
– Systeemi- ja operaatiotutkimus
– Ohjelmistotuotanto ja -liiketoiminta
§ CTO, Experq Oy
– Asiakaspalautejärjestelmiä verkkopalveluna
(Ruby on Rails)
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018/ Petteri Räty

3. Vihreissä
§ Viitteen hallituksessa taloudenhoitaja
– Viite – tieteen ja teknologian vihreät
§ Tietoyhteiskuntatyöryhmän jäsen
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018/ Petteri Räty

4. IANAL
§ En ole lakimies eivätkä nämä ole
oikeudellisia neuvoja
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018/ Petteri Räty

5. Pilvipalvelut
§ Cloud computing
– The practice of using a network of remote
servers hosted on the Internet to store,
manage, and process data, rather than a local
server or a personal computer.
– Oxford Dictionary
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018/ Petteri Räty

6. Käsiteltävät kokonaisuudet
§ GDPR-vaatimukset
§ Päätelaitteiden turvallisuus
§ Tiedonsiirron turvallisuus
§ Palveluiden turvallisuus
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018/ Petteri Räty

7. Heikoin lenkki
§ Käsittelyn kokonaisuus on vain niin
turvallinen kuin sen heikoin lenkki
§ Heikoin lenkki on yleensä ihminen
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018/ Petteri Räty

8. GDPR 5 artikla
§ kohta 1. f)
– niitä = henkilötietoja
– niitä on käsiteltävä tavalla, jolla varmistetaan henkilötietojen
asianmukainen turvallisuus, mukaan lukien suojaaminen
luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa
tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta
käyttäen asianmukaisia teknisiä tai organisatorisia toimia (”eheys
ja luottamuksellisuus”).
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018/ Petteri Räty

9. 25 artikla: Sisäänrakennettu ja
oletusarvoinen tietosuoja
§ 1. Ottaen huomioon uusimman tekniikan ja toteuttamiskustannukset sekä
käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn
aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit
luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on
käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava
tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin,
täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset
toimenpiteet, kuten tietojen pseudonymisointi ja tarvittavat suojatoimet,
jotta ne saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi
tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin.
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018/ Petteri Räty

10. 25 artikla 2 kohta
§ 2. Rekisterinpitäjän on toteutettava asianmukaiset tekniset ja
organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti
käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta
tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen
henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla
oloa. Näiden toimenpiteiden avulla on varmistettava etenkin se, että
henkilötietoja oletusarvoisesti ei saateta rajoittamattoman
henkilömäärän saataville ilman luonnollisen henkilön
myötävaikutusta.
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018/ Petteri Räty

11. 32 artikla: Käsittelyn
turvallisuus
§ 1. Ottaen huomioon uusin tekniikka ja toteuttamiskustannukset,
käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä
luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat,
todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit
rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä
vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja
organisatoriset toimenpiteet, kuten
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018/ Petteri Räty

12. 32 artikla 1 kohta jatkuu
§ a) henkilötietojen pseudonymisointi ja salaus;
§ b) kyky taata käsittelyjärjestelmien ja palveluiden jatkuva
luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;
§ c) kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin
fyysisen tai teknisen vian sattuessa;
§ d) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti
teknisten ja organisatoristen toimenpiteiden tehokkuutta
tietojenkäsittelyn turvallisuuden varmistamiseksi.
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018/ Petteri Räty

13. 32 artikla 2 kohta
§ 2. Asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä
huomiota erityisesti käsittelyn sisältämiin riskeihin, erityisesti
siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen
vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen,
muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn
vuoksi.
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018/ Petteri Räty

14. GDPR-vaatimusten
toteuttaminen käytännössä
§ Henkilötietojen käsittelysopimuksella
velvoitetaan käsittelijä (eli tässä
yhteydessä pilvipalvelu) huolehtimaan
vaatimuksista tekniikan osalta
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018/ Petteri Räty

15. 28 artikla 3 kohta
§ 3. Henkilötietojen käsittelijän suorittamaa käsittelyä on määritettävä
sopimuksella tai muulla unionin oikeuden tai jäsenvaltion
lainsäädännön mukaisella oikeudellisella asiakirjalla, joka sitoo
henkilötietojen käsittelijää suhteessa rekisterinpitäjään ja jossa
vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus,
henkilötietojen tyyppi ja rekisteröityjen ryhmät, rekisterinpitäjän
velvollisuudet ja oikeudet.
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018/ Petteri Räty

16. Päätelaitteet
§ Päivitettävä säännöllisesti
§ Paikallinen tiedostojärjestelmä tulee
salata
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018/ Petteri Räty

17. Esimerkiksi OS X
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018/ Petteri Räty

18. Laitteet ja ohjelmistot, joiden
tuki on loppunut
§ Jos päätelaitteesi ei ole päivittynyt
säännöllisesti, on todennäköisesti
valmistaja lopettanut sen tukimisen
– Henkilötietojen käsittely laitteella ei ole
mahdollista
– Koskee erityisesti Android-laitteita
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018/ Petteri Räty

19. Tiedonsiirto
§ Tiedonsiirron tulee olla salattua
– Sähköpostista tulee olettaa, että se ei ole
salattu
• Esim. Gmail à Gmail kuitenkin on
§ VPN:n käyttöä hyvä harkita
– Esim. F-Secure Freedome
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018/ Petteri Räty

20. Nämä varoitukset ovat
tärkeitä!
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018/ Petteri Räty

21. Two Factor Authentication
§ https://www.google.com/landing/2step/
§ https://www.facebook.com/help/1482339
65247823
§ Suositeltavaa käyttää kaikissa palveluissa
– Isoimmissa palveluissa lähtökohtaisesti
saatavilla
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018/ Petteri Räty

22. Pilvipalveluiden
turvallisuustasosta
§ Tunnetut pilvipalvelut ovat
lähtökohtaisesti turvallisempia kuin,
jos yhdistys itse tekisi
palvelinympäristön
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018/ Petteri Räty

23. Tietomurtojen epäily
§ Palveluntarjoajilla on työkaluja tilin
tapahtumien tutkimiseen
– Esim. https://myaccount.google.com
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018/ Petteri Räty

24. Esim. Google
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018/ Petteri Räty

25. Automaattiset ilmoitukset
tulee lukea läpi ajatuksella
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018/ Petteri Räty

26. Ilmoitusvelvollisuus
viranomaisille
§ 1. Jos tapahtuu henkilötietojen tietoturvaloukkaus, rekisterinpitäjän
on ilmoitettava siitä ilman aiheetonta viivytystä ja mahdollisuuksien
mukaan 72 tunnin kuluessa sen ilmitulosta 55 artiklan mukaisesti
toimivaltaiselle valvontaviranomaiselle, paitsi jos henkilötietojen
tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten
henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Jos ilmoitusta
ei anneta 72 tunnin kuluessa, rekisterinpitäjän on toimitettava
valvontaviranomaiselle perusteltu selitys.
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018/ Petteri Räty

27. Ilmoituksen teko
§ Ilmoitusvelvollisuus viranomaisille
– Tulee vastuuttaa yhdelle henkilölle
§ Suomessa tietosuojavaltuutetulle
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018/ Petteri Räty

28. Varmuuskopiointi
§ Pilvipalvelut eivät automaattisesti suojaa tietoa
täydellisesti
– Tilille pääsevä hyökkääjä voi poistaa tai muokata
tietoja
– Tulee harkita keskeisten tietojen kuten jäsenrekisterin
säännöllistä varmuuskopiointia esimerkiksi salatulle
USB-tikulle
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018/ Petteri Räty

29. Käyttöoikeudet
§ Aina enemmän kuin yhdellä henkilöllä
– Ns. Bussikerroin on vähintään kaksi
• https://en.wikipedia.org/wiki/Bus_factor
§ Ei kuitenkaan tarpeettomia oikeuksia
kuten koko hallitus
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018/ Petteri Räty

30. Linkillä jakaminen
§ Esimerkiksi Google Drive ja Dropbox
mahdollistavat linkillä jakamisen
– Linkkiä voi jakaa rajattomasta eteenpäin, joten
toimintoa voi käyttää ainoastaan väliaikaisesti
– Tulee ottaa pois päältä, kun saaja on käynyt
hakemassa tiedoston
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018/ Petteri Räty

31. Palvelun valinnasta
§ Valitkaa yksi palvelu yhteen tarkoitukseen
– Ei esim. Google Driveä ja Dropboxia molempia
päällekkäin
§ Suosikaa ETA-toimijoita
– EU voi päättää kieltää muut maakohtaisesti, jos
tietoturvan taso ei ole riittävä
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018/ Petteri Räty

32. Tietosuojaselosteen velvoitteet
§ Valittavien palveluiden avulla tulee
pystyä täyttämään tietosuojaselosteen
velvoitteet
– Erityisesti paikka, jossa tietoja käsitellään
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018/ Petteri Räty

33. Käsittelypaikka
§ ETA vs. ETA:n ulkopuolella
§ Huomattava, että voit olla
lomamatkalla maassa, jossa
henkilötietojen käsittely ei ole sallittua
§ Et voi käsitellä esimerkiksi kahvilassa,
jos ruutusi on yleisesti näkyvillä
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018/ Petteri Räty

34. Huomioita eri palveluista
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018/ Petteri Räty

35. Google GSuite
§ Huomattava, että vain Gsuite tarjoaa
28 artiklan 3 kohdan mukaisen
käsittelysopimuksen
– yhdistys@gmail.com tilillä henkilötietojen
käsittely ei ole mahdollista
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018/ Petteri Räty

36. Facebook
§ Mietittävä tapauskohtaisesti onko
rekisterinpitäjä
– Facebook
– Yhdistys
– Molemmat yhdessä
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018/ Petteri Räty

37. Office 365
§ Uusien asiakkaiden data on Euroopan
Unionissa.
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018/ Petteri Räty

38. Kysymyksiä muista palveluista
§ Mistä muista palveluista haluatte
tietää?
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018/ Petteri Räty

39. Loppukaneetti
§ Ei kysyvä tieltä eksy
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018/ Petteri Räty

40. Yhdistyksen tietosuoja ja
pilvipalvelut -verkkoluento