tietosuoja ja tietoturva - socom2019/12/06 · tietosuoja ja tietoturva 5 tietosuojan...
TRANSCRIPT
TIETOSUOJA JA TIETOTURVA
3.12.2019
2Tietosuoja ja tietoturva
SISÄLTÖ
• Tietosuoja
‣ Tietosuojan yleisperiaatteet
‣ Henkilörekisterit
‣ Rekisterien muodostuminen
‣ Rekisterinpitäjän velvollisuudet
‣ Rekisteröidyn oikeudet
‣ Tietojen luovuttaminen
• Tietoturva
3
TIETOSUOJAN YLEISPERIAATTEET
Tietosuoja ja tietoturva
4
HENKILÖTIETOA SAA KÄSITELLÄ AINOASTAAN LAIN ANTAMIN OIKEUKSIN TAI HENKILÖN NIMENOMAISELLA LUVALLA
• EU:n yleinen tietosuoja-asetus (GDPR) on ylin tietosuojaa koskeva säädös (679/2016)
‣ Vahvistaa henkilötietojen käsittelyn avoimuutta, läpinäkyvyyttä ja henkilön oikeuksia jotta henkilötietojen käsittely palvelee ihmistä, vastaa digitalisaation vaatimuksiin ja rakentaa luottamusta digitaalitalouden kehittämiseksi
‣ Ohjaus tietosuoja-asetuksen mukaiseen toimintaan www.tietosuoja.fi
‣ Tietosuoja-asetusta täydentää ja täsmentää kansallisesti 1.1.2019 voimaan tullut tietosuojalaki (1050/2018)
• Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista (812/2000)
Tietosuoja ja tietoturva
5
TIETOSUOJAN YLEISPERIAATTEITA
Henkilöllä on oikeus tietojensa asianmukaiseen käsittelyyn
‣ Henkilötietoja tulee käsitellä laillisesti ja noudattaa huolellisuutta ja hyvää tietojen käsittelytapaa
‣ Henkilötietojen käsittelyn tulee olla läpinäkyvää‣ Yksityisyyden suojaa turvaavia perusoikeuksia ei saa rajoittaa ilman
laissa säädettyä perustetta‣ Henkilötietojen käsittely pitää suunnitella‣ Henkilörekisteristä saa käyttää vain tehtävien hoidon kannalta
merkityksellisiä tietoja‣ Henkilöä on informoitava hänen tietojensa käsittelystä ja hänen
oikeuksistaan‣ Henkilöllä on oikeus tarkastaa itseänsä koskevat tiedot ja
virheelliset tiedot on oikaistava‣ Henkilörekisteriin kerätään vain tarpeellinen tieto → tietojen
minimointi‣ Rekisterinpitäjän osoitusvelvollisuus ja riskien arviointi
Tietosuoja ja tietoturva
6
HENKILÖREKISTERIT
• Henkilörekisteri muodostuu samaa käyttötarkoitusta varten kerätyistä asiakastiedoista
• Sosiaalihuollossa on monia henkilörekistereitä riippuen organisaatiosta ja työmuodoista
• Tietoa eri rekisterien välillä ei saa siirtää ilman lakiperustetta tai asiakkaan lupaa
• Rekisterit voidaan yhdistää vain lain perusteella tai rekisteröidyn henkilön nimenomaisella luvalla (esim. kotipalvelun ja kotisairaanhoidon yhdistäminen kotihoidoksi)
• Tulevaisuudessa on vain yksi sosiaalihuollon asiakasrekisteri ja sosiaalihuollon ilmoitusrekisteri. THL on antanut määräyksen asiakastietojen käyttöoikeuksien määrittelystä (THL 2017, ShAkL 22–23§)
• Käyttöoikeudet sidotaan palvelutehtäviin ja sosiaalipalveluihin, asiayhteys asiakkaaseen oltava
• Asiakasta on informoitava tietojen käsittelystä ja tietojen tarkastusoikeudesta ymmärrettävästi ja aktiivisesti.
• Tietosuojaselosteesta ja sen sisällöistä kertominen asiakkaalle on osa osallistavaa kirjaamista
Tietosuoja ja tietoturva
7
REKISTERIVELVOITE ERI TILANTEISSA
• Sosiaalipalvelun järjestäjällä on rekisterinpitovelvoite
• Jos joku muu organisaatio tuottaa palvelua palvelunjärjestäjän toimeksiannosta (palveluseteli, ostopalvelu jne.), kuuluvat palveluntuottajan asiakirjat palvelunjärjestäjän rekisteriin
‣ Jos palveluntuottaja hankkii osan palveluista alihankintana toiselta palveluntoteuttajalta (esim. siivouspalveluyritys), kuuluvat myös palveluntoteuttajan asiakirjat palvelunjärjestäjän rekisteriin
• Jos asiakas itse hankkii ja maksaa esim. lisäpalveluita palveluntuottajalta tai -toteuttajalta on kyseessä palvelun järjestäminen. Näiden palveluiden osalta palveluntuottaja tai -toteuttaja on rekisterinpitäjä.
Tietosuoja ja tietoturva
8Tietosuoja ja tietoturva
REKISTERINPITÄJÄN VELVOLLISUUKSIA
• Rekisterinpitäjän osoitusvelvollisuus
‣ Rekisterinpitäjän on osoitettava että yleisiä tietosuojaperiaatteita ja lakeja noudatetaan
• Henkilötietojenkäsittely organisaatiossa dokumentoitava
‣ Henkilötietojen käsittelyvaiheet henkilötietojen keräyksestä hävittämiseen
• Rekisterinpitäjän on varauduttava ilmoittamaan mahdollisista tietoturvaloukkauksista
• Henkilötietojen käsittelyssä automatisoidut yksittäispäätökset ja profilointi on kielletty
9Tietosuoja ja tietoturva
TIETOTURVALOUKKAUKSET
• Henkilötietojen tietoturvaloukkauksella tarkoitetaan tapahtumaa, jonka seurauksena henkilötietoja
‣ tuhoutuu
‣ häviää
‣ muuttuu
‣ henkilötietoja luovutetaan luvattomasti tai
‣ niihin pääsee käsiksi taho, jolla ei ole käsittelyoikeutta
10Tietosuoja ja tietoturva
TIETOTURVALOUKKAUSTEN DOKUMENTOINTI JA RISKIEN ARVIOINTI
• Arvioi minkä tasoinen riski tietoturvaloukkauksesta aiheutuu sen kohteena olleille henkilöille, esimerkiksi
‣ ei aiheudu riskiä
‣ aiheutuu riski
‣ aiheutuu korkea riski
• Riskin taso määrittää ne toimenpiteet, joihin rekisterinpitäjän on ryhdyttävä. Toimenpiteitä ovat esimerkiksi
‣ tietoturvaloukkauksen dokumentointi
‣ ilmoitus valvontaviranomaiselle
‣ ilmoitus rekisteröidylle
11Tietosuoja ja tietoturva
REKISTERÖIDYN OIKEUDET
1. Oikeus saada läpinäkyvää informaatiota henkilötietojen käsittelystä
2. Oikeus saada pääsy omiin tietoihin
3. Oikeus omien henkilötietojen oikaisemiseen
4. Oikeus omien henkilötietojen käsittelyn rajoittamiseen
5. Oikeus siirtää omat henkilötiedot järjestelmästä toiseen
6. Vastustamisoikeus
12
MITÄ ON TARPEEN KIRJATA?
Tietosuoja ja tietoturva
Voinko kirjata asiakkaan
uskontokunnan?
Onko tieto sosiaalihuollon järjestämisen
kannalta tarpeellinen?
13
MITÄ ON TARPEEN KIRJATA?
• Vaikka sosiaalihuollossa käsitellään arkaluonteisia ja salassa pidettäviä tietoja, ei se tarkoita, että mitä tahansa on tarpeellista käsitellä ja kirjata.
‣ Onko vaikkapa poliittinen tai uskonnollinen vakaumus sosiaalihuollon järjestämisen kannalta välttämätöntä? Ei aina, mutta joskus.
‣ Velvollisuus on kirjata sosiaalihuollon järjestämisen, suunnittelun, toteuttamisen, seurannan ja valvonnan kannalta tarpeelliset ja riittävättiedot (laki sosiaalihuollon asiakasasiakirjoista 254/2015: 4§)
• Asiakastietojen kirjaaminen tehdään asiakaskohtaisesti
‣ Useiden perheenjäsenten tietoja ei tule kirjata yhden perheenjäsenen tietoihin, jos he kaikki ovat asiakkaina
‣ Esimerkiksi lastensuojelussa asiakkaana voi olla vain lapsi, jolloin häntä koskeviin tietoihin kirjataan myös mm. perheeseen liittyviä tietoja.
• Asiakastiedot tulee kirjata siten, että niiden luovuttaminen asiakkaalle tai joissakin tapauksissa toiselle viranomaiselle on mutkatonta
Tietosuoja ja tietoturva
14
HENKILÖTIETOJEN KÄSITTELY
• Henkilötietojen käsittelyn osa-alueet:
‣ Asiakastietojen kirjaaminen‣ Asiakastietojen lukeminen‣ Tietojen vaihto viranomaisyhteistyössä
• Asiakastietoja saa käsitellä vain työtehtävien edellyttämässä laajuudessa
‣ Työntekijällä on siis vastuu, mitä tietoja käsittelee‣ Organisaation tulee määritellä työntekijöiden käyttöoikeudet
asiakastietoihin ‣ Tietojärjestelmän käyttöoikeuksien laajuus ei ole sama asia kuin tietojen
käyttöoikeus. Työntekijällä tulee olla myös asiayhteys asiakkaaseen.‣ Asiakastiedot eivät ole työhön perehdyttämisen tai koulutuksen väline‣ THL on antanut määräyksen käyttöoikeuksien määrittelystä, joka tuli
voimaan 1.7.2017 ja sovelletaan organisaation liittyessä asiakastiedon arkistoon tai viimeistään 1.1.2021
• Organisaatiossa tulee olla kattava tietoturva- ja tietosuojaohjeistus
Tietosuoja ja tietoturva
15
TIETOSUOJAN RIKKOMISEN HOUKUTUKSET
Tuttuja juttuja uutisoinneista?
Ilta-Sanomat 19.4.2016
Tietosuoja ja tietoturva
16
SALASSAPITOVELVOLLISUUS
• Laissa viranomaisten toiminnan julkisuudesta (621/1999: 22–25§) sekä erityislaeissa on määräyksiä salassapitovelvollisuudesta
• Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista täsmentää salassapitovelvoitetta (812/2000: 14–15 §):
‣ Kaikki sosiaalihuollon asiakastiedot ovat salassa pidettäviä
‣ Myös kirjaamaton tieto on salassa pidettävää – esimerkiksi tieto asiakkuudesta tai että asiakkuutta ei ole
‣ Salassapitovelvoite jatkuu vaikka tehtävien hoito loppuisi
‣ Myös yksityishenkilöllä on salassapitovelvoite jos hän on julkisuuslain mukaisen asianosaisaseman perusteella saanut salassa pidettäviä tietoja, jotka koskevat muita kuin häntä itseään. Voi tulla kyseeseen esimerkiksi huoltajan saadessa tietoja lapsestaan.
Tietosuoja ja tietoturva
17Tietosuoja ja tietoturva
TIETOSUOJAVASTAAVA
• EU:n tietosuoja-asetus (679/2016) ja asiakastietolaki (159/2007) velvoittavat sosiaali- ja terveydenhuollon palvelunantajan nimeämään tietosuojavastaavan
• Tiedätkö kuka toimii organisaatiossasi tietosuojavastaavana?
• Tietosuojavastaava esimerkiksi:
‣ Osallistuu tietosuojan toteutumisen suunnitteluun ja tietosuojariskien hallintaan
‣ Tukee henkilökuntaa ja rekisteröityjä tietosuoja-asioissa (mm. koulutus)
‣ Seuraa ja valvoo tietosuojan toteutumista
• Tietosuojavastaavaa kannattaa käyttää pohdinnan apuna kun askarruttavia kysymyksiä tulee eteen
18Tietosuoja ja tietoturva
Tiedätkö kuka on meidän organisaatiomme
tietosuojavastaava?
19
TIETOJEN TARKASTAMINEN, LUOVUTTAMINEN JA KORJAAMINEN
• Aihetta koskeva keskeinen lainsäädäntö:
‣ EU:n tietosuoja-asetus (679/2016). Uusi henkilötietojen käsittelyä sääntelevä laki, jota on sovellettu kaikissa EU-maissa 2018 alkaen
‣ Laki viranomaisen toiminnan julkisuudesta (621/1999): salassa pidettäviä tietoja voi saada asianosaisuuden perusteella jos tiedot ovat voineet vaikuttaa asianosaisen asian käsittelyyn
‣ Laki potilaan asemasta ja oikeuksista (785/1992)
• Tietojen tarkastamis-, luovuttamis-, poistamis- ja korjaamispyyntöjen käsittelyn toimintaohjeista omassa organisaatiossa kannattaa ottaa selvää
• Tietojen luovuttamisen perusteet on syytä harkita kussakin tapauksessa erikseen
Tietosuoja ja tietoturva
20
TIETOJEN TARKASTAMISTA JA LUOVUTTAMISTA MÄÄRITTELEVÄT LAIT
Laissa sosiaalihuollon asiakasasiakirjoista (254/2015) säädetään myös, mitä tietoja on kirjattava:
• Kun asiakasta koskevia tietoja luovutetaan sivulliselle (10§)
• Kun asiakasta koskevia tietoja saadaan asiakkaalta itseltään tai sivulliselta (11§)
• Jos alaikäinen asiakas kieltää asiakastietojen antamisen lailliselle edustajalleen tai jos tämä kielto-oikeus evätään (12§)
Tietosuoja ja tietoturva
21
TIETOJEN LUOVUTTAMINEN
Asiakastietoja voi luovuttaa asiakkaan suostumuksella:
‣ Suostumuksen on oltava nimenomainen eli yksilöity (nimetyt asiat, aikaväli, kenelle jne.)
‣ Asiakkaalla on oikeus perua suostumuksensa
‣ Asiakkaan on ymmärrettävä suostumuksen merkitys
‣ Käytännössä usein kirjallinen suostumus
Ilman suostumusta tietoja voidaan luovuttaa:
‣ Asiakaslain 17–18§, julkisuuslaki 26–30 § sekä potilaslaki 6§, 9§, 13§ mukaisesti
‣ Lisäksi erityislakeihin perustuen (esim. poliisilaki, perusopetuslaki, oppilas- ja opiskelijahuoltolaki)
‣ Lastensuojelulain säännökset
Tietosuoja ja tietoturva
22
SUOSTUMUSKÄYTÄNNÖT JA VALTUUTUKSET• Oikeudellinen ennakointi
‣ Edunvalvontavaltuutus: asioidenhoitajan nimeäminen etukäteen, jos ei itse kykene hoitamaan asioitaan tulevaisuudessa.
‣ Hoitotahto: tehdään omien elämänarvojen noudattamiseksi ja mahdollisten hoitoratkaisujen toteutumiseksi omien toiveiden mukaisesti. Hoitohenkilökunta on velvollinen noudattamaan hoitotahtoa.
• Omatyöntekijä (sosiaalihuoltolain mukainen)
‣ Salassa pidettävien tietojen saaminen edellyttää lähtökohtaisesti asiakkaan suostumusta, mutta esimerkiksi asiakaslain 20§ antaa sosiaalihuollon viranomaiselle oikeuden saada tietoja sosiaalihuollon järjestämiseksi
‣ Ikälain 17§ vastuutyöntekijästä kumottu ja iäkkäille nimetään sosiaalihuoltolain mukainen omatyöntekijä
• Edunvalvoja: Voidaan määrätä jos henkilö ei kykene valvomaan etujaan tai huolehtimaan asioistaan -> Laaja tiedonsaantioikeus päämiestään koskevissa asioissa
Tietosuoja ja tietoturva
23
LOKITIEDOT
• Lokirekisteriin tallentuu tietoa siitä, kenen tietoja työntekijä käsittelee ja mitä hän niille tekee
‣ ”Lähes jokainen hiiren klikkaus tallentuu”
• Yksittäiselle työntekijälle voi kertyä yli 1000 riviä lokitietoa päivässä
Tietosuoja ja tietoturva
24
LOKIREKISTERI JA SEURANTA
• Asiakkaalla on oikeus saada viivytyksettä lokirekisterin perusteella maksutta tieto siitä, kuka on käyttänyt tai kenelle on luovutettu häntä koskevia tietoja sekä mikä on ollut käytön tai luovutuksen peruste (asiakastietolaki 18§)
‣ Kahta vuotta vanhempia lokitietoja ei ole oikeutta saada, jollei siihen ole erityistä syytä (esim. virkarikos vanhenee 5 vuodessa)
‣ Lokitietojen tarkistamisesta EI SAA laittaa merkintää asiakaskertomukseen vaan tiedonpyynnöt tulee kirjata muuhun rekisteriin
• Koska lokitietoa kertyy paljon, asiakkaita olisi hyvä auttaa rajaamaan lokitietojen pyytämistä
Tietosuoja ja tietoturva
25
LOKIREKISTERI JA SEURANTA
• Työntekijälle on myönnetty työtehtäviensä mukaiset käyttöoikeudet asiakastietoihin ja usein asiaan sitoutetaan myös kirjallisella käyttöoikeussitoumuksella
• Tietojärjestelmän käyttöoikeuksien laajuus ei ole sama asia kuin tietojen käyttöoikeus. THL on antanut 20.6.2017 määräyksen käyttöoikeuksien määrittelystä.
• Työntekijöiden lokitietoja tulee seurata organisaatioissa myös pistokokein
Tietosuoja ja tietoturva
26
TIETOSUOJAN KERTAUS
• Tietosuoja
• Henkilörekisterit
• Tietojen tarkastaminen, korjaaminen ja luovuttaminen
• Käyttöoikeudet ja lokitiedot
Tietosuoja ja tietoturva
Kerrataanpa vielä!
27Tietosuoja ja tietoturva
Jokaisessa viranomaisessa tai julkishallinnon
organisaatiossa tulee olla tietosuojavastaava, joka
neuvoo ja ohjaa tietosuojan toteuttamista.
Tietosuojavaltuutetun toimisto tukee ja
tiedottaa valtakunnallisestiwww.tietosuoja.fi
Myös Aluehallintovirastoissa
neuvotaan rekisteriasioissa
28
MITÄ TIETOTURVALLA TARKOITETAAN?
Tietosuoja ja tietoturva
29
TIETOTURVA TIETOJENKÄSITTELYN EETTISENÄ PERIAATTEENA
Asianmukaisesti kerätyt henkilötiedot on suojattava kaikin kohtuullisin ja asianmukaisin keinoin tuhoutumista, turmeltumista sekä̈ luvatonta tuhoamista, saatavuutta, käyttöä, käsittelyä̈, muuntelua tai välittämistä̈ vastaan.
Sosiaali- ja terveydenhuollon tietojenkäsittely-yhdistyksen asiantuntijaryhmä 2015:12
Tietosuoja ja tietoturva
30
TIETOTURVA JA TIETOTURVALLISUUS
• Tietoturvalla ja tietoturvallisuudella tarkoitetaan järjestelyitä, joilla pyritään varmistamaan tiedon saatavuus, eheys ja luottamuksellisuus
‣ Saatavuus – tiedot eivät tuhoudu ja ovat saatavilla
‣ Eheys – tiedot ovat paikkansa pitäviä ja ne ovat oikeassa paikassa
‣ Luottamuksellisuus – tietoja käyttävät ne, joilla on siihen oikeus ja tiedot eivät joudu vääriin käsiin
• Tietoturvan järjestelyihin kuuluvat:
‣ kulunvalvonta, tilojen lukitus, asiakirjojen turvallinen säilytys ja hävitys, tietojen salaus ja varmuuskopiointi sekä palomuurin, virustorjuntaohjelman ja varmenteiden käyttö
‣ tietoaineistojen, laitteistojen, ohjelmistojen, tietoliikenteen ja toiminnan turvaaminen
Sanastokeskus TSK 2018
Tietosuoja ja tietoturva
31
TIETOTURVAN OSA-ALUEET
• Fyysinen turvallisuus
• Hallinnollinen turvallisuus
• Henkilöstöturvallisuus
• Käyttöturvallisuus
• Laitteistoturvallisuus
• Ohjelmistoturvallisuus
• Tietoaineistoturvallisuus
• Tietoliikenneturvallisuus
Valtionvarainministeriö 2007
Tietosuoja ja tietoturva
Näitä kutsutaan myös tietoturvan
kehiksi
32
ASIAKASTIETOJEN KÄSITTELYN TIETOTURVARISKIT
• Asiakastietojen tallentaminen muualle kuin tietojärjestelmään
• Suojaamattoman sähköpostin tai muun viestintäkanavan käyttö
• Tietokoneen lukitsematta jättäminen
• Esillä olevat kalenterit tai muistikirjat
• Huolimattomuus salasanojen käsittelyssä
• Mobiililaitteiden puutteellinen suojaus
• Asiakasasioista puhuminen sivullisten kuullen (myös puhelinkeskustelut)
• Tietosuojajätteen huolimaton käsittely
Tietosuoja ja tietoturva
33Tietosuoja ja tietoturva
Googlaapa ”tietojenpalautusohjelma”!
Tallensin asiakastietoja vain
hetkeksi muistitikulle…
34
TOIMITKO TIETOTURVALLISESTI?
• Tunnetko organisaatiosi tietoturvakäytännöt ja -ohjeet? Oletko lukenut ja sisäistänyt ne?
• Oletko osallistunut tietoturvakoulutuksiin säännöllisesti?
• Tiedätkö, kuka on organisaatiosi tietoturvasta vastaava henkilö, tietoturvavastaava?
• Lukitsetko tietokoneen poistuessasi sen luota? Jätätkö kannettavan näkyville autoon tai hotellihuoneeseen? Jätätkö kalenterin tai muistikirjan näkyville?
• Ovatko salasanasi vain sinun tiedossasi? Vaihdatko salasanoja säännöllisesti?
Ks. esim. Valtionhallinnon tietoturvallisuuden johtoryhmä 2013:11
Tietosuoja ja tietoturva
35
SALASANAT
• Salasana on nopea murtaa – luo salalause!
• Käytä salalauseessa suomenkielisiä, murteellisia sanoja ja lisää joukkoon kirotusvihre tae usseempihhii
Tietosuoja ja tietoturva
Käytä isoja ja pieniä kirjaimia, erikoismerkkejä ja
numeroita
36
TIETOTURVAN PERUSASIAT
1. Pidä tietoa tärkeänä ja suhtaudu siihen tarvittavalla vakavuudella – asenne
2. Jos et itse osaa jotain tietoturvan seikkaa, kysy rohkeasti
3. Tekninen tietoturvallisuus ei välttämättä ole kaikkein suurin riski
Tietosuoja ja tietoturva
Nämä muistamalla
pääset jo pitkälle!
37
KESKEINEN LAINSÄÄDÄNTÖ
EU:n tietosuoja-asetus 2016/679. https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=fi
Tietosuojalaki 5.12.2018/1050. https://www.finlex.fi/fi/laki/ajantasa/2018/20181050
Laki sosiaalihuollon asiakasasiakirjoista 20.3.2015/254. http://www.finlex.fi/fi/laki/ajantasa/2015/20150254
Sosiaalihuoltolaki 1301/2014. https://www.finlex.fi/fi/laki/ajantasa/2014/20141301
Laki ikääntyneen väestön toimintakyvyn tukemisesta sekä iäkkäiden sosiaali- ja terveyspalveluista 28.12.2012/980. http://www.finlex.fi/fi/laki/ajantasa/2012/20120980
Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista 22.9.2000/812. https://www.finlex.fi/fi/laki/ajantasa/2000/20000812
Laki viranomaisten toiminnan julkisuudesta 21.5.1999/621. http://www.finlex.fi/fi/laki/ajantasa/1999/19990621
Laki potilaan asemasta ja oikeuksista 17.8.1992/785. http://www.finlex.fi/fi/laki/ajantasa/1992/19920785
Tietosuoja ja tietoturva
38
LÄHTEET
Sanastokeskus TSK ry. 2018. Kyberturvallisuuden sanasto. https://turvallisuuskomitea.fi/wp-content/uploads/2018/06/Kyberturvallisuuden-sanasto.pdf
Sosiaali- ja terveydenhuollon tietojenkäsittely-yhdistyksen asiantuntijaryhmä. 2015. Terveystiedon tietojenkäsittelyn eettiset ohjeet. http://www.stty.org/images/Terveystiedon_tietojenk%C3%A4sittelyn_ammattihenkil%C3%B6iden_eettiset_ohjeet.pdf
Terveyden ja hyvinvoinnin laitos. 2017. Määräys käyttöoikeuksien määrittelyn perusteista sosiaalihuollon asiakastietoihin. Määräys 1/2017. https://thl.fi/documents/920442/2816495/THL_Maarays_1_2017_Kayttooikeuksien_maarittelyn_perusteet_sosiaalihuollon_asiakastietoihin.pdf
Valtiovarainministeriö. 2007. Tietoturvallisuudella tuloksia. Yleisohje tietoturvallisuuden johtamiseen ja hallintaan. https://www.vahtiohje.fi/c/document_library/get_file?uuid=d0bc6cbd-1626-47aa-99d7-01352f5aede1&groupId=10229
Valtionhallinnon tietoturvallisuuden johtoryhmä. 2013. Henkilöstön tietoturvaohje. Valtiovarainministeriö. https://www.vahtiohje.fi/web/guest/4/2013-henkiloston-tietoturvaohje
Tietosuoja ja tietoturva
39
OHEISLUKEMISTO
Andreasson, Ari; Koivisto, Juha & Ylipartanen, Arto. 2014. Tietosuojavastaavan käsikirja.
Helsinki: Tietosanoma.
Kuntaliitto. 2015. Uusi sosiaalihuoltolaki sekä lastensuojelulain ja muiden lakien
muutokset. Yleiskirje 9/2015.
Liikenne- ja viestintävirasto Traficom. Kyberturvallisuuskeskus: Ohjeet ja oppaat.
Muistiliitto. Edunvalvontavaltuutus.
Oikeusministeriö. Tietosuojavaltuutetun toimisto. tietosuoja.fi
Oikeusministeriö. 2017. EU:n yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän
(TATTI) mietintö. Oikeusministeriön mietintöjä ja lausuntoja 35/2017.
Oikeusministeriö. Tietosuojavaltuutetun toimisto. 2017. Miten valmistautua EU:n
tietosuoja-asetukseen? Oikeusministeriön julkaisu 4/2017.
Puolustusministeriö. Turvallisuuskomitea. 2017. Kodin kyberopas – ohjeita digitaaliseen
arkeen.
Tietosuoja ja tietoturva
40
OHEISLUKEMISTO
Sanastokeskus TSK ry. 2017. Kokonaisturvallisuuden sanasto.
Suomen muistiasiantuntijat ry. 2016. Miten turvaan tahtoni toteutumisen? Opas
oikeudelliseen ennakointiin.
Suomen tietosuojapalvelut Oy. OpiTietosuojaa.fi
Terveyden ja hyvinvoinnin laitos. 2015. Määräys omavalvontasuunnitelmaan
sisällytettävistä selvityksistä ja vaatimuksista. Määräys 2/2015.
Tietoturva ry. tietoturva.fi
Ulkoministeriö. Kansallinen turvallisuusviranomainen. Katakri – tietoturvallisuuden
auditointityökalu viranomaisille.
Valtiovarainministeriö. Julkisen hallinnon digitaalisen turvallisuuden johtoryhmän
(VAHTI) ohjesivusto.
Valtiovarainministeriö. 2015. Tietoturvasarjakuvat.
Tietosuoja ja tietoturva
41Tietosuoja ja tietoturva