TIETOSUOJA JA TIETOTURVA

3.12.2019

2Tietosuoja ja tietoturva

SISÄLTÖ

• Tietosuoja

‣ Tietosuojan yleisperiaatteet

‣ Henkilörekisterit

‣ Rekisterien muodostuminen

‣ Rekisterinpitäjän velvollisuudet

‣ Rekisteröidyn oikeudet

‣ Tietojen luovuttaminen

• Tietoturva

3

TIETOSUOJAN YLEISPERIAATTEET

Tietosuoja ja tietoturva

4

HENKILÖTIETOA SAA KÄSITELLÄ AINOASTAAN LAIN ANTAMIN OIKEUKSIN TAI HENKILÖN NIMENOMAISELLA LUVALLA

• EU:n yleinen tietosuoja-asetus (GDPR) on ylin tietosuojaa koskeva säädös (679/2016)

‣ Vahvistaa henkilötietojen käsittelyn avoimuutta, läpinäkyvyyttä ja henkilön oikeuksia jotta henkilötietojen käsittely palvelee ihmistä, vastaa digitalisaation vaatimuksiin ja rakentaa luottamusta digitaalitalouden kehittämiseksi

‣ Ohjaus tietosuoja-asetuksen mukaiseen toimintaan www.tietosuoja.fi

‣ Tietosuoja-asetusta täydentää ja täsmentää kansallisesti 1.1.2019 voimaan tullut tietosuojalaki (1050/2018)

• Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista (812/2000)

Tietosuoja ja tietoturva

5

TIETOSUOJAN YLEISPERIAATTEITA

Henkilöllä on oikeus tietojensa asianmukaiseen käsittelyyn

‣ Henkilötietoja tulee käsitellä laillisesti ja noudattaa huolellisuutta ja hyvää tietojen käsittelytapaa

‣ Henkilötietojen käsittelyn tulee olla läpinäkyvää‣ Yksityisyyden suojaa turvaavia perusoikeuksia ei saa rajoittaa ilman

laissa säädettyä perustetta‣ Henkilötietojen käsittely pitää suunnitella‣ Henkilörekisteristä saa käyttää vain tehtävien hoidon kannalta

merkityksellisiä tietoja‣ Henkilöä on informoitava hänen tietojensa käsittelystä ja hänen

oikeuksistaan‣ Henkilöllä on oikeus tarkastaa itseänsä koskevat tiedot ja

virheelliset tiedot on oikaistava‣ Henkilörekisteriin kerätään vain tarpeellinen tieto → tietojen

minimointi‣ Rekisterinpitäjän osoitusvelvollisuus ja riskien arviointi

Tietosuoja ja tietoturva

6

HENKILÖREKISTERIT

• Henkilörekisteri muodostuu samaa käyttötarkoitusta varten kerätyistä asiakastiedoista

• Sosiaalihuollossa on monia henkilörekistereitä riippuen organisaatiosta ja työmuodoista

• Tietoa eri rekisterien välillä ei saa siirtää ilman lakiperustetta tai asiakkaan lupaa

• Rekisterit voidaan yhdistää vain lain perusteella tai rekisteröidyn henkilön nimenomaisella luvalla (esim. kotipalvelun ja kotisairaanhoidon yhdistäminen kotihoidoksi)

• Tulevaisuudessa on vain yksi sosiaalihuollon asiakasrekisteri ja sosiaalihuollon ilmoitusrekisteri. THL on antanut määräyksen asiakastietojen käyttöoikeuksien määrittelystä (THL 2017, ShAkL 22–23§)

• Käyttöoikeudet sidotaan palvelutehtäviin ja sosiaalipalveluihin, asiayhteys asiakkaaseen oltava

• Asiakasta on informoitava tietojen käsittelystä ja tietojen tarkastusoikeudesta ymmärrettävästi ja aktiivisesti.

• Tietosuojaselosteesta ja sen sisällöistä kertominen asiakkaalle on osa osallistavaa kirjaamista

Tietosuoja ja tietoturva

7

REKISTERIVELVOITE ERI TILANTEISSA

• Sosiaalipalvelun järjestäjällä on rekisterinpitovelvoite

• Jos joku muu organisaatio tuottaa palvelua palvelunjärjestäjän toimeksiannosta (palveluseteli, ostopalvelu jne.), kuuluvat palveluntuottajan asiakirjat palvelunjärjestäjän rekisteriin

‣ Jos palveluntuottaja hankkii osan palveluista alihankintana toiselta palveluntoteuttajalta (esim. siivouspalveluyritys), kuuluvat myös palveluntoteuttajan asiakirjat palvelunjärjestäjän rekisteriin

• Jos asiakas itse hankkii ja maksaa esim. lisäpalveluita palveluntuottajalta tai -toteuttajalta on kyseessä palvelun järjestäminen. Näiden palveluiden osalta palveluntuottaja tai -toteuttaja on rekisterinpitäjä.

Tietosuoja ja tietoturva

8Tietosuoja ja tietoturva

REKISTERINPITÄJÄN VELVOLLISUUKSIA

• Rekisterinpitäjän osoitusvelvollisuus

‣ Rekisterinpitäjän on osoitettava että yleisiä tietosuojaperiaatteita ja lakeja noudatetaan

• Henkilötietojenkäsittely organisaatiossa dokumentoitava

‣ Henkilötietojen käsittelyvaiheet henkilötietojen keräyksestä hävittämiseen

• Rekisterinpitäjän on varauduttava ilmoittamaan mahdollisista tietoturvaloukkauksista

• Henkilötietojen käsittelyssä automatisoidut yksittäispäätökset ja profilointi on kielletty

9Tietosuoja ja tietoturva

TIETOTURVALOUKKAUKSET

• Henkilötietojen tietoturvaloukkauksella tarkoitetaan tapahtumaa, jonka seurauksena henkilötietoja

‣ tuhoutuu

‣ häviää

‣ muuttuu

‣ henkilötietoja luovutetaan luvattomasti tai

‣ niihin pääsee käsiksi taho, jolla ei ole käsittelyoikeutta

10Tietosuoja ja tietoturva

TIETOTURVALOUKKAUSTEN DOKUMENTOINTI JA RISKIEN ARVIOINTI

• Arvioi minkä tasoinen riski tietoturvaloukkauksesta aiheutuu sen kohteena olleille henkilöille, esimerkiksi

‣ ei aiheudu riskiä

‣ aiheutuu riski

‣ aiheutuu korkea riski

• Riskin taso määrittää ne toimenpiteet, joihin rekisterinpitäjän on ryhdyttävä. Toimenpiteitä ovat esimerkiksi

‣ tietoturvaloukkauksen dokumentointi

‣ ilmoitus valvontaviranomaiselle

‣ ilmoitus rekisteröidylle

11Tietosuoja ja tietoturva

REKISTERÖIDYN OIKEUDET

1. Oikeus saada läpinäkyvää informaatiota henkilötietojen käsittelystä

2. Oikeus saada pääsy omiin tietoihin

3. Oikeus omien henkilötietojen oikaisemiseen

4. Oikeus omien henkilötietojen käsittelyn rajoittamiseen

5. Oikeus siirtää omat henkilötiedot järjestelmästä toiseen

6. Vastustamisoikeus

12

MITÄ ON TARPEEN KIRJATA?

Tietosuoja ja tietoturva

Voinko kirjata asiakkaan

uskontokunnan?

Onko tieto sosiaalihuollon järjestämisen

kannalta tarpeellinen?

13

MITÄ ON TARPEEN KIRJATA?

• Vaikka sosiaalihuollossa käsitellään arkaluonteisia ja salassa pidettäviä tietoja, ei se tarkoita, että mitä tahansa on tarpeellista käsitellä ja kirjata.

‣ Onko vaikkapa poliittinen tai uskonnollinen vakaumus sosiaalihuollon järjestämisen kannalta välttämätöntä? Ei aina, mutta joskus.

‣ Velvollisuus on kirjata sosiaalihuollon järjestämisen, suunnittelun, toteuttamisen, seurannan ja valvonnan kannalta tarpeelliset ja riittävättiedot (laki sosiaalihuollon asiakasasiakirjoista 254/2015: 4§)

• Asiakastietojen kirjaaminen tehdään asiakaskohtaisesti

‣ Useiden perheenjäsenten tietoja ei tule kirjata yhden perheenjäsenen tietoihin, jos he kaikki ovat asiakkaina

‣ Esimerkiksi lastensuojelussa asiakkaana voi olla vain lapsi, jolloin häntä koskeviin tietoihin kirjataan myös mm. perheeseen liittyviä tietoja.

• Asiakastiedot tulee kirjata siten, että niiden luovuttaminen asiakkaalle tai joissakin tapauksissa toiselle viranomaiselle on mutkatonta

Tietosuoja ja tietoturva

14

HENKILÖTIETOJEN KÄSITTELY

• Henkilötietojen käsittelyn osa-alueet:

‣ Asiakastietojen kirjaaminen‣ Asiakastietojen lukeminen‣ Tietojen vaihto viranomaisyhteistyössä

• Asiakastietoja saa käsitellä vain työtehtävien edellyttämässä laajuudessa

‣ Työntekijällä on siis vastuu, mitä tietoja käsittelee‣ Organisaation tulee määritellä työntekijöiden käyttöoikeudet

asiakastietoihin ‣ Tietojärjestelmän käyttöoikeuksien laajuus ei ole sama asia kuin tietojen

käyttöoikeus. Työntekijällä tulee olla myös asiayhteys asiakkaaseen.‣ Asiakastiedot eivät ole työhön perehdyttämisen tai koulutuksen väline‣ THL on antanut määräyksen käyttöoikeuksien määrittelystä, joka tuli

voimaan 1.7.2017 ja sovelletaan organisaation liittyessä asiakastiedon arkistoon tai viimeistään 1.1.2021

• Organisaatiossa tulee olla kattava tietoturva- ja tietosuojaohjeistus

Tietosuoja ja tietoturva

15

TIETOSUOJAN RIKKOMISEN HOUKUTUKSET

Tuttuja juttuja uutisoinneista?

Ilta-Sanomat 19.4.2016

Tietosuoja ja tietoturva

16

SALASSAPITOVELVOLLISUUS

• Laissa viranomaisten toiminnan julkisuudesta (621/1999: 22–25§) sekä erityislaeissa on määräyksiä salassapitovelvollisuudesta

• Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista täsmentää salassapitovelvoitetta (812/2000: 14–15 §):

‣ Kaikki sosiaalihuollon asiakastiedot ovat salassa pidettäviä

‣ Myös kirjaamaton tieto on salassa pidettävää – esimerkiksi tieto asiakkuudesta tai että asiakkuutta ei ole

‣ Salassapitovelvoite jatkuu vaikka tehtävien hoito loppuisi

‣ Myös yksityishenkilöllä on salassapitovelvoite jos hän on julkisuuslain mukaisen asianosaisaseman perusteella saanut salassa pidettäviä tietoja, jotka koskevat muita kuin häntä itseään. Voi tulla kyseeseen esimerkiksi huoltajan saadessa tietoja lapsestaan.

Tietosuoja ja tietoturva

17Tietosuoja ja tietoturva

TIETOSUOJAVASTAAVA

• EU:n tietosuoja-asetus (679/2016) ja asiakastietolaki (159/2007) velvoittavat sosiaali- ja terveydenhuollon palvelunantajan nimeämään tietosuojavastaavan

• Tiedätkö kuka toimii organisaatiossasi tietosuojavastaavana?

• Tietosuojavastaava esimerkiksi:

‣ Osallistuu tietosuojan toteutumisen suunnitteluun ja tietosuojariskien hallintaan

‣ Tukee henkilökuntaa ja rekisteröityjä tietosuoja-asioissa (mm. koulutus)

‣ Seuraa ja valvoo tietosuojan toteutumista

• Tietosuojavastaavaa kannattaa käyttää pohdinnan apuna kun askarruttavia kysymyksiä tulee eteen

18Tietosuoja ja tietoturva

Tiedätkö kuka on meidän organisaatiomme

tietosuojavastaava?

19

TIETOJEN TARKASTAMINEN, LUOVUTTAMINEN JA KORJAAMINEN

• Aihetta koskeva keskeinen lainsäädäntö:

‣ EU:n tietosuoja-asetus (679/2016). Uusi henkilötietojen käsittelyä sääntelevä laki, jota on sovellettu kaikissa EU-maissa 2018 alkaen

‣ Laki viranomaisen toiminnan julkisuudesta (621/1999): salassa pidettäviä tietoja voi saada asianosaisuuden perusteella jos tiedot ovat voineet vaikuttaa asianosaisen asian käsittelyyn

‣ Laki potilaan asemasta ja oikeuksista (785/1992)

• Tietojen tarkastamis-, luovuttamis-, poistamis- ja korjaamispyyntöjen käsittelyn toimintaohjeista omassa organisaatiossa kannattaa ottaa selvää

• Tietojen luovuttamisen perusteet on syytä harkita kussakin tapauksessa erikseen

Tietosuoja ja tietoturva

20

TIETOJEN TARKASTAMISTA JA LUOVUTTAMISTA MÄÄRITTELEVÄT LAIT

Laissa sosiaalihuollon asiakasasiakirjoista (254/2015) säädetään myös, mitä tietoja on kirjattava:

• Kun asiakasta koskevia tietoja luovutetaan sivulliselle (10§)

• Kun asiakasta koskevia tietoja saadaan asiakkaalta itseltään tai sivulliselta (11§)

• Jos alaikäinen asiakas kieltää asiakastietojen antamisen lailliselle edustajalleen tai jos tämä kielto-oikeus evätään (12§)

Tietosuoja ja tietoturva

21

TIETOJEN LUOVUTTAMINEN

Asiakastietoja voi luovuttaa asiakkaan suostumuksella:

‣ Suostumuksen on oltava nimenomainen eli yksilöity (nimetyt asiat, aikaväli, kenelle jne.)

‣ Asiakkaalla on oikeus perua suostumuksensa

‣ Asiakkaan on ymmärrettävä suostumuksen merkitys

‣ Käytännössä usein kirjallinen suostumus

Ilman suostumusta tietoja voidaan luovuttaa:

‣ Asiakaslain 17–18§, julkisuuslaki 26–30 § sekä potilaslaki 6§, 9§, 13§ mukaisesti

‣ Lisäksi erityislakeihin perustuen (esim. poliisilaki, perusopetuslaki, oppilas- ja opiskelijahuoltolaki)

‣ Lastensuojelulain säännökset

Tietosuoja ja tietoturva

22

SUOSTUMUSKÄYTÄNNÖT JA VALTUUTUKSET• Oikeudellinen ennakointi

‣ Edunvalvontavaltuutus: asioidenhoitajan nimeäminen etukäteen, jos ei itse kykene hoitamaan asioitaan tulevaisuudessa.

‣ Hoitotahto: tehdään omien elämänarvojen noudattamiseksi ja mahdollisten hoitoratkaisujen toteutumiseksi omien toiveiden mukaisesti. Hoitohenkilökunta on velvollinen noudattamaan hoitotahtoa.

• Omatyöntekijä (sosiaalihuoltolain mukainen)

‣ Salassa pidettävien tietojen saaminen edellyttää lähtökohtaisesti asiakkaan suostumusta, mutta esimerkiksi asiakaslain 20§ antaa sosiaalihuollon viranomaiselle oikeuden saada tietoja sosiaalihuollon järjestämiseksi

‣ Ikälain 17§ vastuutyöntekijästä kumottu ja iäkkäille nimetään sosiaalihuoltolain mukainen omatyöntekijä

• Edunvalvoja: Voidaan määrätä jos henkilö ei kykene valvomaan etujaan tai huolehtimaan asioistaan -> Laaja tiedonsaantioikeus päämiestään koskevissa asioissa

Tietosuoja ja tietoturva

23

LOKITIEDOT

• Lokirekisteriin tallentuu tietoa siitä, kenen tietoja työntekijä käsittelee ja mitä hän niille tekee

‣ ”Lähes jokainen hiiren klikkaus tallentuu”

• Yksittäiselle työntekijälle voi kertyä yli 1000 riviä lokitietoa päivässä

Tietosuoja ja tietoturva

24

LOKIREKISTERI JA SEURANTA

• Asiakkaalla on oikeus saada viivytyksettä lokirekisterin perusteella maksutta tieto siitä, kuka on käyttänyt tai kenelle on luovutettu häntä koskevia tietoja sekä mikä on ollut käytön tai luovutuksen peruste (asiakastietolaki 18§)

‣ Kahta vuotta vanhempia lokitietoja ei ole oikeutta saada, jollei siihen ole erityistä syytä (esim. virkarikos vanhenee 5 vuodessa)

‣ Lokitietojen tarkistamisesta EI SAA laittaa merkintää asiakaskertomukseen vaan tiedonpyynnöt tulee kirjata muuhun rekisteriin

• Koska lokitietoa kertyy paljon, asiakkaita olisi hyvä auttaa rajaamaan lokitietojen pyytämistä

Tietosuoja ja tietoturva

25

LOKIREKISTERI JA SEURANTA

• Työntekijälle on myönnetty työtehtäviensä mukaiset käyttöoikeudet asiakastietoihin ja usein asiaan sitoutetaan myös kirjallisella käyttöoikeussitoumuksella

• Tietojärjestelmän käyttöoikeuksien laajuus ei ole sama asia kuin tietojen käyttöoikeus. THL on antanut 20.6.2017 määräyksen käyttöoikeuksien määrittelystä.

• Työntekijöiden lokitietoja tulee seurata organisaatioissa myös pistokokein

Tietosuoja ja tietoturva

26

TIETOSUOJAN KERTAUS

• Tietosuoja

• Henkilörekisterit

• Tietojen tarkastaminen, korjaaminen ja luovuttaminen

• Käyttöoikeudet ja lokitiedot

Tietosuoja ja tietoturva

Kerrataanpa vielä!

27Tietosuoja ja tietoturva

Jokaisessa viranomaisessa tai julkishallinnon

organisaatiossa tulee olla tietosuojavastaava, joka

neuvoo ja ohjaa tietosuojan toteuttamista.

Tietosuojavaltuutetun toimisto tukee ja

tiedottaa valtakunnallisestiwww.tietosuoja.fi

Myös Aluehallintovirastoissa

neuvotaan rekisteriasioissa

28

MITÄ TIETOTURVALLA TARKOITETAAN?

Tietosuoja ja tietoturva

29

TIETOTURVA TIETOJENKÄSITTELYN EETTISENÄ PERIAATTEENA

Asianmukaisesti kerätyt henkilötiedot on suojattava kaikin kohtuullisin ja asianmukaisin keinoin tuhoutumista, turmeltumista sekä̈ luvatonta tuhoamista, saatavuutta, käyttöä, käsittelyä̈, muuntelua tai välittämistä̈ vastaan.

Sosiaali- ja terveydenhuollon tietojenkäsittely-yhdistyksen asiantuntijaryhmä 2015:12

Tietosuoja ja tietoturva

30

TIETOTURVA JA TIETOTURVALLISUUS

• Tietoturvalla ja tietoturvallisuudella tarkoitetaan järjestelyitä, joilla pyritään varmistamaan tiedon saatavuus, eheys ja luottamuksellisuus

‣ Saatavuus – tiedot eivät tuhoudu ja ovat saatavilla

‣ Eheys – tiedot ovat paikkansa pitäviä ja ne ovat oikeassa paikassa

‣ Luottamuksellisuus – tietoja käyttävät ne, joilla on siihen oikeus ja tiedot eivät joudu vääriin käsiin

• Tietoturvan järjestelyihin kuuluvat:

‣ kulunvalvonta, tilojen lukitus, asiakirjojen turvallinen säilytys ja hävitys, tietojen salaus ja varmuuskopiointi sekä palomuurin, virustorjuntaohjelman ja varmenteiden käyttö

‣ tietoaineistojen, laitteistojen, ohjelmistojen, tietoliikenteen ja toiminnan turvaaminen

Sanastokeskus TSK 2018

Tietosuoja ja tietoturva

31

TIETOTURVAN OSA-ALUEET

• Fyysinen turvallisuus

• Hallinnollinen turvallisuus

• Henkilöstöturvallisuus

• Käyttöturvallisuus

• Laitteistoturvallisuus

• Ohjelmistoturvallisuus

• Tietoaineistoturvallisuus

• Tietoliikenneturvallisuus

Valtionvarainministeriö 2007

Tietosuoja ja tietoturva

Näitä kutsutaan myös tietoturvan

kehiksi

32

ASIAKASTIETOJEN KÄSITTELYN TIETOTURVARISKIT

• Asiakastietojen tallentaminen muualle kuin tietojärjestelmään

• Suojaamattoman sähköpostin tai muun viestintäkanavan käyttö

• Tietokoneen lukitsematta jättäminen

• Esillä olevat kalenterit tai muistikirjat

• Huolimattomuus salasanojen käsittelyssä

• Mobiililaitteiden puutteellinen suojaus

• Asiakasasioista puhuminen sivullisten kuullen (myös puhelinkeskustelut)

• Tietosuojajätteen huolimaton käsittely

Tietosuoja ja tietoturva

33Tietosuoja ja tietoturva

Googlaapa ”tietojenpalautusohjelma”!

Tallensin asiakastietoja vain

hetkeksi muistitikulle…

34

TOIMITKO TIETOTURVALLISESTI?

• Tunnetko organisaatiosi tietoturvakäytännöt ja -ohjeet? Oletko lukenut ja sisäistänyt ne?

• Oletko osallistunut tietoturvakoulutuksiin säännöllisesti?

• Tiedätkö, kuka on organisaatiosi tietoturvasta vastaava henkilö, tietoturvavastaava?

• Lukitsetko tietokoneen poistuessasi sen luota? Jätätkö kannettavan näkyville autoon tai hotellihuoneeseen? Jätätkö kalenterin tai muistikirjan näkyville?

• Ovatko salasanasi vain sinun tiedossasi? Vaihdatko salasanoja säännöllisesti?

Ks. esim. Valtionhallinnon tietoturvallisuuden johtoryhmä 2013:11

Tietosuoja ja tietoturva

35

SALASANAT

• Salasana on nopea murtaa – luo salalause!

• Käytä salalauseessa suomenkielisiä, murteellisia sanoja ja lisää joukkoon kirotusvihre tae usseempihhii

Tietosuoja ja tietoturva

Käytä isoja ja pieniä kirjaimia, erikoismerkkejä ja

numeroita

36

TIETOTURVAN PERUSASIAT

1. Pidä tietoa tärkeänä ja suhtaudu siihen tarvittavalla vakavuudella – asenne

2. Jos et itse osaa jotain tietoturvan seikkaa, kysy rohkeasti

3. Tekninen tietoturvallisuus ei välttämättä ole kaikkein suurin riski

Tietosuoja ja tietoturva

Nämä muistamalla

pääset jo pitkälle!

37

KESKEINEN LAINSÄÄDÄNTÖ

EU:n tietosuoja-asetus 2016/679. https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=fi

Tietosuojalaki 5.12.2018/1050. https://www.finlex.fi/fi/laki/ajantasa/2018/20181050

Laki sosiaalihuollon asiakasasiakirjoista 20.3.2015/254. http://www.finlex.fi/fi/laki/ajantasa/2015/20150254

Sosiaalihuoltolaki 1301/2014. https://www.finlex.fi/fi/laki/ajantasa/2014/20141301

Laki ikääntyneen väestön toimintakyvyn tukemisesta sekä iäkkäiden sosiaali- ja terveyspalveluista 28.12.2012/980. http://www.finlex.fi/fi/laki/ajantasa/2012/20120980

Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista 22.9.2000/812. https://www.finlex.fi/fi/laki/ajantasa/2000/20000812

Laki viranomaisten toiminnan julkisuudesta 21.5.1999/621. http://www.finlex.fi/fi/laki/ajantasa/1999/19990621

Laki potilaan asemasta ja oikeuksista 17.8.1992/785. http://www.finlex.fi/fi/laki/ajantasa/1992/19920785

Tietosuoja ja tietoturva

38

LÄHTEET

Sanastokeskus TSK ry. 2018. Kyberturvallisuuden sanasto. https://turvallisuuskomitea.fi/wp-content/uploads/2018/06/Kyberturvallisuuden-sanasto.pdf

Sosiaali- ja terveydenhuollon tietojenkäsittely-yhdistyksen asiantuntijaryhmä. 2015. Terveystiedon tietojenkäsittelyn eettiset ohjeet. http://www.stty.org/images/Terveystiedon_tietojenk%C3%A4sittelyn_ammattihenkil%C3%B6iden_eettiset_ohjeet.pdf

Terveyden ja hyvinvoinnin laitos. 2017. Määräys käyttöoikeuksien määrittelyn perusteista sosiaalihuollon asiakastietoihin. Määräys 1/2017. https://thl.fi/documents/920442/2816495/THL_Maarays_1_2017_Kayttooikeuksien_maarittelyn_perusteet_sosiaalihuollon_asiakastietoihin.pdf

Valtiovarainministeriö. 2007. Tietoturvallisuudella tuloksia. Yleisohje tietoturvallisuuden johtamiseen ja hallintaan. https://www.vahtiohje.fi/c/document_library/get_file?uuid=d0bc6cbd-1626-47aa-99d7-01352f5aede1&groupId=10229

Valtionhallinnon tietoturvallisuuden johtoryhmä. 2013. Henkilöstön tietoturvaohje. Valtiovarainministeriö. https://www.vahtiohje.fi/web/guest/4/2013-henkiloston-tietoturvaohje

Tietosuoja ja tietoturva

39

OHEISLUKEMISTO

Andreasson, Ari; Koivisto, Juha & Ylipartanen, Arto. 2014. Tietosuojavastaavan käsikirja.

Helsinki: Tietosanoma.

Kuntaliitto. 2015. Uusi sosiaalihuoltolaki sekä lastensuojelulain ja muiden lakien

muutokset. Yleiskirje 9/2015.

Liikenne- ja viestintävirasto Traficom. Kyberturvallisuuskeskus: Ohjeet ja oppaat.

Muistiliitto. Edunvalvontavaltuutus.

Oikeusministeriö. Tietosuojavaltuutetun toimisto. tietosuoja.fi

Oikeusministeriö. 2017. EU:n yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän

(TATTI) mietintö. Oikeusministeriön mietintöjä ja lausuntoja 35/2017.

Oikeusministeriö. Tietosuojavaltuutetun toimisto. 2017. Miten valmistautua EU:n

tietosuoja-asetukseen? Oikeusministeriön julkaisu 4/2017.

Puolustusministeriö. Turvallisuuskomitea. 2017. Kodin kyberopas – ohjeita digitaaliseen

arkeen.

Tietosuoja ja tietoturva

40

OHEISLUKEMISTO

Sanastokeskus TSK ry. 2017. Kokonaisturvallisuuden sanasto.

Suomen muistiasiantuntijat ry. 2016. Miten turvaan tahtoni toteutumisen? Opas

oikeudelliseen ennakointiin.

Suomen tietosuojapalvelut Oy. OpiTietosuojaa.fi

Terveyden ja hyvinvoinnin laitos. 2015. Määräys omavalvontasuunnitelmaan

sisällytettävistä selvityksistä ja vaatimuksista. Määräys 2/2015.

Tietoturva ry. tietoturva.fi

Ulkoministeriö. Kansallinen turvallisuusviranomainen. Katakri – tietoturvallisuuden

auditointityökalu viranomaisille.

Valtiovarainministeriö. Julkisen hallinnon digitaalisen turvallisuuden johtoryhmän

(VAHTI) ohjesivusto.

Valtiovarainministeriö. 2015. Tietoturvasarjakuvat.

Tietosuoja ja tietoturva

41Tietosuoja ja tietoturva