VAHTI hyvät käytännöt

Digitaalisen turvallisuuden riskienhallinta

Ohjeita on rajattu esikysymysten perusteella. Voit muokata vastauksia oppaan aloitussivulla.

Tietosuojaan liittyvät prosessit

Mitä tietosuojan liittyvät prosessit ovat?

Tietosuojaan liittyvillä prosesseilla pyritään varmistamaan, että

tietosuojaan liittyviä riskejä minimoidaan,
rekisteröityjen oikeudet toteutuvat asianmukaisesti
tietosuojaan liittyvät vaatimukset toteutetaan.

Tietosuojaan liittyvät riskienhallintaprosessit varmistavat myös, että käsittelytoimet, riskien hallintatoimet ja varautumiseen ja jatkuvuuden hallintaan liittyvät toimet ovat ajantasaisia, tarvittavien tahojen tiedossa ja harjoiteltuja.

Periaatteita ovat

käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys
käyttötarkoitussidonnaisuus
tietojen minimointi
täsmällisyys
säilytyksen rajoittaminen
käsittelyn eheys ja luottamuksellisuus, eli käsittelyn tietoturvan toteutuminen
osoitusvelvollisuus.

Muita tietosuojan prosesseihin liittyviä periaatteita ovat

rekisteröidyn oikeuksien toteutuminen
käsittelyn lainmukaisuuden tunnistaminen ja varmistaminen
erityisten henkilötietojen tunnistaminen
rekisterinpitäjän vastuun toteutuminen
sisäänrakennetun ja oletusarvoisen tietosuojan toteutuminen
käsittelijöiden vastuiden toteutuminen ja niistä dokumentoitu sopiminen
rekisteröityjen informointi
käsittelyn turvallisuuden varmistaminen
tietoturvaloukkauksista ilmoittaminen niin rekisterinpitäjälle, tietosuojavastaavalle kuin kansalliselle valvontaviranomaiselle sekä tietyissä tilanteissa rekisteröidyille.

Edellä mainittujen tietosuojan keskeisten vaatimusten ja periaatteiden toteuttaminen edellyttää etukäteen suunniteltuja prosesseja. Näillä prosesseilla varmistetaan tietosuojaan liittyvien riskien eliminointi, minimointi ja toisaalta vaatimusten mukainen toiminta tietosuojaan liittyvän riskin lauetessa.

Päivitetty: 28.10.2024

Huomioi sidosryhmät ja palveluketjut

Koska palveluketjut saattavat olla joskus hyvinkin pitkiä, riskienhallinnan kattavuus ja laaja-alaisuus on tärkeää. Henkilötietojen siirrot ja luovutukset edellyttävätkin sidosryhmien ja palveluketjujen huomioimista tietosuojan riskienhallinnassa.

Rekisterinpitäjän tulee

joko hallita oman toimintaympäristön riskien lisäksi myös sidosryhmien ja toimittajien toimintaympäristöjen riskit tai
muutoin varmistaa, että sidosryhmät ja toimitusketjuihin osallistuvat käsittelijät huomioivat oman ja alihankkijoidensa toimintaympäristöjen riskit.

Hyviä käytäntöjä ovat esimerkiksi

kattavat vaatimusmäärittelyt esimerkiksi hankinnoissa ja toiminnan kehittämisessä
tietosuojan vaikutustenarvioinnin laatiminen
tietosuojasopimukset ja -liitteet sidosryhmille ja
toimitusketjujen organisaatioiden sitouttaminen tuottamaan ja noudattamaan tietosuojaan liittyviä periaatteita.

Tietosuojasopimuksissa ja tietosuojaa käsittelevissä sopimusliitteissä tulee varmistaa, että sopimuskumppanit ja sidosryhmät sitoutuvat varmistamaan tietosuojan toteutumisen omien alihankintaketjujensa osalta.

Henkilötietoja käsitellään yleensä sellaisissa tietojärjestelmissä, joita rekisterinpitäjä ei itse tuota. Alihankintaketjut ovat usein pitkiä, ja tietosuojasta vastaa monia toimijoita, joilla voi olla vaihtelevia tietosuojakäytäntöjä. Tietosuojan vaikutustenarviointiin tuleekin osallistaa kaikkien käsittelyketjuun osallistuvien toimijoiden eli käsittelijöiden edustajat.

Jos rekisterinpitäjä (kuten esimerkiksi hyvinvointialue) ei ole itse rakentanut käyttämäänsä pilvipalvelussa sijaitsevaa tietojärjestelmää, jossa käsitellään henkilötietoja, vaikutustenarvioinnin laatimiseen tulee ottaa mukaan

käsittelijän (eli esimerkiksi tietojärjestelmätoimittajan) edustaja ja
käsittelijän alla olevan mahdollisen alikäsittelijän (esimerkiksi pilvipalvelun tekninen tuottaja) edustaja.

Päivitetty: 28.10.2024

Seuraa prosessien toimivuutta

Tietosuojan toimintaympäristö muuttuu jatkuvasti: tekniikka kehittyy, sääntely kehittyy ja lisääntyy ja maailmanpoliittiset tilanteet muuttuvat. Kaikki nämä vaikuttavat tietosuojan toteutumiseen, ja tietosuojan riskienhallintaan liittyvien prosessien toimivuutta ja tehokkuutta tulee seurata säännöllisesti.

Päivitetty: 28.10.2024

Oletko tyytyväinen tämän sivun sisältöön?

Muistilista

Digitalisoi asiointipolkusi

Tehosta tiedonhallintaa

Paranna palveluiden laatua

Turvaa tietosi

Jaa, avaa ja hyödynnä tietoa

Tehosta tiedonhallintaa

Turvaa tietosi

Kehitä vastuullisesti

Jaa, avaa ja hyödynnä tietoa

Tietosuojaan liittyvät prosessit

Mitä tietosuojan liittyvät prosessit ovat?

Prosesseilla varmistetaan, että henkilötietojen käsittelyn periaatteet toteutuvat

Huomioi sidosryhmät ja palveluketjut

Mitkä ovat hyviä käytäntöjä sidosryhmien ja toimitusketjujen riskienhallinnan varmistamiseksi?

Henkilötietoja siirretään rekisterinpitäjien ja käsittelijöiden välillä

Ota henkilötietojen käsittelijöiden ja alikäsittelijöiden edustajat mukaan vaikutustenarviointiin

Seuraa prosessien toimivuutta

Seuraa prosessien toimivuutta ja vaikuttavuutta vuosikellojen avulla

Osallista tietosuojavastaava tietosuojaprosessien kehittämiseen ja ylläpitoon

Oletko tyytyväinen tämän sivun sisältöön?