Tietoturva ja tietosuoja

Suomi.fi-viestien suunnittelussa ja tuottamisessa on otettu huomioon tietoturvallisuuteen liittyvät vaatimukset. Palvelun tuotantoympäristö on turvallinen ja tehdyt integraatiot ja yhteydet palveluun on toteutettu vaatimusten mukaisesti.

DVV hyödyntää riskienhallintamenetelmää, jonka avulla arvioidaan palvelun tietoturvavaatimusten täyttymisen tarvetta ja toteutusta. Lisäksi palvelun riskejä seurataan säännöllisesti.

Palvelun suunnittelussa ja tuottamisessa on otettu huomioon tietoturvallisuuteen ja tietosuojaan liittyvä lainsäädäntö. Henkilötietojen käsittelystä on laadittu tietosuojaseloste. Palvelun suunnittelussa ja toteutuksessa on otettu huomioon henkilötietojen käsittelyyn liittyvät tietoturvavaatimukset.

DVV:n tietoturvasertifikaatti on ISO/IEC 27001:2022-standardin mukainen. Suomi.fi-viestien tuotantoympäristöä on auditoitu tietoturvan osalta tämän standardin mukaisesti.

Voitte lukea Digi- ja väestötietoviraston sertifikaateista lisää dvv.fi-sivustolla.
Avautuu uuteen ikkunaan.
DVV tekee säännöllisesti suorituskykytestauksia. Muutostilanteissa muutosten toimivuutta ja palvelun tietoturvallisuutta testataan etukäteen. Testaamisella varmistetaan myös tietojen yhdistämisen oikeellisuus sekä palvelun häiriötön hyödyntäminen muutostilanteissa. DVV on laatinut testaussuunnitelman Suomi.fi-palveluille.

Palvelun tietoturvaa auditoivat säännöllisesti sekä DVV että ulkopuoliset tahot.

Palvelun käytettävyyttä ja toimintavarmuutta seurataan automaattisen monitoroinnin avulla.

Valvonta ja häiriötilanteet

Palvelun suunnittelussa ja toteutuksessa on otettu huomioon normaalit, odotettavissa olevat ulkoiset häiriöt ja tietoturvauhat. Palveluun on luotu prosessit valvontaa ja häiriöhallintaa varten.

Häiriötilanteista tiedotetaan Suomi.fi kehittäjille -sivustolla. Joissain tapauksissa muutoksista lähetetään tiedote myös organisaationne ilmoittamaan yhteyssähköpostiosoitteeseen.

Organisaationne Suomi.fi-viestien liitynnän tietoturvasta huolehtiminen on välttämätön ylläpitotoimi, josta voitte lukea lisää Tekninen ylläpito -sivulta.

Suomi.fi-viesteistä ja palvelun tuottamisesta ja kehittämisestä säädetään hallinnon yhteisistä sähköisen asioinnin tukipalveluista annetussa laissa (Tukipalvelulaki, 571/2016Avautuu uuteen ikkunaan.). Henkilötietojen käsittely Suomi.fi-viesteissä perustuu siten DVV:n lakisääteisen velvoitteen noudattamiseen. Käsitellessään tietoja tilastointitarpeisiin tai Suomi.fi-viestien käytön määrän sekä kustannusten selvittämistä varten henkilötietojen käsittely perustuu yleisen edun mukaisen tehtävän suorittamiseen. Tilastointitarpeisiin tietoja käytettäessä tiedot kerätään ja julkaistaan siten, että yksittäinen luonnollinen henkilö (tai yritys) ei ole tunnistettavissa.

DVV toimii rekisterinpitäjänä Suomi.fi-viestejä koskevan henkilötietojen käsittelyn osalta. Henkilötietojen käsittelyyn ei liity yhteisrekisterinpitäjyyttä. Asiakasorganisaatio toimii rekisterinpitäjänä lähettämiensä viestien viestisisällön osalta.

Käsitellyt loppukäyttäjien henkilötiedot, niiden tietolähteet ja säilytysajat on avattu tarkemmin Suomi.fi-verkkopalvelussa TietosuojaselosteellaAvautuu uuteen ikkunaan.. DVV on määritellyt Suomi.fi-viestien rekisterin tietojen säilytysajat tukipalvelulain, tietosuojalainsäädännön, tiedonhallintalain sekä muun relevantin lainsäädännön perusteella. Palvelussa on tehty arviointi henkilötiedon minimoinnin osalta. Käsiteltävien henkilötietojen tarpeellisuutta myös arvioidaan aina osana uusien toiminnallisuuksien kehittämisprosessia.

Suomi.fi-viestien asiakasorganisaatioiden edustajien yhteystietoja käytetään

• organisaation tekemän liitynnän käyttöönottoon ja ylläpitoon
• Suomi.fi-viesteihin tehdyistä muutoksista tiedottamiseen
• häiriötiedottamiseen
• asiakasymmärryksen keräämiseen.

Yhteysosoitteeksi määritelty sähköpostiosoite voi sisältää yksittäisen henkilön nimen. Lisäksi asiakasorganisaatio voi halutessaan lisätä edustajansa nimen loppukäyttäjälle lähettävään viestiin.

Koska Suomi.fi-viesteihin rekisteröitävät henkilötiedot saadaan joko väestötietojärjestelmästä tai käyttäjältä itseltään ja kerättyjä tietoja on vain muutama, riski tiedon epätarkkuudelle on hyvin pieni.

Suomi.fi-viestien rekisteri on suojattu pääsynhallinnan keinoin ja palvelimille on pääsy vain valtion sisäverkosta. Henkilötietoja suojataan lisäksi käytönvalvonnalla sekä henkilötietojen käsittelyn ohjeistuksella. Tietoja käsittelevät virkamiehet toimivat virkavastuulla. Tietoja käsitteleville henkilöille on tehty turvallisuusselvitys ja he ovat allekirjoittaneet vaitiolositoumuksen. Tämän lisäksi Suomi.fi-viestien käytöstä tallennettujen tietojen käsittelyn laillisuus varmistetaan tallentamalla lokinlokitietoja DVV:n työntekijöiden ja konsulttien osalta. Lokinlokiin tallennetaan tieto tietojen käsittelijästä, käsittelyn ajankohdasta sekä käytetyistä hakutermeistä.

DVV tuottaa ja kehittää Suomi.fi-viestejä tukipalvelulain 4.1 §:n perusteella. Tukipalvelulain 11.1 §:n perusteella DVV pitää viranomaistoimintaan liittyvän sähköisen tiedoksiannon toteuttamista varten rekisteriä käyttäjien antamista sähköistä tiedoksiantomenettelyä koskevista yleisistä suostumuksista. Tukipalvelulain 12 §:n perusteella DVV:lla on oikeus käsitellä tukipalvelulain 9 §:ssä tarkoitettuja henkilö- ja muita tietoja Suomi.fi -viestit palvelun tuottamiseksi ja kehittämiseksi. Lisäksi tapahtumatietojen ja lokitietojen keräämisestä on säädetty tukipalvelulaissa (13 § ja 20 §).

Lisätietoja tietosuojasta:

• Suomi.fi-viestien tietosuojaseloste on saatavilla Suomi.fi-verkkopalvelussa.Avautuu uuteen ikkunaan.
• Palveluun liittyvän organisaation tulee hyväksyä Suomi.fi-viestien käyttöehdot, jotka sisältävät myös henkilötietojen käsittelyä koskevia ehtoja. Käyttöehdot ovat saatavilla Käyttöluvan hakeminen -sivulla.