Tietoturva- ja tietosuojaperiaatteet

Tietoturva- ja tietosuojaperiaatteet osana Omnian strategiaa

Tietoturva- ja tietosuojaperiaatteet ovat osa Espoon seudun koulutuskuntayhtymä Omnian strategiaa ja osaltaan tukevat sen tavoitteiden toteutumista. Periaatteilla määritellään koulutuskuntayhtymän tietoturvallisuuden ja tietosuojan tavoitteet, vastuut sekä toteutuskeinot.

Tietoturva- ja tietosuojaperiaatteet koskevat kaikkia Omnian työntekijöitä ja opiskelijoita. Kyse on erityisesti sähköisesti käsiteltävistä rekistereistä ja aineistoista, mutta myös muita aineistoista ja tuotoksista. Tietoturva- ja tietosuojaperiaatteet tukevat osaltaan Omnian kokonaisturvallisuutta ja turvallisuusohjelman toteutusta.

Tietoturvallisuuden ja tietosuojan organisointi sekä vastuut

Henkilökunnalla ja opiskelijoilla on vastuu tietoturvallisuuden ja tietosuojan toteuttamisesta omalta osaltaan. Jokainen Omnian tietojenkäsittelyjärjestelmien käyttäjä on velvollinen noudattamaan organisaation käyttösääntöjä ja tietoturva- sekä tietosuojaohjeita.

Tietoturvallisuutta ja tietosuojaa johtaa koulutuskuntayhtymän johtaja. Tietojärjestelmien omistajilla on vastuu omien järjestelmiensä tietoturvallisuuden ja tietosuojan toteuttamisessa. Omnian tietoturva- ja tietosuojaryhmä vastaa tietoturva- ja tietosuojaperiaatteiden laatimisesta sekä niiden päivittämisestä, koulutuskuntayhtymää koskevista yleisistä ohjeistuksista sekä tietoturva- ja tietosuojatyön kehittämisen suunnittelemisesta. Vastuu tietoturvallisuuden ja tietosuojan vaatimuksenmukaisuuden toteutumisesta on organisaation johdolla ja esimies vastaa tieturvallisuuden ja -suojan toteutumisesta omalla vastuualueellaan.

Tietoturva- ja tietosuojavastaavan tehtäviin kuuluu Omnian tietoturvallisuuden ja tietosuojan kartoittaminen, kehittäminen, toteuttamisen valvonta sekä tietoturva- ja tietosuojatietouden edistäminen.

Turvallisuusryhmä vastaa Omnian kokonaisturvallisuudesta. Sen vastuulla ovat erityisesti kriisitilanteiden hallinta sekä kiinteistö-, palo-, henkilö- ja ympäristöturvallisuus.

Käsitteitä

Tietoturvallisuus tarkoittaa etenkin tietojenkäsittelyn ja tietoliikenteen turvaamista, mutta se kattaa kaiken tiedon suojaamisen. Tietoturvatoimet koskevat siten sähköisessä, audiovisuaalisessa, suullisessa ja kirjallisessa muodossa oleva tiedon käsittelyä, siirtoa ja säilyttämistä. Tietoturvallisuus rakentuu tiedon luottamuksellisuudesta, eheydestä ja saatavuudesta.

  • Luottamuksellisuus tarkoittaa, että tiedot ovat sovituilla tavoilla ja sovittuun aikaan vain kyseisiin tietoihin oikeutettujen henkilöiden ja organisaatioiden saatavilla eikä niitä paljasteta tai muutoin saateta sivullisten tietoon.
  • Eheys tarkoittaa, että tiedot eivät muutu, vahingoitu tai tuhoudu hallitsemattomasti. Tiedot ja tietojärjestelmät ovat luotettavia, oikeellisia ja ajantasaisia. Eheyteen liittyy tiedon kiistämättömyys, jolla tarkoitetaan tiedonkäsittelytoimenpiteiden suorittamista siten, että voidaan todistaa käyttäjien tapahtumat tiettyinä aikoina.
  • Saatavuus tarkoittaa, että tiedot ja niiden muodostamat palvelut ovat toiminnan kannalta hyväksyttävän ajan kuluessa niihin oikeutettujen tahojen käytettävissä tai saatavilla. Saatavuudesta käytetään usein myös termiä käytettävyys.

Tietosuoja tarkoittaa henkilön yksityisyyden suojaamista ja siihen kuuluu henkilötietojen oikeaoppinen käsittely. Tietosuojassa on kyse rekisteröidyn oikeuksista ja rekisterinpitäjänä Omnialla on vastuu henkilötietojen käsittelyn lainmukaisuudesta. EU:n yleinen tietosuoja-asetus (EU) 2016/679 sisältää säännökset rekisteröidyn oikeuksista sekä rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuuksista. Asetusta täydentää ja täsmentää tietosuojalaki 1050/2018, joka toimii henkilötietojen käsittelyä koskevana yleislakina.

Tietoturva- ja tietosuojatyön tavoitteet sekä toteutuskeinot

Omnian tietoturvatyön tavoitteena on turvata kuntayhtymän keskeiset toiminnot ja estää tietojen ja tietojärjestelmien valtuudeton käyttö. Tavoitteena on myös estää tiedon tahallinen tai tahaton tuhoutuminen sekä minimoida mahdolliset aiheutuvat vahingot. Tietosuojatyön tavoitteena on taata henkilötietojen lainmukainen käsittely ja sen myötä henkilön yksityisyyden suojaaminen sekä rekisteröidyn oikeuksien turvaaminen.

Omnian tavoitteena on, että tietoturvallisuus ja tietosuoja ovat hyvää kansallista tasoa ja tietoturvallisuuden perustaso kattaa koulutuskuntayhtymän koko tietojenkäsittelyn.

Tiedottaminen

Kuten muustakin koulutuskuntayhtymän ulkoisesta viestinnästä, myös tietoturva- ja tietosuoja-asioista tiedottamisesta Omnian ulkopuolelle vastaa kuntayhtymän johtaja. Sisäisestä viestinnästä vastaa tietosuojavastaava.

Seuranta, kehittäminen ja ongelmien käsittely

Jokaisen käyttäjän tulee ilmoittaa havaitsemistaan tai epäilemistään puutteista sekä tietoturva- ja tietosuojarikkomuksista tai -poikkeamista osoitteeseen tietoturva@omnia.fi. Tietoturva- ja tietosuojaryhmä analysoi poikkeaman vakavuuden sekä päättää toimenpiteistä. Tietoturvarikkomusten seuraamukset määritellään erikseen tietoverkon käyttösäännöissä.

Tietoturva- ja tietosuojaperiaatteet ohjaavat Omnian tietoturvallisuuden ja tietosuojan kehittämistä ja tietoturva- ja tietosuojaryhmä tarkistaa periaatteet säännöllisesti. Tietoturva- ja tietosuojariskit kartoitetaan vuosittain, minkä tavoitteena on toimintaa vaarantavien uhkien tunnistaminen. Periaatteiden ja riskikartoituksen lisäksi tietoturva- ja tietosuojatyön kehittämistä linjaa vuosittain laadittava tietotilinpäätös.

Vahvistettu vs. kuntayhtymän johtajan päätöksellä 13.2.2019 § 5.

Lisätietoja antaa
Helpdesk
+358400223112
ithelp@omnia.fi

Lisätietoa:
Helpdesk-sivut