Usein kysytyt kysymykset | Tietosuoja ja tietoturva
Kokoamme tänne sivulle usein kysyttyjä kysymyksiä sekä vastauksia tietosuojaan ja tietoturvaan liittyen. Julkaisemme aiheesta myös somesarjaa somekanavissamme – Facebookissa, Instagramissa ja LinkedInissä.
Mitä tarkoittaa haavoittuvuus tietosuojan ja tietoturvan osalta?
Haavoittuvuus on mikä tahansa heikkous, joka mahdollistaa vahingon toteutumisen tai jota voidaan käyttää vahingon aiheuttamisessa. Haavoittuvuuksia voi olla tietojärjestelmissä, prosesseissa ja ihmisen toiminnassa.
Mikä on haittaohjelma?
Haittaohjelma aiheuttaa tahallisesti tietojärjestelmän tai laitteen käyttäjän kannalta ei-toivottuja ennalta-arvaamattomia tapahtumia käytössä olevassa laitteessa tai ohjelmistossa.
Kuinka haittaohjelmilta voi suojautua?
- Pidä käyttöjärjestelmät päivitettynä
- Pidä ohjelmistot päivitettynä.
- Ota varmuuskopiot.
- Suhtaudu sähköpostiliitteisiin ja sähköposteissa esiintyviin linkkeihin terveellä epäluulolla.
- Rajaa käyttöoikeuksia organisaatiosi tietojärjestelmiin. Määritä käyttöoikeudet suhteessa työtehtäviin.
Mitä tietojenkalastelu oikein on?
Tietojen kalastelussa eli verkkourkinnassa käytetään tyypillisesti sähköpostitse, tekstiviestitse tai muun viestintäkanavan kautta lähetettävää aidolta vaikuttavaa viestiä. Viestin tarkoituksena on huijata viestin vastaanottajaa luovuttamaan rahaa, tietoja tai pääsy vastaanottajan käytössä oleviin tietojärjestelmiin.
Miksi varmuuskopiointi on tärkeää?
- Tietojen palauttaminen onnistuu huomattavasti helpommin, mikäli niistä on olemassa varmuuskopiot.
- Tietojen palauttaminen on mahdollista tilanteissa, jossa ne ovat kadonneet, muuttuneet, varastettu tai tuhoutuneet.
- Varmuuskopiointi suojaa myös yrityksen uskottavuutta ja ne auttavat täyttämään sote-alan lailliset velvoitteet tietojen saatavuuden, eheyden ja luottamuksellisuuden osalta.
- Saat varmuuden siitä, että yrityksen tiedot on suojattu ja käytettävissä aina, kun niitä tarvitset.
Millainen on hyvä salasana?
- Yksilöllinen – on suositeltavaa käyttää “yksi salasana per järjestelmä” -käytäntöä eli jokaiseen käytössä olevaan järjestelmään on oma uniikki salasanansa.
- Pitkä ja monimutkainen – salasana on vaikeampia arvata, jos siinä käytetään yksittäisten sanojen sijaan kokonaista lausetta, murretta tai tarkoituksellisia kielioppivirheitä. Hyvä salasana sisältää aina myös erikoismerkkejä ja numeroita.
- Helppo muistaa – salasana on helpompi muistaa, jos sen taustalle kehittää itselleen helposti muistettavan loogisen tarinan, jota ulkopuolisten ei ole kuitenkaan helppo arvata. Useiden salasanojen hallintaa helpottaa salasanojen hallintaohjelman käyttäminen.
Mitä tietojen minimointi tarkoittaa?
Tietojen minimointi tarkoittaa sitä, että käsitellään henkilötietoja vain siinä laajuudessa kuin se on tarpeen, eikä kerätä turhia tietoja talteen kaiken varalta. Säilytyksen rajoittaminen tarkoittaa sitä, että huolehditaan henkilötiedon asianmukaisesta poistosta, kun sille ei enää ole tarvetta.
Mitä asioita on hyvä arvioida tietosuojan ja tietoturvan nykytilan osalta?
- Mitä henkilötietoja organisaation hallussa on?
- Mitä lakeja sen henkilötietojen käsittelyyn sovelletaan?
- Miten tietosuojaperiaatteet on otettu huomioon toiminnassa?
- Millaisia ovat toimintaan liittyvät henkilötietovirrat?
- Miten tietoturvasta on huolehdittu?
- Miten henkilötietojen käsittelyyn liittyvästä riskienhallinnasta on huolehdittu?
Mikä on johdon rooli tietosuojan ja tietoturvan osalta?
- henkilökunnan ohjeistuksesta ja osaamisesta asiakas- ja potilastietojen käsittelyssä.
- tietoturvapolitiikan laatimisesta ja noudattamisesta.
- tietosuojavastaavan nimeämisestä ja toimenkuvasta.asiakas- ja potilastietojen ja muiden henkilötietojen käsittelyn seurannasta ja valvonnasta.
- väärinkäytösten selvittämisestä ja seuraamuksista ja näiden tiedottamisesta henkilöstölle.
- sertifioidun tietojärjestelmän hankinta, ennen valtakunnalliseen tietojärjestelmäpalveluun liittämistä.
- toimintayksikön asiakas- ja potilastietojärjestelmien käyttäjä- ja käyttöoikeushallinnasta.
Millainen on tietosuojapoikkeama?
Tietosuojapoikkeama on tapahtuma, joka vaarantaa jollain tavalla henkilöiden vapaudet ja oikeudet, kuten yksityisyyden, kotirauhan tai kunnian. Poikkeama voi olla myös tapahtuma, jonka vuoksi yritys ei syystä tai toisesta täytä lakisääteisiä velvoitteitaan. Tällaisia tapahtumia voivat olla esimerkiksi vahingossa väärälle asiakkaalle lähetetyt toista henkilöä koskevat tiedot.
Pitääkö tietosuojavastaavalla olla varahenkilö?
Tämä ei ole vaatimus, mutta sitä suositellaan sillä tietosuojavastaavan tulee olla tavoitettavissa niin viranomaisten, asiakkaiden, kuin henkilöstönkin taholta viivytyksettä, mikä ei välttämättä toteudu esimerkiksi loma-aikoina.
Pitääkö tavallisen, pienenkin pk-yrityksen tehdä riskienhallintaa tietosuojan ja tietoturvan osalta?
Kyllä, tietosuojalainsäädäntö edellyttää henkilötietoriskien tunnistamista, analysointia ja varautumista. Tämä sisältyy lainsäädännössä olevaan osoitusvelvollisuuden periaatteeseen.
Miten laitteen tai ohjelmiston elinkaari vaikuttaa tietosuojaan ja tietoturvaan?
Ohjelmiston tai laitteen tulessa elinkaarensa päähän, valmistaja ei enää tuota siihen päivityksiä. Tässä vaiheessa viimeistään laite tai ohjelmisto pitää vaihtaa päivitettyyn versioon tai uuteen, jonka kehitystä ja turvallisuutta valmistaja tukee. Laitteen elinkaari kannattaa huomioida jo hankintahetkellä.
Milloin kyseessä voi olla kyberrikollisen tekemä kalasteluyritys?
- Saat pyynnön pikaisen tilisiirron tekemiselle.
- Tilitiedot halutaan päivittää.
- Viestissä on liitetiedosto, jonka on lähettänyt tuntematon toimija,
- tai viesti poikkeaa tutun toimijan tavallisesti lähettämistä viesteistä.
- Saat pyynnön tarkistaa kirjautumistiedot palveluun ja mahdollisen kirjautumislinkin viestin mukana.
Kysy lisää
Jos tarvitset apua tietosuoja- ja tietoturva-asioihin liittyen, ota yhteyttä – autamme mielellämme! Voit myös lähettää meille sinua mietityttävän tietosuoja- tai tietoturva-aiheisen kysymyksen.
Tutustu myös tietosuoja-aiheisiin verkkokursseihimme sekä Tietosuojavastaavan apulainen -palveluun.