Tietoturva- ja tietosuojaperiaatteet

Yhtymähallitus hyväksynyt 20.6.2018 § 122

1. Johdanto

Tietoturva- ja tietosuojaperiaatteet määrittelevät tietojen turvaamisen tavoitteet, toteutuskeinot ja vastuut Pohjois-Karjalan koulutuskuntayhtymässä, Riveriassa. Tietoturva nähdään tärkeänä osana toiminnan laatua ja vastuullisuutta ja se koskee jokaista oppilaitoksessa työskentelevää, opiskelevaa ja sopimuskumppania.

Riverian tietoaineistot sisältävät opiskelijoihin, henkilökuntaan, työelämäkumppaneihin, muihin sidosryhmiin ja toimintaan liittyvää tietoa, joka on lainsäädännön perusteella suojattava. Tietojenkäsittelyn on oltava mahdollisimman tehokasta, virheetöntä ja luotettavaa.
Hyväksyttyjen tietoturva- ja tietosuojaperiaatteiden mukainen tietoturva ja tietosuoja tulee sisällyttää luonnollisena osana kaikkeen toimintaan. Tietoturvan ja tietosuojan kehittäminen ja ylläpito sekä sen seuranta ovat osa Riverian yleistä turvallisuustoimintaa, riskien hallintaa ja sisäistä valvontaa.
Tietoturva- ja tietosuojaperiaatteiden yhtenä tavoitteena on EU:n yleisen tietosuoja-asetuksen (2016/679) vaatimusten sekä kansallisen lainsäädännön vaatimusten täyttäminen.
Tietoturva- ja tietosuojasuunnitelmaa tarkennetaan tietohallinnon ja asiakirjahallinnon säännöissä ja ohjeissa.

2. Tietoturvallisuuden tavoitteet

Tietoturvalla tarkoitetaan eri muodossa olevien tietojen suojaamista erilaisilta uhkatekijöiltä varmistaen palvelujen jatkuvuus, minimoiden toimintaan tai henkilötietoihin liittyvät riskitekijät.

Tietoturva- ja tietosuojaperiaatteiden tavoitteena Riveriassa on:
Luottamuksellisuus: Luottamuksellisen tiedon tunnistaminen ja sen luottamuksellisuuden turvaaminen. Tiedot ovat vain niiden tahojen käytössä, joilla on siihen oikeus.

Eheys ja laatu: Tiedot ja tietojärjestelmät ovat luotettavia, oikeellisia ja ajantasaisia. Tietoja ei voida muuttaa muiden kuin siihen oikeutettujen toimesta.

Käytettävyys ja saavutettavuus: Tiedot ja järjestelmät ovat saatavissa ja käytettävissä silloin, kun niitä toiminnassa tarvitaan.

Riverian tietoturvatyön tavoitteena on siten turvata oppilaitokselle tärkeiden tietojärjestelmien ja tietoverkkojen keskeytymätön toiminta, havaita ja estää tietojen luvaton käyttö, tiedon tahaton tai tahallinen tuhoaminen tai vääristäminen ja minimoida niistä aiheutuvat vahingot.

3. Tietosuojan tavoitteet

Tietosuoja on oleellinen osa tietoturvallisuutta. Tietosuojalla tarkoitetaan ihmisen yksityisyyden kunnioittamista ja henkilötietojen sekä muiden henkilön luottamuksellisten tai arkaluonteisten tietojen suojaamista. Suojaamistoimet koskevat sähköisessä, kirjallisessa tai muussa muodossa olevien henkilötietojen käsittelyä, siirtoa, luovutusta, säilytystä ja hävittämistä.
Riverian tavoitteena on turvata henkilötietojen luottamuksellinen käsittely ja huolehtia tietosuojalainsäädännön mukaisten rekisteröityjen oikeuksien toteutumisesta.

4. Tietoturvallisuuden ja tietosuojan toteuttaminen

Tietoturvan ja tietosuojan toteuttamisen perusta ovat nämä Riverian hallituksen hyväksymät tietoturva- ja tietosuojaperiaatteet.

Riverian toimintaympäristössä tietoturvan ja tietosuojan ylläpito ja kehittäminen on jatkuva prosessi, joka tapahtuu hallinnollisten, fyysisten ja teknisten ratkaisujen avulla. Käytännön toteutukset kuvataan tietohallinnon tietoturvaohjeissa.

Tietoturvallisuudesta huolehtiminen edellyttää tiedon elinkaaren kaikkiin vaiheisiin sekä näiden aikana käsittelyyn käytettyihin välineisiin, järjestelmiin ja menetelmiin kohdistettuja oikein valittuja ja toteutettuja toimenpiteitä sekä tietoja käsittelevien henkilöiden toiminnan ohjaamiseen tarkoitettuja sääntöjä, ohjeita ja koulutusta.

Tietotosuojan toteutuminen varmistetaan tietojärjestelmien kehittämistyössä ja hankkimisessa, huolehtimalla henkilötietojen käsittelyprosessien ajantasaisuudesta kuvausten ja ohjeiden avulla sekä henkilöstön tietosuojatietouden lisäämisellä koulutusten avulla.

5. Organisointi ja vastuut

Tietoturvallisuuden- ja tietosuojan johtaminen ja seuranta ovat osa Pohjois-Karjalan koulutuskuntayhtymän, Riverian, kokonaisturvallisuutta ja siitä vastaa koulutuskuntayhtymän ylin johto.

Henkilökunnalla ja opiskelijoilla on vastuu tietoturvallisuuden toteuttamisesta omalta osaltaan. Jokainen Riveriassa tietoja käsittelevä, järjestelmien tai tietoverkkojen käyttäjä on vastuussa tietoturvan- ja tietosuojan toteuttamisesta omien työtehtäviensä ja vastaaviensa tietojärjestelmien osalta. Tietojärjestelmien käyttäjä on velvollinen noudattamaan käyttösääntöjä sekä tietoturva- ja tietosuojaohjeita.

Esimiesten tehtävänä on vastata siitä, että työntekijöillä on oikeudet työtehtävän edellyttämässä
laajuudessa tarvittaviin tietojärjestelmiin ja tietoihin. Esimiehet huolehtivat myös, että muutokset työtehtävissä huomioidaan käyttöoikeuksissa.

Tietohallintopäällikkö arvioi tietoturvan ohjeita säännöllisesti. Tietohallintopäälliköllä on velvollisuus tehdä tietojärjestelmien tietoturvan kartoituksia ja ryhtyä toimenpiteisiin havaittujen puutteiden korjaamiseksi.

Jokaisella tietojärjestelmällä on oltava nimetty pääkäyttäjä ja varahenkilö sekä tekninen vastuuhenkilö.

Tietoturvavastaava toimii tietoturvallisuuden asiantuntijana ja tietoturvallisuuden kehittäjänä. Tietoturvavastaavalla on oikeus valvoa tietoturvaa teknisin keinoin, toimia tietosuojavastaavan apuna käyttölokivalvonnan teknisessä toteutuksessa ja ryhtyä toimenpiteisiin tietoturvan ongelmatilanteissa.

Tietosuojavastaavan tehtävänä on asiantuntijana seurata ja valvoa henkilötietojen käsittelyä ja suojausmenettelyjä, tukea ja ohjata henkilökuntaa ja rekisteröityjä tietosuoja-asioissa sekä raportoida johdolle tietosuojan tilasta ja kehittämistarpeista.

Koulutuskuntayhtymässä toimii tietosuojatyöryhmä. Tietosuojatyöryhmä käsittelee tietosuojan linjaukset, ohjeet ja käytänteet ennen niiden hyväksyntää.

6. Tietoturvan ja tietosuojan seuranta ja valvonta

Tietojen ja tietojärjestelmien käyttöä valvotaan olemassa olevien lakien ja asetusten mukaisesti huomioiden yksityisyyden suoja työelämässä.

Tietoturvallisuuden ylläpito edellyttää jatkuvaa seurantaa, johon kuuluvat tietoturvallisuuden valvonta sekä sen tason ja poikkeamien raportointi. Tietoturvavastaava koordinoi tietoturvallisuuden seurantaa ja tietosuojavastaava valvoo tietosuojan toteutumista. Tietoturva –ja tietosuojavastaavat raportoivat tietosuojatyöryhmälle ja ylimmälle johdolle havaitsemistaan tietoturvan ja tietosuojan rikkomuksista.

Tietoturvarikkomusten seuraamukset määritellään erikseen tietojärjestelmien ja tietoverkon käytön säännöissä.

Käyttäjien ja tietojärjestelmien ylläpitäjien tulee ilmoittaa havaitsemistaan tietoturvapuutteista, tietoturvaan liittyvistä väärinkäytöksistä tai epäilemistään tietoturvarikkomuksista esimiehelleen, tietohallintoon tai tietosuojavastaavalle.

7. Tiedottaminen

Tietoturvallisuuteen liittyvässä viestinnässä noudatetaan Riverian viestintäsuunnitelmaa. Normaalioloissa Riverian tietoturvaviestinnästä vastaa tietohallintopäällikkö.

Kriisitilanteessa tietoturvaviestinnän vastuu on rehtorilla ja hän toteuttaa sitä yhdessä muun johdon kanssa.