Tietosuojakysymykset
Kurssin keskustelualueella oli monta mielenkiintoista aihetta liittyen tietosuojaan. Itse aloitin keskustelun pohtimalla voiko työnantaja varmistaa työyhteisönsä tietosuojaosaamisen teettämällä pelkästään tietosuojatestin kaikilla työntekijöillään. Koen, ettei pelkän testin perusteella voida varmistaa, että kaikki (n. 450 henkilöä) noudattaisivat talon omaa tietosuojakäytäntöä ja GDPR-lakia täydellisesti. Käsittelemme työssämme paljon henkilötietoja joista n. 99% on salattavia, ja olen huomannut, että aika huoletta kollegat lähettelevät tietoja salaamattomissa sähköposteissa jne.En vielä saanut vastausta tähän aloitukseeni, valitettavasti. Aihetta kuitenkin osittain sivuten tutkin työ- ja elinkeinoministeriön ohjeistusta: https://tem.fi/documents/1410877/2917589/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuoja/f94a4e13-9e89-43ea-a6f0-f7c3de37ab9d/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuoja.pdf ja vastasin työntekijän tietojen keräämistä koskevaan keskusteluun. Mielestäni myös työntekijä on itse vastuussa omien tietojensa käsittelystä työyhteisössä ja jos esimiehen osaaminen ei tietosuojan osalta ole ajantasaista niin "nohevampana" tietoturvaosaajana työntekijä voi myös neuvoa esimiestä noudattamaan lakia. Jokainen voi myös itse tarkistaa mitä tietoja itsestä kerätään. Ohjetta löytyy täältä: https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88-42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
Toisinaan olen pohtinut myös, että onko tietosuojaa ja tietoturvaa varmistavat sovellukset kuitenkaan kovin varmoja. Entäpä jos oman työpaikan verkko hakkeroidaan tai virusturva pettää esim. puhelimen kautta. Keskustelualueella vastasin tietovuoto-keskusteluun uudella uutisella joka liittyi Twitterin toimitusjohtajan Twitter-tilin hakkerointiin. Erilaisia tietovuotoja tapahtuu joka puolella, myös Suomessa ja niitä on puitu oikeudessakin viimeaikoina yhä enemmän ja enemmän.
Millaisia seikkoja sosiaalisia verkkotyökaluja työyhteisöissä käyttävien henkilöiden pitäisi ottaa huomioon tietosuojan näkökulmasta?
Jokaisessa työyhteisössä, joissa käsitellään tavalla tai toisella GDPR-lain alaisia tietoja, on huolehdittava riittävä tietosuojan ja tietoturvan taso sekä varmistettava, että henkilöstö osaa toimia yhteisön omien tietosuojaohjeiden mukaan. Omassa työyhteisössäni henkilökunnan tietokoneet ovat omassa verkossaan ja opiskelijoiden koneet ovat omassaan. Opiskelijat saavat käyttää vain opetusverkossa olevia tietokoneita. Opettajat pääsevät kirjautumaan omilla tunnuksillaan myös opiskelijaverkossa oleville koneille.
Tietokone on aina lukittava, kun tietokoneelta poistutaan. Aina päivän päätteeksi käyttäjän on kirjauduttava ulos omalta tietokoneeltaan. Tietoturvapäivitykset on pidettävä ajantasaisina. Käyttäjätunnusta ja salasanaa ei saa kertoa muille, eikä niitä saa lähettää sähköpostitse. Salasana tulee vaihtaa esim. kuukauden välein. Eikä salasanaa saa merkitä mihinkään tietokoneen lähettyville (esim. näppäimistön alle). Lisäksi yleisissä tiloissa esim. kirjastossa tietokoneen selaushistoria ja muut selaustiedot on poistettava tai vielä parempi olisi käyttää incognito-tilaa jolloin selaustiedot pysyvät salassa.
Tietojärjestelmiä
tulee käyttää pääosin opiskeluun/työntekoon. Jokainen käyttäjä
vastaa omasta käyttäjätunnuksestaan ja sen avulla tehdyistä teoista. Toisen käyttäjätunnuksen Käyttäjä
on velvollinen vaihtamaan salasanansa riittävän usein. Sähköpostia
lähettäessään käyttäjä on velvollinen käyttämään omia tietojaan. Mitään turhaa hömppäsähköpostia kuten kissavideoita ei saa työpaikan verkossa lähettää, sillä ketjuviestit ja erityyppiset videot voivat sisältää viruksia tai hakkeri- ja haittaohjelmia
Pelien
pelaaminen työyhteisössäni on kielletty ja omien
ohjelmien asentaminen työyhteisön tietokoneelle ei ole järkevää, sillä koskaan ei voi olla varma, sisältääkö jokin ilmaisohjelma haittaohjelmia jotka voivat levitä työyhteisön verkossa ja aiheuttaa suuren riskin.
Omilla
kotisivuilla tai verkkolevyillä ei saa olla mitään moraalisesti arveluttavia ja
yleisiä käyttäytymissääntöjä rikkovia kuvia tai tekstejä eikä mitään muutakaan,
joka voitaisiin tulkita tällaiseksi.Sivun
tekijän/aineiston käyttäjän on itse varmistettava tekijänoikeudet kuviin ja
muuhun käyttämäänsä aineistoon. Työyhteisössä työnantajalla on oikeus poistaa itselleen kielteiseksi tai sääntöjen vastaiseksi katsomansa
sivut/tiedostot. Tiedostojen jakamisessa ja tallennuksessa työyhteisön verkkoon on oltava tarkkana kenelle antaa ja mitä oikeuksia.
Järjestelmän
väärinkäyttö voi työyhteisössäni johtaa käyttöoikeuden menettämiseen ja muihin
rangaistustoimenpiteisiin. Vakavat väärinkäytökset työnantaja voi antaa
viranomaisten tutkittavaksi.Väärinkäytös-
tai häiriötilanteissa on järjestelmän vastuuhenkilöllä oikeus tutkia käyttäjän tiedostoja ja yhteydenottoja. Työyhteisössä on kaikkien huomioitava lainsäädännössä (kuten
henkilörekisteri- ja rikosrekisterilaeissa sekä tekijänoikeuslaeissa) atk:n
käyttöä säätelevät määräykset ja väärinkäytöstapauksista aiheutuvat
vahingonkorvausvaatimukset. Yleensä työyhteisön verkossa Käytössä olevia
tietokoneita voidaan etähallita. Tietoliikennettä
(www-selailu) tiettyihin sivustoihin ja palveluihin rajoitetaan ja/tai
estetään.Tulostusta
seurataan erillisellä tulostuksenseurantaohjelmistolla.
Mitä ovat avoimuuden ja läpinäkyvyyden edut
Kun toiminta on avointa ja läpinäkyvää, ryhmäpaine auttaa toimimaan yhdessä sovitulla tavalla ja epäkohtiin puuttuminen on helpompaa. Toisaalta epäkohtia harvemmin edes on silloin kun toiminta on läpinäkyvää ja avointa. Avoimuus ja läpinäkyvyys myös tasavertaistaa toimintaa.
Koulutusorganisaatiossa (työyhteisössäni) ajattelen esim. sisäistä opetusmateriaalipankkia hyvinkin käyttökelpoiseksi ja järkeväksi siltä osin ettei tarvitse rakentaa samaa materiaalia moneen kertaan vaan voi esimerkiksi muokata materiaalia omanlaisekseen. Tämänkaltainen toiminta ei pelkästään ole resurssien säästämistä ja toiminnan tehostamista vaan materiaali jalostuu ja todennaköisesti myös paranee, koska sen kehittämiseen jää enemmän aikaa. Materiaalipankin ongelmana voi toisinaan olla tekijänoikeudet mutta omassa työyhteisössäni on kiistelty mm. siitä, että jos työnantajan aikaa on käytetty materiaalin tekemiseen, niin onko materiaali työnantajan vai opettajan omaisuutta? Itse olen hyvilläni jos tekemäni materiaali kelpaa muillekin ja voin olla avuksi. Lopputuloksena voi olla kuitenkin jalostunut materiaali ja joku toinen voi lisätä siihen asioita joita en itse ole edes osannut ajatella.
Tähän samaan ajatukseen perustuu monesti myös avoimen lähdekoodin ohjelmat. Aina avoimen lähdekoodin ohjelmat eivät ole ilmaisia mutta ne kehittyvät todennäköisesti nopeammin ja paremmaksi sekä eri käyttötarkoituksiin paremmin silloin kun kuka vaan voi muokata niitä sopimaan omaan käyttötarkoitukseensa paremmin.
Tiedon keräämisessä avoimuus siitä, mitä tietoja kerätään, mihin tietoa käytetään, kuka tietoja käsittelee sekä miten tietoa säilytetään, luo mielenrauhaa ja turvallisuuden tunteen henkilöstölle. Minusta on helpompi toimia kun tiedän pelikentän rajat ja säännöt sekä ymmärrän niiden perusteet.
Työnantajan tiedonantovelvollisuus → velvollisuus oma-aloitteiseen informointiin henkilötietojen käsittelystä ja teknisen valvonnan toteuttamisesta työpaikalla, 4 § 2 mom, 21 §, tietosuoja-asetus 12 artikla: Läpinäkyvyysperiaatteen mukaisesti (mm. rekisterinpitäjä, henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste, henkilötietojen vastaanottajat, tietojen säilytysajat.)
Lähde: https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88-42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
Milloin henkilökohtaisten tietojen jakamisesta olisi hyötyä työyhteisön kannalta
Esimerkkinä terveystiedoista voisin ajatella että jos henkilöllä on jokin allergia tai sairaus joka voi oireilla hengenvaarallisesti niin työyhteisössä olisi hyvä olla tiedossa miten henkilöä voidaan kohtauksen tullessa auttaa.
Toisena casena voisin mainita ay-toiminnan haasteet tiedottamisen suhteen kun sähköpostilistoja ei voi enää jättää näkyviin ja jos esimerkiksi luottamusmies haluaisi viestittää kaikille ketä hän edustaa niin sihteeri ei saa luoda hänelle valmiiksi listaa vaan luottamusmiehen tulee itse etsiä ammattiliiton jäsenrekisteristä edustamiensa henkilöiden yhteystiedot ja tehdä lista, vaikka tämä lista olisi sihteerillä valmiina. Eli toisaalta ymmärrän kyllä miksi laki on tehty, mutta toisinaan sen noudattaminen on melko vaivalloista.
Millaista vahinkoa voi syntyä ellei henkilökohtaisten tietojen suojaamisesta huolehdita
Erityyppiset tietosuojaloukkaukset, tietojen väärinkäyttö, identiteettivarkaudet. Lisäksi maineen tahraaminen, rikoksiin tai muuhun epämääräiseen toimintaan sekoittuminen (tällä tarkoitan esim. sitä, että jollekin henkilölle tahdotaan tehdä hallaa ja hänet vaikka puhelimen paikantamisella voidaan liittää rikolliseen toimintaan. Nykyään voidaan hakkeroida kaikki ja hakkerit voivat käyttää suojaamattomia ip-osoitteita esim. omien jälkiensä peittämiseen tai he voivat esim. käyttää etänä suojaamattomia yhteyksiä vakoiluun, kiristykseen ja jos vaikka mihin. Puutteellinen tietoturva ja kehno tietosuoja ovat alttiina hyvin monenlaisille riskeille.
Rahalliset menetyksetkin voivat olla suuri riski jos käytetään paljon mobiilipankkia tai mobiilimaksuliikennettä suojaamattomasti tai laitteet joutuvat vääriin käsiin ja niihin onnistutaan pääsemään sisälle. Monissa sähköposteissa tai www-sivustoissa voi itsessään olla erilaisia vakoilu- ja haittaohjelmia jonka avulla voidaan päästä sisälle organisaation verkkoon tai vaikkapa urkkia salasanoja Tästä syystä esim. salasanat eivät koskaan saisi olla samat eri sovelluksiin.
Toisaalta jos vaikka tietokoneeni olisi autossa ja auto varastettaisiin niin kaikki organisaationi tiedot olisivat vaarassa joutua vääriin käsiin ja siitä syystä organisaatiolla on oma tietosuojaohjeensa sekä tietoturva, jossa määritellään myös fyysiset ehdot esim. työkoneen ja puhelimen käytölle.
Ei kommentteja:
Lähetä kommentti