Miten Tampuurin osalta taataan GDPR-valmius?

Tampuurin osalta GDPR-valmius taataan toteuttamalla Tampuuriin rekisterinpitäjän toimintaa helpottavia ominaisuuksia, tuottamalla ohjeistuksia asiakkaiden käyttöön, sopimalla asiakkaan kanssa henkilötietojen käsittelystä ja kouluttamalla henkilökuntaamme säännöllisesti tietosuoja-asioihin.

Määritelmiä

Rekisterinpitäjä

Rekisterinpitäjällä tarkoitetaan yhtä tai useampaa henkilöä, yhteisöä, laitosta tai säätiötä, jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä tai jonka tehtäväksi rekisterinpito on lailla säädetty.

Asiakkaanamme olet rekisterinpitäjä tai henkilötietojen käsittelijä. Rekisterinpitäjä tekee sisältöön, prosesseihin tai henkilötietojen käyttöoikeuksiin liittyvät päätökset.

Henkilötietojen käsittelijä

Henkilötietojen käsittelijä käsittelee henkilörekisteriä rekisterinpitäjän lukuun ja ohjeiden mukaisesti. Tietosuojaasetus edellyttää, että henkilötietojen käsittelystä on sovittu kirjallisesti rekisterinpitäjän ja henkilötietojen käsittelijän välillä.

Agenteq Solutions Oy on henkilötietojen käsittelijän roolissa Tampuuriin liittyen.

Tietosuojavastaava

Tietosuojavastaava valvoo tietosuoja-asetuksen noudattamista henkilötietojen käsittelyssä. Tietosuojavastaava on tietosuojalainsäädäntöä ja alan käytäntöjä tunteva henkilö, joka toimii organisaatiossa rekisterinpitäjän ja henkilötiedon käsittelijöiden tukena. Laajamittaista henkilötietojen käsittelyä suorittavilla organisaatioilla on oltava nimetty tietosuojavastaava.

Agenteq Solutions Oy:ssä on nimetty tietosuojavastaava.

Sisäänrakennettu tietosuoja

Agenteq Solutions Oy:lle on asiakkaiden sekä asiakkaiden asiakkaiden tietojen yksityisyys aina ollut erittäin tärkeä asia. EU-tietosuoja-asetuksen tullessa mikään ei tässä ajattelutavassamme ole muuttunut vaan jatkamme työtä samalla linjalla.Tietosuoja huomioidaan meillä jo järjestelmän kehitysvaatimuksissa sekä ylläpidossa.

Uusista tietosuojaan liittyvistä ominaisuuksista kerromme säännöllisesti Tampuuri-tuotteen versiosaatteessa.

Oikeus saada tietoa henkilötietojen keräämisestä ja käsittelystä

Tarjoamme Tampuuriin asiakirjapohjia:

Tietosuojaselosteen mallin
Henkilötietojen käsittelykuvauksen mallin

Tietosuoja-asetuksen soveltamisen täsmentyessä lisäämme tarvittaessa mallidokumentteja asiakkaidemme saataville. Tässä valvovan viranomaisen ohjeistukset ovat keskeisiä.

Oikeus päästä omiin tietoihin

Tampuuriin on toteutettuna mm. henkilötietoseloste, jolla asiakas voi rekisterinpitäjän tiedonantovelvollisuuden suorittaa ja antaa kerätystä tiedosta asukkaalle kopion. Tampuuriin liitettyjä sähköisiä palveluita mm. asukassivuja (lisäpalvelu) käyttämällä asukkaat ja osakkaat voivat omia tietojaan selata ja ylläpitää.

Oikeus tietojen poistamiseen eli oikeus tulla unohdetuksi

Tilanteessa, jossa henkilötietojen säilytys ei enää ole lakiperusteeseen tai sopimusperusteeseen nojaavaa, henkilön tiedot voidaan riittävät oikeudet omaavan Tampuuri-käyttäjän toimesta poistaa arkistointitoiminnolla, joka poistaa henkilön tunnistamisen mahdollistavat tiedot Tampuurista.

Tietoturvaloukkauksista ilmoittaminen viranomaisille

Mikäli tietoturvaloukkaus esiintyisi, informoimme asianosaisia ja ohjeistamme asiakkaita tiedottamaan viranomaisia ja asukkaita, sopimuksemme mukaisesti.

Agenteq Solutions Oy:n DevOps-tiimi päivystää 24/7 Tampuurin ympärillä.

Tekniset vaatimukset

Riskiarviot

Agenteq Solutions Oy on tehnyt toimintansa pohjalta erillisen riskiarvion, joka ohjaa teknistä tietoturva-arkkitehtuuria, ohjelmistokehitystä ja tietohallinnollisia prosesseja.

Salaus

Oletuksena kaikki liikenne salataan aina joko VPN-tunneloinnilla tai muilla vahvoilla salausmenetelmillä. Kaikki selainpohjaiset järjestelmät käyttävät SSL-varmennetta liikennöinnissä.

Käyttäjähallinta, käyttöoikeudet ja tunnistaminen

Tampuurin käyttäjähallinta tapahtuu Asiakkaan nimeämän Pääkäyttäjän toimesta. Käyttöoikeudet perustuvat rooleihin, joille on annettu oikeudet. Myös nämä ovat Asiakkaan Pääkäyttäjän asettamia. Näissä tulee noudattaa huolellisuutta ja Agenteq Solutions Oy:n antamia käyttöohjeistuksia.

Käyttäjän tunnistaminen tapahtuu käyttäjätunnuksen ja salasanan perusteella. Tähän on mahdollista yhdistää SMStunniste. Tampuurissa on erittäin suositeltavaa käyttää tunnusten ja salasanojen hallinnointiin liittyviä ominaisuuksia mm. salasanojen vaihtaminen, vanhentuminen ja kompleksisuusvaatimukset.

Agenteq Solutions Oy:n omilla käyttäjillä on aina yksilölliset käyttäjätunnukset.

Sähköisissä palveluissa on mahdollista hyödyntää myös vahvaa tunnistautumista (TUPAS).

Lokitiedostot

Tampuurissa tehtävät henkilötietojen käsittelyt lokitetaan. Lokituksen avulla voidaan todentaa:

Kenen henkilötietoja on käsitelty
Kuka tietoja on käsitellyt
Milloin tietoja on käsitelty
Missä työkalussa tietoja on käsitelty
Mitä käsittelyssä on tehty (tietojen katselu, tietojen luonti, tietojen muokkaus, tietojen poisto)

Henkilötietojen muokkauksen yhteydessä tallennetaan sekä vanhat että uudet, muokatut arvot. Tehdyt muutokset voidaan siis jäljittää pitkänkin ajan kuluttua.

Lokitietoja ei säilytetä Tampuurissa, vaan erillisellä suojatulla palvelimella, jonne on pääsy vain rajatulla käyttäjäjoukolla.

Varmuuskopiot ja tiedon palauttamisen järjestelmät (disaster recovery)

Tietokannat varmistetaan kerran vuorokaudessa. Virtuaalipalvelimet lisäksi varmistetaan erillisellä ohjelmistolla levykuvatason varmistuksella kerran vuorokaudessa.

Disaster recoverya toteutetaan replikoimalla käyttöjärjestelmät ja data tapauskohtaisesti riippuen joko Microsoft Azuren pilvipalveluun tai toiseen konesaliin erillistä kuitua hyödyntämällä.

Palveluntarjoajan pääsy dataan

Kolmannen osapuolen palveluntarjoajilla ei ole mahdollisuutta päästä dataan.

Tietojen poistaminen

Kun palvelin saapuu elinkaarensa loppuun, kiintolevyt tyhjätään erillisellä ohjelmistolla ja tämän jälkeen jokaiseen kiintolevyyn porataan kolme reikää. Tämän jälkeen laitteisto toimitetaan kierrätykseen.

Ylläpito ja tietojen sijainti

Järjestelmien ylläpito toteutetaan yrityksen oman operatiivisen väen kautta ja tiedot sijaitsevat fyysisesti Helsingissä ja Salossa. Ne palvelut, jotka ovat Azure-liitännäisiä sijaitsevat Microsoftin EU-alueen sisäpuolella olevissa konesaleissa.

Liittymät ja integraatiot

Tampuuriin on tilattavissa API-rajapinta, jolla tietointegraatioita voidaan toteuttaa. Rajapinnan ja sen kautta saatavilla olevien tietojen käsittely tietosuoja-asetuksen mukaisesti on asiakkaan vastuulla. Agenteq Solutions Oy takaa rajapinnan teknisen tietoturvallisuuden.

Tampuuriin on saatavilla myös DW-palvelu isompien tietomassojen siirtoa varten. Lisätietoa ratkaisustamme saat myynniltämme tai asiakasvastaavaltasi.

Tietojen säilyttäminen

Varmistuksia säilytetään oletuksena 30 päivää, jonka jälkeen yksi varmistus otetaan pitkäaikaisempaan säilytykseen jokaisen kuukauden kohdalta. Pitkäaikaiset varmistukset säilytetään vuoden ajan.

Tietoturvan hallinnointi

Tietoturvaa hallinnoidaan seuraamalla kuukausittain mitä käyttöjärjestelmätason tietoturvapäivityksiä tai aukkoja on ilmaantunut. Kolmannen osapuolen ohjelmistojen osalta tehdään vastaavaa seurantaa, siltä osin mitä ne ovat käytössä. Agenteq Solutions Oy:n tietoturvaryhmä kokoontuu säännöllisesti ja käsittelee mahdolliset riskit.

Tietoturvavalvonta

Palomuuritason valvonta on ulkoistettu operaattorille, joka on yhteydessä päivystäjään poikkeustilanteiden osalta. Sovelluksen osalta osavalvontaa tehdään Application Insights järjestelmällä ja tutkimaan mahdollisia poikkeamia liikenteessä. Käyttöjärjestelmätason valvontaa suoritetaan Microsoftin Azure Security Center-palvelua hyväksikäyttäen, joka valvoo koneiden tietoturvapäivitysten tilaa sekä tutkii potentiaalista vaarallista liikennettä.

Muita toimenpiteitä

Agenteq Solutions Oy:n henkilöstöä koulutetaan säännöllisesti tietosuoja-asioihin. Jokainen Agenteq Solutions Oy:n työntekijä on allekirjoittanut salassapitositoumuksen koskien asiakkaiden henkilötietoja sekä työnantajan ja sen asiakkaiden ja yhteistyökumppaneiden luottamuksellisia tietoja – sitoumus on voimassa työsuhteen päättymisenkin jälkeen ilman aikarajoja. Agenteq Solutions Oy hyödyntää vahvasti ulkopuolisten GDPR-asiantuntijoiden osaamista mm. lakipalveluiden sekä tietosuoja-asiantuntijoiden osalta.

Tampuuri-järjestelmälle on kevään 2018 aikana tuotettu tietosuoja-auditointi, jonka tuloksena saadaan ns. ISAE3000 Type 1- raportti. Raportti kertoo siitä, että Tampuuri-järjestelmän tietosuojan hallintaympäristö on esitetty ja kuvattu sellaisena kuin se ovat suunniteltu ja käytössä tarkastuksen aikana sekä hallintaympäristön kuvauksessa mainittuihin valvontatavoitteisiin liittyvät kontrollit ovat olleet rakenteeltaan sopivia tarkastuksen aikana.

Osana säännöllistä auditointiprosessiamme Tampuuri myös tietoturva-auditoidaan keväällä 2018 Nixu Oyj:n toimesta.

Suositut aiheet

Suosituimmat

Matka- ja kululasku
julkaistu 4. tammik. 2023
Päiväraha, kilometri- ja ateriakorvaus vuonna 2023 — mitä korvauksia voin saada työhön liittyvästä matkasta?
Pandemian helpottaessa työhön liittyvät matkat ja niihin liittyvät kustannukset sekä korvaukset ovat taas ajankohtaisia. Millä perusteilla voin hakea korvausta työmatkasta? Mikä on kilometrikorvauksen ja päivärahan määrä vuonna 2023? Näihin asioihin pureudumme tässä jutussa.
Työvoiman ja -ajanhallinta
julkaistu 16. syysk. 2020
Lyhennetty työaika tarjoaa tasapainoa arkeen
Kenellä on oikeus lyhennettyyn työaikaan ja miten 80% työaika ja muut työaikajoustot vaikuttavat työpaikan arkeen ja järjestelyihin? Lue blogista!
Kirjanpito
julkaistu 10. marrask. 2016
Hyvää Kansainvälistä kirjapidon päivää!
Tiesitkö, että 10.11. on Kansainvälinen kirjanpidon päivä? Tämä on erinomainen päivä pysähtyä miettimään, millaista on olla kirjanpitäjä ja osoittaa arvostuksensa tälle ammattikunnalle.