ݺߣ

ݺߣShare a Scribd company logo

Pilvipalvelut ja Henkilotiedot - Titta Penttilä - Tietoturvatapahtuma 2014 - Sonera

Sonera
Sonera

Soneran Titta Penttilän esitys Tietoturvatapahtumasta 2014 aiheena pilvipalvelut ja henkilötiedot. Lue lisää Soneran tietoturvapalveluista: http://bit.ly/1mny9aG

1 of 12
Download to read offline
Pilvipalvelut ja henkilötiedot Titta Penttilä Senior information security manager Group Security, TeliaSonera
Muuttuva toimintaympäristö Alihankinta, pilvipalvelut Yleisen tietoisuuden ja kiinnostuksen lisääntyminen Sääntely ja sanktiot Tiedon arvon ja laadun korostuminen Tiedon määrän ja käsittelyn valtava kasvu Lainsäädännön vaatimusten tiukkeneminen ja sanktiot Tietosuoja Uhat ja toimintaympäristön haasteet 2 2014-02-11 Tietoturvatapahtuma / Titta Penttilä Riskit ja uhat
Lainsäädäntö on teknologianeutraalia • Pilvipalveluita koskevat samat säännöt kuin muutakin henkilötietojen käsittelyä • Pilvipalveluiden haasteita tietosuojan kannalta – Pilvet ylittävät rajat – henkilötietojen käsittelystä on tullut maailmanlaajuista, mutta lait ovat kansallisia – Kontrollin ja avoimuuden puute – Monimutkaiset ja dynaamiset alihankintaketjut – Käsitellään erittäin suuria määriä tietoa – Vakiosopimusehdot 3 2014-02-11 Tietoturvatapahtuma / Titta Penttilä
Käsitteet ja roolit Asiakas Henkilötieto Pilvipalveluntarjoaja • Tieto, joka voidaan tunnistaa tiettyä henkilöä/hänen perhettä koskevaksi. Henkilötietojen siirto Rekisterinpitäjä (controller) Käsittelijä (processor) • Oikeus määrätä tietojen käytöstä (”omistaja”) • Vastaa lainsäädännön noudattamisesta • Sovellettava laki • Käsittelee henkilötietoja rekisterinpitäjän lukuun ja tämän ohjeiden mukaan • Tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi 4 2014-02-11 Tietoturvatapahtuma / Titta Penttilä
Henkilötietojen siirron juridiset edellytykset Henkilötietojen käsittelyn laillisuus (Henkilötietolaki) • • • • • • • • Huolellisuus Suunnittelu Käyttötarkoitussidonnaisuus Laillisuus Tarpeellisuus Virheettömyys Avoimuus Suojaaminen (Tietoturva) Erityislakien vaatimukset (esim. Sähköisen viestinnän tietosuojalaki) 5 2014-02-11 Tietoturvatapahtuma / Titta Penttilä EU/ETA ja Komission hyväksymät maat • “Data transfer agreement” • Henkilötietolaki: “annettava asianmukaiset selvitykset ja sitoumukset” Muut maat • Tarvitaan erityisiä takeita tietosuojan tasosta • Esim. Komission vakiosopimuslausekkeet
Suunnittelu ja riskianalyysi • Mitä henkilötietoja ollaan siirtämässä? • Missä tiedot tulevat sijaitsemaan ? • Mitä vaatimuksia kyseisten tietojen siirtämiseen ja käsittelyyn liittyy? • Mikä on kyseisten tietojen merkitys yhtiön kannalta? • Uhat ja riskit? • ”Business case”? 6 2014-02-11 Tietoturvatapahtuma / Titta Penttilä
Pilvipalveluntarjoajan arviointi • Asianmukainen tietoturvantaso – Tekniset ja organisatoriset toimet • Todentaminen – Sertifikaatit esim. ISO 27001 – Auditointi • Kyvykkyys vastata vaatimuksiin – Oikeudelliset sanktiot ja vahingonkorvaukset • Mahdollisuus vaikuttaa tarjottavaan palveluun ja sopimusehtoihin – Alihankkijat, tietojen sijainti 7 2014-02-11 Tietoturvatapahtuma / Titta Penttilä
Sopimus henkilötietojen näkökulmasta • Oikeus käsitellä tietoja vain rekisterinpitäjän ohjeiden mukaan • Noudatettava soveltuvaa lainsäädäntöä • Varmistettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi • Avustettava rekisterinpitäjää lakisääteisten velvollisuuksien hoitamisessa • Tietojen sijainti – Siirto EU/ETA:n ulkopuolelle ? – Komission vakiosopimuslausekkeet 8 2014-02-11 Tietoturvatapahtuma / Titta Penttilä
Sopimus henkilötietojen näkökulmasta • Osapuolten roolit, vastuut ja velvollisuudet • Salassapitolauseke • Alihankkijat ja velvollisuus sisällyttää samat velvoitteet alihankintasopimuksiin • Rikkomuksista ja uhista ilmoittaminen • Auditointi- ja tiedonsaantioikeus • Sanktiot • Sopimuksen päättymisen seuraukset 9 2014-02-11 Tietoturvatapahtuma / Titta Penttilä
Yhteenveto • Samat pelisäännöt kuin ”normaaleissa” alihankintatilanteissa • Erityiset pilvipalveluiden luonteesta johtuvat riskit huomioitava • Osana yrityksen hankintaprosessia ja alihankkijoiden hallintaa • Sopimus ja auditoinnit • Tekemisen voi ulkoistaa, mutta ei vastuuta • Pilvi ei välttämättä sovi kaikelle tiedolle 10 2014-02-11 Tietoturvatapahtuma / Titta Penttilä
Kysymyksiä? Kommentteja? Kokemuksia? Ajatuksia? KIITOS! Titta Penttilä OTK, CIPP/E Senior information security manager, TeliaSonera titta.penttila@teliasonera.com fi.linkedin.com/in/tpenttila 11 2014-02-11 Tietoturvatapahtuma / Titta Penttilä
Lukuvinkkejä • ENISA: Cloud Computing, Benefits, risks and recommendations for information security, November 2009 • WP 29 (Article 29 Data Protection Working Party): Opinion 05/2012 on Cloud Computing, WP 196, July 2012 • International Working Group on Data Protection in Telecommunications: Working Paper on Cloud Computing - Privacy and Data Protection Issues ”Sopot Memorandum”, April 2012 • Council of Europe: Handbook on European data protection law (2014) • Lisätietoa valmisteilla olevasta EU:n tietosuoja-asetuksesta: EU Commission EU data protection reform http://ec.europa.eu/justice/data-protection/ 12 2014-02-11 Tietoturvatapahtuma / Titta Penttilä sonera_security twitter.com/sonera_security

More Related Content

Pilvipalvelut ja Henkilotiedot - Titta Penttilä - Tietoturvatapahtuma 2014 - Sonera

  • 1. Pilvipalvelut ja henkilötiedot Titta Penttilä Senior information security manager Group Security, TeliaSonera
  • 2. Muuttuva toimintaympäristö Alihankinta, pilvipalvelut Yleisen tietoisuuden ja kiinnostuksen lisääntyminen Sääntely ja sanktiot Tiedon arvon ja laadun korostuminen Tiedon määrän ja käsittelyn valtava kasvu Lainsäädännön vaatimusten tiukkeneminen ja sanktiot Tietosuoja Uhat ja toimintaympäristön haasteet 2 2014-02-11 Tietoturvatapahtuma / Titta Penttilä Riskit ja uhat
  • 3. Lainsäädäntö on teknologianeutraalia • Pilvipalveluita koskevat samat säännöt kuin muutakin henkilötietojen käsittelyä • Pilvipalveluiden haasteita tietosuojan kannalta – Pilvet ylittävät rajat – henkilötietojen käsittelystä on tullut maailmanlaajuista, mutta lait ovat kansallisia – Kontrollin ja avoimuuden puute – Monimutkaiset ja dynaamiset alihankintaketjut – Käsitellään erittäin suuria määriä tietoa – Vakiosopimusehdot 3 2014-02-11 Tietoturvatapahtuma / Titta Penttilä
  • 4. Käsitteet ja roolit Asiakas Henkilötieto Pilvipalveluntarjoaja • Tieto, joka voidaan tunnistaa tiettyä henkilöä/hänen perhettä koskevaksi. Henkilötietojen siirto Rekisterinpitäjä (controller) Käsittelijä (processor) • Oikeus määrätä tietojen käytöstä (”omistaja”) • Vastaa lainsäädännön noudattamisesta • Sovellettava laki • Käsittelee henkilötietoja rekisterinpitäjän lukuun ja tämän ohjeiden mukaan • Tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi 4 2014-02-11 Tietoturvatapahtuma / Titta Penttilä
  • 5. Henkilötietojen siirron juridiset edellytykset Henkilötietojen käsittelyn laillisuus (Henkilötietolaki) • • • • • • • • Huolellisuus Suunnittelu Käyttötarkoitussidonnaisuus Laillisuus Tarpeellisuus Virheettömyys Avoimuus Suojaaminen (Tietoturva) Erityislakien vaatimukset (esim. Sähköisen viestinnän tietosuojalaki) 5 2014-02-11 Tietoturvatapahtuma / Titta Penttilä EU/ETA ja Komission hyväksymät maat • “Data transfer agreement” • Henkilötietolaki: “annettava asianmukaiset selvitykset ja sitoumukset” Muut maat • Tarvitaan erityisiä takeita tietosuojan tasosta • Esim. Komission vakiosopimuslausekkeet
  • 6. Suunnittelu ja riskianalyysi • Mitä henkilötietoja ollaan siirtämässä? • Missä tiedot tulevat sijaitsemaan ? • Mitä vaatimuksia kyseisten tietojen siirtämiseen ja käsittelyyn liittyy? • Mikä on kyseisten tietojen merkitys yhtiön kannalta? • Uhat ja riskit? • ”Business case”? 6 2014-02-11 Tietoturvatapahtuma / Titta Penttilä
  • 7. Pilvipalveluntarjoajan arviointi • Asianmukainen tietoturvantaso – Tekniset ja organisatoriset toimet • Todentaminen – Sertifikaatit esim. ISO 27001 – Auditointi • Kyvykkyys vastata vaatimuksiin – Oikeudelliset sanktiot ja vahingonkorvaukset • Mahdollisuus vaikuttaa tarjottavaan palveluun ja sopimusehtoihin – Alihankkijat, tietojen sijainti 7 2014-02-11 Tietoturvatapahtuma / Titta Penttilä
  • 8. Sopimus henkilötietojen näkökulmasta • Oikeus käsitellä tietoja vain rekisterinpitäjän ohjeiden mukaan • Noudatettava soveltuvaa lainsäädäntöä • Varmistettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi • Avustettava rekisterinpitäjää lakisääteisten velvollisuuksien hoitamisessa • Tietojen sijainti – Siirto EU/ETA:n ulkopuolelle ? – Komission vakiosopimuslausekkeet 8 2014-02-11 Tietoturvatapahtuma / Titta Penttilä
  • 9. Sopimus henkilötietojen näkökulmasta • Osapuolten roolit, vastuut ja velvollisuudet • Salassapitolauseke • Alihankkijat ja velvollisuus sisällyttää samat velvoitteet alihankintasopimuksiin • Rikkomuksista ja uhista ilmoittaminen • Auditointi- ja tiedonsaantioikeus • Sanktiot • Sopimuksen päättymisen seuraukset 9 2014-02-11 Tietoturvatapahtuma / Titta Penttilä
  • 10. Yhteenveto • Samat pelisäännöt kuin ”normaaleissa” alihankintatilanteissa • Erityiset pilvipalveluiden luonteesta johtuvat riskit huomioitava • Osana yrityksen hankintaprosessia ja alihankkijoiden hallintaa • Sopimus ja auditoinnit • Tekemisen voi ulkoistaa, mutta ei vastuuta • Pilvi ei välttämättä sovi kaikelle tiedolle 10 2014-02-11 Tietoturvatapahtuma / Titta Penttilä
  • 11. Kysymyksiä? Kommentteja? Kokemuksia? Ajatuksia? KIITOS! Titta Penttilä OTK, CIPP/E Senior information security manager, TeliaSonera titta.penttila@teliasonera.com fi.linkedin.com/in/tpenttila 11 2014-02-11 Tietoturvatapahtuma / Titta Penttilä
  • 12. Lukuvinkkejä • ENISA: Cloud Computing, Benefits, risks and recommendations for information security, November 2009 • WP 29 (Article 29 Data Protection Working Party): Opinion 05/2012 on Cloud Computing, WP 196, July 2012 • International Working Group on Data Protection in Telecommunications: Working Paper on Cloud Computing - Privacy and Data Protection Issues ”Sopot Memorandum”, April 2012 • Council of Europe: Handbook on European data protection law (2014) • Lisätietoa valmisteilla olevasta EU:n tietosuoja-asetuksesta: EU Commission EU data protection reform http://ec.europa.eu/justice/data-protection/ 12 2014-02-11 Tietoturvatapahtuma / Titta Penttilä sonera_security twitter.com/sonera_security