Lyhyesti
25. toukokuuta 2018 lähtien EU:n jäsenmaissa aletaan soveltamaan uutta yleistä tietosuoja-asetusta (GDPR). Siitä alkaen henkilötietojen käsittelyn on oltava uuden tietosuoja-asetuksen mukaista.
Tietosuoja ja tietoturva ovat aina olleet Intunexin ja Skillhive-palvelun yksi keskeisimmistä suunnitteluperiaatteista. EU:n tietosuoja-asetus asettaa kuitenkin lisävaatimuksia yksityisyyden suojan toteuttamiselle.
Intunex on sitoutunut vastaamaan tietosuoja-asetuksen asettamiin vaatimuksiin täysimääräisesti ja auttamaan myös asiakkaitaan asetuksen noudattamisessa.
Tällä sivulla kuvataan, miten Intunex ja Skillhive-palvelu vastaavat tietosuoja-asetuksen vaatimuksiin ja mitä velvotteita myös Skillhiven asiakkailla on.
Muokattu viimeksi: 26.2.2018
Miten Skillhive vastaa tietosuoja-asetuksen vaatimuksiin?
Sisäiset ja ulkoiset auditoinnit
Intunex on toteuttanut sisäisen arvioinnin henkilötietojen käsittelyn nykytilasta ja laatinut sen pohjalta tietotilinpäätöksen Tietosuojavaltuutetun toimiston ohjeiden mukaisesti. Tilinpäätöksen auttaa Intunexia, sen asiakkaita ja kumppaneita arvioimaan miten Intunex vastaa tietosuojan asettamiin vaatimuksiin. Lisäksi asiakkaat ovat toteuttaneet omia ulkoisia auditointeja koskien Skillhive-palvelun tietosuojaa.
Käyttö- ja pääsyoikeuksien hallinta
Skillhive-palvelussa asiakkaalla on käytössä kolme käyttäjätasoa, joilla käyttöoikeuksia voi rajata ja hallita: pääkäyttäjä (admin), tavallinen käyttäjä ja ulkopuoliset asiantuntijat (ext). Pääkäyttäjät voivat muun muassa poistaa, lisätä ja muokata käyttäjätietoja, ja määritellä millaisia käyttöoikeuksia muilla käyttäjillä on. Intunexilla on lisäksi käytössä järjestelmänvalojaoikeudet (superadmin). Skillhive-palvelun käyttäjätunnistus ja – hallinta noudattaa nykyaikaisia hyviä käytänteitä. Skillhive voidaan integroida myös ulkoisin käyttäjähallintajärjestelmiin kuten AD/LDAP ja ADFS. Skillhive-palvelun ohjelmistokehitys ja testaus on eriytetty omalle palvelimelle, jossa ei käsitellä oikeaa henkilötietoa.
Jäljitettävyyskirjaukset ja lokitiedot
Tietosuoja-asetuksen mukaista tietojen suojaamisvelvoitetta valvotaan Skillhivessa muun muassa jäljitettävyyskirjauksien eli ns. lokitietojen avulla. Näiden tietojen avulla voidaan jälkikäteen selvittää käyttäjien toimet: kuka on tehnyt, mitä on tehty ja milloin. Käyttäjän tunnistaminen lokitiedosta tapahtuu pseudonymisoidun tunnisteen avulla, jolloin pelkän lokitieton perusteella ei voida selvittää, kuka käyttäjä kyseisen toiminnon on tehnyt. Pseudonymisoitu tunniste voidaan jäljittää todelliseen käyttäjään, mutta tämä edellyttää pääsyä Skillhiven tietokantaan. Lokitiedot tallennetaan Skillhive-palvelimelle tekstitiedostoihin, ja niitä säilytetään kuusi (6) kuukautta.
Tietoturvatapahtumien seuranta, käsittely ja raportointi
Skillhive-palveluun ja sen toimintaympäristöön kohdistuvat tietoturvatapahtumat raportoidaan Intunexin tietoturvatapahtumalokiin. Tapahtumien arvioinnille on vastuuhenkilö, joka huolehtii tapahtuman käsittelystä ja raportoinnista.
Rekisteröityjen oikeudet
Skillhiveen on kehitetty toiminnallisuudet, joilla rekisterinpitäjä voi huolehtia rekisteröityjen oikeuksista tietosuoja-asetuksen mukaisesti kuten käsittelyn läpinäkyvyydestä ja tiedonsaantioikeudesta, oikeudesta tietojen oikaisuun ja oikeudesta tietojen siirtämiseen.
Tietojen käsittelysopimus
Laadimme asiakkaiden kanssa tietojenkäsittelysopimuksen, joka pitää sisällään rekisterin käsittelyohjeet. Edellytämme tämän sopimusosan allekirjoittamista kaikilta asiakkailtamme.
Salassapitovelvollisuus
Kaikki työntekijämme ovat salassapitovelvollisuuden alaisia asiakkaidemme tiedoista.
Kumppanit ja alihankkijat
Kuten asiakkaammekin, myös Intunex käyttää alihankkijoita ja kumppaneita palvelumme tarjoamiseksi. Tämä tarkoittaa, että henkilötietojen käsittelyyn osallistuu myös alihankkijoitamme. Osana tietojenkäsittelysopimusta asiakkaidemme tulee hyväksyä alihankkijoidemme käyttö henkilötietojen käsittelyssä. Varmistamme että alihankkijamme ja kumppanimme täyttävän samat vaativat tietoturvan ja tietosuojan kriteerit, joihin myös itse sitoudumme.
Tietoturva
Skillhive on rakennettu yleisesti käytössä olevilla nykyaikaisilla ja tietoturvallisiksi todetuilla teknologioilla. Skillhive-sovellukseen on sisäänrakennettuna useita erilaisia teknisiä ominaisuuksia, jotka vastaavat tyypillisimpiin tietoturvariskeihin. Skillhive toimii Debian Linux -käyttöjärjestelmää käyttävällä palvelimella Suomessa, joiden turvajärjestelyt on auditoitu ISAE 3000 –standardin mukaisesti, varmistaen että vain oikeilla henkilöillä on pääsy järjestelmiin. Konesali on yksi pohjoismaiden suurimmista, ja ne on rakennettu suomalaiseen peruskallioon. Suomi on ilmastoltaan ja maaperältään ideaalinen maantieteellinen sijainti ilman riskiä luonnon katastrofeista. Yhteydet Skillhive-palvelimelle on tiukasti rajattu palomuurien taakse ja kaikki tietoliikenne Skillhive-palveluun on salattu. Palvelin varmuuskopioidaan päivittäin, ja varmuuskopiot säilytetään eri palotilassa. Myös pääsy Intunexin toimitiloihin on suojattu (kulunvalvonta ja lukitut tilat) ja tietokoneet on suojattu salasanoilla ja asianmukaisilla menetelmillä.
Tietojen siirto kansainvälisesti
Intunex ei siirrä asiakkaidensa Skillhive-palveluun syöttämää henkilötietoa Euroopan Unionin tai Euroopan talousalueen ulkopuolelle. Pidämme myös huolen siitä, että alihankkijamme myös sitoutuvat tähän käytäntöön.
Tietosuojan hallintamalli ja tietosuojan kehittäminen
Intunexissa on käynnistetty suunnittelutyö, jonka tavoitteena on luoda selkeä hallintamalli henkilötietojen ja -rekisterien kuvaamiseen, käsittelyyn ja hallinnoimiseen. Tätä työtä varten on perustettu tietosuojaorganisaatio, jossa tietosuojan valvonta ja kehittäminen on vastuutettu ja projektoitu. Intunex on laatinut yksityiskohtaisen toimenpidesuunnitelman, jolla varmistetaan, että Intunex toimii tietosuoja-asetuksen mukaisesti, kun asetusta aletaan soveltamaan toukokuussa 2018.
Mitä velvoitteita sinulla Skillhiven asiakkaana on?
Toimittaessaan Skillhive-palvelun asiakkaalle, Intunex toimii tyypillisesti henkilötietojen teknisenä käsittelijänä ja toteuttaa toimeksiannossa henkilötietojen käsittelyä rekisterinpitäjänä toimivan asiakkaan lukuun toimitussopimuksen ja asiakkaan antamien ohjeiden mukaisesti. Rekisterinpitäjänä toimivan asiakkaan tehtävänä on määrittää henkilötietojen käyttötarkoitus, kun taas Intunex tehtävä on auttaa asiakasta tiedon käsittelyssä käyttötarkoituksen mukaisella tavalla.
Rekisterinpitäjän ja asiakkaan vastuulla on huolehtia, että rekisteröityjen tietoja käsitellään asetuksen vaatimusten mukaisesti. Tietojen käsittelylle pitää olla jokin laillinen peruste, jotka asetuksessa on tarkkaan määritelty. Lisäksi rekisterinpitäjän tulee huolehtia tietojen käsittelyn läpinäkyvyydestä rekisteröidyille, tietojen virheettömyydestä ja luottamuksellisuudesta. Rekisterinpitäjän tulee varmistaa rekisteröityjen oikeuksien toteutuminen kuten oikeus saada tietoa henkilötietojen käsittelystä, oikeus pyytää tietojen oikaisua ja tietyissä tapauksissa oikeus tietojen siirtämiseen.
Tarvittaessa Intunex ohjeistaa asiakkaitaan perehtymään tietosuoja-asetukseen ja hyödyntämään tässä muun muassa Tietosuojavaltuutetun toimiston laatimia ohjeita.
Intunexin asiakkaana ja käyttäessäsi Skillhive-palvelua henkilötietojen käsittelyyn sinun pitää:
- Määritellä henkilötietojen käsittelyn tarkoitus ja keinot, jotka vastaavat tietosuoja-asetuksen vaatimuksia, ja laatia tämän perusteella tietosuoja-asetuksen mukainen tietosuojaseloste. (Tarjoamme esimerkkiselosteen, jota asiakkaat voivat hyödyntää mallina.)
- Laatia Intunexin ja muiden rekisterisi käsittelijöiden kanssa tietosuoja-asetuksen mukainen käsittelysopimus. (Tarjoamme tähän valmiin sopimuspohjan)
- Huolehtia rekisteröidyn oikeuksien toteutumisesta. (Tarjoamme tähän tarvittavat työkalut ja ohjeistuksen Skillhive-palvelun osalta).