Tietosuojaterveisiä Hekasta
Luet Hekan ensimmäisen tietotilinpäätöksen tiivistelmää – mahtavaa!
Tietotilinpäätöksessä kuvaamme tietosuojatyötä ja arvioimme tietosuojan toteutumista Hekassa vuonna 2023. Kerromme tässä tiivistelmässä keskeisistä onnistumisistamme ja kehityskohteistamme.
Haluamme viestiä tietosuojasta avoimesti ja läpinäkyvästi. Toivomme, että tämän tiivistelmän julkaiseminen lisää toimintamme läpinäkyvyyttä ja sinun luottamustasi meihin rekisterinpitäjänä.
Löydät verkkosivuiltamme tietosuojapolitiikkamme tiivistelmän ja tietosuojaselosteemme. Ne kertovat, miten Heka käsittelee henkilötietoja.
Jos sinulla on kysymyksiä Hekan tietosuojakäytännöistä, voit olla yhteydessä Hekan tietosuojavastaavaan sähköpostitse osoitteeseen tietosuoja@hekaoy.fi.
Tietosuoja asioiden vastuunjako Uudistimme tietosuojan johtamismallin ja organisaation vuonna 2023.
Johtamismallissa kuvataan:
• hallituksen ja toimitusjohtajan rooli,
• johtoryhmän rooli,
• tietosuojan vastuujohtajan rooli,
• tietosuojaryhmän rooli,
• tietosuojavastaavan rooli,
• esihenkilöiden rooli ja
• työntekijöiden rooli.
Onnistumiset
+ Uusi johtamismalli ja organisaatio
Uudessa tietosuojan johtamismallissa on tunnistettu ylimmän johdon vastuu sekä esihenkilöiden ja työntekijöiden rooli.
+ Järjestelmäroolit
Laadimme lisäksi järjestelmäroolituksen, jossa on huomioitu eri henkilöiden vastuut järjestelmien tietosuoja ja tietoturvaasioissa.
Haasteet ja kehityskohteet
− Työajan riittävyys
Tietosuojavastaavan tehtävien hoitamiseen varattu resurssi on melko niukka työmäärään nähden.
− Johdon ja esihenkilöiden tietoisuudesta ja sitoutumisesta huolehtiminen
Johdon ja esihenkilöiden sitoutuminen vaikuttavat olennaisesti tietosuojan toteutumiseen.
Rekisteröityjen oikeudet
Tietosuojaselosteet
Kerromme rekisteröidyille heidän henkilötietojensa käsittelystä tietosuojaselosteiden avulla. Vuonna 2023 teimme pieniä päivityksiä asiakkaiden ja työntekijöiden tietosuojaselosteisiin. Aiomme päivittää tietosuojaselosteet perusteellisesti vuonna 2024.
• Asiakkaiden tietosuojasel oste (hekaoy.fi)
• Työntekijöiden tietosuojaseloste
• Työnhakijoiden tietosuojaseloste (hekaoy.fi)
• Sidosryhmien tietosuojaseloste (heka oy.fi)
Tietosuojaoikeuksien käyttäminen
Vuonna 2023 henkilötietojen tarkastuspyyntöjä oli 50 prosenttia vähemmän kuin vuosina 2021 ja 2022. Tarkastuspyynnöistä kieltäytymisiä oli 0 kpl* ja toteutimme kaikki tarkastuspyynnöt määräajassa.
Emme saaneet tietosuojaasetukseen perustuvia oikaisupyyntöjä. Käytännössä vanhentuneita tai muuten virheellisiä henkilötietoja oikaistaan osana tavanomaista asiakaspalvelua, emmekä käsittele tällaisia yhteydenottoja tietosuojaasetukseen perustuvina oikaisupyyntöinä.
Saimme yhden henkilötietojen luovuttamista koskevan rajoitus ja vastustamispyynnön. Emme saaneet muita rekisteröidyn tietosuojaoikeuksiin perustuvia pyyntöjä.
Henkilötietojen tarkastuspyynnöt, kpl
tarkastuspyynnöistä kieltäytymisiä 100 % määräajassa totetutettuja tarkastuspyyntöjä
*Kahdessa tarkastuspyynnössä emme voineet toimittaa osaa pyydetyistä tiedoista, koska emme käsitelleet pyydettyjä tietoja.
Onnistumiset
+ Tietosuojaselosteemme ovat ymmärrettäviä Olemme panostaneet tietosuojaselosteidemme ymmärrettävyyteen.
+ Tarkastuspyyntöjen käsittelyprosessi on kuvattu Henkilötietojen tarkastuspyyntöjen käsittelyprosessi on kuvattu. Pystymme vastaamaan pyyntöihin määräajassa.
Haasteet ja kehityskohteet
− Tietosuojaoikeuksien sisäänrakentaminen järjestelmiin Kun huomioimme rekisteröityjen tietosuojaoikeudet järjestelmien suunnittelussa ja kehittämisessä, pystymme esimerkiksi automatisoimaan oikeuksien toteuttamista.
Tietoturva
Teimme tietoturvan kehittämiseksi monia toimenpiteitä, kuten
→ Osallistuimme ensimmäistä kertaa Digi ja väestötietoviraston Digiturvaviikkoteemaviikkoon. Viikon ohjelmaan kuului muun muassa tietoturvavinkkejä, visailua ja tietosuojakoulutusta.
→ Olimme mukana Digi ja väestötietovi raston Taistoharjoituksessa. Harjoituksessa pääsimme testaamaan ja harjoittelemaan toimintamallejamme tietosuojan ja tietoturvan häiriötilanteissa kuvitteellisten tilanteiden kautta. Harjoituksen tuloksena teimme kehittämissuunnitelman, johon kuuluu muun muassa häiriönhallinnan prosessin tarkistaminen.
→ Tarkistimme työntekijöiden käyttö oike uksia organisaatiomuutoksen myötä. Aloitimme identiteetin ja pääsynhallinnan projektin, jonka avulla parannamme käyttöoikeuksien hallintaa.
→ Muutimme monivaiheisen tunnistautumisen (multi factor authentication, MFA) asetuksia.
→ Uusimme toimistoverkkoa ja verkko lai tteistoa ja paransimme verkon turvallisuutta. Uusimme ICT laitteistoa. Huolehdimme ohjelmiston versiopäivitysten pitämisestä ajan tasalla.
→ Jatkoimme projektia, jossa paransimme kiinteistöjen tietoturvaa.
→ Järjestimme huollon ja siivouksen henkilöstölle mobiililaitekoulutuksia.
→ Päivitimme listauksen järjestelmistämme, joissa käsittelemme henkilötietoja.
Heka
Tietosuojariskien arviointi
Emme saaneet tehtyä kaikkia tietosuojan vaikutustenarviointeja, jotka olimme aikeissa tehdä.
Hyväksytyt vaikutustenarvioinnit, kpl
2 kpl* tietosuojariskien kynnysarviota 2023 4 11
20212022 2023
*Kehitimme henkilötietojen käsittelystä aiheutuvien riskien arviointia tekemällä vuonna 2023 kaksi tietosuojariskien kynnysarviota 22.9. alkaen.
Uudistimme tietosuojaa koskevan vaikutustenarvioinnin mallipohjan vuonna 2023.
Onnistumiset
+ Tietosuojariskien kynnysarvion käyttöönotto
Teemme jatkossa jokaisesta uudesta tietojärjestelmästä ja prosessista niin kutsutun tietosuojariskien kynnysarvion.
+ Uusi vaikutustenarvioinnin mallipohja
Uudistimme tietosuojaa koskevan vaikutustenarvioinnin mallipohjan vuonna 2023.
Haasteet
ja kehityskohteet
− Vaikutustenarviointeja ei ehditä tekemään ja päivittämään
Resurssihaasteiden vuoksi emme ehdi tekemään tai päivittämään vaikustustenarviointeja suunnitellussa aikataulussa.
− Vaikutustenarvioinnin oikea aikaisuus Voimme parantaa vaikutustenarviointien ajoitusta. Siten niistä on saatavissa myös suurin hyöty arvioinnin kohteen suunnittelun kannalta.
Henkilötietojen elinkaaren hallinta
Ohessa on kuvattu henkilötietojen elinkaaren hallinnan keskeisimmät onnistumiset ja kehityskohteet.
Onnistumiset
+ Käsittelytoimien selosteen päivitysprojekti
Päivitimme käsittelytoimien selosteemme, mikä parantaa henkilötietojen elinkaaren hallintaa ja henkilötietojen suojaa.
+ Käyttötarkoitusten täsmentäminen
Täsmensimme henkilötietojen käyttötarkoituksia.
+ Oikeutetun edun tasapainotestin mallipohja
Uusi mallipohjamme edesauttaa oikeutetun edun asianmukaista käyttöä henkilötietojen käsittelyperusteena.
Haasteet ja kehityskohteet
− Henkilötietojen säilytyksen
rajoittaminen ja poistot
Meidän on kehitettävä tietojen poistamista
järjestelmistä, jotta järjestelmät tukevat henkilötietojen säilytyksen rajoittamisen käytännön toteuttamista.
− Kansainvälisten tiedonsiirtojen tunnistaminen
Kansainvälisten tiedonsiirtojen tunnistamista on tarpeen kehittää.
− Henkilötietojen luovutukset
Henkilötietojen luovutusten dokumentoinnissa sekä tietosuojavaatimusten huomioimisessa on kehitettävää.
Yhteistyö
Henkilötietojen käsittelijät, yhteisrekisterinpitäjät ja sopimukset
Monet Hekan hankinnat ja yhteistyöt edellyttävät, että sopimuskumppanimme käsittelevät henkilötietoja meidän lukumme. Sovimme tällöin henkilötietojen käsittelystä ensisijaisesti Hekan omien, vakiomuotoisten tietosuojaliitteiden avulla. Lisäksi sopimuksissa voidaan käyttää Hekan yleisiä tietoturvaohjeista. Sopimukset tallennetaan keskitetysti dokumentinhallintajärjestelmään.
Hekassa tunnistettiin ensimmäiset kaksi yhteisrekisterinpitäjyystilannetta vuonna 2023. Kummassakin tapauksessa yhteisrekisterinpitäjät sopivat vastuualueistaan.
Hekassa tunnistettiin ensimmäiset kaksi yhteisrekisterinpitäjyystilannetta vuonna 2023.
Koulutukset ja ohjeet
Jokaisen uuden työntekijöiden on suoritettava Hekan oma Tietosuojakorttikurssi osana perehdytystään.
Tietosuojakortin lisäksi Hekassa järjestettiin kolme tietosuojakoulutusta vuonna 2023. Vuonna 2022 vastaavia koulutuksia oli kaksi ja vuonna 2021 kolme.
Onnistumiset
+ Tietosuojavastaavan käsikirja
Tietosuojavastaavan käsikirja valmistui tietosuojavastaavan työn tueksi.
+ Tietosuojaoppaan laatiminen alkoi
Aloitimme Tietosuojaoppaan laatimisen. Opas tulee olemaan kattava ja sisältämään paljon tietosuojaohjeistusta, jota ei ole aiemmin ollut.
+ Aktiivinen intra v iestintä
Tietosuojaviestinnän määrä intranetissä kasvoi.
Haasteet ja kehityskohteet
− Uusi teknologia ja sääntely
Tekoäly ja uusi lainsäädäntö vaikuttavat tietosuojaan. Uusi teknologian ja sääntelyn edellyttää osaamisemme kehittämistä.
− Tietosuojakortin suorittaminen ja kertauskurssi
Kaikki uudet työntekijät eivät suorittaneet Tietosuojakorttia. Lisäksi tarvitsemme säännöllistä kertauskoulutusta tietosuojasta ja tietoturvasta koko henkilöstölle.
− Ohjeiden jalkauttaminen käytäntöön
Tietosuoja ja tietoturvaohjeiden jalkauttamista käytäntöön on tehostettava.
Henkilötietojen tietoturvaloukkaukset
Henkilötietojen tietoturvaloukkauksia tapahtui noin 8 % vähemmän vuonna 2023 kuin vuonna 2022.
Noin 32 %:ssa loukkauksista oli kyse henkilötietoja sisältävän viestin lähettämisestä väärälle vastaanottajalle. Niiden osuus kaikista tietoturvaloukkauksista on pienentynyt: vastaavien loukkausten osuus tapahtuneista tietoturvaloukkauksista oli noin 68 % vuonna 2022.
Noin 21 %:ssa loukkauksista oli kyse siitä, että henkilötietoja oli Hekan sisäisesti yhden tai useamman sellaisen henkilön saatavilla, jolla ei olisi kuulunut olla pääsyä tietoihin.
Arvioimme, että kuudessa tietoturvaloukkauksessa rekisteröidylle aiheutuvan riskin taso oli korkeintaan kohtalainen. Muissa tapauksissa arvioimme riskin vähäiseksi. Korkean tai hyvin korkean riskin loukkauksia ei sattunut.
Alkuvuonna 2023 Hekankin asiakkaita joutui huijaustekstiviestikampanjan kohteeksi. Heka ilmoitti huijauskampanjasta Kyberturvallisuuskeskukselle ja teki rikosilmoituksen poliisille. Tiedotimme huijauksesta asiakkaitamme. Viitteitä siitä, että viestikampanjan takana olisi ollut tietomurto, ei löytynyt.
Tietoturvaloukkaukset, kpl 22 37 34 2021 2022 2023 0 kpl* ilmoitettuja tietoturvaloukkauksia 2023
*Ei valvontaviranomaisille tai rekisteröidyille ilmoitettuja henkilötietojen tietoturva loukkauksia vuonna 2023.
Viranomaisvalvonta ja vahingonkorvausvastuu
Heka ei saanut tietosuojavaltuutetun toimistolta selvitys tai tietopyyntöjä vuonna 2023.
Hekalle ei ole osoitettu tietosuojaasetuksen rikkomiseen perustuvia vahingonkorvausvaatimuksia vuonna 2023.
Onnistumiset
+ Tietoturvaloukkausten määrä väheni Henkilötietojen tietoturvaloukkausten määrä väheni hieman vuoteen 2022 verrattuna.
+ Vähemmän väärälle vastaanottajalle lähetettyjä viestejä
Väärälle vastaanottajalle lähetettyjen, henkilötietoja sisältävien viestin suhteellinen osuus tietoturvaloukkausten määrästä väheni selkeästi vuoteen 2022 verrattuna.
+ Taisto harjoitus
Osallistuimme ensimmäistä kertaa Digi ja väestötietoviraston Taistoharjoitukseen. Teimme harjoituksen pohjalta kehittämissuunnitelman.
Haasteet ja kehityskohteet
− Tietoturvaloukkauksista ilmoittaminen Loukkausten tunnistaminen ja ilmoittaminen edellyttävät jatkuvaa kouluttamista.
− Tietoturvaloukkausten riskiarviointi ja ilmoitusvelvollisuus Jos emme arvioi tietoturvaloukkauksista aiheutuvia riskejä oikein, loukkaus voi tahattomasti jäädä ilmoittamatta tietosuojavaltuutetun toimistolle.
− Vakavien tietoturvapoikkeamatilanteiden hallinta Taistoharjoituksen kehittämissuunnitelmaan sisältyy toimenpiteitä, joilla voimme kehittää varautumistamme vakaviin tietoturvapoikkeamatilanteisiin.
Viipurinkatu 2, 00510 Helsinki
hekaoy@hekaoy.fi
Helsingin kaupungin asunnot Oy