Hekan tietotilinpäätöksen 2023 tiivistelmä

Tietotilinpäätös 2023

– tiivistelmä

Tietosuojaterveisiä Hekasta

Luet Hekan ensimmäisen tietotilinpäätöksen tiivistelmää – mahtavaa!

Tietotilinpäätöksessä kuvaamme tietosuojatyötä ja arvioimme tietosuojan toteutumista Hekassa vuonna 2023. Kerromme tässä tiivistelmässä keskeisistä onnistumisistamme ja kehityskohteistamme.

Haluamme viestiä tietosuojasta avoimesti ja läpinäkyvästi. Toivomme, että tämän tiivistelmän julkaiseminen lisää toimintamme läpinäkyvyyttä ja sinun luottamustasi meihin rekisterinpitäjänä.

Löydät verkkosivuiltamme tietosuojapolitiikkamme tiivistelmän ja tietosuojaselosteemme. Ne kertovat, miten Heka käsittelee henkilötietoja.

Jos sinulla on kysymyksiä Hekan tietosuojakäytännöistä, voit olla yhteydessä Hekan tietosuojavastaavaan sähköpostitse osoitteeseen tietosuoja@hekaoy.fi.

Tietosuoja ­ asioiden vastuunjako Uudistimme tietosuojan johtamismallin ja organisaation vuonna 2023.

Johtamismallissa kuvataan:

• hallituksen ja toimitusjohtajan rooli,

• johtoryhmän rooli,

• tietosuojan vastuujohtajan rooli,

• tietosuojaryhmän rooli,

• tietosuojavastaavan rooli,

• esihenkilöiden rooli ja

• työntekijöiden rooli.

Onnistumiset

+ Uusi johtamismalli ja organisaatio

Uudessa tietosuojan johtamismallissa on tunnistettu ylimmän johdon vastuu sekä esihenkilöiden ja työntekijöiden rooli.

+ Järjestelmäroolit

Laadimme lisäksi järjestelmäroolituksen, jossa on huomioitu eri henkilöiden vastuut järjestelmien tietosuoja­ ja tietoturva­asioissa.

Haasteet ja kehityskohteet

− Työajan riittävyys

Tietosuojavastaavan tehtävien hoitamiseen varattu resurssi on melko niukka työmäärään nähden.

− Johdon ja esihenkilöiden tietoisuudesta ja sitoutumisesta huolehtiminen

Johdon ja esihenkilöiden sitoutuminen vaikuttavat olennaisesti tietosuojan toteutumiseen.

Rekisteröityjen oikeudet

Tietosuojaselosteet

Kerromme rekisteröidyille heidän henkilötietojensa käsittelystä tietosuojaselosteiden avulla. Vuonna 2023 teimme pieniä päivityksiä asiakkaiden ja työntekijöiden tietosuojaselosteisiin. Aiomme päivittää tietosuojaselosteet perusteellisesti vuonna 2024.

• Asiakkaiden tietosuojasel oste (hekaoy.fi)

• Työntekijöiden tietosuojaseloste

• Työnhakijoiden tietosuojaseloste (hekaoy.fi)

• Sidosryhmien tietosuojaseloste (heka oy.fi)

Tietosuojaoikeuksien käyttäminen

Vuonna 2023 henkilötietojen tarkastuspyyntöjä oli 50 prosenttia vähemmän kuin vuosina 2021 ja 2022. Tarkastuspyynnöistä kieltäytymisiä oli 0 kpl* ja toteutimme kaikki tarkastuspyynnöt määräajassa.

Emme saaneet tietosuoja­asetukseen perustuvia oikaisupyyntöjä. Käytännössä vanhentuneita tai muuten virheellisiä henkilötietoja oikaistaan osana tavanomaista asiakaspalvelua, emmekä käsittele tällaisia yhteydenottoja tietosuoja­asetukseen perustuvina oikaisupyyntöinä.

Saimme yhden henkilötietojen luovuttamista koskevan rajoitus­ ja vastustamispyynnön. Emme saaneet muita rekisteröidyn tietosuojaoikeuksiin perustuvia pyyntöjä.

Henkilötietojen tarkastuspyynnöt, kpl

tarkastuspyynnöistä kieltäytymisiä 100 % määräajassa totetutettuja tarkastuspyyntöjä

*Kahdessa tarkastuspyynnössä emme voineet toimittaa osaa pyydetyistä tiedoista, koska emme käsitelleet pyydettyjä tietoja.

Onnistumiset

+ Tietosuojaselosteemme ovat ymmärrettäviä Olemme panostaneet tietosuojaselosteidemme ymmärrettävyyteen.

+ Tarkastuspyyntöjen käsittelyprosessi on kuvattu Henkilötietojen tarkastuspyyntöjen käsittelyprosessi on kuvattu. Pystymme vastaamaan pyyntöihin määräajassa.

Haasteet ja kehityskohteet

− Tietosuojaoikeuksien sisäänrakentaminen järjestelmiin Kun huomioimme rekisteröityjen tietosuojaoikeudet järjestelmien suunnittelussa ja kehittämisessä, pystymme esimerkiksi automatisoimaan oikeuksien toteuttamista.

Tietoturva

Teimme tietoturvan kehittämiseksi monia toimenpiteitä, kuten

→ Osallistuimme ensimmäistä kertaa Digi ­ ja väestötietoviraston Digiturvaviikkoteemaviikkoon. Viikon ohjelmaan kuului muun muassa tietoturvavinkkejä, visailua ja tietosuojakoulutusta.

→ Olimme mukana Digi ­ ja väestötietovi raston Taistoharjoituksessa. Harjoituksessa pääsimme testaamaan ja harjoittelemaan toimintamallejamme tietosuojan ja tietoturvan häiriötilanteissa kuvitteellisten tilanteiden kautta. Harjoituksen tuloksena teimme kehittämissuunnitelman, johon kuuluu muun muassa häiriönhallinnan prosessin tarkistaminen.

→ Tarkistimme työntekijöiden käyttö oike uksia organisaatiomuutoksen myötä. Aloitimme identiteetin ­ ja pääsynhallinnan projektin, jonka avulla parannamme käyttöoikeuksien hallintaa.

→ Muutimme monivaiheisen tunnistautumisen (multi ­factor authentication, MFA) asetuksia.

→ Uusimme toimistoverkkoa ja verkko lai tteistoa ja paransimme verkon turvallisuutta. Uusimme ICT­ laitteistoa. Huolehdimme ohjelmiston versiopäivitysten pitämisestä ajan tasalla.

→ Jatkoimme projektia, jossa paransimme kiinteistöjen tietoturvaa.

→ Järjestimme huollon ja siivouksen henkilöstölle mobiililaitekoulutuksia.

→ Päivitimme listauksen järjestelmistämme, joissa käsittelemme henkilötietoja.

Heka

Tietosuojariskien arviointi

Emme saaneet tehtyä kaikkia tietosuojan vaikutustenarviointeja, jotka olimme aikeissa tehdä.

Hyväksytyt vaikutustenarvioinnit, kpl

2 kpl* tietosuojariskien kynnysarviota 2023 4 11

20212022 2023

*Kehitimme henkilötietojen käsittelystä aiheutuvien riskien arviointia tekemällä vuonna 2023 kaksi tietosuojariskien kynnysarviota 22.9. alkaen.

Uudistimme tietosuojaa koskevan vaikutustenarvioinnin mallipohjan vuonna 2023.

Onnistumiset

+ Tietosuojariskien kynnysarvion käyttöönotto

Teemme jatkossa jokaisesta uudesta tietojärjestelmästä ja prosessista niin kutsutun tietosuojariskien kynnysarvion.

+ Uusi vaikutustenarvioinnin mallipohja

Uudistimme tietosuojaa koskevan vaikutustenarvioinnin mallipohjan vuonna 2023.

Haasteet

ja kehityskohteet

− Vaikutustenarviointeja ei ehditä tekemään ja päivittämään

Resurssihaasteiden vuoksi emme ehdi tekemään tai päivittämään vaikustustenarviointeja suunnitellussa aikataulussa.

− Vaikutustenarvioinnin oikea ­aikaisuus Voimme parantaa vaikutustenarviointien ajoitusta. Siten niistä on saatavissa myös suurin hyöty arvioinnin kohteen suunnittelun kannalta.

Henkilötietojen elinkaaren hallinta

Ohessa on kuvattu henkilötietojen elinkaaren hallinnan keskeisimmät onnistumiset ja kehityskohteet.

Onnistumiset

+ Käsittelytoimien selosteen päivitysprojekti

Päivitimme käsittelytoimien selosteemme, mikä parantaa henkilötietojen elinkaaren hallintaa ja henkilötietojen suojaa.

+ Käyttötarkoitusten täsmentäminen

Täsmensimme henkilötietojen käyttötarkoituksia.

+ Oikeutetun edun tasapainotestin mallipohja

Uusi mallipohjamme edesauttaa oikeutetun edun asianmukaista käyttöä henkilötietojen käsittelyperusteena.

Haasteet ja kehityskohteet

− Henkilötietojen säilytyksen

rajoittaminen ja poistot

Meidän on kehitettävä tietojen poistamista

järjestelmistä, jotta järjestelmät tukevat henkilötietojen säilytyksen rajoittamisen käytännön toteuttamista.

− Kansainvälisten tiedonsiirtojen tunnistaminen

Kansainvälisten tiedonsiirtojen tunnistamista on tarpeen kehittää.

− Henkilötietojen luovutukset

Henkilötietojen luovutusten dokumentoinnissa sekä tietosuojavaatimusten huomioimisessa on kehitettävää.

Yhteistyö

Henkilötietojen käsittelijät, yhteisrekisterinpitäjät ja sopimukset

Monet Hekan hankinnat ja yhteistyöt edellyttävät, että sopimuskumppanimme käsittelevät henkilötietoja meidän lukumme. Sovimme tällöin henkilötietojen käsittelystä ensisijaisesti Hekan omien, vakiomuotoisten tietosuojaliitteiden avulla. Lisäksi sopimuksissa voidaan käyttää Hekan yleisiä tietoturvaohjeista. Sopimukset tallennetaan keskitetysti dokumentinhallintajärjestelmään.

Hekassa tunnistettiin ensimmäiset kaksi yhteisrekisterinpitäjyystilannetta vuonna 2023. Kummassakin tapauksessa yhteisrekisterinpitäjät sopivat vastuualueistaan.

Hekassa tunnistettiin ensimmäiset kaksi yhteisrekisterinpitäjyystilannetta vuonna 2023.

Koulutukset ja ohjeet

Jokaisen uuden työntekijöiden on suoritettava Hekan oma Tietosuojakorttikurssi osana perehdytystään.

Tietosuojakortin lisäksi Hekassa järjestettiin kolme tietosuojakoulutusta vuonna 2023. Vuonna 2022 vastaavia koulutuksia oli kaksi ja vuonna 2021 kolme.

Onnistumiset

+ Tietosuojavastaavan käsikirja

Tietosuojavastaavan käsikirja valmistui tietosuojavastaavan työn tueksi.

+ Tietosuojaoppaan laatiminen alkoi

Aloitimme Tietosuojaoppaan laatimisen. Opas tulee olemaan kattava ja sisältämään paljon tietosuojaohjeistusta, jota ei ole aiemmin ollut.

+ Aktiivinen intra ­v iestintä

Tietosuojaviestinnän määrä intranetissä kasvoi.

Haasteet ja kehityskohteet

− Uusi teknologia ja sääntely

Tekoäly ja uusi lainsäädäntö vaikuttavat tietosuojaan. Uusi teknologian ja sääntelyn edellyttää osaamisemme kehittämistä.

− Tietosuojakortin suorittaminen ja kertauskurssi

Kaikki uudet työntekijät eivät suorittaneet Tietosuojakorttia. Lisäksi tarvitsemme säännöllistä kertauskoulutusta tietosuojasta ja tietoturvasta koko henkilöstölle.

− Ohjeiden jalkauttaminen käytäntöön

Tietosuoja­ ja tietoturvaohjeiden jalkauttamista käytäntöön on tehostettava.

Henkilötietojen tietoturvaloukkaukset

Henkilötietojen tietoturvaloukkauksia tapahtui noin 8 % vähemmän vuonna 2023 kuin vuonna 2022.

Noin 32 %:ssa loukkauksista oli kyse henkilötietoja sisältävän viestin lähettämisestä väärälle vastaanottajalle. Niiden osuus kaikista tietoturvaloukkauksista on pienentynyt: vastaavien loukkausten osuus tapahtuneista tietoturvaloukkauksista oli noin 68 % vuonna 2022.

Noin 21 %:ssa loukkauksista oli kyse siitä, että henkilötietoja oli Hekan sisäisesti yhden tai useamman sellaisen henkilön saatavilla, jolla ei olisi kuulunut olla pääsyä tietoihin.

Arvioimme, että kuudessa tietoturvaloukkauksessa rekisteröidylle aiheutuvan riskin taso oli korkeintaan kohtalainen. Muissa tapauksissa arvioimme riskin vähäiseksi. Korkean tai hyvin korkean riskin loukkauksia ei sattunut.

Alkuvuonna 2023 Hekankin asiakkaita joutui huijaustekstiviestikampanjan kohteeksi. Heka ilmoitti huijauskampanjasta Kyberturvallisuuskeskukselle ja teki rikosilmoituksen poliisille. Tiedotimme huijauksesta asiakkaitamme. Viitteitä siitä, että viestikampanjan takana olisi ollut tietomurto, ei löytynyt.

Tietoturvaloukkaukset, kpl 22 37 34 2021 2022 2023 0 kpl* ilmoitettuja tietoturvaloukkauksia 2023

*Ei valvontaviranomaisille tai rekisteröidyille ilmoitettuja henkilötietojen tietoturva loukkauksia vuonna 2023.

Viranomaisvalvonta ja vahingonkorvausvastuu

Heka ei saanut tietosuojavaltuutetun toimistolta selvitys­ tai tietopyyntöjä vuonna 2023.

Hekalle ei ole osoitettu tietosuoja­asetuksen rikkomiseen perustuvia vahingonkorvausvaatimuksia vuonna 2023.

Onnistumiset

+ Tietoturvaloukkausten määrä väheni Henkilötietojen tietoturvaloukkausten määrä väheni hieman vuoteen 2022 verrattuna.

+ Vähemmän väärälle vastaanottajalle lähetettyjä viestejä

Väärälle vastaanottajalle lähetettyjen, henkilötietoja sisältävien viestin suhteellinen osuus tietoturvaloukkausten määrästä väheni selkeästi vuoteen 2022 verrattuna.

+ Taisto ­ harjoitus

Osallistuimme ensimmäistä kertaa Digi­ ja väestötietoviraston Taisto­harjoitukseen. Teimme harjoituksen pohjalta kehittämissuunnitelman.

Haasteet ja kehityskohteet

− Tietoturvaloukkauksista ilmoittaminen Loukkausten tunnistaminen ja ilmoittaminen edellyttävät jatkuvaa kouluttamista.

− Tietoturvaloukkausten riskiarviointi ja ilmoitusvelvollisuus Jos emme arvioi tietoturvaloukkauksista aiheutuvia riskejä oikein, loukkaus voi tahattomasti jäädä ilmoittamatta tietosuojavaltuutetun toimistolle.

− Vakavien tietoturvapoikkeamatilanteiden hallinta Taisto­harjoituksen kehittämissuunnitelmaan sisältyy toimenpiteitä, joilla voimme kehittää varautumistamme vakaviin tietoturvapoikkeamatilanteisiin.

Viipurinkatu 2, 00510 Helsinki

hekaoy@hekaoy.fi