1 (6) i enlighet med 44 i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (661/2009) REDOGÖRELSE FÖR SKYDDET AV UPPGIFTER Definitioner Denna redogörelse gäller för följande Suomi-fi-tjänster: Suomi.fi-identifikation och Suomi.fi-befogenheter, med undantag för service som anknyter till Nationella behörighetsregistret. Enligt 44 i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (661/2009) ska den som använder ur befolkningsdatasystemet (BDS) ge en skriftlig redogörelse för hur den administrativa och fysiska säkerheten ordnas för de som lämnas ut samt hur säkerheten i fråga om personal, datakommunikation, programvara, datamaterial, användning och utrustning kommer att garanteras. En organisation som ansöker om ett uppgiftstillstånd som Befolkningsregistercentralen (BRC) beviljar ska ge ovan nämnda redogörelse för hur na skyddas genom att fylla i denna redogörelseblankett och vid behov ge en separat ytterligare redogörelse om metoderna och förfarandena för skyddet av. Redogörelsen gäller behandlingen av BDS- eller som härstammar från BDS. Övrig behandling av behöver inte beskrivas i redogörelsen. De som förmedlas via Suomi.fi-identifikation och -befogenheter har sitt ursprung i BDS. Tjänsterna omfattar också med ursprung i andra register. Befolkningsregistercentralen ska omedelbart underrättas om ändringar i organisationen som använder na och i dess verksamhet, nas användningsändamål, personalen som behandlar na eller andra som getts i denna redogörelse. I denna redogörelse avses med behandling av insamling, registrering, organisering, användning, översändande, utlämnande, lagring, ändring, samkörning, blockering, utplåning och förstöring av samt andra åtgärder som vidtas i fråga om na. I denna redogörelse avses med personal de personer som är anställda hos organisationen som ansöker om uppgiftstillstånd eller hos en underleverantör som står i avtalsförhållande till ovan nämnda organisation, vilka behandlar från BDS. I denna redogörelse avses med utomstående förutom utomstående personer, såsom kunder, även de personer som är anställda hos organisationen som ansöker om uppgiftstillstånd eller hos en
2 (6) Redogörelsens sekretess underleverantör som står i avtalsförhållande till ovan nämnda organisation, vilka inte behandlar från BDS. Befolkningsregistercentralen iakttar vid behandlingen av dokument lagen om offentlighet i myndigheternas verksamhet (621/1999) samt statsrådets förordning om informationssäkerheten inom statsförvaltningen (681/2010), som utfärdats med stöd av den. Organisationen som ansöker om uppgiftstillstånd ska anteckna i redogörelsen om den anser att den givna redogörelsen innehåller sekretessbelagda eller konfidentiella punkter. Anteckningarna ska göras tydligt och det ska framgå till vilka delar organisationen anser att redogörelsen är sekretessbelagd. Om organisationen inte själv har gjort en anteckning om sekretess eller konfidentialitet, behandlas de givna redogörelserna i enlighet med skyddsnivå IV (Begränsad tillgång), om inte Befolkningsregistercentralen på basis av den sökande organisationens anteckningar och/eller Befolkningsregistercentralens bedömning anser att den givna redogörelsen ska behandlas i enlighet med skyddsnivå III (Konfidentiell). Undertecknande av redogörelsen Godkännandet och förbindelsen på företagets/organisationens vägnar ges av en person som har rätt att teckna organisationens firma i rättshandlingar som utförs på organisationens vägnar. Inlämnande av redogörelsen Mer information Befolkningsregistercentralen rekommenderar att redogörelsen skickas per post som rekommenderat brev eller per e-post som ett krypterat e-postmeddelande. Om redogörelsen skickas som ett normalt brev, rekommenderar Befolkningsregistercentralen att redogörelsen skickas i ett svart, ogenomskinligt kuvert. Kunder inom den offentliga förvaltningen tfn 0295 535 001/Växel/Datatjänster/Offentlig förvaltning julkishallinto@vrk.fi Kunder inom den privata sektorn Tfn 0295 535 001/Växel/Datatjänster/Företagskunder yritysasiakkaat@vrk.fi
3 (6) Ja Nej 1. Organisationen har en utsedd ansvarig person för datasäkerhet. 2. Organisationen har gett instruktioner och utbildning avseende behandling av person. Personalen agerarunder tjänsteansvar eller förbinder sig i övrigt skriftligt till sekretess och ändamålsenlig behandling av person, om de behandlar person inom ramen för sina arbets. 3. Organisationen har gett instruktioner och utbildning avseende behandlingen av datasäkerhetsavvikelser. 4. Organisationen kommer överens om förfaringssätt för att säkerställa att personal med arbets i anknytning till Suomi.fi-identifikation eller -behörigheter har uppdaterad information om villkoren för uppgiftstillstånd som beviljats av BRC och villkoren för användning av andra som förmedlas via Suomi.fi-identifikation eller -befogenheter eller för annan användning av tjänsten. 5. De servrar och databaser som organisationen använder i denna tjänst finns helt eller partiellt utanför EU-/EES-området. Om detta är fallet, var? 6. En brandvägg och ett programvarubaserat skydd mot skadliga program, som uppdateras automatiskt är i användning. 7. Datatrafik med person är krypterad. 8. Produktions- och testmiljöerna är avskilda från varandra. 9. Behandling av som förmedlas via Suomi.fi-identifikation eller -befogenheter behandlas utanför Finlands gränser Om detta är fallet, var? 10. Behandling av som förmedlas via Suomi.fi-identifikation eller -befogenheter kommer att behandlas utanför organisationen, behandlingen har till exempel utkontrakterats partiellt eller helt. Om detta är fallet, var? 11. Lagras som förmedlas via Suomi.fi-identifikation eller -befogenheter i ett system eller ett register (exkl. logg)? Om svaret är ja, systemets eller registrets namn: 12. Uppgifter som förmedlas via Suomi.fi-identifikation eller -befogenheter överlåts vidare till tredjepart. Om svaret är ja, till vilken part?
4 (6) Ja Nej 13. Organisationen drar delvis eller helt nytta av en molntjänst i behandlingen av som förmedlas via Suomi.fi-identifikation eller -befogenheter. Om svaret är ja, besvara frågorna 13.1-13.8. Om svaret är nej, gå vidare till fråga 14. 13.1. Namnet på leverantören av molntjänster? 13.2. Hemort för leverantören av molntjänster? 13.3. Vilken är molntjänstens geografiska läge, om känt? Har en avtalsbaserad överenskommelse gjorts mellan leverantören av molntjänsten och kunden avseende förstöring av och säkerställande av att na förstörts? 13.4. Har leverantören av molntjänsten och kunden kommit överens om att annan lagstiftning än EU-/EES-områdets lagstiftning ska iakttas? Om svaret är ja, vilken lagstiftning? 13.5. Har leverantören av molntjänsten och kunden kommit överens om ansvar och riskhantering? 13.6. Informerar leverantören av molntjänster kunden om datasäkerhetsavvikelser? 13.7. Har det överenskommits med leverantören av molntjänster att serviceleverantören inte har rätt till kundens? Ja Nej 14. Behandlar de anställda i organisationen person som förmedlas via Suomi.fi-identifikation eller -befogenheter? Om svaret är ja, besvara frågorna 14.1 14.3. Om svaret är nej, gå vidare till fråga 15. 14.1. Organisationen har säkerställt att utomstående inte har insyn i som förmedlas via Suomi.fi-identifikation eller -befogenheter. 14.2. Lösenord till system där som förmedlas via Suomi.fi-identifikation eller -befogenheter kan behandlas eller kan ses är datasäkra och de behandlas på datasäkert sätt. 14.3. Har organisationen kommit överens om ett förfarande för att säkerställa att medier som tas bort eller sänds för underhåll inte omfattar som förmedlas via Suomi.fi -identifikation eller -befogenheter eller andra person? Om svaret är nej, hurudant arrangemang har organisationen för att ta bort och underhålla medier?
5 (6) En Flera 15. Används den e-tjänst som ansöker om uppgiftstillstånd enbart av en eller flera organisationer? Om e-tjänsten för Suomi.fi-identifikation används av flera organisationer eller om det handlar om Suomi.fi-befogenheter, besvara frågorna 15.1 15.6. Om e-tjänsten med Suomi.fi-identifikation används av enbart en organisation, behövs inte loggning och du kan gå till punkt 16. 15.1. Vilken aktör sköter loggningen? 15.2. Antecknas i loggarna om den som gjort förfrågan, tidpunkten för förfrågan, föremålet för förfrågan och den organisation från vars tjänst förfrågan gjordes? 15.3. Logg förvaras i fem (5) år, varefter de förstörs på ett datasäkert sätt. 15.4. Loggna är skyddade så att de inte kan ändras i efterhand. 15.5. Åtkomsten till logg har begränsats enbart till personer som utför relevanta 15.6. Organisationen säkerställer vid regelbundet återkommande tillfällen att loggar bildas. 16. Uppgifter om ansvarspersoner för datasäkerhet: Namn: Befattning/position i organisationen Telefonnummer: E-post: 17. Organisations och underskrift Befolkningsregistercentralen betonar att organisationen är ansvarig för att från befolkningsdatasystemet används i enlighet med uppgiftstillståndet. Uppgifterna i befolkningsdatasystemet är inte offentliga och får inte lämnas ut till tredje part utan Befolkningsregistercentralens tillstånd. Tillståndshavaren ska övervaka att na i befolkningsdatasystemet används endast för det ändamål som fastställs i uppgiftstillståndet och att endast sådana som behövs och som tillståndshavaren har rätt att behandla söks i befolkningsdatasystemet. Vi försäkrar att de som getts i denna redogörelse är korrekta och förbinder oss att anmäla förändringar i na, om Befolkningsregistercentralen beviljar vår organisation ett uppgiftstillstånd till en tjänst/tjänster där befolkningsdatasystemets förmedlas. Organisation, enhet FO-numer Underskrift och namnet förtydligat Datum
6 (6) Befattning/position i organisationen Telefonnummer E-postadress