Aalto-yliopiston digiturvapolitiikka

T�M� SIVU ON KESKENER�INEN/TY�VERSIO. Eettisten periaatteiden mukaisesti yliopisto on sitoutunut suojelemaan yksil旦n oikeuksia ja vapauksia, kun yliopisto k辰sittelee h辰nen henkil旦tietojaan.��Yliopisto edist辰辰 vastuullisia ja innovatiivisia tiedonk辰ytt旦tapoja ja -kulttuuria, joiden avulla rakennamme tietoon perustuvaa toimintaa ja kasvatamme tiedon arvoa kaikessa yliopiston toiminnassa.

Digitaalisella turvallisuudella eli digiturvalla pyrit辰辰n varmistamaan, ett辰 digitaalinen toimintaymp辰rist旦 on luotettava, turvallinen ja saatavilla. Digiturvapolitiikan noudattaminen tukee yliopiston strategian ja kriittisten menestystekij旦iden toteuttamista.

Loading table of contents

1.-2. Digiturvapolitiikan tavoitteet, rakenne ja konteksti

T辰t辰 digiturvapolitiikkaa noudatetaan Aalto-yliopistossa (josta yksin辰辰n t辰ss辰 politiikassa k辰ytet辰辰n nimityst辰 ��Aalto-korkeakoulus辰辰ti旦��) ja sen kanssa samaan konserniin kuuluvissa yhti旦iss辰 (j辰ljemp辰n辰 k辰ytett辰ess辰 nimityst辰 ��yliopisto�� tarkoitetaan sek辰 Aalto-korkeakoulus辰辰ti旦t辰 ett辰 konserniyhti旦it辰).

Jokaisen konserniyhti旦n johto (hallitus ja toimitusjohtaja) on vastuussa t辰m辰n politiikan toteuttamisesta yhti旦n toiminnassa sek辰 yhti旦kohtaisten soveltamisohjeiden antamisesta. Kun Aalto-korkeakoulus辰辰ti旦 ja sen konserniyhti旦t k辰sittelev辰t tietoja samoissa tietoj辰rjestelmiss辰 tai tietovarannoissa yhdess辰 tai toistensa lukuun noudatetaan t辰t辰 digiturvapolitiikkaa ja muita Aalto-korkeakoulus辰辰ti旦n toimintaohjeita ja s辰辰nt旦j辰.

T辰m辰 politiikka toteuttaa Aalto-yliopiston eettisi辰 periaatteita ja sen mukaista vastuuta tiedosta. Eettisten periaatteiden mukaisesti yliopisto on sitoutunut suojelemaan yksil旦n oikeuksia ja vapauksia, kun yliopisto k辰sittelee h辰nen henkil旦tietojaan.��Yliopisto edist辰辰 vastuullisia ja innovatiivisia tiedonk辰ytt旦tapoja ja -kulttuuria, joiden avulla rakennamme tietoon perustuvaa toimintaa ja kasvatamme tiedon arvoa kaikessa yliopiston toiminnassa.

Digitaalisella turvallisuudella eli digiturvalla pyrit辰辰n varmistamaan, ett辰 digitaalinen toimintaymp辰rist旦 on luotettava, turvallinen ja saatavilla. Digiturvapolitiikan noudattaminen tukee yliopiston strategian ja kriittisten menestystekij旦iden toteuttamista.

Digitaalisten palvelujen saavutettavuus liittyy digiturvaan. Digitaalinen esteett旦myys eli yhdenvertaiset mahdollisuudet k辰ytt辰辰 digitaalisia tuotteita ja palveluita varmistavat osaltaan henkil旦tietojen k辰sittelyn l辰pin辰kyvyytt辰. Palvelujen k辰ytett辰vyys ja ymm辰rrett辰vyys varmistavat osaltaan tietoturvaa ja poikkeamien havaitsemista.

Eettiset periaatteet - arvot k辰yt辰nt旦旦n | Aalto-yliopisto]
Saavutettavuuden osalta noudatettavat s辰辰nn旦t Digitaalinen saavutettavuus | Aalto-yliopisto.

T辰ll辰 politiikalla kuvaamme velvoittavia toimintatapoja, joilla digiturvan kokonaisvaltainen toteutuminen varmistetaan yliopistossa. Digiturvapolitiikka toteuttaa yliopiston kokonaisvaltaista riskienhallintaprosessia. Yliopiston tietojen k辰sittelyss辰 noudatetaan lains辰辰d辰nt旦辰, yliopistoa sitovia sopimuksia, yleisesti hyv辰ksyttyj辰 toimintatapoja sek辰 yliopiston omia s辰辰nt旦j辰 ja ohjeistuksia.

T辰ll辰 politiikalla m辰辰rit辰mme keskeiset vastuut digiturvan johtamisesta ja toteuttamisesta yliopiston toiminnassa. Tiedonhallinnan, tietoturvan ja tietosuojan perusvastuut ja -vaatimukset koskevat jokaista asemasta tai teht辰v辰st辰 riippumatta. Kaikkien Aalto-yhteis旦n j辰senten, yksik旦iden sek辰 muiden henkil旦iden, joilla on oikeus k辰sitell辰 yliopiston tietoja, on noudatettava Digiturvapolitiikkaa. Seuraamukset ohjeiden vastaisesta toiminnasta m辰辰ritell辰辰n kappaleessa 12.

T辰ll辰 politiikalla kuvaamme tiedonhallintaan liittyvi辰 velvoitteita. Yliopiston toiminnassa hallitaan tietoa koko sen elinkaaren ajan yhdenmukaisesti, varmistaen tietoaineistojen turvallinen ja tehokas hy旦dynt辰minen sek辰 edist辰en tietoj辰rjestelmien ja tietovarantojen yhteentoimivuutta.

Digiturvapolitiikan tavoitteena on varmistaa, ett辰 yliopisto noudattaa EU:n tietosuoja-asetuksen (GDPR), kansallisen lains辰辰d辰nn旦n ja muun henkil旦tietojen k辰sittely辰 koskevan lains辰辰d辰nn旦n asettamien vaatimusten mukaisia velvoitteita ja periaatteita. Lains辰辰d辰nn旦n noudattamisen on oltava osoitettavissa dokumentaation avulla. Jos henkil旦tietojen k辰sittely tehd辰辰n yliopiston lukuun, t辰t辰 digiturvapolitiikkaa tulee noudattaa riippumatta siit辰 miss辰 tietoa s辰ilytet辰辰n ja riippumatta siit辰 kuka omistaa k辰sittelyyn k辰ytetyt v辰lineet. Digiturvapolitiikkaa tulee my旦s noudattaa aina kun henkil旦tietojen k辰sittelyyn k辰ytet辰辰n yliopiston tietoj辰rjestelmi辰 tai muita tietotekniikkaresursseja.

Digiturvapolitiikan tarkoituksena on yll辰pit辰辰 yliopistoyhteis旦n tietoturvallisuutta ja varmistaa tietojen luottamuksellisuuteen, eheyteen ja saatavuuteen liittyvien tavoitteiden t辰yttyminen, lis辰t辰 luottamusta yliopistoon yhteisty旦kumppanina sek辰 edesauttaa yliopiston strategisten tavoitteiden saavuttamista. Tietoturvallisuudella varmistetaan tiedon suojaaminen kaikissa tiedon olomuodoissa. Tietoturvallisuuteen sis辰ltyy my旦s kyberturvallisuus, jossa tiedon, tietoj辰rjestelmien ja laitteiden turvallisuus varmistetaan digitaalisessa ymp辰rist旦ss辰.

Yliopistossa on digiturvapolitiikan lis辰ksi tietoturvaan liittyvi辰 velvoittavia ohjeita, s辰辰nt旦j辰, suunnitelmia ja menetelm辰kuvauksia, jotka yhdess辰 muodostavat Tietoturvallisuuden hallintaj辰rjestelm辰n (ISMS). Tietoturvallisuuden hallintaj辰rjestelm辰ss辰 kuvataan, miten yliopiston tietoturvallisuutta yll辰pidet辰辰n ja mit辰 osa-alueita siihen kuuluu.

Digiturvapolitiikkaan sis辰ltyy yleinen sitoutuminen vastuullisen teko辰lyn k辰ytt旦旦n sek辰 digiturvaan sis辰ltyvien vaatimusten noudattaminen teko辰ly辰 hy旦dynnett辰ess辰.

Digiturvapolitiikka rakentuu my旦s tiedon elinkaariajattelun mukaisesti: 1) Tietoa luotaessa ja vastaanotettaessa painottuvat tiedon luokittelua koskevat vaatimukset ja vastuut tiedon k辰sittelyn suunnitelmallisuudesta. 2) Tietoturvan ja henkil旦tietojen k辰sittelyn vaatimukset tulevat esiin erityisesti tiedon k辰sittelyn aikana. 3) Tietojen poistamista, jakamista ja luovuttamista koskevat vaatimukset l旦ytyv辰t politiikan lopusta.

Tiedonhallintaohjeistukset, Tiedon k辰sittely | Aalto-yliopisto
Tietosuojaohjeistukset: Tietosuoja | Aalto-yliopisto
Tietoturvasitoumukset: Tietoturvallisuuden hallintaj辰rjestelm辰 (ISMS) | Aalto-yliopisto

Havainnekuva digiturvapolitiikan elementeist辰 ja rakenteesta — Havainnekuva digiturvapolitiikan sis辰ll旦st辰

3. Roolit ja vastuut digiturvan toteuttamisessa

Jokainen yliopiston ty旦ntekij辰 ja yliopiston j辰rjestelmien ja palveluiden k辰ytt辰j辰 on velvollinen osallistumaan omaa asiantuntemustaan hy旦dynt辰en digiturvan toteuttamiseen, yll辰pit辰miseen ja valvontaan

noudattamalla lains辰辰d辰nt旦辰 sek辰 yliopiston tiedonhallinta-, tietosuoja- ja tietoturvam辰辰r辰yksi辰 ja -ohjeita
ilmoittamalla havaitsemastaan tietoturvan tai tietosuojan vaarantumisesta (ilmoitukset security@aalto.fi).

Jokainen on velvollinen seuraamaan erityisi辰 digiturvaohjeita, joita annetaan paljon henkil旦tietoja k辰sittely辰 sis辰lt辰viin ty旦teht辰viin kuten opintopalvelujen ja henkil旦st旦asioiden hoitamiseen liittyviin teht辰viin taikka henkil旦tietojen k辰sittelyyn tieteellisess辰 tutkimuksessa (LES, HR ja tutkimus).

Yliopiston opiskelija on vastuussa lains辰辰d辰nn旦n sek辰 tietoturvallisuuden hallintaj辰rjestelm辰n velvoittavien ohjeiden, sek辰 muiden yliopiston s辰辰nt旦jen ja ohjeiden noudattamisesta k辰ytt辰ess辰辰n yliopiston tietoj辰rjestelmi辰, laitteita ja/tai palveluita. Opiskelijalla on my旦s velvollisuus ilmoittaa havaituista poikkeamista.

Yliopiston ylin johto (yliopiston hallitus yhdess辰 rehtorin kanssa) kantaa perimm辰ist辰 vastuuta siit辰, ett辰 digiturvaa koskevaa s辰辰ntely辰 ja velvoitteita noudatetaan yliopiston kaikessa toiminnassa (tiedonhallintalaki 4.2 則, johdon vastuu). Ylin johto vastaa digiturvan sis辰isen valvonnan ja siihen liittyvien vastuiden m辰辰ritt辰misest辰. Toimivan ja tehokkaan sis辰isen valvonnan yhten辰 edellytyksen辰 on, ett辰 ty旦teht辰v辰t on eriytetty riitt辰v辰sti. Vaarallisia ty旦yhdistelmi辰 on v辰ltett辰v辰 m辰辰ritett辰ess辰 sek辰 k辰ytt旦oikeuksia ett辰 ty旦rooleja. P辰辰syoikeus my旦nnet辰辰n tarve tiet辰辰 -periaatteella ainoastaan sellaiseen tietoon, jota yksil旦 tarvitsee teht辰v辰ns辰 suorittamiseen. (Ks. lis辰tietoja Liitteess辰 2).

T辰ll辰 digiturvapolitiikalla m辰辰ritet辰辰n keskeiset vastuut digiturvan johtamisesta ja toteuttamisesta yliopiston toiminnassa. Liitteess辰 1 tarkemmin kuvatuilla rooleilla, ohjausryhmill辰 ja ty旦ryhmill辰 ja on erityisi辰 digiturvaan liittyvi辰 vastuita ja teht辰vi辰. Jokaisen velvollisuutena on tuntea omaan teht辰viins辰 liittyv辰t roolit ja niiden vastuut. Kunkin ty旦h旦n voi liitty辰 useita rooleja.

Roolit

Johdon ja esihenkil旦iden roolit	Aalto-korkeakoulus辰辰ti旦n johto (PMT) ja konserniyhti旦iden hallitukset ja toimitusjohtajat laitosten ja palveluyksik旦iden johtajat ja toimintojen johtajat (head of service, service business owner) sek辰 vastaavat roolit tyt辰ryhti旦iss辰, 艶壊庄鞄艶稼一庄鉛旦岳 voivat jakaa teht辰vi辰 yksik旦ss辰辰n, mutta kantavat yl辰tason vastuun digiturvasta
Tiedonhallinnan vastuuroolit	henkil旦rekisterin vastuuhenkil旦 henkil旦rekisterin yhteyshenkil旦
Tutkimuksen vastuullinen johtaja (PI)	voi jakaa teht辰vi辰 tutkimusryhm辰ss辰辰n, mutta kantaa vastuun johtamiensa projektien digiturvasta
IT-ratkaisuihin liittyv辰t digiturvan vastuuroolit	IT-ratkaisun omistaja / IT Solution Owner 永辰辰一辰霞岳岳辰逮辰&稼恢壊沿;&稼恢壊沿;
Yliopistotason erityiset vastuuroolit	岳庄艶岳看岳顎姻厩温沿辰辰鉛鉛庄一一旦岳顎姻厩温鉛鉛庄壊顎顎壊沿辰辰鉛鉛庄一一旦 tietosuojavastaava asiakirjahallinnon p辰辰llikk旦

Digiturvan tuki, yhteisty旦 ja palveluiden ohjaaminen

Digiturvan toteuttamisen ohjaamiseksi, tukemiseksi ja sen edellytt辰m辰n yhteisty旦n koordinoimiseksi yliopistossa voidaan asettaa ohjausryhmi辰 ja ryhmi辰. 粥温鉛岳看-一看姻一艶温一看顎鉛顎壊辰辰岳庄旦壊壊辰 asetetut ryhm辰t ja niiden digiturvaan liittyv辰t vastuut on kuvattu liitteess辰 1. Ryhmi辰 ovat

Menestyksen mahdollistajat ohjausryhm辰 ESG / Enablers Steering Group ESG
Aalto AI, Data and Analytics Advisory Group AIDA
Tietosuoja- ja tietoturvaryhm辰
意庄艶岳看岳顎姻厩温姻霞鞄馨辰.&稼恢壊沿;

Yliopistossa voi olla digiturvaty旦h旦n liittyvi辰 muita ryhmi辰, jotka k辰sittelev辰t digiturvaty旦n eri osa-alueita. Tukipalveluista lakipalvelut, IT-palvelut, henkil旦st旦palvelut, oppimispalvelut sek辰 tutkimuspalvelut antavat neuvontaa ja tukea digiturvapolitiikan toteuttamisessa, compliance-vaatimusten tulkinnassa sek辰 valmistelevat ohjeita ja koulutusta.

Digiturvaan liittyv辰t keskeiset prosessit suunnitellaan ja dokumentoidaan huolella, ja niihin j辰rjestet辰辰n tarvittava perehdytys sek辰 osoitetaan tarvittavia vastuurooleja ja tukiteht辰vi辰. Prosesseja ovat esimerkiksi hankintaprosessi, IT-ratkaisujen k辰ytt旦旦nottoprosessi ja digiturvapoikkeamien k辰sittelyprosessi. Korkeakouluilla ja palveluissa toimiville asiantuntijoille voidaan osoittaa prosesseihin liittyvi辰 tukiteht辰vi辰.

Tietoturvallisuuden organisointi ja vastuut on m辰辰ritelty liitteess辰 A6 Tietoturvallisuuden organisointi�� ja vastuut Aalto-yliopistossa.

A6-Tietoturvallisuuden-organisointi-ja-vastuut-Aalto-yliopistossa-1.0_0.pdf

Liite 1: Digiturvan roolit ja vastuut sek辰 ryhm辰t

Seuraavilla ohjausryhmill辰, ty旦ryhmill辰 ja rooleilla on erityisi辰 tietoturvaan ja tietosuojaan liittyvi辰 teht辰vi辰 ja vastuita:

Aalto-korkeakoulus辰辰ti旦n johto (PMT)	Aalto-korkeakoulus辰辰ti旦n johdolla on vastuu tietosuojan, tietoturvan, tiedonhallinnan ja digiturvallisuuden vaatimustenmukaisuudesta lakien ja viranomaism辰辰r辰ysten edellytt辰m辰ll辰 tavalla 粥温鉛岳看-一看姻一艶温一看顎鉛顎壊辰辰岳庄旦壊壊辰. Johto vastaa yliopiston digiturvapolitiikasta, tiedonhallintamallista, konsernitasoisen ohjeistuksen vahvistamisesta sek辰 tietosuojan, tietoturvan ja digiturvallisuuden kehitt辰misen j辰rjest辰misest辰 ja resursoinnista. Johdolla on vastuu tiedonhallintaan, tietosuojaan ja tietoturvaan liittyvien vastuiden m辰辰ritt辰misest辰粥温鉛岳看-一看姻一艶温一看顎鉛顎壊辰辰岳庄旦壊壊辰. Yliopiston johto vastaa sis辰isen valvonnan j辰rjest辰misest辰粥温鉛岳看-一看姻一艶温一看顎鉛顎壊辰辰岳庄旦壊壊辰.
Konserniyhti旦iden johto (hallitus ja toimitusjohtaja)	Konserniyhti旦n johdolla on vastuu tietosuojan, tietoturvan, tiedonhallinnan ja digiturvallisuuden vaatimustenmukaisuudesta lakien ja viranomaism辰辰r辰ysten edellytt辰m辰ll辰 tavalla yhti旦ss辰. Johto vastaa yliopiston digiturvapolitiikan, tiedonhallinnan ja konsernitasoisen ohjeistuksen soveltamisohjeiden vahvistamisesta sek辰 tietosuojan, tietoturvan ja digiturvallisuuden kehitt辰misen j辰rjest辰misest辰 ja resursoinnista yhti旦ss辰. Johdolla on vastuu tiedonhallintaan, tietosuojaan ja tietoturvaan liittyvien vastuiden m辰辰ritt辰misest辰 yhti旦ss辰 t辰m辰n politiikan linjausten mukaisesti. Konserniyhti旦n johto vastaa sis辰isen valvonnan j辰rjest辰misest辰.
Laitoksen ja palveluyksik旦n johtaja / Toiminnoista vastaava (Service Business Owner, Head of Service) = Tietovastuullinen p辰辰llikk旦 (Data Responsible Manager)	Laitosten ja palveluyksik旦iden johtajilla ja toiminnoista vastaavilla henkil旦ill辰 (Service Business Owner, Head of Service) on velvollisuus varmistaa, ett辰 laitoksessa, palveluyksik旦ss辰 tai toiminnossa noudatetaan tietoja ja henkil旦tietoja koskevaa s辰辰ntely辰 ja t辰t辰 digiturvapolitiikkaa sek辰 yliopiston antamia velvoittavia ohjeita (erityisesti tietoturvallisuuden hallintaj辰rjestelm辰n ohjeet). Heid辰n vastuullaan on laitoksensa ja yksikk旦ns辰 tietoturvallisuuden ja tietosuojan ohjaus, valvonta, kehitt辰minen ja resursointi. Heid辰n tulee omalla vastuualueellaan varmistua siit辰, ett辰 k辰ytet辰辰n tietoj辰rjestelmi辰, jotka vastaavat Aalto-yliopiston tietoturva-, tietosuoja-, tiedonhallinta- ja kokonaisarkkitehtuuriperiaatteita. Heill辰 on vastuu siit辰, ett辰 laitosten ja yksik旦iden k辰ytt辰mien tietoj辰rjestelmien ja palvelujen jatkuvuus ja j辰rjestelm辰kohtainen toipuminen vastaavat palvelun kriittisyydelle asetettuja vaatimuksia. Laitosten ja palveluyksik旦iden johtaja ja toiminnoista vastaava on velvollinen osallistumaan poikkeamien, h辰iri旦tilanteiden sek辰 ohjeiden laiminly旦ntien selvitt辰miseen sek辰 tekem辰辰n yhteisty旦t辰 tietosuojavastaavan, tietoturvap辰辰llik旦n ja turvallisuusp辰辰llik旦n kanssa digiturvan varmistamiseksi. Johtajat ja toiminnoista vastaavat p辰辰tt辰v辰t vastuullaan olevien tietojen luovuttamisesta sek辰 p辰辰t旦ksenteosta tietopyynt旦jen ja tietojen luovutuspyynt旦jen johdosta. He kuuluvat tietovastuullisten p辰辰llik旦iden verkostoon. Johtajat ja toiminnoista vastaavat tekev辰t yhteisty旦t辰 tietopyynn旦iss辰 ja tietojen luovuttamispyynn旦iss辰 tietosuojavastaavan ja henkil旦rekisterin vastuuhenkil旦n kanssa, sek辰 koordinoivat vastuukysymyksiss辰 oikean vastuuhenkil旦n l旦yt辰miseksi. Johtajat ja toiminnoista vastaavat voivat delegoida digiturva-asioiden hallinnoinnin laitoksen, yksik旦n tai hankkeen tietosuoja-asioiden yhteyshenkil旦ille tai muille asiantuntijoille, mutta oikeudellinen vastuu on t辰ll旦inkin johtajalla. Toiminnoista vastaavat osallistuvat digiturvan vuosiraportointiin ja digiturvan vuosisuunnitelmien toimeenpanoon yksik旦ss辰辰n/toiminnossaan. Kaikkien yksik旦iden ja laitosten johtajien sek辰 toiminnoista vastaavien tulee t辰sment辰辰 ty旦ntekij旦iden roolien (vastuuhenkil旦/yhteyshenkil旦/p辰辰k辰ytt辰j辰/k辰ytt辰j辰) mukaiset vastuut ja velvollisuudet henkil旦tietojen k辰sittelyss辰 sek辰 varmistaa, ett辰 laitoksen tai yksik旦n ne ty旦ntekij辰t, jotka k辰sittelev辰t henkil旦tietoja on perehdytetty yliopiston tietosuoja- ja tietoturvam辰辰r辰yksiin ja ohjeisiin. Yksik旦n tietoj辰rjestelmien vastuuhenkil旦iden (IT Solution Owner), heid辰n varahenkil旦idens辰 sek辰 yll辰pitohenkil旦st旦n ja laitosten tietoturvayhteyshenkil旦iden nime辰minen on johtajan vastuulla. Erityisen runsaasti henkil旦tietojen k辰sittely辰 sis辰lt辰vien palvelujen ja toimintojen johtajan/vastaavan tulee varmistaa n辰it辰 palveluja hoitavien perehdytys ja riitt辰v辰 osaaminen. T辰llaisia palveluja ja toimintoja ovat esimerkiksi henkil旦st旦asiat, opintopalvelut ja tieteellinen tutkimus ja sen tukeminen sek辰 konsernipalvelut kuten lakipalvelut ja IT-palvelut. Yksik旦iden ja laitosten johtaja sek辰 toiminnoista vastaava kantaa yl辰tason vastuun yliopiston suojattavasta omaisuudesta (velvoittava ohje A8 Suojattavan omaisuuden hallinta) sek辰 yl辰tason vastuun tiedon hallinnasta (tietoturvallisuuden hallintaj辰rjestelm辰n dokumentaatio). Ks. my旦s rooli ��Henkil旦rekisterin vastuuhenkil旦��
掘壊庄鞄艶稼一庄鉛旦	掘壊庄鞄艶稼一庄鉛旦iden tulee valvoa, ett辰 alaiset ja tiimin j辰senet noudattavat digiturvallisuudesta kuten tietoturvasta, kyberturvallisuudesta, tiedonhallinnasta ja tietosuojasta annettuja m辰辰r辰yksi辰 ja ohjeita. 掘壊庄鞄艶稼一庄鉛旦n teht辰v辰 on valvoa, ett辰 oma tiimi on suorittanut pakolliset kurssit annettujen ohjeiden mukaisesti.

Henkil旦rekisterin vastuuhenkil旦

Henkil旦rekisterin vastuuhenkil旦ksi tulee yleens辰 nimet辰 asianomaisesta toiminnosta tai palvelusta vastaava henkil旦. Henkil旦rekisterin vastuuhenkil旦 on velvollinen varmistamaan vastuullaan olevan henkil旦rekisterin osalta, ett辰 henkil旦tietojen k辰sittely on suunniteltu tietosuojaperiaatteet huomioiden ja tietosuojavelvollisuuksien noudattamisesta huolehditaan tarvittavin teknisin ja organisatorisin toimenpitein. Henkil旦rekisterin vastuuhenkil旦 osallistuu henkil旦tietojen vaikutustenarvioinnin tekemiseen ja hyv辰ksyy henkil旦tietojen vaikutustenarvioinnin (asiantarkastaja) ja muutokset tietosuojailmoitukseen. Vastuuhenkil旦 vastaa siit辰, ett辰 kolmansien osapuolten kanssa laadittavat, tietosuojan edellytt辰m辰t sopimusasiakirjat (data processing agreement liitteineen) sek辰 tietojen siirt辰miseen tarvittavat vaikutustenarvioinnit tehd辰辰n. Vastuuhenkil旦 m辰辰rittelee tietojen k辰ytt旦tarkoituksen ja m辰辰ritt辰辰 sen mukaisen tiedon s辰ilytt辰misajan. Henkil旦rekisterin vastuuhenkil旦 osallistuu tietosuoja- ja tietoturvapoikkeamien selvitt辰miseen. Jos tapahtuu henkil旦tietojen tietoturvaloukkaus, joka todenn辰k旦isesti aiheuttaa korkean riskin henkil旦ille, henkil旦rekisterin vastuuhenkil旦 laatii yhteisty旦ss辰 tietosuojavastaavan kanssa tiedonannon rekister旦idyille. T辰m辰 tiedonanto noudattaa tietosuoja-asetuksen s辰辰d旦ksi辰. Henkil旦rekisterin vastuuhenkil旦 ilmoittaa viivytyksett辰 asianomaisille henkil旦ille tiedonannolla. Jos henkil旦tietojen tietoturvaloukkaus ei todenn辰k旦isesti aiheuta korkeaa riski辰 henkil旦ille, henkil旦rekisterin vastuuhenkil旦 yhdess辰 tietosuojavastaavan kanssa tekee tapauskohtaisen harkinnan siit辰, onko ilmoittaminen tarpeen.

Henkil旦rekisterin vastuuhenkil旦 tekee p辰辰t旦kset liittyen rekister旦idyn oikeuksien toteuttamiseen yhteisty旦ss辰 tietosuojavastaavan kanssa (tarkastusoikeus, oikaisupyynt旦, poistopyynt旦, vastustamisoikeus, k辰sittelyn rajoittaminen).

Mik辰li henkil旦rekisterin vastuuhenkil旦 ei ole PMT:n j辰sen, henkil旦tietojen vaikutustenarviointi l辰hetet辰辰n PMT-j辰senen hyv辰ksytt辰v辰ksi.

Ks. my旦s rooli ��Laitoksen ja palveluyksik旦n johtaja / Toiminnoista vastaava��

Henkil旦rekisterin yhteyshenkil旦

Henkil旦rekisterin yhteyshenkil旦ksi (tietovastaava)nimet辰辰n henkil旦rekisterin k辰yt辰nn旦n hallinnoinnista vastaava(t) henkil旦(t), yleens辰 esimerkiksi j辰rjestelm辰n p辰辰k辰ytt辰j辰(t) palveluyksik旦ss辰/koululla). Henkil旦rekisterin yhteyshenkil旦 vastaa henkil旦rekisterin ja tietosuojadokumentaation ajantasaisuudesta sek辰 s辰ilytt辰misest辰 yhteisty旦ss辰 IT-ratkaisun omistajan (solution owner) kanssa. Yhteyshenkil旦 laatii tietosuojailmoituksen ja yll辰pit辰辰 sit辰. Yhteyshenkil旦 tukee vastuuhenkil旦辰 sopimusdokumentaation laatimisessa. Henkil旦rekisterin yhteyshenkil旦 l辰hett辰辰 henkil旦tietojen vaikutustenarvioinnin Tietosuojavastaavalle. Henkil旦rekisterin yhteyshenkil旦 osallistuu henkil旦tietojen vaikutustenarvioinnin tekemiseen ja osallistuu tietosuoja- ja tietoturvapoikkeamien selvitt辰miseen. Henkil旦rekisterin yhteyshenkil旦 kuuluu tietovastaavien (Data Stewards) verkostoon.

Tutkimuksen vastuullinen johtaja vastaa tutkimushankkeissaan siit辰, ett辰 projektissa noudatetaan digiturvapolitiikkaa ja tietosuojaa, tiedonhallintaa ja tietoturvaa koskevaa s辰辰ntely辰 ja ohjeita sek辰 laaditaan tarvittava dokumentaatio kuten tietosuojailmoitus, vaikutustenarviointi ja datanhallintasuunnitelma. Tutkimuksen vastuullinen johtaja huolehtii siit辰, ett辰 tutkijat, jotka k辰sittelev辰t henkil旦tietoja suorittavat tarvittaessa henkil旦tietojen k辰sittelyyn perehdytt辰v辰n koulutuksen ennen k辰sittelyn alkamista. Tutkimuksen vastuullinen johtaja t辰sment辰辰 ty旦ntekij旦iden roolien (varavastuuhenkil旦 vastuulliselle johtajalle/vastuuhenkil旦 /yhteyshenkil旦/k辰sittelij辰) mukaiset vastuut ja velvollisuudet henkil旦tietojen k辰sittelyss辰 tutkimusaineiston osalta noudattaen soveltuvin osin edell辰 kuvattua vastuunjakomallia. Tutkimuksen vastuullisen johtajan velvollisuus on varmistaa, ett辰 tutkimuksessa k辰ytet辰辰n vain Digiturvapolitiikan mukaisia, tietoturvallisia j辰rjestelmi辰 ja ty旦kaluja tietojen k辰sittelyss辰. Tutkimuksen vastuullisen johtajan velvollisuus on varmistaa tiedon p辰辰synhallinta ja tietojen elinkaaren mukainen tallentaminen ja h辰vitt辰minen. PI vastaa siit辰, ett辰 tutkimussuunnitelmasta tehd辰辰n tarvittaessa eettinen ennakkoarviointi kansallisten ohjeiden edellytt辰m辰ll辰 tavalla (TENK).

IT-ratkaisun omistaja

IT-ratkaisun omistaja (IT Solution Owner) huolehtii tietoj辰rjestelm辰n elinkaaren hallinnasta, raportoi tietoturvaryhm辰lle tieturvallisuuden hallintaj辰rjestelm辰n vuosikellon mukaan sek辰 auttaa toiminnoista vastaavia ja palveluiden johtajia t辰ytt辰m辰辰n tietoturvallisuuden hallintaj辰rjestelm辰n mukaisia velvollisuuksiaan. IT-ratkaisun omistajalle kuuluu tietoturvallisuuden hallintaj辰rjestelm辰ss辰 m辰辰riteltyjen s辰辰nt旦jen noudattamisen valvonta joko yksin tai yhdess辰 m辰辰riteltyjen tahojen kanssa. IT-ratkaisun omistaja huolehtii konfiguraationhallintatietokannan (CMDB) ajantasaisuudesta oman ratkaisunsa osalta sek辰 yhdess辰 henkil旦rekisterin yhteyshenkil旦n kanssa huolehtii tietosuojadokumentaation ajantasaisuudesta. IT-ratkaisun omistaja on velvollinen avustamaan poikkeamien selvitt辰misess辰 tietoturvaryhm辰n ja tietosuojavastaavan ohjauksessa.

P辰辰k辰ytt辰j辰 / Yll辰pit辰j辰

P辰辰k辰ytt辰j辰n ja yll辰pit辰j辰n vastuita on kuvattu tarkemmin tietoturvallisuuden hallintaj辰rjestelm辰n yll辰pitos辰辰nn旦ss辰. P辰辰k辰ytt辰j辰 ja yll辰pit辰j辰 on velvollinen avustamaan poikkeamien selvitt辰misess辰 tietoturvaryhm辰n ja tietosuojavastaavan ohjauksessa. P辰辰k辰ytt辰j辰 voi olla my旦s henkil旦rekisterin yhteyshenkil旦.

意庄艶岳看岳顎姻厩温沿辰辰鉛鉛庄一一旦 (Head of Cyber Security)	意庄艶岳看岳顎姻厩温沿辰辰鉛鉛庄一一旦 vastaa kokonaisvaltaisesti tietoturvallisuuden hallinnasta ja kehitt辰misest辰, tieto- ja kyberturvaan liittyv辰st辰 taktisesta ja operatiivisesta johtamisesta sek辰 tietoturvatekniikoista. 意庄艶岳看岳顎姻厩温沿辰辰鉛鉛庄一一旦 vastaa tietoturvallisuuden hallintaj辰rjestelm辰n toteuttamisesta ja ajantasaisuudesta lains辰辰d辰nn旦n ja vaatimusten mukaisesti. 意庄艶岳看岳顎姻厩温沿辰辰鉛鉛庄一一旦 raportoi tietoturvan ja kyberturvallisuuden toteutumisesta yliopiston IT-palveluiden johdolle ja ylimm辰lle johdolle.
Turvallisuusp辰辰llikk旦 (Head of Security)	Turvallisuusp辰辰llik旦n (Head of Security) vastuisiin kuuluu toimitilojen ja ymp辰rist旦n turvallisuus, henkil旦st旦n turvallisuus, yliopiston valmiussuunnittelu ja toimintojen jatkuvuuteen liittyv辰n valmiuden organisointi sek辰 toimiminen yliopiston kriisinhallintaryhm辰n j辰senen辰 (University��s Crisis Management Team).
Tietosuojavastaava (Data Protection Officer)	Yliopiston tietosuojavastaava (DPO) vastaa tietosuoja-asioiden neuvonnasta ja opastuksesta, seuraa tietosuoja-asetuksen ja digiturvapolitiikan noudattamista tietosuoja-asioiden osalta sek辰 raportoi poikkeamista johdolle. Tietosuojavastaava toimii yliopiston valvontaviranomaiselle, tietosuojavaltuutetulle, ilmoittamana yliopiston tietosuojayhteyshenkil旦n辰. Tietosuojavastaava raportoi tietosuojan toteutumisesta ja poikkeamista ylimm辰lle johdolle. Tietosuojavastaavan teht辰viin sis辰ltyy tietosuojakoulutuksen suunnitteluun liittyvi辰 velvollisuuksia.
Asiakirjahallinnan p辰辰llikk旦	Asiakirjahallinnan p辰辰llikk旦 vastaa tiedonhallintalaissa tarkoitettujen asiakirjajulkisuuskuvausten yll辰pidosta, s辰ilytysaikojen m辰辰rittelyst辰 ja tiedonohjaussuunnitelman (TOS) yll辰pidosta, sek辰 vastaa arkistotoimesta.

4. Tiedon tunnistaminen ja luokittelu yliopistossa

Jokaisen teht辰v辰n辰 tunnistaa ja luokitella ty旦ss辰辰n k辰ytt辰m辰t tiedot. Jokaisen tulee tunnistaa, milloin k辰sittelee ty旦ss辰辰n henkil旦tietoja. K辰sitelt辰vien tietojen luokittaminen on edellytys sille, ett辰 tiedolle valitaan turvallinen s辰ilytystapa, sit辰 voidaan suojata sen tarvitseman suojaustason mukaisesti ja tiedon jakaminen voidaan toteuttaa tietoturvallisesti. My旦s teko辰lyn (AI) k辰ytt旦 edellytt辰辰 toimivaa tiedonluokittelua.

Kaikki yliopistossa k辰sitelt辰v辰 tieto on luokiteltavissa jaolla: julkinen, sis辰inen, luottamuksellinen ja salassapidett辰v辰. Tiedon vastaanottajan tai laatijan tulee tunnistaa jo tietoa luotaessa tai vastaanotettaessa, mihin n辰ist辰 luokista k辰sitelt辰v辰 tieto kuuluu. Yliopisto seuraa luokittelussa kansallista lains辰辰d辰nt旦辰 ja viranomaisohjeistusta.

Perustan tiedon suojaamiselle (eheys ja luottamuksellisuus) antavat yliopiston tietoaineiston k辰sittelyohjeet. Tietoaineiston k辰sittelyohjeissa kuvataan toimintatavat, joiden avulla estet辰辰n aineiston joutuminen ulkopuolisten k辰siin (esim. tiedon k辰sittely, tiedon luokittelu, tiedon jakaminen ja julkaiseminen, tietoturvaohjeet). K辰sittelyohjeet sis辰lt辰v辰t ohjeet esimerkiksi tiedon salaukseen eri tilanteissa. Tietoaineiston k辰sittelyohjeet koskevat tietoa sen kaikissa olomuodoissa, esimerkiksi tietoj辰rjestelmiss辰, dokumentissa, tulostettuna, varmuuskopiona jne. Tiedon sijoittaminen johonkin tietoj辰rjestelm辰辰n edellytt辰辰, ett辰 tietoj辰rjestelm辰 t辰ytt辰辰 kyseisen tiedon turvaluokan vaatimukset.

Lis辰tietoja tiedon luokitteluun ja tiedon jakamiseen:

Tiedon luokittelun perusohje ja palvelut | Aalto-yliopisto
Tietoturvallisuuden hallintaj辰rjestelm辰n velvoittavat ohjeet ja s辰辰nn旦t: Tietoturvallisuuden hallintaj辰rjestelm辰 (ISMS) | Aalto-yliopisto.
Tiedon k辰sittely | Aalto-yliopisto
Tiedon luokittelu | Aalto-yliopisto
Tiedon jakaminen ja julkaiseminen | Aalto-yliopisto
/fi/palvelut/tiedonohjaussuunnitelma-tos Tiedonohjaussuunnitelma TOS sis辰lt辰辰 yliopiston keskeisten prosessien asiakirjojen luokittelun

5. 意艶一看辰鉛霞n vastuullinen k辰ytt旦

Yliopiston tarkoituksena on edist辰辰 teko辰lyn eettist辰, l辰pin辰kyv辰辰 ja tasa-arvoista k辰ytt旦辰. Kaikkien yliopiston teko辰lysovellusten kehitt辰jien ja k辰ytt辰jien tulee kunnioittaa ihmisoikeuksia, noudattaa eettisi辰 periaatteita, lains辰辰d辰nt旦辰 sek辰 digiturvapolitiikkaa. 意艶一看辰鉛霞n k辰ytt旦 edellytt辰辰 hyv辰辰 tiedonhallintaa ja tietojen luokittelua koskevien ohjeiden noudattamista. kattamia tietoturvan ja tietosuojan velvoittavia ohjeita. 意艶一看辰鉛霞n k辰yt旦n tulee olla sopusoinnussa yliopiston eettisten periaatteiden, arvojen ja akateemisten tavoitteiden kanssa, ja sen tulee tukea opetusta, oppimista, tutkimusta ja hallintotoimintoja. 意艶一看辰鉛霞n k辰ytt旦 tulee dokumentoida ja sen k辰yt旦st辰 tulee informoida avoimesti noudattaen siihen liittyv辰辰 s辰辰ntely辰 ja yliopiston tarkentavia ohjeita (ml. tutkimus ja tutkimusprosessi).

意艶一看辰鉛霞n vastuullisen k辰yt旦n perusperiaatteita syvennet辰辰n yliopiston politiikalla ja ohjeilla, joita jokaisen Aaltolaisen tulee noudattaa.

6. 堰艶稼一庄鉛旦岳庄艶岳看jen k辰sittely

Yliopisto on tiedon, oppimisen ja tutkimuksen keskus, jossa k辰sitell辰辰n jatkuvasti tietoa. Opetuksessa, tutkimuksessa ja hallinnollisissa toimissa suuri osa t辰st辰 tiedosta koskee el辰vi辰 ihmisi辰 �� ja on siten heid辰n henkil旦tietoaan. Yliopistossa k辰sitell辰辰n tietoja yliopistossa opiskelevista ja ty旦skentelevist辰 sek辰 yliopiston kanssa yhteisty旦ss辰 toimivista henkil旦ist辰, kuten entisist辰 ja nykyisist辰 opiskelijoista ja ty旦ntekij旦ist辰, hakijoista, tutkimukseen osallistuvista henkil旦ist辰 ja alumneista ja yhteisty旦kumppaneista.

Digiturvapolitiikassa m辰辰ritell辰辰n ne p辰辰periaatteet, vastuut ja toimintatavat, joita yliopistossa noudatetaan silloin, kun toiminta edellytt辰辰 henkil旦tietojen k辰sittely辰. 堰艶稼一庄鉛旦岳庄艶岳看ja tulee k辰sitell辰 t辰m辰n digiturvapolitiikan mukaisesti ja seuraten hyv辰ksyttyj辰 suunnitelmia, joissa m辰辰ritell辰辰n henkil旦tietojen k辰sittelyperuste ja tarkoitukset, joiden mukaisesti yliopisto k辰sittelee ja s辰ilytt辰辰 henkil旦tietoja.��Lis辰ksi yliopistossa on voimassa k辰yt辰nnes辰辰nt旦j辰, velvoittavia ohjeita ja muuta ohjeistusta, jotka yhdess辰 digiturvapolitiikan kanssa muodostavat kokonaisuuden.��

Tietosuoja | Aalto-yliopisto

Yliopiston toiminnassa voi olla tarve k辰sitell辰 erityisiin henkil旦tietoryhmiin kuuluvia tietoja tai arkaluonteisia henkil旦tietoja, kuten tietoja terveydentilasta sairasloman yhteydess辰 tai tietoja toimintarajoitteisuudesta luentosalij辰rjestelyiden yhteydess辰. Arkaluontoisten henkil旦tietojen k辰sittely tutkimuksessa edellytt辰辰 Aalto-korkeakoulus辰辰ti旦n tutkimuseettisen toimikunnan antamaa lausuntoa (tutkimuseettinen ennakkoarviointi).

Tietosuoja-asetusta ja henkil旦tietojen k辰sittely辰 koskevia ohjeita tulee noudattaa riippumatta prosessista tai sovelluksesta - my旦s teko辰lysovellusten (AI-sovellukset) k辰yt旦ss辰 tulee noudattaa tietosuojas辰辰ntelyn vaatimuksia.

堰艶稼一庄鉛旦岳庄艶岳看jen k辰sittelyn koko elinkaari tulee suunnitella ennen kuin henkil旦tietoja ryhdyt辰辰n ker辰辰m辰辰n tai kun j辰rjestelmiin tehd辰辰n merkitt辰vi辰 muutoksia.

Kaikessa henkil旦tietojen k辰sittelyss辰 tulee noudattaa seuraavia tietosuojan perusperiaatteita:

Lainmukaisuus, asianmukaisuus ja l辰pin辰kyvyys

堰艶稼一庄鉛旦岳庄艶岳看jen k辰sittelyss辰 noudatetaan tietosuoja-asetusta ja muuta henkil旦tietojen k辰sittelyyn soveltuvaa s辰辰ntely辰. 堰艶稼一庄鉛旦岳庄艶岳看ja k辰sitell辰辰n asianmukaisesti ja kohtuullisesti suhteessa k辰sittelyn tarkoituksiin, ottaen huomioon informointivelvollisuus ja k辰ytt旦tarkoitussidonnaisuus. K辰sittelyst辰 kerrotaan rekister旦idyille selke辰ll辰 ja ymm辰rrett辰v辰ll辰 tavalla.

悪辰霞岳岳旦岳温姻一看庄岳顎壊壊庄糸看稼稼温庄壊顎顎壊&稼恢壊沿;

堰艶稼一庄鉛旦岳庄艶岳看jen k辰sittely ja k辰ytt旦tarkoitukset suunnitellaan etuk辰teen ja k辰sittely perustuu aina tiettyyn selv辰sti m辰辰ritettyyn ja nimenomaiseen sek辰 lailliseen tarkoitukseen. 堰艶稼一庄鉛旦岳庄艶岳看ja ei k辰sitell辰 alkuper辰isten tarkoitusten kanssa yhteensopimattomalla tavalla my旦hemmin. Uusista k辰ytt旦tarkoituksista kerrotaan rekister旦idylle ennen k辰sittelyn aloittamista.

Henkil旦ille, joiden tietoja k辰sitell辰辰n, annetaan riitt辰v辰t tiedot henkil旦tietojen ker辰辰misest辰 ja k辰sittelyst辰, sek辰 varmistetaan tehokkaat mahdollisuudet toteuttaa oikeuksiaan, ja heid辰n pyynt旦ihins辰 reagoidaan ilman aiheetonta viivett辰.

T辰sm辰llisyys, minimointi ja s辰ilytyksen rajoittaminen

堰艶稼一庄鉛旦岳庄艶岳看jen oikeellisuus pyrit辰辰n varmistamaan. Virheelliset henkil旦tiedot poistetaan tai oikaistaan viipym辰tt辰. 堰艶稼一庄鉛旦岳庄艶岳看ja ker辰t辰辰n ja k辰sitell辰辰n vain siin辰 m辰辰rin, kuin on tarkoituksenmukaista ja v辰ltt辰m辰t旦nt辰 tarkoitukseen n辰hden. K辰siteltyjen tietojen tulee olla asianmukaisia eli tiedoille on oltava olemassa m辰辰ritetty k辰ytt旦tarkoitus. Tietojen on oltava olennaisia ja rajoitettuja eli v辰ltt辰m辰tt旦mi辰 k辰ytt旦tarkoituksen kannalta. 堰艶稼一庄鉛旦岳庄艶岳看ja s辰ilytet辰辰n ainoastaan niin kauan kuin on tarpeen m辰辰ritetyn k辰ytt旦tarkoituksen kannalta. 堰艶稼一庄鉛旦岳庄艶岳看jen s辰ilytysajat m辰辰ritet辰辰n ja dokumentoidaan.

Tiedon luottamuksellisuus ja turvallisuus

Tietoja k辰sitell辰辰n luottamuksellisesti ja turvallisesti sek辰 noudetaan tietoturvaa koskevia ohjeita. Suojatoimenpiteet suhteutetaan arvioimalla k辰sittelyyn liittyv辰t riskit ja k辰sittelyyn liittyv辰t olosuhteet. Henkil旦tiedot suojataan teknisill辰 ja organisatorisilla suojatoimilla asianmukaisen eheyden, luottamuksellisuuden ja turvallisuuden varmistamiseksi, mukaan lukien suojaus luvattomalta tai laittomalta k辰sittelylt辰 sek辰 vahingossa tapahtuvalta katoamiselta, tuhoutumiselta tai vahingoittumiselta. Henkil旦st旦n ja sopimuskumppaneiden on noudatettava k辰sittelyyn liittyvi辰 ohjeita ja tietoturvak辰yt辰nt旦j辰.

Jokaisen yliopiston ty旦ntekij辰n ja opiskelijan tulee henkil旦tietoja k辰sitelless辰辰n omalta osaltaan varmistaa, ett辰 henkil旦tietoja s辰ilytet辰辰n turvallisesti ja henkil旦tietoja ei anneta kolmannelle osapuolelle vahingossa tai tarkoituksella lainvastaisella tavalla taikka tallenneta alhaisen tietoturvatason palveluihin. Eheyden, luottamuksellisuuden ja k辰ytett辰vyyden varmistamiseen pyrit辰辰n sek辰 tietoteknisien ratkaisujen ett辰 prosessien avulla. Vastuu eheyden, luottamuksellisuuden ja k辰ytett辰vyyden toteutumisesta on jokaisella yliopistossa henkil旦tietoja k辰sittelev辰ll辰.

堰艶稼一庄鉛旦岳庄艶岳看jen oikeellisuudesta huolehtiminen

Henkil旦rekisteritietojen ajantasaisuudesta ja oikeellisuudesta tulee huolehtia yliopiston vastuiden ja roolien mukaisesti (ks. 3 Vastuut ja roolit sek辰 Liite 1). Ty旦ntekij旦iden ja opiskelijoiden tulee huolehtia itse toimittamiensa henkil旦tietojen oikeellisuudesta ja ajantasaisuudesta.

堰艶稼一庄鉛旦岳庄艶岳看jen s辰ilytysajat

Henkil旦tiedoille tulee m辰辰ritell辰 ja perustella henkil旦tietojen k辰sittelyn tarpeen edellytt辰m辰t s辰ilytt辰misajat (ks. 3 Vastuut ja roolit sek辰 Liite 1). Henkil旦tiedot s辰ilytet辰辰n Aalto-korkeakoulus辰辰ti旦n tiedonohjaussuunnitelman (TOS) mukaisesti. Tiedonohjaussuunnitelmassa on lueteltu eri prosesseissa syntyv辰t asiakirjat tai tiedot, sek辰 niiden:

s辰ilytysajat tai s辰ilytysajan m辰辰ritt辰miskriteerit,
lakis辰辰teiset julkisuustiedot tai salassapitotiedot, lain s辰辰nn旦s, johon salassapito perustuu ja salassapitoaika,
鞄艶稼一庄鉛旦岳庄艶岳看鉛顎看稼稼艶,
rekister旦intij辰rjestelm辰, johon tieto on tallennettu,
tarkentavat tiedot kyseisen asiakirjaryhm辰n julkisuudesta, s辰ilytyksest辰 tai arkistoinnista.

Kun tiedonohjaussuunnitelman mukainen s辰ilytysaika on p辰辰ttynyt, tulee asiakirjat ja j辰rjestelm辰ss辰 oleva tieto tuhota turvallisesti tietoaineiston tuhoamisesta annetun ohjeistuksen mukaisesti. Tietojen h辰vitt辰misvelvoite koskee my旦s varakopioita ja -tallenteita sek辰 IT-j辰rjestelmist辰 tarvittaessa ladattuja tietoja.

Tutkimusaineistojen s辰ilytysajat m辰辰r辰ytyv辰t tutkimussuunnitelman ja aineistonhallintasuunnitelman mukaisesti ja s辰ilytysaika kerrotaan tutkimushankkeen tietosuojailmoituksessa.

Konserniyhti旦ill辰 ei ole lakis辰辰teist辰 velvollisuutta yll辰pit辰辰 tiedonohjaussuunnitelmaan ja niiden toiminnassa henkil旦tietojen s辰ilytysajat tulee m辰辰ritell辰 muulla soveltuvalla tavalla.

Automaattinen p辰辰t旦ksenteko

Automaattista p辰辰t旦ksentekoa on yksinomaan automaattisesti toteutettu k辰sittely, jolla on henkil旦辰 koskevia oikeusvaikutuksia. Yliopistossa henkil旦n tai esimerkiksi henkil旦n suorituksen arviointien tuloksena ei tehd辰 p辰辰t旦ksi辰 automatisoidusti, vaan esimerkiksi siten, ett辰 yliopiston henkil旦kunnan j辰sen valvoo automaattisen arvioinnin tuloksia, tai koelautakunta p辰辰tt辰辰 kokeiden lopputulokset.

Tietosuoja-asioista viestit辰辰n organisaatiossa l辰pin辰kyv辰sti. Henkil旦rekisterist辰 vastaavan tulee huolehtia, ett辰 henkil旦tietojen k辰sittelyst辰 annetaan tietosuoja-asetuksen edellytt辰m辰 informaatio yliopiston verkkosivuilla julkaistavissa tai muutoin rekister旦ityjen tietoon saatettavissa tietosuojailmoituksissa.

Informointivastuu tietosuojasta, tietosuojailmoituksen laatimisohjeet Informointivastuu tietosuojasta | Aalto-yliopisto

Kunkin henkil旦rekisterin vastuuhenkil旦 on my旦s velvollinen huolehtimaan siit辰, ett辰 rekisterist辰 on laadittu sis辰inen seloste k辰sittelytoimista (粥温鉛岳看-一看姻一艶温一看顎鉛顎壊辰辰岳庄旦壊壊辰 tietosuojailmoitus, CMDB:n applikaatiokortti ja sen sis辰ll辰 oleva GDPR-kortti).

Yliopisto noudattaa sis辰辰nrakennetun ja oletusarvoisen tietosuojan periaatteita. Tietosuojaperiaatteet huomioidaan kaikessa toiminnassa mahdollisimman varhaisesta vaiheesta l辰htien. Riskitasoon n辰hden asianmukaiset tekniset ja organisatoriset toimenpiteet toteutetaan arvioimalla henkil旦tietojen k辰sittelyn riskit k辰sittelyn kohteena olevan henkil旦n n辰k旦kulmasta. Tunnistetut riskit minimoidaan esimerkiksi pseudonymisoinnin avulla, ja jos riskit ovat suuret, toteutetaan k辰sittely辰 koskeva vaikutustenarviointi.

Sis辰辰nrakennetun tietosuojan periaatteen toteuttaminen tarkoittaa k辰yt辰nn旦ss辰 muun muassa seuraavaa:

Yliopiston ty旦ntekij辰t, jotka ovat vastuussa uusien tai merkitt辰v辰sti muuttuneiden henkil旦tietoja k辰sittelevien j辰rjestelmien m辰辰rittelemisest辰 ja suunnittelusta ottavat huomioon henkil旦tietojen suojan ja suoritettavat tarpeelliset riskien- ja/tai vaikutustenarvioinnit. Vastaavasti tutkimus-, opinto- tai muussa projektissa tulee tehd辰 riskiarvio ja siihen perustuen valita sopivat tekniset ja organisatoriset ratkaisut henkil旦tietojen suojan toteuttamiseksi. Tutkimus-, opinto- tai muu projekti voi my旦s vaatia tietosuojaa koskevan vaikutustenarvioinnin toteuttamisen. Tutkimuksen tietosuojaa koskeva vaikutustenarviointi on osa tutkimuseettist辰 arviointiprosessia.

Ty旦ntekij旦iden ja opiskelijoiden, hakijoiden, alumnien, yhteisty旦kumppaneiden, palveluiden k辰ytt辰jien, verkkosivuilla vierailevien ja muiden rekister旦ityjen henkil旦tietoja k辰sittelev辰t yksinomaan ne henkil旦t, joiden ty旦teht辰viin se kuuluu. K辰ytt旦- ja lukuoikeudet tietoj辰rjestelmiin m辰辰ritet辰辰n ja my旦nnet辰辰n aina ty旦teht辰v辰n edellytt辰m辰ss辰 laajuudessa vain niille henkil旦ille, jotka tarvitsevat ko. tietoj辰rjestelm辰n sis辰lt辰m辰n henkil旦rekisterin tietoja heille annetun teht辰v辰n hoitamiseksi.

堰艶稼一庄鉛旦岳庄艶岳看jen suojaan kuuluu mm. oikeus tutustua h辰nest辰 ker辰ttyihin tietoihin ja tietyin rajoituksin, jotka koskevat mm. tutkimusaineistoja, saada tiedot korjatuiksi tai poistetuiksi.

檎艶一庄壊岳艶姻旦庄岳霞jen oikeudet toteutetaan siten, kuin ne kussakin tilanteessa soveltuvat huomioiden k辰sittelyn oikeusperusteen ja k辰sittelytilanteen. 檎艶一庄壊岳艶姻旦庄岳霞j辰 informoidaan henkil旦tietojen k辰sittelyst辰 l辰pin辰kyv辰sti. Rekister旦idyll辰 on k辰sittelyn oikeusperusteiden mukaisesti oikeus saada tietoa henkil旦tietojensa k辰sittelyst辰, oikeus saada tutustua omiin tietoihinsa, oikaista tietojaan, poistaa tiedot, rajoittaa tietojensa k辰sittely辰, siirt辰辰 tiedot j辰rjestelm辰st辰 toiseen, vastustaa tietojensa k辰sittely辰 ja olla joutumatta automaattisen p辰辰t旦ksenteon kohteeksi.

檎艶一庄壊岳艶姻旦庄岳霞jen pyynn旦t, samoin kuin oikeus oikeudellisiin muutoksenhakuihin, tietosuoja-asetuksen mukaisiin hyvityksiin ja korvauksiin k辰sitell辰辰n lain edellytt辰m辰ll辰 tavalla ja aikarajoissa.

Kun rekister旦idyn pyynt旦 on vastaanotettu, se kuitataan vastaanotetuksi ilman aiheetonta viivytyst辰 ja joka tapauksessa yhden kuukauden kuluessa sen vastaanottamisesta. Vastausaikaa voidaan jatkaa kahteen kuukauteen, jos pyynt旦 on laaja tai monimutkainen. Jos pyynt旦旦n ei vastata yhden kuukauden kuluessa eik辰 ilmoiteta rekister旦idylle k辰sittelyajan pidennystarpeesta yhdess辰 viiv辰stymisen syiden kanssa, rekister旦ity voi tehd辰 valituksen tietosuojavaltuutetulle tai pyyt辰辰 oikeussuojakeinoa. Samoin, jos rekister旦ity ei ole tyytyv辰inen saamaansa vastaukseen tai rekister旦idyn valitus hyl辰t辰辰n, rekister旦ity voi tehd辰 valituksen tietosuojavaltuutetulle tai pyyt辰辰 oikeussuojakeinoa.

Mik辰li henkil旦tietojen k辰sittelij辰, joka k辰sittelee henkil旦tietoja yliopiston lukuun, vastaanottaa rekister旦idyn pyynn旦n, pyynt旦 pyydet辰辰n ohjaamaan Aalto-korkeakoulus辰辰ti旦n tietosuojavastaavalle.

Mik辰li konserniyhti旦 vastaanottaa rekister旦idyn pyynn旦n, pyynn旦n ohjaaminen Aalto-korkeakoulus辰辰ti旦n tietosuojavastaavalle tapahtuu konserniyhti旦n kanssa sovitun toimintamallin mukaisesti.

檎艶一庄壊岳艶姻旦庄岳霞jen pyynt旦jen k辰sittelylle on 粥温鉛岳看-一看姻一艶温一看顎鉛顎壊辰辰岳庄旦壊壊辰 m辰辰ritetty s辰hk旦inen menettely, jota yll辰pit辰辰 Aalto-korkeakoulus辰辰ti旦n tietosuojavastaava.

堰艶稼一庄鉛旦岳庄艶岳看portaali | Aalto-yliopisto.
Rekister旦idyn yhteydenottoon muilla tavoilla on ohjeistettu Aalto-yliopiston Informaatiojalanj辰lki -sivustolla: 鴛稼韓看姻馨温温岳庄看逮温鉛温稼逮辰鉛一庄: Tietopyynn旦t ja rekister旦idyn yhteydenotot | Aalto-yliopisto

Tietoturvatapahtuma on tilanne, jonka seurauksena yliopiston vastuulla olevien tietojen ja palvelujen eheys, luottamuksellisuus tai k辰ytett辰vyys vaarantuu. Tietoturvatapahtuma on esimerkiksi p辰辰syn pyyt辰minen oikeudettomasti tietoj辰rjestelmiin, mutta oikeutta ei my旦nnet辰 taikka s辰hk旦postilla tehty tunnusten ja salasanojen urkintayritys. Tietoturvapoikkeama puolestaan tarkoittaa tilannetta, jossa tietojen ja palvelujen eheys, luottamuksellisuus tai k辰ytett辰vyys on pett辰nyt, kuten tietovuoto, luvaton k辰ytt旦oikeuksien my旦nt辰minen, muistiv辰lineiden tai laitteiden katoaminen, p辰辰sy j辰rjestelm辰辰n tai tietoturvak辰yt辰nt旦jen vastainen toiminta tai laiminly旦nti. Tietoturvapoikkeama on konkreettinen tilanne, jossa tietoturvaan liittyv辰 rikkomus on tapahtunut.

Jokaisella on velvollisuus raportoida tapahtuneesta tai ep辰illyst辰 tietoturvatapahtumasta ja tietoturvapoikkeamasta. Ilmoitus on teht辰v辰 heti ottamalla yhteytt辰 yliopiston tietoturvaryhm辰辰n, s辰hk旦postilla osoitteeseen security(at)aalto.fi tai soittamalla tietoturvap辰ivyst辰j辰n puhelinnumeroon. Tietoturvaryhm辰 k辰sittelee yliopistoa koskevat tietoturvatapahtumat ja tietoturvapoikkeamat. Linkki: Ilmoita tietoturvapoikkeamasta | Aalto-yliopisto NIS2 ��direktiivin mukaisesti tietoturvaryhm辰 ilmoittaa yliopiston viestint辰verkkoihin ja tietoj辰rjestelmiin kohdistuvista merkitt辰vist辰 poikkeamista Kyberturvallisuuskeskuksen CSIRT-yksik旦lle.

Mik辰li tietoturvatapahtuma tai ��poikkeama on my旦s tietosuojapoikkeama, tietoturvaryhm辰 k辰sittelee tietosuojapoikkeamat yhdess辰 tietosuojavastaavan kanssa ja avustaa poikkeamien ratkaisemisessa mm. tutkimalla mahdolliset tietomurrot.

堰艶稼一庄鉛旦岳庄艶岳看jen tietoturvaloukkauksella tarkoitetaan tapahtumaa, jonka seurauksena henkil旦tietoja tuhoutuu, h辰vi辰辰, muuttuu, henkil旦tietoja luovutetaan luvattomasti tai niihin p辰辰see k辰siksi taho, jolla ei ole k辰sittelyoikeutta. Tietosuoja-asetuksen mukaisesti yliopiston tietosuojavastaava ilmoittaa ilman aiheetonta viiv辰styst辰 ja viimeist辰辰n 72 tunnin sis辰ll辰 tietosuojavaltuutetulle, jos tapahtuu henkil旦tietojen tietoturvaloukkaus, joka todenn辰k旦isesti aiheuttaa riskin henkil旦iden oikeuksille ja vapauksille. Jos tapahtuu henkil旦tietojen tietoturvaloukkaus, joka todenn辰k旦isesti aiheuttaa korkean riskin henkil旦ille, ilmoittaa henkil旦rekisterin vastuuhenkil旦 viivytyksett辰 asianomaisille henkil旦ille. Ilmoituksessa noudatetaan Tietosuojaviranomaisen ohjeita ja suosituksia. Kaikki henkil旦tietojen k辰sittelyyn liittyv辰t poikkeamat dokumentoidaan lis辰ksi sis辰isesti yliopiston tietosuojavastaavan antamien ohjeiden mukaisesti.

Yliopisto voi rekisterinpit辰j辰n辰 tehd辰 yhteisty旦t辰, jolloin henkil旦tietoja voi k辰sitell辰 ulkopuolinen yhteisty旦kumppani kuten toinen korkeakoulu tai palveluntarjoaja (yhteisrekisterinpit辰j辰t tai k辰sittelij辰t). Edellyt辰mme, ett辰 yhteisty旦kumppanimme noudattavat toiminnassaan sovellettavia lakeja ja yliopiston toimintaperiaatteita yhteisty旦kumppaneille tai niit辰 vastaavia periaatteita.

Aalto-yliopisto Code of Conduct partnereille.pdf

Kolmansiin osapuoliin liittyvi辰 tietosuojariskej辰 arvioidaan ja hallitaan tekem辰ll辰 asiaankuuluvia riskiarviointeja ja asettamalla v辰himm辰isvaatimukset tietojen k辰sittelylle ennen kuin aloitetaan yhteisty旦 kolmansien tahojen kanssa. Digiturvapolitiikkaa sek辰 tietosuoja- ja tietoturvaohjeita noudatetaan soveltuvin osin.

Ulkopuoliseksi henkil旦tietojen k辰sittelij辰ksi valitaan vain sellaisia kumppaneita, jotka noudattavat hyv辰辰 henkil旦tietojen k辰sittelytapaa sek辰 t辰ytt辰v辰t EU:n tietosuoja-asetuksen vaatimukset. Yliopiston ja palveluntarjoajan v辰lille laaditaan kirjallinen sopimus (henkil旦tietojen k辰sittelysopimus), jossa m辰辰ritell辰辰n henkil旦tietojen k辰sittelyn kohde, tarkoitus sek辰 muut tietosuoja-asetuksen edellytt辰m辰t tiedot. Tietoturvaan ja tietosuojaan liittyv辰t vastuut ja velvoitteet huomioidaan hankinnoissa ja niihin liittyv辰t ehdot dokumentoidaan yliopiston ja eri osapuolten v辰lisiss辰 sopimuksissa. Hankintoja koskevat s辰辰nn旦t ja ohjeet voivat sis辰lt辰辰 tarkentavia vastuita ja ohjeita digiturvan huomioimisesta hankintamenettelyss辰.

Tietosuojas辰辰d旦ksien vaatimusten noudattaminen ja riskiarvion edellytt辰mien tietoturvavaatimusten t辰yttyminen sopimusehdoissa varmistetaan sopimuksia tehdess辰. Hankinta- ja ulkoistussopimuksia tekev辰t vastaavat siit辰, ett辰 tietoturvan taso vastaa hankinnan m辰辰r辰yksi辰, ohjeita ja voimassa olevia s辰辰nn旦ksi辰 sek辰 sopimuksen tekohetkell辰 ett辰 toimeksiannon aikana. Sopimuksilla varataan toimittajaan kohdistuva auditointioikeus ja t辰t辰 oikeutta k辰ytet辰辰n tarvittaessa. Toimittajan kanssa pidet辰辰n s辰辰nn旦llisesti suunnittelu- ja seurantapalavereita, joissa k辰sitell辰辰n my旦s tietosuoja- ja tietoturvallisuusasiat.

Hankinnan yhteydess辰 tulee arvioida, liittyyk旦 henkil旦tietojen k辰sittelyyn kansainv辰lisi辰 tietojen siirtoja. Yliopisto siirt辰辰 tai luovuttaa henkil旦tietoja EU:n ja ETA-alueen ulkopuolelle maihin, jotka eiv辰t tarjoa EU:n tietosuoja-asetuksen mukaista tietosuojaa vain, jos t辰m辰 voidaan toteuttaa tietosuoja-asetuksen vaatimusten mukaisesti. Siirrett辰ess辰 tietoja EU:n tai ETA-alueen ulkopuolelle laaditaan tarvittaessa tietojen siirtojen vaikutustenarviointi (transfer impact assessment, TIA).

Digiturvapolitiikkaa, Aalto-yliopiston ohjeita ja niit辰 t辰ydent辰v辰辰 kansallista ja EU-tasoista ohjeistusta kansainv辰lisisist辰 tietojen siirroista tulee noudattaa henkil旦tietojen siirroissa kolmansiin maihin my旦s konsernin tai yhteist辰 taloudellista toimintaa harjoittavien yritysten sis辰ll辰.

Yliopiston toimeksiantoja suorittava asiantuntija, vuokraty旦ntekij辰, konsultti ja yliopiston toimeksiantoa suorittava yritys on vastuussa lains辰辰d辰nn旦n, tietoturvallisuudenhallintaj辰rjestelm辰n velvoittavien ohjeiden, sek辰 muiden s辰辰nt旦jen ja ohjeiden noudattamisesta k辰ytt辰ess辰辰n yliopiston tietoj辰rjestelmi辰, laitteita ja/tai palveluita, sek辰 tietoturvallisuuden ja siihen vaikuttavien tekij旦iden sopimuksen mukaisesta raportoinnista toimeksiantajalle. Yliopiston vierailijan tulee noudattaa vierailijasopimuksen ehtoja, j辰rjestelmien k辰ytt旦ehtoja sek辰 soveltuvin osin yliopistoyhteis旦n j辰senille annettuja digiturvaohjeita.

6.8.1 堰艶稼一庄鉛旦岳庄艶岳看jen k辰sittely tutkimuksessa

Tieteellist辰 tutkimustarkoitusta varten tapahtuvassa henkil旦tietojen k辰sittelyss辰 noudatetaan tietojen k辰sittely辰 koskevaa s辰辰ntely辰, viranomaisohjeistusta ja t辰t辰 digiturvapolitiikkaa ottaen lis辰ksi huomioon ne akateemiset tavoitteet, joita yksitt辰isell辰 tutkimuksella on. Tietosuoja- ja tietoturvavaatimukset otetaan huomioon tutkimussuunnitelmassa ja aineistonhallintasuunnitelmassa. Tutkittavan kannalta keskeiset seikat informoidaan tutkittaville selke辰sti ja ymm辰rrett辰v辰sti ja henkil旦tietojen k辰sittelyst辰 annetaan tutkittavalle lains辰辰d辰nn旦n edellytt辰m辰t tiedot. Tutkijat vastaavat tutkimusprojektiin osallistuvien informoinnista.

Henkil旦iden, jotka yliopiston tutkimushankkeissa k辰sittelev辰t henkil旦tietoja, tulee noudattaa tutkimuksen tietosuojan k辰yt辰nnes辰辰nt旦j辰, joiden noudattamiseen yliopisto on sitoutunut. Yliopistossa toimivien tutkijoiden tulee k辰sitell辰 henkil旦tietoja hyv辰n tieteellisen k辰yt辰nn旦n mukaisesti osana tutkimuksen eettisyytt辰, laadukkuutta ja tiedeyhteis旦n integriteetin turvaavaa toimintatapaa European Code of Conduct for Research Integrity mukaisesti. Tarvittava tutkimuseettinen ennakkoarviointi tulee tehd辰 ennen kuin henkil旦tietojen ker辰ys aloitetaan, noudattaen Tutkimuseettisen neuvottelukunnan (TENK) ja yliopiston ohjeistusta.

堰艶稼一庄鉛旦岳庄艶岳看jen k辰sittelyn tulee my旦s tutkimuksessa rajoittua siihen v辰himm辰ism辰辰r辰辰n, joka on tarpeen akateemisten tavoitteiden saavuttamiseksi. Lis辰ksi tulee k辰ytt辰辰 tietojen pseudonymisointia tai anonymisointia milloin se on tutkimuksen kannalta mahdollista.

堰艶稼一庄鉛旦岳庄艶岳看jen k辰sittely tutkimuksessa | Aalto-yliopisto

6.8.2 堰艶稼一庄鉛旦岳庄艶岳看jen k辰sittely osana opintoja

Opintoja varten tapahtuvassa henkil旦tietojen k辰sittelyss辰 noudatetaan Digiturvapolitiikan periaatteita ja Ohjetta henkil旦tietojen k辰sittelyst辰 osana opintoja.

Opiskelijan tulee sopia henkil旦tietojen k辰sittelyst辰 osana tutkimussuunnitelmaansa opinn辰ytteen vastuullisen ohjaajan tai kurssin vastuuopettajan kanssa ennen kuin henkil旦tietojen ker辰辰minen tai muu k辰sittely alkaa. Jos opinn辰ytety旦 sis辰lt辰辰 henkil旦tietojen k辰sittely辰, opiskelijan tulee huolehtia tietosuojailmoituksen antamisesta tutkimukseen osallistuville, rajoittaa henkil旦tietojen k辰sittely tutkimuksessa siihen v辰himm辰ism辰辰r辰辰n, joka on tarpeen akateemisten tavoitteiden saavuttamiseksi sek辰 huolehtia muutoin tietosuojaperiaatteiden toteuttamisesta tutkimuksessaan.

Opiskelijan tulee osana opintoja tutustua yliopiston henkil旦tietojen k辰sittely辰 koskevaan ohjeistukseen ja on suositeltavaa, ett辰 h辰n suorittaa yliopiston tarjoaman tietosuojakoulutuksen ennen henkil旦tietojen k辰sittely辰.

7. Riskiperusteinen l辰hestymistapa ja riskien hallinta

Aalto-korkeakoulus辰辰ti旦n Risk Management Policy m辰辰rittelee yliopiston riskienhallintaperiaatteet ja -prosessin. Digiturvapolitiikassa tarkennetaan riskienhallinnan periaatteita kyberturvallisuuden, tietoturvan, tietosuojan, teko辰lyn ja tiedonhallinnan n辰k旦kulmasta.

Yliopiston toiminnassa tunnistetaan jatkuvuutta uhkaavat riskit. Jatkuvuuden hallintaan sis辰ltyy kyberuhkiin varautuminen ja kyberturvallisuuden suojausk辰yt辰nt旦jen riitt辰vyyden arviointi. Mahdolliset riskit rajoitetaan hyv辰ksytt辰v辰lle tasolle huolehtimalla varautumis-, jatkuvuus- ja toipumissuunnittelusta sek辰 niihin liittyvill辰 varaj辰rjestelyill辰.

Yliopisto arvioi tietojen k辰sittelyyn liittyvi辰 riskej辰 toiminnassaan, mukaan lukien toimintaymp辰rist旦n muutokset kuten geopoliittiset riskit tai s辰辰ntely-ymp辰rist旦n merkitt辰v辰t muutokset, uusien j辰rjestelmien hankinta, yhteisty旦 uusien toimittajien kanssa sek辰 olemassa olevat k辰sittelytoimet. Tietoturvatoimenpiteit辰 kohdistetaan riskiarvion perusteella tarpeellisiksi katsottuihin kohteisiin. Tietoturvariskej辰 arvioidaan s辰辰nn旦llisesti, tunnistetuille riskeille kohdistetaan riskienhallintakeinoja ja riskienhallintatoimenpiteiden onnistumista seurataan. Yliopiston tietojen suojaus ja sen kehitt辰minen huomioidaan osana yliopiston s辰辰nn旦llist辰 riskienhallintaa, toimintaprosessien kehitt辰mist辰 ja vuosisuunnittelua. Riskien hallinnassa ja tietojen suojauksessa huomioidaan my旦s tiedonhallintalain vaatimukset.

堰艶稼一庄鉛旦岳庄艶岳看jen k辰sittely suunnitellaan ja toteutetaan koko elinkaaren ajan tietosuojaperiaatteiden ja muiden k辰sittelyyn soveltuvien vaatimusten mukaisesti, jotta sis辰辰nrakennetun ja oletusarvoisen tietosuojan periaatteet toteutuvat. Yliopisto noudattaa riskiperusteista l辰hestymistapaa kaikessa henkil旦tietojen k辰sittelyss辰 ja suunnittelee toimenpiteet sek辰 suojakeinot suhteuttaen ne k辰sittelyyn liittyviin tietosuojariskeihin. Riskitasoa arvioidaan ja lain edellytt辰miss辰 tilanteissa k辰sittelytoimille tehd辰辰n tietosuoja-asetuksen mukainen tietosuojan vaikutustenarviointi. Vaikutustenarvioinnin tulosten avulla m辰辰ritell辰辰n hallintakeinoja, joilla henkil旦tietojen k辰sittelyst辰 aiheutuvia riskej辰 minimoidaan.

8 Digiturvaa toteutetaan tieto- ja kyberturvallisuuden avulla

Tiedon turvaaminen on osa yliopiston toiminnan ja palveluiden laatua, kokonaisturvallisuutta ja yliopistossa tapahtuvaa p辰ivitt辰ist辰 tietojen k辰sittely辰. Se tukee yliopiston strategiaa auttaen luomaan ja yll辰pit辰m辰辰n luotettavan ja turvallisen ymp辰rist旦n niin yliopistoyhteis旦n omien kuin sen piiriss辰 k辰sitelt辰vien sidosryhmienkin tietojen k辰sittelyyn. Digiturvaa toteutetaan tieto- ja kyberturvallisuuden keinon. Tietoturvan toimenpitein suojataan kaikissa tiedon olomuodoissa tietojen luottamuksellisuutta, eheytt辰 ja saatavuutta. Tietoturvan osa-alueella kyberturvallisuudella suojataan yliopiston s辰hk旦ist辰 ja verkottunutta ymp辰rist旦辰 kuten digitaalisia tietoja, laitteita ja tietoverkkoja.

8.1 Tietoturvallisuuden hallintaj辰rjestelm辰 (ISMS)

Yliopistossa noudatetaan Tietoturvallisuuden hallintaj辰rjestelm辰辰 (ISMS), joka on kokoelma ohjeita, toimintatapoja ja prosesseja, joilla varmistetaan, ett辰 tietoturvatoimenpiteet ovat kulloinkin oikein mitoitettu ja kohdistettu suhteessa suojattavaan tietoon. Hallintaj辰rjestelm辰n toimintaa parannetaan jatkuvasti auditointien, saatujen palautteiden, innovaatioiden, poikkeamahavaintojen ja lains辰辰d辰nn旦n muutosten pohjalta. Yliopiston tietoturvallisuuden hallintaj辰rjestelm辰 pohjautuu ISO/IEC 27001 ��standardiin. Yliopiston tietoturvallisuuden hallinnassa noudatetaan lis辰ksi valtionhallinnon tietoturvavaatimusten ja -suositusten sek辰 kansallisen turvallisuusauditointikriteerist旦n (Katakri) mukaisuutta kulloinkin soveltuvalla tavalla. Tietoturvallisuuden hallintaj辰rjestelm辰辰n ja prosesseihin on sis辰辰nrakennettu lains辰辰d辰nn旦st辰 tulevat velvoitteet yliopistojen tieto- ja kyberturvallisuuden toteuttamiselle. Velvoitteiden t辰ytt辰misen perusvaatimus on, ett辰 Aalto-korkeakoulus辰辰ti旦ll辰 on ajantasainen tieto suojattavista kohteistaan, tietoj辰rjestelmist辰 ja digitaalisista palveluista, konfiguraationhallintatietokannassa (CMDB). Yliopiston tietoj辰rjestelm辰t t辰rkeysluokitellaan.

Tieto- ja kyberturvatavoitteiden saavuttaminen varmistetaan tarvittavilla auditoinneilla. Tietojen k辰sittelyn ja tietoj辰rjestelmien tieto- ja kyberturvallisuuden tasoa seurataan, arvioidaan ja kehitet辰辰n s辰辰nn旦llisesti sis辰isen tarkastuksen keinoin, tarvittaessa ulkoista tarkastusta k辰ytt辰en sek辰 yll辰pit辰m辰ll辰 riitt辰v辰辰 dokumentaatiota.

Tietoturvallisuuden hallintatavoitteista yll辰pidet辰辰n dokumentoitua tietoa. Dokumentaatio voi olla asiakirjamuotoista, tietokannassa tai muussa muodossa, jossa tehdyt muutokset ovat hallittuja. Olennaiset hallintatavoitteita tai niiden saavuttamista koskevat muutokset k辰sitell辰辰n Aalto-korkeakoulus辰辰ti旦n johtoryhm辰ss辰 (PMT). Aalto-korkeakoulus辰辰ti旦n 岳庄艶岳看岳顎姻厩温沿辰辰鉛鉛庄一一旦 voi tehd辰 t辰ydennyksi辰 ja korjauksia hallintakeinoja koskeviin velvoittaviin ohjeisiin, s辰辰nt旦ihin ja k辰ytt辰j辰ohjeisiin.

8.2 Tietoturvallisuuden hallintaj辰rjestelm辰n (ISMS) osa-alueet

Tietoturvallisuuden hallintaj辰rjestelm辰n tarkoituksena on suojata yliopiston tiedot riitt辰v辰ll辰 ja tarkoituksenmukaisella tasolla kaikissa esiintymismuodoissaan, koko elinkaaren ajan, huomioiden tietojen luottamuksellisuus, arvo ja t辰rkeys yliopistolle ja yliopiston sidosryhmille. T辰h辰n sis辰ltyy yliopiston tietojen tahallisen tai tahattoman tuhoutumisen, luovuttamisen tai muuttumisen sek辰 oikeuksien vastaisen k辰yt旦n est辰minen. Vastaavasti suojataan my旦s j辰rjestelm辰t, jotka k辰sittelev辰t ja siirt辰v辰t yliopiston tietoa.

Tiedon k辰sittelyn turvaamisen osana yliopisto varautuu my旦s h辰iri旦- ja poikkeusoloihin siten, ett辰 yliopiston toimintaa voidaan jatkaa mahdollisimman h辰iri旦tt旦m辰sti kaikissa olosuhteissa.

Tietoturvallisuuden hallintaj辰rjestelm辰n velvoittavassa ohjeessa A6 Tietoturvallisuuden organisointi ja vastuut Aalto-yliopistossa kuvataan, mink辰laisia tietoturvavastuita ja -velvollisuuksia eri rooleihin liittyy.

Tietoturvallisuuden hallintaj辰rjestelm辰 rakentuu t辰m辰n digiturvapolitiikan alla olevista velvoittavista ohjeista, velvoittaviin ohjeisiin liittyvist辰 tarkentavista s辰辰nn旦ist辰 ja k辰ytt辰j辰ohjeista. Jokaisen yliopistoyhteis旦n j辰senen tulee teht辰viens辰 mukaisesti tutustua ja noudattaa seuraavia tietoturvallisuuden hallintaj辰rjestelm辰n osa-alueita ja niihin liittyvi辰 s辰辰nt旦j辰:

堰艶稼一庄鉛旦壊岳旦岳顎姻厩温鉛鉛庄壊顎顎壊 (ISMS A7) -velvoittavassa ohjeessa kuvataan niit辰 k辰yt辰nt旦j辰, jotka liittyv辰t henkil旦st旦turvallisuuteen tietoturvan kannalta. Velvoittavassa ohjeessa on linjattu muun muassa niist辰 asioista, joita tulee huomioida ennen kuin henkil旦 voi saada Aalto-tunnuksen k辰ytt旦旦ns辰. Henkil旦st旦turvallisuudella varmistetaan suojattavien tietojen parissa toimivien henkil旦iden sopivuus teht辰v辰辰ns辰.	A7 堰艶稼一庄鉛旦壊岳旦岳顎姻厩温鉛鉛庄壊顎顎壊 versio 1.0_0.pdf
Suojattavan omaisuuden hallinta (ISMS A8) -velvoittavassa ohjeessa kuvataan, mit辰 Aalto-yliopiston suojattava omaisuus tietoturvan n辰k旦kulmasta on sek辰 mihin ja miten yliopiston suojattavaa omaisuutta saa k辰ytt辰辰. Suojattavaa omaisuutta ovat esimerkiksi p辰辰telaitteet, tietoj辰rjestelm辰t ja tietoaineistot. Suojattavan omaisuuden hallinnanavulla varmistetaan, ett辰 omaisuus luokitellaan, merkit辰辰n ja k辰sitell辰辰n oikein.	A8 Suojattavan omaisuuden hallinta versio 1.0.pdf (aalto.fi)
永辰辰壊霞稼鞄温鉛鉛庄稼岳温 (ISMS A9) kuvataan Aalto-yliopiston k辰ytt辰j辰tunnuksiin ja p辰辰synhallintaan liittyv辰t vaatimukset ja prosessit. Velvoittavassa ohjeessa linjataan muun muassa, miten yliopiston tietoj辰rjestelmiin ja tiloihin p辰辰sy辰 rajoitetaan ja valvotaan. P辰辰synhallinnalla varmistetaan vain oikeutettujen henkil旦iden p辰辰sy tietoon.	A9 永辰辰壊霞稼鞄温鉛鉛庄稼岳温 versio 1.0.pdf (aalto.fi)
Salaus (ISMS A10) -velvoittavassa ohjeessa kuvataan miksi ja milloin tulee k辰ytt辰辰 salausta. Ohje k辰sittelee my旦s salausavainten hallinnan periaatteet. Salauksella suojataan tietojen luottamuksellisuutta, aitoutta ja eheytt辰.	A10 Salaus�� \| Aalto-yliopisto
Fyysinen ja ymp辰rist旦n turvallisuus (ISMS A11) velvoittava ohje kuvaa, kuinka Aalto-yliopistossa tulee huolehtia fyysisest辰 ja ymp辰rist旦n turvallisuudesta tietoturvan辰k旦kulmasta. Ohjeessa m辰辰ritet辰辰n eri tilojen suojaustasot, kulkuoikeuksien prosesseja, fyysisten laitteiden suojausta sek辰 luokitellun materiaalin k辰sittely辰.	A11 Fyysinen turvallisuus�� \| Aalto-yliopisto
悪辰霞岳岳旦岳顎姻厩温鉛鉛庄壊顎顎壊 (ISMS A12) -velvoittava ohje kuvaa IT-j辰rjestelmien turvalliselle k辰yt旦lle m辰辰ritetyt periaatteet ja tietojenk辰sittelyntapahtumien valvonnan. Ohjeessa m辰辰ritet辰辰n k辰ytt旦turvallisuuden vastuut, velvollisuudet ja prosessit. K辰ytt旦turvallisuudella huolehditaan tietojenk辰sittelypalveluiden toteuttamista asianmukaisesti, turvallisesti ja h辰iri旦tt旦m辰sti.	A12 悪辰霞岳岳旦岳顎姻厩温鉛鉛庄壊顎顎壊 \| Aalto-yliopisto
閣庄艶壊岳庄稼岳辰岳顎姻厩温鉛鉛庄壊顎顎壊 (ISMS A13) velvoittava ohje kuvaa Aalto-yliopiston verkkojen hallintaa, k辰ytt旦辰 ja tiedonsiirron suojaamista. Viestint辰turvallisuudella varmistetaan tietoliikenneverkkojen ja tiedonsiirron turvallisuus ja h辰iri旦tt旦myys.	A13 閣庄艶壊岳庄稼岳辰岳顎姻厩温鉛鉛庄壊顎顎壊 \| Aalto-yliopisto
J辰rjestelmien hankkiminen, kehitt辰minen ja yll辰pito (ISMS A14) velvoittava ohje kuvaa Aalto-yliopiston tietoj辰rjestelmi辰 koskevat tietoturva-, turvallisuus- ja tietosuojavaatimukset. Ohjeessa kuvataan my旦s testiaineiston k辰ytt旦辰 sek辰 kehitys- ja tukiprosessien turvallisuuden vaatimuksia. Tietoj辰rjestelmien hankinta-, kehitys- ja yll辰pitok辰yt辰nn旦ill辰 varmistetaan, ett辰 tietoj辰rjestelmien turvallisuudesta huolehditaan kulloinkin oikealla tavalla niiden elinkaaren eri vaiheissa.	A14 J辰rjestelmien hankkiminen, kehitt辰minen ja yll辰pito�� \| Aalto-yliopisto
Suhteet toimittajiin (ISMS A15) velvoittava ohje kuvaa, miten Aalto-yliopistossa huolehditaan toimittajasuhteiden tietoturvasta. Ohjeessa kuvataan my旦s, kuinka palveluja tulee valvoa, ja kuinka niiden muutoksia tulee toteuttaa. Toimittajasuhteisiin liittyv辰ll辰 tietoturvallisuuden hallinnalla varmistetaan tietoturva- ja tietosuojavelvoitteiden hoitaminen koko toimittajasuhteen elinkaaren ajan.	A15 Suhteet toimittajiin�� \| Aalto-yliopisto
Tietoturvapoikkeamat (ISMS A16) velvoittava ohje kuvaa tietoturvapoikkeamien hallintaprosessin, jonka tarkoituksena on varautua h辰iri旦tilanteisiin, turvata toiminnan jatkuvuus minimoimalla h辰iri旦tilanteiden aiheuttamat vahingot ja pyrki辰 est辰m辰辰n h辰iri旦tilanteiden muodostuminen jatkossa. Tietoturvapoikkeamien hallinnalla varmistetaan tehokas havainnointi ja reagointi tietoturvah辰iri旦ihin.	A16 Tietoturvapoikkeamat�� \| Aalto-yliopisto
Jatkuvuuden hallinta: Toiminnan jatkuvuus -velvoittava ohje (ISMS A17) kuvaa jatkuvuudenhallinnan tietoturvan辰k旦kohtia. Jatkuvuudenhallinnalla pyrit辰辰n turvaamaan toimintojen ja prosessien jatkuvuus normaalioloissa, normaaliolojen h辰iri旦tilanteissa ja poikkeusoloissa. Jatkuvuussuunnitteluun kuuluu mm. varautuminen, valmiussuunnittelu, palvelukohtainen jatkuvuussuunnittelu ja j辰rjestelm辰kohtainen toipumissuunnittelu. Jatkuvuuden hallinnalla huolehditaan tietoturvan huomioinnista jatkuvuussuunnittelussa ja jatkuvuuden toteutumisesta palvelun tai toiminnon kriittisyyden edellytt辰m辰ll辰 tavalla.	A17 Toiminnan jatkuvuus \| Aalto-yliopisto
Vaatimustenmukaisuus (ISMS A18) -velvoittavassa ohjeessa on linjattu asioita, jotka liittyv辰t vaatimustenmukaisuuteen tietoturvan n辰k旦kulmasta. Aalto-yliopiston toimintaa ohjaa eritt辰in laaja joukko erilaista s辰辰ntely辰 ja lains辰辰d辰nt旦辰. Lains辰辰d辰nn旦n ohella viranomaism辰辰r辰ykset ja sopimusvelvoitteet voivat luoda vaatimuksia toiminnalle, jotka huomioidaan osana Aalto-yliopiston toimintaa. Vaatimustenmukaisuudella varmistetaan tietoturvallisuuden hallinnan yhdenmukaisuus s辰辰d旦sten ja sidosryhm辰vaatimusten kanssa.	A18 Vaatimustenmukaisuus \| Aalto-yliopisto

9. Tiedonhallinnan, tiedon jakamisen ja tiedon poistamisen periaatteet

Tietojen hallinnan ja tiedon poistamisen on tapahduttava tietojen luokittelua koskevien ohjeiden mukaisesti (ks. kappale 5. Tiedon tunnistaminen ja tiedon luokittelu yliopistossa). Organisaatiolle kuuluva t辰rke辰 materiaali tallennetaan aina yhteiseen, yksik旦n/tiimin m辰辰rittelem辰辰n tallennuspaikkaan, jonka p辰辰syoikeuksia hallitaan ty旦teht辰vien mukaisesti.

Tiedon k辰sittely | Aalto-yliopisto

Aalto-korkeakoulus辰辰ti旦n tiedonohjaussuunnitelmassa (TOS) m辰辰ritelty j辰rjestelm辰 tai Aalto-korkeakoulus辰辰ti旦n omat, varmuuskopioidut verkkolevyt ovat tietoturvan ja -suojan n辰k旦kulmasta oikea tallennuspaikka t辰rkeille asiakirjoille.

T辰rkeit辰 tietoja tai lopullisia asiakirjoja ei tule s辰ilytt辰辰 pitk辰aikaista s辰ilytyst辰 varten pilvitallennustiloissa, yhteisty旦ty旦kaluissa tai -ohjelmistoissa, ty旦asemilla tai mobiililaitteilla tietojen heikon l旦ydett辰vyyden ja vaihtelevien varmuuskopioiden vuoksi. T辰rkeit辰 yliopiston tietoja ei tule s辰ilytt辰辰 yksitt辰isiss辰 hakemistoissa (kotihakemisto tai henkil旦kohtainen pilvipalvelu).

Jaettaessa tietoa organisaation sis辰isesti tai organisaation ulkopuolelle noudatetaan tiedon luokitteluun pohjautuvaa p辰辰synhallintaa. Vain julkista tietoa (avointa tietoa) annetaan avoimesti saataville. V辰litett辰ess辰 tietoa huolehditaan sen suojaamisesta asianmukaisesti. Saavutettavuusvaatimukset otetaan huomioon yliopiston palveluissa ja verkkosivuilla.

Tiedonohjaussuunnitelma TOS sis辰lt辰辰 yksityiskohtaista tietoa Aalto-korkeakoulus辰辰ti旦n asiakirjojen ja tietojen k辰sittelyst辰, rekister旦innist辰, julkisuudesta ja s辰ilytt辰misest辰. Kun kuvattu s辰ilytysaika on p辰辰ttynyt, asiakirjat on tuhottava turvallisesti. Tutkimustietojen s辰ilytysaika m辰辰ritell辰辰n tutkimussuunnitelmassa ja tietohallintasuunnitelmassa. Tiedon omistaja tai valmistelija on vastuussa tiedon tai tietoaineiston arkistoinnista yhteisty旦ss辰 kirjaamon kanssa, mik辰li kyseess辰 olevalle aineistolle ei ole m辰辰ritelty automaattista elinkaarenhallintaa tiedonohjaussuunnitelmassa.

Pilvitallennustiloihin, yhteisty旦ty旦kaluihin tai -ohjelmistoihin, ty旦asemille tai mobiililaitteille tallennetutty旦skentelytiedostot, luonnokset ja vanhentuneet tiedot tulee poistaa, kun ne ovat tarpeettomia. On muistettava, ett辰 asiakirjoja tai tietoja ei pit辰isi tallentaa vain varmuuden vuoksi. Henkil旦kohtaisten tallenteiden tiedot poistetaan Aalto-tilin vanhenemisen j辰lkeen. Tallennustilan omistaja vastaa tietojen siivoamisen varmistamisesta. Kuitenkin jokainen on vastuussa oman ty旦ns辰 s辰ilytt辰misest辰.

10. Vastuumme tiedosta, tiedonhallintamalli ja julkisuusperiaate

堰艶稼一庄鉛旦岳庄艶岳看jen suojaa koskevan lains辰辰d辰nn旦n lis辰ksi Aalto-korkeakoulus辰辰ti旦n toimintaan sovelletaan asiakirjojen julkisuutta ja tiedonhallintaa koskevia lakeja. Julkisuusperiaatteen mukaan yliopiston hallussa oleva tieto on julkista, jollei laissa erikseen toisin s辰辰det辰. Tiedonhallintaa ja tietojen julkisuutta koskevaa kansallista s辰辰ntely辰 sovelletaan my旦s henkil旦tietojen luovuttamiseen yliopiston henkil旦rekisterist辰. Yliopisto voi kansallisen s辰辰ntelyn perusteella olla velvollinen luovuttamaan henkil旦tietoja sis辰lt辰vi辰 tietoja sivullisille.

Lis辰tietoa julkisuusperiaatteen soveltamisesta ja salassapidosta l旦ytyy ohjeesta Julkisuusperiaate Aalto-yliopistossa.

Julkisuusperiaate Aalto-yliopistossa | Aalto-yliopisto

Aalto-yliopisto yll辰pit辰辰 tiedonhallintalain tarkoittamaa tiedonhallintamallia sek辰 asiakirjajulkisuuskuvausta, joiden tarkoituksena on osaltaan helpottaa yliopiston tietokokonaisuuksien hahmottamista ja tietojen l旦ydett辰vyytt辰 ja siten varmistaa julkisuusperiaatteen toteutumista yliopiston toiminnassa.

11. Seuraamukset politiikan tai ohjeiden vastaisesta toiminnasta

Lains辰辰d辰nn旦n, yliopiston Digiturvapolitiikan, velvoittavien ohjeiden tai eettisten periaatteiden (Code of Conduct) rikkominen voi johtaa sis辰isiin kurinpitotoimiin. Rikkomuksilla voi olla my旦s siviili- tai rikosoikeudellisia tai ty旦oikeudellisia seuraamuksia.

堰艶稼一庄鉛旦岳庄艶岳看ja sis辰lt辰vien tietoj辰rjestelmien k辰ytt旦辰 valvotaan teknisesti mm. k辰ytt辰j辰hallintaratkaisulla ja ker辰辰m辰ll辰 lokitietoja. Jos tietosuojan ep辰ill辰辰n tai havaitaan vaarantuneen rikkomuksen vuoksi, asia tutkitaan viipym辰tt辰 ja rikkomuksen tekij辰辰 vastaan ryhdyt辰辰n rikkomuksen luonteen vaatimiin toimenpiteisiin. Digiturvapolitiikan, muiden tietoturvaa koskevien velvoittavien ohjeiden, s辰辰nt旦jen ja ohjeiden vastainen toiminta voi johtaa tapauksesta riippuen k辰ytt旦oikeuksien menett辰miseen tai rajoittamiseen, kurinpidollisiin toimiin, rikosoikeudellisiin rangaistusseuraamuksiin ja vahingonkorvauksen suorittamisvelvollisuuteen.

Linkki: seuraamukset_aalto.pdf

Yliopiston ylin johto (yliopiston hallitus yhdess辰 rehtorin kanssa, rehtorin ty旦j辰rjestyksen mukaiset rehtorin alaiseen hallintoon kuuluvat vastuut) kantaa perimm辰ist辰 vastuuta siit辰, ett辰 digiturvaa koskevaa s辰辰ntely辰 ja velvoitteita noudatetaan yliopiston kaikessa toiminnassa (tiedonhallintalaki 4.2 則, johdon vastuu).

Henkil旦n, joka huomaa, ettei tietosuojaa koskevia velvoitteita ole noudatettu henkil旦tietojen k辰sittelyss辰, on asian korjaamiseksi otettava yhteytt辰 yliopiston tietosuojavastaavaan s辰hk旦postitse tietosuojavastaava(at)aalto.fi. Henkil旦ll辰 on my旦s oikeus saattaa yliopiston toiminnan lainmukaisuus Tietosuojavaltuutetun toimiston arvioitavaksi (ks. kohta Rekister旦idyn oikeudet).

12. Yliopiston organisatoriset digiturvan toimenpiteet: suunnittelu ja raportointi, koulutus, auditointi ja digiturvapolitiikan yll辰pito

Tiedonhallinnan ja tietosuojan vuosikello kuvaa vuosittaiset toimenpiteet ja ajoituksen tiedonhallinnan ja tietosuojan toteuttamiselle 粥温鉛岳看-一看姻一艶温一看顎鉛顎壊辰辰岳庄旦壊壊辰. Tiedonhallinnan ja tietosuojan vuosikellon toimenpiteet arvioidaan riskil辰ht旦isesti.

Tietoturvallisuuden hallintaj辰rjestelm辰n (ISMS) vuosikello kuvaa vuosittaiset toimenpiteet ja ajoituksen tietoturvallisuuden yll辰pit辰miselle ja kehitt辰miselle. Vuosikellossa kuvattu prosessi tukee henkil旦it辰 ty旦ss辰辰n, joilla on erityisi辰 vastuita tietoturvallisuuteen liittyen. Tietoturvallisuuden hallintaj辰rjestelm辰n vuosikellon avulla varmistetaan, ett辰 tietoturvallisuuteen liittyv辰t toimenpiteet ja kontrollit seuraavat mukana toimintaymp辰rist旦ss辰, lains辰辰d辰nn旦ss辰 ja muissa vaatimuksissa tapahtuvia muutoksia.

Vuosikellon koordinointivastuu sis辰ltyy Aalto-korkeakoulus辰辰ti旦n asiakirjahallinnon p辰辰llik旦n, tietoturvap辰辰llik旦n ja tietosuojavastaavan vastuisiin. Tietosuoja- ja tietoturvaryhm辰 seuraa tietoturvan, tietosuojan ja tiedonhallinnan vuosikellon toteuttamista. 意庄艶岳看岳顎姻厩温沿辰辰鉛鉛庄一一旦 valvoo tietoturvan vuosikellon mukaisten toimien toteutumista teknisill辰 tarkastuksilla ja auditoinneilla.

Tietosuoja-, tietoturva- ja tiedonhallintaty旦 kootaan tietotilinp辰辰t旦kseen (Data Balance Sheet). Tietotilinp辰辰t旦s raportoidaan vuosittain Aalto-korkeakoulus辰辰ti旦n johdolle.

Tietoturvallisuuden hallintaj辰rjestelm辰n vuosikello | Aalto-yliopisto

Yliopisto pyrkii varmistamaan, ett辰 henkil旦kunta on tietoinen tietosuoja- ja tietoturvavaatimuksista sek辰 vastaa koulutuksen ja ohjeiden tarjoamisesta. Yliopiston tietosuojailmoitukset, k辰yt辰nnes辰辰nn旦t- ja ohjeet, koulutusmateriaalit ja muu tietosuojainformaatio julkaistaan yliopiston verkkosivuilla. Jokaisen henkil旦kunnan j辰senen tulee tutustua yliopiston tietojen k辰sittely辰, henkil旦tietojen k辰sittely辰 sek辰 tietoturvaa koskevaan ohjeistukseen. Digiturvapolitiikan sis辰ll旦n omaksuminen on yhten辰 osana uuden ty旦ntekij辰n perehdytyst辰.

Osaamisen varmistamiseksi Aalto-korkeakoulus辰辰ti旦n ja Aalto-yliopistokiinteist旦t Oy:n (ACRE,Aalto University Campus & Real Estate) henkil旦st旦lt辰 edellytet辰辰n s辰辰nn旦llist辰 pakollisten verkkokurssien suorittamista. Workday Learning -j辰rjestelm辰ss辰 on kolme pakollista verkkokurssia. Kurssit k辰sittelev辰t Eettisi辰 periaatteita (Code of Conduct), tietoturvaa ja tietosuojaa sek辰 kyberturvallisuutta. Verkkokoulutusten suorittaminen on pakollista ja suorituksia seurataan s辰辰nn旦llisesti. Henkil旦kuntaan kuuluvat p辰辰sev辰t tarkistamaan omat kurssisuorituksensa Workdayn profiilista. 掘壊庄鞄艶稼一庄鉛旦 n辰kee oman tiimins辰 pakollisten kurssien suoritukset Workdayn etusivun My Team Management sovelluksessa raportilla My Team卒s Required Learning Completions.

晦庄壊辰岳庄艶岳看逮温: Henkil旦st旦koulutus | Aalto-yliopisto

Verkkokoulutuksen tai muun koulutuksen suorittaminen ennen henkil旦tietojen k辰sittelemist辰 edellytet辰辰n perehdytyksen yhteydess辰 ja koulutusten p辰ivittyess辰.

Teht辰v辰kohtaisten tarpeiden mukaisesti j辰rjestet辰辰n lis辰ksi syvent辰v辰辰 koulutusta henkil旦kunnalle, jolla on pysyv辰 tai s辰辰nn旦llinen p辰辰sy henkil旦tietoihin, jotka ovat mukana tietojen ker辰辰misess辰 tai tietojen k辰sittelyyn tarkoitettujen ty旦kalujen kehitt辰misess辰, k辰sittelev辰t tietopyynt旦j辰, tai ty旦teht辰v辰t liittyv辰t erityisesti henkil旦tietojen siirtoihin kolmansiin maihin konsernin tai yhteist辰 taloudellista toimintaa harjoittavien yritysten sis辰ll辰. Syvent辰v辰ss辰 koulutuksessa voidaan k辰ytt辰辰 eLearning, MyCourses, Teams-, Zoom luokkahuone- tai itseopiskelukoulutusta.

Konserniin kuuluvissa yhti旦iss辰 voi olla edell辰 mainittujen lis辰ksi omia koulutusvaatimuksia.

Aalto-korkeakoulus辰辰ti旦ll辰 on tietosuojan, tietoturvan ja digiturvallisuuden auditointien vuosisuunnitelma (digiturvan vuosisuunnitelma), ja tarkastuksia suoritetaan s辰辰nn旦llisesti konsernissa sek辰 konsernin sis辰isten auditoijien ett辰 ulkoisten akkreditoitujen auditoijien toimesta v辰hint辰辰n kerran kalenterivuodessa. S辰辰nn旦llisten auditointien lis辰ksi, erityisi辰 tarkastuksia (ad hoc auditointeja) voidaan pyyt辰辰 teht辰v辰ksi Aalto-korkeakoulus辰辰ti旦n hallituksen, rehtorin sek辰 konserniyhti旦iden hallitusten tai toimitusjohtajan tai tietosuojavastaavan sek辰 tietoturvap辰辰llik旦n toimesta. Digiturvan auditoinnin vuosisuunnitelman laatimisesta vastaavat tietosuojavastaava ja 岳庄艶岳看岳顎姻厩温沿辰辰鉛鉛庄一一旦, ja tietosuoja- ja tietoturvaryhm辰 k辰sittelee suunnitelman. Digiturvallisuuden vuosisuunnitelma sis辰lt辰辰 Tietoturvallisuuden hallintaj辰rjestelm辰n, NIS2 ��kyberturvallisuusdirektiivin, EU:n yleisen tietosuoja-asetuksen (GDPR) mukaiset osa-alueet sek辰 Euroopan komission (European Data Protection Board, EDPB) suositukset (ml. yrityst辰 koskevat sitovat s辰辰nn旦t, BCRs). Tarkastuskohteet valitaan riskiperusteisesti huomioiden henkil旦tietojen k辰sittelyyn liittyv辰t riskit sek辰 rekister旦ityjen oikeudet ja vapaudet. Digiturvan vuosisuunnitelma esitell辰辰n yliopiston johdolle (ESG). Digiturvan sis辰isten auditointien toimeenpanossa tulee huolehtia, ett辰 tietosuojavastaavan riippumattomuus ei vaarannu. Digiturvan sis辰isten auditointien tulokset raportoidaan noudattaen Aalto Risk Management Policyn periaatteita.

Riskienhallinta ja sis辰inen tarkastus | Aalto-yliopisto

Tarkastuskomitea k辰sittelee sis辰isen tarkastuksen vuosisuunnitelman. Hallitus vahvistaa vuosittaisen sis辰isen tarkastuksen suunnitelman. Digiturvan vuosisuunnitelma sis辰ltyy sis辰isen tarkastuksen vuosisuunnitelmaan ulkoisten auditointien osalta. Sis辰isen tarkastuksen vuosisuunnitelma sis辰ltyy Aalto-yliopiston LEGAL-budjettiin. LEGAL ja ITS voivat budjettinsa puitteissa teett辰辰 tarvittaessa lis辰ksi erillisi辰 tarkastuksia. Sis辰isen tarkastuksen raportit k辰sitell辰辰n tarkastusvaliokunnassa. Tarkastusvaliokunnan puheenjohtaja raportoi hallitukselle.

晦庄壊辰岳庄艶岳看逮温: Riskienhallinta ja sis辰inen tarkastus | Aalto-yliopisto

Aalto-korkeakoulus辰辰ti旦n rehtori (��rehtori��) on hyv辰ksynyt henkil旦tietojen suojaa koskevan politiikan yliopiston henkil旦kuntaa, opiskelijoita ja muita yliopistoyhteis旦n j辰seni辰 sitovaksi s辰辰nn旦st旦ksi 25.5.2018 lukien. Rehtori on vahvistanut yliopiston tietoturvapolitiikan 30.6.2020. Tietosuoja- ja tietoturvapolitiikka on soveltuvin osin yhdistetty Digiturvapolitiikaksi, jonka rehtori on hyv辰ksynyt XX.XX.2025. Samalla p辰辰t旦ksell辰 kumotaan em. tietosuoja- ja tietoturvapolitiikat.

Digiturvapolitiikkaa p辰ivitet辰辰n s辰辰nn旦llisesti sen ajantasaisuuden varmistamiseksi mm. vastaamaan toimintaymp辰rist旦ss辰 tapahtuvia muutoksia sek辰 lains辰辰d辰nn旦n ja tekniikan kehityst辰. Aalto-korkeakoulus辰辰ti旦n tietosuojavastaava ja 岳庄艶岳看岳顎姻厩温沿辰辰鉛鉛庄一一旦 vastaavat siit辰, ett辰 digiturvapolitiikka pysyy ajankohtaisena ja sit辰 tarkistetaan vuosittain muutostarpeita vastaavaksi. Merkitt辰v辰t muutokset k辰sitell辰辰n yhteistoimintaneuvottelukunnassa. Digiturvapolitiikan hyv辰ksyy rehtori.

Digiturvapolitiikan muutoksesta tiedotetaan yliopistoyhteis旦lle aalto.fi -sivustolla ja muiden soveltuvien tiedotuskanavien kautta. Sama tiedotuspolitiikka koskee konserniyhti旦it辰, joita tiedotetaan etuk辰teen sovitun k辰yt辰nn旦n mukaisesti. Muutos voi astua voimaan v辰litt旦m辰sti.

Liitteet 2 ja 3: Digiturvaan liittyv辰t ohjeet ja k辰sitteet

Aalto-korkeakoulus辰辰ti旦n rehtori (��rehtori��) on hyv辰ksynyt henkil旦tietojen suojaa koskevan politiikan yliopiston henkil旦kuntaa, opiskelijoita ja muita yliopistoyhteis旦n j辰seni辰 sitovaksi s辰辰nn旦st旦ksi 25.5.2018 lukien. Rehtori on vahvistanut yliopiston tietoturvapolitiikan 30.6.2020. Tietosuoja- ja tietoturvapolitiikka on soveltuvin osin yhdistetty Digiturvapolitiikaksi, jonka rehtori on hyv辰ksynyt XX.XX.202X. Samalla p辰辰t旦ksell辰 kumotaan em. tietosuoja- ja tietoturvapolitiikat.

T辰m辰n liitteen sis辰lt旦辰 yll辰pit辰辰 yliopiston lakipalvelut. Viimeisin p辰ivitys XX.XX.2026.

KESKEISET DIGITURVAN OHJEET:

Code of Conduct ��linkki + johdantoteksti
Aalto-yliopiston eettiset periaatteet, vastuumme tiedosta: V Vastuumme tiedosta | Aalto-yliopisto

Tiedon hallinta

Tiedon k辰sittely: Tiedon k辰sittely | Aalto-yliopisto
Tiedon luokittelu | Aalto-yliopisto
Tiedon luokittelun perusohje ja palvelut | Aalto-yliopisto
Tiedon jakaminen ja julkaiseminen | Aalto-yliopisto
Tiedonohjaussuunnitelma: /fi/palvelut/tiedonohjaussuunnitelma-tos
鴛稼韓看姻馨温温岳庄看逮温鉛温稼逮辰鉛一庄: Informaatiojalanj辰lki | Aalto-yliopisto

Tietosuoja

Tietosuoja: Tietosuoja | Aalto-yliopisto
Tietosuoja tutkimuksessa: 堰艶稼一庄鉛旦岳庄艶岳看jen k辰sittely tutkimuksessa | Aalto-yliopisto
Tietosuoja opintoasioissa: Tietosuoja opintoasioissa | Aalto-yliopisto

Tietoturva

Tietoturva: Tietoturva | Aalto-yliopisto
Tiedon luokittelun perusohje ja palvelut | Aalto-yliopisto
IT Services for Research,��IT Services for Students,��IT Services for Staff,��, and��)
Tietoturvallisuuden hallintaj辰rjestelm辰n velvoittavissa ohjeissa ja s辰辰nn旦iss辰 Tietoturvallisuuden hallintaj辰rjestelm辰 (ISMS) | Aalto-yliopisto.
Kokonaisarkkitehtuuri: ��Enterprise Architecture services in Aalto��
IT- ja j辰rjestelm辰hankinnat: 5 kysymyst辰 ennen ohjelmistojen tai digitaalisten palvelujen hankkimista | Aalto-yliopisto

Tietoturvaloukkaukset ja henkil旦tietojen tietoturvaloukkaukset:

意艶一看辰鉛霞 (AI):

Artificial Intelligence (AI): the AI Act and AI literacy at Aalto University | Aalto University

Tuotteistettu teko辰ly (AI) ja OpenAI-palvelut | Aalto-yliopisto]

堰艶稼一庄鉛旦岳庄艶岳看jen siirrot Euroopan talousalueen ulkopuolelle (EDPB:n ja Tietosuojavaltuutetun toimiston ohjeet):

DIGITURVAAN LIITTYV�T KOULUTUKSET:

Aalto-yliopiston henkil旦st旦n koulutukset (Workday): Henkil旦st旦koulutus | Aalto-yliopisto
Eettiset periaatteet 2025: Aaltolaisen tietoturva ja tietosuoja 2025:
Johdatus kyberturvallisuuteen verkkokurssi 2025:
Aalto-yliopiston opiskelijoiden koulutukset: Opiskelijoiden tietoturva- ja tietosuojakoulutus MyCoursesissa | Aalto-yliopisto

DIGITURVAPOLITIIKAN TAUSTALLA OLEVA S��NTELY:

EU:n tietosuoja-asetus:
EU:n kyberturvallisuusdirektiivi (NIS 2 -direktiivi):
EU:n teko辰lyasetus:
EU:n Saavutettavuusdirektiivi:
Tietosuojalaki:
Laki julkisen hallinnon tiedonhallinnasta
Kyberturvallisuuslaki
Laki viranomaisen toiminnan julkisuudesta
Laki digitaalisten palvelujen tarjoamisesta

T辰m辰n liitteen sis辰lt旦辰 yll辰pit辰辰 yliopiston lakipalvelut. Viimeisin p辰ivitys XX.XX.2026.

悪�皆鴛意掘	SELITE
Anonymisoitu tieto	Anonymisoidulla tiedolla tarkoitetaan tietoa, joka on k辰sitelty siten, ettei sen yhdist辰minen henkil旦旦n ole en辰辰 mahdollista.
Arkaluonteiset henkil旦tiedot (erityisiin henkil旦tietoryhmiin kuuluvat tiedot)	Arkaluonteisilla (erityisi辰 henkil旦tietoryhmi辰 koskevilla) henkil旦tiedoilla tarkoitetaan tietoja, joista ilmenee henkil旦n rotu tai etninen alkuper辰, poliittisia mielipiteit辰, uskonnollinen tai filosofinen vakaumus tai ammattiliiton j辰senyys sek辰 geneettisi辰 tai biometrisi辰 tietoja, joista henkil旦 voidaan yksiselitteisesti tunnistaa, terveystietoja taikka tietoja luonnollisen henkil旦n seksuaalista k辰ytt辰ytymisest辰 ja suuntautumisesta.
Asiakirjajulkisuus-kuvaus	Asiakirjajulkisuuskuvaus liittyy julkisten asiakirjojen k辰sittelyyn ja niiden saatavuuteen.
Arkistointi	Arkistointi tapahtuu s辰ilytysajan p辰辰ttymisen j辰lkeen siirt辰m辰ll辰 asiakirjat arkistoon. Arkistoinnilla tarkoitetaan my旦s arkistolain mukaista pysyv辰辰 s辰ilytt辰mist辰, jos se perustuu Kansallisarkiston p辰辰t旦kseen.
Digiturva	Digiturva tarkoittaa digitaalisen turvallisuuden varmistamista jaettujen toimintamallien ja laaja-alaisen yhteisty旦n ja osaamisen avulla. T辰ll辰 pyrit辰辰n varmistamaan, ett辰 digitaalinen toimintaymp辰rist旦 on luotettava ja turvallinen ja sis辰lt辰辰 kyvykkyyden toimia uhka- ja h辰iri旦tilanteissa. Digiturva kattaa tietosuojan, tietoturvan ja tiedonhallinnan keskeiset osa-alueet sek辰 tietojen ja j辰rjestelmien eheyden, luottamuksellisuuden, saatavuuden ja jatkuvuuden.
Eheys	Eheys eli se, ett辰 tietoja eiv辰t voi muuttaa muut kuin siihen oikeutetut. Tietojen ja tietojen k辰sittelymenetelmien oikeellisuus, laatu ja kiist辰m辰tt旦myys varmistetaan. Tieto suojataan luvattomalta tai vahingossa tapahtuvalta tiedon muuttamiselta tai poistamiselta.
EU:n yleinen tietosuoja-asetus (GDPR)	Euroopan unionin asetus (EU) 2016/679, annettu 27 p辰iv辰n辰 huhtikuuta 2016, luonnollisten henkil旦iden suojelusta henkil旦tietojen k辰sittelyss辰 ja n辰iden tietojen vapaasta liikkuvuudesta.
堰艶稼一庄鉛旦岳庄艶岳看	Henkil旦tiedolla tarkoitetaan kaikkia tunnistettavissa olevaan luonnolliseen henkil旦旦n liittyvi辰 tietoja. 堰艶稼一庄鉛旦岳庄艶岳看ja ovat tai voivat olla esimerkiksi nimi, osoite, henkil旦tunnus, paikkatieto, s辰hk旦postiosoite, IP-osoite, muu verkkotunniste, valokuva, tieto ruokavaliosta, terveystieto tai muu tieto, joka yksin tai yhdistettyn辰 muuhun tietoon kertoo jotain tietyst辰 henkil旦st辰.
堰艶稼一庄鉛旦岳庄艶岳看jen k辰sittely	堰艶稼一庄鉛旦岳庄艶岳看jen k辰sittely辰 on esimerkiksi henkil旦tietojen ker辰辰minen, tallentaminen, j辰rjest辰minen, s辰ilytt辰minen, muokkaaminen, muuttaminen, haku, yhdist辰minen sek辰 tietojen luovuttaminen ja tuhoaminen.
堰艶稼一庄鉛旦岳庄艶岳看jen k辰sittelij辰 Alik辰sittelij辰 / Alihankkija (subprocessor)	堰艶稼一庄鉛旦岳庄艶岳看jen k辰sittelij辰 on taho, joka k辰sittelee henkil旦tietoja rekisterinpit辰j辰n lukuun (rekisterinpit辰j辰n ohjeiden mukaisesti ja sen alaisuudessa). 堰艶稼一庄鉛旦岳庄艶岳看jen k辰sittelij辰 voi olla esimerkiksi yritys, yksityinen elinkeinonharjoittaja, viranomainen tai yhdistys. Alik辰sittelij辰n辰 toimiva henkil旦tietojen k辰sittelij辰 toimii henkil旦tietojen k辰sittelij辰n ohjeiden mukaisesti, mik辰 tarkoittaa, ett辰 se voi k辰sitell辰 ihmisten henkil旦tietoja henkil旦tietojen k辰sittelij辰n puolesta. Alik辰sittelij辰 voi olla esimerkiksi yritys, viranomainen, virasto, yhdistys tai muu toimija.
堰艶稼一庄鉛旦岳庄艶岳看jen tietoturvaloukkaus	堰艶稼一庄鉛旦岳庄艶岳看jen tietoturvaloukkaus eli tietoturvaloukkaus, jonka seurauksena on siirrettyjen, tallennettujen tai muuten k辰siteltyjen henkil旦tietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, h辰vi辰minen, muuttaminen, luvaton luovuttaminen taikka p辰辰sy tietoihin.
Kansainv辰linen tietojensiirto	堰艶稼一庄鉛旦岳庄艶岳看jen siirto Euroopan talousalueen ulkopuolelle edellytt辰辰 tietosuojalains辰辰d辰nn旦n vaatimusten noudattamisen lis辰ksi, ett辰 molempien seuraavien edellytysten on t辰ytytt辰v辰: a) 堰艶稼一庄鉛旦岳庄艶岳看jen k辰sittelyn on oltava sallittua kyseisess辰 tilanteessa. b) 堰艶稼一庄鉛旦岳庄艶岳看jen siirroille on lis辰ksi oltava tietosuoja-asetuksen V luvussa m辰辰ritelty siirtoperuste. Siirtoperusteen tehokkuus ja t辰ydent辰vien suojatoimien tarve on arvioitava tapauskohtaisesti.
悪辰霞岳艶岳岳辰厩霞霞壊	悪辰霞岳艶岳岳辰厩霞霞壊 eli se, ett辰 tiedot ja tietoj辰rjestelm辰t ovat niiden k辰ytt旦旦n oikeutettujen hy旦dynnett辰viss辰. Tiedot ja niihin perustuvat palvelut ovat niihin valtuutettujen henkil旦iden k辰ytett辰viss辰 oikea-aikaisesti.
Luotettavuus	Luottamuksellisuus tarkoittaa sit辰, tiedot ovat vain niiden k辰ytt旦旦n oikeutettujen saatavilla. Tiedot suojataan luotettavasti ja oikeus k辰sitell辰 tietoja perustuu ty旦teht辰vien mukaiseen tarpeeseen ja v辰himpien oikeuksien periaatteeseen. Tietojen ja j辰rjestelmien k辰ytt辰j辰t tunnistetaan luotettavasti.
Pseudonymisoitu tieto	Pseudonymisoidulla tiedolla tarkoitetaan tietoa, joka on k辰sitelty niin, ettei tietoa voi suoraan yhdist辰辰 tiettyyn henkil旦旦n k辰ytt辰m辰tt辰 lis辰tietoja.
永辰辰壊霞稼鞄温鉛鉛庄稼岳温	P辰辰synhallinnalla varmistetaan vain oikeutettujen henkil旦iden p辰辰sy tietoon. P辰辰syoikeus my旦nnet辰辰n tarve tiet辰辰 -periaatteella ainoastaan sellaiseen tietoon, jota yksil旦 tarvitsee teht辰v辰ns辰 suorittamiseen.
檎艶一庄壊岳艶姻庄稼沿庄岳辰逮辰	檎艶一庄壊岳艶姻庄稼沿庄岳辰逮辰ll辰 tarkoitetaan luonnollista henkil旦辰 tai oikeushenkil旦辰, joka yksin tai yhdess辰 toisten kanssa m辰辰rittelee henkil旦tietojen k辰sittelyn tarkoitukset ja keinot, tai jonka teht辰v辰ksi henkil旦tietojen k辰sittely on lailla s辰辰detty. 檎艶一庄壊岳艶姻庄稼沿庄岳辰逮辰 on vastuussa suorittamastaan henkil旦tietojen k辰sittelyst辰.
檎艶一庄壊岳艶姻旦庄岳霞	檎艶一庄壊岳艶姻旦庄岳霞 tarkoittaa henkil旦辰, jonka henkil旦tietoja rekisterinpit辰j辰 k辰sittelee. EU:n tietosuoja-asetus antaa erilaisia oikeuksia rekister旦idyille henkil旦tietojen k辰sittelyperusteesta riippuen.
Salaus	Salauksella suojataan tietojen luottamuksellisuutta, aitoutta ja eheytt辰.
Seloste k辰sittelytoimista	Seloste k辰sittelytoimista on rekisterinpit辰j辰n sis辰inen dokumentti organisaation tekem辰st辰 henkil旦tietojen k辰sittelyst辰 ja k辰sittelyn tarkoituksista (k辰sittelytoimet). Seloste k辰sittelytoimista pit辰辰 sis辰ll辰辰n muun muassa IT-j辰rjestelm辰n j辰rjestelm辰tietojen huolellisen t辰ytt辰misen eSupportissa ja tutkimushankkeiden osalta huolellisesti t辰ytetyn tietosuojailmoituksen sek辰 tarvittaessa datanhallintasuunnitelman.
Sis辰inen valvonta	Sis辰isen valvonnan avulla pyrit辰辰n varmistumaan organisaation tavoitteiden saavuttamisesta. Sis辰inen valvonta k辰sitt辰辰 kaikki ne toimenpiteet ja menettelyt, joiden avulla tavoitteiden saavuttaminen pyrit辰辰n varmistamaan. Sis辰iseen valvontaan kuuluvat organisaation sis辰inen toimintaymp辰rist旦, tavoiteasetanta, riskienhallinta, valvontatoimenpiteet, tiedonkulku ja viestint辰 sek辰 seuranta.
Suojattavan omaisuuden hallinta	Suojattavan omaisuuden hallinnalla varmistetaan, ett辰 omaisuus (ml. tiedot) luokitellaan, merkit辰辰n ja k辰sitell辰辰n oikein.
意艶一看辰鉛霞	意艶一看辰鉛霞ll辰 tarkoitetaan teknologiaa, joka pyrkii simuloimaan ihmisten ajattelua ja 辰lyk辰st辰 toimintaa. Esim. OECD m辰辰ritt辰辰 teko辰lyn j辰rjestelmiksi, jotka voivat tehd辰 havaintoja ymp辰rist旦st辰辰n, ymm辰rt辰辰 niit辰, oppia niist辰, sek辰 tehd辰 p辰辰t旦ksi辰 tai toimenpiteit辰 tavoitteen saavuttamiseksi. 意艶一看辰鉛霞yn liittyy kyky k辰sitell辰 ja analysoida suuria tietom辰辰ri辰, ja automatisoida teht辰vi辰, jotka aiemmin olivat ihmisille tyypillisi辰.
Tekniset ja organisatoriset toimenpiteet	Teknisill辰 ja organisatorisilla toimilla varmistetaan tiedon luottamuksellisuus, eheys ja k辰ytett辰vyys. Teknisill辰 ja organisatorisilla toimenpiteill辰 tarkoitetaan esimerkiksi henkil旦st旦n koulutusta, ohjeita ja m辰辰r辰yksi辰, salassapitosopimuksia, tilavalvontaa, tietojen salausta, tietojen anonymisointia ja pseudonymisointia, auditointeja, teknisi辰 rajoituksia ja kontrolleja, tarkastus- ja valvontaj辰rjestelmi辰, k辰yt辰nnes辰辰nt旦j辰 ja sertifikaattien k辰ytt旦旦nottoa.
Tiedonhallinta	Tiedonhallinnalla tarkoitetaan tietoaineiston saatavuuden, l旦ydett辰vyyden ja hy旦dynnett辰vyyden varmistamista eri tarkoituksiin l辰pi tiedon elinkaaren. Tiedonhallinta tarkoittaa tietoaineistojen, niiden k辰sittelyvaiheiden ja tietoaineistoihin sis辰ltyvien tietojen hallinnointia riippumatta tietoaineistojen tallentamistavasta ja muista k辰sittelytavoista.
Tiedonhallintamalli	Tiedonhallintayksik旦n (Aalto-yliopisto) toimintaymp辰rist旦n tiedonhallintaa m辰辰rittelev辰 ja kuvaava kuvaus.
Tietojen siirto	Tarkoittaa tietojen siirtoa, joka kuuluu GDPR:n luvun V:n piiriin (堰艶稼一庄鉛旦岳庄艶岳看jen siirrot kolmansiin maihin tai kansainv辰lisille j辰rjest旦ille).

永辰庄厩庄岳艶岳岳霞: 22.1.2026
Julkaistu: 22.1.2026

菜創利