Tietoturva

Tietoturvaohje

Omistaja: Tietoturvapäällikkö
Tarkastettu: 21.1.2021

1. Vastuu ja seuraamukset
Tietoturvallisuus perustuu lainsäädäntöön, normiohjaukseen sekä sopimuksiin. Vastuu tietoturvallisuudesta ja siihen liittyvästä osaamisesta kuuluu jokaiselle. Turvallisuus ja tietoturvallisuus kokonaisturvallisuuden osana muodostuvat suurelta osin yksilöiden tekemistä valinnoista erilaisissa arkipäivän tilanteissa. Seuraamuksilta ei välty vetoamalla tietämättömyyteen.

2. Tiedottaminen ja koulutus

• Noudata ammattikorkeakoulun tietoturvaohjeita.
• Hyväksytyt tietoturvaohjeet löytyvät intrasta "Turvallisuus" -> "Tietoturva"
• Samaan paikkaan kerätään myös oheismateriaali sekä linkkikokoelma.

3. Toimitilaturvallisuus

• Pidä kuvallinen henkilökorttisi tai muu sinulle annettu tunniste aina esillä.
• Vieraita ei pääsääntöisesti jätetä ilman valvontaa yksin neuvottelu- tai työtiloihin.
• Huolehdi, ettei neuvottelutiloissa ole esillä tai sinne jää tarpeetonta materiaalia.
• On hyvä noudattaa puhtaan pöydän periaatetta, eli poistuessasi esille ei jää salassa pidettävää materiaalia.

4. Päätelaitteet

• Päätelaitetta (kannettava tietokone, pöytäkone, älypuhelin, tabletti jne.) käytetään yhä useammin maksu- ja tunnistautumisvälineenä. Suojele sitä kuten lompakkoasi.
• Työnantajan luovuttama laite on aina sinun vastuullasi ja tarkoitettu vain sinun käyttöösi.
• Puhelimen näyttölukko kannattaa asettaa päälle, se estää luvattoman käytön.
• Kun poistut työaseman äärestä, työaseman lukitseminen on helppoa "Lippu + L" –näppäilyllä.

5. Käyttöoikeudet ja salasanat

Tietojärjestelmien käyttöön tarvitaan käyttöoikeus. Käyttöoikeus on henkilökohtainen ja se on yhdistetty sinun henkilöllisyyteesi ja työtehtävääsi.

• Järjestelmät tarkistavat käyttöoikeuden kysymällä käyttäjätunnuksen ja salasanan.
• Käyttäjätunnuksen haltija on henkilökohtaisesti vastuussa käyttöoikeuden kautta tehdystä työstä. Pidä salasana vain omana tietonasi, käytä riittävän monimutkaista salasanaa ja vaihda se usein.
• Ammattikorkeakoulun antamaa käyttäjätunnusta/sähköpostiosoitetta ja salasanaa ei saa käyttää internet-palveluihin rekisteröityessäsi tai niitä käyttäessäsi.
• Jos joissain tilanteissa tai järjestelmissä on pakko käyttää yhteiskäyttöisiä tunnuksia, siitä päättää järjestelmän tai tietojen omistaja. Yhteistunnusten käyttö on sallittu vain perustellusti omistajan luvalla.

• ryhmätunnuksen hakija vastaa tunnuksen luovuttamisesta
• ryhmätunnusta saa käyttää vain siihen tarkoitukseen, johon se on myönnetty
• jokainen ryhmätunnuksen käyttäjä on vastuussa tunnuksen käytöstä kuten omasta tunnuksestaankin

6. Tietoaineistojen käsittely

• Mieti, mihin tietoja tallennat. Onko tallennuspaikka ohjeiden mukainen? Päätelaitteeseen tai muistitikulle tallennettu tieto ei ole turvassa.
• Salaisten asiakirjojen ja luottamuksellisen tiedon käsittely vaatii huolellisuutta. Esimerkiksi sähköposti ei sovellu tällaisen materiaalin lähettämiseen. Kiinnitä huomiota asiakirjojen turvalliseen tulostamiseen, säilyttämiseen ja hävittämiseen.
• Huomaa, että luottamuksellisuus ei koske pelkästään asiakirjoja, vaan asioita yleensä. Tietoja ei saa paljastaa puhumalla tai antamalla muiden nähdä pöydällä olevia asiakirjoja ja tietokoneen näyttöä.
• Ole erityisen varovainen työskennellessäsi julkisissa tiloissa ja huomioi, että joku voi nähdä syöttämiäsi tunnuksia tai muita tietoja huomaamattasi tai salakuunnella keskustelujasi.

7. Työvälineiden ja Internetin käyttö

• Käytä työhösi liittyviä tietoaineistoja ja organisaatiosi antamia työvälineitä työtehtäviesi hoitamiseen.
• Työvälineiden yksityinen käyttö on sallittu vähäisessä määrin. Yksityinen käyttö ei kuitenkaan saa haitata järjestelmän muuta käyttöä, eikä olla ristiriidassa annettujen sääntöjen ja ohjeiden kanssa.
• Vältä selaamasta sellaisia www-sivustoja, jotka eivät liity työtehtäviisi. Sivujen kautta saatetaan yrittää siirtää päätelaitteeseesi haitta- tai vakoiluohjelmia.
• Ole varovainen – valitse tarvittaessa "Peruuta", jos www-sivu ei vaikuta luotettavalta ja sivusto ehdottaa tai edellyttää tiedoston lataamista tietokoneellasi!
• Työasemille ei saa asentaa työtehtäviin kuulumattomia ohjelmistoja.
• Käytä vain organisaatiosi ICT-palvelujen luovuttamia muistitikkuja tai muita lisälaitteita.
• Lahjaksi saatuja tai löydettyjä muistitikkuja ei saa liittää päätelaitteeseen.
• ICT-palveluista saa apua ja lisäohjeita.

8. Kaupallinen toiminta tai julistaminen ei ole työvälineiden hyväksyttävää yksittäistä käyttöä

• Työvälineiden kaupallinen käyttö on sallittu vain ammattikorkeakoulun lukuun
• käyttö vaalimainontaan tai muuhun poliittiseen toimintaan on sallittu vain ammattikorkeakouluvaaleissa, opiskelijakunnan toimintaan liittyvien opiskelijajärjestöjen tai ammattiyhdistysten SAMKiin liittyvässä toiminnassa
• käyttö kaikkeen julistavaan toimintaan on kielletty

9. Luvattoman palvelun pystyttäminen on kielletty

Ammattikorkeakoulun tietoliikenneverkkoon saa kytkeä vain ammattikorkeakoulun hyväksymiä laitteita. Ammattikorkeakoulun verkoissa saa tuottaa palveluita vain ammattikorkeakoulun antamalla luvalla.

10. Tietoturvamekanismien ohittaminen on kielletty

Mitään käyttövaltuutta (oikeus käyttää laitetta tai tietojärjestelmää työn suorittamiseen) ei saa käyttää laittomaan tai luvattomaan toimintaan, kuten esimerkiksi tietoturva-aukkojen etsimiseen, oikeudettomaan salauksen purkamiseen, tietoliikenteen kopiointiin tai muuttamiseen tai tietojärjestelmiin tunkeutumiseen.

11. Tietojen urkinta ja käyttäjien harhautus on kielletty

Tietojen kalastelu, hankkiminen oikeudettomasti ja huijaaminen johtavat asian käsittelyyn seuraamusmenettelyssä.

12. Sosiaalinen media

Muista, että aina kun käytät oman työorganisaatiosi laitteita, verkkoa tai sähköpostia, esiinnyt tietoverkossa organisaatiosi edustajana.

• Huomioi, että palvelun ylläpitäjät pääsevät käsiksi kaikkeen palvelussa käsiteltävään tietoon, myös kahdenvälisiin keskusteluihin. Internetverkkoon päätynyttä tietoa voi olla mahdotonta poistaa jälkikäteen.
• Käsittele palveluissa vain sellaista tietoa, jonka käyttöön palvelu on organisaatiossasi hyväksytty (huomioi mikä tieto on julkista, mikä salassa pidettävää).
• Vältä työasioista keskustelua muissa kuin työtehtäviin hyväksytyissä palveluissa tai järjestelmissä. Tämä koskee myös sosiaalisen median käyttöä.
• Omaa yksityistä käyttöä varten kannattaa hankkia oma sähköpostiosoite.

13. Havaitsitko ongelman?

Ilmoita välittömästi havaitsemastasi tietoturvallisuuteen liittyvistä ongelmista, uhkista tai suojauspuutteista tietoturvapäällikölle tai esimiehellesi. Heidän velvollisuutenaan on ryhtyä toimenpiteisiin.

Omistaja: Tietoturvapäällikkö

Tarkastettu: 21.1.2021

YLEISTÄ

Tämä ohje koskee niin kannettavia tietokoneita kuin älypuhelimia ja tablet-laitteita, ja on suunnattu korkeakoulun käyttäjille.
Perusperiaate on, että työnantajan hankkimat laitteet ovat työvälineitä, jotka on tarkoitettu työkäyttöön. Laitteita ei ole tarkoitettu perheenjäsenten tai ulkopuolisen tahon käytettäväksi.
Turvalliseen tietojenkäsittelyyn sekä käyttäjätunnuksen käyttöön liittyvät yleiset ohjeet löytyvät korkeakoulun tietoturvapolitiikasta, käyttösäännöistä, etätyöohjeesta ym. ohjeista, jotka
täydentävät tätä ohjetta ja joihin käyttäjällä on velvollisuus tutustua.

RISKIT

Mobiililaitteen varkaus ja kadottaminen ovat korkeakoululle tietoturvariski, ja johtavat koneella olevan tiedon menetykseen.

Virukset ja muut haittaohjelmat ovat uhka kaikille mobiililaitteille. Korkeakoulun verkkoon tuotu suojaamaton mobiililaite voi altistaa verkon muut laitteet.
Laitteen rikkoontuminen voi johtaa koneella olevan tiedon menetykseen.

Laitteen käyttö julkisella paikalla, esim. lentokentällä tai junassa, mahdollistaa olan takaa tarkkailun, jolloin luottamuksellista tietoa voi joutua ulkopuolisten tietoon.
Julkiset langattomat verkot muodostavat tietosuojariskin, koska tietoliikenne saattaa olla salaamatonta ja muodostaa tällöin urkintariskin.

Kun laite kadotetaan, varastetaan tai rikkoontuu, menetetään laitteen arvo, mutta sen lisäksi tehdyn työpanoksen ja tiedon arvo. Luottamuksellisen tiedon paljastuminen ulkopuolisille voi
johtaa henkilötietorikkomukseen, maineen menetykseen tai muuhun haittaan.

FYYSINEN SUOJAUS

Laite on aina säilytettävä valvotusti tai muutoin lukitussa tilassa. Laitteen jättämistä autoon on vältettävä, ja joka tapauksessa laitetta ei tule jättää näkyville.
Käytettäessä laitetta julkisella paikalla tulee käyttää tietosuojakalvoa tietosuojan varmistamiseksi.

OHJELMALLINEN SUOJAUS

Kaikki mobiililaitteet tulee suojata lyhyellä aikaviiveellä (puhelin ja tabletti <5 min., kannettava tietokone <10 min.) aktivoituvalla lukituksella, ja lukitus tulee aina aktivoida, kun poistutaan laitteen luota.

Puhelimen oletus-PIN-koodi tulee vaihtaa toiseen, ja sekä suojakoodin että PIN-koodin on oltava tarpeeksi varma. Kannettava tietokone suojataan käyttäjän korkeakoulun myöntämällä
käyttäjätunnuksella ja salasanalla. Selainten ei tule sallia tallentaa käyttäjän korkeakoulun myöntämiä kirjautumistietoja.

Laitteissa tulee olla ajantasainen käyttöjärjestelmä ja virustorjuntaohjelmisto tietoturvapäivityksineen.
Puhelimessa ja tabletilla ei tule säilyttää turhia dokumentteja ja sähköposteja, vaan sähköpostiohjelma tulee asettaa synkronoimaan viestit ainoastaan viikon ajalta.

OHJELMISTOJEN, PALVELUJEN JA APPIEN ASENNUS

Kannettavan tietokoneen ohjelmistojen asennus suoritetaan pääsääntöisesti tietohallinnon toimesta. Puhelimeen ja tablettiin saa asentaa ainoastaan luotettavista lähteistä ladattuja sovelluksia ja
palveluja.

Työnantajan hankkimissa laitteissa käsitellään pääasiassa työsähköpostia ja työhön liittyviä tehtäviä ja tietoja. Kyseisillä laitteilla voidaan käsitellä myös yksityistä sähköpostia, koska
näin on helpompi pitää erillään työ- ja yksityisasiat.

KORKEAKOULUN ULKOPUOLISET VERKOT

Laitteen kytkeminen korkeakoulun ulkopuoliseen kiinteään tai langattomaan tietoverkkoon edellyttää aina, että laitteen käyttöjärjestelmä ja virustorjuntaohjelmisto ovat ajantasaiset.
• Kannettava tietokone voidaan liittää työntekijän (kiinteään tai langattomaan) kotiverkkoon, mutta sitä ei tule liittää muihin korkeakoulun ulkopuolisiin kiinteisiin verkkoihin.
• Langattomasti mobiililaitteet tulee ensi kädessä liittää korkeakoulujen laajasti käyttämään eduroam-verkkoon. Muuten on suositeltavaa käyttää muita kuin kaikille avoimia
langattomia verkkoja.
• Laitteen Bluetooth-verkko on suljettava aina kun sitä ei käytetä.
Suorittaessaan työtehtäviä korkeakoulun ulkopuolella, työntekijän on noudatettava korkeakoulun etätyöohjeistusta.

KÄYTTÄJÄN VASTUU LAITTEEN YLLÄPIDOSTA

Kytke laite säännöllisesti korkeakoulun tietoverkkoon. Tietohallinto huolehtii laitteiden ylläpidosta tietoverkon välityksellä, mutta tämä edellyttää, että käyttäjä kytkee laitteen säännöllisesti työpaikan tietoverkkoon, sallii päivitykset ja suorittaa säännölliset uudelleenkäynnistykset.

Käsiteltävä tieto (tiedostot) tulee ensi kädessä tallentaa korkeakoulun pilvipalveluun tai verkkolevylle. Tiedon tallennuksessa on noudatettava korkeakoulun tietosuojaohjeistusta (tiedon
luokittelu).

• Mobiililaitteen tallennustila on rajallinen, joten valokuvat ja videoleikkeet on säännöllisesti siirrettävä muulle tallennusvälineelle.
• Mahdolliset paikalliset työtiedostot on säännöllisesti siirrettävä tai synkronoitava
muulle tallennusvälineelle.
• Ladatut, tilapäiset liite- ja muut tiedostot tulee poistaa säännöllisesti.

Mobiililaitteet, kuten kaikki IT-laitteet, palautetaan aina tietohallintoyksikköön, jossa huolehditaan laitteen tietoturvallisesta päivittämisestä ennen luovuttamista seuraavalle käyttäjälle, tai
laitteen hävittämisestä.

KORKEAKOULUN ULKOPUOLISET LAITTEET

Yllä olevia ohjeita on suositeltavaa noudattaa myös käyttäjän omien laitteiden kohdalla. Mikäli työntekijä käyttää omia mobiili- (tai kiinteitä) laitteita työtehtävien hoitamiseen, myös
näihin pätevät yllä esitetyt vaatimukset ja ohjeet soveltuvilta osin, ja ohjeiden soveltaminen on työntekijän vastuulla.

Mikäli työntekijä käsittelee työsähköpostia tai työhön liittyvää materiaalia laitteella, jota käyttävät myös muut perheenjäsenet, on huolehdittava siitä, että kaikki perheenjäsenet kirjautuvat
ko. laitteelle omin tunnuksin. Työntekijän tulee käyttää laadukasta salasanaa omaan kirjautumiseensa.

Työsähköpostia tai työhön liittyvää materiaalia ei tule käsitellä yleisessä käytössä (kirjastot, nettikahvilat) olevilla laitteilla.

Omistaja: Tietoturvapäällikkö

Tarkastettu: 21.1.2021

YLEISTÄ

Sähköisten asiakirjojen käsittelyssä sovelletaan ammattikorkeakoulussa kirjesalaisuuden, yksityisyyden suojan ja hyvän hallintomenettelyn periaatteita samalla tavalla kuin muussakin
virallisten asioiden hoidossa.

Sähköpostiviestin perillemenosta varmistuminen on lähettäjän vastuulla. Sähköisessä asioinnissa lähettäjä voi varmistua viestin perille saapumisesta viranomaisen lähettämästä kuittauksesta viestin vastaanottamisesta.
Ammattikorkeakoululla on oikeus määrätä, mihin sähköpostia ja tietoverkkoa käytetään, ja käyttöoikeuksia voidaan rajoittaa puhelinsoiton estojen tapaan.

Sähköpostijärjestelmää ei ole tarkoitettu tiedostojen massajakeluun eikä suurten tiedostojen
välittämiseen.

SÄHKÖPOSTIVIESTIEN JA -OSOITTEIDEN MÄÄRITELMÄT SEKÄ KÄSITTELY

Määritelmät ja käyttötarkoitukset

Sähköpostiviestit on tässä säännössä jaettu neljään eri luokkaan sen mukaisesti, millaiseen
osoitteeseen ne liittyvät. Säännössä sekä lähetetyt että vastaanotetut viestit määritellään seuraavasti:
• organisaation sähköpostiviesti on SAMKin organisaatio-osoitteeseen (esim. kirjaamo@samk.fi) liittyvä viesti.
• virkasähköpostiviesti liittyy sekä SAMKin työntekijälle työkäyttöön antamaan henkilökohtaiseen virkasähköpostiosoitteeseen (esim. vili.virta@samk.fi) että työntekijän
työtehtäviin. Opiskelijan esim. SAMKin hallintoelimien tai tutkimustyöryhmien osana toimimiseen liittyvä sähköpostiviesti rinnastetaan virkasähköpostiviestiin.
• henkilökohtainen sähköpostiviesti on SAMKin antamaan sähköpostiosoitteeseen (yleensä sama kuin virkasähköpostiosoite tai opiskelijan sähköpostiosoite) liittyvä henkilökohtainen viesti.
• muu sähköpostiviesti on käyttäjän SAMKin ulkopuoliseen sähköpostiosoitteeseen esim. vili.virta@omakaytto.fi tai vili.virta@muuorganisaatio.fi) liittyvä viesti.

SAMKilla ja sen yksiköillä tulee virallisten asioiden hoitoa ja palveluiden tarjoamista varten olla organisaatio-osoitteet (esim. kirjaamo@samk.fi tai info@samk.fi). SAMKin palveluita
tulee lähestyä ensisijaisesti organisaatio-osoitteiden, eikä yksittäisten työntekijöiden virkasähköpostiosoitteiden kautta.

Sähköpostiosoitteiden julkaiseminen

SAMK julkaisee organisaatio-osoitteet sekä työntekijöidensä virkasähköpostiosoitteet, niiltä osin kuin se on tarpeen palveluiden käytön ja tehtävien hoidon kannalta. Pääsääntöisesti opiskelijan sähköpostiosoitteen julkaiseminen edellyttää opiskelijan suostumuksen. SAMK ei julkaise SAMKin ulkopuolisia sähköpostiosoitteita.

Organisaation sähköpostiviestien käsittely

Jokaiselle organisaatio-osoitteelle nimetään vähintään yksi vastuuhenkilö. Organisaation tulee huolehtia osoitteeseen saapuvien viestien säännöllisestä käsittelystä.
Työntekijän lähettämästä SAMKin vastauksesta tulee ilmetä, että se on lähetetty vastauksena organisaatio-osoitteeseen tulleeseen viestiin. Vastauksessa on myös korostettava tai asetettava
paluuosoite siten, että yhteydenotot jatkossakin tapahtuvat organisaatio-osoitteeseen.

Virkasähköpostiviestien käsittely

SAMK kohtelee virkasähköpostiosoitteella toimitettua viestiä pääsääntöisesti vastaanottajalle osoitettuna henkilökohtaisena viestinä, koska vastaanottaja ei voi estää henkilökohtaisten
viestien saapumista. Työntekijän lähettämästä virkasähköpostiviestistä tulee ilmetä, että sen lähettäjä on viranomainen, ei yksittäinen työntekijä, esim. liittämällä allekirjoitukseen asema ja yksikön nimi.
Mikäli kysymyksessä on hakemus tms. viranomaistoimenpiteitä edellyttävä toimenpide, tulee paluu-osoite asettaa siten tai muistuttaa asiakasta siitä, että jatkoyhteydet hoidetaan organisaatio-osoitteen kautta.
Virkasähköpostiviestejä käsitellään lain viranomaisten toiminnan julkisuudesta (julkisuuslain, 621/1999) edellyttämällä tavalla. Julkisuuslaissa säädetään muun muassa mikä on viranomaisen asiakirja, mitkä ovat salassa pidettävät tiedot ja milloin on oikeus saada tieto asiakirjasta.

Henkilökohtaisten sähköpostiviestien käsittely

Työntekijän henkilökohtaiset viestit tulee erottaa selvästi SAMKille kuuluvista viesteistä. Työntekijän tulee siirtää virkasähköpostiosoitteeseensa tulevat henkilökohtaiset viestit välittömästi omiin kansioihinsa, joiden nimestä yksityisyys on nähtävissä (private, yksityisasiat tms.). Tämä koskee sekä saapuvia että lähteviä viestejä.

Ketjukirjeitä tai massapostituksia ei saa lähettää SAMKin sähköpostipalvelimilla. SAMKin tarve laajaan tiedotukseen yhteisön jäsenille harkitaan tapauskohtaisesti.

Muiden sähköpostiviestien käsittely

SAMKin ulkopuolinen sähköpostiosoite (eli muu osoite kuin @samk.fi tai @student.samk.fi) on yksityisasia, jota ei tässä tarkemmin ohjata. Työntekijä ei saa käyttää SAMKin ulkopuolista sähköpostiosoitetta SAMKiin liittyviin työtehtäviin.

Opiskelijan opiskeluun ja muuhun SAMK -yhteisön osana toimimiseen ei pidä käyttää SAMKin ulkopuolista sähköpostiosoitetta. SAMK voi edellyttää SAMKin sähköpostiosoitteen
käyttöä sähköpostin avulla tapahtuvassa asioinnissa. Muiden kuin tutkinto-opiskelijoiden osalta (ei aina SAMKin antamaa sähköpostiosoitetta) ohjeistetaan erikseen.

ERITYISTOIMENPITEITÄ EDELLYTTÄVÄT VIESTIT

Sähköpostiviestien ja niiden liitetiedostojen rajoittaminen

SAMKlla on oikeus ohjelmallisesti tarkistaa sähköpostiviestit ja niiden liitetiedostot mahdollisten virusten ja muiden haittaohjelmien osalta sekä rajoittaa mahdollisesti haitallisten tai
liian suurien/monilukuisten liitetiedostojen vastaanottamista ja lähettämistä. SAMKlla on oikeus myös poistaa viruksia ja muita haittaohjelmia sisältävät viestit ja liitetiedostot. Ammattikorkeakoulun ei tarvitse tiedottaa yksittäisen viestin suodattamisesta tai tuhoamisesta viestin lähettäjälle. Suodatus tapahtuu sähköpostijärjestelmässä automaattisesti.

Roskapostiviestien käsittely

SAMK suojaa sähköpostipalveluaan ja vähentää roskapostiongelmaa suodattamalla viestit, jotka saapuvat tunnetuista roskapostia välittävistä palvelimista tai jotka luokitellaan roskapostiksi otsikkotietojensa tai automaattisen sisältöanalyysin perusteella. Esto toteutetaan teknisin menetelmin sähköpostipalvelussa. SAMK voi myös tuhota suodatetut viestit käyttäjän puolesta.

SAMKin ei tarvitse tiedottaa yksittäisen roskapostiviestin suodattamisesta tai tuhoamisesta viestinnän osapuolille tai palauttaa tuhottua viestiä lähettäjälle.
Roskapostiin ei pidä vastata, koska näin vain lisätään roskapostin saapumista. Vastaamalla osoittaa sähköpostiosoitteensa toimivaksi, ja se lisätään roskapostittajien osoitelistoille.
Käyttäjä voi ilmoittaa häiritsevästä roskapostista ylläpitohenkilöstölle tai atk-tukihenkilölle. Käytännössä ylläpito voi pyrkiä puuttumaan vain Suomesta lähetettyihin viesteihin.

Perille menemättömän sähköpostiviestin käsittely

Sähköpostiviestin lähettäjällä on vastuu viestin luettavuudesta, viestin perillemenosta, mahdollisen määräajan ylittymisestä ja muista näihin verrattavista seikoista, kunnes hän on saanut
tiedon viestin onnistuneesta perillemenosta.

Mikäli saapuvan viestin osoite ei ole sähköpostijärjestelmän tiedossa, lähetetään viestin lähettäjälle automaattisesti virheilmoitus. Ilmoitus lähetetään lähettäjälle myös, jos vastaanottajan
sähköpostin tilakiintiö on täynnä. Käyttäjät vastaavat itse tilakiintiöstään. Lähetys- ja palautusvelvollisuudet eivät koske haittaohjelmaviestejä eivätkä roskapostia.

Väärään osoitteeseen saapunut sähköpostiviesti

Mikäli käyttäjä saa toiselle henkilölle tarkoitetun sähköpostiviestin, käyttäjällä on vaitiolovelvollisuus ja hyväksikäyttökielto niin viestin sisällöstä kuin olemassaolostakin.
Toiselle henkilölle (esimerkiksi kaimalle) tarkoitettu sähköpostiviesti on ohjattava edelleen oikeaan osoitteeseen, jos osoite on tiedossa. Mikäli osoitetta ei ole tiedossa, on viestin vastaanottajan lähetettävä alkuperäiselle lähettäjälle tieto epäonnistuneesta toimituksesta ja hävitettävä saapunut viesti. Lähetys- ja palautusvelvollisuudet eivät koske haittaohjelmaviestejä eivätkä roskapostia.

SÄHKÖPOSTIN KÄSITTELY ERITYISTILANTEISSA

Sähköpostin uudelleen ohjaaminen

Organisaatiosähköpostin ja Virkasähköpostin välittäminen tai automaattinen ohjaaminen SAMKin ulkopuoliseen sähköpostiosoitteeseen on kiellettyä tietosuojan ja tiedonhallinnan vuoksi.

Sähköpostin saapumisen kuittaaminen

Jos saapuneessa viestissä on kuittauspyyntö, lähetetään kuittausviesti ilman tarpeetonta viivettä. Sähköisessä asioinnissa viranomaisen on viipymättä ilmoitettava sähköisen asiakirjan
vastaanottamisesta lähettäjälle kuittausviestillä.

Automaattiset vastaukset viesteihin

Automaattisten vastausten käyttöä ei suositella. Jos automaattivastaus kuitenkin katsotaan välttämättömäksi (esimerkiksi työntekijöiden pitkät lomat tai virkavapaudet tai palvelussuhteen päättyminen), tulee siinä kehottaa lähettäjää ottamaan yhteyttä ensisijaisesti sopivaan organisaatio-osoitteeseen.

Palvelussuhteen tai opiskeluoikeuden päättyminen

Henkilöstön käyttöoikeus SAMKin antamaan sähköpostiosoitteeseen päättyy palvelussuhteen päättyessä. Opiskelijoiden käyttöoikeus päättyy 30 vrk opiskeluoikeuden päättymisen jälkeen.
SAMKin ulkopuolisten henkilöiden käyttöoikeuksien voimassaolosta vastaa käyttöoikeutta puoltaneen yksikön esimies. Käyttöoikeuden päättymisen jälkeen SAMK ei ota vastaan henkilölle lähetettyjä viestejä vaan ilmoittaa automaattisesti lähettäjälle osoitteen toimimattomuudesta.

Ennen palvelussuhteen päättymistä työntekijän tulee ilmoittaa viestintäkumppaneilleen sähköpostiosoitteensa poistumisesta ja poistaa henkilökohtaiset viestinsä. Muut viestit jäävät ammattikorkeakoulun haltuun. Jos työntekijä lakkaa hoitamasta tehtäviään jo ennen työsuhteen päättymistä, tulee sähköpostin vastaanotto estää jo siinä vaiheessa. (Automaattisista vastauksista katso luku 4.3.)

Ennen käyttöoikeuden päättymistä on opiskelijan vastuulla ilmoittaa viestintäkumppaneilleen sähköpostiosoitteensa poistumisesta ja poistaa viestinsä.

Menettelysäännöt työntekijän ollessa väliaikaisesti poissa

Kun kyse on ennakoidusta poissaolosta, työntekijän ja esimiehen on huolehdittava työntekijän sähköpostin asianmukaisesta hoidosta. Suositeltavin tapa on postilaatikon lukuoikeuden antaminen tehtäviä poissaolon aikana hoitavalle henkilölle pääsyoikeuslistojen avulla. (Automaattisista vastauksista katso luku 4.3.)

SAMKilla on oikeus lain yksityisyyden suojasta työelämässä (759/2004, 18-20§) asettamissa rajoissa saada käyttöönsä SAMKille kuuluvat, sen toiminnan jatkumisen kannalta välttämättömät viestit työntekijän ollessa estyneenä. Työntekijälle virkasähköpostiosoitteella lähetettyjen tai tämän lähettämien viestien sekä selville saaminen että niiden avaaminen perustuu ensisijaisesti työntekijän suostumukseen sekä siihen että työntekijän luottamukselliset henkilökohtaiset viestit ovat erotettavissa SAMKille selvästi kuuluvista viesteistä. (viestien erottelusta ks. luku 2.5).
SAMK Sähköpostisäännöt 5(5)

Mikäli työntekijä ei ole antanut toiselle työnantajan hyväksymälle henkilölle suostumusta, että tämä saa etsiä ja avata työntekijän poissa ollessa tämän sähköpostiviesteistä työnantajalle
kuuluvat viestit, tai vakavan sairauden takia häneltä ei voida suostumusta saada, voi rehtori määrätä henkilön esimiehen postipalvelimen pääkäyttäjän avulla selvittämään ja avaamaan
työntekijän poissa ollessa yllä määritellyt virkasähköpostiviestit. Viestien etsinnän ja avaamisen syy, siihen osalliset ja ajankohta sekä kenelle avatusta viestistä on annettu tieto, on kirjattava ja ilmoitettava ilman aiheetonta viivytystä työntekijälle.

Sähköpostien arkistointi
Organisaation sähköpostiviestejä ja virkasähköpostiviestejä käsitellään ja ne arkistoidaan tarvittaessa tiedonohjaussuunnitelmassa ilmenevällä tavalla.

SÄHKÖPOSTIVIESTIN SALAUS JA TODENTAMINEN

Käyttäjällä on oikeus salata sähköpostiviestinsä salausmenetelmää käyttäen. Salassa pidettäviksi tai osittain salassa pidettäviksi luokiteltuja asiakirjoja ei saa lähettää sähköpostilla.
Muita kuin julkisia tietoja ja julkisia henkilötietoja sisältäviä asiakirjoja ei tule siirtää sähköpostina tai muuna tietoverkon yli tapahtuvana tiedonsiirtona ilman salausta.

Salassa pidettäviä henkilö- ja muita tietoja voidaan kuitenkin siirtää sähköisesti, mikäli tiedon salaukseen käytetään riittävän vahvoja salausalgoritmeja tai koko tiedonsiirtoväylää voidaan
pitää riittävän turvallisena. Tämä tarkoittaa, että henkilötietoja sisältäviä posteja voi lähettää @samk.fi ja @student.samk.fi –osoitteisiin. SAMKin ulkopuolelle lähetettävistä sähköposteista ohjeistetaan erikseen.
Käytettävien salausohjelmien tulee organisaatio- ja virkasähköpostiviestien osalta olla SAMKin hyväksymiä ja käyttöönottamia.
Sähköpostilla vastaanotetun asiakirjan oikeellisuus ja aitous on tarvittaessa varmistettava.
Jos virkasähköposti on salattu siten, että vain vastaanottaja voi avata sen, se on avattava välittömästi siirron jälkeen ja tallennettava SAMKin asianhallintajärjestelmään. Tarvittaessa viesti
voidaan salata uudestaan siten, että se on muidenkin asian käsittelijöiden avattavissa. Velvollisuus ei koske haittaohjelmia sisältäviä viestejä eikä roskapostia.

NÄIDEN SÄÄNTÖJEN VALVONTA

Näiden sääntöjen valvonnasta vastaavat SAMKin ICT-palvelut, muiden SAMKin yksiköiden mahdollisten sähköpostipalvelinten omistajat sekä työnjohdollisesti esimiehet. Sääntörikkomusten käsittely tapahtuu seuraamuskäytännön mukaisesti. Sääntöjä päivitetään tarvittaessa tai SAMKin yhteisen sääntösuosituksen muuttuessa. Päivitystarvetta seuraa tietoturvapäällikkö.

Omistaja: Tietoturvapäällikkö

Tarkastettu: 21.1.2021

YLEISTÄ

Tässä ohjeessa täsmennetään, miten tietoturva- ja tietosuojarikkomuksiin puututaan Satakunnan ammattikorkeakoulussa.

Tämä ohje on julkinen ja sen tulee olla julkisesti saatavilla.

Lainsäädäntö edellyttää palveluista vastuussa olevan valvomaan asiakastietojen käyttöä ja ryhtymään toimenpiteisiin, jos joku on lainvastaisesti käsitellyt henkilötietoja.
Suurinta osaa tiedoista käsitellään nykyisin sähköisesti, joten jälkikäteisvalvonnalla voidaan todentaa väärinkäytöksiä huomattavasti tehokkaammin ja yksiselitteisemmin kuin paperiaikana.
SAMKilla on useita pysyväismääräyksiä ja ohjeita, joiden sisällössä on velvoitteita tietoturvasta ja tietosuojasta huolehtimiseen. Esimiehien pitää raportoida tietosuojavastaavalle tai
omalle esimiehelleen, mikäli he havaitsevat väärinkäytöksiä.

PROSESSI

Rikkeisiin puututaan henkilöstösuunnitelmassa esitetyn esimiesten puuttumisen kulttuurin työkalupakin mukaisesti. Heräte seuraamuskäytännön prosessille tulee tietoturvarikkomusten
käsittelyn prosessista.

Olennaisia asioita ovat
• arvion tekeminen rikkomuksen vakavuudesta
• mahdollinen välitön käyttöoikeuksien rajoittaminen
• kutsu kuulemistilaisuuteen
• kuuleminen o Esimies, tietosuojavastaava, henkilö ja henkilön mahdollisesti kutsumana
luottamusmies tai työsuojeluvaltuutettu
• rikkomuksen tahallisuuden arvio (ja mahdollinen vakavuuden muutos).

Puhuttelu tehdään heti, jos seuraamus on puhuttelua vakavampi, asia viedään eteenpäin rehtorille. Mahdollisen rikosilmoituksen tekee tietoturvapäällikkö

	TIETOSUOJAPOLITIIKKA		Omistaja: Tietosuojavastaava Tarkastettu: 15.1.2021
	Periaatteet Henkilötiedolla tarkoitetaan kaikkia suoraan tai epäsuorasti  tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Henkilötietoja käsitellään huolellisesti, eettisesti sekä lainsääntöä ja sisäisiä ohjeita noudattaen. Lähtökohtana on avoimuus rekisteröityjä kohtaan. Henkilötietoja käsitellään vain yhdessä sovituilla menettelyillä ja tietojärjestelmillä. Henkilötietojen käsittelyn dokumentoinnin avulla pystytään myös osoittamaan, että olemme toimineet oikein. Tietosuoja otetaan huomioon jo palveluiden, prosessien ja järjestelmien suunnitteluvaiheessa. Tietosuoja on mukana myös tietojärjestelmien kilpailutuksessa. Käytämme luotettavia palveluita ja järjestelmiä. SAMK on tietosuoja-asioissa aktiivisesti mukana korkeakouluyhteistyössä. Hyvin toteutettu henkilötietojen käsittely edesauttaa organisaation tehokasta toimintaa, kun henkilöstö tietää, miten henkilötietoja pitää käsitellä.
Tietosuojaperiaatteet ovat: Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys Käyttötarkoitussidonnaisuus Tietojen minimointi Tietojen täsmällisyys Tietojen säilytyksen rajoittaminen Tietojen eheys ja luottamuksellisuus Rekisterinpitäjän osoitusvelvollisuus Erityisiä (arkaluonteisia) henkilötietoja käsitellään vain laissa erikseen määritellyissä tilanteissa. Tällöin käsittelyssä noudatetaan erityistä huolellisuutta. Mahdollisuuksien mukaan henkilötietoja sisältävä aineisto anonymisoidaan tai pseudonymisoidaan. Jokaiselle henkilörekisterille on määritelty vastuuyksikkö ja yhteyshenkilö, jotka vastaavat rekisterikohtaisiin yhteydenottoihin. Rekisteröidyllä on oikeus pyytää pääsy häntä itseään koskeviin henkilötietoihin, oikeus pyytää käsittelyn rajoittamista, tietojen oikaisemista tai (tietyin rajoituksin) poistamista tai vastustaa käsittelyä. Rekisteröidyllä on myös oikeus tehdä valitus valvovalle viranomaiselle.
	Vastuut ja organisointi Tietosuojasta vastaa ylin johto. Nimetty tietosuojavastaava raportoi tietosuoja-asioista suoraan ylimmälle johdolle. Tietosuojavastaavan tehtävinä on mm. tietosuojaan liittyvien asioiden valvonta, neuvonta ja kehittäminen. Tietosuojavastaava on myös kontaktihenkilönä valvovan viranomaisen suuntaan. Tietosuojavastaava on tehtävässään riippumaton. Tietosuojavastaavalla on apunaan tietosuojaryhmä. Tietosuojaryhmän henkilöt havainnoivat oman toiminta-alueensa henkilötietojen käsittelyä, tarvittaessa opastavat ja raportoivat havainnoistaan tietosuojavastaavalle. Tietoturvapäällikkö vastaa tietoturvallisuuden kehittämisestä ja seurannan toteuttamisesta sekä tietoturvallisuutta koskevasta ulkoisesta yhteistyöstä. Esimiesten tulee valvoa, että henkilöstö noudattaa tietoturvasta ja tietosuojasta annettuja määräyksiä ja ohjeita.Jokaisen työntekijän tulee tuntea ja hallita oman vastuualueensa tietosuojasääntely ja -riskit.	Henkilötietojen elinkaari Henkilötietojen käsittelylle määritellään oikeusperusta ennen käsittelyn aloittamista. Samoin henkilötietojen käsittelylle tehdään riskianalyysi. Mikäli henkilötietojen käsittelyyn todennäköisesti kohdistuu korkea riski, tehdään tietosuojaa koskeva vaikutustenarviointi. Erityisen tärkeää tämä on silloin, kun otetaan käyttöön uutta teknologiaa tai käsitellään rikkomuksia tai erityisiä henkilötietoja. Henkilötietoja luovutetaan EU / ETA -alueen ulkopuolelle ainoastaan poikkeustapauksissa. Tällöin luovutuksen perusteet käydään läpi etukäteen tietosuojavastaavan kanssa. Henkilötietojen käsittelyä ja tietojärjestelmien käyttöä seurataan ja havaittuihin ongelmiin puututaan. Tiedonohjaussuunnitelmaan kuvataan tietojen säilytysajat. Tarpeettomat henkilötiedot tuhotaan tietoturvallisesti. Henkilökunnan ja opiskelijoiden tulee pitää henkilötietonsa ajan tasalla SAMKin järjestelmissä.
Viestintä, tiedottaminen ja koulutus Tietosuoja sisäänrakennetaan ohjeisiin. Tämän lisäksi käytössä on omia henkilötietojen käsittelyyn suunniteltuja erityisiä ohjeita. Tietosuojan tiedotuskanavina ovat julkiset www-sivut, intran sivut ja tietosuojavastaavan tiedotteet. Tietosuojakoulutuksen todennetaan itsenäisesti tehtävällä Moodle-koulutuksella. Tietosuojaan liittyvät asiat ja koulutukset käydään läpi uusien työntekijöiden perehdyttämisprosessissa. Tietosuoja-asiat ovat mukana myös kehityskeskusteluissa. Jokaisesta henkilörekisteristä toteutetaan lainsäädännön edellyttämä rekisteröityjen informointi.		Raportointi ja seuranta Tietosuoja-asioiden raportointi ja seuranta tapahtuu tietosuojavastaavan vuosikellon mukaisesti. Tietosuojaan liittyvistä tapahtumista kerätään erillinen tapahtumaloki. Vuosittain laaditaan tietotilinpäätös.