Cloudpointin blogi

Log4j-haavoittuvuus ja opetuksen järjestäjän vastuu tietosuojasta

Kirjoittanut Pasi Hakkarainen | 4.1.2022 11:07:04

Tietosuojavaltuutetun toimisto julkaisi tiedon, että rekisterinpitäjän eli opetuksen järjestäjän on ilmoitettava Log4j-komponentin haavoittuvuudesta johtuvista tietoturvaloukkauksista tietosuojavaltuutetun toimistolle, jos hyökkäys vaarantaa henkilötietoja. Lisätietoja löydät tietosuojavaltuutetun toimiston Log4j-haavoittuvuustiedotteesta sekä Kyberturvallisuuskeskuksen varoituksesta 5/2021, jonka mukaan haavoittuvuus on aktiivisen hyväksikäytön kohteena.

Miten opetuksen järjestäjä voi varmistaa tietosuojan Log4j-haavoittuvuuden aikana?

Opetuksen järjestäjä varmistaa tietosuojan ja lakisääteisen raportoinnin kartoittamalla kaikki käytössä olevat digitaaliset palvelut sekä varmistamalla, että tietosuojasopimukset (DPA) ovat voimassa. Cloudpointin Luuppi-tietosuojapalvelu tarjoaa tähän helpon, ajantasaisen ja asiantuntevan tavan, joka kattaa jo 34 prosenttia Suomen perusopetuksen oppilaista. Palvelu auttaa viranhaltijoita tekemään turvallisia ja riskittömiä päätöksiä arjessa.

Miksi digitaalisten palvelujen tietoturvan hallinta on juuri nyt kriittistä?

  • Tiedonkulun varmistaminen: Jos digitaalisten palveluiden tietosuojasopimukset (DPA) ovat allekirjoittamatta henkilötietoja käsittelevien palveluiden osalta, digitaalisen palvelun toimittaja ei voi ilmoittaa opetuksen järjestäjälle tietoturvan haavoittuvuuksista.
  • Lakisääteinen valvontavastuun täyttäminen: Opetuksen järjestäjän velvollisuus on valvoa opetuksessa käytettävien digitaalisten palvelujen tietosuojaa ja olla tietoinen haavoittuvuuksista, jotta niistä raportointi tietosuojavaltuutetulle on mahdollista.
  • Ajantasaisen tilannekuvan ylläpito: Jos rekisterinpitäjällä ei ole järjestelmällistä tietoa siitä, mitkä digitaaliset palvelut käsittelevät henkilötietoja, TSV:n ohjeistuksen mukaisia velvoitteita on mahdotonta täyttää.

Ota avuksi asiantunteva Luuppi-tietosuojapalvelu

Kun opetuksen digitaaliset palvelut on arvioitu Luuppi-tietosuojapalvelun avulla ja sopimukset henkilötietojen käsittelystä ovat kunnossa, palveluntarjoaja pystyy toimimaan tietosuojalainsäädännön mukaisesti ja tiedottamaan rekisterinpitäjää mahdollisista riskeistä.

Luuppi-tietosuojapalvelussa Cloudpoint tarkastaa jokaisen digitaalisen palvelun yksilöllisesti ja antaa siitä kirjallisen lausunnon. Tämän ansiosta opetuksen järjestäjän viranhaltijat voivat tehdä riskienhallinnan näkökulmasta mahdollisimman turvallisia ja hallintokelpoisia päätöksiä.

Ota yhteyttä Cloudpoint-asiantuntijoihin

Yhteistyöterveisin,
Cloudpoint Oy
Pasi Hakkarainen
Liiketoimintajohtaja
Näytä koko julkaisu