Työterveyslaitoksen sähköisten palveluiden tiedonsuojauksen periaatteet
Työterveyslaitoksen sähköisten palveluiden sisältämien tietojen käsittelyssä noudatetaan Työterveyslaitoksen tietoturvapolitiikkaa.
Sähköisten palveluiden, järjestelmän ja sen sisältämien tietojen käyttö edellyttää käyttäjätunnusta ja salasanaa. Kullakin käyttäjällä on oma henkilökohtainen käyttäjätunnus. Salasanalle on asetettu muotovaatimukset estämään heikkojen salasanojen käyttö. Järjestelmä voi edellyttää käyttäjätunnuksen vaihtamista määrävälein. Työterveyslaitos voi edellyttää salasanan vaihtoa tietoturvasyistä.
Asiakkaan tietojen tai Asiakkaan käyttäjien tietojen käyttöoikeus on vain niillä Työterveyslaitoksen palveluksessa olevilla henkilöillä, jotka tarvitsevat tietoja työtehtäviensä hoitamiseksi. Työterveyslaitoksen työntekijöitä sitoo salassapito- ja vaitiolovelvollisuus soveltuvien lakien ja työsopimuksen yhteydessä tehdyn salassapitositoumuksen mukaisesti. Tietojen käsittely tapahtuu Työterveyslaitoksen työtiloissa, joissa on kulunvalvonta ja liikkumista valvotaan kulkuluvilla, sekä suojattujen etäyhteyksien kautta.
Lisäksi käyttöoikeus Työterveyslaitoksen palveluiden toteuttamiseksi on sellaisilla Työterveyslaitoksen käyttämillä alihankkijoilla, joiden kanssa Työterveyslaitos on sopimussuhteessa ja jotka osallistuvat palveluiden tuotantoon tai ylläpitoon. Alihankkijan työntekijöitä sitoo salassapito- ja vaitiolovelvollisuus soveltuvien lakien ja sopimusehtojen mukaisesti.
Järjestelmän kehitys ja tekninen ylläpito hankitaan kilpailutetulta toimittajalta. Toimittajan nimetyille työntekijöille annetaan pääsy järjestelmään kehitys- ja ylläpitotehtävien toteuttamiseksi.
Toimittajalta edellytetään asianmukaiset suojaus-, varmistus ja kulunvalvontamenettelyt sekä tietoturvaosaaminen. Kaikki toimittajat on sidottu salassapitovelvoitteisiin myös sopimusehdoin.
Mikäli tietoja käytetään Työterveyslaitoksen tutkimustarkoituksiin, muutetaan tiedot tunnistamattomaan muotoon siten, että niistä ei voida tunnistaa yksittäistä henkilöä tai organisaatiota edes välillisesti.
Järjestelmä hyödyntää Amazon Web Services –palveluinfrastruktuuria. Tiedot tallennetaan Amazonin Irlannissa sijaitsevassa palvelukeskuksessa, jonka tietoturvakuvaus löytyy: https://aws.amazon.com/security/
Tiedot suojataan tahalliselta ja tahattomalta tuhoutumiselta ja varmuuskopioidaan säännöllisesti. Tietojen eheys suojataan teknisen ylläpitotietojen ja tapahtumatietojen kautta.
Teknistä tietoa loki- ja tapahtumatietoa voidaan kerätä ja käyttää järjestelmän teknisen käytettävyyden ja eheyden ylläpitoon ja varmistamiseen.
Tietojärjestelmä on suojattu palomuurilla järjestelmän ulkopuolisia yhteydenottoja vastaan. Järjestelmän sisäiset yhteydet ja palvelimet on lisäksi suojattu muin teknisin keinoin.