Oheinen jaottelu on lainattu Valtionhallinnon tieto- ja kyberturvallisuuden ohjausryhmän (VAHTI) ohjesivustolta. Otsikointi viittaa VAHTI-raporttiin 1/2016.
Huomioita rekisterinpitäjän velvollisuuksiin löytyy Synergiaryhmän 21-22.11.2017 työpajan materiaalista täältä.
Rekisterinpitäjän velvollisuudet
5.1 Käsittelyn oikeusperusta
Tehtävä: mitä toimintoja on minkäkin alla? onko epäselviä alueita (esim. korkeakoulun ostamat palvelut)?
5.2 Tietosuojan hallinnointi, roolit ja vastuut
- Onko syytä pohtia erikseen käyttöpalvelutilanne, palvelun osto ja oman järjestelmän pyörittäminen omin voimin, vaikka rekisterinpitäjä kaikissa olisi sama eli korkeakoulu?
5.2.1 Tietosuojavastaava
Tietosuojavastaavan nimeäminen ja oikea asema organisaatiossa
Tietosuojavastaavan tehtävänkuva
5.2.2 Tietosuojaorganisaatio
5.2.3 Vuosikello
5.3 Tietosuojariskienhallinta
- Mitä kaikkea tulisi lokittaa? Hetujen katselu, tietojen poistaminen, ... MItä riskejä voidaan tunnistaa jo nyt ja miten niihin voi varautua?
5.3.1 Tietosuojan vaikutustenarvioinnit
5.4 Sisäänrakennettu- ja oletusarvoinen tietosuoja
5.4.1 Tietosuoja järjestelmä- ja sovelluskehityksessä
5.4.2 Tietosuoja hankinnoissa ja projektinhallinnassa
5.4.3 Tiedon elinkaaren hallinta
5.5 Tietoturvallisuuden toteuttaminen
Riskienarviointiprosessi
Turva-arkkitehtuuri
Tietojärjestelmien hankinta, kehitys ja ylläpito
Pääsynhallinta
Omaisuuden ja tiedon hallinta
Päivitysten ja muutosten hallinta
Fyysinen turvallisuus
Henkilöstöturvallisuus
Toimittajien ja sopimusten hallinta (katso myös kohta 5.8 - tässä esimerkiksi turvallisuussopimuksen osana)
Toiminnan jatkuvuuden hallinta
Henkilötietojen käsittelyn valvonta ja seuranta
Tietoturvallisuuden hallinta