Löydät tältä sivulta kootusti tietoa tietosuojasta ja tietoturvasta KOSKI-palvelussa sekä tietosuojaselosteella mainitut lomakepohjat. 

Linkit:

Lomakkeet ja linkit:


Tietosuojaseloste

EU:n tietosuoja-asetuksen 2016/679 (GDPR) mukaiset tietosuojaselosteet / tiedonannot löytyvät Opintopolun verkkosivuilta. Löydät alta linkit selosteisiin sekä selosteella mainittuja, ladattavia lomakepohjia.

KOSKI-palvelu

KOSKI-palvelun tietosuojaseloste:
https://opintopolku.fi/konfo/fi/sivu/koski-palvelun-tietosuojaseloste

Lomakkeet

Oikeus vaatia tiedon korjaamista

Löydät alta tietosuojaselosteella kohdassa 'Oikeus vaatia tiedon korjaamista' mainitun lomakepohjan.

Oikeus tietojen poistamiseen | Ilmoitus suostumuksen peruuttamisesta

Tietosuojaselosteella on kuvattu rekisteröidyn oikeus peruuttaa antamansa suostumus vapaan sivistystyön vapaatavoitteisen koulutuksen, osaamismerkin tai taiteen perustopetuksen tietojen tallentamisesta. Suostumuksen peruuttaminen voidaan tehdä ilmoittamalla suostumuksen peruuttamisesta Opetushallitukselle joko kirjautuneena Oma Opintopolku-palveluun, missä suostumus on mahdollista perua Omat Opintosuoritukseni -osiosta kyseisen koulutuksen tai osaamismerkin suoritustietojen yhteydestä löytyvästä Peruuta suostumus- linkistä. Toiminnon käyttö poistaa kyseiset suoritustiedot pysyvästi, eikä tietoja ole mahdollista tämän jälkeen palauttaa. 

Ilmoita suostumuksen peruutuksesta Oma Opintopolku-palvelussa:
https://opintopolku.fi/oma-opintopolku/

Vaihtoehtoisesti ilmoituksen voi tehdä kirjallisesti toimittamalla tällä alta ladattavissa olevan lomakkeen täytettynä Opetushallitukselle osoitteeseen KOSKI-palvelu / Opetushallitus, PL 380, 00531 Helsinki tai sähköpostitse rekisterinpitäjän sähköpostiosoitteeseen. Löydät rekisterinpitäjän yhteystiedot lomakkeelta sekä tietosuojaselosteelta. 

Muun kuin säännellyn koulutuksen rekisteri

EU:n tietosuoja-asetuksen 2016/679 (GDPR) mukainen tietosuojaseloste / tiedonanto:

Jatkuvan oppimisen ja työllisyyden palvelukeskuksen hankkiman muun kuin säännellyn koulutuksen rekisterin tietosuojaseloste:
https://opintopolku.fi/konfo/fi/sivu/tietosuojaseloste-muun-kuin-saannellyn-koulutuksen-rekisteri

Lomakkeet

Oikeus vaatia tiedon korjaamista

Löydät alta tietosuojaselosteella  kohdassa 'Oikeus vaatia tiedon korjaamista' mainitun lomakepohjan.

Käyttäjähallinta ja tietosuoja

Opetuksen ja koulutuksen järjestäjällä ja oppilaitoksen ylläpitäjällä on velvollisuus järjestää toimintansa niin, että rekisteriin tallennettavia tietoja käsitellään tietosuojalainsäädännön mukaisesti. Käyttäjäoikeuksia KOSKI-palveluun tulee myöntää vain sellaisille virkailijoille, joiden työtehtävien hoitamisen kannalta on tarpeellista käsitellä rekisteriin tallennettavia tietoja rekisterinpitäjän tehtävien hoitamiseksi: tietojen tallentamiseksi ja tietojen oikeellisuuden tarkastamiseksi ja ylläpitämiseksi. Käyttöoikeuksien myöntämisessä tulee pyrkiä rajaamaan käyttöoikeudet aina vain sille tasolle, kun se on tietoja käsittelevän henkilön työtehtävien hoitamisen kannalta on tarpeellista.

Lue lisää:
KOSKI-palvelun käyttäjähallinta ja tietosuoja

Tietojen käyttö ja säännönmukaiset luovutukset

KOSKI- luovutuspalvelun avulla voidaan luovuttaa eri rekistereihin tallennettuja tietoja siten, kuten laissa valtakunnallisissa opinto- ja tutkintorekistereissä on säädetty. Löydät alla olevasta linkistä lisätietoa luovutuspalvelusta; rekistereistä ja tietovarannoista, joita luovutuspalvelu hyödyntää, sekä tahoista, joille tietoja luovutetaan.

Lue lisää:
KOSKI-tietojen käyttö ja säännönmukaiset luovutukset



Dataskyddsbeskrivning

KOSKI-tjänsten

Dataskyddsbeskrivning av KOSKI-tjänsten:
https://opintopolku.fi/konfo/sv/sivu/dataskyddsbeskrivning-for-koski-tjansten

Blanketter

Rätt att kräva rättelse av uppgifter
Rätt till radering | Anmälan av återkallelse av givet samtycke

Återkallelse av samtycket sker genom att man anmäler detta till Utbildningsstyrelsen antingen via Min Studieinfo-tjänsten på adressen https://koski.opintopolku.fi/koski/ eller skriftligen genom att fylla i denna blankett och skicka den till Utbildningsstyrelsen på adressen KOSKI-tjänsten / Utbildningsstyrelsen, PB 380, 00531 Helsingfors eller via e-post.

Logga in till Min Studieinfo:
https://opintopolku.fi/oma-opintopolku/

Register över annan än reglerad utbildning

Dataskyddsbeskrivning för registret över annan än reglerad utbildning som Servicecentret för kontinuerligt lärande och sysselsättning anskaffat:
https://opintopolku.fi/konfo/sv/sivu/dataskyddsbeskrivning-for-registret-over-annan-an-reglerad-utbildning

Blanketter

Rätt att kräva rättelse av uppgifter

Blankett: 

Användaradministration och dataskydd

Användarrätter till KOSKI-tjänsten bör beviljas endast till sådana personer som på basis av sina arbetsuppgifter behöver kunna behandla uppgifter som lagras i registret för att sköta personuppgiftsansvariges uppgifter: för att lagra uppgifter och kontrollera och upprätthålla uppgifternas korrekthet.

Läs mer:
KOSKI-tjänstens användaradministration och dataskydd



Yleiset lähtökohdat

Kaikkia KOSKI-palveluun luotavia tunnuksia määrittelee OPH:n käyttövaltuuspolitiikka, joka määrittelee tunnusten myöntöperusteet, poistoperusteet ja salasanakäytännöt. Kaikki tunnukset ovat henkilökohtaisia ja ne on roolitettu, jotka määrittelevät mitä tietoja ja toimintoja KOSKI-palvelussa voi nähdä tai tehdä. Kaikki tietojen haku ja muokkaus lokitetaan. KOSKI-palvelua käyttäviä virkailijoita velvoittaa palvelun käyttöpolitiikka- ja tietoturvaohjeet. Automaattisilla tiedonsiirroilla KOSKI-palveluun opiskelutietoja siirtävien oppilashallintojärjestelmätoimittajien kanssa tehdään turvallisuussopimukset, sekä tietoja käyttävien viranomaisten kanssa tehdään palvelusopimus, joissa käydään tietoturvat, politiikat, tietosuojat ja käyttötarkoitukset läpi.

Ennen käyttöönottoa KOSKI-palvelulle suoritetaan tietoturva-auditointi, ja niitä tullaan tekemään myöhemmin tuotantokäytön aloituksen jälkeen.


KOSKI-palvelun merkittävimmät tunnistetut tietoturvauhat ja niihin suojautuminen


1. Tietovuodot


Uhat

- Henkilötiedot vuotavat isona massana
- Arkaluonteisia henkilötietoja vuotaa
- Yksittäisen oppijan henkilötiedot vuotavat

Suojautuminen

Kaikki Internetissä kulkeva KOSKI-palvelun liikenne on salattu. KOSKI-palvelun käyttöoikeudet rajaavat tietojen näkymistä vain niille joilla on oikeus pyydettyyn tietoon: kansalainen näkee vain omat tietonsa, oppilaitosten virkailijat näkevät vain oman organisaationsa tiedot, viranomaiset näkevät tiedot siltä osin kuin heidän tehtäviensä hoito sitä edellyttää. Kansalaisen kirjautuminen palveluun katselemaan omia tietojaan tapahtuu vahvalla tunnistautumisella. Kansalaisella on mahdollisuus saada tietoon, kuka on katsonut hänen tietojaan ja milloin. Oppilaitosten virkailijoiden käyttöoikeus on voimassa vain määräajan, ja käyttöoikeusmääriä seurataan oppilaitoksittain. 

Viranomaisten käyttämät KOSKI-palvelun massahaku-toiminnot on suojattu OPH:n allekirjoittamalla, viranomaiskohtaisella sertifikaatilla, sekä kyselyt sallitaan vain tunnetuista osoitteista. Kaikki tehtävät kyselyt sekä toimenpiteet lokitetaan, ja asiaton pääsy tuotantopalvelimille estetään (esimerkiksi pääsy palvelimille edellyttää salausavainten käyttöä). KOSKI ei tallenna lokeihin henkilöiden arkaluonteista tietoa, kuten henkilötunnusta. Uusien sovellusversioiden yhteydessä tehdään aina käyttöoikeuslogiikan automatisoitu testaus, jolla varmistetaan että tehdyt muutokset eivät ole vaikuttaneet tietojen näkymiseen.

 

2. Opiskelutietojen virheellisyys


Uhat

- Opiskelutietoja väärennetään/muutetaan hyötymistarkoituksessa
- Tiedot eivät ole eheitä
- Oppilaitoksesta lähetetään väärää tietoa


Suojautuminen
 

KOSKI seuraa oppilashallintojärjestelmän tiedonsiirroissa käyttämää lähdeosoitetta ja antaa hälytyksen mikäli se muuttuu aiemmasta. Oppilaitosten integraatiosalasana voidaan nollata pääkäyttäjän toiminnoin, salasanalle asetetaan laatuvaatimukset ja se täytyy vaihtaa määräajoin. KOSKI seuraa integraatioiden tunnistautumista, sekä lokittaa ja tarvittaessa hälyttää epäonnistuneista kirjautumisia.

Pääsyä KOSKI-palvelun tuotantotietokantaan rajoitetaan tietyille palvelimille, tietokantatunnuksen ovat henkilökohtaiset, ja niiden käyttöä lokitetaan. Tietokannan kirjoitusoikeudet annetaan vain sovellukselle ja käyttö tapahtuu kirjaston kautta joka estää suorien kyselyiden tekemisen ns. SQL -injektion kautta. Kaikkien syötteiden syntaksi ja semantiikka tarkistetaan ennen tallennusta, sekä tietokannassa oleva versiohistoria validoidaan säännöllisesti.  KOSKI säilyttää oppijan opiskelutietoihin tehdyistä muutoksista muutoslokin, josta selviää minkälainen muutos on tehty, milloin, ja kenen toimesta.

Kansalainen voi tarkistaa omat tietonsa KOSKI-palvelussa, ja raportoida mikäli näkee virheen omissa opintosuoritustiedoissaan.

 

3. Palvelun tekniset ongelmat


Uhat

- KOSKI ei ole saatavilla
- Liitännäisille sisäisille/ulkoisille järjestelmille aiheutuu kuormitusta
 

Suojautuminen

KOSKI-palvelun suorituskykylokia seurataan jatkuvasti, ja mahdollisiin ongelmatilanteisiin pyritään reagoimaan ennakoivasti. KOSKI-palvelun käyttämiä ulkoisten palveluja muokataan niin että ne kestävät kuormituksen (esimerkiksi henkilöpalvelun indeksointi). Ulkoisten palvelujen käytössä käytetään välimuistiratkaisua, jota voidaan hyödyntää mahdollisissa palvelunestotilanteissa.

Kaikkien KOSKI-palvelun käyttämien komponenttien tietoturva varmistetaan, ja niiden haavoittuvuuksia seurataan automaattisesti. Uusien sovellusversioiden yhteydessä tehtävät ohjelmistomuutokset vertaiskatselmoidaan.