EU:n tietosuoja-asetuksen 2016/679 (GDPR) mukainen tietosuojaseloste / tiedonanto:
- KOSKI- palvelun tietosuojaseloste | Dataskyddsbeskrivning av KOSKI-tjänsten
- Jatkuvan oppimisen ja työllisyyden palvelukeskuksen hankkiman muun kuin säännellyn koulutuksen rekisterin tietosuojaseloste | Dataskyddsbeskrivning för registret över annan än reglerad utbildning som Servicecentret för kontinuerligt lärande och sysselsättning anskaffat
- Rekisteritietojen tarkastuslomake (ks. ylempää KOSKI-palvelun tietosuojaseloste) | Kontrollbegäran blankett (se dataskyddsbeskrivning av KOSKI-tjänsten)
- Rekisteritietojen korjauslomake (docx) | Rättelsebegäran blankett (docx)
- KOSKI-tietojen käyttö ja säännönmukaiset luovutukset
- KOSKI-määräykset
- Kansalaisen kirjautuminen Oma Opintopolku-palveluun: http://koski.opintopolku.fi
- Kansalaisen ilmoituslomakkeet vapaan sivistystyön tai taiteen perusopetuksen suoritustietojen tallentamiseen annetun suostumuksen perumisesta. Huomaathan, että voit myös ilmoittaa suostumuksen perumisesta myös kirjautumalla Oma Opintopolku-palveluun.
Vapaan sivistystyön opiskelijan ja huoltajan ilmoituslomake suostumuksen peruuttamisesta.pdf | Anmälan om återkallelse av givet samtycke inom det fria bildningsarbetet.pdf
Taiteen perusopetuksen oppilaan ja huoltajan ilmoituslomake suostumuksen peruuttamisesta.pdf | Anmälan om återkallelse av givet samtycke i grundläggande konstundervisning.pdf
Yleiset lähtökohdat
Kaikkia KOSKI-palveluun luotavia tunnuksia määrittelee OPH:n käyttövaltuuspolitiikka, joka määrittelee tunnusten myöntöperusteet, poistoperusteet ja salasanakäytännöt. Kaikki tunnukset ovat henkilökohtaisia ja ne on roolitettu, jotka määrittelevät mitä tietoja ja toimintoja KOSKI-palvelussa voi nähdä tai tehdä. Kaikki tietojen haku ja muokkaus lokitetaan. KOSKI-palvelua käyttäviä virkailijoita velvoittaa palvelun käyttöpolitiikka- ja tietoturvaohjeet. Automaattisilla tiedonsiirroilla KOSKI-palveluun opiskelutietoja siirtävien oppilashallintojärjestelmätoimittajien kanssa tehdään turvallisuussopimukset, sekä tietoja käyttävien viranomaisten kanssa tehdään palvelusopimus, joissa käydään tietoturvat, politiikat, tietosuojat ja käyttötarkoitukset läpi.
Ennen käyttöönottoa KOSKI-palvelulle suoritetaan tietoturva-auditointi, ja niitä tullaan tekemään myöhemmin tuotantokäytön aloituksen jälkeen.
KOSKI-palvelun merkittävimmät tunnistetut tietoturvauhat ja niihin suojautuminen
1. Tietovuodot
Uhat
- Henkilötiedot vuotavat isona massana
- Arkaluonteisia henkilötietoja vuotaa
- Yksittäisen oppijan henkilötiedot vuotavat
Suojautuminen
Kaikki Internetissä kulkeva KOSKI-palvelun liikenne on salattu. KOSKI-palvelun käyttöoikeudet rajaavat tietojen näkymistä vain niille joilla on oikeus pyydettyyn tietoon: kansalainen näkee vain omat tietonsa, oppilaitosten virkailijat näkevät vain oman organisaationsa tiedot, viranomaiset näkevät tiedot siltä osin kuin heidän tehtäviensä hoito sitä edellyttää. Kansalaisen kirjautuminen palveluun katselemaan omia tietojaan tapahtuu vahvalla tunnistautumisella. Kansalaisella on mahdollisuus saada tietoon, kuka on katsonut hänen tietojaan ja milloin. Oppilaitosten virkailijoiden käyttöoikeus on voimassa vain määräajan, ja käyttöoikeusmääriä seurataan oppilaitoksittain.
Viranomaisten käyttämät KOSKI-palvelun massahaku-toiminnot on suojattu OPH:n allekirjoittamalla, viranomaiskohtaisella sertifikaatilla, sekä kyselyt sallitaan vain tunnetuista osoitteista. Kaikki tehtävät kyselyt sekä toimenpiteet lokitetaan, ja asiaton pääsy tuotantopalvelimille estetään (esimerkiksi pääsy palvelimille edellyttää salausavainten käyttöä). KOSKI ei tallenna lokeihin henkilöiden arkaluonteista tietoa, kuten henkilötunnusta. Uusien sovellusversioiden yhteydessä tehdään aina käyttöoikeuslogiikan automatisoitu testaus, jolla varmistetaan että tehdyt muutokset eivät ole vaikuttaneet tietojen näkymiseen.
2. Opiskelutietojen virheellisyys
Uhat
- Opiskelutietoja väärennetään/muutetaan hyötymistarkoituksessa
- Tiedot eivät ole eheitä
- Oppilaitoksesta lähetetään väärää tietoa
Suojautuminen
KOSKI seuraa oppilashallintojärjestelmän tiedonsiirroissa käyttämää lähdeosoitetta ja antaa hälytyksen mikäli se muuttuu aiemmasta. Oppilaitosten integraatiosalasana voidaan nollata pääkäyttäjän toiminnoin, salasanalle asetetaan laatuvaatimukset ja se täytyy vaihtaa määräajoin. KOSKI seuraa integraatioiden tunnistautumista, sekä lokittaa ja tarvittaessa hälyttää epäonnistuneista kirjautumisia.
Pääsyä KOSKI-palvelun tuotantotietokantaan rajoitetaan tietyille palvelimille, tietokantatunnuksen ovat henkilökohtaiset, ja niiden käyttöä lokitetaan. Tietokannan kirjoitusoikeudet annetaan vain sovellukselle ja käyttö tapahtuu kirjaston kautta joka estää suorien kyselyiden tekemisen ns. SQL -injektion kautta. Kaikkien syötteiden syntaksi ja semantiikka tarkistetaan ennen tallennusta, sekä tietokannassa oleva versiohistoria validoidaan säännöllisesti. KOSKI säilyttää oppijan opiskelutietoihin tehdyistä muutoksista muutoslokin, josta selviää minkälainen muutos on tehty, milloin, ja kenen toimesta.
Kansalainen voi tarkistaa omat tietonsa KOSKI-palvelussa, ja raportoida mikäli näkee virheen omissa opintosuoritustiedoissaan.
3. Palvelun tekniset ongelmat
Uhat
- KOSKI ei ole saatavilla
- Liitännäisille sisäisille/ulkoisille järjestelmille aiheutuu kuormitusta
Suojautuminen
KOSKI-palvelun suorituskykylokia seurataan jatkuvasti, ja mahdollisiin ongelmatilanteisiin pyritään reagoimaan ennakoivasti. KOSKI-palvelun käyttämiä ulkoisten palveluja muokataan niin että ne kestävät kuormituksen (esimerkiksi henkilöpalvelun indeksointi). Ulkoisten palvelujen käytössä käytetään välimuistiratkaisua, jota voidaan hyödyntää mahdollisissa palvelunestotilanteissa.
Kaikkien KOSKI-palvelun käyttämien komponenttien tietoturva varmistetaan, ja niiden haavoittuvuuksia seurataan automaattisesti. Uusien sovellusversioiden yhteydessä tehtävät ohjelmistomuutokset vertaiskatselmoidaan.