Löydät tältä sivulta kootusti tietoa tietosuojasta ja tietoturvasta KOSKI-palvelussa sekä tietosuojaselosteella mainitut lomakepohjat.
Linkit:
- KOSKI- palvelun tietosuojaseloste | Dataskyddsbeskrivning av KOSKI-tjänsten
- Jatkuvan oppimisen ja työllisyyden palvelukeskuksen hankkiman muun kuin säännellyn koulutuksen rekisterin tietosuojaseloste | Dataskyddsbeskrivning för registret över annan än reglerad utbildning som Servicecentret för kontinuerligt lärande och sysselsättning anskaffat
- Rekisteritietojen tarkastuslomake (ks. ylempää KOSKI-palvelun tietosuojaseloste) | Kontrollbegäran blankett (se dataskyddsbeskrivning av KOSKI-tjänsten)
- Rekisteritietojen korjauslomake (docx) | Rättelsebegäran blankett (docx)
- KOSKI-tietojen käyttö ja säännönmukaiset luovutukset
- KOSKI-määräykset
- Kansalaisen kirjautuminen Oma Opintopolku-palveluun: http://koski.opintopolku.fi
- Kansalaisen ilmoituslomakkeet vapaan sivistystyön tai taiteen perusopetuksen suoritustietojen tallentamiseen annetun suostumuksen perumisesta löytyvät alta, kohdasta 'Ilmoita suostumuksen peruutamisesta'. Huomaathan, että voit myös ilmoittaa suostumuksen perumisesta myös kirjautumalla Oma Opintopolku-palveluun.
Lomakkeet ja linkit:
Tietosuojaseloste
EU:n tietosuoja-asetuksen 2016/679 (GDPR) mukaiset tietosuojaselosteet / tiedonannot löytyvät Opintopolun verkkosivuilta. Löydät alta linkit selosteisiin sekä selosteella mainittuja, ladattavia lomakepohjia.
KOSKI-palvelu
KOSKI-palvelun tietosuojaseloste: LomakkeetOikeus vaatia tiedon korjaamistaLöydät alta tietosuojaselosteella kohdassa 'Oikeus vaatia tiedon korjaamista' mainitun lomakepohjan. Oikeus tietojen poistamiseen | Ilmoitus suostumuksen peruuttamisestaTietosuojaselosteella on kuvattu rekisteröidyn oikeus peruuttaa antamansa suostumus vapaan sivistystyön vapaatavoitteisen koulutuksen, osaamismerkin tai taiteen perustopetuksen tietojen tallentamisesta. Suostumuksen peruuttaminen voidaan tehdä ilmoittamalla suostumuksen peruuttamisesta Opetushallitukselle joko kirjautuneena Oma Opintopolku-palveluun, missä suostumus on mahdollista perua Omat Opintosuoritukseni -osiosta kyseisen koulutuksen tai osaamismerkin suoritustietojen yhteydestä löytyvästä Peruuta suostumus- linkistä. Toiminnon käyttö poistaa kyseiset suoritustiedot pysyvästi, eikä tietoja ole mahdollista tämän jälkeen palauttaa. Vaihtoehtoisesti ilmoituksen voi tehdä kirjallisesti toimittamalla tällä alta ladattavissa olevan lomakkeen täytettynä Opetushallitukselle osoitteeseen KOSKI-palvelu / Opetushallitus, PL 380, 00531 Helsinki tai sähköpostitse rekisterinpitäjän sähköpostiosoitteeseen. Löydät rekisterinpitäjän yhteystiedot lomakkeelta sekä tietosuojaselosteelta. |
Muun kuin säännellyn koulutuksen rekisteri
EU:n tietosuoja-asetuksen 2016/679 (GDPR) mukainen tietosuojaseloste / tiedonanto: Jatkuvan oppimisen ja työllisyyden palvelukeskuksen hankkiman muun kuin säännellyn koulutuksen rekisterin tietosuojaseloste: LomakkeetOikeus vaatia tiedon korjaamistaLöydät alta tietosuojaselosteella kohdassa 'Oikeus vaatia tiedon korjaamista' mainitun lomakepohjan. |
Käyttäjähallinta ja tietosuoja
Opetuksen ja koulutuksen järjestäjällä ja oppilaitoksen ylläpitäjällä on velvollisuus järjestää toimintansa niin, että rekisteriin tallennettavia tietoja käsitellään tietosuojalainsäädännön mukaisesti. Käyttäjäoikeuksia KOSKI-palveluun tulee myöntää vain sellaisille virkailijoille, joiden työtehtävien hoitamisen kannalta on tarpeellista käsitellä rekisteriin tallennettavia tietoja rekisterinpitäjän tehtävien hoitamiseksi: tietojen tallentamiseksi ja tietojen oikeellisuuden tarkastamiseksi ja ylläpitämiseksi. Käyttöoikeuksien myöntämisessä tulee pyrkiä rajaamaan käyttöoikeudet aina vain sille tasolle, kun se on tietoja käsittelevän henkilön työtehtävien hoitamisen kannalta on tarpeellista. |
Tietojen käyttö ja säännönmukaiset luovutukset
KOSKI- luovutuspalvelun avulla voidaan luovuttaa eri rekistereihin tallennettuja tietoja siten, kuten laissa valtakunnallisissa opinto- ja tutkintorekistereissä on säädetty. Löydät alla olevasta linkistä lisätietoa luovutuspalvelusta; rekistereistä ja tietovarannoista, joita luovutuspalvelu hyödyntää, sekä tahoista, joille tietoja luovutetaan. |
Dataskyddsbeskrivning
KOSKI-tjänsten
Dataskyddsbeskrivning av KOSKI-tjänsten: BlanketterRätt att kräva rättelse av uppgifter
Rätt till radering | Anmälan av återkallelse av givet samtyckeÅterkallelse av samtycket sker genom att man anmäler detta till Utbildningsstyrelsen antingen via Min Studieinfo-tjänsten på adressen https://koski.opintopolku.fi/koski/ eller skriftligen genom att fylla i denna blankett och skicka den till Utbildningsstyrelsen på adressen KOSKI-tjänsten / Utbildningsstyrelsen, PB 380, 00531 Helsingfors eller via e-post. |
Register över annan än reglerad utbildning
Dataskyddsbeskrivning för registret över annan än reglerad utbildning som Servicecentret för kontinuerligt lärande och sysselsättning anskaffat: BlanketterRätt att kräva rättelse av uppgifterBlankett:
|
Användaradministration och dataskydd
Användarrätter till KOSKI-tjänsten bör beviljas endast till sådana personer som på basis av sina arbetsuppgifter behöver kunna behandla uppgifter som lagras i registret för att sköta personuppgiftsansvariges uppgifter: för att lagra uppgifter och kontrollera och upprätthålla uppgifternas korrekthet. Läs mer: |
Yleiset lähtökohdat
Kaikkia KOSKI-palveluun luotavia tunnuksia määrittelee OPH:n käyttövaltuuspolitiikka, joka määrittelee tunnusten myöntöperusteet, poistoperusteet ja salasanakäytännöt. Kaikki tunnukset ovat henkilökohtaisia ja ne on roolitettu, jotka määrittelevät mitä tietoja ja toimintoja KOSKI-palvelussa voi nähdä tai tehdä. Kaikki tietojen haku ja muokkaus lokitetaan. KOSKI-palvelua käyttäviä virkailijoita velvoittaa palvelun käyttöpolitiikka- ja tietoturvaohjeet. Automaattisilla tiedonsiirroilla KOSKI-palveluun opiskelutietoja siirtävien oppilashallintojärjestelmätoimittajien kanssa tehdään turvallisuussopimukset, sekä tietoja käyttävien viranomaisten kanssa tehdään palvelusopimus, joissa käydään tietoturvat, politiikat, tietosuojat ja käyttötarkoitukset läpi.
Ennen käyttöönottoa KOSKI-palvelulle suoritetaan tietoturva-auditointi, ja niitä tullaan tekemään myöhemmin tuotantokäytön aloituksen jälkeen.
KOSKI-palvelun merkittävimmät tunnistetut tietoturvauhat ja niihin suojautuminen
1. Tietovuodot
Uhat
- Henkilötiedot vuotavat isona massana
- Arkaluonteisia henkilötietoja vuotaa
- Yksittäisen oppijan henkilötiedot vuotavat
Suojautuminen
Kaikki Internetissä kulkeva KOSKI-palvelun liikenne on salattu. KOSKI-palvelun käyttöoikeudet rajaavat tietojen näkymistä vain niille joilla on oikeus pyydettyyn tietoon: kansalainen näkee vain omat tietonsa, oppilaitosten virkailijat näkevät vain oman organisaationsa tiedot, viranomaiset näkevät tiedot siltä osin kuin heidän tehtäviensä hoito sitä edellyttää. Kansalaisen kirjautuminen palveluun katselemaan omia tietojaan tapahtuu vahvalla tunnistautumisella. Kansalaisella on mahdollisuus saada tietoon, kuka on katsonut hänen tietojaan ja milloin. Oppilaitosten virkailijoiden käyttöoikeus on voimassa vain määräajan, ja käyttöoikeusmääriä seurataan oppilaitoksittain.
Viranomaisten käyttämät KOSKI-palvelun massahaku-toiminnot on suojattu OPH:n allekirjoittamalla, viranomaiskohtaisella sertifikaatilla, sekä kyselyt sallitaan vain tunnetuista osoitteista. Kaikki tehtävät kyselyt sekä toimenpiteet lokitetaan, ja asiaton pääsy tuotantopalvelimille estetään (esimerkiksi pääsy palvelimille edellyttää salausavainten käyttöä). KOSKI ei tallenna lokeihin henkilöiden arkaluonteista tietoa, kuten henkilötunnusta. Uusien sovellusversioiden yhteydessä tehdään aina käyttöoikeuslogiikan automatisoitu testaus, jolla varmistetaan että tehdyt muutokset eivät ole vaikuttaneet tietojen näkymiseen.
2. Opiskelutietojen virheellisyys
Uhat
- Opiskelutietoja väärennetään/muutetaan hyötymistarkoituksessa
- Tiedot eivät ole eheitä
- Oppilaitoksesta lähetetään väärää tietoa
Suojautuminen
KOSKI seuraa oppilashallintojärjestelmän tiedonsiirroissa käyttämää lähdeosoitetta ja antaa hälytyksen mikäli se muuttuu aiemmasta. Oppilaitosten integraatiosalasana voidaan nollata pääkäyttäjän toiminnoin, salasanalle asetetaan laatuvaatimukset ja se täytyy vaihtaa määräajoin. KOSKI seuraa integraatioiden tunnistautumista, sekä lokittaa ja tarvittaessa hälyttää epäonnistuneista kirjautumisia.
Pääsyä KOSKI-palvelun tuotantotietokantaan rajoitetaan tietyille palvelimille, tietokantatunnuksen ovat henkilökohtaiset, ja niiden käyttöä lokitetaan. Tietokannan kirjoitusoikeudet annetaan vain sovellukselle ja käyttö tapahtuu kirjaston kautta joka estää suorien kyselyiden tekemisen ns. SQL -injektion kautta. Kaikkien syötteiden syntaksi ja semantiikka tarkistetaan ennen tallennusta, sekä tietokannassa oleva versiohistoria validoidaan säännöllisesti. KOSKI säilyttää oppijan opiskelutietoihin tehdyistä muutoksista muutoslokin, josta selviää minkälainen muutos on tehty, milloin, ja kenen toimesta.
Kansalainen voi tarkistaa omat tietonsa KOSKI-palvelussa, ja raportoida mikäli näkee virheen omissa opintosuoritustiedoissaan.
3. Palvelun tekniset ongelmat
Uhat
- KOSKI ei ole saatavilla
- Liitännäisille sisäisille/ulkoisille järjestelmille aiheutuu kuormitusta
Suojautuminen
KOSKI-palvelun suorituskykylokia seurataan jatkuvasti, ja mahdollisiin ongelmatilanteisiin pyritään reagoimaan ennakoivasti. KOSKI-palvelun käyttämiä ulkoisten palveluja muokataan niin että ne kestävät kuormituksen (esimerkiksi henkilöpalvelun indeksointi). Ulkoisten palvelujen käytössä käytetään välimuistiratkaisua, jota voidaan hyödyntää mahdollisissa palvelunestotilanteissa.
Kaikkien KOSKI-palvelun käyttämien komponenttien tietoturva varmistetaan, ja niiden haavoittuvuuksia seurataan automaattisesti. Uusien sovellusversioiden yhteydessä tehtävät ohjelmistomuutokset vertaiskatselmoidaan.