Henkilökunnalla on vastuu tietoturvallisuuden ja tietosuojan toteuttamisesta omalta osaltaan. Jokainen MIAMIn tietojenkäsittelyjärjestelmien käyttäjä on velvollinen noudattamaan organisaation käyttösääntöjä ja tietoturva- sekä tietosuojaohjeita.
Tietoturvallisuutta ja tietosuojaa johtaa Dini Mäntylä. Tietojärjestelmien omistajilla on vastuu omien järjestelmiensä tietoturvallisuuden ja tietosuojan toteuttamisessa. MIAMIn tietoturva- ja tietosuojaryhmä (Dini Mäntylä ja Henna Takala) vastaa tietoturva- ja tietosuojaperiaatteiden laatimisesta sekä niiden päivittämisestä, MIAMIa koskevista yleisistä ohjeistuksista sekä tietoturva- ja tietosuojatyön kehittämisen suunnittelemisesta. Vastuu tietoturvallisuuden ja tietosuojan vaatimustenmukaisuuden toteutumisesta on organisaation johdolla ja jokainen työntekijä vastaa tieturvallisuuden ja -suojan toteutumisesta omalla vastuualueellaan.
Tietoturva- ja tietosuojavastaavan tehtäviin kuuluu MIAMIn tietoturvallisuuden ja tietosuojan kartoittaminen, kehittäminen, toteuttamisen valvonta sekä tietoturva- ja tietosuojatietouden edistäminen.
Tietoturvallisuus tarkoittaa tietojenkäsittelyn ja tietoliikenteen turvaamista, mutta se kattaa kaiken tiedon suojaamisen. Tietoturvatoimet koskevat siten sähköisessä, audiovisuaalisessa, suullisessa ja kirjallisessa muodossa oleva tiedon käsittelyä, siirtoa ja säilyttämistä. Tietoturvallisuus rakentuu tiedon luottamuksellisuudesta, eheydestä ja saatavuudesta.
- Luottamuksellisuus tarkoittaa, että tiedot ovat sovituilla tavoilla ja sovittuun aikaan vain kyseisiin tietoihin oikeutettujen henkilöiden ja organisaatioiden saatavilla eikä niitä paljasteta tai muutoin saateta sivullisten tietoon.
- Eheys tarkoittaa, että tiedot eivät muutu, vahingoitu tai tuhoudu hallitsemattomasti. Tiedot ja tietojärjestelmät ovat luotettavia, oikeellisia ja ajantasaisia. Eheyteen liittyy tiedon kiistämättömyys, jolla tarkoitetaan tiedonkäsittelytoimenpiteiden suorittamista siten, että voidaan todistaa käyttäjien tapahtumat tiettyinä aikoina.
- Saatavuus tarkoittaa, että tiedot ja niiden muodostamat palvelut ovat toiminnan kannalta hyväksyttävän ajan kuluessa niihin oikeutettujen tahojen käytettävissä tai saatavilla.
Tietosuoja tarkoittaa henkilön yksityisyyden suojaamista ja siihen kuuluu henkilötietojen oikeaoppinen käsittely. Tietosuojassa on kyse rekisteröidyn oikeuksista ja rekisterinpitäjänä MIAMIlla on vastuu henkilötietojen käsittelyn lainmukaisuudesta. EU:n yleinen tietosuoja-asetus (EU) 2016/679 sisältää säännökset rekisteröidyn oikeuksista sekä rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuuksista. Asetusta täydentää ja täsmentää tietosuojalaki 1050/2018, joka toimii henkilötietojen käsittelyä koskevana yleislakina.
Tietoturva- ja tietosuojatyön tavoitteet sekä toteutuskeinot
MIAMIn tietoturvatyön tavoitteena on turvata organisaation keskeiset toiminnot ja estää tietojen ja tietojärjestelmien valtuudeton käyttö. Tavoitteena on myös estää tiedon tahallinen tai tahaton tuhoutuminen sekä minimoida mahdolliset aiheutuvat vahingot. Tietosuojatyön tavoitteena on taata henkilötietojen lainmukainen käsittely ja sen myötä henkilön yksityisyyden suojaaminen sekä rekisteröidyn oikeuksien turvaaminen.
MIAMIn tavoitteena on, että tietoturvallisuus ja tietosuoja ovat hyvää kansallista tasoa ja tietoturvallisuuden perustaso kattaa organisaation koko tietojenkäsittelyn.
Seuranta, kehittäminen ja ongelmien käsittely
Jokaisen käyttäjän tulee ilmoittaa havaitsemistaan tai epäilemistään puutteista sekä tietoturva- ja tietosuojarikkomuksista tai -poikkeamista osoitteeseen dini@miamiagency.fi. Tietoturva- ja tietosuojaryhmä analysoi poikkeaman vakavuuden sekä päättää toimenpiteistä.
Tietoturva- ja tietosuojaperiaatteet ohjaavat MIAMIn tietoturvallisuuden ja tietosuojan kehittämistä ja tietoturva- ja tietosuojaryhmä tarkistaa periaatteet säännöllisesti. Tietoturva- ja tietosuojariskit kartoitetaan vuosittain, minkä tavoitteena on toimintaa vaarantavien uhkien tunnistaminen.
Käytössä olevat järjestelmät
G Suite: MIAMI Performance Agency Oy:n sähköpostit ja tiedostojen tallennus on G Suite -palvelussa. G Suiten omistaa Google. G Suiten tietoturvasta voi lukea lisää: https://gsuite.google.fi/intl/fi/security/?secure-by-design_activeEl=data-centers
Jokaisella MIAMIn työntekijällä on pääsy Driveen tallentamaan, jakamaan ja muokkaamaan sinne tallennettuja dokumentteja. Asiakkaiden tiedot, kuten tarjoukset, sopimuspohjat ja projektisuunnitelmat tallennetaan driveen. Asiakkaille jaetaan tarpeen mukaan katselu- ja muokkausoikeuksia niihin dokumentteihin, joita heidän pitää päästä katselemaan ja muokkaamaan.
Slack: Asiakasviestintä hoidetaan pääsääntöisesti Slackin kautta. Slackin kautta ei jaeta dokumentteja. Slackiä käytetään pääsääntöisesti nopeaan viestintään. Asiakkuudelle luodaan oma kanava ja sinne annetaan käyttöoikeus asiakkaalle.
Frame.io: Framea käytetään videoiden kommentointiin. MIAMIn editoija kutsuu asiakkaan Frameen, jakaa asiakkaan videon sovellukseen ja asiakas pääsee katsomaan ja kommentoimaan videota. Framen turvallisuudesta voi lukea lisää: https://frame.io/
Visma Sign: Asiakkaiden ja MIAMIn välisten sopimusten allekirjoitus ja tallennus tapahtuu Visma Sign:in kautta. Visma Sign:in turvallisuudesta voi lukea lisää: https://vismasign.fi/sahkoinenallekirjoitus/turvallisuus/
Yleinen turvallisuus
MIAMI Performance Agencyllä tietoturvasta vastaa pääsääntöisesti Dini Mäntylä. Jokainen MIAMIn työntekijä toimii vastuullisesti ja pitää huolen tietoturvasta. Jokaisen käytössä olevassa koneessa on henkilökohtainen salasana, jolla koneelle pääsee kirjautumaan sisään. Työkoneet ovat henkilökohtaisia. Salasanat vaihdetaan kuukausittain. Työntekijät pitävät huolen, että säilyttävät salasanoja siten, ettei kukaan ulkopuolinen pääsee niihin käsiksi.
MIAMI Performance Agency toimiston ovi pidetään lukittuna aina, kun toimistolla ei ole henkilökuntaa. Toimisto sijaitsee Crazy Townin tiloissa, joihin ei ulkopuolisilla ole pääsyä ilman avainta. Avaimen saaminen edellyttää maksettua jäsenyyttä Crazy Townille.
Tietoturvarikkomuksen sattuessa kaikki salasanat vaihdetaan välittömästi. Kaikille asianosaisille ilmoitetaan niin nopeasti kuin mahdollista.
Tietoturva- ja tietosuojaperiaatteet koskevat kaikkia MIAMI Performance Agencyn työntekijöitä. Kyse on erityisesti sähköisesti käsiteltävistä rekistereistä ja aineistoista, mutta myös muista aineistoista ja tuotoksista.
