Microsoftin M365-palvelujen käyttöönotto Helsingin kaupungilla
Microsoftin M365-palvelujen käyttöönotto Helsingin kaupungilla
Päätös
Kansliapäällikkö päätti Microsoftin Azure-alustalla olevien M365-palvelujen käyttöönotosta Helsingin kaupungilla seuraavasti:
Käyttöönotettavat palvelut ovat:
· Sähköposti-, kalenteri- ja aikataulutussovellukset
· Kokous-, soitto- ja pikaviestisovellukset (esim. Teams)
· Intranet ja tallennussovellukset (esim. Sharepoint, Yammer, OneDri- ve)
· Microsoft 365 Apps -sovellukset (esim. Word, Excel, PowerPoint, OneNote, Outlook)
· Sisältö-, analyysi- ja projektinhallintasovellukset (esim. Forms, Lists, Power BI, To-Do, Project Online)
· Automatisointi, sovelluskehitys ja Chatbotit (esim. PowerApps, Power- Automate)
· Päätelaite- ja sovellushallinta (esim. Intune, Mobile Device Management, Windows AutoPilot)
· Identiteetin- ja pääsynhallinnan sovellukset (Azure Active Directory)
· Microsoft 365 tietoturvapalvelut
· Tiedon luokittelun ja suojauksen palvelut
Palveluja käytettäessä on noudatettava kansliapäällikön päätöstä HEL 2022-012014 12.10.2022 195 § henkilötietojen ja salassa pidettävien tietojen maantieteellistä sijaintia ja siirtoa koskevista edellytyksistä.
Poikkeuksena edellä mainittuun päätökseen saa Teams-kokoussovellusta käyttää salassa pidettäviä henkilötietoja ja erityisiin henkilötietoryhmiin kuuluvia henkilötietoja koskeviin reaaliaikaisiin keskusteluihin, jos keskusteluja ei tallenneta. Salassa pidettäviä henkilötietoja ja erityisiin henkilötietoryhmiin kuuluvia henkilötietoja sisältäviä dokumentteja ei Teamsiin saa viedä eikä viestien vaihtoa edellä mainituista tiedoista saa Teamsissa käydä.
Päätöksen perustelut
O365-palveluista on kaupungilla tehty tietosuojan vaikutustenarviointi 1.10.2020 ja M365-palveluista Azure-alustalla 25.4.2022. O365-palvelut ja M365-palvelut vastaavat toisiaan.
M365-palvelussa käsitellään palvelun käyttäjien henkilötietoja sekä käyttäjien palveluun tuottamia tietoja, jotka ovat esimerkiksi tekstiä, ääntä, videota tai kuvatiedostoja. Palveluun tuotetut tiedot voivat koskea mitä tahansa aihetta ja kuulua mihin tahansa kaupungin noin 200 rekisteristä. Lisäksi palvelu kerää käyttäjistä telemetriatietoja, jotka jakautuvat diagnostiikkatietoihin, yhdistettyihin käyttökokemuksiin ja tärkeisiin palveluihin.
Palveluntarjoaja on Microsoft Corporation, mikä tarkoittaa sitä, että tietoja siirretään EU/ETA-alueen ulkopuolelle, vaikka tiedot sijaitsevatkin EU/ETA-alueella olevassa konesalissa.
Kaupungin Microsoftin kanssa tekemiin M365-palvelua ja Azure-alustaa koskeviin sopimuksiin on liitetty Euroopan komission hyväksymät vakiolausekkeet.
M365-palvelussa ei ole otettu käyttöön Euroopan tietosuojaneuvoston suositusten mukaisia täydentäviä suojatoimia, joten tietoja, joiden käsittely edellyttäisi tällaisia suojatoimia, ei saa käsitellä M365-palvelussa.
M365-palvelussa käsiteltävistä tiedoista syntyy Liikenne ja viestintäviraston Kyberturvallisuuskeskuksen laatiman Pilvipalveluiden turvallisuuden arviointikriteeristön (Traficomin julkaisuja 13/2020, PiTuKri) tarkoittama tietokasauma. Tietoja voidaan tästä huolimatta käsitellä M365-palvelussa.
Tietojen maantieteellistä sijaintia ja siirron edellytyksiä koskevaan kansliapäällikön päätökseen päätöstä HEL 2022-012014 12.10.2022 195 § sisältyy riskiarvioon perustuva ohjeistus siitä, milloin henkilötiedot ja muut tiedot on tarpeen suojata täydentävillä suojatoimilla ja milloin vakiolausekkeet riittävät.
Detta beslut publicerades 13.10.2022
MUUTOKSENHAKUKIELTO
Tähän päätökseen ei saa hakea muutosta, koska päätös koskee asian valmistelua tai täytäntöönpanoa.
Sovellettava lainkohta: Kuntalaki 136 §
Mer information fås av
Mikko Rusama, Digitalisaatiojohtaja, puhelin: 0505722229