Register över sekundära driftmiljöer
Valvira upprätthåller ett offentligt register över anmälda sekundära driftmiljöer som uppfyller kraven på informationssäkerhet och dataskydd. Myndigheterna använder registret bland annat för handläggning av tillstånd för sekundär användning samt för övervakningsuppgifter.
Organisationer som utför analys av material i enlighet med lagen om sekundär användning kan dessutom kontrollera i registret att tjänsteleverantörens driftsmiljö har ett gällande lagstadgat kravenlighetsintyg över informationssäkerheten. Intyget över kravenligheten i informationssäkerheten förutsätts i driftsmiljöer, där material analyseras för de syften som anges i lagen om sekunder användning och för vilka tillstånd krävs. Dessa syften är vetenskaplig forskning, statistikföring, myndighetens planerings- och utredningsuppgifter samt beredning av undervisningsmaterial.
Anmälan till registret
Innan de tas i bruk ska driftmiljöer för sekundär användning anmälas till det register som Valvira upprätthåller. När en driftmiljö har beviljats ett intyg om överensstämmelse av ett bedömningsorgan för informationssäkerhet ska den tjänsteleverantör som tillhandahåller driftmiljön anmäla den till registret. Bedömningen av informationssäkerheten förutsätter att tjänsteleverantören vidtar förberedelser. I bedömningen behandlas på ett omfattande sätt organisationens informationssäkerhet, så tillräckligt med tid behövs för bedömningen.
Med tjänsteleverantör avses en aktör som erbjuder sina kunder tjänster i anslutning till en informationssäker driftmiljö. Om driftmiljön omfattar en helhet där flera olika tjänsteleverantörer är delaktiga anmäls till registret en tjänsteleverantör med FO-nummer eller VAT-kod som representerar helheten. Tjänsteleverantörerna ansvarar sinsemellan för sina egna avtals- och ansvarsförhållanden. Valvira sköter styrnings- och övervakningsåtgärder tillsammans med en tjänsteleverantör som anmälts till registret. En tjänsteleverantör som anmäler sig till registret meddelar en kontaktperson vid registreringen.
Skicka en anmälan till registret via vår tjänst för skyddad e-post
1A. Ett bedömningsorgan för informationssäkerhet tillställer Valviras registratorskontor ett dataskyddsintyg som gäller driftmiljön till adressen [email protected].
1B. Driftmiljöns tjänsteleverantör lämnar en registreringsanmälan om en driftmiljö till Valviras tjänst turvalomake.
2. Valvira anhängiggör registreringen på basis av den registreringsanmälan som driftmiljöns tjänsteleverantör har lämnat.
3A och 3B. Valvira jämför uppgifterna på informationssäkerhetsintyget och i registreringsanmälan med varandra och säkerställer att uppgifterna är adekvata för registreringen. Om uppgifterna inte är adekvata för registrering begär Valvira tilläggsuppgifter eller ändringar.
4. Valvira lägger till driftmiljön i Valviras offentliga register. När uppgifterna är adekvata för registrering underrättar Valvira driftmiljöns tjänsteleverantör om att driftmiljön lagts till registret.
5. Driftmiljöns tjänsteleverantör tar emot ett meddelande om registrering av en driftmiljö.
6. Valvira fakturerar en registreringsavgift av tjänsteleverantören.
7. Driftmiljöns tjänsteleverantör betalar en faktura över registreringsavgiften.
Driftsmiljöns tjänsteleverantör ansvarar för att meddela Valvira om väsentliga ändringar som gäller driftsmiljön, tjänsteleverantören och kravenlighetsintyget utfärdat av ett bedömningsorgan för informationssäkerhet.
Skicka en ändring av registeruppgifterna via vår tjänst för skyddad e-post
- Väsentliga ändringar som ska anmälas till Valviras register är:
- ändring av driftmiljöns namn (namnet ska vara specifikt och i det format som driftmiljön tillhandahålls kunden)
- ändring av tjänsteleverantörens namn
- tjänsteleverantörens FO-nummer eller VAT-kod
- ändring av kontaktperson och ändringar i kontaktuppgifter
- ändring av intyget från bedömningsorganet för informationssäkerhet
- ändringar av intygets giltighet
- ändringar av begränsningar för bedömningsorganet för informationssäkerhet
- övriga väsentliga ändringar av intyget.
Observera att ändringar av registeruppgifterna är avgiftsbelagda vid registrering av ändringar av intyget från ett bedömningsorgan för informationssäkerhet, återkallanden och förvägranden samt uppmaningar och begränsningar. Övriga ändringar av registeruppgifterna är avgiftsfria.
Registreringar som görs med stöd av lagen om sekundär användning är avgiftsbelagda. Avgiften bestäms utifrån Valviras prislista.
- Registrering med stöd av lagen om sekundär användning:
- Registrering av ett intyg som utfärdats av ett bedömningsorgan för informationssäkerhet kostar 1 200 euro.
- Registrering av en ändring eller komplettering av ett intyg som utfärdats av ett bedömningsorgan för informationssäkerhet kostar 750 euro.
- Registrering av återkallande eller förvägrande av ett intyg som utfärdats av ett bedömningsorgan för informationssäkerhet kostar 500 euro.
- Registrering av en uppmaning eller begränsning som utfärdats av ett bedömningsorgan för informationssäkerhet kostar 300 euro.
Registreringsanmälan
Anmälan om ändring av registeruppgifterna
Vanliga frågor om registrering av driftmiljöer för sekundär användning
Lagen om sekundär användning föreskriver registrering av driftmiljöer för sekundär användning. Registreringen utgör en del av påvisandet att driftsmiljöns kravenlighet. Driftmiljöns tjänsteleverantör ansvarar för sina lagstadgade skyldigheter och de krav som ställs på en informationssäker driftmiljö, som ska uppfyllas vid tidpunkten för registrering och därefter. Utöver registerföringen är det Valviras uppgift att övervaka och främja uppfyllandet av dataskydds- och informationssäkerhetskraven för driftmiljöer. Valvira kan vid behov utföra inspektioner till exempel av registrerade driftmiljöer.
Registreringen har också betydelse för utlämnande av sådant informationsmaterial som avses i lagen om sekundär användning Material som kräver dataanvändningstillstånd får lämnas ut endast till sekundära användningsmiljöer som uppfyller kraven och som har registrerats.
Med driftmiljöns tjänsteleverantör avses en aktör som erbjuder sina kunder tjänster som anknyter till en informationssäker driftmiljö. Om driftmiljön omfattar en helhet där flera olika tjänsteleverantörer är delaktiga, anmäls till Valviras register över sekundära driftmiljöer en tjänsteleverantör som representerar helheten. Tjänsteleverantörernas organisationer ansvarar sinsemellan för sina egna avtals- och ansvarsförhållanden. Valvira sköter styrnings- och kontrollåtgärder med den tjänsteleverantör som anmälts till registret.