Registrering av driftmiljö
Innan en sekundär driftmiljö tas i bruk ska den registreras i Astori-registret. Tjänsteleverantören för den sekundära driftmiljön ansvarar för registreringen och för att uppgifterna i registret är aktuella. Material som kräver dataanvändningstillstånd får lämnas ut endast till driftmiljöer som uppfyller kraven och som har registrerats i Astori-registret.
Innan de tas i bruk ska sekundära driftmiljöer anmälas till Astori-registret som upprätthålls av Valvira. När en driftmiljö har beviljats ett intyg om överensstämmelse av ett bedömningsorgan för informationssäkerhet ska den tjänsteleverantör som tillhandahåller driftmiljön anmäla den till registret. Bedömningen av informationssäkerheten förutsätter att tjänsteleverantören vidtar förberedelser. I bedömningen behandlas på ett omfattande sätt organisationens informationssäkerhet, så tillräckligt med tid behövs för bedömningen.
Med tjänsteleverantör avses en aktör som erbjuder sina kunder tjänster i anslutning till en informationssäker driftmiljö. Om driftmiljön omfattar en helhet som består av flera olika tjänsteleverantörer, anmäls till Astori-registret en tjänsteleverantör med FO-nummer eller VAT-kod som representerar helheten. Tjänsteleverantörerna ansvarar sinsemellan för sina egna avtals- och ansvarsförhållanden. Valvira sköter styrnings- och övervakningsåtgärder tillsammans med en tjänsteleverantör som anmälts till registret. En tjänsteleverantör som anmäler sig till registret meddelar en kontaktperson vid registreringen.
Skicka en anmälan till registret via vår tjänst för skyddad e-post.
1A. Ett bedömningsorgan för informationssäkerhet tillställer Valviras registratorskontor ett dataskyddsintyg som gäller driftmiljön till adressen [email protected].
1B. Driftmiljöns tjänsteleverantör lämnar en registreringsanmälan om en driftmiljö till Valviras tjänst turvalomake.
2. Valvira anhängiggör registreringen på basis av den registreringsanmälan som driftmiljöns tjänsteleverantör har lämnat.
3A och 3B. Valvira jämför uppgifterna på informationssäkerhetsintyget och i registreringsanmälan med varandra och säkerställer att uppgifterna är adekvata för registreringen. Om uppgifterna inte är adekvata för registrering begär Valvira tilläggsuppgifter eller ändringar.
4. Valvira lägger till driftmiljön i Valviras offentliga Astori-register. När uppgifterna är adekvata för registrering underrättar Valvira driftmiljöns tjänsteleverantör om att driftmiljön lagts till registret.
5. Driftmiljöns tjänsteleverantör tar emot ett meddelande om registrering av en driftmiljö.
6. Valvira fakturerar en registreringsavgift av tjänsteleverantören.
7. Driftmiljöns tjänsteleverantör betalar en faktura över registreringsavgiften.
Driftsmiljöns tjänsteleverantör ansvarar för att meddela Valvira om väsentliga ändringar som gäller driftsmiljön, tjänsteleverantören och kravenlighetsintyget utfärdat av ett bedömningsorgan för informationssäkerhet.
Skicka en ändring av registeruppgifterna via vår tjänst för skyddad e-post
- Väsentliga ändringar som ska anmälas till Valviras register är:
- ändring av driftmiljöns namn (namnet ska vara specifikt och i det format som driftmiljön tillhandahålls kunden)
- ändring av tjänsteleverantörens namn
- tjänsteleverantörens FO-nummer eller VAT-kod
- ändring av kontaktperson och ändringar i kontaktuppgifter
- ändring av intyget från bedömningsorganet för informationssäkerhet
- ändringar av intygets giltighet
- ändringar av begränsningar för bedömningsorganet för informationssäkerhet
- övriga väsentliga ändringar av intyget.
Observera att ändringar av registeruppgifterna är avgiftsbelagda vid registrering av ändringar av intyget från ett bedömningsorgan för informationssäkerhet, återkallanden och förvägranden samt uppmaningar och begränsningar. Övriga ändringar av registeruppgifterna är avgiftsfria.
Registreringar som görs med stöd av lagen om sekundär användning är avgiftsbelagda. Avgiften bestäms utifrån Valviras prislista.
- Registrering med stöd av lagen om sekundär användning:
- Registrering av ett intyg som utfärdats av ett bedömningsorgan för informationssäkerhet kostar 1 200 euro.
- Registrering av en ändring eller komplettering av ett intyg som utfärdats av ett bedömningsorgan för informationssäkerhet kostar 750 euro.
- Registrering av återkallande eller förvägrande av ett intyg som utfärdats av ett bedömningsorgan för informationssäkerhet kostar 500 euro.
- Registrering av en uppmaning eller begränsning som utfärdats av ett bedömningsorgan för informationssäkerhet kostar 300 euro.
Registreringsanmälan
Anmälan om ändring av registeruppgifterna
Vanliga frågor om registrering av driftmiljöer för sekundär användning
Lagen om sekundär användning föreskriver registrering av driftmiljöer för sekundär användning. Registreringen utgör en del av påvisandet att driftsmiljöns kravenlighet. Driftmiljöns tjänsteleverantör ansvarar för sina lagstadgade skyldigheter och de krav som ställs på en informationssäker driftmiljö, som ska uppfyllas vid tidpunkten för registrering och därefter. Utöver registerföringen är det Valviras uppgift att övervaka och främja uppfyllandet av dataskydds- och informationssäkerhetskraven för driftmiljöer. Valvira kan vid behov utföra inspektioner till exempel av registrerade driftmiljöer.
Registreringen har också betydelse för utlämnande av sådant informationsmaterial som avses i lagen om sekundär användning Material som kräver dataanvändningstillstånd får lämnas ut endast till sekundära användningsmiljöer som uppfyller kraven och som har registrerats.
Med driftmiljöns tjänsteleverantör avses en aktör som erbjuder sina kunder tjänster som anknyter till en informationssäker driftmiljö. Om driftmiljön omfattar en helhet där flera olika tjänsteleverantörer är delaktiga, anmäls till Valviras register över sekundära driftmiljöer en tjänsteleverantör som representerar helheten. Tjänsteleverantörernas organisationer ansvarar sinsemellan för sina egna avtals- och ansvarsförhållanden. Valvira sköter styrnings- och kontrollåtgärder med den tjänsteleverantör som anmälts till Astori-registret.