Info:
Ei ilmoitettuja infoja
Koulutus:
Uusia tulossa kesän 2018 aikana

Aleksi Pulkkanen

Tietosuojamalli.fi-perustaja. Tehdään tietosuojatyöstä vähän helpompaa.
4/4/2018
5
minuuttia luettavaa

04/2018: Kooste ja tulkintaa tietosuojaviranomaisten ohjeista tietoturvaloukkausten informointiin liittyen

Meidän on hyvä ajatella, että organisaatiomme hyödyntäessä henkilötietoja toiminnassaan, tiedot ovat meillä vain "lainassa". Ne ovat ihmisten omaisuutta, jota me hyödynnämme tavalla tai toisella. Meidän pitää toimia asiallisesti, turvallisesti ja sääntöjen mukaan. Vaikka henkilötietoja käsiteltäisiin hyvin tarkoitusperin, käsittelyyn sisältyy aina riskejä, jotka organisaatiomme joko hiljaisesti hyväksyy tai joiden hallitsemiseksi aktiivisesti teemme jotain.

Jos jotain kuitenkin menee pieleen, siitä pitää avoimesti kertoa. Tämä tietoturvaloukkauksista informointi on osa avointa viestintää omasta henkilötietojen käsittelystä. Ihmisillä on oikeus saada avoimesti tietoa siitä, kuinka heidän tietojaan tullaan käyttämään tai kun niille tapahtuu jotain odottamatonta.

Tietoturvaloukkaukset pitää pystyä havaitsemaan, selvittämään ja viestimään. Kaiken tämän ytimessä on se, että ihmisten yksityisyys olisi turvassa.

Mikä on tietoturvaloukkaus?

Tietoturvaloukkauksessa ajaudutaan syystä tai toisesta tilanteeseen, jossa henkilötietoja voidaan kadottaa, tuhota, vahingoittaa, luovuttaa luvatta tai niihin pääsee käsiksi taho, jolla ei ole niihin oikeutta. Tietoturvaloukkaukseen johtava "vika" voi olla esimerkiksi puutteellinen ohjeistus, työntekijän tiedottomuus, ilkivalta, varkaus, tulipalo tai tekniikan pettäminen.

Tietoturvaloukkauksen seuraukset ovat hyvin vaihtelevia. Tietojen luottamuksellisuuden katoaminen, identiteettivarkaus, petokset, taloudellinen haitta, maineongelmat, sosiaaliset ongelmat... Riippuu tilanteesta, loukkauksen koskettaineista henkilötiedoista sekä rekisteröidystä.

Tietoturvaloukkaukset voidaan kategorisoida seuraavasti:

Luottamuksellisuuden loukkaus

  • henkilötietoja luovutetaan luvatta tai vahingossa eteenpäin ilman perusteita
  • henkilötietoihin päästään käsiksi tahon toimesta, jolla ei kuuluisi olla niihin pääsyä
  • esim. tiedot lähetetään vahingossa väärälle vastaanottajalle tai hakkeri pääsee niihin käsiksi

Saatavuuden loukkaus

  • henkilötietoihin ei päästä käsiksi
  • henkilötietoja tuhotaan luvatta tai vahingossa
  • esim. haittaohjelma estää pääsyn potilastietoihin, paperiarkisto tuhoutuu tulipalossa

Tähän kategoriaan eivät kuulu tarkoitukselliset huollot tai muut suunnitellut toimenpiteet, joista aiheutuu väliaikainen käyttökatkos henkilötiedoille.

Eheyden loukkaus

  • henkilötietoja muutetaan luvatta tai vahingossa
  • esim. riitaisasti organisaatiosta poistuva henkilö tekee ilkivaltaa

Milloin loukkauksista pitää ilmoittaa?

Vaatimuksia rekisterinpitäjälle

  • loukkauksesta ilmoitettava 72 tunnin sisällä tietoiseksi tulemisesta viranomaisille
  • jos ilmoitus vie kauemmin, pystyttävä perustelemaan, miksi näin tapahtui
  • loukkauksen tuottamaa riskiä rekisteröidyille arvioitav

Milloin rekisterinpitäjä on tietoinen loukkauksesta?

Ollessaan melkoisen varma (“reasonable degree of certainty”), että turvallisuusselkkaus tapahtui ja siihen liittyi henkilötietoja. Rekisterinpitäjä on varmasti tietoinen esimerkiksi seuraavissa tilanteissa:

  • kolmas osapuoli ilmoittaa, että hänen haltuunsa päätyi jotenkin toisen asiakkaanne tietoja
  • henkilötietojen käsittelijänä toimiva kumppani havaitsee tunkeutumisen verkkoonsa ja ilmoittaa, että heiltä henkilötietoja vuoti eteenpäin
  • rikollinen ilmoittaa saaneensa pääsyn järjestelmiin ja kiristää rahaa, jonka jälkeen rekisterinpitäjä havaitsee, että tekniikka on pettänyt
  • työntekijä ilmoittaa kadottaneensa USB-tikun, joka sisälsi henkilötietoja salaamattomassa muodossa

Lisäksi rekisterinpitäjän vastuulla on

  • järjestää toimet, jotta loukkaukset pystytään havaitsemaan ja selvittämään
  • siitouttaa käsittelijät informoimaan loukkauksista viipymättä
  • arvioida loukkauksen aiheuttamaa riskiä rekisteröidyille

Rekisteröidyille on ilmoitettava, mikäli ei ole epätodennäköistä että heille aiheutuisi loukkauksesta riskiä. WP29:n dokumentin lopussa on konkreettisia hyviä esimerkkejä erilaisista tietoturvaloukkauksista ja tulkintoja siitä, pitääkö ilmoittaa viranomaiselle, rekisteröidylle, molemmille vai pistää asia vaan omaan sisäiseen dokumentaatioon.

Mitä pitää ilmoittaa?

Tietoturvaloukkauksesta ilmoittaessa on kuvattava:

  • ketä loukkaus koski, miten suurta määrää ja mitä henkilötietoryhmiä
  • mistä lisätietoja saa
  • mitä arvioimme mahdollisiksi vaikutuksiksi rekisteröidyille
  • mitä olemme tehneet, jotta tällaista ei kävisi uudelleen

Ohjeessa korostetaan, että viestintä rekisteröidyille tulee tehdä erityisen selkeästi ja yksiselitteisesti. Miettikää keskivertorekisteröityä ja kirjoittakaa niin, että hän varmasti ymmärtää, mitä nyt on oikein tapahtunut. Kuten missä tahansa muussakin asiakasviestinnässä.

Mikäli on tarpeen ilmoittaa rekisteröidyille, tämä tulee ensisijaisesti tehdä henkilökohtaisesti käyttäen heille jo muuten tuttuja kanavia.

Rekisterinpitäjä on vastuussa

Rekisterinpitäjä on päättänyt kerätä haltuunsa henkilötietoja. Rekisterinpitäjän on kannettava vastuu myös tilanteissa, joissa jotain menee pieleen. Vastuuta ei voida sysätä kumppaneille.

Rekisterinpitäjän on syytä olla ennalta varautunut siihen, miten tarvittaessa tietoturvaloukkaus voidaan havaita, rajoittaa, analysoida ja viestiä. Tämä voi vaatia investointia esimerkiksi tietosuojatyöhön yleisesti, henkilötietoja käsittelevien ihmisten ohjeistamiseen ja kouluttamiseen, toimintatapojen valmisteluun ja teknologiaan. Varsinainen päätös asiaan käytettävistä resursseista on toki jokaisen organisaation johdon harteilla, mutta sen takana on seisottava.

Huonoimmassa tilanteessa ollaan silloin, kun jotain menee pieleen, mutta tilannetta ei itse pystytä havaitsemaan eikä asiaa tutkivalle viranomaiselle voida osoittaa mitään toimenpiteitä tehdyksi henkilötietojen käsittelyn turvallisuudesta huolehtimiseksi.

LINKKI TÄYSMITTAISEEN OHJEESEEN

Avaa dokumentti (Europa.eu)

Keskustelua kirjoituksesta