Tietoturvaloukkauksia koskevien ilmoitusten määrä kasvussa – miten ehkäistä ja hallita loukkauksia?
)
Tietoturvaloukkauksia koskevien ilmoitusten määrä on jatkuvasti kasvanut viime vuosina, kun organisaatioiden ilmoitusvelvollisuus alkoi EU:n yleisen tietosuoja-asetuksen soveltamisen myötä toukokuussa 2018. Tietosuoja-asetus velvoittaa rekisterinpitäjän ilmoittamaan henkilötietojen tietoturvaloukkauksista valvontaviranomaiselle ja tarvittaessa rekisteröidyille sen mukaan, minkä tasoinen riski loukkauksesta todennäköisesti aiheutuu. Tietoturvaloukkauksia koskevat ilmoitukset muodostavat tietosuojavaltuutetun toimistoon vireille tulleiden asioiden suurimman yksittäisen ryhmän. Niiden osuus kaikista vireille tulleista asioista on vuoden 2022 aikana noussut lähes puoleen. Ylivoimaisesti yleisin syy tietoturvaloukkauksiin on tietosuojavaltuutetun mukaan huolimattomuusvirhe, kun useita asioita suoritetaan samanaikaisesti ja kiireessä.
Mikä on henkilötietojen tietoturvaloukkaus?
Henkilötietojen tietoturvaloukkauksella tarkoitetaan tapahtumaa, jonka seurauksena henkilötietoja tuhoutuu, häviää, muuttuu, luovutetaan luvattomasti tai niihin pääsee käsiksi taho, jolla ei ole käsittelyoikeutta. Tietoturvaloukkaus voi olla esimerkiksi hävinnyt henkilötietoja sisältävä tiedonsiirtoväline kuten USB-muistitikku, tai varastettu tietokone, ulkopuolisen tahon tekemä tietomurto tai henkilötietoja sisältävän sähköpostiviestin lähettäminen väärälle henkilölle.
Tietoturvaloukkauksella voi olla useita henkilöihin kohdistuvia haittavaikutuksia ja ne voivat aiheuttaa aineellisia tai aineettomia vahinkoja. Tällaisia vahinkoja ovat esimerkiksi syrjintä, identiteettivarkaus tai petos, taloudelliset menetykset, maineen vahingoittuminen ja se, että henkilö ei voi enää valvoa omien henkilötietojensa käyttöä.
Miten ehkäistä tietoturvaloukkauksia ja valmistautua niiden varalle?
Tietoturvaloukkauksiin on kyettävä reagoimaan nopeasti, joten organisaatioilla on tärkeää olla selkeät toimintaohjeet laadittuna mahdollisten loukkaustilanteiden varalle. Rekisterinpitäjien ja henkilötietojen käsittelijöiden tulisikin suunnitella ja ottaa ennakolta käyttöön vuosittain päivitettävä prosessi, jonka avulla ne voivat havaita tietoturvaloukkauksen, nopeasti estää sen leviämisen sekä arvioida riskit, joita loukkauksesta aiheutuu sen kohteena oleville henkilöille.
Tietoturvaloukkausten ehkäisemisessä hyödyllisenä työkaluna toimii rekisterinpitäjän vastuulla oleva tietosuojan vaikutustenarviointi. Sen avulla voidaan arvioida ja hallinnoida henkilötietojen käsittelyyn liittyviä riskejä sekä tunnistaa, mitä toimenpiteitä uhkien välttämiseksi on tarpeen tehdä.
Olennaista on huolehtia organisaation sisäisestä ohjeistuksesta ja kouluttamisesta sekä säännöllisesti testauttaa järjestelmiä simuloiduilla harjoituksilla. Tietosuojavaltuutetun toimisto kiinnittää huomiota muun muassa ohjelmistojen ajantasaisuuden varmistamiseen, pääsynhallintaan sekä riittävään tietojärjestelmien valvontaan ja luokitukseen osana henkilötietojen käsittelyn turvallisuutta.
Miten toimia tietoturvaloukkaustilanteessa?
Riskiarvio
Henkilötietojen käsittelijän on ilmoitettava tietoonsa tulleesta henkilötietojen tietoturvaloukkausepäilystä rekisterinpitäjälle ilman aiheetonta viivytystä. Rekisterinpitäjän ja käsittelijän on toteutettava kaikki asianmukaiset toimenpiteet, jotta voidaan selvittää välittömästi, onko henkilötietojen tietoturvaloukkaus todella tapahtunut. Rekisterinpitäjän on pyrittävä rajoittamaan turvapoikkeaman leviäminen sekä tehtävä samalla riskiarvio siitä, mitä seurauksia tietoturvaloukkauksella todennäköisesti on rekisteröityjen oikeuksille tai vapauksille. Riskiarviota suorittaessa tulee huomioida tietoturvaloukkauksen erityiset olosuhteet, kuten mahdollisten vaikutusten vakavuus ja niiden toteutumisen todennäköisyys. Huomioitavia seikkoja ovat muun muassa seuraavat:
henkilötietojen luonne, arkaluonteisuus ja määrä,
henkilöiden tunnistamisen helppous,
henkilöille aiheutuvien seurausten vakavuus sekä loukkauksen olevien henkilöiden erityiset ominaisuudet (esim. lapsi/muuten heikompi asema) ja
henkilöiden määrä.
Riskiarvion pohjalta on tehtävä päätös, täytyykö tietoturvaloukkauksesta ilmoittaa viranomaiselle tai jopa rekisteröidyille.
Ilmoitusvelvollisuus
Kun rekisterinpitäjä tulee tietoiseksi tietoturvaloukkauksesta, on siitä ilmoitettava ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa valvontaviranomaiselle eli Suomessa tietosuojavaltuutetun toimistolle. Ilmoitus viranomaiselle voidaan jättää tekemättä vain, jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Lisäksi jos tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin rekisteröityjen oikeuksille ja vapauksille, on myös heille ilmoitettava tietoturvaloukkauksesta ilman aiheetonta viivytystä.
Rajanveto, milloin yllä mainitut ilmoitukset on käytännössä tehtävä, voi olla haastavaa. Rajanvetoa helpottaakseen Euroopan tietosuojaneuvosto on antanut käytännön esimerkkejä ohjeessaan 01/2021 tietoturvaloukkauksia koskevien ilmoitusten julkaisusta. Lisäksi tietosuojavaltuutetun ohjeistuksen päivitys (03/2022) selventää sote-sektorin tietoturvaloukkausten ilmoituskäytäntöjä. Sote-sektorilla kynnys ilmoittaa on matalampi – kun tietoturvaloukkaus koskee terveystietoja, on korkea riski todennäköisesti olemassa, ellei rekisterinpitäjä osoita, että riskiä on pienennetty.
Dokumentointi
Riippumatta siitä, onko tietoturvaloukkauksesta ilmoitettava valvontaviranomaiselle, rekisterinpitäjän (ja käsittelijän) on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset sekä niiden vaikutukset ja toteutetut korjaavat toimet tapahtuma-ajan lokitiedot mukaan lukien. Valvontaviranomaisen on voitava tämän dokumentoinnin avulla tarkistaa, että rekisterinpitäjä on noudattanut velvollisuuksiaan.
Avustamme Fondialla asiakkaitamme tietoturvaloukkauksia koskevissa prosesseissa muun muassa laatimalla ohjeistuksia ja dokumentteja ilmoitusten tekoa varten sekä tarjoamalla tapauskohtaista konsultointia yksittäisiin loukkauksiin liittyen.
Järjestämme Fondia Academy -tilaisuuden ajankohtaisista tietosuoja-asioista torstaina 27.10.2022 Fondian Helsingin toimistolla Aleksanterinkadulla.
Fondia Academyssa ovat puhumassa asiantuntijamme Ulla Hirvelä, Maarit Niemistö ja Heli Gummerus.
)
