Tietosuojavaltuutetun toimisto selvittää Helsingin kaupunkiin kohdistunutta tietoturvaloukkausta
Helsingin kaupunki on tiedottanut vakavasta tietomurrosta tietoverkossaan. Tietosuojavaltuutetun toimisto selvittää tapahtunutta henkilötietojen tietoturvaloukkausta ja tutkii muun muassa, onko kaupunki huolehtinut asianmukaisesti tietosuojavaatimuksista, ja ovatko sen suojatoimet olleet puutteelliset. Poliisi tutkii tapausta törkeänä tietomurtona.
Helsingin kaupunki ilmoitti tietosuojavaltuutetun toimistolle kasvatuksen ja koulutuksen toimialalle kohdistuneesta tietomurrosta 30.4. Helsingin kaupungin antamien tietojen mukaan tietomurron tekijä on päässyt käsiksi 38 000 Helsingin kaupungin työntekijän tietoihin, ja pahimmassa tapauksessa tietomurto koskee yli 80 000 oppijaa ja heidän huoltajaansa.
Tietosuojavaltuutetun toimisto ryhtyi toimenpiteisiin välittömästi, kun tapaus tuli ilmi. Ensivaiheessa kaupunkia ohjattiin tiedottamaan tietoturvaloukkauksesta. Tietosuojavaltuutetun toimisto jatkaa asian selvittämistä. Kaupungilta on pyydetty selvitystä 5.6. mennessä.
”Tämänhetkisten tietojen mukaan kyseessä on vakava tapaus. Tällaisissa tapauksissa on tärkeää, että ihmiset saavat mahdollisimman nopeasti tiedon tietomurrosta, jotta he voivat suojautua seurauksilta”, apulaistietosuojavaltuutettu Annina Hautala toteaa.
Jatkotoimenpiteitä arvioidaan selvityksen perusteella
Tietosuojavaltuutetun toimisto tutkii asiaa tietosuojalainsäädännön noudattamisen näkökulmasta. Kaupunki on tehnyt tapauksesta ilmoituksen myös Traficomin Kyberturvallisuuskeskukselle sekä rikosilmoituksen poliisille. Tarvittaessa Kyberturvallisuuskeskus ja tietosuojavaltuutetun toimisto tekevät selvityksessä yhteistyötä.
”Olennaista organisaation tietosuojatyössä on, että henkilötietojen käsittelyn turvallisuudesta huolehditaan. Tietosuojavaltuutettu valvoo, että tietosuojalainsäädäntöä noudatetaan, jotta me kaikki ja meidän henkilötietomme ovat turvassa. Valvonnan vaikuttavuuden varmistamiseksi tietosuojanviranomainen voi antaa organisaatioille seuraamuksia tietosuojalainsäädännön vastaisesta toiminnasta. Kun Helsingin kaupungilta on saatu selvitys, arvioidaan, millaisiin jatkotoimenpiteisiin on ryhdyttävä”, Hautala sanoo.
Yrityksille voidaan määrätä hallinnollinen seuraamusmaksu vakavissa tietoturvaloukkaustapauksissa. Nykylainsäädännön mukaan seuraamusmaksua ei voida määrätä julkisen sektorin toimijalle. Jotta julkisen sektorin organisaatioiden lainvastaiseen toimintaan puuttumiseksi olisi käytettävissä yhtäläiset seuraamusvaihtoehdot, on hallitusohjelmassa kirjaus seuraamusmaksujen ulottamisesta myös julkiselle sektorille.
Neuvoja tietoturvaloukkauksen kohteeksi joutuneille
Tietomurron kohteeksi joutuneet voivat olla yhteydessä suoraan Helsingin kaupunkiin lisätietojen saamiseksi. Kaupunki on ilmoittanut tiedottavansa asiasta selvitystyön edetessä.
Ohjeita ja neuvoja tietoturvaloukkauksen kohteeksi joutuneille on saatavilla seuraavista kanavista:
- Helsingin kaupungin perustama asiakaspalvelukanava, puh. 09 310 27139 tai [email protected]
- Helsingin kaupunki on julkaissut verkkosivuillaan julkisen tiedotteen ja ohjeistusta tietomurron mahdollisille kohderyhmille osoitteessa hel.fi/tietomurto
- Ohjeita tietosuojavaltuutetun toimiston verkkosivuilla: Jos joudut tietoturvaloukkauksen kohteeksi
- Opas Suomi.fi-verkkosivuilla: Henkilötietojani on viety tai vuotanut
Tukea ja keskusteluapua voi tarvittaessa pyytää esimerkiksi Rikosuhripäivystyksestä tai Mieli ry:n kriisipuhelimesta.
Jos organisaatio rikkoo tietosuoja-asetusta ja siitä aiheutuu henkilölle vahinkoa, vahingosta on oikeus saada korvausta. Tietomurron tai muiden rikosten osalta vahingonkorvausvaatimukset voidaan ratkaista rikosoikeudenkäynnin yhteydessä. Vahingonkorvausvaatimuksen voi myös osoittaa suoraan kyseiselle organisaatiolle.
Lisätietoja:
Apulaistietosuojavaltuutettu Annina Hautala, annina.hautala(at)om.fi, puh. 029 566 6776
Helsingin kaupungin tiedote 13.5.: Helsingin kaupungin kasvatuksen ja koulutuksen toimialan tietomurron selvitystyö edennyt (hel.fi)
Kyberturvallisuuskeskuksen artikkeli 13.5.: Tietomurrot - mitä ne ovat? (kyberturvallisuuskeskus.fi)
Vahingonkorvausten vaatiminen tietosuoja-asetuksen rikkomisesta (tietosuoja.fi)
Tietosuojavaltuutetun korjaavat toimivaltuudet (tietosuoja.fi)