Tietosuojavaltuutetun toimistolta ohjeistusta sote-toimijoille tietoturvaloukkausten ilmoituskäytännöistä
Apulaistietosuojavaltuutettu on lähettänyt sosiaali- ja terveydenhuollon toimijoille ohjekirjeen, jonka tarkoituksena on yhdenmukaistaa tietoturvaloukkausten ilmoituskäytäntöjä. Tietosuojavaltuutetun toimisto on havainnut, että toimialalla on tarve tarkentavalle ohjeistukselle tietoturvaloukkauksista ilmoittamiseen. Kirjeessä annetaan muun muassa esimerkkejä ilmoitusvelvollisuudesta erilaisissa tilanteissa.
Tarve tietoturvaloukkausten ilmoituskäytäntöjen yhdenmukaistamiselle on noussut esille muun muassa Kelan, THL:n ja tietosuojavaltuutetun toimiston alkuvuodesta 2021 toteuttamassa Resepti-palvelun selvityspyynnössä. Tietosuojavaltuutetun toimisto on myös kiinnittänyt huomiota siihen, että tietoturvaloukkausten tunnistamisessa ja käsittelyssä on toimialakohtaisia eroja.
Apulaistietosuojavaltuutetun lähettämän kirjeen tarkoituksena on ohjeistaa sosiaali- ja terveydenhuollon toimialalla toimivia rekisterinpitäjiä tietoturvaloukkausten ilmoituskäytännöistä sekä lisätä tietoisuutta ja ymmärrystä henkilötietojen tietoturvaloukkauksista ja niihin liittyvistä lakisääteisistä velvoitteista.
Sosiaali- ja terveydenhuollon sektorilta saapuu tietosuojavaltuutetun toimistolle määrällisesti eniten tietoturvaloukkausilmoituksia.
Henkilötietojen tietoturvaloukkauksien käsittelystä sekä niihin liittyvistä ilmoitusvelvollisuuksista säädetään EU:n yleisessä tietosuoja-asetuksessa. Rekisterinpitäjällä on tietyissä tilanteissa velvollisuus ilmoittaa havaitsemastaan tietoturvaloukkauksesta viranomaiselle sekä sen kohteeksi joutuneille henkilöille.
Tietoturvaloukkauksesta on ilmoitettava tietosuojavaltuutetun toimistolle, jos tietoturvaloukkaus todennäköisesti aiheuttaa riskin henkilöiden oikeuksille ja vapauksille. Jos loukkaus voi aiheuttaa henkilöille korkean riskin, heille on ilmoitettava tapahtuneesta tietoturvaloukkauksesta henkilökohtaisesti.
Kirjeen liitteenä olevassa esimerkkiluettelossa on avattu tilanteita, joissa tietoturvaloukkaus lähtökohtaisesti aiheuttaa riskin tai korkean riskin tai ei aiheuta riskiä lainkaan.
Apulaistietosuojavaltuutetun kirje sote-sektorin toimijoille (pdf)
Lisätietoja:
Apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa, helja-tuulia.pihamaa(at)om.fi, puh. 029 56 66787
Ohjeita organisaatioille tietoturvaloukkauksista ilmoittamiseen verkkosivuiltamme