Jos joudut tietoturvaloukkauksen kohteeksi

Tältä sivulta löydät toimintaohjeita, jos olet joutunut henkilötietoihin kohdistuvan tietoturvaloukkauksen kohteeksi.

Jos olet joutunut tietoturvaloukkauksen kohteeksi, tarkista ensin, mitä tietoja sinusta on voinut joutua ulkopuolisille.

Toimi nopeasti erityisesti silloin, kun tietoturvaloukkaukseen liittyy riski

  • pankki- tai luottokortin
  • passin tai henkilökortin
  • tärkeän tunnuksen ja salasanan väärinkäyttöön.

Tutustu tällä sivulla oleviin ohjeisiimme siitä, mitä erilaisissa henkilötietojen häviämis- tai tietoturvaloukkaustilanteissa on tehtävä.

Jos tietoturvaloukkaus on kohdistunut henkilötietojasi käsittelevään organisaatioon, kysy heiltä apua ja lisätietoja. Voit tarvittaessa pyytää neuvoja myös tietosuojavaltuutetun toimistolta.

Mistä tiedät joutuneesi tietoturvaloukkauksen kohteeksi

Tietoturvaloukkausta voi olla vaikea havaita itse ennen kuin tietoja on käytetty väärin. Henkilötietojasi käsittelevän organisaation on kuitenkin kerrottava sinulle, jos siihen on kohdistunut tietoturvaloukkaus, joka aiheuttaa todennäköisesti korkean riskin oikeuksillesi ja vapauksillesi. Korkean riskin arvioi kohteeksi joutunut organisaatio ja viime kädessä tietosuojavaltuutettu, jolle organisaation on ilmoitettava henkilötietoja koskevasta tietoturvaloukkauksesta.

Organisaation on kerrottava sinulle tapahtuneesta tietoturvaloukkauksesta esimerkiksi seuraavissa tapauksissa:

  • Verkkokauppaan tehdään hyökkäys ja tekijä julkaisee verkossa käyttäjänimiä, salasanoja ja ostohistorioita.
  • Sairaalan potilastiedot ovat poissa käytöstä 30:n tunnin ajan verkkohyökkäyksen vuoksi.
  • Arkaluonteisia henkilötietojasi lähetetään postituslistalle.

Organisaation on silloin kerrottava sinulle

  • millainen henkilötietojen tietoturvaloukkaus on tapahtunut
  • mitä tietoturvaloukkauksesta todennäköisesti seuraa
  • mitä organisaatio on tehnyt tai aikoo tehdä asian eteen ja haittavaikutusten lieventämiseksi
  • mistä voit saada lisätietoja asiasta.

Silloin voit myös itse arvioida asiaa ja suorittaa tarvittavia varokeinoja, esimerkiksi vaihtaa tiliesi salasanoja tai sulkea luottokortin.

Organisaation ei tarvitse ilmoittaa sinulle tietoturvaloukkauksesta, jos

  • organisaatio on suojannut henkilötiedot asianmukaisesti (esimerkiksi henkilötiedot on salattu niin, ettei ulkopuolinen voi käyttää niitä hyväkseen)
  • organisaatio on varmistanut, ettei korkea riski todennäköisesti enää toteudu (esimerkiksi organisaatio on löytänyt kadottamansa tiedot)
  • se vaatisi kohtuutonta vaivaa. Jos organisaatio ei esimerkiksi tiedä keitä rekisteröidyt ovat, se voi käyttää julkista tiedonantoa.

Suomessa henkilötietojen tietoturvaloukkauksista on ilmoitettava tietosuojavaltuutetun toimistolle, jos tietoturvaloukkaus voi olla riski ihmisen oikeuksille ja vapauksille. Tietosuojavaltuutetun toimisto myös arvioi, milloin tietoturvaloukkauksen riski on korkea. Silloin tietosuojavaltuutettu voi määrätä organisaation ilmoittamaan tietoturvaloukkauksesta niille henkilöille, joita se koskee.

Yksityiset henkilöt, yritykset ja organisaatiot voivat lisäksi ilmoittaa myös Traficomin Kyberturvallisuuskeskukselle niihin kohdistuneista tietoturvaloukkauksista, kuten tietojen kalastelusta. Yhteydenottojen perusteella Kyberturvallisuuskeskus selvittää verkkopalveluihin, viestintäpalveluihin ja lisäarvopalveluihin kohdistuvia tietoturvaloukkauksia ja niiden uhkia, kerää tietoa näistä tapahtumista ja tiedottaa tietoturva-asioista. Kyberturvallisuuskeskus myös auttaa tietoturva-asioissa. Yleisen tietoturvatietouden lisäksi apu voi olla luonteeltaan teknistä.

Kyberturvallisuuskeskuksen verkkosivut

Miten toimia?

Koska tietoturvaloukkaukset ovat erilaisia, myös ohjeet niiden varalle vaihtelevat. Jos havaitset tietoturvaloukkauksen tai organisaatio ilmoittaa sinulle sinua koskevasta tietoturvaloukkauksesta, mieti millaista vahinkoa kyseinen tietoturvaloukkaus voi aiheuttaa ja päätä tarvittavat toimenpiteet sen perusteella.

Jos tietoturvaloukkaus on kohdistunut henkilötietojasi käsittelevään organisaatioon, kysy heiltä apua ja lisätietoja. Voit tarvittaessa pyytää neuvoja myös tietosuojavaltuutetun toimistolta.

Tietosuojavaltuutetun toimiston yhteystiedot

Jos haet vahingonkorvausta tietoturvaloukkauksen vuoksi, esitä korvausvaatimukset suoraan tietosuoja-asetusta rikkoneelle rekisterinpitäjälle. Jos rekisterinpitäjä ei suostu vaatimuksiin, voit nostaa kanteen käräjäoikeudessa. Vahingonkorvauksesta päättäminen ei kuulu tietosuojavaltuutetun toimivaltaan. Tietosuojavaltuutettu ei toimi asiamiehenä eikä voi vaatia vahingonkorvausta puolestasi.

Lue lisää: Vahingonkorvausten vaatiminen tietosuoja-asetuksen rikkomisesta

Ohjeita henkilötietojen katoamis- ja tietoturvaloukkaustilanteisiin

Vähennä henkilötietojesi väärinkäytön todennäköisyyttä

Voit vähentää henkilötietojen katoamisen, väärinkäytön ja tietoturvaloukkausten todennäköisyyttä olemalla huolellinen omien henkilötietojesi käsittelyssä.

  • Älä vastaa epäluotettaviin sähköpostiviesteihin, joissa pyydetään tunnuksia, salasanoja, pankki-, luottokortti- tai henkilötietojasi. Esimerkiksi poliisi, pankki, Verohallinto, Microsoft tai Google eivät kysy tällaisia tietoja puhelimitse tai sähköpostitse.
  • Käytä eri palveluissa eri salasanoja.
  • Älä pidä salasanoja tai muita tunnuslukuja mukanasi turhaan. Huomioithan esimerkiksi pankin antamat ohjeet käyttäjätunnuksen ja tunnuslukujen säilyttämisestä.
  • Käytä mahdollisimman luotettavia ja turvallisia verkkokauppoja. Kilpailu- ja kuluttajaviraston verkkosivuilla kerrotaan keinoista välttää verkkokauppahuijaus.
  • Hävitä henkilötietoja sisältävät paperit huolellisesti.
  • Säilytä henkilöllisyystodistuksiasi ja korttejasi huolellisesti.
  • Tyhjennä henkilötietoja sisältäneet laitteet, kun poistat ne käytöstä, myyt tai muuten luovutat laitteita eteenpäin.
  • Poista selaimesi historiatiedot ja evästeet säännöllisesti.