Jos joudut tietoturvaloukkauksen kohteeksi
Tältä sivulta löydät toimintaohjeita, jos olet joutunut henkilötietoihin kohdistuvan tietoturvaloukkauksen kohteeksi.
Jos olet joutunut tietoturvaloukkauksen kohteeksi, tarkista ensin, mitä tietoja sinusta on voinut joutua ulkopuolisille.
Toimi nopeasti erityisesti silloin, kun tietoturvaloukkaukseen liittyy riski
- pankki- tai luottokortin
- passin tai henkilökortin
- tärkeän tunnuksen ja salasanan väärinkäyttöön.
Tutustu tällä sivulla oleviin ohjeisiimme siitä, mitä erilaisissa henkilötietojen häviämis- tai tietoturvaloukkaustilanteissa on tehtävä.
Jos tietoturvaloukkaus on kohdistunut henkilötietojasi käsittelevään organisaatioon, kysy heiltä apua ja lisätietoja. Voit tarvittaessa pyytää neuvoja myös tietosuojavaltuutetun toimistolta.
Henkilötietojen tietoturvaloukkauksia voivat olla esimerkiksi tietojärjestelmään tehty tietomurto tai luvaton tietojen luovuttaminen tai julkaiseminen.
Henkilötietojen tietoturvaloukkauksen seurauksena henkilötietoja tuhoutuu, häviää, muuttuu, luovutetaan luvattomasti tai henkilötietoihin pääsee käsiksi henkilö, jolla ei ole oikeutta käsitellä tietoja.
Jos olet itse hukannut henkilötietojasi tai sinulta on esimerkiksi varastettu maksukortti tai tietokone, katso lisätietoja ja neuvoja kohdasta Ohjeita henkilötietojen katoamis- ja tietoturvaloukkaustilanteisiin.
Tietoturvaloukkauksen kohteeksi joutuneelle henkilölle ei välttämättä koidu seurauksia. Asia riippuu hyvin paljon niistä tiedoista, joita henkilöstä joutuu ulkopuolisille.
Henkilötietojen tietoturvaloukkauksesta voi kuitenkin seurata esimerkiksi taloudellisia menetyksiä, maineen vahingoittumista, salassa pidettävien henkilötietojen paljastuminen tai identiteettivarkaus.
Esimerkkejä tietoturvaloukkausten seurauksista:
Sähköpostiosoitteen joutuminen ulkopuolisille
- Sähköpostiin voi tulla kalasteluyrityksiä ja ei-toivottua mainontaa
Maksukorttitietojen joutuminen ulkopuolisille
- Maksukortin väärinkäyttö tai väärinkäytön yritykset
- Taloudelliset menetykset
Passi- tai henkilötodistustietojen joutuminen ulkopuolisille
- Päätyminen myyntiin ja ulkopuolisen käyttöön
- Ostosten tilaaminen henkilön laskuun
Tunnuksen ja salasanan kadottaminen
- Palveluiden käytön estyminen
- Tilin käyttö tai ryöstäminen
- Toisena henkilönä (loukkauksen uhrina) esiintyminen
Arkaluonteisen tiedon leviäminen
- Maineen menetys, kiristyksen tai kiusaamisen uhriksi joutuminen
Muiden henkilötietojen leviäminen
- Altistuminen petoksen yrityksille, esimerkiksi kalasteluviestien saaminen
Mistä tiedät joutuneesi tietoturvaloukkauksen kohteeksi
Tietoturvaloukkausta voi olla vaikea havaita itse ennen kuin tietoja on käytetty väärin. Henkilötietojasi käsittelevän organisaation on kuitenkin kerrottava sinulle, jos siihen on kohdistunut tietoturvaloukkaus, joka aiheuttaa todennäköisesti korkean riskin oikeuksillesi ja vapauksillesi. Korkean riskin arvioi kohteeksi joutunut organisaatio ja viime kädessä tietosuojavaltuutettu, jolle organisaation on ilmoitettava henkilötietoja koskevasta tietoturvaloukkauksesta.
Organisaation on kerrottava sinulle tapahtuneesta tietoturvaloukkauksesta esimerkiksi seuraavissa tapauksissa:
- Verkkokauppaan tehdään hyökkäys ja tekijä julkaisee verkossa käyttäjänimiä, salasanoja ja ostohistorioita.
- Sairaalan potilastiedot ovat poissa käytöstä 30:n tunnin ajan verkkohyökkäyksen vuoksi.
- Arkaluonteisia henkilötietojasi lähetetään postituslistalle.
Organisaation on silloin kerrottava sinulle
- millainen henkilötietojen tietoturvaloukkaus on tapahtunut
- mitä tietoturvaloukkauksesta todennäköisesti seuraa
- mitä organisaatio on tehnyt tai aikoo tehdä asian eteen ja haittavaikutusten lieventämiseksi
- mistä voit saada lisätietoja asiasta.
Silloin voit myös itse arvioida asiaa ja suorittaa tarvittavia varokeinoja, esimerkiksi vaihtaa tiliesi salasanoja tai sulkea luottokortin.
Organisaation ei tarvitse ilmoittaa sinulle tietoturvaloukkauksesta, jos
- organisaatio on suojannut henkilötiedot asianmukaisesti (esimerkiksi henkilötiedot on salattu niin, ettei ulkopuolinen voi käyttää niitä hyväkseen)
- organisaatio on varmistanut, ettei korkea riski todennäköisesti enää toteudu (esimerkiksi organisaatio on löytänyt kadottamansa tiedot)
- se vaatisi kohtuutonta vaivaa. Jos organisaatio ei esimerkiksi tiedä keitä rekisteröidyt ovat, se voi käyttää julkista tiedonantoa.
Suomessa henkilötietojen tietoturvaloukkauksista on ilmoitettava tietosuojavaltuutetun toimistolle, jos tietoturvaloukkaus voi olla riski ihmisen oikeuksille ja vapauksille. Tietosuojavaltuutetun toimisto myös arvioi, milloin tietoturvaloukkauksen riski on korkea. Silloin tietosuojavaltuutettu voi määrätä organisaation ilmoittamaan tietoturvaloukkauksesta niille henkilöille, joita se koskee.
Yksityiset henkilöt, yritykset ja organisaatiot voivat lisäksi ilmoittaa myös Traficomin Kyberturvallisuuskeskukselle niihin kohdistuneista tietoturvaloukkauksista, kuten tietojen kalastelusta. Yhteydenottojen perusteella Kyberturvallisuuskeskus selvittää verkkopalveluihin, viestintäpalveluihin ja lisäarvopalveluihin kohdistuvia tietoturvaloukkauksia ja niiden uhkia, kerää tietoa näistä tapahtumista ja tiedottaa tietoturva-asioista. Kyberturvallisuuskeskus myös auttaa tietoturva-asioissa. Yleisen tietoturvatietouden lisäksi apu voi olla luonteeltaan teknistä.
Kyberturvallisuuskeskuksen verkkosivut
Miten toimia?
Koska tietoturvaloukkaukset ovat erilaisia, myös ohjeet niiden varalle vaihtelevat. Jos havaitset tietoturvaloukkauksen tai organisaatio ilmoittaa sinulle sinua koskevasta tietoturvaloukkauksesta, mieti millaista vahinkoa kyseinen tietoturvaloukkaus voi aiheuttaa ja päätä tarvittavat toimenpiteet sen perusteella.
Jos tietoturvaloukkaus on kohdistunut henkilötietojasi käsittelevään organisaatioon, kysy heiltä apua ja lisätietoja. Voit tarvittaessa pyytää neuvoja myös tietosuojavaltuutetun toimistolta.
Tietosuojavaltuutetun toimiston yhteystiedot
Jos haet vahingonkorvausta tietoturvaloukkauksen vuoksi, esitä korvausvaatimukset suoraan tietosuoja-asetusta rikkoneelle rekisterinpitäjälle. Jos rekisterinpitäjä ei suostu vaatimuksiin, voit nostaa kanteen käräjäoikeudessa. Vahingonkorvauksesta päättäminen ei kuulu tietosuojavaltuutetun toimivaltaan. Tietosuojavaltuutettu ei toimi asiamiehenä eikä voi vaatia vahingonkorvausta puolestasi.
Lue lisää: Vahingonkorvausten vaatiminen tietosuoja-asetuksen rikkomisesta
Ohjeita henkilötietojen katoamis- ja tietoturvaloukkaustilanteisiin
1. Tee poliisille ilmoitus kadonneesta tai varastetusta passista tai henkilökortista. Voit tehdä ilmoituksen internetissä (Tee sähköinen rikosilmoitus poliisin verkkopalvelussa) tai käymällä poliisin toimipisteessä. Jos olet ulkomailla, tee ilmoitus Suomen edustustolle (ulkoasiainhallinnon verkkosivuilla).
Ilmoitus ehkäisee väärinkäytöksiä. Kun olet tehnyt ilmoituksen, voit hakea uutta passia tai henkilökorttia poliisilta sekä ajokorttia Liikenne- ja viestintävirasto Traficomilta.
Lue lisää:
Passin hakeminen poliisin verkkosivuilla
Henkilökortin hakeminen poliisin verkkosivuilla
Tilaa uusi ajokortti Traficomin verkkosivuilla
2. Harkitse vapaaehtoisen luottokiellon tekemistä. Merkintä vähentää riskiä identiteettivarkauteen sekä ulkopuolisen tekemiin luottokorttihankintoihin ja pikavippinostoihin. Siitä voi kuitenkin olla haittaa, jos haluaa esimerkiksi itse hakea luottoa. Oma luottokielto saattaa estää luoton saamisen tai ainakin hankaloittaa luotonhakuprosessia.
Voit tehdä Verohallinnon positiiviseen luottotietorekisteriin vapaaehtoisen luottokiellon omiin tietoihisi. Verohallinnon sähköinen asiointipalvelu on maksuton, ja luottokieltoa koskeva merkintä on mahdollista tehdä, päivittää tai poistaa palvelun kautta. Tämä vapaaehtoista luottokieltoa koskeva merkintä saavuttaa laajasti luotonantajat, koska niitä koskee tietojen tarkastamisvelvollisuus luoton myöntämistä varten. Vapaahtoinen luottokielto ei kuitenkaan täysin estä väärinkäytöksiä.
Lisäksi voit tehdä Suomen Asiakastieto Oy:n sekä Dun & Bradstreet Oy:n ylläpitämiin luottotietoihin maksullisen Oma Luottokielto -merkinnän Suomen Asiakastieto Oy:n tai/ja Dun & Bradstreet Finland Oy:n (aiemmin Bisnode) verkkosivujen kautta. Kumpikin yritys ylläpitää omaa luottotietorekisteriä. Luotonhaku- tai sopimuksentekotilanteessa osa luotonmyöntäjistä saa tiedon itse tekemästäsi luottokiellosta. Esimerkiksi pankki tai verkkokauppa voi silloin varmistaa luotonhakijan henkilöllisyyden tavanomaista tarkemmin. Jos luotonmyöntäjä käyttää toisen yrityksen luottotietorekisteriä, se ei saa tietoa merkinnästä. Merkintä ei siis täysin estä väärinkäytöksiä.
3. Tarkkaile tilitapahtumiasi katoamisen jälkeen. Jos huomaat tilitapahtumia, joita et ole itse tehnyt, tee oikaisupyyntö pankillesi. Saat ohjeita oman pankkisi asiakaspalvelusta. Tee tilitapahtumista myös rikosilmoitus poliisille.
1. Ilmoita kortin katoamisesta välittömästi pankkisi sulkupalveluun (vakuutus- ja rahoitusneuvonnan verkkosivu), jos maksukortti on kadonnut kokonaan tai varastettu. Toimi nopeasti. Korttien sulkupalvelut palvelevat ympäri vuorokauden.
2. Joissain verkkopankeissa maksukortin voi sulkea tilapäisesti. Sulje korttisi tilapäisesti, jos tiedät esimerkiksi, että korttisi on kadonnut kotona.
3. Tarkkaile tilitapahtumiasi katoamisen jälkeen. Jos huomaat tapahtumia, joita et ole itse tehnyt, tee oikaisupyyntö pankillesi. Saat ohjeita oman pankkisi asiakaspalvelusta. Tee asiasta myös rikosilmoitus poliisille poliisin verkkopalvelussa.
1. Ilmoita kadonneista pankkitunnuksista pankillesi. Tee ilmoitus mahdollisimman pian esimerkiksi puhelimitse tai verkkopankissa. Pankki jäädyttää pankkitunnuksesi ilmoituksen perusteella.
Älä säilytä käyttäjätunnusta, pin-koodia ja avainkoodeja koskaan samassa paikassa. Kun saat pankkitunnukset uudestaan käyttöösi, muista laittaa tunnukset ja koodit erilleen toisistaan. Se poistaa korvausvastuun tai ainakin pienentää sitä väärinkäytöstilanteissa ja ehkäisee väärinkäytöksiä, jos kadotat tunnukset uudelleen.
Jos olet kadottanut pelkän pankkitilinumerosi, katoaminen ei vaadi toimenpiteitä. Pelkän pankkitilinumeron väärinkäytöksen mahdollisuus on pieni.
2. Tarkkaile tilitapahtumiasi katoamisen jälkeen. Jos huomaat kortillasi tapahtumia, joita et ole itse tehnyt, tee oikaisupyyntö pankillesi. Saat ohjeita oman pankkisi asiakaspalvelusta. Tee asiasta myös rikosilmoitus poliisille poliisin verkkopalvelussa.
1. Vaihda salasana välittömästi.
2. Jos kyseessä on työhön liittyvä tunnus ja salasana, ilmoita työnantajallesi mahdollisimman nopeasti.
1. Ilmoita katoamisesta operaattorillesi. Saat operaattorilta uuden sim-kortin vanhalle numerollesi.
2. Tee rikosilmoitus poliisille poliisin verkkopalvelussa, jos puhelin on varastettu.
3. Määritä puhelimesi kadonneeksi. Tilan määrittäminen ei onnistu kaikilla laitteilla.
Laitekohtaisia ohjeita:
Mitä tehdä, jos iPhone, iPad tai iPod touch katoaa tai varastetaan (Applen verkkosivut)
Etsi Samsung-matkapuhelin (Samsungin verkkosivut)
Kadonneen Windows-laitteen etsiminen ja lukitseminen (Windowsin verkkosivut)
4. Vaihda salasanat kaikkiin tunnuksiin, joihin pääsee kadonneelta laitteelta.
1. Huomioi, että hyökkääjä pääsee kovalevyllä oleviin tietoihin helposti käsiksi, jos tietokoneen kovalevy ei ole salattu ja siinä ei sen lisäksi ole vahvaa salasanaa. Pelkkä salasana ei suojaa koneen tietoja.
2. Tee rikosilmoitus poliisille, jos tietokone on varastettu.
3. Määritä tietokoneesi kadonneeksi. Tilan määrittäminen ei onnistu kaikilla laitteilla.
Laitekohtaisia ohjeita:
Mitä tehdä, jos iPhone, iPad tai iPod touch katoaa tai varastetaan (Applen verkkosivut)
Etsi Samsung-matkapuhelin (Samsungin verkkosivut)
Kadonneen Windows-laitteen etsiminen ja lukitseminen (Windowsin verkkosivut)
4. Vaihda salasanat kaikkiin tunnuksiin, joihin pääsee kadonneelta laitteelta.
Ilmoita kortin katoamisesta sen myöntäneelle taholle (esimerkiksi liikennelaitos tai kirjasto). Pyydä uusi kortti. Uudesta kortista voidaan veloittaa maksu kulujen kattamiseksi.
Kadonneita tavaroita voi kysyä poliisilta tai löytötavaratoimistosta. Salasanat, pankkitunnukset ja maksukortit pitää aina vaihtaa, vaikka kadonnut omaisuus löytyisi. Joku on voinut kopioida tiedot ennen niiden päätymistä poliisille tai löytötavaratoimistoon.
Huolehdi, että laitteesi tietoturvapäivitykset ovat ajantasaisia.
1. Tee rikosilmoitus poliisille poliisin verkkopalvelussa. Jo petoksen yritys voi olla rikos.
2. Tutustu Rikosuhripäivystyksen verkkosivuihin, joilla on toimintaohjeita ja lisätietoja petoksista sekä identiteettivarkauksista.
Vähennä henkilötietojesi väärinkäytön todennäköisyyttä
Voit vähentää henkilötietojen katoamisen, väärinkäytön ja tietoturvaloukkausten todennäköisyyttä olemalla huolellinen omien henkilötietojesi käsittelyssä.
- Älä vastaa epäluotettaviin sähköpostiviesteihin, joissa pyydetään tunnuksia, salasanoja, pankki-, luottokortti- tai henkilötietojasi. Esimerkiksi poliisi, pankki, Verohallinto, Microsoft tai Google eivät kysy tällaisia tietoja puhelimitse tai sähköpostitse.
- Käytä eri palveluissa eri salasanoja.
- Älä pidä salasanoja tai muita tunnuslukuja mukanasi turhaan. Huomioithan esimerkiksi pankin antamat ohjeet käyttäjätunnuksen ja tunnuslukujen säilyttämisestä.
- Käytä mahdollisimman luotettavia ja turvallisia verkkokauppoja. Kilpailu- ja kuluttajaviraston verkkosivuilla kerrotaan keinoista välttää verkkokauppahuijaus.
- Hävitä henkilötietoja sisältävät paperit huolellisesti.
- Säilytä henkilöllisyystodistuksiasi ja korttejasi huolellisesti.
- Tyhjennä henkilötietoja sisältäneet laitteet, kun poistat ne käytöstä, myyt tai muuten luovutat laitteita eteenpäin.
- Poista selaimesi historiatiedot ja evästeet säännöllisesti.