Tietoturvaloukkaukset
Mikä on henkilötietojen tietoturvaloukkaus?
Henkilötietojen tietoturvaloukkauksella tarkoitetaan tapahtumaa, jonka seurauksena henkilötietoja tuhoutuu, häviää, muuttuu, henkilötietoja luovutetaan luvattomasti tai niihin pääsee käsiksi taho, jolla ei ole käsittelyoikeutta.
Henkilötietojen tietoturvaloukkauksia voivat olla esimerkiksi
- hävinnyt tiedonsiirtoväline, kuten USB-tikku
- varastettu tietokone
- hakkerointi
- haittaohjelmatartunta
- kyberhyökkäys
- tulipalo datakeskuksessa
- tiliotteen postitus väärälle henkilölle.
Tietoturvaloukkauksesta voi seurata esimerkiksi henkilötietojen valvomiskyvyn menettäminen, identiteettivarkaus tai petos, maineen vahingoittuminen tai pseudonymisoitujen tai salassapitovelvollisuuden alaisten henkilötietojen paljastuminen.
Dokumentoi kaikki henkilötietojen tietoturvaloukkaukset ja arvioi riskin taso
Sekä rekisterinpitäjän että henkilötietojen käsittelijän on suojattava henkilötiedot niin, että suojaustoimenpiteet vastaavat henkilötietojen käsittelyyn liittyvää riskiä. Lisäksi rekisterinpitäjän on varauduttava mahdollisiin tietoturvaloukkauksiin laatimalla toimintaohjeet tietoturvaloukkaustilanteita varten. Tietoturvaloukkauksiin on pystyttävä reagoimaan mahdollisimman nopeasti.
Rekisterinpitäjän täytyy arvioida, minkä tasoinen riski tietoturvaloukkauksesta aiheutuu sen kohteena olleille henkilöille, esimerkiksi
- ei aiheudu riskiä
- aiheutuu riski
- aiheutuu korkea riski.
Riskin taso määrittää ne toimenpiteet, joihin rekisterinpitäjän on ryhdyttävä. Toimenpiteitä ovat esimerkiksi
- tietoturvaloukkauksen dokumentointi
- ilmoitus valvontaviranomaiselle
- ilmoitus rekisteröidylle.
Dokumentoi kaikki henkilötietojen tietoturvaloukkaukset sekä niiden vaikutukset ja toteutetut korjaavat toimet riippumatta siitä, mitä toimenpiteitä tietoturvaloukkauksesta lopulta seuraa. Dokumentointivelvollisuuden tai ilmoituksen tekemisen laiminlyöminen on tietosuoja-asetuksen vastaista. Se voi johtaa tietosuoja-asetuksessa määritettyihin seuraamuksiin.
Dokumentointivelvollisuuden piiriin kuuluvat myös tietojärjestelmään kohdistuneen tietoturvaloukkauksen osalta tapahtuma-ajan lokitiedot. Tietosuojavaltuutettu voi pyytää lokitietoja tietoturvaloukkausta koskevan ilmoituksen käsittelyä varten.
Mitä riskien arvioinnissa on otettava huomioon?
Rekisterinpitäjän on arvioitava, millainen riski tietoturvaloukkauksesta on aiheutunut vuodon kohteena olevalle henkilölle. Arvio määrittää tarvittavia tietoturvaloukkauksesta seuraavia toimenpiteitä.
Huomioi arviossa seuraavat asiat:
Seuraukset voivat olla erilaisia esimerkiksi silloin, jos arkaluonteiset tiedot ovat vuotaneet internetiin, kuin silloin, jos henkilötietoja ei pääse käsittelemään tietojärjestelmävian vuoksi.
Mitä arkaluonteisempaan tietoon tietoturvaloukkaus kohdistuu, sen suurempi riski siitä aiheutuu loukkauksen kohteena olevalle henkilölle. Myös rekisteröityä koskevien eri tietotyyppien yhdistelmä on usein arkaluonteisempi kuin yksittäinen rekisteröityä koskeva tieto. Kun tietoturvaloukkaus kohdistuu suureen määrään tietoja, myös seuraukset koskevat laajaa joukkoa.
On tärkeää arvioida sitä, kuinka helposti henkilöt ovat tunnistettavissa tietoturvaloukkauksen kohteena olevasta aineistosta joko suoraan tai välillisesti muiden saatavilla olevien tietojen avulla. Tunnistettavuuteen voi vaikuttaa muun muassa se, miten hyvin tiedot on salattu tai pseudonymisoitu.
Tietoturvaloukkauksella voi olla vakavammat vaikutukset silloin, kun se kohdistuu lapsiin tai muihin haavoittuvammassa tai heikommassa asemassa oleviin.
Rekisterinpitäjän toimiala ja rooli voivat vaikuttaa siihen, millainen riski tietoturvaloukkauksesta aiheutuu. Esimerkiksi silloin, kun tietoturvaloukkaus tapahtuu sairaalan potilastietojärjestelmässä, on rekisteröidylle aiheutuva uhka todennäköisesti suurempi kuin silloin, kun tietoturvaloukkaus tapahtuu sanomalehden tilaajarekisterissä.
Tietoturvaloukkauksen seurausten voidaan katsoa olevan erityisen vakavia esimerkiksi silloin, kun siitä voi seurata identiteettivarkaus, petos, psyykkistä ahdistusta, nöyryytystä tai maineen menetys.
Myös se, kenen haltuun tiedot ovat joutuneet, voi vaikuttaa siihen, millaisia seurauksia on odotettavissa. Väärinkäytön todennäköisyys voi olla suurempi, jos tiedetään, että tiedot ovat päätyneet rikolliselle.
Kun arvioit tietoturvaloukkaukseen liittyvää riskiä, ota huomioon tietoturvaloukkauksesta mahdollisesti aiheutuvan seurauksen vakavuus ja todennäköisyys. Tietoturvaloukkaukseen liittyy sitä suurempi riski, mitä vakavampi seuraus on yksilön kannalta ja mitä todennäköisemmin se toteutuu.
Ilmoita henkilötietojen tietoturvaloukkauksesta tietosuojavaltuutetun toimistolle
Henkilötietojen tietoturvaloukkauksesta täytyy ilmoittaa valvontaviranomaiselle, jos loukkauksesta voi aiheutua riski luonnollisten henkilöiden oikeuksille ja vapauksille. Suomessa valvontaviranomaisena toimii tietosuojavaltuutetun toimisto.
Henkilötietojen tietoturvaloukkauksesta on ilmoitettava tietosuojavaltuutetun toimistolle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa siitä, kun rekisterinpitäjä on tullut tietoiseksi tietoturvaloukkauksesta. Henkilötietojen käsittelijän tulee ilmoittaa tietoturvaloukkauksesta ensin rekisterinpitäjälle, jollei ole erikseen sovittu, että käsittelijä voi ilmoittaa tietoturvaloukkauksista suoraan tietosuojavaltuutetun toimistolle. Vastuu ilmoituksen tekemisestä säilyy kuitenkin rekisterinpitäjällä.
Ilmoituksen voi tehdä sähköisellä lomakkeella.
Huomioi ilmoituksessa muun muassa seuraavat asiat
Rekisterinpitäjän on arvioitava ilmoituksessa mahdollisten vaikutusten vakavuutta rekisteröidylle tarkasti. Tarkoituksena on arvioida tapauksesta nimenomaan rekisteröidylle aiheutuvien vaikutusten vakavuutta, ei rekisterinpitäjälle aiheutuvia seurauksia.
Jos rekisterinpitäjä ilmoittaa tietosuojavaltuutetun toimiston ilmoituslomakkeella arvioineensa, että mahdollisten vaikutusten vakavuus rekisteröidylle on Korkea tai Hyvin korkea, tarkoittaa se lähtökohtaisesti sitä, että rekisterinpitäjän tulee ilmoittaa tapahtuneesta rekisteröidylle ilman aiheetonta viivytystä ja täyttää lomakkeen Yhteydenotto rekisteröityihin -kohtaan Kyllä tai Ei vielä, mutta ilmoitetaan.
Tietoturvaloukkauksen mahdollisten vaikutusten vakavuuden arviointi on rekisterinpitäjän velvollisuus. Mikäli rekisterinpitäjä on arvioinut rekisteröidylle aiheutuvien vaikutusten vakavuuden virheellisesti, päättää valvontaviranomainen viime kädessä rekisterinpitäjän toimittamien tietojen perusteella ilmoituskynnyksen täyttymisestä rekisteröidylle.
Tietosuojavaltuutetun toimisto voi määrätä rekisterinpitäjää tekemään ilmoituksen, jos ilmoituskynnys täyttyy ja rekisterinpitäjä ei ole oma-aloitteisesti ilmoittanut loukkauksen kohteeksi joutuneille rekisteröidyille.
Tietosuojavaltuutetun toimiston tietoturvaloukkausilmoituslomakkeessa käytetään kolmea eri ilmoituksen tyyppiä: koko ilmoitus, alustava ilmoitus ja täydennys aiempaan ilmoitukseen.
Koko ilmoitusta käytetään silloin, kun rekisterinpitäjällä on tiedossa, mitä tietoturvaloukkauksessa on tapahtunut. Ilmoitusta tehtäessä jotkut seikat voivat olla vielä epäselviä, mutta rekisterinpitäjälle on ilmenneiden seikkojen perusteella selvää, että tapauksessa on kyse henkilötietojen tietoturvaloukkauksesta, joka täyttää ilmoituskynnyksen valvontaviranomaiselle.
Alustavan ilmoituksen tarkoituksena on, että rekisterinpitäjä voi ilmoittaa havainneensa mahdollisen henkilötietojen tietoturvaloukkauksen ja tapahtuneesta on vielä vain vähän tietoja saatavilla tai ne ovat epäselviä. Jos rekisterinpitäjä tekee alustavan ilmoituksen, tulee sen täydentää ilmoitusta oma-aloitteisesti saatuaan lisätietoja tapahtuneesta.
Oma-aloitteisen täydentävän ilmoituksen tekeminen sujuvoittaa ja nopeuttaa asian käsittelyä valvontaviranomaisessa sekä vähentää valvontaviranomaisen yhteydenottoja rekisterinpitäjälle.
Mikäli rekisterinpitäjä ilmoittaa tietoturvaloukkausilmoituksessa, että se selvittää vielä joitain seikkoja tapahtuneeseen liittyen, tulee rekisterinpitäjän muistaa oma-aloitteisesti tehdä täydentävä ilmoitus, kun se on saanut lisätietoja tapahtuneesta.
Tietoturvaloukkausilmoitus on syytä tehdä ilman aiheetonta viivytystä, vaikka kaikki tapahtumaa koskevat tiedot eivät olisikaan vielä täysin selvillä. Valvontaviranomaisen on välttämätöntä saada tieto tietoturvaloukkauksesta määräajassa.
Mikäli rekisterinpitäjä havaitsee valvontaviranomaiselle ilmoitettavan henkilötietojen tietoturvaloukkauksen, rekisterinpitäjän on ilmoitettava siitä ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa. Jos ilmoitusta ei anneta 72 tunnin kuluessa, rekisterinpitäjän on toimitettava tietosuojavaltuutetun toimistolle perusteltu selitys viivästymiselle.
Esimerkkejä tietoturvaloukkauksista: Milloin henkilötietojen tietoturvaloukkauksesta tulee ilmoittaa valvontaviranomaiselle tai rekisteröidylle (pdf)
Ohje tietoturvaloukkausten ilmoitusvelvollisuudesta sosiaali- ja terveydenhuollossa (pdf)
Koska henkilötietojen tietoturvaloukkauksesta ilmoitetaan rekisteröidylle?
Henkilötietojen tietoturvaloukkauksesta on ilmoitettava rekisteröidylle, jos se todennäköisesti aiheuttaa korkean riskin tämän oikeuksille ja vapauksille. Rekisterinpitäjän on tällöin ilmoitettava asiasta ilman aiheetonta viivytystä, jotta rekisteröidyllä on mahdollisuus suojautua esimerkiksi sulkemalla luottokorttinsa.
Sisällytä ilmoitukseen nämä tiedot:
- selkeä kuvaus henkilötietojen tietoturvaloukkauksesta
- tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa
- henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset
- toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on jo toteuttanut; tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
Ilmoitusta ei vaadita, jos
- rekisterinpitäjä on toteuttanut asianmukaiset tekniset ja organisatoriset suojatoimenpiteet ja niitä on sovellettu henkilötietojen tietoturvaloukkauksen kohteena oleviin henkilötietoihin (erityisesti niitä, joiden avulla henkilötiedot muutetaan ulkopuolisille mahdottomiksi ymmärtää, kuten salausta)
- rekisterinpitäjä on tehnyt jatkotoimenpiteitä, joilla varmistetaan, että rekisteröidyn oikeuksiin ja vapauksiin kohdistuva korkea riski ei enää todennäköisesti toteudu
- se vaatisi kohtuutonta vaivaa, koska ei esimerkiksi tiedetä, keitä rekisteröidyt ovat. Asiaa arvioidaan riskien mukaan.
Jos rekisteröityihin ei voida ottaa yhteyttä henkilökohtaisesti, on käytettävä julkista tiedonantoa tai vastaavaa toimenpidettä, jolla rekisteröityjä informoidaan yhtä tehokkaalla tavalla.
Jos rekisterinpitäjä ei ole vielä ilmoittanut henkilötietojen tietoturvaloukkauksesta rekisteröidylle, valvontaviranomainen voi vaatia ilmoituksen tekemistä.
Rekisterinpitäjän toteuttamat toimenpiteet tietoturvaloukkauksen havaitsemisen jälkeen saattavat poistaa tietoturvaloukkauksen rekisteröidylle aiheuttaman korkean riskin ainakin toimenpiteiden jälkeiseltä ajalta. Rekisterinpitäjän on mahdollisten vaikutusten vakavuuden arvioinnissa rekisteröidylle huomioitava, onko tietoturvaloukkaus kuitenkin muodostanut ennen toimenpiteisiin ryhtymistä sellaisen korkean riskin tilanteen, jota tietoturvaloukkauksen havaitsemisen jälkeen tehdyillä toimenpiteillä ei ole saatu poistettua.
Vaikka korkean riskin katsottaisiin poistuneen tietoturvaloukkauksen havaitsemisen jälkeen tehtyjen toimenpiteiden johdosta, on rekisteröidylle kuitenkin saattanut aiheutua tapahtuneesta korkea riski ennen toimenpiteisiin ryhtymistä. Tällaisessa tilanteessa rekisteröidylle tulee lähtökohtaisesti ilmoittaa tapahtuneesta tietoturvaloukkauksesta.
Lue lisää:
- Ilmoita henkilötietojen tietoturvaloukkauksesta
- Tietosuoja-asetus: artiklat 32–34, johdanto-osan kohdat 83, 85–88 (EUR-Lexissä)
- Euroopan tietosuojaneuvoston ohje tietoturvaloukkausilmoitusten esimerkeistä (pdf, englanniksi)
- Tietosuojaryhmän suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta (pdf)
- Esimerkkejä tietoturvaloukkauksista: milloin tulee ilmoittaa valvontaviranomaiselle tai rekisteröidylle (pdf)
- Ohje henkilötietojen tietoturvaloukkausten ilmoitusvelvollisuudesta sosiaali- ja terveydenhuollossa (pdf)
- DVV:n opas tietomurron tai tietovuodon kohteeksi joutuneille organisaatioille suomi.fi -palvelussa
- Ajankohtaisia tietoturvauutisia, ohjelmistohaavoittuvuuksia ja varoituksia Kyberturvallisuuskeskuksen verkkosivuilla
- Kyberturvallisuuskeskuksen ohje: Näin keräät ja käytät lokitietoja (kyberturvallisuuskeskus.fi)