Tietoturvaloukkaukset
Mikä on henkilötietojen tietoturvaloukkaus?
Henkilötietojen tietoturvaloukkauksella tarkoitetaan tapahtumaa, jonka seurauksena henkilötietoja tuhoutuu, häviää, muuttuu, henkilötietoja luovutetaan luvattomasti tai niihin pääsee käsiksi taho, jolla ei ole käsittelyoikeutta.
Henkilötietojen tietoturvaloukkauksia voivat olla esimerkiksi
- hävinnyt tiedonsiirtoväline, kuten USB-tikku
- varastettu tietokone
- hakkerointi
- haittaohjelmatartunta
- kyberhyökkäys
- tulipalo datakeskuksessa
- tiliotteen postitus väärälle henkilölle.
Tietoturvaloukkauksesta voi seurata esimerkiksi henkilötietojen valvomiskyvyn menettäminen, identiteettivarkaus tai petos, maineen vahingoittuminen tai pseudonymisoitujen tai salassapitovelvollisuuden alaisten henkilötietojen paljastuminen.
Dokumentoi kaikki henkilötietojen tietoturvaloukkaukset ja arvioi riskin taso
Sekä rekisterinpitäjän että henkilötietojen käsittelijän on suojattava henkilötiedot niin, että suojaustoimenpiteet vastaavat henkilötietojen käsittelyyn liittyvää riskiä. Lisäksi rekisterinpitäjän on varauduttava mahdollisiin tietoturvaloukkauksiin laatimalla toimintaohjeet tietoturvaloukkaustilanteita varten. Tietoturvaloukkauksiin on pystyttävä reagoimaan mahdollisimman nopeasti.
Rekisterinpitäjän täytyy arvioida, minkä tasoinen riski tietoturvaloukkauksesta aiheutuu sen kohteena olleille henkilöille, esimerkiksi
- ei aiheudu riskiä
- aiheutuu riski
- aiheutuu korkea riski.
Riskin taso määrittää ne toimenpiteet, joihin rekisterinpitäjän on ryhdyttävä. Toimenpiteitä ovat esimerkiksi
- tietoturvaloukkauksen dokumentointi
- ilmoitus valvontaviranomaiselle
- ilmoitus rekisteröidylle.
Dokumentoi kaikki henkilötietojen tietoturvaloukkaukset sekä niiden vaikutukset ja toteutetut korjaavat toimet riippumatta siitä, mitä toimenpiteitä tietoturvaloukkauksesta lopulta seuraa. Dokumentointivelvollisuuden tai ilmoituksen tekemisen laiminlyöminen on tietosuoja-asetuksen vastaista. Se voi johtaa tietosuoja-asetuksessa määritettyihin seuraamuksiin.
Dokumentointivelvollisuuden piiriin kuuluvat myös tietojärjestelmään kohdistuneen tietoturvaloukkauksen osalta tapahtuma-ajan lokitiedot. Tietosuojavaltuutettu voi pyytää lokitietoja tietoturvaloukkausta koskevan ilmoituksen käsittelyä varten.
Ohje tietoturvaloukkausten ilmoitusvelvollisuudesta sosiaali- ja terveydenhuollossa (pdf)
Ilmoita valvontaviranomaiselle 72 tunnin kuluessa
Henkilötietojen tietoturvaloukkauksesta täytyy ilmoittaa valvontaviranomaiselle, jos loukkauksesta voi aiheutua riski luonnollisten henkilöiden oikeuksille ja vapauksille. Suomessa valvontaviranomaisena toimii tietosuojavaltuutetun toimisto.
Henkilötietojen tietoturvaloukkauksesta on ilmoitettava tietosuojavaltuutetun toimistolle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa siitä, kun rekisterinpitäjä on tullut tietoiseksi tietoturvaloukkauksesta. Henkilötietojen käsittelijän tulee ilmoittaa tietoturvaloukkauksesta ensin rekisterinpitäjälle, jollei ole erikseen sovittu, että käsittelijä voi ilmoittaa tietoturvaloukkauksista suoraan tietosuojavaltuutetun toimistolle. Vastuu ilmoituksen tekemisestä säilyy kuitenkin rekisterinpitäjällä.
Ilmoituksen voi tehdä sähköisellä lomakkeella. Jos ilmoitusta ei tehdä 72 tunnin kuluessa, rekisterinpitäjän on toimitettava tietosuojavaltuutetun toimistolle perusteltu selitys.
Koska henkilötietojen tietoturvaloukkauksesta ilmoitetaan rekisteröidylle?
Henkilötietojen tietoturvaloukkauksesta on ilmoitettava rekisteröidylle, jos se todennäköisesti aiheuttaa korkean riskin tämän oikeuksille ja vapauksille. Rekisterinpitäjän on tällöin ilmoitettava asiasta ilman aiheetonta viivytystä, jotta rekisteröidyllä on mahdollisuus suojautua esimerkiksi sulkemalla luottokorttinsa.
Sisällytä ilmoitukseen nämä tiedot:
- selkeä kuvaus henkilötietojen tietoturvaloukkauksesta
- tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa
- henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset
- toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on jo toteuttanut; tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
Ilmoitusta ei vaadita, jos
- rekisterinpitäjä on toteuttanut asianmukaiset tekniset ja organisatoriset suojatoimenpiteet ja niitä on sovellettu henkilötietojen tietoturvaloukkauksen kohteena oleviin henkilötietoihin (erityisesti niitä, joiden avulla henkilötiedot muutetaan ulkopuolisille mahdottomiksi ymmärtää, kuten salausta)
- rekisterinpitäjä on tehnyt jatkotoimenpiteitä, joilla varmistetaan, että rekisteröidyn oikeuksiin ja vapauksiin kohdistuva korkea riski ei enää todennäköisesti toteudu
- se vaatisi kohtuutonta vaivaa, koska ei esimerkiksi tiedetä, keitä rekisteröidyt ovat. Asiaa arvioidaan riskien mukaan. Jos rekisteröityihin ei voida ottaa yhteyttä henkilökohtaisesti, on käytettävä julkista tiedonantoa tai vastaavaa toimenpidettä, jolla rekisteröityjä informoidaan yhtä tehokkaalla tavalla.
Jos rekisterinpitäjä ei ole vielä ilmoittanut henkilötietojen tietoturvaloukkauksesta rekisteröidylle, valvontaviranomainen voi vaatia ilmoituksen tekemistä.
Mitä riskien arvioinnissa on otettava huomioon?
Rekisterinpitäjän on arvioitava, millainen riski tietoturvaloukkauksesta on aiheutunut vuodon kohteena olevalle henkilölle. Arvio määrittää tarvittavia tietoturvaloukkauksesta seuraavia toimenpiteitä.
Huomioi arviossa seuraavat asiat:
Seuraukset voivat olla erilaisia esimerkiksi silloin, jos arkaluonteiset tiedot ovat vuotaneet internetiin, kuin silloin, jos henkilötietoja ei pääse käsittelemään tietojärjestelmävian vuoksi.
Mitä arkaluonteisempaan tietoon tietoturvaloukkaus kohdistuu, sen suurempi riski siitä aiheutuu loukkauksen kohteena olevalle henkilölle. Myös rekisteröityä koskevien eri tietotyyppien yhdistelmä on usein arkaluonteisempi kuin yksittäinen rekisteröityä koskeva tieto. Kun tietoturvaloukkaus kohdistuu suureen määrään tietoja, myös seuraukset koskevat laajaa joukkoa.
On tärkeää arvioida sitä, kuinka helposti henkilöt ovat tunnistettavissa tietoturvaloukkauksen kohteena olevasta aineistosta joko suoraan tai välillisesti muiden saatavilla olevien tietojen avulla. Tunnistettavuuteen voi vaikuttaa muun muassa se, miten hyvin tiedot on salattu tai pseudonymisoitu.
Tietoturvaloukkauksella voi olla vakavammat vaikutukset silloin, kun se kohdistuu lapsiin tai muihin haavoittuvammassa tai heikommassa asemassa oleviin.
Rekisterinpitäjän toimiala ja rooli voivat vaikuttaa siihen, millainen riski tietoturvaloukkauksesta aiheutuu. Esimerkiksi silloin, kun tietoturvaloukkaus tapahtuu sairaalan potilastietojärjestelmässä, on rekisteröidylle aiheutuva uhka todennäköisesti suurempi kuin silloin, kun tietoturvaloukkaus tapahtuu sanomalehden tilaajarekisterissä.
Tietoturvaloukkauksen seurausten voidaan katsoa olevan erityisen vakavia esimerkiksi silloin, kun siitä voi seurata identiteettivarkaus, petos, psyykkistä ahdistusta, nöyryytystä tai maineen menetys.
Myös se, kenen haltuun tiedot ovat joutuneet, voi vaikuttaa siihen, millaisia seurauksia on odotettavissa. Väärinkäytön todennäköisyys voi olla suurempi, jos tiedetään, että tiedot ovat päätyneet rikolliselle.
Kun arvioit tietoturvaloukkaukseen liittyvää riskiä, ota huomioon tietoturvaloukkauksesta mahdollisesti aiheutuvan seurauksen vakavuus ja todennäköisyys. Tietoturvaloukkaukseen liittyy sitä suurempi riski, mitä vakavampi seuraus on yksilön kannalta ja mitä todennäköisemmin se toteutuu.
Lue lisää:
- Ilmoita henkilötietojen tietoturvaloukkauksesta
- Tietosuoja-asetus: artiklat 32–34, johdanto-osan kohdat 83, 85–88 (EUR-Lexissä)
- Euroopan tietosuojaneuvoston ohje tietoturvaloukkausilmoitusten esimerkeistä (pdf, englanniksi)
- Tietosuojaryhmän suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta (pdf)
- Esimerkkejä tietoturvaloukkauksista: milloin tulee ilmoittaa valvontaviranomaiselle tai rekisteröidylle (pdf)
- Ohje henkilötietojen tietoturvaloukkausten ilmoitusvelvollisuudesta sosiaali- ja terveydenhuollossa (pdf)
- DVV:n opas tietomurron tai tietovuodon kohteeksi joutuneille organisaatioille suomi.fi -palvelussa
- Ajankohtaisia tietoturvauutisia, ohjelmistohaavoittuvuuksia ja varoituksia Kyberturvallisuuskeskuksen verkkosivuilla
- Kyberturvallisuuskeskuksen ohje: Näin keräät ja käytät lokitietoja (kyberturvallisuuskeskus.fi)