Tietosuojaloukkaukset eivät ole hypoteettisia riskejä, vaan ne ovat arkipäivää. Väärään osoitteeseen lähtenyt sähköposti, hakkeroitu käyttäjätili tai kadonnut USB-tikku ovat kaikki loukkauksia.
Mitä tehdä tietosuojaloukkauksessa – vaihe vaiheelta
Kun loukkaus tapahtuu (tai sitä epäillään), toimi näin:
Vaihe 1: Tunnista ja rajaa
Selvitä mitä on tapahtunut, mihin tietoihin loukkaus kohdistuu ja estä lisävahingot.
Vaihe 2: Arvioi riskit
Aiheuttaako loukkaus riskin rekisteröidyille? Mitä tietoja on kyseessä – nimiä ja sähköposteja vai terveystietoja ja henkilötunnuksia? Kuinka monta henkilö tietosuojaloukkaus koskettaa?
Vaihe 3: Ilmoita viranomaiselle (72 h)
Jos loukkaus todennäköisesti aiheuttaa riskin rekisteröidyille, ilmoitus tietosuojavaltuutetun toimistolle on tehtävä 72 tunnin kuluessa. Jos et ehdi 72 tunnissa koota kaikkea tietoa, tee osailmoitus ja täydennä myöhemmin.
Vaihe 4: Ilmoita rekisteröidyille
Jos riski on korkea, ilmoita myös asianomaisille henkilöille suoraan. Kerro mitä on tapahtunut, mitä tietoja se koskee ja mitä he voivat tehdä.
Vaihe 5: Dokumentoi
Dokumentoi jokainen loukkaus – myös ne, joista ei ilmoiteta viranomaiselle. Kirjaa ylös mitä tapahtui, mitä arvioitiin ja mitä tehtiin.
GDPR-sakot
GDPR määrittelee kaksi sakkotasoa. Alempi (enintään 10 milj. € tai 2 % liikevaihdosta) koskee esimerkiksi käsittelyrekisterin puutteita ja tietosuojavelvollisuuksien laiminlyöntiä. Ylempi (enintään 20 milj. € tai 4 % liikevaihdosta) koskee perusperiaatteiden rikkomista, oikeusperusteen puuttumista ja rekisteröidyn oikeuksien estämistä.
Suomessa sakkoja on määrätty. Tietosuojavaltuutetun toimisto on sakottanut yrityksiä mm. puutteellisesta suostumuksenhallinnasta, läpinäkyvyyden laiminlyönnistä ja rekisteröidyn oikeuspyyntöjen huomiotta jättämisestä. Trendi on kasvava sekä Suomessa että EU-tasolla.
Ajatus siitä, että "olemme liian pieniä valvontaan" on väärä. Yleisin tapa joutua tutkintaan on kantelu – ja sen voi tehdä kuka tahansa.
DPIA eli vaikutustenarviointi
DPIA (Data Protection Impact Assessment) on pakollinen, kun henkilötietojen käsittely todennäköisesti aiheuttaa korkean riskin rekisteröidyille. Se on työkalu, jolla riskit tunnistetaan ja hallitaan, ei byrokratiaa byrokratian vuoksi.
Tyypillisiä tilanteita, joissa DPIA tarvitaan: automaattinen päätöksenteko tai profilointi, laajamittainen erityisten henkilötietoryhmien käsittely, julkisten alueiden järjestelmällinen valvonta. Myös uuden teknologian (kuten tekoälyn) käyttöönotto henkilötietojen käsittelyssä edellyttää usein DPIA:ta.
DPIA sisältää kuvauksen käsittelystä, arvion tarpeellisuudesta ja oikeasuhtaisuudesta, riskinarvioinnin ja toimenpiteet riskien hallitsemiseksi. Se tehdään ennen käsittelyn aloittamista, ei jälkikäteen.
Riskienhallinta tietosuojassa
GDPR on riskiperusteinen asetus. Mitä suurempia riskejä käsittelyyn liittyy, sitä vahvempia suojatoimenpiteitä tarvitaan. Riskienhallinta ei tarkoita monimutkaisia Excel-taulukoita, vaan se tarkoittaa, että yritys pysähtyy miettimään: mitä voi mennä pieleen, kuinka todennäköistä se on, ja mitä teemme sen estämiseksi.
Suurin osa tietoturvaloukkauksista johtuu inhimillisistä virheistä: sähköposti väärään osoitteeseen, heikko salasana, päivittämätön ohjelmisto. Näitä vastaan parhaiten suojaa koulutus, selkeät prosessit ja tekniset perusratkaisut.
Mitä tehdä
- Tee riskikartoitus henkilötietojen käsittelystä – sen ei tarvitse olla monimutkainen
- Priorisoi: todennäköisimmät ja vakavimmat riskit ensin
- Toteuta suojatoimenpiteet ja dokumentoi ne
- Tarkista ja päivitä säännöllisesti