Tietosuojapoikkeama – mitä se on ja mitä sen kanssa pitää tehdä?

Tietosuojapoikkeama tarkoittaa henkilötietojen tietoturvaloukkausta, jossa rekisteröidyn tietoihin kohdistuu jotain odottamatonta, kuten tietojen häviäminen, muuttuminen tai paljastuminen luvattomalle taholle.

Mitä tarkoitetaan tietosuojapoikkeamalla?

Tietosuojapoikkeama, eli henkilötietojen tietoturvaloukkaus on tapahtuma, jonka seurauksena rekisteröidyn tietoihin kohdistuu jotain, mitä niille ei pitäisi tapahtua. Kyseessä voi olla esimerkiksi henkilötietojen tarkoitukseton häviäminen tai muuttuminen tai niiden paljastuminen jollekulle taholle, jolla ei ole niihin käsittelyoikeutta.

Monesti saatetaan ajatella, että tietosuojapoikkeamasta puhutaan vain siinä tilanteessa, kun tapahtuma koskettaa suurta tietojoukkoa ja teon takana ovat kyberrikolliset. Ehkä myös ajatellaan poikkeamien olevan vain niitä huomiota herättäviä tapauksia, jotka päätyvät iltapäivälehtien otsikoihin asti.

Tietosuojapoikkeamiksi lasketaan kuitenkin niinkin arkipäiväiset tapahtumat kuin henkilötietoja sisältävän sähköpostin lähettäminen väärälle henkilölle, henkilötietoja sisältävän järjestelmän käyttöhäiriö tai henkilötietoja sisältävän paperin jättäminen kahvihuoneen pöydälle. Poikkeaman ei tarvitse olla laajuudeltaan suuri; riittää, että yksikin henkilötieto ajautuu vääriin käsiin tai tuhoutuu vahingossa.

Miten varautua tietosuojapoikkeamiin?

Vahinkoja sattuu kaikille, joten poikkeamia ei täysin voida estää. Tietosuojatietoisuuden ylläpito, huolellinen henkilötietojen käsittely ja käyttöoikeuksien oikeanlainen rajaaminen kuitenkin auttavat ja minimoivat riskiä poikkeaman syntymiseen. Myös asianmukaisilla tietoturvatoimilla voidaan ehkäistä monia ei-toivottuja tapahtumia, mutta kuitenkin inhimilliset virheet ja tietojen huolimaton käsittely aiheuttavat suurimman osan poikkeamista.

Organisaation täytyy varautua mahdollisiin tietosuojapoikkeamiin laatimalla kirjallinen suunnitelma, jossa on selkeät toimintaohjeet niiden käsittelyyn. Suunnitelmaan on hyvä tärkeää kirjata ylös etenkin jatkotoimenpiteet ja vastuut, muun muassa kenelle ja miten mahdollisista poikkeamista ilmoitetaan ja kuka huolehtii ilmoitusvelvollisuuden toteuttamisesta. Suunnitelma on syytä käydä läpi myös henkilöstön kanssa, jotta he osaavat toimia tositilanteessa sen mukaisesti. Vahinkojen minimoinnissa nopea reaktioaika on ratkaisevassa asemassa!

Miten tietosuojapoikkeaman sattuessa toimitaan?

Mikäli yrityksenne henkilötietoihin on kohdistunut tietosuojapoikkeama, tulee välittömästi ottaa selvää siitä, mitä on tapahtunut. Ainakin seuraavat seikat täytyy dokumentoida:

  1. Milloin poikkeama on tapahtunut ja milloin se on havaittu? Onko poikkeaman aiheuttanut syy löydetty ja onko tapahtuma saatu lopetettua, vai jatkuuko se edelleen?
  2. Kohdistuiko poikkeama tietojärjestelmään? Jos kyllä, onko poikkeaman tapahtuma-ajan lokitiedot mahdollista tallentaa mahdollisesti tarvittavaa myöhempää tarkistusta varten?
  3. Mitä ja kenen tietoa on joutunut poikkeaman kohteeksi? Onko kyseessä arkaluontoista tai korkeariskistä tietoa, kuten henkilön terveystietoja? Onko yksittäinen henkilö helppo tunnistaa tietoaineistosta? Onko poikkeaman kohde jollain tapaa haavoittuvammassa asemassa?
  4. Kuinka suureen määrään tietoa poikkeama kohdistuu? Puhutaanko yksittäisten ihmisten yksittäisistä tiedoista, suuren ihmismäärän valtavasta tietomassasta vai jotain siltä väliltä?
  5. Mitä seurauksia poikkeamasta voi tapahtua? Voiko henkilöille aiheutua esimerkiksi taloudellisia riskejä tai maineen menetys? Ovatko tiedot voineet päätyneet rikollisiin käsiin?

Näiden tietojen avulla voidaan tehdä riskiarvio. Riskiarvion perusteella suoritetaan tarvittavat jatkotoimet. Mikäli poikkeama on riskiltään pieni, eikä aiheuta rekisteröidylle muita riskejä kuin enimmillään mielipahaa, voi jatkotoimenpiteeksi riittää asian dokumentoiminen ylös organisaation sisäiseen käyttöön. Aina on kuitenkin syytä pohtia, miten vastaavanlainen poikkeama voitaisiin välttää jatkossa.

Mikäli poikkeaman todetaan aiheuttavan suurta riskin henkilöiden oikeuksille ja vapauksille, tulee siitä ilmoittaa tietosuojavaltuutetun toimistoon. Ilmoitus tulee tehdä mahdollisimman pian, mutta viimeistään 72 tunnin kuluessa siitä, kun rekisterinpitäjä on havainnut tietoturvaloukkauksen. Jos poikkeama voi aiheuttaa korkean riskin rekisteröidyille, Ilmoitus tulee tehdä myös niille henkilöille, joiden tietoihin loukkaus kohdistuu.

Miten tietosuojapoikkeaman dokumentointi hoidetaan?

Oli poikkeama laajuudeltaan pieni taikka suuri, tietosuoja-asetus edellyttää sen dokumentointia. Tietosuojapoikkeamien dokumentointi voidaan hoitaa organisaation haluamalla tavalla, oli se sitten ruutupaperille tai sähköiseen dokumenttiin. Jokaisesta poikkeamasta kirjataan ylös aiemmassa kappaleessa olevan kirjauslistan lisäksi myös ainakin nämä seikat:

  1. Mikä on poikkeaman riskitaso ja mitkä ovat perusteet sen määrittämiselle?
  2. Mitä toimenpiteitä poikkeaman takia on tehty sen aiheuttamien vahinkojen minimoimiseksi?
  3. Ilmoitettiinko poikkeamasta eteenpäin? Jos kyllä, niin milloin, miten ja mille tahoille?
  4. Mitä muutoksia organisaatiossa on tehty tai on suunnitteilla vastaavan poikkeaman estämiseksi jatkossa?

Lisätietoja ja lähde: https://tietosuoja.fi/tietoturvaloukkaukset

Haluatko kysyä tarkemmin neuvoa, miten toimia tietosuojapoikkeamatilanteissa? Toivoisitko kenties apua siihen, miten voitte laatia yrityksellenne suunnitelman tietosuojapoikkeamien hoitoon? Astu Lawderin aulaan, jossa asiantuntijamme ovat apunasi. Palvelemme arkisin klo 9–15.

ASTU LAWDERIN AULAAN
Anna Huhtanen

Anna Huhtanen
Junior Data Protection Specialist
Lawder Oy

 

LUE MYÖS

Linkedin Envelope

Helsinki
Maistraatinportti 1
00240 Helsinki

Turku
Junakatu 9
Logomo Byrå
20100 Turku

  • Operaattori: Apix Messaging Oy (003723327487)
  • OVT-tunnus: 003732574412
  • Y-tunnus: 3257441-2

Part of Citrus

© Lawder. All rights reserved.

Tutustu myös konsernin muihin verkkosivuihin

Citrus Solutions Oy
Noventia Oy
Lawder Oy