Tietoturvaloukkauksiin reagointi

 

 

Mikä on tietoturvaloukkaus?

Tietoturvaloukkauksella tarkoitetaan tapahtumaa, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin.[1]

Tietoturvaloukkaukset voivat aiheuttaa riskejä niin tietojen luottamuksellisuudelle, täsmällisyydelle kuin saatavuudellekin.[2] Vaikka tietoturvaloukkauksissa voi olla kyse ulkopuolisen tahon tekemästä hyökkäyksestä, määritelmä kattaa sisälleen myös tilanteet, joissa rekisterinpitäjän tai tämän edustajan palveluksessa oleva henkilö rikkoo tietoturvaperiaatteita. Tietoturvaloukkaus voi olla haittaohjelmatartunta, tietomurto tai -vuoto, mutta sellaisen voi muodostaa myös esimerkiksi henkilötietoja sisältävän muistitikun kadottaminen, salattujen tietojen salausavaimen unohtaminen tai paperiasiakirjojen päätyminen avoimelle roskalavalle.

Tietoturvallisuudessa on pohjimmiltaan kyse siitä, että tietoturvaloukkaukset pyritään mahdollisuuksien mukaan estämään, ja että jos sellainen varotoimista huolimatta pääsee tapahtumaan, siihen pystytään reagoimaan viivytyksettä.[3] Rekisterinpitäjä on vastuussa siitä, että asianmukaiset tekniset suojatoimenpiteet ja organisatoriset toimenpiteet henkilötietojen käsittelyn turvallisuuden takaamiseksi on toteutettu. Lisäksi sen on pystyttävä välittömästi selvittämään, onko tietoturvaloukkaus tapahtunut.[4] Tietoturvaloukkausten ennaltaehkäisemiseksi, niiden vakavuuden arvioimiseksi ja jälkikäteisen selvittelyn helpottamiseksi tietojärjestelmien käyttöä voidaan valvoa lokitietojärjestelmän avulla. Hyvin suunniteltu lokitietojärjestelmä myös nopeuttaa tietoturvaloukkauksiin reagointia ja tehostaa niistä ilmoittamista.

Rekisterinpitäjän on dokumentoitava kaikki tietoturvaloukkaukset, mukaan lukien henkilötietojen tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet.[5] Myös sellaiset tietoturvaloukkaukset, jotka eivät ylitä jäljempänä käsiteltävää ilmoittamisvelvollisuuden kynnystä, on kirjattava ylös. Suositeltavaa on kirjata ylös myös perustelut niille toimenpiteille, joihin rekisterinpitäjä on tietoturvaloukkauksen johdosta ryhtynyt.[6]

Tietoturvaloukkauksista ilmoittaminen

Oppilaitostoiminnasta vastaavalla rekisterinpitäjällä ei ole aiemmin ollut varsinaista lakisääteistä velvollisuutta ilmoittaa tietoturvaloukkauksista. Tietosuoja-asetus tuo kuitenkin mukanaan kaikkia rekisterinpitäjiä koskevan ilmoitusvelvollisuuden, jossa tiedonsaajana ovat tietoturvaloukkauksen vakavuudesta riippuen joko kansallinen tietosuojaviranomainen tai sekä tietosuojaviranomainen että rekisteröity. Syy tiukentuvalle ilmoitusvelvollisuudelle on se, että jos tietoturvaloukkauksiin ei puututa riittävän tehokkaasti ja nopeasti, siitä voi aiheutua luonnollisille henkilöille fyysisiä, aineellisia tai aineettomia vahinkoja. Haitat voivat olla niin taloudellisia kuin sosiaalisiakin.[7]

Aivan kuten henkilötietojen käsittelyn turvallisuutta yleensäkin, myös tietoturvaloukkauksista ilmoittamista on tarkasteltava suhteellisuusperiaatteen valossa. Ilmoittamista koskevat toimenpiteet tulee suhteuttaa niihin seurauksiin, joita tietoturvaloukkauksesta voi rekisteröidylle mahdollisesti aiheutua. Esimerkiksi pelkkiä sähköpostiosoitteita sisältävän listan joutuminen julkisesti saataville voi aiheuttaa lähinnä riskin roskapostilistalle päätymisestä, mutta vuotanut henkilötunnus saattaa johtaa rekisteröidyn joutumiseen identiteettivarkauden uhriksi.

Jos rekisterinpitäjä arvioi, että tietoturvaloukkauksesta ei todennäköisesti aiheudu riskiä oppilaiden tai opiskelijoiden oikeuksille ja vapauksille, ilmoitusvelvollisuutta ei ole. Tilivelvollisuusperiaatteen mukaisesti rekisterinpitäjän tulee pystyä osoittamaan, että riskiä ei todennäköisesti aiheudu.[8] Jos riskin todetaan olevan olemassa, sen taso määrittää, mille tahoille tietoturvaloukkauksesta on ilmoitettava. Käytännössä tämä merkitsee sitä, että rekisterinpitäjän on tietoturvaloukkauksesta tietoiseksi tultuaan pystyttävä viipymättä arvioimaan, millaisia riskejä se voi rekisteröidyille aiheuttaa.

Rekisteröidyn oikeuksiin ja vapauksiin kohdistuvan riskin todennäköisyys ja vakavuus määritellään tietojenkäsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitusten mukaan. Arviointi tulee toteuttaa objektiivisesti, ja sen tavoitteena on todeta, liittyykö tietojenkäsittelytoimiin riski tai korkea riski.[9] Arvioinnissa tulee ottaa huomioon muun muassa tietoturvaloukkauksen luonne ja seurausten vakavuus, kohteeksi joutuneiden henkilötietojen tyyppi, arkaluonteisuus ja määrä sekä rekisteröityjen määrä, tunnistettavuus ja mahdolliset erityisryhmät.[10] Riskiä lieventävä vaikutus on esimerkiksi asianmukaisesti toteutetuilla teknisillä suojauskeinoilla, jotka lieventävät henkilöllisyyttä koskevan petoksen tai muiden väärinkäytösten todennäköisyyttä huomattavasti.[11] Tietoturvaloukkauksen kohteeksi joutuneiden henkilötietojen arkaluonteisuus sen sijaan vaikuttaa riskiä kasvattavasti. Merkitystä tulee antaa myös sille, jos käsiteltävänä on ollut heikossa asemassa olevien henkilöiden, erityisesti lasten, henkilötietoja.[12]

Jos tietoturvaloukkauksesta aiheutuu todennäköisesti riski luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava siitä ilman aiheetonta viivytystä toimivaltaiselle valvontaviranomaiselle. Suomessa toimivaltainen valvontaviranomainen on tietosuojavaltuutettu. Mahdollisuuksien mukaan ilmoitus on pyrittävä tekemään 72 tunnin kuluessa tietoturvaloukkauksen ilmitulosta. Jos ilmoitusta ei anneta 72 tunnin kuluessa, rekisterinpitäjän on perusteltava viivytys valvontaviranomaiselle.[13]

Kun ilmoitus tietoturvaloukkauksesta annetaan valvontaviranomaiselle, ilmoituksessa on vähintään:

  • kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät,
  • ilmoitettava tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa,
  • kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset,
  • kuvattava toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta, tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.[14]

Mikäli yllä mainittuja tietoja ei ole mahdollista toimittaa samanaikaisesti, ne voidaan toimittaa valvontaviranomaiselle myös vaiheittain. Tiedot on kuitenkin toimitettava ilman aiheetonta viivytystä.[15]

Jos henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin oppilaiden tai opiskelijoiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta heillekin. Ilmoitus on tehtävä rekisteröidylle myös siinä tapauksessa, että valvontaviranomainen niin vaatii.[16]

Rekisteröidylle suunnattu ilmoitus tietoturvaloukkauksesta on annettava ilman aiheetonta viivytystä, ja siinä on käytettävä selkeää ja yksinkertaista kieltä.[17] Ilmoituksessa tulee kuvata henkilötietojen tietoturvaloukkauksen luonne ja esitettävä suosituksia siitä, miten rekisteröity voi itse lieventää sen mahdollisia haittavaikutuksia.[18] Lisäksi sen tulee sisältää vähintään seuraavat tiedot:

  • tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa,
  • tietoturvaloukkauksen todennäköiset seuraukset,
  • toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta, tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.[19]

Velvollisuudesta ilmoittaa tietoturvaloukkauksesta jokaiselle rekisteröidylle erikseen voidaan tietyissä tilanteissa poiketa. Poikkeaminen on mahdollista, jos ilmoittamisesta koituisi kohtuutonta vaivaa, henkilötiedot oli suojattu asianmukaisin teknisin ja organisatorisin toimenpitein esimerkiksi siten, että ne eivät voi salauksesta johtuen olla ulkopuolisten ymmärrettävissä, taikka rekisterinpitäjä on jatkotoimenpiteiden avulla varmistanut, että korkea riski rekisteröidyn oikeuksille ja vapauksille ei enää todennäköisesti toteudu. Tällaisissa tapauksissa on kuitenkin käytettävä julkista tiedonantoa tai vastaavaa yhtä tehokasta toimenpidettä, jolla rekisteröidyille tiedotetaan asiasta kollektiivisesti.[20]

Oppilaitosten tulisi etukäteen suunnitella, miten tietoturvaloukkauksen sattuessa toimitaan. Suositeltavinta on, että tietoturvaloukkauksia varten laaditaan toimintasuunnitelma, joka sisällytetään osaksi oppilaitoksen kriisisuunnitelmaa. Myös rekisteröidyille suunnattavaa viestintää tulisi valmistella etukäteen.

 

[1] Tietosuoja-asetuksen 3 artiklan 12 kohta.

[2] http://tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/zzKfe6Nbj/Guidelines_on_Personal_data_breach_notification_under_Regulation_2016679.pdf, s. 7.

[3] EU:n jäsenvaltioiden tietosuojavaltuutetuista koostuvan työryhmän (WP 29) lausunto WP 250, s. 6.

[4] Tietosuoja-asetuksen johdanto-osan 87 kohta.

[5] Tietosuoja-asetuksen 33 artiklan 5 kohta.

[6] http://tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/zzKfe6Nbj/Guidelines_on_Personal_data_breach_notification_under_Regulation_2016679.pdf s. 26.

[7] Tietosuoja-asetuksen johdanto-osan 85 kohta.

[8] Tietosuoja-asetuksen johdanto-osan 85 kohta.

[9] Tietosuoja-asetuksen johdanto-osan 76 kohta.

[10] http://tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/zzKfe6Nbj/Guidelines_on_Personal_data_breach_notification_under_Regulation_2016679.pdf s. 25–26.

[11] Tietosuoja-asetuksen johdanto-osan 88 kohta.

[12] Tietosuoja-asetuksen johdanto-osan 75 kohta.

[13] Tietosuoja-asetuksen 33 artiklan 1 kohta.

[14] Tietosuoja-asetuksen 33 artiklan 3 kohta.

[15] Tietosuoja-setuksen 33 artiklan 4 kohta.

[16] Tietosuoja-asetuksen 34 artiklan 4 kohta.

[17] Tietosuoja-asetuksen 34 artiklan 1 kohta.

[18] Tietosuoja-asetuksen johdanto-osan 86 kohta.

[19] Tietosuoja-asetuksen 33 artiklan 3 kohta ja 34 artiklan 2 kohta.

[20] Tietosuoja-asetuksen 34 artiklan 3 kohta.

Lisätiedot

Henriikka Hannula, erityisasiantuntija 
OKM, Yleissivistävän koulutuksen ja varhaiskasvatuksen osasto, Yleissivistävän koulutuksen ja varhaiskasvatuksen vastuualue 0295330204