Ohjeita poikkeamatilanteiden hallintaan

Tietoturvaloukkausilmoitusten esimerkkejä koskeva ohje antaa käytännön neuvoja ja suosituksia tilanteisiin, joissa rekisterinpitäjän on ilmoitettava henkilötietojen tietoturvaloukkauksesta valvontaviranomaiselle ja rekisteröidyille.

Ohje sisältää muun muassa uusia esimerkkejä tilanteista, joissa kynnys viranomaiselle ilmoittamiseen ylittyy.

Ohjeluonnos kokonaisuudessaan EDPB:n sivuilla >>

Olemme koonneet alkuperäisestä (yo - linkki) Englanninkielisestä materiaalista alle muutaman case- esimerkin.

 

CASE 08: varastetut asiakastiedot

Yrityksen työntekijä kopioi irtisanomisaikanaan yrityksen tietokannasta sen liiketoimintaan liittyvää tietoa, johon hänellä on työnsä vuoksi pääsy. Joitain kuukausia työsuhteensa päättymisen jälkeen hän käyttää kopioimiaan tietoja (jotka sisältävät lähinnä yhteystietoja) ottaakseen yhteyttä yrityksen asiakkaisiin ja houkutellakseen näitä uuden yrityksensä asiakkaiksi.

CASE 08 – Edeltävät toimet ja riskien arviointi

Tässä tapauksessa ei ollut otettu käyttöön ennaltaehkäiseviä toimia, joilla olisi estetty työntekijää kopioimasta yrityksen asiakkaiden yhteystietoja, koska hänellä oli aiheellisesti pääsy tietoihin työsuhteensa aikana. Tämän tyyppisiä tietosuojaloukkauksia on hyvin vaikeaa estää, koska valtaosa liiketoiminnasta, jossa ylläpidetään asiakassuhteita, vaatii yritystä luovuttamaan henkilötietoja työntekijöidensä käsiteltäväksi. Henkilötietojen käsittelyn rajoittaminen saattaisi haitata työntekijän kykyä tehdä työtään. Tietosuojaloukkausten todennäköisyyttä voidaan kuitenkin pienentää ylläpitämällä hyvin suunniteltuja toimintaohjeita ja valvomalla henkilötietojen käsittelyä aktiivisesti.

Kuten yleensäkin, riskien arvioinnissa tulee huomioida tietosuojaloukkauksen tyyppi ja luonne sekä henkilötietojen määrä. Tällaiset tietosuojaloukkaukset liittyvät yleensä tietojen luottamuksellisuuteen, sillä tietokanta itsessään pysyy yleensä eheänä, vaikka sen sisältämistä tiedoista otettaisiinkin kopioita. Tällaiset loukkaukset yleensä myös vaikuttavat suhteellisen pieneen määrään tietoja. Tapaukseen ei liittynyt erityisiin henkilötietoryhmiin kuuluvia tietoja, sillä työntekijä tarvitsi vain asiakkaiden yhteystietoja voidakseen ottaa heihin yhteyttä lähdettyään työstään. Kyseiset tiedot eivät siis olleet arkaluonteisia.

Vaikka entisen työntekijän ainoa tarkoitusperä tietojen luvattomassa kopioinnissa olisikin ollut saada käsiinsä asiakkaiden yhteystietoja oman kaupallisen etunsa edistämiseksi, rekisterinpitäjä ei voi katsoa rekisteröityihin kohdistuvan riskin olevan pieni, koska kyseisen työntekijän tarkoitusperistä ei voi olla varmuutta.

Toisin sanoen, vaikka kopioitujen henkilötietojen hyödyntäminen rajoittuisikin entisen työntekijän kyseenalaiseen itsensä markkinointiin, vakavampien väärinkäytösten mahdollisuutta ei voida sulkea pois.

CASE 08 – haittavaikutusten lieventäminen ja velvollisuudet

Yllä esitellyn esimerkkitapauksen kohdalla tietosuojaloukkauksen vaikutusten lieventäminen on vaikeaa. Tapauksessa pitäisi ehkä ryhtyä välittömiin oikeustoimiin, jotta entistä työntekijää estettäisiin käyttämästä kopioimiaan tietoja. Seuraavana toimenpiteenä olisi välttää tilanteen uusiutuminen. Rekisterinpitäjä voisi esimerkiksi käskeä entistä työntekijää lopettamaan tietojen käyttämisen, mutta tällaisen toimenpiteen tehokkuudesta ei ole mitään takeita.

Tällaisiin tapauksiin ei ole yhtenäistä, hyvää ratkaisua, joka olisi sopiva kaikissa tilanteissa. Tilanteiden todennäköisyyttä voidaan kuitenkin pienentää järjestelmällisellä toiminnalla. Yritys voisi esimerkiksi ottaa käytännöksi mahdollisuuksien mukaan poistaa käyttöoikeuksia sellaisilta työntekijöiltä, jotka ovat ilmaisseet aikomuksensa irtisanoutua, tai kerätä lokitietoja tietojen käsittelytoimista, jotta ei-toivotuista käsittelytoimista voidaan saada hälytyksiä. Työsopimuksiin pitäisi myös lisätä ehto, joka kieltää esimerkkitapauksen kaltaisen toiminnan.

Koska kyseinen tietosuojaloukkaus ei aiheuta vakavaa riskiä luonnollisten henkilöiden oikeuksille tai vapauksille, ilmoitus valvontaviranomaiselle on riittävä toimenpide.

Rekisteröityjen tiedottaminen tilanteesta voi kuitenkin olla eduksi rekisterinpitäjälle, koska yrityksen maineen kannalta on parempi, että rekisteröidyt kuulevat asiasta yritykseltä itseltään eivätkä entiseltä työntekijältä, kun tämä ottaa heihin yhteyttä. Yleisen tietosuoja-asetuksen artiklan 33 kohdan 5 mukaan rekisterinpitäjä on velvollinen dokumentoimaan kaikki tietosuojaloukkaukset.

 

CASE 11: Varastettu materiaaleja, jotka sisältävät henkilötietoja salaamattomassa muodossa

Palveluntarjoajan työntekijän kannettava tietokone varastetaan. Varastetulla tietokoneella on yli 100 000 asiakkaan etu- ja sukunimet, sukupuolitiedot, osoitteet ja syntymäajat. Tietokoneen varastamisen jälkeen ei ollut mahdollista tarkistaa, oliko laitteelle tallennettu myös muita henkilötietotyyppejä. Tietokoneen kiintolevyä ei ollut suojattu salasanalla. Menetetyt henkilötiedot voitiin palauttaa päivittäin tallennetuista varmuuskopioista.

CASE 11 – edeltävät toimet ja riskien arviointi

Rekisterinpitäjä ei ollut toteuttanut suojatoimia, minkä vuoksi varastetulla tietokoneella olleet tiedot olivat helposti varkaan tai kenen tahansa muun laitetta käsittelevän ihmisen käytettävissä.

Tietosuojaloukkaus liittyy varastetulla laitteella olleiden tietojen luottamuksellisuuteen.

Henkilötietoja sisältävä kannettava tietokone oli tässä tapauksessa haavoittuva, sillä siinä ei ollut käytetty minkäänlaista salasanasuojausta tai muuta salausta. Perustason suojausmenettelyiden laiminlyönti aiheuttaa korkeamman riskin rekisteröidyille, joiden tietoja laitteeseen on tallennettu. Lisäksi asianosaisten rekisteröityjen tunnistaminen on hankalaa, mikä osaltaan kasvattaa riskin vakavuutta. Riskiä kasvattaa myös suuri rekisteröityjen määrä, joihin tapaus vaikuttaa. Tapauksessa ei kuitenkaan vuotanut mitään erityisiin henkilötietoryhmiin luokiteltavia tietoja.

Rekisterinpitäjän tulisi riskien arvioinnissa ottaa huomioon luottamuksellisten tietojen vuotamisen mahdolliset seuraukset ja haitalliset vaikutukset. Tietosuojaloukkauksen seurauksena varastetulta laitteelta löytyviä rekisteröityjen tietoja voidaan mahdollisesti hyödyntää identiteettivarkaudessa, minkä vuoksi riskin katsotaan olevan korkea.

CASE 11 – haittavaikutusten lieventäminen ja velvollisuudet

Laitesalauksen käyttäminen ja tietokannan vahva salasanasuojaus olisivat voineet estää sen, että tietosuojaloukkaus aiheuttaisi riskin rekisteröityjen oikeuksille ja vapauksille.

Olosuhteiden vuoksi tapauksesta on tehtävä ilmoitus valvontaviranomaiselle sekä asianosaisille rekisteröidyille.

Tarvittavat toimenpiteet tunnistettujen riskien perusteella:

Sisäinen dokumentaatio, Ilmoitus valvontaviranomaiselle sekä Ilmoitus rekisteröidyille

 

CASE 12: varastettu mappi, joka sisältää manuaalista arkaluonteista materiaalia

Paperinen "lokikirja" varastettiin klinikalta. Kirja sisälsi klinikalla hoidossa olleiden potilaiden perushenkilötietoja ja terveystietoja. Tiedot oli kirjattu ainoastaan tähän paperiseen lokikirjaan, eikä potilaita hoitaneilla lääkäreillä ollut käytössään varmuuskopioita tiedoista. Kirjaa ei säilytetty lukitussa tilassa, eikä rekisterinpitäjällä ollut käytössään rajoitustoimia tai muita suojatoimia pääsyn rajoittamiseksi paperiseen dokumentaatioon.

Rekisterinpitäjä ei ollut toteuttanut suojatoimia, minkä vuoksi varastetussa kirjassa olleet tiedot olivat helposti kenen tahansa sitä käsittelevän ihmisen käytettävissä. Lisäksi kirjaan dokumentoitujen henkilötietojen luonteen vuoksi varmuuskopioiden puuttuminen aiheuttaa hyvin vakavan riskin.

Tämä tapaus on hyvä esimerkki vakavan riskin aiheuttavasta tietosuojaloukkauksesta. Koska asianmukaisia suojaustoimia ei ollut käytössä, yleisen tietosuoja-asetuksen artiklan 9 kohdassa 1 kuvatun mukaisia terveyttä koskevia tietoja menetettiin. Koska terveyttä koskevat tiedot ovat asetuksen mukaan erityinen henkilötietoryhmä, niihin kohdistuvan loukkauksen katsotaan aiheuttavan tavallista korkeamman riskin rekisteröityjen oikeuksille, mikä rekisterinpitäjän tulee huomioida riskiä arvioidessaan.

Tietosuojaloukkaus liittyy henkilötietojen luottamuksellisuuteen, käytettävyyteen ja eheyteen. Tapaus loukkaa terveyttä koskevien tietojen luottamuksellisuutta, sillä luvattomat tahot voivat saada käsiinsä potilaiden yksityisiä terveystietoja. Tällä voi olla vakavia vaikutuksia potilaan yksityiselämälle. Tietojen käytettävyyteen liittyvä ongelma voi myös aiheuttaa häiriöitä potilaiden hoidossa. Tapaus loukkaa myös henkilötietojen eheyttä, sillä kirjassa olleita tietoja on voitu muuttaa tai tuhota.

CASE 12 – haittavaikutusten lieventäminen ja velvollisuudet

Suojatoimenpiteiden arvioinnissa tulee huomioida myös suojattavan materiaalin luonne. Koska potilastiedot oli kirjattu fyysiseen lokikirjaan, sen suojaukseen tulisi käyttää eri toimenpiteitä kuin sähköisen laitteen suojaamiseen. Tietosuojaloukkaus olisi voitu estää pseudonymisoimalla potilaiden nimet, säilyttämällä lokikirjaa valvotussa ja lukitussa tilassa sekä ottamalla käyttöön asianmukaiset todennusmenetelmät lokikirjan käyttöön.

Yllä kuvatulla tietosuojaloukkauksella voi olla vakavia seurauksia rekisteröidyille, minkä vuoksi tapauksesta tulee ilmoittaa sekä valvontaviranomaiselle ja asianosaisille rekisteröidyille.

 

CASE 17: Identiteetin varastaminen ”sosiaalista hakkerointia” käyttäen

Tietoliikenneyrityksen asiakaspalveluun soittaa henkilö, joka tekeytyy asiakkaaksi. Hän vaatii yritystä muuttamaan sähköpostiosoitteen, johon kyseisen asiakkaan laskutustiedot lähetetään. Puhelun vastaanottanut asiakaspalvelija varmistaa asiakkaan henkilöllisyyden kysymällä tämän henkilötietoihin liittyviä kysymyksiä yrityksen toimintaohjeiden mukaisesti.

Soittaja kertoo oikein asiakkaan asiakasnumeron ja postiosoitteen (koska hänellä oli käytössään nämä tiedot). Tietojen varmistamisen jälkeen operaattori tekee pyydetyt muutokset asiakastietoihin, minkä jälkeen laskutustiedot lähetetään uuteen sähköpostiosoitteeseen. Yrityksen toimintaohjeisiin ei ole määritetty ilmoitusviestin lähettämistä aiempaan sähköpostiosoitteeseen.

Kuukautta myöhemmin todellinen asiakas ottaa yhteyttä yritykseen tiedustellakseen, miksei ole vastaanottanut laskua sähköpostiosoitteeseensa. Hän kieltää olleensa yhteydessä yritykseen aikaisemmin tai pyytäneensä osoitteen muuttamista. Myöhemmin yritys saa selville, että tiedot on lähetetty luvattomalle käyttäjälle, ja palauttaa oikeat tiedot järjestelmään.

CASE 17 – haittavaikutusten lieventäminen ja velvollisuudet

Tämä tapaus on hyvä esimerkki asianmukaisten ennakkotoimien tärkeydestä. Riskien arvioinnin näkökulmasta tämä tietosuojaloukkaus aiheuttaa korkean riskin, sillä laskutustiedot voivat tarjota luvattomalle käyttäjälle tietoja rekisteröidyn yksityiselämästä (esim. tavoista tai ihmissuhteista) tai johtaa materiaalisiin vahinkoihin (esim. ahdisteluun tai fyysiseen uhkaan).

Hyökkäyksessä vuotaneita henkilötietoja voidaan myös käyttää tilin haltuunottoon organisaatiossa tai pääsyyn saamiseksi muissa organisaatioissa oleville käyttäjätileille. Korkean riskin vuoksi asianmukaisten henkilöllisyyden todennusmenetelmien pitäisi olla korkeatasoisia ja niiden käytössä tulee huomioida henkilötietoluokat joihin käyttäjällä todennuksen jälkeen on pääsy.

Asiakkaiden henkilöllisyyden todennusmenetelmiä tulee päivittää tapauksen vuoksi. Nykyiset todennusmenetelmät eivät olleet riittäviä. Luvaton käyttäjä onnistui tekeytymään asiakkaaksi hyödyntämällä julkisesti saatavilla olevia tietoja tai sellaisia tietoja, jotka henkilö oli saanut haltuunsa muuta kautta.

Tällaisten staattisten, tietoon perustuvien todennusmenetelmien (joissa vastaus ei muutu eikä tarvittava tieto ole salaista niin kuin esimerkiksi salasanaa käytettäessä) käyttö ei ole suositeltavaa.

Yrityksen tulisi sen sijaan käyttää sellaista todennusmenetelmää, jossa käyttäjän henkilöllisyys pystytään varmistamaan suurella todennäköisyydellä. Ulkopuolisen monimenetelmäisen todentamisen käyttöönotto ratkaisisi ongelman.  

Tällöin muutospyyntö vahvistettaisiin esimerkiksi lähettämällä vahvistuspyyntö aikaisempaan yhteysosoitteeseen tai lisäämällä ohjeistuksiin sellaisia kysymyksiä, joihin vastaus löytyy ainoastaan edellisestä vastaanotetusta laskusta. Rekisterinpitäjän vastuulla on päättää, mitä suojatoimenpiteitä käytetään, koska tällä on parhaiten tiedossa sisäisten toimintojen yksityiskohdat ja vaatimukset.

Tarvittavat toimenpiteet tunnistettujen riskien perusteella:

Rekisterinpitäjä on velvollinen ilmoittamaan tietosuojaloukkauksesta sekä valvontaviranomaiselle että rekisteröidylle.

 Lähde: Tietosuojavaltuutetun toimisto https://tietosuoja.fi

Missä mennään? Tutustu maksuttomiin oppaisiimme!

Tutustu oppaisiin tästä >>