PALVELEMME NYT MYÖS ILMAISEKSI
PALVELEMME NYT MYÖS ILMAISEKSI
Akatemia

Tietoturvaloukkaukset

Liittyy artikkeliin:

Tietoturvaloukkauksella tarkoitetaan tapahtumaa, jonka kautta henkilötietoja päätyy tai on voinut päätyä asiattomien henkilöiden käsiin.

Rekisterinpitäjän vastuulla on ylläpitää listaa kaikista tapahtuneista tietoturvaloukkauksista. Tietyissä vakavammissa tilanteissa loukkauksista pitää informoida valvontaviranomaiselle, yksilön oikeuksien ollessa uhattuna myös rekisteröidyille.

Rekisterinpitäjän vastuulla on ylläpitää listaa kaikista tietoturvaloukkauksista - myös niistä, joista ei ilmoiteta ulkopuolisille.

Esimerkkejä tietoturvaloukkauksista

  • hävinnyt USB-tikku
  • varastettu kannettava tietokone
  • hakkerointi
  • haittaohjelmatartunta
  • kyberhyökkäys
  • tulipalo datakeskuksessa
  • tiliotteen postitus väärälle henkilölle

Tietoturvaloukkausten käsittely Tietosuojamallissa

Tietosuojamalli auttaa sinua ylläpitämään listaa tietoturvaloukkaukset ja käymään läpi niille oleelliset asiat:

Millainen loukkaus oli kyseessä?

  • Tietoturvaloukkaukset voidaan jaotella erilaisiin kategorioihin mm. syyn ja loukkauksen tavan mukaan
  • Suosittelemme käyttämään pääosin Tietosuojamallista ehdotuksina löytyviä valintoja, jos ne sopivat tapaukseenne

Mitä organisaatioita loukkaus koski?

  • Te voitte olla osallisena tietoturvaloukkauksessa rekisterinpitäjänä tai henkilötietojen käsittelijänä.
  • Samoin yksi loukkaus voi koskea monia organisaatioita, mikäli esimerkiksi käsittelijäroolissa kadotatte useiden asiakkaidenne tiedot
  • Loukkaus voi myös johtua kumppaninne toimista, missä tapauksessa poimikaa kumppani valituksi "Järjestelmätoimittaja" tai "Henkilötietojen käsittelijä" -kohtiin

Mitä tietoja loukkaus koski?

  • Linkittäkää ne järjestelmät sekä piilotiedot, joihin loukkaus liittyi
  • Teidän on tarpeellista tarkentaa myös karkealla tasolla, millaisia tietomääriä loukkaus koski, jotta loukkauksen vakavuutta voidaan käsittää

Millaisia vaikutuksia rekisteröidyille voi koitua?

Mitä ilmoituksia loukkauksesta on päätetty tehdä?

  • Dokumentoikaa päätöksenne siitä, koitteko tarpeelliseksi informoida tietosuojaviranomista tai rekisteröityjä

Millaisia toimenpiteitä loukkauksen johdosta on tehty?

  • Loukkauksen dokumentoinnin tulisi päättyä päätökseen siitä, onko organsaatiomme nähnyt tarpeelliseksi ottaa käyttöön jotain käytäntöjä tai suojausjärjestelmiä, jotta vastaavaa ei tapahtuisi jatkossa
  • Tietoturvaloukkausten todennäköisyyttä ja riskejä voidaan pienentää mm. Tietosuojakäytäntöjen, Yleisten tietoturvakäytäntöjen, Teknisten tietoturvakäytäntöjen tai Suojausjärjestelmien avulla
  • Voit tarvittaessa myös vapaasti kuvata, mitä tehtiin tai miksi päätettiin olla tekemättä mitään, kortin alaosasta löytyvään tekstikenttään
Tietosuojamallin dokumentointirakenne tietoturvaloukkauksille on rakennettu yhteensopivaksi tietosuojavaltuutetun vaatiman dokumentaation kanssa.

Tähän artikkeliin liittyvät muut artikkelit

No items found.

Sisältöä tulossa pian.