Tietoturvaloukkauksella tarkoitetaan tapahtumaa, jonka kautta henkilötietoja päätyy tai on voinut päätyä asiattomien henkilöiden käsiin.
Rekisterinpitäjän vastuulla on ylläpitää listaa kaikista tapahtuneista tietoturvaloukkauksista. Tietyissä vakavammissa tilanteissa loukkauksista pitää informoida valvontaviranomaiselle, yksilön oikeuksien ollessa uhattuna myös rekisteröidyille.
Rekisterinpitäjän vastuulla on ylläpitää listaa kaikista tietoturvaloukkauksista - myös niistä, joista ei ilmoiteta ulkopuolisille.
Esimerkkejä tietoturvaloukkauksista
- hävinnyt USB-tikku
- varastettu kannettava tietokone
- hakkerointi
- haittaohjelmatartunta
- kyberhyökkäys
- tulipalo datakeskuksessa
- tiliotteen postitus väärälle henkilölle
Tietoturvaloukkausten käsittely Tietosuojamallissa
Tietosuojamalli auttaa sinua ylläpitämään listaa tietoturvaloukkaukset ja käymään läpi niille oleelliset asiat:
Millainen loukkaus oli kyseessä?
- Tietoturvaloukkaukset voidaan jaotella erilaisiin kategorioihin mm. syyn ja loukkauksen tavan mukaan
- Suosittelemme käyttämään pääosin Tietosuojamallista ehdotuksina löytyviä valintoja, jos ne sopivat tapaukseenne
Mitä organisaatioita loukkaus koski?
- Te voitte olla osallisena tietoturvaloukkauksessa rekisterinpitäjänä tai henkilötietojen käsittelijänä.
- Samoin yksi loukkaus voi koskea monia organisaatioita, mikäli esimerkiksi käsittelijäroolissa kadotatte useiden asiakkaidenne tiedot
- Loukkaus voi myös johtua kumppaninne toimista, missä tapauksessa poimikaa kumppani valituksi "Järjestelmätoimittaja" tai "Henkilötietojen käsittelijä" -kohtiin
Mitä tietoja loukkaus koski?
- Linkittäkää ne järjestelmät sekä piilotiedot, joihin loukkaus liittyi
- Teidän on tarpeellista tarkentaa myös karkealla tasolla, millaisia tietomääriä loukkaus koski, jotta loukkauksen vakavuutta voidaan käsittää
Millaisia vaikutuksia rekisteröidyille voi koitua?
- Tässä kohti teidän tulee pohtia, mitä vaikutuksia potentiaalisesti rekisteröidyille voi koitua loukkauksen takia
- Voitte tukeutua halutessanne Tietosuojavaltuutetun dokumentaation sekä esimerkkeihin tapauksista, joissa ilmoitusta viranomaiselle tai rekisteröidyille tarvitaan
Mitä ilmoituksia loukkauksesta on päätetty tehdä?
- Dokumentoikaa päätöksenne siitä, koitteko tarpeelliseksi informoida tietosuojaviranomista tai rekisteröityjä
Millaisia toimenpiteitä loukkauksen johdosta on tehty?
- Loukkauksen dokumentoinnin tulisi päättyä päätökseen siitä, onko organsaatiomme nähnyt tarpeelliseksi ottaa käyttöön jotain käytäntöjä tai suojausjärjestelmiä, jotta vastaavaa ei tapahtuisi jatkossa
- Tietoturvaloukkausten todennäköisyyttä ja riskejä voidaan pienentää mm. Tietosuojakäytäntöjen, Yleisten tietoturvakäytäntöjen, Teknisten tietoturvakäytäntöjen tai Suojausjärjestelmien avulla
- Voit tarvittaessa myös vapaasti kuvata, mitä tehtiin tai miksi päätettiin olla tekemättä mitään, kortin alaosasta löytyvään tekstikenttään
Tietosuojamallin dokumentointirakenne tietoturvaloukkauksille on rakennettu yhteensopivaksi tietosuojavaltuutetun vaatiman dokumentaation kanssa.
Tähän artikkeliin liittyvät muut artikkelit
No items found.
Muu sisältö kategoriassa
"
Toteutus
"
.png)
