Tietoturvaloukkauksen ilmoittaminen viranomaisille on GDPR:n mukainen velvollisuus, joka koskee lähes kaikkia henkilötietoja käsitteleviä organisaatioita. Kun tietoturvaloukkaus havaitaan, rekisterinpitäjällä on lähtökohtaisesti 72 tuntia aikaa ilmoittaa siitä valvontaviranomaiselle. Ilmoittamatta jättäminen voi johtaa merkittäviin hallinnollisiin seuraamuksiin. Prosessin ymmärtäminen etukäteen on olennainen osa organisaation tietosuojariskien hallintaa.
Monissa organisaatioissa tietoturvaloukkauksen sattuessa ensireaktio on selvittää tilanne sisäisesti ennen kuin viranomaisille ilmoitetaan. Tämä lähestymistapa on ongelmallinen: GDPR:n 72 tunnin ilmoitusmääräaika alkaa siitä hetkestä, kun loukkaus tulee rekisterinpitäjän tietoon, ei siitä, kun sen vakavuus on täysin selvitetty. Viivyttely kasvattaa sekä seuraamusriskiä että mahdollisia vahingonkorvausvastuita. Toimiva vastatoimi on etukäteen laadittu sisäinen toimintasuunnitelma, jossa vastuut, ilmoituskynnykset ja viestintäkanavat määritellään selkeästi jo ennen kuin mitään tapahtuu.
Organisaatiot kamppailevat usein sen kanssa, milloin loukkaus ylipäätään täyttää ilmoituskynnyksen. Liian matala kynnys kuormittaa valvontaviranomaista tarpeettomasti, kun taas liian korkea altistaa organisaation seuraamuksille. GDPR:n ilmoitusvelvollisuus ei ole mustavalkoinen: se edellyttää tapauskohtaista riskiarviota, jossa huomioidaan muun muassa loukattujen henkilöiden lukumäärä, tietotyypit ja loukkauksen todennäköiset seuraukset. Konkreettinen askel kohti selkeyttä on dokumentoida arviointikriteerit kirjallisesti osaksi organisaation tietosuojakäytäntöjä.
GDPR:n mukaan tietoturvaloukkaus on turvallisuuden loukkaus, joka johtaa henkilötietojen vahingossa tapahtuvaan tai laittomaan tuhoamiseen, häviämiseen, muuttamiseen, luvattomaan luovuttamiseen tai pääsyyn tietoihin. Loukkaus voi olla tekninen, kuten kyberhyökkäys, tai inhimillinen erehdys, kuten sähköpostin lähettäminen väärään osoitteeseen.
Tietoturvaloukkaus on käsitteenä laajempi kuin pelkkä tietomurto. Se kattaa kolme päätyyppiä: luottamuksellisuuden loukkaukset, joissa tietoja päätyy luvattomiin käsiin, eheyden loukkaukset, joissa tietoja muutetaan luvattomasti, sekä saatavuuden loukkaukset, joissa tietoihin pääsy estyy tai ne tuhoutuvat. Kaikki kolme voivat käynnistää ilmoitusvelvollisuuden.
Käytännön esimerkkejä GDPR:n tarkoittamista tietoturvaloukkauksista ovat muun muassa kannettavan tietokoneen katoaminen, lunnasohjelmahyökkäys, henkilötietoja sisältävän asiakirjan lähettäminen väärälle vastaanottajalle tai asiakasrekisterin luvaton lataaminen. Loukkauksen laajuus ja vakavuus vaikuttavat siihen, millaisia toimenpiteitä organisaatiolta edellytetään.
Tietoturvaloukkaus on ilmoitettava valvontaviranomaiselle silloin, kun loukkaus todennäköisesti aiheuttaa riskin luonnollisten henkilöiden oikeuksille ja vapauksille. Jos riski on epätodennäköinen, ilmoitusvelvollisuutta ei synny, mutta tapaus on silti dokumentoitava sisäisesti.
Riskiarvion tekeminen on rekisterinpitäjän vastuulla. Arvioinnissa huomioidaan tyypillisesti loukkauksen luonne ja laajuus, käsiteltyjen henkilötietojen tyyppi ja arkaluonteisuus, loukkauksen todennäköiset seuraukset rekisteröidyille sekä se, onko tietoja suojattu esimerkiksi salauksella.
Jos loukkaus koskee esimerkiksi salattuja tietoja, joiden salausavain ei ole vaarantunut, riski rekisteröidyille on yleensä vähäinen eikä ilmoitusvelvollisuutta välttämättä synny. Sen sijaan terveystietojen, taloudellisten tietojen tai tunnistetietojen joutuminen vääriin käsiin ylittää ilmoituskynnyksen lähes poikkeuksetta.
GDPR:n 33 artiklan mukaan rekisterinpitäjällä on 72 tuntia aikaa ilmoittaa tietoturvaloukkauksesta valvontaviranomaiselle siitä hetkestä, kun loukkaus on tullut sen tietoon. Määräaika on tiukka, ja sen ylittäminen edellyttää viivästyksen syyn selittämistä viranomaiselle.
Määräajan laskeminen alkaa, kun organisaatiolla on riittävästi tietoa loukkauksen olemassaolosta. Tämä ei edellytä täydellistä selvitystä tapahtuneesta. Jos kaikkia tietoja ei ole saatavilla 72 tunnin kuluessa, ilmoitus voidaan tehdä vaiheistettuna: ensin toimitetaan alustavat tiedot ja täydennetään ilmoitusta myöhemmin.
Käytännössä 72 tuntia on lyhyt aika, erityisesti jos loukkaus havaitaan viikonloppuna tai pyhäpäivänä. Tämä korostaa etukäteissuunnittelun merkitystä: organisaatiolla olisi hyvä olla selkeä sisäinen prosessi, jossa määritellään, kuka tekee ilmoituksen, mitä tietoja tarvitaan ja miten päätöksenteko etenee myös normaalin työajan ulkopuolella.
Suomessa tietoturvaloukkausilmoitus tehdään tietosuojavaltuutetun toimistolle sähköisen ilmoituslomakkeen kautta tietosuojavaltuutetun verkkosivuilla. Ilmoituksessa kerrotaan loukkauksen luonne, arvioitu laajuus, todennäköiset seuraukset sekä toteutetut tai suunnitellut toimenpiteet.
Ilmoituksessa on GDPR:n mukaan esitettävä vähintään seuraavat tiedot:
Jos kaikkia tietoja ei ole saatavilla heti, ilmoitus voidaan toimittaa vaiheistettuna. Tärkeintä on toimia 72 tunnin kuluessa ja täydentää puuttuvia tietoja viipymättä. Tietosuojavaltuutetun toimisto voi myös tarvittaessa pyytää lisäselvityksiä ilmoituksen jälkeen.
Rekisteröidyille on ilmoitettava tietoturvaloukkauksesta silloin, kun loukkaus todennäköisesti aiheuttaa korkean riskin heidän oikeuksilleen ja vapauksilleen. Kynnys on korkeampi kuin viranomaisille ilmoittamisessa: pelkkä riski ei riitä, vaan riskin on oltava korkea.
Rekisteröidyille suunnattu ilmoitus on tehtävä ilman aiheetonta viivytystä. Ilmoituksessa on kerrottava selkeällä ja ymmärrettävällä kielellä loukkauksen luonne, tietosuojavastaavan yhteystiedot, todennäköiset seuraukset sekä toteutetut tai suunnitellut toimenpiteet. Viestinnässä on vältettävä teknistä jargonia, koska vastaanottajat ovat tavallisia henkilöitä.
Rekisteröidyille ilmoittaminen voidaan jättää tekemättä, jos rekisterinpitäjä on toteuttanut asianmukaisia teknisiä suojatoimia, kuten salausta, jotka tekevät tiedoista lukukelvottomia luvattomille tahoille. Ilmoittamatta jättäminen on myös mahdollista, jos se vaatisi kohtuutonta vaivaa, jolloin sen sijaan voidaan käyttää julkista tiedonantoa. Valvontaviranomainen voi kuitenkin edellyttää ilmoittamista rekisteröidyille, jos se katsoo sen tarpeelliseksi.
Tietoturvaloukkauksen ilmoittamatta jättäminen voi johtaa hallinnolliseen sakkoon, joka on enintään 10 miljoonaa euroa tai 2 prosenttia yrityksen edellisen tilikauden maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi on suurempi. Lisäksi organisaatio voi kohdata mainehaittojen ja rekisteröityjen vahingonkorvausvaateiden riskin.
Seuraamusten suuruuteen vaikuttavat useat tekijät, kuten loukkauksen vakavuus, organisaation yhteistyöhalukkuus valvontaviranomaisen kanssa, aiemmat rikkeet sekä se, onko organisaatiolla ollut asianmukaiset tekniset ja organisatoriset suojatoimet käytössään. Valvontaviranomainen arvioi jokaisen tapauksen kokonaisuutena.
Ilmoittamatta jättäminen ei ainoastaan kasvata seuraamusriskiä, vaan se voi myös heikentää organisaation asemaa mahdollisessa myöhemmässä oikeudenkäynnissä. Aktiivinen ja läpinäkyvä toiminta loukkauksen jälkeen, mukaan lukien oikea-aikainen ilmoittaminen, on yleensä omiaan lieventämään seuraamuksia. Me Hedman Partnersilla autamme organisaatioita arvioimaan ilmoitusvelvollisuuden syntymistä ja rakentamaan tietosuojakäytäntöjä, jotka tukevat oikea-aikaista reagointia tietoturvapoikkeamatilanteissa.