Tietoturvaloukkauksien tunnistaminen
Tietosuojavaltuutetun toimiston kirje sote-toimijoille tietoturvaloukkauksista
Tietosuojavaltuutetun toimisto muistuttaa 15.11.2021 lähetetyssä kirjeessä (tiedote tässä linkissä) terveydenhuollon rekisterinpitäjiä, kuten Kuntoutusyrittäjien jäsenyrityksiä tietoturvaloukkauksista ja niiden tunnistamisesta.
Jos sait kirjeen, olet luultavasti tietosuojavaltuutetun toimistolle ilmoitettu tietosuojavastaava. Jos et saanut kirjettä vaikka olet lakisääteinen tietosuojavastaava, ilmoita itsesi Tietosuojavaltuutetun toimiston sivuilla. Tietosuojavastaavan nimeäminen perustuu sote-alan erityislainsäädäntöön (asiakastietolakiin).
Erityisesti tietoturvaloukkausten tunnistaminen kaipaa tietosuojavaltuutetun toimiston mukaan parantamista. Tästä syystä kirjeen liitteeksi (sivulta 5 alkaen) on tehty pitkä esimerkkiluettelo erilaisista tietoturvaloukkauksista ja siitä, minkälaisia toimenpiteitä nämä loukkaukset rekisterinpitäjältä edellyttävät.
Keskeisenä tarkennuksena ohjeisiin voidaan havaita, että ilmoitusvelvollisuus tietosuojavaltuutetun toimistolle ei edellytä sanamuotonsa mukaisesti enää usealle rekisteröidylle mahdollisesti aiheutuvaa riskiä.
Tähänastiset yleiset esimerkit ovat kaikki koskeneet tai voineet koskea useita henkilöitä koskevia tietoturvaloukkauksia. Nyt myös selkeästi yhtä henkilöä koskevat tietoturvaloukkaukset katsotaan ilmoitusvelvollisuuden alaiseksi, mikäli ne aiheuttavat riskin rekisteröidyn oikeuksille.
Ensimmäinen esimerkki on väärään osoitteeseen postitettu kirje tai sähköpostiviesti, joka sisältää potilaan terveydentilatietoja.
Valitettavasti joukosta puuttuu edelleen esimerkki siitä, milloin kadonnut kirje katsotaan mahdollisesti tietoturvaloukkaukseksi.
Kuntoutusyrittäjät kannustaa jäseniään tekemään esimerkiksi kadonneista Kelan asiakastietoja sisältävistä tilityskirjeistä ilmoituksen tietosuojavaltuutetun toimistolle. Ilmoituksen voi tehdä tällä sivulla. Yleisiä ohjeita tietoturvaloukkauksista löytyy tältä sivulta.
Rekisterinpitäjä on aina velvollinen arvioimaan tilanteen ja vastaa myös ilmoituksesta tietosuojavaltuutetun toimistolle
Velvollisuus ilmoituksen tekemiseen on aina rekisterinpitäjällä. Jos löydät itsesi henkilötietojen käsittelijän roolista, on velvollisuutesi saattaa loukkaus viipymättä rekisterinpitäjän tietoon. Rekisterinpitäjän on tehtävä päätös jatkotoimista 72 tunnin kuluessa.
Jäsenwebinaari tietoturvaloukkauksista
12.10.2021 pidetty jäsenwebinaari tietoturvaloukkauksista on katsottavissa alta.