TIETOSUOJAOPAS 39 Henkilötietojen suojaaminen Tietoturvallisuus on nykypäivänä monisyistä ja se on otettava huomioon organisaation kaikessa toiminnassa. Tietoturvariskejä on monenlaisia: esimerkiksi fyysinen tunkeutuminen organisaation tiloihin, väärinkäytöksiä (tahallaan tai tahattomasti) tekevä organisaation oma työntekijä, vahingossa tapahtuva tietojen katoaminen tai organisaation tietojärjestelmiin murtautuva tietoverkkorikollinen. Riskienhallinnalliset keinot, kuten varautumis- ja palautumissuunnitelmien laatiminen, riskien ehkäisemis- ja pienentämistoimenpiteiden toteuttaminen ja tarvittavien tietoturvakontrollien käyttöönottaminen auttavat organisaatiota varmistamaan vaatimuksenmukaisuuden toteutumisen. Tietomurtojen havaitseminen ja niihin reagoiminen Tietosuoja-asetus edellyttää tietyissä tapauksissa, että organisaation on ilmoitettava tapahtuneesta tietomurrosta tai -vuodosta viranomaisille tietyn määräajan kuluessa. Joissain tapauksissa organisaation on ilmoitettava tapahtuneesta myös niille rekisteröidyille, joiden henkilötiedoista on kyse. Jotta organisaatio pystyy nämä vaatimukset toteuttamaan, tulee sillä olla kyvykkyydet havaita henkilötietoihin kohdistuneet tietomurrot ja -vuodot. Myös ostopalvelujen osalta organisaation tulee varmistua siitä, että sopimuskumppanilla on kyky havaita tällaiset tietomurrot ja -vuodot ja että ilmoitusvelvollisuuksista on sovittu asianmukaisesti. Tietomurron tai -vuodon havaitsemisen jälkeen on suositeltavaa noudattaa seuraavaa nelivaiheista prosessia: • Laadi vakavuusarviointi: • Arvioi tapahtuman vaikutus ja vakavuus. • Tee tekninen tutkimus ja kartoita mahdolliset tapahtuman hallinta-, korjaus- ja/tai kiertostrategiat. • Jos henkilötiedot ovat voineet altistua luvattomalle käytölle tai ne ovat vuotaa organisaation ulkopuolelle, käynnistä ilmoitusprosessi tietosuoja-asetuksen edellyttämällä tavalla. • Laadi palautumissuunnitelma tapahtumasta toipumiseksi. • Suorita tapahtuman hallintatoimenpiteet, esim. järjestelmien eristäminen ja lokien varmistaminen tutkintaa varten. • Suunnittele pitkäaikaiset korjaus- ja palautumistoimet akuutin tilanteen päätyttyä. • Tee jälkiarviointi: • Kertaa tapahtuman kulku. • Korjaa käytänteet, toimenpiteet ja prosessit siten, että vastaava tapahtuma voidaan jatkossa estää. 12.2.4 Raportointi Raportointivaiheessa laaditaan organisaation johdolle raportit, dokumentoidaan tietosuojaan liittyvä toiminta, tehdään ilmoitukset rekisteröidyille sekä viranomaisille ja vastataan rekisteröityjen esittämiin pyyntöihin. Osana raportointia organisaation pitää laatia ja päivittää tietosuojatoimintaan liittyvä dokumentaatio. Tietosuojaan liittyvää dokumentaatiota käsiteltiin luvussa 7.1.3.
RkJQdWJsaXNoZXIy Mjk0MTY=