Tulostusversio

3/2011

Tietoturva: Teleasiakkaalle kerrottava myös tietoturvaloukkauksista

Teksti: Kirsi Miettinen

Teleyrityksen pitää nyt kertoa asiakkailleen myös erityisistä tietoturvaloukkauksista eikä vain niiden uhkista. Uhkat voivat kohdistua myös henkilötietoihin.

Kuluneen kevään ja kesän aikana teleyritys DNA:n asiakkaiden salaisia puhelinnumeroita päätyi julkiseen jakeluun. Liittymien numeroita oli väliaikaisesti Suomen Numeropalvelun valtakunnallisessa tietokannassa, josta numeropalveluyritykset saavat puhelinnumeronsa. Tietovuoto tapahtui DNA:n järjestelmäpäivityksen yhteydessä ja koski kaikkiaan yli 37 000 liittymävaihdosta.

DNA otti kirjeitse yhteyttä kaikkiin tietovuotoaikana liittymää vaihtaneisiin, joiden numerot olivat saattaneet muuttua väliaikaisesti salaisesta julkisiksi. DNA teki asiasta myös ilmoituksen Viestintävirastolle, joka on tehnyt tapauksessa tiivistä yhteistyötä tietosuojavaltuutetun toimiston kanssa. Viestintävirasto on katsonut, että kyse oli tietoturvauhkasta, ei -loukkauksesta.

DNA:n ilmoitus Viestintävirastolle oli ensimmäinen, joka on tehty toukokuussa voimaan tulleen sähköisen viestinnän tietosuojalain muutoksen mukaisesti.

Ilmoitusvelvoite direktiiviin

EU:ssa annettiin hiljattain sähköisen viestinnän tietosuojadirektiivin muutos, jolla säädettiin henkilötietoihin kohdistuvaan tietoturvaloukkauksen ilmoitusvelvollisuudesta.

Tämäntyyppisten tietoturvaloukkausten ilmoittaminen olisi ollut mahdollista myös aiemman sääntelyn perusteella, mutta direktiivin muutoksella henkilötietojen tietoturvaloukkaukset sisällytettiin nimenomaisesti myös ilmoitusvelvollisuuden piiriin.

Direktiivissä ilmoitettaviksi henkilötietoihin kohdistuviksi tietoturvaloukkauksiksi määritellään tilanteet, joissa viestintäpalvelussa käsiteltyjä henkilötietoja vahingossa tai laittomasti tuhotaan, hävitetään, muutetaan, annetaan käyttöön tai luovutetaan ilman lupaa.

Suomessa direktiivin säännökset on pantu täytäntöön sähköisen viestinnän tietosuojalain muutoksin. Samalla sääntelyä selkeytettiin, kun viranomaisille ja tilaajille sekä käyttäjille tehtävät ilmoitukset erotettiin omiksi pykälikseen.

Teleyrityksen ilmoitusvelvollisuutta Viestintävirastolle koskevissa säännösmuutoksissa kyse oli varsin pienistä muutoksista. Hallituksen esityksessä todetaan kuitenkin selkeästi, että ilmoitusvelvollisuuden piiriin sisältyvät myös henkilötietoihin kohdistuvat tietoturvaloukkaukset.

Asiakkaita myös neuvottava

Säännökset teleyritysten ja lisäarvopalvelujen tarjoajien velvollisuudesta ilmoittaa erityisistä tietoturvaloukkauksista ja -uhkista viipymättä tilaajille ja käyttäjille on sähköisen viestinnän tietosuojalain muutoksella koottu pykälään 21 a. Säännökseen lisättiin velvollisuus ilmoittaa tietoturvaloukkauksista eikä vain niiden uhkista.

Ilmoitusvelvollisuus koskee teleyritysten ohella sähköisen viestinnän tietosuojalaissa tarkoitettujen lisäarvopalveluiden tarjoajia. Niitä ovat palvelut, jotka perustuvat tunnistamis- tai paikkatietojen käsittelyyn, kuten käyttäjän sijaintiin perustuva mainonta ja reittineuvonta.

Hallituksen esityksen mukaan yrityksen on ilmoitettava asiakkailleen esimerkiksi sellaisesta tietoturvaloukkauksesta, joka vaarantaa tilaajan tai käyttäjän henkilötietojen luottamuksellisuuden. Loukkauksen voidaan katsoa vaikuttavan haitallisesti tilaajan tai käyttäjän henkilötietoihin tai yksityisyyteen, jos siihen sisältyy esimerkiksi väärän henkilöllisyyden käyttämistä tai maineen vahingoittumista.

Ilmoituksessa on hallituksen esityksen mukaan annettava tiedot toimenpiteistä, joita palveluntarjoaja on toteuttanut loukkausten selvittämiseksi. Lisäksi tilaajille ja loukkauksen kohteiksi joutuneille on kerrottava käytettävissä olevista toimenpiteistä ja niiden kustannuksista. Heille on myös kerrottava, mistä he voivat saada lisätietoja.

Niin ikään uutta, direktiiviin perustuvaa sääntelyä on, että teleyritysten ja lisäarvopalvelujen tarjoajien on säilytettävä tiedot tekemistään ilmoituksista.

Viestintävirasto voi antaa tarkempia määräyksiä ilmoitusten sisällöstä ja muodosta esimerkiksi määrittelemällä ne olosuhteet, joissa tietoturvaloukkauksesta ei tarvitsisi ilmoittaa asiakkaille. Tällaisia voisivat hallituksen esityksen mukaan olla tilanteet, joissa tiedot ovat olleet asianmukaisesti suojattuja palveluntarjoajan osoittamalla tavalla, tai jos varhainen ilmoittaminen haittaisi loukkauksen tutkimista.

Komissio haluaa laajentaa ilmoituspakkoa

EU:ssa on halua ulottaa ilmoituspakko koskemaan muitakin kuin sähköisen viestinnän palveluntarjoajia. Euroopan parlamentti totesi päätöslauselmassaan sähköisen viestinnän tietosuojadirektiivistä, että käyttäjien intressi saada tietää tietoturvaloukkauksista ei selvästikään koske vain sähköistä viestintää.

Komissio ilmoitti viime vuoden lopulla tutkivansa, voitaisiinko henkilötietojen suojaa koskevissa loukkauksissa ottaa käyttöön yleinen ilmoitusvelvollisuus. Komission odotetaan julkistavan ehdotuksensa henkilötietodirektiivin uudistamisesta aivan lähiaikoina. Myös Euroopan tietosuojaviranomaisten työryhmä kannattaa komission lähestymistapaa. Lieneekin todennäköistä, että ehdotus sisältää ilmoitusvelvollisuutta koskevat säännökset.

Ilmoituksen saaneiden henkilöiden oletetaan ryhtyvän varotoimiin ja havaitsevan paremmin tietojensa epätavallinen käyttö. Tehokkaampi mutta epärealistinen tavoite olisi pystyä estämään kaikki tietosuojaloukkaukset ennalta. Ilmoitusvelvollisuudella yritetään silti esimerkiksi ehkäistä identiteettivarkauksia.

Ilmoitusvelvollisuutta koskevaa lainsäädäntöä laadittaessa on kuitenkin harkittava monia seikkoja, jotta sääntelyllä saavutettaisiin toivotut tavoitteet, eikä siitä aiheutuisi hyötyihin nähden kohtuutonta taakkaa esimerkiksi viranomaisille ja henkilötietoja käsitteleville tahoille.

Tietosuojaloukkauksen määrittely hankalaa

Joissakin EU:n jäsenmaissa on jo laintasoisia tai suositusluontoisia säännöksiä tietosuojaloukkausten yleisestä ilmoitusvelvollisuudesta. Perushavaintona on, että niissä yksin tietosuojaloukkausten määritelmät vaihtelevat laajasta suppeaan.

Selvää lienee, että laaja määrittely johtaa helposti myös runsaampaan ilmoitusmäärään. Siitä taas voi seurata informaatioähky, joka heikentää ilmoitusten toivottua tehoa. Samalla myös viranomaiset saattavat kuormittua tavalla, joka haittaa niiden resurssien tarkoituksenmukaista käyttöä.

Keinoksi on ehdotettu riskianalyysiä: ilmoitusta ei tarvittaisi esimerkiksi sellaisissa tapauksissa, joissa tiedot on suojattu väärinkäytöltä teknisesti riittävän hyvin. Mittarit voisivat olla sekä määrällisiä (esimerkiksi kuinka monen henkilön tiedoista on kyse) että laadullisia (onko kyse arkaluontoisista tiedoista).

Malttia tarvitaan

Ilmoitusvelvollisuuden laajentaminen tietosuojaloukkauksiin vaatisi muidenkin näkökohtien harkitsemista: päättäisikö palveluntarjoaja aina ilmoituskynnyksen ylittymisestä? Tulisiko ilmoituksen sisällöstä olla tarkempia säännöksiä tai ohjeita? Pitäisikö ilmoituksen tekemiselle olla määräaika? Miten monikansallisesti toimivat palveluntarjoajat toteuttaisivat ilmoitusvelvollisuuttaan?

Tällaisten seikkojen tiukoilla EU-tason määrittelyillä saattaa olla myös haittapuolensa. Koska Euroopassa jo säädetyn ilmoitusvelvollisuuden toimivuudesta on saatu tähän mennessä varsin vähän tietoa, olisi toivottavaa, että uutta lainsäädäntöä valmisteltaessa maltti olisi valttia.

---

[KIRJOITTAJA]

Kirsi Miettinen on lainsäädäntöneuvos liikenne- ja viestintäministeriön viestintäpalveluyksikössä.

Lue myös

Tietoturva: Ei aivan tavallinen tietomurto »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.