Henkilötietojen tietoturvaloukkausten tunnistaminen koskee kaikkia palvelunantajia, apteekkeja ja itsenäisiä lääkkeenmäärääjiä.
Henkilötietojen tietoturvaloukkaustapauksissa noudatetaan EU:n yleisen tietosuoja-asetuksen säännöksiä (eur-lex.europa.eu). Lisäksi apulaistietosuojavaltuutettu ohjeistaa yhdenmukaisista tietoturvaloukkausilmoitusten ilmoituskäytännöistä ja menettelytavoista (tietosuoja.fi). Nämä sekä palvelunantajan omat tietosuojaohjeet kannattaa käydä läpi ja harjoitella niiden mukaan toimimista. Se edistää tietosuoja-asetusten velvoitteiden toteuttamista.
Henkilötietojen tietoturvaloukkauksella tarkoitetaan tapahtumaa, jonka seurauksena henkilötietoja esimerkiksi
- tuhoutuu, häviää tai muuttuu
- luovutetaan luvattomasti tai
- henkilötietoon pääsee osapuoli, jolla ei ole oikeutta käsitellä sitä.
Henkilötietojen tietoturvaloukkausepäilyn selvittämisessä arvioidaan riskin suuruus ja vaikutukset henkilölle, jonka tietoihin loukkaus kohdistuu. Riskin suuruus määrittää tarvittavien toimenpiteiden toteuttamisen.
Miten toimia omassa organisaatiossa?
Palvelunantaja, apteekki tai Kelaimen käyttäjä voi toimia joko rekisterinpitäjänä, yhteisrekisterinpitäjänä tai henkilötietojen käsittelijänä.
Jos palvelunantajan tai apteekin edustaja epäilee tai havaitsee organisaationsa toiminnassa henkilötietojen tietoturvaloukkauksen, pitää poikkeaman selvitys käynnistää ilmoittamalla havainnosta organisaation nimeämälle taholle, esimerkiksi tietosuojavastaavalle. Hän käynnistää tarvittavat toimenpiteet havainnon selvittämiseksi.
Henkilötietojen käsittelijän pitää ilmoittaa henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle viipymättä. Rekisterinpitäjällä on viimekätinen vastuu ilmoittaa henkilötietojen tietoturvaloukkauksesta 72 tunnin kuluessa tietosuojavaltuutetun toimistolle ja tarvittaessa rekisteröidyille.
Jos palvelunantaja/apteekki toimii yhteisrekisterinpitäjänä ja loukkaus on muodostunut sen toiminnassa, vastaa se ilmoituksen tekemisestä. Lisätietoa yhteisrekisterinpitäjän tehtävistä, vastuista ja ilmoitusvelvollisuudesta henkilötietojen tietoturvaloukkauksissa voi lukea Kanta-palvelujen asiakkuuden sitoumuksesta (pdf).
Kelaimen käyttäjä
Kelaimen käyttäjä vastaa omasta toiminnastaan siten kuin EU:n yleinen tietosuoja-asetus velvoittaa (eur-lex.europa.eu).
Jos Kelaimen käyttäjä epäilee tai havaitsee Kelaimen toiminnassa mahdollisen henkilötietojen tietoturvapoikkeaman, pitää hänen olla välittömästi yhteydessä Kelaan. Henkilötiedon tietoturvaloukkauksen selvittämiseen liittyvistä tehtävistä ja vastuista voi lukea lisää Kelain-palvelun käyttöehdoista (pdf).
Milloin otetaan yhteyttä Kelan tekniseen tukeen?
Palvelunantajan, apteekin tai Kelaimen käyttäjän pitää olla viipymättä yhteydessä Kelan tekniseen tukeen, jos havainto henkilötietojen tietoturvapoikkeamasta kohdistuu Kanta-palvelun toimintaan.
Kelan teknisen tuen yhteystiedot:
- sähköposti tekninentuki@kanta.fi
- puhelin 020 634 7787.
Mainitse yhteydenotossa vähintään seuraavat tiedot
- kuvaus epäilystä tai havainnosta
- mitä tietoja loukkausepäily koskee
- epäilyn tai havainnon päivämäärä, kellonaika ja tapahtumapaikka
- mahdollisimman tarkka kuvaus tilanteesta ja siitä mihin toimenpiteisiin on ryhdytty tilanteen korjaamiseksi.
Lue lisää
- Ilmoitus tietoturvaloukkauksesta, Tietosuojavaltuutetun toimisto (tietosuoja.fi)
- Tietosuojavaltuutetun toimiston ohjeet tietoturvaloukkauksissa toimimiseksi (tietosuoja.fi)
- Liite Kanta-palvelujen asiakkuuden sitoumukseen: Kuvaus Kanta-palveluihin liittyvien palvelujen yhteisrekisterinpitäjyydestä
- Ohjeet muissa häiriötilanteissa toimimiseksi