Toimi näin, jos epäilet henkilötietojen tietoturvaloukkausta

Toimi näin, jos epäilet henkilötietojen tietoturvaloukkausta

Tämä ohje on tarkoitettu palvelunantajien, apteekkien ja Kelaimen käyttäjien tueksi tilanteessa, jossa on havaittu Kanta-palveluihin liittyvä henkilötietojen tietoturvaloukkaus tai sen epäily. Ohjetta noudatetaan palvelunantajan omien tietosuojaohjeiden rinnalla.

Henkilötietojen tietoturvaloukkausten tunnistaminen koskee kaikkia palvelunantajia, apteekkeja ja itsenäisiä lääkkeenmäärääjiä.

Henkilötietojen tietoturvaloukkaustapauksissa noudatetaan EU:n yleisen tietosuoja-asetuksen säännöksiä (eur-lex.europa.eu). Lisäksi apulaistietosuojavaltuutettu ohjeistaa yhdenmukaisista tietoturvaloukkausilmoitusten ilmoituskäytännöistä ja menettelytavoista (tietosuoja.fi). Nämä sekä palvelunantajan omat tietosuojaohjeet kannattaa käydä läpi ja harjoitella niiden mukaan toimimista. Se edistää tietosuoja-asetusten velvoitteiden toteuttamista.

Henkilötietojen tietoturvaloukkauksella tarkoitetaan tapahtumaa, jonka seurauksena henkilötietoja esimerkiksi

  • tuhoutuu, häviää tai muuttuu
  • luovutetaan luvattomasti tai
  • henkilötietoon pääsee osapuoli, jolla ei ole oikeutta käsitellä sitä.

Henkilötietojen tietoturvaloukkausepäilyn selvittämisessä arvioidaan riskin suuruus ja vaikutukset henkilölle, jonka tietoihin loukkaus kohdistuu. Riskin suuruus määrittää tarvittavien toimenpiteiden toteuttamisen.

Miten toimia omassa organisaatiossa?

Palvelunantaja, apteekki tai Kelaimen käyttäjä voi toimia joko rekisterinpitäjänä, yhteisrekisterinpitäjänä tai henkilötietojen käsittelijänä.

Jos palvelunantajan tai apteekin edustaja epäilee tai havaitsee organisaationsa toiminnassa henkilötietojen tietoturvaloukkauksen, pitää poikkeaman selvitys käynnistää ilmoittamalla havainnosta organisaation nimeämälle taholle, esimerkiksi tietosuojavastaavalle. Hän käynnistää tarvittavat toimenpiteet havainnon selvittämiseksi.

Henkilötietojen käsittelijän pitää ilmoittaa henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle viipymättä. Rekisterinpitäjällä on viimekätinen vastuu ilmoittaa henkilötietojen tietoturvaloukkauksesta 72 tunnin kuluessa tietosuojavaltuutetun toimistolle ja tarvittaessa rekisteröidyille.

Jos palvelunantaja/apteekki toimii yhteisrekisterinpitäjänä ja loukkaus on muodostunut sen toiminnassa, vastaa se ilmoituksen tekemisestä. Lisätietoa yhteisrekisterinpitäjän tehtävistä, vastuista ja ilmoitusvelvollisuudesta henkilötietojen tietoturvaloukkauksissa voi lukea Kanta-palvelujen asiakkuuden sitoumuksesta (pdf).

Kelaimen käyttäjä

Kelaimen käyttäjä vastaa omasta toiminnastaan siten kuin EU:n yleinen tietosuoja-asetus velvoittaa (eur-lex.europa.eu).

Jos Kelaimen käyttäjä epäilee tai havaitsee Kelaimen toiminnassa mahdollisen henkilötietojen tietoturvapoikkeaman, pitää hänen olla välittömästi yhteydessä Kelaan. Henkilötiedon tietoturvaloukkauksen selvittämiseen liittyvistä tehtävistä ja vastuista voi lukea lisää Kelain-palvelun käyttöehdoista (pdf).

Milloin otetaan yhteyttä Kelan tekniseen tukeen?

Palvelunantajan, apteekin tai Kelaimen käyttäjän pitää olla viipymättä yhteydessä Kelan tekniseen tukeen, jos havainto henkilötietojen tietoturvapoikkeamasta kohdistuu Kanta-palvelun toimintaan.

Kelan teknisen tuen yhteystiedot:

Mainitse yhteydenotossa vähintään seuraavat tiedot

  • kuvaus epäilystä tai havainnosta
  • mitä tietoja loukkausepäily koskee
  • epäilyn tai havainnon päivämäärä, kellonaika ja tapahtumapaikka
  • mahdollisimman tarkka kuvaus tilanteesta ja siitä mihin toimenpiteisiin on ryhdytty tilanteen korjaamiseksi.

Lue lisää

Sivua päivitetty 19.1.2023