Toimi näin, jos epäilet henkilötietojen tietoturvaloukkausta

Toimi näin, jos epäilet henkilötietojen tietoturvaloukkausta

Tämä ohje on tarkoitettu palvelunantajien, apteekkien ja Kelain-palvelun käyttäjien tueksi tilanteessa, jossa on havaittu Kanta-palveluihin liittyvä henkilötietojen tietoturvaloukkaus tai sen epäily. Ohjetta noudatetaan palvelunantajan ja apteekkien omien tietosuojaohjeiden rinnalla.

Henkilötietojen tietoturvaloukkaustapauksissa sovelletaan EU:n yleisen tietosuoja-asetuksen säännöksiä (eur-lex.europa.eu) ja tietosuojavaltuutetun ohjeistusta.

Nämä sekä palvelunantajan ja apteekkien omat tietosuojaohjeet kannattaa käydä läpi ja harjoitella niiden mukaan toimimista. Se edistää tietoturvaloukkauksen selvittämistä määräajassa.

Henkilötietojen tietoturvaloukkauksella tarkoitetaan tapahtumaa, jonka seurauksena henkilötietoja esimerkiksi

  • tuhoutuu, häviää tai muuttuu lainvastaisesti
  • luovutetaan luvattomasti tai
  • henkilötietoon pääsee osapuoli, jolla ei ole oikeutta käsitellä sitä.

Henkilötietojen tietoturvaloukkausepäilyn selvittämisessä arvioidaan loukkauksen vaikutukset rekisteröidylle, jonka tietoihin loukkaus kohdistuu.

Miten toimia omassa organisaatiossa?

Tilanteesta riippuen palvelunantaja, apteekki tai Kelaimen käyttäjä toimii joko rekisterinpitäjänä, yhteisrekisterinpitäjänä tai henkilötietojen käsittelijänä.

Jos palvelunantajan tai apteekin edustaja epäilee tai havaitsee organisaationsa toiminnassa henkilötietojen tietoturvaloukkauksen, selvitys käynnistetään ilmoittamalla havainnosta organisaation nimeämälle taholle, esimerkiksi tietosuojavastaavalle, joka käynnistää tarvittavat toimenpiteet havainnon selvittämiseksi ja loukkauksen vaikutusten arviointia varten.

Jos palvelunantaja tai apteekki toimii yhteisrekisterinpitäjänä ja loukkaus on muodostunut sen toiminnassa, vastaa se loukkausilmoituksen tekemisestä valvontaviranomaiselle ja tarvittaessa rekisteröidyille. Lisätietoa yhteisrekisterinpitäjän vastuista ja ilmoitusvelvollisuudesta henkilötietojen tietoturvaloukkauksen yhteydessä on ohjeistettu liitteessä Kanta-palvelujen asiakkuuden sitoumuksessa: Kuvaus Kanta-palveluihin liittyvien palvelujen yhteisrekisterinpitäjyydestä.

Jos Kelaimen käyttäjä toimii yhteisrekisterinpitäjänä ja epäilee tai havaitsee Kelaimen toiminnassa henkilötietojen tietoturvaloukkausta, tulee hänen olla välittömästi yhteydessä Kelaan. Henkilötietojen tietoturvaloukkauksen selvittämiseen liittyvistä tehtävistä ja vastuista on ohjeistettu Kelain-palvelun käyttöehdoissa (pdf).

Henkilötietojen käsittelijän tulee ilmoittaa henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle viipymättä. Rekisterinpitäjän vastuu on ilmoittaa henkilötietojen tietoturvaloukkauksesta 72 tunnin kuluessa tietosuojavaltuutetulle ja tarvittaessa rekisteröidyille.

Milloin otetaan yhteyttä Kelan tekniseen tukeen?

Palvelunantajan, apteekin tai Kelaimen käyttäjän tulee olla viipymättä yhteydessä Kelan tekniseen tukeen, jos havainto tai epäily henkilötietojen tietoturvaloukkauksesta kohdistuu Kanta-palvelun toimintaan.

Kelan teknisen tuen yhteystiedot:

Mainitse yhteydenotossa vähintään seuraavat tiedot

  • kuvaus epäilystä tai havainnosta
  • mitä tietoja loukkausepäily koskee
  • epäilyn tai havainnon päivämäärä, kellonaika ja tapahtumapaikka
  • mahdollisimman tarkka kuvaus tilanteesta ja siitä mihin toimenpiteisiin on ryhdytty tilanteen korjaamiseksi.

Lue lisää

Sivua päivitetty 22.12.2023