Tietosuoja-asetus velvoittaa raportoimaan mahdollisista tietoturvaloukkauksista

Tietovuotojen havaitseminen perustuu yleisesti päätelaitteiden ja verkkoliikenteen datan keräämiseen, saapuvan datan käsittelyyn ja analysointiin sekä tiedon varastointiin. 

Mikä on GDPR?

EU:n yleinen tietosuoja-asetus eli GDPR (General Data Protection Regulation) otettiin käyttöön keväällä 2018. Tätä asetusta täydentävä kansallinen tietosuojalaki astui voimaan alkuvuodesta 2019. Asetuksen tarkoitus on suojella henkilön oikeuksia ja vapauksia henkilötietoja käsiteltäessä ja sitä sovelletaan kaikkeen henkilötietojen käsittelyyn.

Henkilötietojen käsittelyllä tarkoitetaan niiden kaikkea keräämistä, tallentamista, säilyttämistä, muokkaamista, muuttamista, hakemista, käyttämistä, luovuttamista, jäsentämistä. Näiden tietojen käsittely edellyttää aina laista löytyvää käsittelyperustetta.

Henkilötietojen tietoturvaloukkauksella tarkoitetaan sellaista tapahtumaa, jossa henkilötietoja tuhoutuu, häviää, niitä luovutetaan luvattomasti tai niihin pääsee käsiksi taho, jolla ei ole oikeutta käsitellä tietoja. 

Tietosuojaperiaatteet

GDPR:n mukaiset tietosuojaperiaatteet tarkoittavat, että henkilötietoja on käsiteltävä lain- ja asianmukaisesti sekä rekisteröidyn kannalta läpinäkyvästi. Henkilötietoja on kerättävä ja käsiteltävä vain tarpeellinen määrä tiettyä ja nimenomaista tarkoitusta varten. Epätarkat ja virheelliset tiedot on poistettava tai oikaistava viipymättä.  Henkilötietoja on aina käsiteltävä turvallisesti ja luottamuksellisesti. 

Ilmoitusvelvollisuus

Organisaation ilmoitusvelvollisuus on 72 tunnin kuluessa siitä, kun rekisterinpitäjä on tullut tietoiseksi mahdollisesta tietoturvaloukkauksesta. Henkilötietojen tietoturvaloukkauksesta tai sen epäilystä täytyy ilmoittaa viranomaisille, jos loukkauksesta voi aiheutua riski henkilöiden oikeuksille ja vapauksille.  

Miten havaita tietovuodot?

Tietovuotojen havaitseminen perustuu yleisesti päätelaitteiden ja verkkoliikenteen datan keräämiseen, saapuvan datan käsittelyyn ja analysointiin sekä tiedon varastointiin. Jos käytössä ei ole työkaluja millä dataa tutkia, on tietovuotojen havaitseminen ajoissa mahdotonta.

JMJ Lokivahti - lokienhallintatyökalu

JMJ Lokivahti -työkalulla useasta eri lähteestä kerättyä tilannetietoa analysoidaan yhdessä paikassa ja epäilyttävistä huomioista generoidaan hälytyksiä (esimerkiksi epäonnistuneet kirjautumisyritykset pääkäyttäjän tunnuksilla epätavallisesta sijainnista epätavalliseen aikaan). Tämä mahdollistaa tehokkaan puuttumisen tietoturvaloukkauksiin ja niiden ennaltaehkäisyyn. 

JMJ Lokivahti vastaa EU:n yleisen tietosuoja-asetuksen (GDPR) vaatimuksiin, jossa tietosuojan tulee ulottua organisaation liiketoimintaprosesseihin, tietoverkkoihin ja sovelluksiin. GDPR sisältää myös ilmoitusvelvollisuuden tietoturvaloukkauksista. Organisaatiolla on velvollisuus ilmoittaa viranomaisille 72 tunnin kuluessa, jos epäillään mahdollista tietovuotoa.

JMJ Lokivahdilla voidaan esimerkiksi tutkia: