GDPR-päivitys: Sanktioita odotellessa

10. helmikuuta 2019

Tietosuojalainsäädännön kokonaisuus vakiintui uuden tietosuojalain tullessa voimaan 1.1.2019. Samalla kiinnostus säädösten mukaiseen toimintaan heräsi uudelleen. Viimeistään nyt GDPR-yhteensopivuus on osa päivittäistä tietojärjestelmien operointia. Tietosuojavaltuutetun toimisto on laatinut tiiviin ja helppolukuisen tietopaketin organisaatioille henkilötietojen käsittelystä, mukaan lukien ohjeen toimenpiteistä henkilötietojen tietoturvaloukkauksissa.

Ilmoitetut tietosuojaloukkaukset

Tieto valvontaviranomaisille ilmoitetuista tietosuojaloukkauksista on jatkuvasti täsmentynyt, kun GDPR:n täytäntöönpanosta on kulunut aikaa. Alkuvaiheessa oli epätietoisuutta ilmoitusten määrästä ja siitä onko kyse vain medianäkyvyyden aiheuttamasta innostuksesta vai vakaasta tasosta.

DLA Piper -asianajotoimiston koostaman raportin mukaan 25.5.2018 - 28.1.2019 välisenä aikana Suomessa on valvontaviranomaisille raportoitu 2500 tietosuojarikkomusta, eli noin 45 kpl 100 000 asukasta kohden. Luku on absoluuttisesti pieni, mutta suhteellisesti suuri, kun sitä vertaa muihin EU-maihin. Kuten nyt tiedämme GDPR-tietopyyntöjen kaaosta ei syntynyt, mutta Suomi on ilmoitetuissa tietosuojaloukkauksissa kärkipäässä sekä absoluuttisesti (7. sija) että välilukuun suhteutettuna (4. sija). PwC:n mukaan tietosuojavaltuutetulle on tullut keskimäärin yli 10 tietosuojaan liittyvää valitusta päivässä, mikä johtaa samansuuntaiseen n. 2500 ilmoituksen lukemaan.

Lähde: DLA Piper GDPR data breach survey: February 2019

Määrätyt sakot

EU:n tietosuoja-asetukseen perustuvia sakkoja on määrätty DLA Piperin mukaan 91 kertaa. Suurin sakko on Ranskan tietosuojaviranomaisen Googlelle määräämä 50 miljoonan euron sakko. Saksassa on määrätty kymmenien tuhansien eurojen sakkoja ja loput sakot ovat olleet mittaluokaltaan tuhansia euroja. Suomessa ei tätä kirjoitettaessa ole määrätty sakkoja. Sakkojen lukumäärä on pieni suhteutettuna 59000 ilmoitettuun tietosuojaloukkaukseen.

Johtopäätökset

Odotettavissa on, että loppuvuonna 2019 määrätään GDPR-sanktioita enemmän kuin tähän mennessä. Valvontaviranomaisille on kasautunut ilmoituksia tietosuojaloukkauksista, joista on odotettavissa päätöksiä. Sanktioita määräävät niiden maiden viranomaiset, joille on tehty ilmoituksia, eli käytännössä Pohjois- ja Länsi-Euroopan maat. Jos Puola jätetään pois laskuista, niin Etelä- ja Itä-Euroopan maissa on tehty yhteensä suunnilleen saman verran ilmoituksia kuin Suomessa.


Sähköpostin heikot kohdat

28. syyskuuta 2018

Maailman kuuluisin kalasteluviesti

Mitä sähköpostin heikko tietosuoja käytännössä tarkoittaa? Ainakin tietojenkalastelua ja identiteettivarkauksia, murrettuja sähköpostilaatikoita, tietoliikenteen salakuuntelua, ja viestien sisällön kyseenalaista luotettavuutta.

Lähettäjän näkökulmasta heikko tietosuoja tarkoittaa osittain käänteisiä riskejä mitä vastaanottajalle. Jos vastaanottajan ongelmana ovat tietojenkalasteluviestit väärällä identiteetillä, lähettäjän ongelmana on oikean identiteetin todistaminen.

Tässä artikkelissa käsitellään lyhyesti seitsemän sähköpostin tietosuojan ongelmakohtaa lähettäjän näkökulmasta: 

  1. Lähettäjän identiteetin todistaminen
  2. Lähettäjän postilaatikon tietoturva
  3. Viestin sisällön tietosuoja
  4. Viestiliikenteen salaaminen
  5. Vastaanottajan postilaatikon tietoturva
  6. Tieto sähköpostin avaamisesta
  7. Vastaanottajan identiteetin tunnistaminen

Miksi näissä kohdissa sähköpostin oletusarvoinen tietosuoja on heikko? Tähän vastaamiseksi on etsittävä selityksiä sähköpostin tekniikasta ja sen historiasta. Jokaisen kohdan lopuksi esitetään vaihtoehtoja, joilla tietosuojaongelman voi ratkaista.

Miksi sähköposteja kannattaa suojata?

14. syyskuuta 2018

Yhdysvaltojen liittovaltion poliisi FBI alkoi keväällä 2012 tutkimaan tapausta, jossa armeijan ylimpään johtoon kuulunut kenraali ja kaksi häneen liitettävää henkilöä olivat saaneet ahdistelevia nimettömiä sähköposteja GMail-osoitteesta. Asiasta teki erikoisen se, että yksityiselämän väitteiden lisäksi viesteissä ilmeni salassa pidettävää informaatiota, kuten yksityiskohtia valtion ylimpien turvallisuusviranomaisten kalentereista…

Mitä on suojattu sähköposti?

7. syyskuuta 2018

Lyhyt vastaus: Joukko tekniikkoja ja tuotteita, joilla sähköpostin tietosuoja ja luottamuksellisuus pyritään turvaamaan. Suojatun sähköpostin nimikkeen alle mahtuu monenlaista teknologiaa, joista osa on hyvin kaukana tavallisesta sähköpostista. Yhteistä on, että tavoitellaan tavallisen sähköpostin ydinkäyttökokemusta, viestin lähetystä sähköpostiosoitteeseen.

Salattu sähköposti - Opas asiakasviestinnän suojaamiseen

30. elokuuta 2018

"Хотели как лучше, а получилось как всегда"
"Halusimme parasta, mutta tuli samaa kuin aina ennenkin"
- Viktor Tšernomyrdin (1993)

EU:n tietosuoja-asetuksen täytäntöönpanon aikoihin sähköpostit täyttyivät suostumuspyynnöistä ja verkkopalvelut pop-up -ilmoituksista.

Loppukäyttäjien kiusaaminen sai paljon huomiota. Taustalla GDPR-projektit teettivät järjestelmämuutoksia, tietosuojaselosteita ja sopimusliitteitä.

Sitten kaikki loppui ja mikään ei muuttunut. Kävi niin kuin aina ennenkin.

Totta on myös, että suuret muutokset toimintatavoissa ovat hitaita. Pinnan alla jotain tapahtuu, mutta analyysi ja johtopäätökset vaativat ajan tuomaa perspektiiviä.

Vaikka asetuksen täytäntöönpanosta on vasta 3kk, väitän silti, että aito toimintatapojen muutos on tapahtunut. Sähköposti on pudonnut toisen luokan e-kansalaiseksi. Liitetiedostojen lähettämisen välttely on aiheuttanut enemmän sopeutumista asiakasviestinnässä kuin pelonsekaisin tuntein odotetut GDPR-henkilötietopyynnöt.

Puutteellisen tietosuojan vuoksi sähköpostia on kiusallista käyttää silloin kun tuntemattomien välillä viestitään luottamuksellista tietoa. Tai jos luotettujen yhteistyökumppanien kanssa viestitään suuria tietomääriä, esimerkiksi henkilötietoja. Ja tällaistahan tehdään paljon.

Nolojen tilanteiden välttäminen on varteenotettava voima asiakastyössä, sen tiedämme kaikki. 

Tästä syystä teimme oppaan, jossa kerrotaan mitä vaihtoehtoja on suojata viestintä, kun asiakkaasta tiedetään vain nimi ja sähköpostiosoite. Tiiviis ja nopeasti luettava opas on kattava katsaus sähköpostin salausmenetelmiin ja suojausvaihtoehtoihin.

Lataa opas


Mika Kukkonen on osakas ja operatiivinen johtaja Tietosi.fi -palvelua kehittävässä eTaika Oy:ssä. Mikalla on pitkä kokemus ohjelmistoalalla HR-sovellusten kehittämisestä ja henkilötietojen käsittelystä B2B-asiakasrajapinnassa.
LinkedInTwitter

1 – 5 / 8