Tietosuojavaltuutettu vaatii yrityksiä panostamaan tietoturvaan

Julkaistu 10.10.2012

LEHDISTÖTIEDOTE
10.10.2012
Julkaisuvapaa klo 14.00

Tietosuojavaltuutetun toimiston kesällä 2012 tekemässä tarkastuksessa selvitettiin henkilötietojen käsittelyä ja suojaamista kotimaisissa verkkopalveluissa. Tarkastus kohdistettiin 74 yritykseen ja yhteisöön, joihin oli kohdistunut tietoturvaloukkaus tai sen uhka loka-, marras- tai joulukuun 2011 aikana. Tarkastuksella selvitettiin, miten tietoturvaloukkauksen tai muun tietoturvauhan kohteeksi joutuneet rekisterinpitäjät sekä palveluntarjoajat reagoivat mahdollisiin puutteisiin tietojärjestelmiensä suojaamisessa ja miten ne toteuttavat henkilötietolain asettaman velvollisuutensa suojata käsittelemänsä henkilötiedot.

Tarkastuksessa organisaatioilta tiedusteltiin organisaatioiden tietämystä lakisääteisestä henkilötietojen suojaamisvelvoitteesta, miten tietojärjestelmiin kohdistuviin tietoturvaloukkauksiin ja –uhkiin oli varauduttu, oliko organisaatio itse havainnut raportoidun tietoturvaloukkauksen tai –uhan ja mihin toimiin tapahtuma oli organisaatiossa johtanut. Erityisesti tiedusteltiin oliko organisaatio informoinut asiakkaitaan tai käyttäjiään tapahtuneesta, sillä valmisteilla oleva EU:n tietosuoja-asetus tulee asettamaan tällaisen velvoitteen kaikille rekisterinpitäjille.

Tarkastuksen kohteiksi valikoitui kattavasti niin pieniä, keskisuuria kuin suuryrityksiäkin, palveluntarjoajia sekä julkisyhteisöjä. Yleisesti oli havaittavissa suora suhde organisaation koon ja sen tietoturvallisuuteen ja tietosuojaan käytettyjen resurssien välillä. Tämä näkyi organisaatioiden kyvyssä havaita ja torjua tietoturvaloukkauksia sekä tietoturvatoiminnan organisoinnissa.

Henkilötietolain 32 § velvoittaa rekisterinpitäjät toteuttamaan tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin sekä muulta laittomalta käsittelyltä. Vain 46 % vastaajista kertoi tuntevansa henkilötietolain vaatimukset näiltä osin. Yleisesti ottaen vaikka 92 % tarkastuksen kohteesta toimitti vastauksensa annettuun määräaikaan mennessä, vain viidennes vastaajista oli vastannut kaikkiin esitettyihin kysymyksiin. Huolestuttavan suuressa osassa yrityksiä (30 %) tietoturvaloukkaus tai –uhka ei vastausten perusteella ollut johtanut lainkaan toimenpiteisiin.

Organisaatioiden piirissä esiintyi myös ongelmia tunnistaa omaa rooliaan henkilötietojen käsittelyn ulkoistamistilanteissa. Useampi verkkokauppansa teknisen toteutuksen ulkoistanut yritys ei mieltänyt vastaavansa myös verkkokaupan yhteydessä tapahtuvasta henkilötietojen käsittelystä. Pienet yritykset myös painottivat suojaustoimissaan erityisesti maksuvälinetietoja.

Pienten yritysten ja yhteisöjen kohdalla toteutuneet tietoturvaloukkaukset uhkasivat suoraan organisaation toiminnan jatkuvuutta, sillä useat pienet toimijat olivat päätyneet lopettamaan loukkauksen kohteeksi joutuneet verkkopalvelunsa kokonaan.

Tietosuojavaltuutetun toimisto tulee toiminnassaan korostamaan suomalaisten verkkopalveluiden rekisterinpitäjien ohjausta ja neuvontaa tietoturvallisuusvelvoitteiden täyttämisessä yhteistyössä CERT-FI:n kanssa.

Tietosuojavaltuutetun toimisto tulee toistamaan tarkastuksen myöhempänä ajankohtana.

Lisätietoja
Tietosuojavaltuutettu Reijo Aarnio, puh. 029 56 66730
IT-erityisasiantuntija Lauri Karppinen, puh. 050 5880 798