Apulaistietosuojavaltuutetun tulkinta: vuoden 2023 taloushallinto-ohjelmiston tietovuoto
Apulaistietotosuojavaltuutettu on tulkinnut vuoden 2023 aikana taloushallinto-ohjelmistoon kohdistuneen tietoturvaloukkauksen luvattomaksi pääsyksi henkilötietoihin eli tietovuodoksi.
Viime vuoden aikana uutisoitiin useammastakin pilvipalveluohjelmistoihin kohdistuneesta tietoturvaloukkauksesta. Rikollisen tavoitteena oli esimerkiksi estää ohjelmiston käyttö tai uhata tietojen julkistamisella ja kiristää ohjelmistoyritykseltä rahaa näillä toimilla uhkaamalla.
Tietosuojavaltuutetun toimisto on arvioinut, että ainakin yhdessä näistä tietoturvaloukkauksista on ollut kyse luvattomasta pääsystä henkilötietoihin. On siis mahdollista, että ohjelmassa käsiteltyjä henkilötietoja on päätynyt rikollisten käsiin. Epäilty tietovuoto koskee kyseisen ohjelmistotoimittajan pilvipalvelussa hoidettuja yrityksiä, ei niitä tilitoimistoja tai yrityksiä, jotka ovat pyörittäneet ohjelmistoa omalla palvelimellaan.
Olemme saaneet nyt tilitoimistoilta yhteydenottoja, joiden mukaan tietosuojavaltuutetun toimisto on lähettänyt tietomurrolle altistuneille tilitoimistoille ja yrityksille päätöksiä. Päätöksessä on edellytetty, että tilitoimisto tai asiakasyritys ilmoittaa ilman aiheetonta viivytystä tietoturvaloukkauksesta rekisteröidyille. Lisäksi tilitoimiston tai yrityksen tulee ilmoittaa tietosuojavaltuutetulle nopealla aikataululla, monelleko rekisteröidylle se on ilmoittanut asiasta ja mikä on ollut ilmoituksen sisältö. Rekisteröityjä voivat taloushallinnon järjestelmissä käsiteltävien tietojen osalta yleensä olla palkansaajien ohella esimerkiksi myyntireskontran henkilöasiakkaat tai asiakashallinta- eli CRM-järjestelmän kontaktitiedot.
Rekisteröidylle tehtävässä ilmoituksessa on kuvattava selkeällä ja yksinkertaisella kielellä henkilötietojen tietoturvaloukkauksen luonne ja annettava ainakin seuraavat tiedot (tietosuoja-asetus, artikla 33,3, kohdat b, c ja d):
b) ilmoitettava tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa;
c) kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset;
d) kuvattava toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta, tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
Tietosuojavaltuutettu on saanut vuonna 2023 kyseisestä tietoturvaloukkauksesta yli 100 ilmoitusta. Osa näistä yrityksistä ja tilitoimistoista on nyt saanut asiaa koskevan tietosuojavaltuutetun päätöksen, jossa velvoitetaan ilmoittamaan tietoturvaloukkauksesta rekisteröidylle.
Miten toimia, jos epäilet joutuneesi tietoturvahyökkäyksen kohteeksi?
Tässä vielä kertauksena yleinen ohjeistus, jos epäilet yrityksesi joutuneen tietoturvahyökkäyksen kohteeksi. Sinun kannattaa toimia välittömästi, päättäväisesti ja viipymättä. Sisäisen selvitystyön ohessa asiassa tulee toimia seuraavasti:
Tee rikosilmoitus
Epäillystä tietoturvaloukkauksesta on myös syytä tehdä rikosilmoitus.
Tee ilmoitus Traficomin kyberturvallisuuskeskukselle
Lisäksi suosittelemme lämpimästi ilmoitusta Kyberturvallisuuskeskukselle, joka voi auttaa hyökkäyksen selvittelyssä. Lokakuussa 2024 voimaantulevan NIS2-direktiivin nojalla annettavan lainsäädännön nojalla tämäkin ilmoitus on tulossa lakisääteiseksi velvollisuudeksi osalla tilitoimistoja.
Kyberturvallisuuskeskus on laatinut erittäin hyvät ja kattavat ohjeet, miten toimia mahdollisessa hyökkäystilanteessa. Nämä ohjeet ovat vapaasti ladattavissa Kyberturvallisuuskeskuksen sivuilta.
Ilmoita tietosuojavaltuutetulle
Rekisterinpitäjän on ilmoitettava tietosuoja-asetuksen 33 artiklan perusteella henkilötietojen tietoturvaloukkauksesta ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta toimivaltaiselle valvontaviranomaiselle, paitsi jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Jos ilmoitusta ei anneta 72 tunnin kuluessa, rekisterinpitäjän on toimitettava valvontaviranomaiselle perusteltu selitys.
Henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan sen tietoonsa.
Ilmoittamisesta löydät lisätietoa tietosuojavaltuutetun sivuilta. Sivuilta löydät myös ilmoituslomakkeen.
Taloushallintoalan tietosuojan kehittämishankkeesta voit lukea lisää täältä.