Sécurité des données : l’erreur est (souvent) humaine

Tietoturva: erehtyminen on (usein) inhimillistä

Legal Watch – marraskuu 2019.

Tietoturva: erehtyminen on (usein) inhimillistä. Tähän johtopäätökseen tulivat henkilötietojen suojasta vastaavat viranomaiset kokouksessaan Tiranassa 21.–24. lokakuuta.

Kansainvälisessä konferenssissa, joka kokoaa yhteen valvontaviranomaiset, yksityisen sektorin ja kansalaisyhteiskunnan vuosittain, hyväksyttiin useita päätöslauselmia.

Näihin kuuluvat kaksi päätöslauselmaa, joilla pyritään parantamaan viranomaisten välistä yhteistyötä rajojen yli ja yleisen tietosuoja-asetuksen parempaa täytäntöönpanoa, päätöslauselma sosiaalisesta mediasta ja väkivaltaisesta ekstremistisestä sisällöstä sekä päätöslauselma, jota käsittelemme tässä, inhimillisestä virheestä tietoturvaloukkauksissa.

Muistutuksena, että GDPR:n mukaan tietoturvaloukkaus koskee mitä tahansa tilannetta, jossa henkilötietoja vahingossa tai laittomasti:

  • Tuhottu
  • Kadonnut
  • Muutettu
  • Paljastettu
  • Tai kun havaitaan luvaton pääsy tietoihin.

Kyseessä on siis erityisen laaja soveltamisala, jolla on seurauksia rekisterinpitäjälle, jonka on tietoturvaloukkauksen vaikutuksesta riippuen ilmoitettava siitä CNIL:lle ja tapahtumasta asianosaisille henkilöille.

Yli vuosi GDPR:n voimaantulon jälkeen näemme, että suuri osa asetuksen noudattamatta jättämisestä määrätyistä sakoista johtuu tietojenkäsittelyn tietoturvan puutteesta. 

Myös Euroopan eri viranomaiset ovat saaneet suuren määrän ilmoituksia ja alkavat saada selkeämmän kuvan turvallisuusongelmien syistä, minkä pitäisi auttaa parantamaan ennaltaehkäisyä tällä alalla.

Havainto on seuraava: Suuri osa tietoturvaloukkauksista johtuu työntekijöiden tahattomasta tiedon paljastamisesta. luvattomille vastaanottajille tai henkilöille, jotka on erehdytetty lähettämään tunnisteita ja pääsykoodeja tietoihin.

Järjestelmien suunnittelussa käyttöönotettujen vankkojen tietosuojatekniikoiden ("sisäänrakennettu yksityisyyden suoja") lisäksi päätöslauselmassa vaaditaan tietosuojakulttuurin kehittämistä yrityksen sisällä. Seuraavia toimenpiteitä korostetaan:

  • Säännölliset koulutus-, opetus- ja tiedotusohjelmat työntekijöille yksityisyyden suojaan ja tietoturvaan liittyvistä näkökohdista;
  • Koulutus tietoturvaloukkausten havaitsemiseen ja raportointiin;
  • Tietojen suojaamiseksi toteutettujen käytäntöjen ja järjestelmien säännöllinen seuranta ja auditoinnit.

Hyödyllinen muistutus: salaus on edelleen erittäin tärkeä tapa suojata tietoja yhdistettynä muihin teknisiin ja organisatorisiin toimenpiteisiin. CNIL ja ANSSI (Ranskan tietosuojavirasto) julkaisivat lokakuussa runsaasti käytännön tietoa verkossa kyberturvallisuuskuukauden kunniaksi.

Ja myös:

  • Ranskassa:

Ranskan valvontaviranomainen julkaisi vuosien 2019–2021 etenemissuunnitelmansa lokakuun puolivälissä. voidakseen viestiä henkilötietojen suojaa koskevista prioriteeteistaan. Työskentelyalueita on viisi:

  • Kansalaisten arjen digitaaliset haasteet;
  • Tasapainoinen sääntely (tuki ja tukahduttavat toimet);
  • Merkittävä investointi eurooppalaiseen yhteistyöhön;
  • Huippuosaamista digitaalisessa ja kyberturvallisuudessa;
  • Innovatiivinen julkinen palvelutehtävä, joka perustuu humanistisiin arvoihin.

CNIL otti myös 17. lokakuuta kantaa kahteen kasvojentunnistusjärjestelmään toteutettu kouluissa.

Hän piti näitä hankkeita, joita sovellettiin enimmäkseen alaikäisiin opiskelijoihin ja joiden ainoana tavoitteena oli tehostaa ja varmistaa pääsy opiskeluun, "eivätkä olleet välttämättömiä eivätkä oikeasuhtaisia näiden päämäärien saavuttamiseksi".

Näitä päätöksiä voidaan verrata Ruotsin valvontaviranomaisen elokuun lopussa tekemään päätökseen, joka koski kasvojentunnistusta kouluissa. Tällä kertaa tarkoituksena oli seurata läsnäoloa.

  • Euroopassa:

Korvaus lain rikkomisesta: Oikeuskäytännössä on selvennetty edellytyksiä, joiden täyttyessä henkilö voi vaatia korvausta oikeuksiensa loukkaamisesta.

Lontoon hovioikeuden 2. lokakuuta tekemässä viimeisimmässä päätöksessä myönnetään korvauksia Googlen vilpillisestä tietojen keräämisestä yli neljän miljoonan käyttäjän iPhoneista, ellei vahinkoa ole todistettu. Hovioikeus täsmentää, että henkilön määräysvallalla omiin tietoihinsa on arvoa, joten myös tämän määräysvallan menettämisellä on oltava arvoa.

Näin ollen henkilö voi saada korvausta lain nojalla todistamatta taloudellista menetystä tai ahdinkoa.

Panemme merkille tämän päätöksen ja yleisen tietosuoja-asetuksen 82 artiklan välisen yhteyden, jossa vahvistetaan aineellisen ja aineettoman vahingon olemassaolo ja jätetään rekisterinpitäjälle todistustaakka siitä, ettei se ole vastuussa vahingosta.

  • Yhdysvalloissa:

Kansainväliset tiedonsiirrot: Euroopan komissio julkaisi 23. lokakuuta kolmannen vuosittaisen tarkastelun päätelmät Privacy Shield -järjestelystä, joka säätelee tietojen siirtoa Yhdysvaltoihin järjestelyyn liittyneiden yritysten osalta.

Raportti vahvistaa, että järjestelmä tarjoaa edelleen riittävän suojaustason.

Siinä korostetaan "Shieldin" toteutuksessa tehtyjä parannuksia ja mainitaan jäljellä olevat heikkoudet, kuten (uudelleen)sertifioinnin saamiseen kuluva aika ja joidenkin yritysten esittämien väärien sertifiointiväitteiden todentaminen.

Tutustu Viqtoriin®
fiFI
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET lvLV lt_LTLT sk_SKSK sl_SISL fiFI