Sisukord
Euroopa Liidu kõrgendatud standardid andmekaitsele on jõudnud sellesse faasi, kus nõuete täitmise järelevalve nii ettevõtete kui avaliku sektori üle muutub intensiivsemaks ja karmimaks. Kohanemise aeg uue seadusandlusega (GDPR) on olnud piisavalt pikk, et vaadata üle oma organisatsiooni tegevused, ärimudelid ja andmete töötlemise põhimõtted nende sees. Enam ei paista piisavat vabandusest, et ei ole veel jõutud teemaga tegeleda.
Üheks sagenevaks rikkumise aluseks trahviotsuste määramisel on ebapiisavad tehnilised ja organisatsioonilised meetmed infoturbe tagamisel. Sellised puudused võivad ilmneda nii pahatahtlike rünnete kaudu infosüsteemidele kui ka organisatsiooni enda poolt põhjustatud andmelekete korral. Samas esineb ka juhtumeid, kus järelevalveasutus või inimene ise avastab kasutamise käigus, et pääseb ligi võõra isiku eraelulisele teabele.
Infoturve on üks isikuandmete kaitse olulisemaid vundamente ning seetõttu on ka mõistetav, miks on järelevalve selles küsimuses nõudlik.
Ainuüksi 2020 GDPR kohaste trahvide statistika Euroopas näitab, et infoturbe meetmete ebapiisavuse alusel on määratud üle saja rahatrahvi ning kümmekond nendest on ulatunud vähemalt miljoni euroni, kusjuures kolm suurimat trahvi on ületanud kahekümne miljoni euro piiri.
Kordades rohkem on aga kaasuseid, kus järelevalveasutus on teinud ettekirjutuse mõne tegevuse lõpetamiseks või ärimudeli muutmiseks. See võib olla kohati suuremagi mõjuga kui rahatrahv. Lisaks tuleb arvestada võimalusega, et juhtunust puudutatud isikud esitavad organisatsioonile kahjunõude.
Vaadates Eestis lähiajal toimunud andmetega seotud intsidente näeme selgelt, et nende mõju võib organisatsioonile olla ulatuslik. Hiljuti tegi Andmekaitse Inspektsioon ettekirjutuse e-apteekidele sundides neid sulgema võimaluse osta retseptiravimeid teisele isikule.
Seda seetõttu, et mõte võis olla hea aga teostus tõi endaga kaasa võimaluse vaadata ükskõik kelle isikukoodi teades, talle väljakirjutatud retsepte. Eestis on isikukood väga laialt kasutatav ning selle teadasaamine ei ole just ülearu keeruline, seetõttu peame eriti hoolikalt jälgima, mida ainuüksi selle teadmisega oma infosüsteemides teha lubame.
Lisaks on sagenenud ka ründed infosüsteemidele, mille eesmärgiks on, kas andmete krüpteerimine ja algse olukorra taastamise eest lunaraha nõudmine või lihtsalt süsteemide töö halvamine, mis võib kaasa tuua isikuandmete eesmärgipärase kasutamise häire ja seetõttu olulise kahju organisatsiooni igapäevasele asjaajamisele.
Esineb ka juhtumeid, kus ründe käigus kätte saadud isikuandmed avalikustatakse veebis ning mingeid rahalisi nõudmisi ei esitatagi. Kui leiab tõendamist, et säärased intsidendid on võimalikuks saanud ebapiisavate turvameetmete rakendamise tõttu ning seeläbi on saanud kahjustada ka inimeste eraelu puutumatus, tuleb arvestada juba ka GDPR nõuete rikkumisega.
Kuid mida siis teha, et järgmine intsident koos laialdase meediakajastusega ei puudutaks just sinu organisatsiooni?
Suureks väljakutseks on osutunud nö köögipoole koristamine. See, mida ja kuidas on juba aastaid tehtud, tuleks põhjalikult üle vaadata. Mittevajalik andmestik kustutada, juurdepääsud vajaduspõhiselt piirata ja turvameetmed väliste rünnakute vastu rakendada. Pilt sellest, milliseid andmeid milleks kasutatakse, peab igal organisatsioonil olemas olema.
Kui olemasoleva korrastamine on aega ja raha nõudev pingutus, siis tulevikus samade vigade vältimine võib olla oluliselt soodsam viis probleemide ennetamiseks. Võttes aluseks mõned olulised põhimõtted ja nõuded on võimalik juba tegevuste planeerimise käigus vältida enamlevinud vigu isikuandmete töötlemisel.
Mõtle läbi, milliseid andmeid ja milleks sul vaja on
Ära alusta andmete kogumist nii, et pole päris selge, kas kõike ikka vaja on. Üleliigsed andmed ei too sind sinu eesmärkidele lähemale, kuid intsidendi korral suurendavad sinu rikkumise ulatust ja mõju isikute eraelu kahjustamisele.
Hea meetod selle vältimiseks on andmekaitse mõjuhinnangu koostamine. See tähendab süsteemset lähenemist andmete töötlemisele, mis võtab arvesse sinu eesmärke ja viitab nõuetele, mida tuleb täita. Mõjude eelnev hindamine aitab ära hoida toodete/teenuste nõuetele mittevastava arendamise ning seega ka asjatu ressursikulu ja töötab ka enesehindamise tööriistana, kus metoodiliselt esitatud küsimustele vastates mõeldakse toode/teenus paremini läbi juba planeerimise käigus.
Planeeri andmekaitse põhimõtted oma toodetesse/teenustesse kohe sisse
Isikuandmete kaitses tuntakse põhimõtet privacy by design ehk lõimitud andmekaitse. See põhimõte käib ühte jalga just ülalmainitud mõjuhinnangu teostamisega. Mõjuhinnangust selgunud nõuded saab sageli täita just toote/teenuse sellise disainimisega, kus arvestatakse andmete kaitse põhimõtetega.
Näiteks on teatud veebilahenduste puhul mõistlik kasutada isikute autentimist, andmete kogumisel vältida üleliigsete andmeväljade tekitamist ja kohustuslike ning vabatahtlike väljade selget eristamist. Mobiilirakenduste puhul on sage liigsete lubade küsimine kui need võiksid olla järk-järgulised. Tuttav näide on tasuta taskulambi äpp, mis nõuab kasutajalt telefoni asukohatuvastuse sisselülitamist.
Tõenäoliselt ei ole valguse näitamiseks see vältimatult vajalik, kuid kui rakenduse tootja soovib kasutajale pakkuda ka lisateenuseid, siis privaatsussõbralikult disainitud toode küsiks asukoha määramise luba alles hetkel kui kasutaja valib lisateenuseid.
Ka andmete automaatne kustutamine pärast nende vajaduse lõppemist on hea näide privaatsussõbralikust lahendusest ning aitab ka oluliselt kaasa andmelekke korral selle ulatuse vähendamisele.
Pane kirja selges ja lihtsas keeles, mida isikuandmetega teed
Lisaks sellele, et andmete töötlemise läbipaistvus on juriidiline nõue, aitab see ka korrastada organisatsiooni mõtteid. Kui püüad oma kliendile selgitada ausalt, mida tema eraeluliste andmetega teed, võib esile kerkida probleemseid kohti, mis vajavad lahendamist.
Samuti aitab see välja tuua ka nö pimedaid nurki, kus ka organisatsioon ise ei ole veendunud, kuidas protsessid toimivad. Privaatsusteade ei ole lihtsalt tekst, mille saad teise organisatsiooni veebilehelt kopeerida, vaid peab edasi andma, mis just sinu organisatsioonis isikuandmetega tehakse.
Lase oma tooteid/teenuseid sõltumatul eksperdil lõppkasutaja vaates testida
Sageli leiame teenusepakkujate teenuste nimekirjast auditi rea, kuid pole päris kindlad, kas see on ikka teenus, mida otsime. Audit võib olla väga ajamahukas ja mitte sobida sinu ajakavaga. Vahel on see ajakulu põhjendatud, kuid tihtilugu on vaja konkreetset ja kiiret testimist konkreetse toote/teenuse raames.
Selliselt on võimalik saada raport puudustest, mis kannavad endas andmekaitse riske koos selgete juhistega eksperdilt, kes igapäevaselt andmekaitsega tegeledes oskab ära tunda olulised puudused ning need ka prioriteetide alusel ritta seada. Välise osapoole kaasamine siin aitab vältida organisatsioonisiseseid pingeid, mis võivad ausalt rääkimist raskendada.
Täida teavitamiskohustus kui juhtub halvim
Isikuandmete kaitse reeglid panevad kohustuse olulistest rikkumistest Andmekaitse Inspektsiooni ja isikuid teavitada. See on oluline, et ei tekiks nii järelevalve kui puudutatud isikute poolel teadmatust ning et juhtunule saaks kiirelt reageerida.
Selleks, et nõuetekohaselt teavitada, tutvu inspektsiooni juhistega. Arvesta ka sellega, et küberintsidendi korral aitab sind Riigi Infosüsteemi Amet. Hea näide hiljutisest koostööst seostub tuntud automüüjale tehtud küberrünnakuga.
Loo infoturbe tervik
Nagu varasemalt mainitud on infoturve üks olulisemaid andmekaitse komponente. Füüsilised, organisatsioonilised ja infotehnoloogilised turvameetmed on kasulikud kui kõneall on ärisaladuse kaitse, kuid peavad olema rakendatud kui räägime eraisikute eraeluliste andmete kasutamisest. Vastavalt andmete iseloomust tulenevatele ohtudele tuleb ka valida infoturbe meetmete tase.
Loomulikult on siin küsimus rahas, kuid suuremate riskide kandmisel tuleb rakendada ka tõhusamaid meetmeid. Selle aasta järelevalvemenetlused Euroopas näitavad selgelt, et hooletust ja riskide ebapädevat hindamist isikuandmete töötlemisel karistatakse karmilt ning tihtilugu ei ole andmeleket selleks vajagi.
Küberturbe eksperdid soovitavad muuhulgas uuendada regulaarselt tarkvara, kasutada viirusetõrjet, autentimislahendusi jpm. Kui organisatsioon sellega ei tegele, ei saa intsidendi korral ka kogu süüd pahalaste kaela veeretada.
Miks see kõik vajaik on?
Isikuandmete kasutamine kannab endas alati riske, kuid oluline on see, kuidas nendesse riskidesse suhtutakse. Euroopa menetluspraktika näitab selgelt, et järelevalveasutused võtavad sanktsioneerimisel olulisel määral arvesse organisatsiooni poolseid pingutusi nii intsidendile eelnevalt kui selle lahendamise ajal.
Tänapäevased tooted ja teenused nii avalikus kui erasektoris on sageli seotud isikuandmete töötlemisega ja seega tuleb lisaks andmetest saadavale kasule tegeleda ka kaasnevate kohustustega. Kogu maailmas kehtestatakse Euroopa eeskujul järjest tugevamaid andmekaitsenõudeid ning rahvusvahelises konkurentsis on nende rakendamine juba pigem tava kui erand.
Seetõttu tajuvad organisatsioonid seda üha enam toodete ja teenuste väärtuse osana ning rikkumisi selles vallas mõõdetakse mitte ainult rahtrahvina vaid ka mainekahjuga.
Ennetamaks andmekaitsealaseid rikkumisi tuleb sellele teemale läheneda süsteemselt ning terviklikult. Seada tuleb prioriteete ning saada aru protsesside omavahelistest sõltuvustest.
Kuidas leida hea tasakaal kasutusmugavuse, isikuandmete kaitse ja küberturvalisuse vahel, seda aitavad mõista valdkonna eksperdid, kes nõustavad organisatsioone igapäevaselt nõuetega vastavusse viimisel.
