Digiturvatulkki

takaisin etusivulle

Joka neljäs yritys meni "tietopyyntöansaan" - tutkija esitti ystäväänsä ja pyysi tietoja GDPR:n nojalla

Tulkkaamme caseja, joissa digiturva on syystä tai toisesta pettänyt.
Tulkkaamme ilmiöitä, jotka vaikuttavat digiturvan toteuttamiseen.
Tulkkaamme teknologiauutisia, joilla on vaikutuksia digiturvaan.
case
ilmiö
teknologia
tietoturvaloukkaus
tietosuoja
GDPR
tietopyynnöt

Tulkattava artikkeli

Viitattu
16.8.2019
osoitteessa
https://www.bbc.com/news/technology-49252501
GDPR is supposed to protect personal data, but this experiment used the law to help achieve the opposite effect About one in four companies revealed personal information to a woman's partner, who had made a bogus demand for the data by citing an EU privacy law. The security expert contacted dozens of UK and US-based firms to test how they would handle a "right of access" request made in someone else's name.
Lue koko alkuperäinen artikkeli

Tiivistelmä

eli avainasiat yläpuolen artikkelista
Tutkija testasi yritysten reagointia tietopyyntöihin tekaisemalla sähköpostiosoitteen ja esittämällä ystäväänsä. 25% luovutti tietoja vahvistamatta henkilöllisyyttä, 13% ei reagoinut ollenkaan. Etenkin keskisuurilla organisaatioilla oli ongelmia, kun henkilöstöä jo on, mutta prosessi puuttui.

Tulkin kommentit

Tiivistämme uutisten ydinsisällön ja opetukset selkokielellä.

Yksi tietosuoja-asetuksen tärkeimmistä periaatteista on henkilötietojen "kuuluminen" rekisteröidyille. Rekisteröity voi milloin tahansa pyytää pääsyä kaikkiin tietoihin, joita rekisterinpitäjä on hänestä kerännyt, ja rekisterinpitäjän on pyyntö toteutettava 30 päivän kuluessa.

Tutkija kontaktoi tässä 83 organisaatioita tekaistulla sähköpostiosoitteella, jonka avulla hän esitti kihlattuaan. Hän kertoi myös voivansa antaa lisätietoja henkilöllisyydestään verkkoportaalin kautta, jonka arvasi monilta kontaktoiduilta organisaatioilta puuttuvan ja sitä myötä vaan kasvattavan ahdistusta pyyntöön vastaamiseksi.

Reagoinnista päätellen moni pieni ja keskisuuri organisaatio on vielä täysin varautumaton tietopyyntöjen vastaanottamiseen; enemmänkin GDPR-hiki nousi pintaan, tietoturvallisuus unohtui ja pyyntö yritettiin käsitellä paniikissa nopeasti. Tärkeää olisi olla selkeät prosessit, joilla ensin pyynnön esittävä henkilö tunnistetaan tarpeeksi uskottavasti ja edetä pyynnön käsittelyyn vasta tämän jälkeen. Joskus voi riittää sopivan sähköpostiosoitteen hallinta, mutta tällöin luovutetaan vain tähän sähköpostiosoitteeseen liittyviä tietoja. Vahvempia ja useampia tunnistamiskeinoja henkilöllisyyden varmistamiseksi (esim. puhelinnumero, pankkitunnistus, muut tunnisteet) ja liittyvien henkilötietojen löytämiseksi pitää tietenkin tarvittaessa käyttää.

Henkilötietojen luvaton luovuttaminen on tietoturvaloukkaus samoin kuin suojaamattoman USB-tikun unohtuminen julkisiin tiloihin tai tietoinen murtautuminen palvelimille.

Mikä meni pieleen?
Keskisuurilla ja pienillä organisaatioilla ei ole kunnon prosessia tietopyyntöjen käsittelyyn

Kun ei ole sovittua toimintatapaa tai valmista portaalia ihmisen tunnistamiseen, hätäännytään ja tehdään virheitä.

Ei oltu koulutettu asiakaspalvelua tietopyyntöjen käsittelyyn

Jos organisaatiossa koulutetaan asiakaspalvelijoille yksi asia, sen olisi syytä olla prosessi tietopyyntöjen käsittelyyn ja ihmisten yksityisyyden kunnioittamiseen. Palvelualttius ei saa näissä asioissa ajaa tietosuojan ohi.

Kuinka vältät vastaavan?
Huomioita ja vinkkejä
Tietosuoja-asioissa kysy, ennen kuin toimit!

Opeta tällainen sääntö henkilöstölle, niin voitte säästyä monelta harmilta. Arvailu johtaa ongelmiin. Tällä kertaa luovutettiin esim. salasanoja, rikoshistoriaa ja luottokorttitietoja luvattomasti väärälle henkilölle. Haitta voi olla "pienestä" teosta yksittäiselle ihmisille, ja mainevahinkona organisaatiolle, erittäin suuri.

Tietopyyntöprosessi on oltava suunniteltu ennalta

Isot yritykset ja teknologia-alan yritykset pärjäsivät vertailussa hyvin. Ne ovat tottuneet datan käsittelyyn ja niillä oli prosessi valmiina.

case
ilmiö
teknologia
tietoturvaloukkaus
tietosuoja
GDPR
tietopyynnöt