2019 tõi enam kui 100 teavitust andmekaitselisest rikkumisest

Inimeste privaatsus oli aastal 2019 AKI-le edastatud rikkumisteadete järgi ohus 115 korral, kuna aasta jooksul registreeris inspektsioon selles arvus intsidente, mille põhjuseks oli enamasti kas andmetöötleja hooletus või vähene teadlikkus ning mis neljal korral põhjustasid ka töötaja vallandamise.

2019. aastal registreeriti intsidente riigi- ja omavalitsusasutustes, tervishoiu,- finants,- transpordi,- side - ja haridusteenusteste valdkonnas ning suur osa intsidentidest juhtus veebiteenuste osutamisel. „Kui võrrelda juhtumiste rohkust avaliku ja erasektori teenuste osutajate poolt, siis oli see üldplaanis võrdne,“ kõneles tehnoloogiadirektor Urmo Parm.

Tehnoloogiadirektor meenutab, et sageli on olnud eksimise põhjus aegunud või turvamata tarkvara kõrval just töötaja tähelepanematus või puudulik teadlikkus. „Paljud eksimused tulevad hooletusest ja teadmatusest.

Näiteks õngituskirja avamine on üks nendest,“ viitas tehnoloogiadirektor, kes lisas, et innovaatilise e-riigina peaksid tegelikult juba kõik andmetöötlejad suutma rakendada elementaarseid turvatehnoloogiad, mis hoiavad ära õngitsuskirjad. Selliseks on näiteks DMARC protokoll. E- kirjade turvalist edastamist võimaldab aga STARTTLS krüpteerimismeetod. „Möödunud aastasse jäävad ka sellised juhtumid, kus töötaja eksimuse tõttu andmekaitsereeglite vastu otsustab ettevõte ta vallandada,“ kõneleb Urmo Parm, kes ei võta hindamiseks, kas selline meede on äärmuslik või mitte, kuid kindlasti toetab koolituste korraldamist.

Äärmuslikku meedet rakendati näiteks ettevõttes töötajate suhtes, kes vaatasid aluseta teise inimese andmeid infosüsteemist. Samuti lõpetati tööleping töötajaga, kes lubas turvasalvestistele ligi kolmandaid isikuid.

Andmekaitse Inspektsiooni tehnoloogiadirektor Urmo Parmu sõnul on rikkumisest teatajate arv võrreldes 2018. aastaga suurenenud, nagu on kasvanud ka rikkumisteadete koguarv, kuid arvestades ainuüksi AKI-le edastatavaid märgukirju võib järeldada, et kõik vastutavad andmetöötlejad toimunud intsidentidest veel ei teavita ning inimeste andmetega juhtub ilmselt rohkem, kui on teada. Rikkumisteadete esitamise kohustus tuleb 2018. aasta 25. maist kehtima hakanud isikuandmete kaitse üldmäärusest. Üleeuroopalise õigusakti kohaselt peab vastutav andmetöötleja inimese privaatsust ohustavatest või võimalikku privaatsusriivet sisaldavatest intsidentidest järelevalveasutust teavitama. Isikuandmetega seotud rikkumine tähendab andmete ebaseaduslikku või juhuslikku hävimist, kättesaamatuks muutumist või lubamatut juurdepääsu ja avalikuks saamist. Kui juhtum põhjustas või võib tõenäoliselt põhjustada inimestele kahju, tuleb sellest 72 tunni jooksul inspektsioonile teatada.

Põhjused, miks andmetöötluses intsidendid juhtuvad?

* Inimlik eksimus * Teadmatus * Hoolimatus (nt uudishimupäringud) * Uuendamata tarkvara * Vigased versiooniuuendused * Ründed infosüsteemidele * Õngitsuskirjad * Testimine pärisandmetega *

Samuti on liiga vähene töötajate oskus mitte minna kaasa õngitsuskirjadega.