Tietosuojavaltuutetun toimisto selvittää Helsingin kaupunkiin kohdistunutta tietoturvaloukkausta

Helsingin kaupunki on tiedottanut vakavasta tietomurrosta tietoverkossaan. Tietosuojavaltuutetun toimisto selvittää tapahtunutta henkilötietojen tietoturvaloukkausta ja tutkii muun muassa, onko kaupunki huolehtinut asianmukaisesti tietosuojavaatimuksista, ja ovatko sen suojatoimet olleet puutteelliset. Poliisi tutkii tapausta törkeänä tietomurtona.

Helsingin kaupunki ilmoitti tietosuojavaltuutetun toimistolle kasvatuksen ja koulutuksen toimialalle kohdistuneesta tietomurrosta 30.4. Helsingin kaupungin antamien tietojen mukaan tietomurron tekijä on päässyt käsiksi 38 000 Helsingin kaupungin työntekijän tietoihin, ja pahimmassa tapauksessa tietomurto koskee yli 80 000 oppijaa ja heidän huoltajaansa.

Tietosuojavaltuutetun toimisto ryhtyi toimenpiteisiin välittömästi, kun tapaus tuli ilmi.  Ensivaiheessa kaupunkia ohjattiin tiedottamaan tietoturvaloukkauksesta. Tietosuojavaltuutetun toimisto jatkaa asian selvittämistä. Kaupungilta on pyydetty selvitystä 5.6. mennessä.

– Tämänhetkisten tietojen mukaan kyseessä on vakava tapaus. Tällaisissa tapauksissa on tärkeää, että ihmiset saavat mahdollisimman nopeasti tiedon tietomurrosta, jotta he voivat suojautua seurauksilta, apulaistietosuojavaltuutettu Annina Hautala toteaa.

Jatkotoimenpiteitä arvioidaan selvityksen perusteella

Tietosuojavaltuutetun toimisto tutkii asiaa tietosuojalainsäädännön noudattamisen näkökulmasta. Kaupunki on tehnyt tapauksesta ilmoituksen myös Traficomin Kyberturvallisuuskeskukselle sekä rikosilmoituksen poliisille. Tarvittaessa Kyberturvallisuuskeskus ja tietosuojavaltuutetun toimisto tekevät selvityksessä yhteistyötä.

– Olennaista organisaation tietosuojatyössä on, että henkilötietojen käsittelyn turvallisuudesta huolehditaan. Tietosuojavaltuutettu valvoo, että tietosuojalainsäädäntöä noudatetaan, jotta me kaikki ja meidän henkilötietomme ovat turvassa. Valvonnan vaikuttavuuden varmistamiseksi tietosuojanviranomainen voi antaa organisaatioille seuraamuksia tietosuojalainsäädännön vastaisesta toiminnasta. Kun Helsingin kaupungilta on saatu selvitys, arvioidaan, millaisiin jatkotoimenpiteisiin on ryhdyttävä, Hautala sanoo.

Yrityksille voidaan määrätä hallinnollinen seuraamusmaksu vakavissa tietoturvaloukkaustapauksissa. Nykylainsäädännön mukaan seuraamusmaksua ei voida määrätä julkisen sektorin toimijalle. Jotta julkisen sektorin organisaatioiden lainvastaiseen toimintaan puuttumiseksi olisi käytettävissä yhtäläiset seuraamusvaihtoehdot, on hallitusohjelmassa kirjaus seuraamusmaksujen ulottamisesta myös julkiselle sektorille.