Ranskalainen tietosuojaviranomainen ’CNIL’ määräsi Googlelle 50 miljoonan euron sakon. Ranskan tietosuojaviranomaisen mukaan Googlen käyttöehdot olivat epämääräiset, eikä Google tarjonnut käyttäjilleen läpinäkyvää ja helposti saatavilla olevaa tietoa käyttöehdoistaan. Google ei myöskään ollut saanut käyttäjiltään nimenomaista suostumusta, eikä ollut määrittänyt oikeudellista perustaa yksilölliseen mainontaan. Lue lisää kuinka GDPR vaikuttaa suoramarkkinointiin ja profilointiin. 

CNIL:n määräämä sakko ei ollut ensimmäinen tietosuoja-asetukseen perustava, mutta on toistaiseksi suurin Eurooppalaisen tietosuojaviranomaisen määräämä sakko Yleiseen tietosuoja-asetukseen liittyen.

TIP: Privacy by design. Tämä tarkoittaa sitä, että on tärkeää ottaa huomioon tietosuoja- ja yksityisyyden suoja jo tuotteen ja palveluiden kehityksen alkuvaiheissa. Näin ollen, tietosuoja tulisi huomioida ja sisällyttää tuotteeseen suunnittelu vaiheessa, eikä yrittää lisätä sitä myöhemmin.

Seloste henkilötietojen käsittelytoimista: Yleisen tietosuoja-asetuksen mukaan yrityksen tulee pitää yllä yrityksen sisäistä selostetta käsittelytoimista tiettyjen edellytyksien täyttyessä. On tärkeää, että yritys on tietoinen siitä, mitä henkilötietoja käsitellään ja miten.

Avoimuus ja läpinäkyvyys: Tehokas ja turvallinen järjestelmä edellyttää vastuullisuutta, tietosuoja vaatimusten noudattamista ja avoimuutta. Siksi on tärkeää olla avoin järjestelmän toiminnasta ja sen tarjoamasta turvatasosta.

Lue lisää GDPR sanktioista

The post Google: Yhdysvaltalainen Teknologian jättiläinen sai 50 miljoonan euron sakon appeared first on GDPR Register | Compliance tool for privacy experts.

Tietovuodon paljastanut asiantuntija, avasi sivuston nimeltä Have I been Pwned, jossa voi käydä tarkistamassa löytyykö oma sähköpostiosoite tiedostosta. Samalla sivustolla voi tarkistaa samalla sen, onko salasanoja vaarantunut jo aikaisemmissa tietovuodoissa.

TIP: Tietoturvan parantamiseksi on tärkeää vaihtaa kaikki käytössä olevat salasanat ja ottaa käyttöön kaksivaiheinen tunnistautuminen. On myös tärkeää varmistaa, että salasana on mahdollisimman turvallinen, sillä moni käyttää samaa salasanaa usealla tilillä.

Suurin osa salasanoista ovat lyhyitä ja yksinkertaisia ja tietokoneiden nykyisillä laskentatehoilla murrettavissa minuuteissa, vaikka salasanassa olisi isoja kirjaimia, erikoismerkkejä sekä numeroita. Turvallisen salasanan pituus tulisi olla vähintään 15 merkkiä. Peräkkäin tulisi olla muutama sana, oikeastaan lause. Lause on myös helpompi muistaa verrattuna sattumanvaraisiin numero ja kirjainyhdistelmiin. Älä koskaan säilytä salasanoja omalla tietokoneellasi, sillä nykyiset haittaohjelmat pystyvät keräämään ne helposti.

Harkitse salasanojenhallintaohjelman käyttöönottoa. Salasanojenhallintaohjelma on tietokoneohjelma, jonne voi tallentaa salasanoja ja jonka avulla voi luoda sattumanvaraisia salasanoja. Suosituimmat sovellukset ovat: Dashlane, F-Secure Key, Keychain, Keepass, Password Safe, Lastpass and 1password. 

Lue lisää kyberhyökkäyksistä ja niiden välttämisestä. 

The post Maailman suurin tietovuoto – 770 miljoona käyttäjätiliä ja salasanaa vuoti julkisuuteen appeared first on GDPR Register | Compliance tool for privacy experts.

Tietovuoto oli jo NASAN toinen. Lokakuussa 2018 hakkerit pääsivät käsiksi yhdelle NASAN palvelimista, joka sisälsi arkaluonteista tietoa, kuten sosiaaliturvatunnuksia ja muuta työntekijöihin liittyvää dataa.

TIP: Ihmisten tekemät virheet aiheuttavat neljä viidestä kaikista tietovuodoista (Iso-Britanniassa). Koulutuksen puute, epäselvät ohjeistukset ja työtehtävät voivat johtaa virheiden tekemiseen (esimerkiksi luottamuksellisen sähköpostin lähettäminen väärälle henkilölle, papereiden hävittäminen jne.) Inhimillisten virheiden välttämisen kannalta on tärkeää antaa selvät ohjeet jokaiselle työntekijälle heidän vastuu alueistaan.

Jos hallinnollisia tai teknisiä käytäntöjä muutetaan, tulee muutoksien vaikutuksista järjestää asianmukainen perehdytys. Työntekijöitä tulee informoida, kuinka tunnistaa uhka tietosuojan kannalta ja mitä tehdä jos tietovuodon tapahtuessa.

Kyberhyökkäyksiä voidaan torjua myös teknisillä tietoturva järjestelmillä sekä selkeillä hallinnollisilla toimenpiteillä.

The post NASA kärsii jo toisesta tietovuodosta appeared first on GDPR Register | Compliance tool for privacy experts.

Muutamia päiviä tietovuodon jälkeen, kävi ilmi että verkkohyökkäyksen takana oli todennäköisimmin 19- vuotias nuori mies, joka aiheutti satojen politiikkojen ja julkisuuden henkilöiden henkilökohtaisten tietojen vuodon julkisuuteen. Saksan hallitus suhtautuu tietovuotoon vakavasti, mutta tietoturva asiantuntijat varoittavat, että julkisuuden henkilöiden sekä politiikkojen tulee suhtautua vakavasti vuotojen aiheuttamiin riskeihin sekä varautua vuotoihin myös jatkossa.

TIP: Verkkohyökkäysten varalle:

1. Tilien suojaus monimutkaisilla salasanoilla, jotka koostuvat numeroista, isoista ja pienistä kirjaimista sekä muista merkeistä joita on vaikea arvata.
2. Salasanan hallintaan tarkoitetut sovelluksien käyttö, jotka tallentavat ja luovat salasanoja eri sivustoille.
3. Salasanoja ei tule jakaa ulkopuolisille.Poikkeuksena voi toimia koulujen erilaiset tietojärjestelmät. Salasanaa ei tule kuitenkaan koskaan luovuttaa sivustojen ylläpitäjille.
4. Salasanojen vaihto tarpeeksi usein.Salasanat tulee päivittää vähintään kerran 6 kk.
5. Kaksivaiheinen tunnistautuminen.Kaksivaiheinen tunnistautuminen vaatii ensiksi erillisen koodin, joka lähetetään yleensä tekstiviestillä. Tämä vaikeuttaa mahdollisia tietomurto yrityksiä, vaikka sivuston salasana saataisiin haltuun.
6. Vältä tunnistuskysymyksiä tilin suojaamiseksi.Tiettyjen kysymysten, kuten äidin tyttönimen kysyminen tilin salaamiseksi voi koitua kohtalokkaaksi, koska hakkerit pystyvät etsimään äidin tyttönimen tai lapsuuden kotiosoitteen suhteellisen helposti. On turvallisempaa tietoturvan kannalta kysyä sattumanvaraisia kysymyksiä tai toista salasanaa.
7. Tietosuojakäytäntöihin tutustuminen.Kaikilla yrityksillä, jotka keräävät henkilökohtaisia tietoja tulee olla tietosuojakäytäntö, joka sisältää tiedon siitä miten tietoja käytetään ja kenelle tietoja luovutetaan.
8. Kirjautuminen ulos palveluista käytön jälkeen. 
9. Varmistaminen, että salasana kirjoitetaan viralliselle nettisivulle.Nettisivut, joiden ulkoasu vastaa virallista sivustoa ovat erinomainen keino kerätä salasanoja käyttäjiltä. Nettisivun tarkoitus on näyttää aidolta, jotta käyttäjä erehtyisi kirjautumaan sisään. Helpoin tapa tunnistaa huijaus sivusto on katsoa sivun osoitetta, jos osoite eroaa virallisen sivun osoitteesta edes vähän, on todennäköisesti kyse huijauksesta.

Kuka tahansa yksityishenkilö tai mikä tahansa yritys voi joutua verkkohyökkäyksen kohteeksi. Hyökkääjät ovat myös tietoisia siitä, että GDPR:n mukaisen sanktion saaminen voisi olla kohtalokas isku pienemmille yrityksille.

The post Saksalaiset poliitikot verkkohyökkäysten kohteena appeared first on GDPR Register | Compliance tool for privacy experts.

Asiakkaiden henkilötiedot vaarantuivat tietoturvassa olevien heikkouksien sekä inhimillisen virheen vuoksi. Lexologyn mukaan tietokoneissa oleva koodi, joka pyytää tunnistautumista sisään kirjautumisen yhteydessä, oli otettu pois päältä testausvaiheessa, mutta tunnistautumista ei oltu aktivoitu uudestaan testauksen jälkeen.  Asiakirjat, joista henkilötiedot kävivät ilmi olivat kaikkien saatavilla. Teleoperaattori esti tietoihin pääsyn huomattuaan virheensä, mutta Bouygues Telecomilta kesti neljä päivää huomata, tunnistaa ja raportoida virheestään.

TIP: Ihmisten aiheuttamat virheet aiheuttavat neljä viidestä kaikista tietoturvaloukkauksista (Iso-Britanniassa). Koulutuksen puute sekä epäselvästi jaetut vastuualueet voivat lisätä virheiden mahdollisuutta tietoturvaan liittyvissä asioissa (luottamuksellista tietoa lähetetään sähköpostitse väärälle henkilölle, asiakirjojen anastaminen tai katoaminen, henkilötietojen säilyttäminen riskialttiissa paikassa). Inhimillisiä virheitä voidaan välttää ja ehkäistä kun annetaan selkeät ohjeet jokaiselle työntekijälle heidän vastuualueistaan. Koulutuksia tulee järjestää uusien teknisten järjestelmien tai turvajärjestelmien käyttöönoton yhteydessä. Työntekijöiden tulee tietää kuinka uhkan voi tunnistaa ja miten tulee toimia vahingon sattuessa.

Lue lisää tietoturvaloukkausista.

The post Ranskalaiselle teleoperaattorille määrättiin GDPR sanktio appeared first on GDPR Register | Compliance tool for privacy experts.

Aikaisemmin ajokorttitiedot olivat saatavilla vain pyynnöstä tai maksua vastaan ja tietojen saaminen oli huomattavasti hankalampaa eikä mahdollisuutta yleiseen hakukoneen käyttöön ollut. Suomen laki edellyttää ajokorttitietojen julkisuutta, mutta TRAFIN uusi palvelu on herättänyt paljon huolta henkilötietojen julkisuudesta ja yksityisyydestä. Useammalta taholta saapuneiden valituksien jälkeen TRAFI sulki kaikki verkkopalvelunsa selvityksen ajaksi siitä, voiko kyseistä palvelua tarjota vaarantamatta henkilöiden yksityisyyden suojaa tai Yleistä Tietosuoja-asetusta. Julkisen kohun seurauksena TRAFIN pääjohtaja erosi virastaan.

Tällä hetkellä käynnissä on selvitys siitä, miten ajokorttitiedot voidaan pitää julkisina vaarantamatta henkilöiden yksityisyyden suojaa. Ajokorttitietojen sisältämät tiedot eivät itsessään vaaranna henkilöiden yksityisyydensuojaa, mutta hakupalvelu mahdollistaa arkaluonteisten tietojen yhdistämisen tavalla, josta pystyy arvaamaan esimerkiksi yksilöiden henkilötunnuksia. Myös esimerkiksi ajokorttien voimassaolosta ja henkilön iästä pystyy päättelemään syitä, miksi ajokortti ei ole enää voimassa.

Lue lisää

The post TRAFI julkaisi Suomalaisten ajokorttitiedot appeared first on GDPR Register | Compliance tool for privacy experts.

CNPD:n tekemässä selvityksessä todetaan, että sairaalan henkilökunnalla oli pääsy potilaiden tietoihin tekaistuilla profiileilla. Sairaalalla oli käytössään 985 lääkäreille tarkoitettua profiilia, joilla potilaiden tietoihin pääsi käsiksi, mutta itse sairaalassa lääkäreitä oli vain 296. Jokaisella lääkärillä oli pääsy potilaiden kaikkiin tietoihin erikoisalasta riippumatta. CNPD:n mukaan sairaala ei ollut huolehtinut, että asianmukaiset tekniset ja organisatoriset otettaisiin käyttöön potilaiden tietojen suojelemiseksi. 

Sairaala puolustautui toteamalla, että heillä on käytössään julkiselle sektorille suunnattu tietojärjestelmä, jonka Terveysministeriö on hyväksynyt. Viranomainen kuitenkin totesi, että on sairaalan vastuulla varmistaa että potilaiden tietosuoja on ajan tasalla ja Yleisen tietosuoja-asetuksen vaatimuksien mukainen. 

TIP: Tietosuojaloukkausten välttämiseksi on tärkeää, että terveydenhuoltoala asettaa tarvittavat tekniset ja organisatoriset standardit tietojen suojaamiseksi. Näin ollen voidaan välttyä mahdollisilta sanktioilta. Lue lisää GDPR noudattamisesta terveydenhuoltoalalla. 

The post Tietosuojaloukkaus – Portugalilainen Sairaala Saa 400.000€ Sanktion appeared first on GDPR Register | Compliance tool for privacy experts.

Vuodettujen tietojen joukossa ovat asiakkaiden nimet, osoitteet, asuinmaat, sähköpostiosoitteet sekä yrityksien nimiä ja puhelinnumeroita. Myös Radisson reward ohjelman jäsenten numerot.

Tietovuoto havaittiin vasta 20 päivän kuluttua tapahtuneesta. Jäsentiedot jotka vaarantuivat tietovuodon yhteydessä ovat nyt valvonnan alla mahdollisten väärinkäytösten vuoksi. Radisson ilmoitti tietovuodosta välittömästi Euroopan Unionin viranomaisille.

Hotelliketju voi saada jopa 10 miljoonan euron sanktiot tietovuodon johdosta tai vastaavasti sanktio voi nousta 2 prosenttiin maailmanlaajuisesta liikevaihdosta. Sanktiot voidaan määrätä vasta virallisen tutkinnan jälkeen, jossa arvioidaan oliko hotelliketjun tietoturva ja henkilötietojen käsittely asianmukaisella tasolla ja tarpeeksi riittävää.

TIP: Hotelli ja matkailualalla käsitellään paljon henkilökohtaisia tietoja asiakkaista. Tämän vuoksi on tärkeää, että hotellit ja matkailualan yritykset tietävät mitä tietoja heillä on asiakkaistaan ja miten tietoja käsitellään. Olemassa olevilta asiakkailta tulisi olla suostumus tietojen säilöntään ja käsittelyyn sekä aikaisemmilta asiakkailta, joiden tietoja on kerätty. Yritykset, jotka käsittelevät henkilötietoja suurissa määrin tulisi nimittää yritykseensä tietosuojavastaava, joka vastaa yrityksen henkilötietojen käsittelytoimien selosteesta sekä suorittavat arviointia mahdollisen

LUE LISÄÄ HOTELLI JA MATKAILUALAN TIETOSUOJASTA

The post Radisson Hotellit – asiakkaiden henkilötietojen tietovuoto appeared first on GDPR Register | Compliance tool for privacy experts.

TIP: Varmista, että tietosuojakäytäntösi on selkeä ja täsmällinen ja tunnista tiedot joita sovellus tai palvelu henkilöistä kerää. Käytännöistä tulisi ilmetä myös se, miten tietoja kerätään ja mihin tarkoitukseen.

Aiheesta lisää: Apple Developer

The post Myös sovellukset tarvitsevat jatkossa tietosuojakäytännön appeared first on GDPR Register | Compliance tool for privacy experts.

AIQ:ta koskeva tutkimus aloitettiin jo ennen Yleisen tietosuoja-asetuksen voimaantuloa. Kysymys oli siitä onko yritys rikkonut Kanadan ja Brittiläisen Kolumbian yksityisyyttä koskevia lakeja. Tuolloin AIQ kieltäytyi vastaamasta ICO:n tiedusteluihin väittämällä, että Britannian viranomaisella ei ollut toimivaltaa Kanadalaista yritystä vastaan. Yleinen tietosuoja-asetus vaikuttaa kuitenkin tietojen hallintaan ja tietojen käsittelyyn maailmanlaajuisesti. Tarkoittaen, että jos yritys kerää tai käsittelee henkilötietoja Euroopan sisällä (EEA), on yritysten tällöin noudatettava GDPR:n asettamia vaatimuksia. Näin ollen ICO:lla oli perusteet tutkia myös Kanadalaista yritystä.

TIP: Vaikka yrityksesi olisi rekisteröity Euroopan ulkopuolelle, Yleisen tietosuoja-asetuksen vaatimukset voivat silti koskea yritystäsi. Yritykset, jotka toimivat Euroopan Unionin sisämarkkinoilla ja käsittelevät EU kansalaisten henkilötietoja (keräävät, myyvät ja käyttävät) on noudatettava Yleistä tietosuoja-asetusta. Lisää tietoa:

The post Cambridge Analytics yhteistyökumppani saa GDPR sanktion appeared first on GDPR Register | Compliance tool for privacy experts.