Irlantilaisten onnea? Tietosuojakomissio of Ireland julkaisee vuosikertomuksen

As shared by the Commissioner for Data Protection, Helen Dixon, “The progress the DPC has made in 2020 provides a solid platform on which to build across our enforcement and complaint-handling functions in particular. The GDPR must be understood as a project for the now, but equally for the longer-term. The DPC intends to continue as a leader in its full implementation.”

en flag
nl flag
et flag
fi flag
fr flag
de flag
pt flag
ru flag
es flag

Toimittajan huomautus: Data Protection Commission (DPC) on Irlannin tietosuoja-asetuksen (General Data Protection Regulation) valvontaviranomainen. Sillä on myös tehtäviä ja valtuuksia, jotka liittyvät muihin kriittisiin sääntelykehyksiin, mukaan lukien Irlannin sähköisen sähköisen käyttöasetuksen (2011) ja EU:n direktiivin, joka tunnetaan lainvalvontadirektiivinä. Tietosuojakomissaari Helen Dixon käynnisti hiljattain Irlannin tietosuojakomission vuosikertomuksen vuodelle 2020. Tässä äskettäin julkaistussa raportissa (25. helmikuuta 2021) DPC Ireland kertoo, miten laaja sääntelytyö on saatu päätökseen tehtäviensä hoitamisen aikana EU:n tietosuojaa ja sähköistä yksityisyyttä koskevan lainsäädännön valvonnan ja sääntelyn tehtävänä on valvoa ja säännellä. Osana tätä työn yksityiskohtaa DPC jakaa tietoja rikkomusilmoituksista DPC:lle vuoden 2020 aikana. Koska eDiscovery-ekosysteemissä toimivat tiedot ja oikeusalan ammattilaiset pyrkivät ymmärtämään tietomurtojen aiheuttamia markkinavaikutuksia ja mahdollisuuksia, he voivat hyötyä tässä tärkeässä vuosikertomuksessa jaetuista yksityiskohdista ja tietopisteistä.

DPC Ireland 2020 -vuosikertomus

Ote rikkomuksista (luku 3)

DPC:lle tehtyjen rikkomusilmoitusten määrä pysyi korkeana vuonna 2020, mutta DPC on vakuuttuneempi kuin koskaan GDPR-asetuksen mukaisen pakollisen ilmoittamisvaatimuksen arvosta. Sen avulla DPC voi tapauskohtaisesti saada näkemyksiä organisaatioissa syntyvien henkilötietojen turvallisuuteen ja käsittelyyn liittyvistä riskeistä sekä tarvittaessa puuttua näihin riskeihin ja ohjata niitä lieventäviä toimenpiteitä. Yleisesti ottaen organisaatioilta saadut vastaukset kannustavat DPC:tä siinä mielessä, että useimmat organisaatiot haluavat noudattaa ja arvostaa DPC: n panosta.

Yleisen tietosuoja-asetuksen mukaiset rikkomukset

DPC vastaanotti vuonna 2020 6 783 tietosuoja-asetuksen 33 artiklan mukaista tietomurto-ilmoitusta, joista 110 tapausta (2%) luokiteltiin rikkomattomiksi, koska ne eivät täyttäneet GDPR-asetuksen 4 artiklan 12 kohdan mukaista henkilötietojen tietoturvaloukkauksen määritelmää. DPC kirjasi vuonna 2020 yhteensä 6 673 pätevää tietosuojaloukkausta, mikä merkitsee 10 prosentin (604) kasvua vuonna 2019 ilmoitettuihin määriin.

Muiden vuosien tapaan korkein GDPR-asetuksen nojalla ilmoitettujen tietoturvaloukkausten luokka luokiteltiin luvattomaksi ilmoitukseksi, ja niiden osuus oli 86 prosenttia vuonna 2020 saaduista tietomurto-ilmoituksista. Suurin osa rikkomuksista tapahtui seuraavissa:

Yksityinen sektori: 4 097

Julkinen sektori: 2 559

Vapaaehtoinen: 16

Hyväntekeväisyys:

Yhteensä: 6 673

DPC näki myös lisääntyneen sosiaalisen tekniikan ja tietojenkalastelun hyökkäysten käytön päästäkseen käsiksi ohjainten ja jalostajien tieto- ja viestintätekniikkajärjestelmiin. Monet organisaatiot toteuttivat aluksi tehokkaita tieto- ja viestintätekniikan turvatoimia, mutta on ilmeistä, että järjestöt eivät ryhdy ennakoiviin toimiin näiden toimenpiteiden seuraamiseksi ja tarkistamiseksi tai henkilöstön kouluttamiseksi varmistaakseen, että ne ovat tietoisia kehittyvistä uhista. Näissä tapauksissa suosittelemme edelleen, että organisaatiot arvioivat säännöllisesti tieto- ja viestintätekniikan turvatoimia ja toteuttavat kattavan koulutussuunnitelman työntekijöille, joita tuetaan kertauskoulutus- ja tietoisuusohjelmilla, jotta voidaan lieventää kehittyvän uhkamaiseman aiheuttamia riskejä.

Tietoturvaloukkauksen ilmoitukset luokittain

Tietojen ilmaiseminen (luvaton): 5 837

Hakkerointi: 146

Haittaohjelma: 19

Tietojenkalastelu - Sosiaalinen tekniikka mukaan lukien: 74

Ransomware/palvelunestopalvelu: 32

Ohjelmistokehityksen haavoittuvuus: 5

Kadonnut tai varastettu laite (Salattu): 19

Kadonnut tai varastettu laite (salaamaton) 29

Kadonnut tai varastettu paperi: 275

Sähköinen jäte (läsnä olevat tai vanhentuneet henkilötiedot: 1

Paperin sopimaton hävittäminen: 21

Järjestelmän virheellinen kokoonpano: 40

Luvaton pääsy: 146

Tarkoitukseton verkkojulkaisu: 61

Muut: 78

Yhteensä: 6 783

Sähköisen tietosuojan rikkomukset

DPC sai yhteensä 70 voimassa olevaa tietoturvaloukkausilmoitusta sähköisen tietosuojasäännösten mukaisesti (SI nro 336, 2011). Niiden osuus oli hieman yli 1 prosenttia vuoden osalta ilmoitetuista kaikista voimassa olevista tapauksista.

LED-rikkomukset

DPC sai myös 25 rikkomusilmoitusta LED-merkkivalosta (direktiivi (EU) 2016/680), joka on saatettu osaksi Irlannin lainsäädäntöä tietosuojalain 2018 tietyillä osilla.

DPC: n rikkomisen arviointi

Kun tietosuojatietokantaan on jätetty rikkomusilmoitus, DPC arvioi sen ottaen huomioon rikkomisen useat näkökohdat ja sen aiheuttamat riskit. Ensimmäinen niistä on rikkomisen luonne, mukaan lukien se, aiheutettiinko se tahallisesti vai vahingossa, onko tietoja luovutettu tai saatettu saavuttamattomiin, sekä siihen liittyvät teknologia- ja organisaatiomuodot. Tietyntyyppisten rikkomusten historia voi viitata yksittäiseen rekisterinpitäjään, tiettyyn sijaintiin tai koko talouden sektoriin vaikuttavaan systeemiseen ongelmaan. Kyseisten henkilötietojen ominaisuudet ovat keskeisessä asemassa DPC: n arvioinnissa. Näihin kuuluvat henkilötietojen tyypit, muoto ja arkaluonteisuus, asianomaisten henkilöiden ja tietueiden määrä sekä mahdollisuus lukea tai levittää tietoja. DPC tarkastelee, onko esimerkiksi profilointia, automatisoitua päätöksentekoa, seurantaa tai seurantaa tapahtunut.

Samoin rekisteröidyn luokittelu — kuten se, ovatko he lapsia vai haavoittuvassa asemassa olevia henkilöitä — sekä rekisterinpitäjän ja/tai henkilötietojen käsittelijän ominaispiirteet, kuten lakisääteinen vastuu tai muuntyyppisten henkilötietojen käsittely, voivat olla erittäin merkittäviä. Rekisteröidyn määrä ja näiden rekisteröityjen sijainti otetaan huomioon.

Muita huomioitavia tekijöitä ovat rekisteröidyille mahdollisesti aiheutuvat haitat, jotka johtuvat tietoturvaloukkauksen kohteena olevien henkilötietojen paljastamisesta, väärinkäytöstä tai menettämisestä. Rekisterinpitäjät jäävät usein huomiotta tämän riskinarvioinnin näkökohdan. Haitot voivat vaihdella tilapäisestä haitasta erittäin vakaviin riskeihin, kuten identiteettivarkauteen, taloudelliseen menetykseen ja sairaustilojen virheelliseen diagnoosiin tai mainevahinkoon. DPC harkitsee, mikä vaikutus asianomaisiin henkilöihin on, mukaan lukien henkilöiden vakavuus, laajuus ja asiayhteys.

Lopuksi DPC arvioi lieventäviä tekijöitä, kuten sitä, onko varmuuskopioita saatavilla, haavoittuvuuksiin puututtu ja onko tietoja haettu vai estetty edelleen paljastaminen. Usein rekisterinpitäjät eivät toteuta yksinkertaisia toimenpiteitä, kuten sähköpostilla jaettujen tietojen salausta, varmistavat, että kaikki tietotekniikan turvatoimet ovat käytössä, mutta myös ne pidetään säännöllisesti ajan tasalla. Nämä tekijät otetaan huomioon arvioinnissa.

Jos tosiseikat eivät ole täysin tiedossa tai ne ovat epäselviä sen jälkeen, kun DPC on arvioinut rikkomisen ensimmäisen arvioinnin jälkeen, ne jatkavat yhteydenottoa rekisterinpitäjän kanssa, kunnes kaikkiin asioihin on vastattu tietosuojatietokonetta tyydyttävällä tavalla. Joissakin tapauksissa rekisterinpitäjää tai henkilötietojen käsittelijää voidaan pyytää arvioimaan uudelleen rikkomisen syyt ja seuraukset sekä raportoimaan havainnoistaan. Monimutkaisia tietoteknisiä kysymyksiä koskevat rikkomukset saattavat edellyttää DPC: n teknisten asiantuntijoiden arviointia ja analysointia. Tapauksissa, joissa rekisterinpitäjä on joko laatinut tai tilannut rikkomuksesta teknisen raportin tai tutkintakertomuksen, siitä pyydetään jäljennös.

Siihen asti, kunnes tutkinta on saatu päätökseen, tietosuojayksikkö voi ohjata ja seurata jatkuvasti rikkomisen vaikutusten korjaamiseksi tai lieventämiseksi toteutettujen toimenpiteiden edistymistä. Näihin voisi kuulua tietojen ilmoittaminen rekisteröidyille GDPR-asetuksen 34 artiklan mukaisesta rikkomisesta tai teknisten tai organisatoristen toimenpiteiden toteuttaminen haavoittuvuuksien korjaamiseksi.

Arviointinsa ja rekisterinpitäjän toimien perusteella, joilla estetään tai lievennetään muita vastaavia vaaratilanteita, tietosuojayksikkö voi saattaa tutkimuksensa päätökseen tässä vaiheessa. Jos tietosuojayksikkö ei ole tyytyväinen rekisterinpitäjän lieventämiseen tai vastauksiin, se voi kärjistää asiaa jatkotutkinta/täytäntöönpanotoimia varten.

Tarkastele koko raporttia (PDF)

DPC 2020 -vuosikertomus (englanti)

Lue alkuperäinen viesti Data Protection Commission (DPC Ireland) -sivuston kautta.

* Tekijänoikeuden suojaama tietomuistiinpano jaettiin luvalla Julkisen osion tietojen uudelleenkäytön mukaan

Lisä lukeminen

Data Protection Commission (DPC) Irlanti

Irlantilainen päivitys: DPC Ireland julkaisee GDPR-asetuksen sääntelyraportin (2018-2020)

Lähde: Complex Discover

Yhteinen kyberturvallisuusneuvonta CISA, FBI ja NSA BlackMatter Ransomware

This Joint Cybersecurity Advisory from the CISA, FBI, and NSA provides...

Pitämällä salaisuuksia? Kiristysohjelmien suuntaukset pankkisalaisuuslain tiedoissa tammikuun 2021 ja kesäkuun 2021 välisenä aikana

According to a recently published report, the U.S. Treasury's Financial Crimes...

Maantieteellinen kuvaus: Ransomware-hyökkäykset Yhdysvalloissa vuoden 2018 ja tämän päivän välisenä aikana

Published by Comparitech, a pro-consumer website providing information, tools, reviews, and...

Suositukset ohjelmistoheikkouksien riskin vähentämiseksi: NIST Secure Software Development Framework

This draft document from NIST on a proposed secure software development...

Consilio täydentää Adeccon erityisneuvonantajan oikeudellisten konsultointi- ja eDiscovery-liiketoimintayksiköiden hankintaa

According to Andy Macdonald, CEO of Consilio, “Consilio’s acquisition of D4...

Cellebrite hankkimaan digitaalisia vihjeitä

According to Cellebrite CEO Yossi Carmil, “We are pleased to announce...

iConect hankkii Ayfie Inspector tekoälyn koodebaasin

According to Ian Campbell, CEO of iCONECT, “Direct access to the...

eDiscovery Fuusiot, yritysostot ja sijoitukset Q3 2021

From Ipro and Disco to Nuix and Lighthouse, the following findings,...

Uusi aikakausi eDiscoveryssa? Kehystys markkinoiden kasvu kuuden aikakausien linssin läpi

There are many excellent resources for considering chronological and historiographical approaches...

An eDiscovery Market Koko Mashup: 2020-2025 Maailmanlaajuiset ohjelmistot ja palvelut Yleiskatsaus

While the Compound Annual Growth Rate (CAGR) for worldwide eDiscovery software...

Perusviivan nollaaminen? eDiscoveryn markkinakoon mukautukset vuodelle 2020

An unanticipated pandemeconomic-driven retraction in eDiscovery spending during 2020 has resulted...

Kotiin vai pois? eDiscovery Malliston markkinoiden mitoitukseen ja hinnoitteluun liittyvät näkökohdat

One of the key home (onsite) or away (remote) decisions that...

Viisi suurta lukua Cyber, Data, ja Legal Discovery syyskuu 2021

From countering ransomware to predictive coding and packaged services, the September...

Viisi suurta lukua Cyber, Data, ja Legal Discovery elokuussa 2021

From the interplay of digital forensics in eDiscovery to collecting online...

Viisi suurta lukua Cyber, Data, ja Legal Discovery heinäkuussa 2021

From considerations for cyber insurance and malware to eDiscovery business confidence...

Viisi suurta lukee eDiscovery kesäkuussa 2021

From remediating cyberattacks to eDiscovery pricing, the June 2021 edition of...

Satoaika? eDiscoveryn operatiiviset mittarit syksyllä 2021

In the fall of 2021, 67 eDiscovery Business Confidence Survey participants...

Seasonably Hot? Fall 2021 eDiscovery Business Luottamuskyselyn tulokset

Since January 2016, 2,595 individual responses to twenty-four quarterly eDiscovery Business...

Lisää Keepersia? Ennakoiva koodaustekniikat ja -protokollat -kysely — Fall 2021 tulokset

From the most prevalent predictive coding platforms to the least commonly...

Hehkuvat odotukset? Kahdeksantoista huomautusta eDiscovery Business Luottamuksesta kesällä 2021

In the summer of 2021, 63.3% of survey respondents felt that...