Vastus pöördumisele

1

Grete Lehemaa

Adressaat: Stiine Reintam Teema: RE: Äripäev küsib

Tere Stiine Vabandan vastuse viibimise eest. Vastus sai pikk ja põhjalik. Avan esmalt rikkumisteate olemust. Rikkumisteated on teated, mille teevad meile ettevõtted enda organisatsioonis toimunud rikkumise kohta ise. Teated on meile väga olulised. Sugugi kõigi rikkumiste puhul me ei algata järelevalvemenetlust. Rikkumisteate esitamine näitab meile ja võiks näidata ka laiemale avalikkusele teate teinud asutuse või ettevõtte läbipaistvat andmetöötlus. Aus ülestunnistus pigem kui salgamine. Rikkumisteateid on tulnud 2022 aastal 153, 2023 aastal 196 ja tänavusel aastal on neid kogunenud 46. Rikkumisteateid on väga erineva kaaluga. Rikkumine on ka organisatsiooni sisene andmete väärkasutus, rikkumist tuvastatakse juba ka siis kui on lekkinud ainult ühe inimese andmed. Erineva kaaluga rikkumistel rakendatakse ka erinevad meetmeid. Ehk eelnevalt väljatoodud statistika näitab koguarvu. Küll aga peegeldavad numbrid, et arv on kasvavas trendis, mis ühe külje pealt võib näidata ka ettevõtete ja asutuste teadlikkust. Seda, kui paljud rikkumised meieni ei jõua on keeruline hinnata. Rünnakute osas saame sisendiks võtta RIA igakuise küberintsidentide aruande. Seal hulgas on väga erineva mõjuga intsidendid ja aruanne koosneb rünnakutest, neid numbreid võrreldes meie numbritega võib erinevus küündida isegi kümnekordseks. Kui arvestada mõju ja osad intsidendid maha arvestada, võivad kuni pooled juhtumid jääda meieni jõudmata. Kuid nagu ka eelnevalt olen välja toonud ei ole rikkumisteated meie jaoks ainult ründed ja andmelekked. Näiteks on esinenud tundide pikkuseid katkestusi digiretsepti teenuses. See tähendab, et apteegid ei ole saanud väljastada retseptiravimeid. Andmekaitseliselt tähendab see käideldavusega seotud intsidenti. Ehk puudub juurdepääs andmetele. Kui näiteks seetõttu ei ole inimesel võimalik saada eluliselt vajalikku ravimit vererõhuhaiguse või diabeedi ravimiseks, on tegu otsese ohuga inimese tervisele või lausa elule. Selliseid intsidente on möödunud aasta lõpus mitmeid olnud, aga meid ei ole teavitatud. Seetõttu on oluline tähele panna, et mitte ainult andmeleketel ei ole inimestele võimalikud negatiivsed tagajärjed vaid ka olukorrad, kus andmetele puudub juurdepääs. Lekkinud andmete hulgas on kõige levinumad nimi, telefoninumber, e-post. Kuid andmed on väga juhtumi põhised. Erinevate dokumentide lekkimise puhul võivad rändama minna näiteks andmed erinevate toetuste ja terviseandmete kohta. Ründaja otsib teenuseid, mis internetti välja paistavad ja otsitakse nõrka kohta, vaadatakse ettevõtte või asutuse profiili. Eesti ettevõtete kontekstis on praegune intsident andmeühikute poolest suurim. Ehk siis arvesse võttes lekkinud andmete mahtu. Nagu ka Aktuaalne Kaamera eile ütles on puudutatud iga teine eestlane. Väga suure mõjuga oli ka eelmise aasta lõpus toimunud Asper Biogene juhtum, kus lekkinud andmete sisu oli väga tundlik. Meid teavitavad leketest ka välismaa ettevõtted, kus võib tegu olla suurema andmemahuga, kuid puudutatud eestlaseid on näiteks mõned sajad. Lisan, et IKÜM reguleerib rikkumise esitamist. IKÜM-i kohaselt peab ettevõte hindama intsidendi mõju. Rikkumine võib ka olla eksimuslik, näiteks probleem saab kohe lahendatud (saatsin meili valele inimesele ja ta kustutas selle). Sellisel juhul on intsidendi mõju väga väike ja sellest teavitama ei pea. Selline hindamine on veidi subjektiivne, aga oleme Isikuandmete töötleja üldjuhendi peatükis 7 välja toonud suunised mõju hindamiseks. Juhend leitav SIIN. Hea meelega vastan ka lisaküsimustele. Tervitades Grete Lehemaa

2

Avalike suhete nõunik [email protected] +372 6274136 ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST Tatari 39 | 10134 Tallinn | Ees LinkedIn I Youtube