Tietovuodon kohteeksi joutuneen muistilista
Tietoturvan loukkaus on vakava yksityisyyteen ja turvallisuuteen vaikuttava asia. Viime aikoina uutisissa olleet tietomurrot ovat lisänneet ihmisten hätää ja epätietoisuutta siitä, mistä apua voi saada ja mihin toimenpiteisiin pitäisi ryhtyä asiassa. Keräsimme yhdessä EK:n jäsenyritysten tietosuoja-asiantuntijoiden ja muiden yhteistyökumppaneidemme kanssa tietoturvaloukkauksen kohteeksi joutuneen muistilistan.
Tee riskiarvio
Tietoturvaloukkaukset ovat erilaisia, ja niiden perusteella tarpeelliset toimet myös vaihtelevat. Mieti, mitä tietoja sinusta on voinut joutua kussakin tilanteessa vääriin käsiin ja mitä se voi tarkoittaa sinun kohdallasi. Alla oleva lista ei ole kattava, mutta pyrkii antamaan yleiskuvan, millaisiin toimiin on hyvä ryhtyä.
Jos arvioit riskin esimerkiksi maksuvälineiden, passin tai muun puhelimen ja tunnusten katoamista, ryhdy välittömiin toimiin. Myös tärkeät tunnukset ja salasanat vaativat välittömiä toimenpiteitä.
Ota yhteys rekisterinpitäjään
Pyri ensimmäisenä selvittämään asia henkilötietojasi käsittelevän yrityksen eli rekisterinpitäjän kanssa.
Mikäli rekisterinpitäjä on ollut sinuun yhteydessä ja ilmoittanut tapahtuneesta, he ovat samalla todennäköisesti ilmoittaneet yhteystiedot, joiden kautta voit saada lisää tietoa tapahtuneesta.
Mikäli rekisterinpitäjä ei ole ollut sinuun yhteydessä, mutta epäilet henkilötietojesi vaarantuneen, kannattaa olla itse yhteydessä rekisterinpitäjään. Tietosuojavastaavan tai muun tietosuojayhteyshenkilön yhteystiedot löytyvät yhtiön tietosuojalausunnosta tai myös asiakaspalvelun kautta.
Tee tietopyyntö
Jos tiedossasi on yritys, jolta tietotovuoto on tapahtunut, tietosuoja-asetus oikeuttaa sinut saamaan tietoosi, mitä tietoa yritys on sinusta tallentanut. Näin voi päästä paremmin kartalle siitäkin, mitä tietoja on vuotanut ja mitä ei. Jos arvioit riskin esimerkiksi maksuvälineiden, passin tai muun puhelimen ja tunnusten katoamista, ryhdy välittömiin toimiin.
Tee ilmoitukset
- Henkilötiedot: Tietosuojavaltuutettu ensisijaisesti käänny henkilötietojasi käsittelevän yrityksen tai organisaation puoleen, mutta jos pyynnöstä kieltäydytään tai et saa vastausta tai yhteyttä, niin ota yhteyttä Tietosuojavaltuutettuun.
- Rikosilmoitus: Poliisilla ei asia välttämättä johda toimenpiteisiin, mutta ilmoitus on hyvä tehdä, että asiasta jää asiakirjajälki. Tämä saattaa olle myös edellytys vakuutusyhtiön korvattavuudelle. Rikosilmoituksen voi olla paikallaan tehdä, vaikkei varmuutta omien tietojen julkaisemisesta vielä olisi.
- Kyberturvallisuuskeskus: Yksityiset henkilöt, yritykset ja organisaatiot voivat ilmoittaa Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskukselle niihin kohdistuneista tietoturvaloukkauksista, kuten tietojen kalastelusta tai palvelunestohyökkäyksistä, sekä näiden loukkausten yrityksistä.
Tarkista viranomaisten sivut ohjeita varten
Pankkiasiointi
Tarkista tietopyynnön avulla, mitä tietoja sinusta on vuotanut. Mikäli koet, että pankkiasiointiin liittyviä tietojasi on vuotanut, ota yhteyttä pankkiisi. Huolehdi, että sinulla on käytössäsi ainakin kaksi eri tunnistusvälinettä, esimerkiksi mobiilivarmenne ja verkkopankkitunnukset sujuvan asioinnin varmistamiseksi. Mikäli sinulla ei ole toimivia sähköisiä tunnistusvälineitä, joudut vierailemaan pankin konttorissa todistaaksesi henkilöllisyytesi.
Joidenkin pankkien palveluissa maksukortin voi laittaa väliaikaiseen sulkuun, jota kannattaa hyödyntää (ks. yllä kohdassa FINE). Mikäli luottokorttitietojasi on vuotanut, aseta kortti välittömästi sulkuun. Maksupalvelulain mukaan vastuu syntyneestä vahingosta on kokonaan pankilla, jos asiakkaan voidaan katsoa menetelleen huolellisesti ja asiakas on viipymättä kortin katoamisen huomattuaan ilmoittanut kortin myöntäneelle taholle kortin joutumisesta vääriin käsiin. Siksi kannattaa toimia mahdollisimman nopeasti.
Tarkista vakuutuksesi ja tunne oikeutesi
Joidenkin vakuutusyhtiöiden kotivakuutukseen sisältyy rajattu lakimiesapu identiteettivarkauden uhrille. Tarkista omien vakuutustesi vakuutusehdot. Kannattaa tarkistaa myös luottokortteihin liitettyjen vakuutusten osalta korvattavuus ja avunsaanti.
Tietosuoja-asetuksen perusteella sinulle voi muodostua oikeus vahingonkorvauksiin.
Ota vapaaehtoinen luottokielto
Tämä estää rikollisia ottamasta tiedoillasi esimerkiksi pikavippejä ja tärvelemästä luottotietojasi, vaikka osamaksusopimuksilla. Luottokiellon saat ainakin
asiakastiedon sivuilta. Omaehtoinen luottokielto kannattaa tehdä sekä Asiakastiedolle että Bisnode Finlandille. Kustannus yhteensä n. 36 euroa. Tieto on voimassa 2 vuotta kerrallaan ja se pitää muistaa itse uusia.
Nimi- ja osoitetietojen luovuttamisen esto
- Digi- ja väestötietovirasto: voit kieltää henkilökortin tai verkkopankkitunnusten avulla DVV:n luovuttamasta nimi- ja osoitetietoja väestötietojärjestelmästä: virasto ylläpitää Tarkasta tietosi! -palvelua tätä tarkoitusta varten, voit myös olla yhteydessä vapaamuotoisella kirjeellä virastoon. Puhelinnumeroita ei voi rajoittaa DVV:ltä, koska sinne niitä ei talleteta.
- Teleyritykset: Salainen numero / yhteystietojen luovutuskielto numeropalveluihin: Mikäli haluat kieltää teleyritystäsi luovuttamasta tietojasi numero- ja yhteystietopalveluihin, voit ilmoittaa pyynnön teleyrityksellesi tai mahdollisesti säätää liittymätietojesi julkisuusasetuksia myös teleyrityksen itsepalvelussa.
- Liikenne- ja viestintävirasto (Traficom): tarjoaa yhteystietoja. Voit tehdä luovutuskiellon sähköisesti tai puhelimitse.
Voiko tietoni päätyä roskapostimainoslistoille?
- Tietovuodoissa osoitteet voivat joutua edelleen erilaisille listoille, joita saatetaan käyttää roskapostitukseen tai kalasteluyrityksiin. Valitettavasti osittain tällaiset toimijat eivät jää haaviin, mutta on syytä suhtautua erityisen varovasti epäilyttäviin sähköpostiin. Roskapostifiltteri hoitaa osan.
- Suomessa toimivat suoramarkkinayritykset kuuluvat asiakkuusmarkkinointiliittoon ja saavat osoitteensa luotettavista lähteistä ja ovat sitoutuneet noudattamaan tiettyjä toimintatapoja. Suomen asiakkuusmarkkinointiliiton osalta lisätietoja UKK.
Turvakielto on järeä toimi vakaviin uhkiin
Turvakielto on erittäin järeä työkalu, joka estää jopa viranomaisia luovuttamasta osoitettasi. Jos sinuun tai perheeseesi on kohdistunut uhkaa jo ennen tietovuotoa, kannattaa ottaa yhteys viranomaiseen ja pyytää heitä arvioimaan turvakiellon tarvetta. Kieltoa voi hakea, jos on esim. todistajansuojelu- tai perheväkivaltatilanne tai ammatti, jossa joutuu kokemaan säännöllistä vakavan fyysisen väkivallan uhkaa. Kokemus uhasta ei siis riitä perusteeksi. Viranomaiset ja poliisi parhaat arvioimaan.
Lue lisää turvakiellosta
Varjele osoitetietoja muuttoestolla
Digi- ja väestötietoviranomaisen palvelussa voit tehdä muuttoestomerkinnän, jos tiedoillasi on tahallisesti tehty väärä muuttoilmoitus. Muuttoesto ja sen poistaminen vaatii aina henkilökohtaista asiointia Digi- ja väestötietoviraston palvelupaikassa.
Lue lisää muuttoilmoituksesta
Tee rekisteröintikielto
Rekisteröintikielto tehdään Patentti- ja rekisterihallitukselle, jotta sinua ei merkittäisi Voit halutessasi ilmoittaa Patentti- ja rekisterihallitukselle (PRH), että sinua ei saa merkitä minkään yrityksen tai yhteisön vastuuhenkilöksi kaupparekisteriin. Tällöin emme ilman erillistä suostumustasi merkitse sinua kaupparekisteriin, vaan otamme sinuun ensin yhteyttä ja pyydämme suostumuksesi.
Rekisteröintikielto tulee voimaan, kun olemme tallentaneet sen kaupparekisterin käsittelyjärjestelmään. Lähetämme rekisteröintikiellosta vahvistuksen ilmoittamaasi sähköpostiosoitteeseen. Huomaa, että rekisteröintikiellon ilmoittaminen ei poista sinua kaupparekisteriin aikaisemmin merkityistä rooleistasi. Voit tarkistaa esimerkiksi Suomi.fi-sivujen palvelusta, onko sinut merkitty johonkin rooliin kaupparekisterissä.
Siirry Suomi.fi-palveluun tarkistamaan kaupparekisteriin merkityt roolisi.
Lue lisää rekisteröintikiellosta
Vaihda salasanat
Vaihda välittömästi mahdollisesti vääriin käsiin joutunut salasana kaikista palveluista, joissa se on sinulla käytössä ja ota käyttöön kaksivaiheinen tunnistus. Jos puhelimesi on joutunut salasanoineen vääriin käsiin, niin ota tunnistustavaksi joku muu kuin puhelimeen liittyvä tunnistus.
Kannattaako vaihtaa puhelinnumeroa?
Suomessa kerrotaan onnistutun niin sanotussa SIM swap -huijauksessa, jossa puhelinoperaattoria huijaamalla uhrin henkilötunnuksella on saatu toisen ihmisen puhelinliittymä ja sen avulla otettu haltuun kaikki sovellukset ja palvelut, jotka käyttävät numeroa ihmisen tunnistamiseen. Riski ei ole Suomessa suuri, mutta omaan puhelinoperaattoriin kannattaa olla ainakin varmuuden vuoksi yhteydessä ja ehdottaa vaikka lisätunnistemenetelmiä, mikäli omalle asiakkuudelle on tekemässä muutoksia.
Tarkkaile mihin tietojasi ilmestyy
Vuotaneita tietoja ei välttämättä hyödynnetä heti. Sivusto
haveibeenpwned.com tarjoaa kattavan ja ahkerasti päivitetyn tietokannan, josta omien tietojen ilmestymistä erilaisiin vuotaneisiin tietokantoihin voi tarkkailla sähköpostiosoitteen perusteella. Googlella on Google Alerts -palvelu, jossa voi hakusanaperusteisesti tilata itselleen sähköposti-ilmoituksia erilaisten hakusanojen ilmaantumisesta Googlen hakutuloksiin. Hakusanaksi voi antaa vaikkapa oman nimen tai puhelinnumeron.
Oikeutesi tulla unohdetuksi
Kiusallisia ja arkaluotoisia tietoja saa tietyin rajauksin vaadittua poistettaviksi itsekin, jos tiedot ovat vääriä tai rekisterinpitäjä ei niitä enää tarvitse. Tämä koskee myös Googleen nousevia hakutuloksia.
Googlen poistopyyntö
Microsoft Bing -hakukoneen poistopyyntö
Varaudu henkisesti
Verkkoon vuotanut tieto on verkossa ikuisesti. Varaudu siihen, että vuotaneet arkaluontoiset tiedot voivat kävellä vastaan yllättävässä tilanteessa myöhemmin elämässä. Tee ajatusharjoituksia siitä, miten silloin toimit ja argumentoi itsellesi valmiiksi, miksi sinua ja läheisiäsi ei voi näillä tiedoilla vahingoittaa.
(!) Lista ei ole täydellinen ja jokainen joutuu valikoimaan siitä omaan tilanteeseen parhaiten sopivat kohdat. Listan laatimisessa on ollut apuna eri asiantuntijoita ja se pohjautuu Laura Halmisen (@laurahuu) Twitterissä aloittamaan ketjuun eri resursseista ja toimenpiteistä.