Onnettomuuksien hallinta
GDPR sisältää uuden vaatimuksen henkilötieto-onnettomuuksien varalta. Niistä on raportoitava tietosuojaviranomaiselle 72 tunnin kuluessa. Asetuksen uusien velvoitteiden täyttämiseksi on tärkeää, että käytössä on riittävät rutiinit henkilötieto-onnettomuuksien havaitsemiseksi, niistä raportoimiseksi ja niiden selvittämiseksi.
Menettely, jos sattuu onnettomuus
SoftOnen Incident Management -ryhmä vastaa tarvittavasta koordinoimisesta ja tiedottamisesta. Lisäksi se vastaa onnettomuuksien arvioimisesta, niihin reagoimisesta ja opiksi ottamisesta, jotta uusiutumisen riski pienenee. Onnettomuuden luonteen ja vaikutusten mukaan muitakin henkilöitä osallistuu onnettomuuden hallintaan. Hallintaprosessi muistuttaa vuota. Sen ja täydentävien rutiinien avulla selvennetään, kuka tekee mitäkin ja kuinka tilanne saadaan hallintaan.
Kun onnettomuus tunnistetaan, sen tyyppi otetaan selville. Seurausanalyysi-osaprosessissa analysoidaan laajuus, eli keihin asiakkaisiin ja käyttäjiin onnettomuus vaikuttaa ja mitä seurauksia sillä on. Toimenpideprosessissa ongelma arvioidaan ja priorisoidaan, jotta voidaan laatia toimintasuunnitelma ja toteuttaa toimenpiteet. Jos sattuu henkilötieto-onnettomuus, raporttia laadittaessa noudatetaan tietosuojaviranomaisen mallia. Sen mukaan seuraavat tiedot tarvitaan :
1. Kyseisen onnettomuuden tyyppi
2. Ryhmät, joihin kuuluviin henkilöihin se voi vaikuttaa
3. Kuinka moneen henkilöön vaikutukset kohdistuvat
4. Mitä seurauksia onnettomuus voi aiheuttaa
5. Mihin toimenpiteisiin on ryhdytty mahdollisten haitallisten seurausten estämiseksi
Jos onnettomuus luokitellaan vakavaksi (Major), prosessi etenee edellisessä kuvassa näkyvällä tavalla.
Onnettomuuksista ja toimenpiteistä tiedotetaan asianomaisille henkilöille. Jos sattuu henkilötieto-onnettomuus, siitä tietosuojaviranomaiselle ilmoittaminen on tämän osaprosessin vaihe. Kun toimenpiteet ovat valmiit ja asianosaisille on ilmoitettu, laaditaan raportti kokemusten saamiseksi ja ongelman toistumisen ehkäisemiseksi.
Mikä on onnettomuus?
Jos sattuu ohjelmaan liittyvä onnettomuus, voi aiheutua henkilötieto-onnettomuus. Ongelma SoftOnen ohjelmistossa, jonka vuoksi luodaan virheellisiä tietoja tai tietoja puuttuu, luokitellaan ohjelmistoon liittyväksi onnettomuudeksi. Jos nämä tiedot sisältävät henkilötietoja, kyse on myös henkilötieto-onnettomuudesta. Silloinkin voi olla aiheutua henkilötietovahinko, jos käsiteltävät henkilötiedot paljastuvat tai asiattomat henkilöt pääsevät käsiksi niihin tietoturvavahingon vuoksi.