Miten toimia tietoturvaloukkauksessa? – Pienyrityksen ohjeet riskitilanteisiin
Mikä on tietoturvaloukkaus?
Tietoturvaloukkaus tarkoittaa tilannetta, jossa henkilötietoihin pääsee käsiksi luvattomasti tai tiedot tuhoutuvat, katoavat tai muuttuvat vahingossa.
Tyypillisiä esimerkkejä:
asiakaslista lähetetään vahingossa väärälle henkilölle
työsopimus katoaa tai jää lukitsemattomaan tilaan
kannettava tietokone varastetaan tai unohtuu jonnekin
sähköpostitiliin murtaudutaan
📌 GDPR edellyttää, että tietoturvaloukkauksista ilmoitetaan viranomaiselle, ja joskus myös asiakkaille – tilanteesta riippuen.
Viranomaiset suosittelevat ns. monitasoista tietosuojaselostetta – tämä tarkoittaa, että eri kohderyhmille (esim. asiakkaat, työntekijät, kumppanit) laaditaan erilliset selosteet, jotka on helppo ymmärtää ja käyttää.
Lue lisää: Monitasoinen tietosuojaseloste – fiksumpi tapa kertoa olennaiset asiat
Milloin loukkaukset ovat erityisen kriittisiä?
Kaikissa organisaatioissa voi sattua tietoturvaloukkaus, mutta erityisen alttiita ovat:
palveluyritykset, joissa käsitellään paljon asiakkaiden tietoja
sote- ja hyvinvointialan toimijat, joilla on arkaluonteista tietoa
pienyritykset, joilla ei ole IT-tukea tai selkeitä ohjeita
yhdistykset, joissa vastuuhenkilöt vaihtuvat usein
👉 Loukkausriskiä ei voi poistaa kokonaan, mutta siihen voi – ja pitää – varautua.
Mitä hyötyä siitä on?
Ennakkoon laadittu toimintaohje:
auttaa reagoimaan nopeasti ja rajoittamaan vahinkoja
estää virheitä kriisitilanteessa
mahdollistaa lain edellyttämien ilmoitusten tekemisen ajoissa
toimii osoituksena vastuullisuudesta asiakkaille ja viranomaisille
📌 Esimerkiksi viranomaisilmoitus on tehtävä 72 tunnin sisällä, jos loukkaus aiheuttaa riskin rekisteröidyn oikeuksille.
Mitä seuraa, jos ohje puuttuu?
Kukaan ei tiedä, mitä tehdä tai missä ajassa
Tilanne voi pahentua, jos se jää huomaamatta
Ilmoituksia ei tehdä oikein → voi tulla huomautuksia tai seuraamuksia
Asiakkaiden luottamus kärsii
📎 Toimintaohje ei auta, jos se ei ole olemassa – tai jos sitä ei tunneta.
Miten tämä hoidetaan Easy GDPR Docs -palvelussa?
Saat valmiit toimintaohjeet, jotka:
kuvaavat selkeästi eri tilanteiden vaiheet
sisältävät muistilistan nopeaa päätöksentekoa varten
ovat helppolukuisia ja muokattavissa ilman teknistä osaamista
soveltuvat pienyrityksille, yhdistyksille ja tiimeille
💡 Ohjeeseen voi lisätä yrityksesi vastuuhenkilöt ja omat toimintatavat.
Se toimii sekä itsenäisenä dokumenttina että osana tietoturvasuunnitelmaa.
👉 Tutustu Easy GDPR Docs -palveluun ja katso, miten saat koko paketin käyttöön yhdellä kertaa.
Tietoturvaloukkaus ei vaadi hakkeria
Useimmat loukkaukset syntyvät arkisista virheistä:
📎 vahingossa lähetetty sähköposti
📎 puutteelliset säilytystavat
📎 epäselvät toimintatavat
📌 Toimintaohje ei saa jäädä paperille. Se auttaa vasta, kun kaikki tietävät mitä tehdä.
Linkit ja lisätieto
📎 Tietoturvaloukkaus – ohjeet yrityksille (tietosuoja.fi)
📎 Osoitusvelvollisuus – mitä se tarkoittaa?
📎 Tietoturvasuunnitelma – kivijalka, joka osoittaa, että yrityksesi toimii oikein