Tietosuoja

Tietoturvaloukkausten käsittelyprosessi 2026: malli + loukkausrekisteri

Valmis tietoturvaloukkausten käsittelyprosessi ja loukkausrekisterin malli GDPR 33–34 artiklan mukaan: vaiheittainen prosessi, mallipohja ja yleiset virheet.

Also available in:English·Français·Deutsch

Tietoturvaloukkausten käsittelyprosessi on etukäteen dokumentoitu toimintamalli, joka ohjaa organisaatiota loukkauksen havaitsemisesta ilmoittamiseen ja jälkihoitoon. Sen tueksi tarvitaan loukkausrekisteri, johon kirjataan kaikki loukkaukset – myös ne, joista ei ilmoiteta viranomaiselle. Yleisen tietosuoja-asetuksen (GDPR) 33 artiklan 5 kohta velvoittaa rekisterinpitäjän dokumentoimaan kaikki loukkaukset, ja 33 artiklan mukainen 72 tunnin ilmoitusmääräaika tekee valmiista prosessista välttämättömän. Ilman etukäteen rakennettua prosessia et ehdi määräaikaan. Alla on vaiheittainen käsittelyprosessi ja loukkausrekisterin malli, minkä jälkeen käydään läpi mukauttaminen ja yleiset virheet.

Miksi valmis prosessi on välttämätön?

72 tuntia on kalenteriaikaa, johon sisältyvät illat ja viikonloput. Kun loukkaus tapahtuu, ei ole aikaa selvittää, kuka vastaa, kenelle ilmoitetaan ja missä muodossa. Vastaamon tapaus osoittaa viivyttelyn hinnan: Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi 17.12.2021 Psykoterapiakeskus Vastaamolle 608 000 euron seuraamusmaksun muun muassa siitä, että loukkauksesta ilmoitettiin noin 18 kuukautta myöhässä. Valmis prosessi ratkaisee sen, ehditkö määräaikaan – ja loukkausrekisteri osoittaa, että velvoitetta on noudatettu.

Käsittelyprosessin malli (5 vaihetta)

TIETOTURVALOUKKAUSTEN KÄSITTELYPROSESSI

Vaihe 1 – Havaitseminen ja ilmoittaminen sisäisesti (heti).

  • Kuka tahansa, joka havaitsee epäillyn loukkauksen, ilmoittaa siitä välittömästi osoitteeseen [tietoturva@yritys.fi] tai vastuuhenkilölle.
  • Käsittelijän on ilmoitettava loukkauksesta rekisterinpitäjälle [24/48] tunnin kuluessa (ks. käsittelysopimus).
  • Tapahtuma kirjataan heti loukkausrekisteriin (vaihe 5).

Vaihe 2 – Arviointi ja luokittelu ([X] tunnin kuluessa).

  • Vastuuhenkilö / tietosuojavastaava arvioi: mitä tapahtui, mitä tietoja ja kuinka monta rekisteröityä koskee.
  • Luokittele loukkaus: luottamuksellisuus-, eheys- vai saatavuusloukkaus.
  • Arvioi riski rekisteröidyille (tietojen luonne, määrä, mahdolliset seuraukset).
  • “Tietoisuuden” hetki merkitään – 72 tunnin määräaika alkaa tästä.

Vaihe 3 – Päätös ilmoittamisesta.

  • Riski rekisteröityjen oikeuksille? Jos kyllä → ilmoitus Tietosuojavaltuutetun toimistolle 72 tunnin kuluessa (33 art.).
  • Korkea riski? Jos kyllä → ilmoitus myös rekisteröidyille ilman aiheetonta viivytystä (34 art.).
  • Ei riskiä? Ei ilmoitusta viranomaiselle, mutta kirjaus rekisteriin ja riskiarvion perustelu.

Vaihe 4 – Ilmoitusten tekeminen.

  • Viranomaisilmoitus sähköisesti tietosuoja.fi sisältäen 33 art. 3 kohdan tiedot (kuvaus, seuraukset, toimenpiteet, yhteyshenkilö).
  • Tarvittaessa vaiheittainen ilmoitus (33 art. 4): alustava ilmoitus määräajassa, täydennys myöhemmin.
  • Rekisteröityjen ilmoitus selkeäkielisenä, jos korkea riski.

Vaihe 5 – Kirjaaminen ja jälkihoito.

  • Kirjaa tapahtuma loukkausrekisteriin (alla).
  • Toteuta korjaavat toimet ja päivitä tietoturvatoimet.
  • Käy oppitunnit läpi ja päivitä prosessi tarvittaessa.

Loukkausrekisterin malli

LOUKKAUSREKISTERI (GDPR 33 art. 5 kohta)

Kenttä Sisältö
Tapahtumanumero [juokseva numero]
Havaitsemispäivä ja -aika [pvm, klo]
“Tietoisuuden” hetki [pvm, klo – 72 t alkaa]
Loukkauksen kuvaus [mitä tapahtui]
Loukkauksen tyyppi Luottamuksellisuus / eheys / saatavuus
Tietoryhmät [esim. yhteystiedot, terveystiedot]
Rekisteröityjen määrä [arvio]
Tietueiden määrä [arvio]
Riskiarvio [ei riskiä / riski / korkea riski + perustelu]
Ilmoitettu viranomaiselle Kyllä [pvm] / Ei [peruste]
Ilmoitettu rekisteröidyille Kyllä [pvm] / Ei [peruste]
Korjaavat toimet [toteutetut toimenpiteet]
Vastuuhenkilö [nimi]

[Yksi rivi jokaisesta loukkauksesta, myös ilmoittamatta jätetyistä.]

Näin mukautat mallin

Nimeä vastuuhenkilöt ja varahenkilöt. Prosessi kaatuu, jos ainoa vastuuhenkilö on lomalla. Määritä selkeä vastuuketju ja päivystysjärjestely, koska määräaika juoksee myös viikonloppuisin.

Sido käsittelijät prosessiin. Sovi käsittelysopimuksessa lyhyt ilmoitusmääräaika (24–48 tuntia), jotta käsittelijän viive ei syö omaa 72 tunnin määräaikaasi. Ketju on vain niin vahva kuin heikoin lenkki.

Määritä riskiarvion kriteerit etukäteen. Päätä valmiiksi, mitkä tekijät nostavat riskin korkeaksi (erityiset tietoryhmät, suuri rekisteröityjen määrä, taloudelliset tiedot). Näin arviointi on nopeaa ja johdonmukaista.

Harjoittele. Prosessi, jota ei ole koskaan testattu, ei toimi tositilanteessa. Järjestä loukkausharjoitus vähintään kerran vuodessa.

Yleiset virheet

  • Prosessin puuttuminen kokonaan. Ilman etukäteen rakennettua prosessia 72 tunnin määräaikaan ei ehdi. Tämä on yleisin ja vakavin virhe.
  • Riskittömien loukkausten kirjaamatta jättäminen. 33 artiklan 5 kohta velvoittaa kirjaamaan kaikki loukkaukset, myös ne, joista ei ilmoiteta. Valvontaviranomainen voi tarkastaa rekisterin.
  • “Tietoisuuden” hetken määrittämättä jättäminen. Jos et kirjaa, milloin tulit tietoiseksi, et voi osoittaa noudattaneesi määräaikaa – etkä perustella mahdollista viivettä.
  • Ilmoituksen lykkääminen täydellisyyden vuoksi. Vaiheittainen ilmoitus (33 art. 4) on sallittu. Tee alustava ilmoitus ajoissa äläkä odota, että kaikki tiedot ovat selvillä.
  • Prosessin unohtaminen laatikkoon. Prosessi ja rekisteri on pidettävä elävinä. Legiscopen kaltainen ratkaisu ohjaa loukkausprosessia vaiheittain ja ylläpitää loukkausrekisteriä automaattisesti, jolloin määräajat ja kirjaukset eivät jää tekemättä.

Tietosuojavaltuutetun toimisto ohjeistaa loukkauksista tietoturvaloukkaussivullaan. Lakiteksti löytyy GDPR:n 33 ja 34 artiklasta EUR-Lexissä sekä tietosuojalaista (1050/2018).

Riskiarvio – prosessin tärkein vaihe

Koko prosessin ratkaisevin kohta on vaihe 3: päätös siitä, ilmoitetaanko loukkauksesta ja kenelle. Tämä perustuu riskiarvioon, ja juuri sen tekeminen nopeasti ja johdonmukaisesti erottaa toimivan prosessin muodollisesta.

Riskiä arvioidaan neljän tekijän perusteella. Ensinnäkin tietojen luonne ja arkaluonteisuus: terveystiedot, henkilötunnukset, taloudelliset tiedot ja tunnukset nostavat riskiä, kun taas julkiset yhteystiedot ovat matalampi riski. Toiseksi loukkauksen laajuus: rekisteröityjen ja tietueiden määrä. Kolmanneksi mahdolliset seuraukset rekisteröidyille: identiteettivarkaus, taloudellinen vahinko, syrjintä, maineen menetys tai fyysinen vahinko. Neljänneksi tietojen suojaus: vahvasti salatut tiedot, joiden avain ei ole vaarantunut, voivat pienentää riskin niin alhaiseksi, ettei ilmoitusta tarvita.

Päätöspuu on yksinkertainen. Jos loukkaus todennäköisesti aiheuttaa riskin rekisteröityjen oikeuksille, ilmoita valvontaviranomaiselle 72 tunnin kuluessa. Jos riski on korkea, ilmoita lisäksi rekisteröidyille. Jos riskiä ei ole, älä ilmoita – mutta kirjaa loukkaus ja riskiarvion perustelu loukkausrekisteriin. Ratkaiseva virhe on jättää riskiarvio dokumentoimatta: jos et perustele, miksi et ilmoittanut, et voi myöhemmin osoittaa arvioinnin olleen huolellinen.

Määritä riskiarvion kriteerit valmiiksi ennen loukkausta. Näin arviointi ei ole tositilanteessa improvisaatiota vaan valmiin kehikon soveltamista, ja päätös syntyy tunneissa, ei päivissä. Legiscopen kaltainen ratkaisu ohjaa riskiarvion tekemistä ja kirjaa perustelun automaattisesti rekisteriin.

Loukkauksen kolme tyyppiä ja tyyppiesimerkit

Loukkaukset luokitellaan kolmeen perustyyppiin, ja tyyppi vaikuttaa sekä riskiarvioon että korjaaviin toimiin. Luottamuksellisuusloukkaus tarkoittaa, että tiedot ovat paljastuneet tai päätyneet ulkopuolisille – esimerkiksi sähköposti, joka lähetetään väärälle vastaanottajalle, varastettu kannettava tai palvelinmurto. Eheysloukkaus tarkoittaa, että tietoja on muutettu luvatta tai vahingossa niin, että ne ovat virheellisiä. Saatavuusloukkaus tarkoittaa, että tiedot ovat tuhoutuneet tai eivät ole käytettävissä – esimerkiksi kiristyshaittaohjelma, joka salaa järjestelmän, tai varmuuskopion menetys. Sama tapahtuma voi kuulua useaan tyyppiin: kiristyshaittaohjelma on tyypillisesti sekä saatavuus- että luottamuksellisuusloukkaus, jos hyökkääjä on myös vienyt tietoja.

Käytännön esimerkit auttavat kalibroimaan riskiarviota. Yksittäinen väärään osoitteeseen lähetetty sähköposti, jossa on tavanomaisia yhteystietoja, on usein matalan riskin loukkaus, joka kirjataan rekisteriin mutta jota ei tarvitse ilmoittaa. Sen sijaan asiakasrekisterin vuoto, joka sisältää henkilötunnuksia tai maksutietoja, on lähes aina ilmoitettava ja usein korkean riskin loukkaus, joka edellyttää myös rekisteröityjen informointia. Euroopan tietosuojaneuvosto on julkaissut näistä tilanteista käytännön esimerkkejä sisältävät suuntaviivat (Guidelines 01/2021 esimerkkitapauksista), jotka löytyvät Euroopan tietosuojaneuvoston sivuilta. Ne ovat hyödyllinen kalibrointiväline oman riskiarvion kriteeristön rakentamiseen.

Usein kysytyt kysymykset

Onko loukkausrekisteri pakollinen?

Kyllä. 33 artiklan 5 kohta velvoittaa dokumentoimaan kaikki henkilötietojen tietoturvaloukkaukset, niiden vaikutukset ja korjaavat toimet. Velvoite koskee myös loukkauksia, joista ei ilmoiteta viranomaiselle. Valvontaviranomainen voi tarkastaa rekisterin varmistaakseen, että ilmoitusvelvollisuutta on noudatettu.

Mistä hetkestä 72 tuntia lasketaan?

Määräaika alkaa siitä, kun rekisterinpitäjä tulee tietoiseksi loukkauksesta – eli kun on kohtuullisen varmaa, että henkilötiedot ovat vaarantuneet. Tämä “tietoisuuden” hetki on syytä kirjata loukkausrekisteriin, jotta määräajan noudattaminen voidaan osoittaa.

Mitä jos kaikkia tietoja ei ole 72 tunnissa?

Voit tehdä vaiheittaisen ilmoituksen (33 art. 4 kohta): tee alustava ilmoitus määräajassa ja täydennä sitä myöhemmin. Älä lykkää ilmoitusta sen vuoksi, että selvitys on kesken – myöhästynyt ilmoitus edellyttää perustelua viivästykselle.

Kuka vastaa loukkausprosessista?

Vastuu on rekisterinpitäjällä. Käytännön koordinoinnista vastaa usein tietosuojavastaava tai nimetty tietoturvavastaava. Käsittelijän on ilmoitettava havaitsemistaan loukkauksista rekisterinpitäjälle ilman aiheetonta viivytystä, minkä vuoksi vastuut on määriteltävä myös käsittelysopimuksessa.

Kuka voi tehdä viranomaisilmoituksen?

Ilmoituksen tekee rekisterinpitäjä, käytännössä tietosuojavastaava tai nimetty vastuuhenkilö. Ilmoitus tehdään Tietosuojavaltuutetun toimiston sähköisen lomakkeen kautta. Varmista, että vastuuhenkilöllä on pääsy lomakkeeseen ja tarvittavat tiedot myös ilta- ja viikonloppuaikaan, koska määräaika juoksee jatkuvasti.

Miten prosessia testataan?

Järjestä loukkausharjoitus vähintään vuosittain: simuloi loukkaus ja käy prosessi läpi vaiheittain havaitsemisesta ilmoitukseen. Harjoitus paljastaa pullonkaulat – epäselvät vastuut, hitaat päätöspolut ja puuttuvat yhteystiedot – ennen kuin ne tulevat kalliiksi tositilanteessa.

Yhteenveto

Tietoturvaloukkausten käsittelyprosessi ja loukkausrekisteri ovat GDPR 33–34 artiklan noudattamisen edellytys. Prosessi ohjaa viidessä vaiheessa havaitsemisesta arviointiin, ilmoituspäätökseen, ilmoitusten tekemiseen ja jälkihoitoon; loukkausrekisteri dokumentoi kaikki loukkaukset – myös ilmoittamatta jätetyt. Nimeä vastuuhenkilöt, sido käsittelijät lyhyeen ilmoitusmääräaikaan, määritä riskiarvion kriteerit etukäteen ja harjoittele. Vastaamon 608 000 euron seuraamusmaksu muistuttaa, että 72 tunnin määräaika on todellinen ja viivyttely maksaa. Valmis prosessi rakennetaan ennen loukkausta, ei sen jälkeen.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →