Mitä teen?

Organisaatioltani on viety tai vuotanut tietoja

Saat parhaat ohjeet tilanteeseesi, kun vastaat ensin kysymyksiin Esikysymykset-sivulla.

Esikysymykset
Akuutit toimet
Jälkitoimet
1. Huomioi akuutin tilanteen jälkeen
2. Kehitä tietoturvallisuutta ja varautumista
Muistilista

Huomioi akuutin tilanteen jälkeen

Tee tarvittavat muutokset tietojärjestelmiin

Kun tietoturvahaavoittuvuus on tukittu, on tärkeää suunnitella, mitä mahdollisia isompia muutoksia tietojärjestelmään tulee tehdä. Aikatauluta ja suunnittele tekniset muutostyöt yhdessä järjestelmätoimittajan kanssa.

Tietomurron ja tietovuodon seurauksena voidaan joutua muun muassa

palauttamaan tietoja varmuuskopioista
korjaamaan haavoittuvuuksia
päivittämään järjestelmiä tai asentamaan niitä kokonaan uudelleen
korvaamaan tai hankkimaan uusia laitteita
vaihtamaan salasanoja.

Päivitetty: 25.3.2022

Tee tarvittavat muutokset prosesseihin

On tärkeää käydä läpi, tarvitaanko organisaatiosi prosesseihin ja käytäntöihin muutoksia.

Organisaatiossasi voi olla tarpeen

varmistaa, että prosesseissa on huomioitu tietoturvan ja tietosuojan vaatimukset
muuttaa totuttuja toimintatapoja
tiukentaa tietoturvavaatimuksia
järjestää koulutuksia tietoturvasta ja tietosuojasta.

Päivitetty: 29.11.2021

Rikosprosessin eteneminen

Rikosprosessi etenee rikosilmoituksesta syyteharkintaan seuraavasti:

Poliisi saa rikosilmoituksen.
Poliisi tutkii, onko asiassa syytä epäillä rikosta.
Jos asiassa on syytä epäillä rikosta, poliisi suorittaa esitutkinnan.
Esitutkinnassa selvitetään epäillyn rikoksen tapahtumakulku, siihen liittyvät henkilöt, saatu rikoshyöty, aiheutunut vahinko ja asianomistajan eli uhrin vaatimukset. Esitutkinta voidaan keskeyttää, jos rikoksesta ei epäillä ketään tai asiaan vaikuttavaa selvitystä ei ole saatavissa.
Esitutkinnan jälkeen asia siirtyy syyteharkintaan. Syyttäjä päättää, nostaako se syytteen epäillystä rikoksesta vai ei.
Jos syyte nostetaan, rikosasia käsitellään oikeudessa. Oikeudenkäynnin lopuksi tuomioistuin antaa ratkaisunsa tapauksesta. Lievemmät rikosasiat voidaan toisinaan käsitellä myös kirjallisessa menettelyssä.

Lue lisää kyberrikostutkinnan kulusta Poliisiammattikorkeakoulun ja Jyväskylän ammattikorkeakoulun julkaisusta Kyberrikos on poliisiasia ‒ opas yrityksille kyberrikostutkinnan kulustaAvautuu uuteen ikkunaan..

Asianomistajarikokset tutkitaan pääsääntöisesti vain silloin, jos asianomistaja vaatii rangaistusta rikoksesta epäillylle. Asianomistajarikokset ovat usein rikosten lievempiä tekomuotoja.

Virallisen syytteen alaisella rikoksella tarkoitetaan rikosta, josta syyttäjän on nostettava syyte riippumatta siitä, vaatiiko asianomistaja syytteen nostamista. Vakavimmat rikokset ovat virallisen syytteen alaisia.

Kyberrikokset koostuvat usein monista eri teoista. Esimerkiksi tietomurto on asianomistajarikos, mutta törkeä kiristys on virallisen syytteen alainen rikos. Huomaa, että rikosnimikkeet ja sitä kautta syytetyyppi usein täsmentyvät vasta tutkinnan aikana.

Päivitetty: 7.12.2021

Kuka korvaa organisaatiolle?

Organisaation on tietyissä tapauksissa mahdollista saada korvauksia tietomurron/tietovuodon aiheuttamista kuluista. Korvaukset voivat olla

sopimuskorvauksia
vakuutuksista saatavia korvauksia
vahingonkorvauksia.

Organisaation on mahdollista vaatia sopimuskorvauksia järjestelmätoimittajalta, jos korvauksista on kirjattu organisaation ja järjestelmätoimittajan väliseen sopimukseen. Tyypillisesti sopimukseen on kirjattu sopimuskorvauksen mahdollisuus tilanteista, joissa järjestelmätoimittaja ei ole noudattanut sopimusvelvoitteita tai on muuten omalla toiminnallaan aiheuttanut tietomurto- tai tietovuotoriskin.

Tietoturvaloukkauksien varalle on mahdollista ottaa vakuutuksia. Vakuutukset eroavat laajuudeltaan: osa vakuutuksista korvaa vain vahinkotilanteessa tarvittavan IT-asiantuntijan palkkakustannuksia, osa vakuutuksista korvaa myös liiketoiminnan keskeytyksestä sekä ulkopuolisille maksettavista korvauksista aiheutuneita kustannuksia. Jotkin vakuutukset sisältävät myös asiantuntija-apua tietomurto- ja tietovuototilanteisiin.

Päivitetty: 1.12.2021

Kuka korvaa asiakkaalle?

Asiakkaallasi saattaa olla oikeus vaatia korvauksia organisaatioltasi, jos organisaatiosi on rikkonut EU:n tietosuoja-asetusta. Lue henkilöasiakkaille suunnattu ohje vahingonkorvausten vaatimisesta tietosuoja-asetuksen nojalla tietosuojavaltuutetun toimiston verkkosivuilta.Avautuu uuteen ikkunaan.

Jos kyseessä on rikos, voi asiakkaasi esittää korvausvaatimuksia rikoksesta epäillylle. Lue rikoksiin liittyvistä vahingonkorvauksista Rikosuhripäivystyksen verkkosivuilta.Avautuu uuteen ikkunaan.

Päivitetty: 2.12.2021

Mitä seurauksia tietosuoja-asetuksen rikkomisesta voi olla?

Tietosuoja-asetus (GDPR) säätelee henkilötietojen käsittelyä. Jos organisaatio ei noudata tietosuoja-asetuksen vaatimuksia, voi tietosuojavaltuutetun toimisto antaa organisaatiolle varoituksen, huomautuksen tai määräyksen riippuen laiminlyöntien vakavuudesta. Tietosuojavaltuutetun toimisto voi myös rajoittaa organisaation henkilötietojen käsittelyä tai asettaa käsittelykiellon.

Muiden korjaavien toimenpiteiden lisäksi tai niiden sijasta valvontaviranomainen voi myös määrätä hallinnollisen sakon, joka voi olla enintään 4 % liikevaihdosta tai 20 miljoonaa euroa.

Lue lisää erilaisista seuraamuksista ja tietosuojavaltuutetun toimiston toimivaltuuksista tietosuoja.fistä. Avautuu uuteen ikkunaan.

Päivitetty: 30.11.2021

Mistä saan tukea tilanteessa jaksamiseen?

Hae keskusteluapua, jos asian selvittely käy yli voimiesi:

Apua saat myös kotipaikkasi terveyskeskuksesta.Avautuu uuteen ikkunaan.

Päivitetty: 29.11.2021

Oletko tyytyväinen tämän sivun sisältöön?

Muistilista