Tietovuodon kohteeksi joutuneen muistilista

Tietoturvan loukkaus on vakava yksityisyyteen ja turvallisuuteen vaikuttava asia. Viime aikoina uutisissa olleet tietomurrot ovat lisänneet ihmisten hätää ja epätietoisuutta siitä, mistä apua voi saada ja mihin toimenpiteisiin pitäisi ryhtyä asiassa.  Keräsimme yhdessä EK:n jäsenyritysten tietosuoja-asiantuntijoiden ja muiden yhteistyökumppaneidemme kanssa tietoturvaloukkauksen kohteeksi joutuneen muistilistan.

Vastaamo-tapauksen jälkeen viranomaisten ja eri toimijoiden ohjeet ovat päivittyneet nopeasti. Kehotamme seuraamaan viranomaisten ja järjestöjen ajantasaista neuvontasivua tietovuotoapu.fi.

Hjälp och råd till offer för dataläckage på https://tietovuotoapu.fi/sv/

Emme päivitä ohjeita 29.10.2020 lähtien.

Tee riskiarvio

Tietoturvaloukkaukset ovat erilaisia, ja niiden perusteella tarpeelliset toimet myös vaihtelevat. Mieti, mitä tietoja sinusta on voinut joutua kussakin tilanteessa vääriin käsiin ja mitä se voi tarkoittaa sinun kohdallasi. Alla oleva lista ei ole kattava, mutta pyrkii antamaan yleiskuvan, millaisiin toimiin on hyvä ryhtyä.

Jos arvioit riskin esimerkiksi maksuvälineiden, passin tai muun puhelimen ja tunnusten katoamista, ryhdy välittömiin toimiin. Myös tärkeät tunnukset ja salasanat vaativat välittömiä toimenpiteitä.

Ota yhteys rekisterinpitäjään

Pyri ensimmäisenä selvittämään asia henkilötietojasi käsittelevän yrityksen eli rekisterinpitäjän kanssa.

Mikäli rekisterinpitäjä on ollut sinuun yhteydessä ja ilmoittanut tapahtuneesta, he ovat samalla todennäköisesti ilmoittaneet yhteystiedot, joiden kautta voit saada lisää tietoa tapahtuneesta.

Mikäli rekisterinpitäjä ei ole ollut sinuun yhteydessä, mutta epäilet henkilötietojesi vaarantuneen, kannattaa olla itse yhteydessä rekisterinpitäjään. Tietosuojavastaavan tai muun tietosuojayhteyshenkilön yhteystiedot löytyvät yhtiön tietosuojalausunnosta tai myös asiakaspalvelun kautta.

Tee tietopyyntö

Jos tiedossasi on yritys, jolta tietotovuoto on tapahtunut, tietosuoja-asetus oikeuttaa sinut saamaan tietoosi, mitä tietoa yritys on sinusta tallentanut. Näin voi päästä paremmin kartalle siitäkin, mitä tietoja on vuotanut ja mitä ei. Jos arvioit riskin esimerkiksi maksuvälineiden, passin tai muun puhelimen ja tunnusten katoamista, ryhdy välittömiin toimiin.

Tee ilmoitukset

  • Henkilötiedot: Tietosuojavaltuutettu ensisijaisesti käänny henkilötietojasi käsittelevän yrityksen tai organisaation puoleen, mutta jos pyynnöstä kieltäydytään tai et saa vastausta tai yhteyttä, niin ota yhteyttä Tietosuojavaltuutettuun.
  • Rikosilmoitus: Poliisilla ei asia välttämättä johda toimenpiteisiin, mutta ilmoitus on hyvä tehdä, että asiasta jää asiakirjajälki. Tämä saattaa olle myös edellytys vakuutusyhtiön korvattavuudelle. Rikosilmoituksen voi olla paikallaan tehdä, vaikkei varmuutta omien tietojen julkaisemisesta vielä olisi.
  • Kyberturvallisuuskeskus: Yksityiset henkilöt, yritykset ja organisaatiot voivat ilmoittaa Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskukselle niihin kohdistuneista tietoturvaloukkauksista, kuten tietojen kalastelusta tai palvelunestohyökkäyksistä, sekä näiden loukkausten yrityksistä.

Tarkista viranomaisten sivut ohjeita varten

Pankkiasiointi

Tarkista tietopyynnön avulla, mitä tietoja sinusta on vuotanut. Mikäli koet, että pankkiasiointiin liittyviä tietojasi on vuotanut, ota yhteyttä pankkiisi. Huolehdi, että sinulla on käytössäsi ainakin kaksi eri tunnistusvälinettä, esimerkiksi mobiilivarmenne ja verkkopankkitunnukset sujuvan asioinnin varmistamiseksi. Mikäli sinulla ei ole toimivia sähköisiä tunnistusvälineitä, joudut vierailemaan pankin konttorissa todistaaksesi henkilöllisyytesi.

Joidenkin pankkien palveluissa maksukortin voi laittaa väliaikaiseen sulkuun, jota kannattaa hyödyntää (ks. yllä kohdassa FINE). Mikäli luottokorttitietojasi on vuotanut, aseta kortti välittömästi sulkuun. Maksupalvelulain mukaan vastuu syntyneestä vahingosta on kokonaan pankilla, jos asiakkaan voidaan katsoa menetelleen huolellisesti ja asiakas on viipymättä kortin katoamisen huomattuaan ilmoittanut kortin myöntäneelle taholle kortin joutumisesta vääriin käsiin. Siksi kannattaa toimia mahdollisimman nopeasti.

Tarkista vakuutuksesi ja tunne oikeutesi

Joidenkin vakuutusyhtiöiden kotivakuutukseen sisältyy rajattu lakimiesapu identiteettivarkauden uhrille. Tarkista omien vakuutustesi vakuutusehdot. Kannattaa tarkistaa myös luottokortteihin liitettyjen vakuutusten osalta korvattavuus ja avunsaanti.

Tietosuoja-asetuksen perusteella sinulle voi muodostua oikeus vahingonkorvauksiin.

Ota vapaaehtoinen luottokielto

Tämä estää rikollisia ottamasta tiedoillasi esimerkiksi pikavippejä ja tärvelemästä luottotietojasi, vaikka osamaksusopimuksilla. Luottokiellon saat ainakin asiakastiedon sivuilta. Omaehtoinen luottokielto kannattaa tehdä sekä Asiakastiedolle että Bisnode Finlandille. Kustannus yhteensä n. 36 euroa. Tieto on voimassa 2 vuotta kerrallaan ja se pitää muistaa itse uusia.

Nimi- ja osoitetietojen luovuttamisen esto 

  • Digi- ja väestötietovirasto: voit kieltää henkilökortin tai verkkopankkitunnusten avulla DVV:n luovuttamasta nimi- ja osoitetietoja väestötietojärjestelmästä: virasto ylläpitää Tarkasta tietosi! -palvelua tätä tarkoitusta varten, voit myös olla yhteydessä vapaamuotoisella kirjeellä virastoon. Puhelinnumeroita ei voi rajoittaa DVV:ltä, koska sinne niitä ei talleteta.
  • Teleyritykset: Salainen numero / yhteystietojen luovutuskielto numeropalveluihin: Mikäli haluat kieltää teleyritystäsi luovuttamasta tietojasi numero- ja yhteystietopalveluihin, voit ilmoittaa pyynnön teleyrityksellesi tai mahdollisesti säätää liittymätietojesi julkisuusasetuksia myös teleyrityksen itsepalvelussa.
  • Liikenne- ja viestintävirasto (Traficom): tarjoaa yhteystietoja. Voit tehdä luovutuskiellon sähköisesti tai puhelimitse.

Voiko tietoni päätyä roskapostimainoslistoille?

  • Tietovuodoissa osoitteet voivat joutua edelleen erilaisille listoille, joita saatetaan käyttää roskapostitukseen tai kalasteluyrityksiin. Valitettavasti osittain tällaiset toimijat eivät jää haaviin, mutta on syytä suhtautua erityisen varovasti epäilyttäviin sähköpostiin. Roskapostifiltteri hoitaa osan.
  • Suomessa toimivat suoramarkkinayritykset kuuluvat asiakkuusmarkkinointiliittoon ja saavat osoitteensa luotettavista lähteistä ja ovat sitoutuneet noudattamaan tiettyjä toimintatapoja. Suomen asiakkuusmarkkinointiliiton osalta lisätietoja UKK.

Turvakielto on järeä toimi vakaviin uhkiin

Turvakielto on erittäin järeä työkalu, joka estää jopa viranomaisia luovuttamasta osoitettasi. Jos sinuun tai perheeseesi on kohdistunut uhkaa jo ennen tietovuotoa, kannattaa ottaa yhteys viranomaiseen ja pyytää heitä arvioimaan turvakiellon tarvetta. Kieltoa voi hakea, jos on esim. todistajansuojelu- tai perheväkivaltatilanne tai ammatti, jossa joutuu kokemaan säännöllistä vakavan fyysisen väkivallan uhkaa. Kokemus uhasta ei siis riitä perusteeksi. Viranomaiset ja poliisi parhaat arvioimaan.

Lue lisää turvakiellosta

Varjele osoitetietoja muuttoestolla

Digi- ja väestötietoviranomaisen palvelussa voit tehdä muuttoestomerkinnän, jos tiedoillasi on tahallisesti tehty väärä muuttoilmoitus. Muuttoesto ja sen poistaminen vaatii aina henkilökohtaista asiointia Digi- ja väestötietoviraston palvelupaikassa.

Lue lisää muuttoilmoituksesta

Postin muuttosuojaus ja lomake-esto

Postin kautta tekemäsi muutokset estävät sen, että osoitettasi ei käytetä väärin esimerkiksi verkko-ostoksia tehdessä.

Lue lisää Postin muuttosuojauksesta ja lomake-estosta

Tee rekisteröintikielto

Rekisteröintikielto tehdään Patentti- ja rekisterihallitukselle, jotta sinua ei merkittäisi Voit halutessasi ilmoittaa Patentti- ja rekisterihallitukselle (PRH), että sinua ei saa merkitä minkään yrityksen tai yhteisön vastuuhenkilöksi kaupparekisteriin. Tällöin emme ilman erillistä suostumustasi merkitse sinua kaupparekisteriin, vaan otamme sinuun ensin yhteyttä ja pyydämme suostumuksesi.

Rekisteröintikielto tulee voimaan, kun olemme tallentaneet sen kaupparekisterin käsittelyjärjestelmään. Lähetämme rekisteröintikiellosta vahvistuksen ilmoittamaasi sähköpostiosoitteeseen. Huomaa, että rekisteröintikiellon ilmoittaminen ei poista sinua kaupparekisteriin aikaisemmin merkityistä rooleistasi. Voit tarkistaa esimerkiksi Suomi.fi-sivujen palvelusta, onko sinut merkitty johonkin rooliin kaupparekisterissä. Siirry Suomi.fi-palveluun tarkistamaan kaupparekisteriin merkityt roolisi. 

Lue lisää rekisteröintikiellosta

Vaihda salasanat

Vaihda välittömästi mahdollisesti vääriin käsiin joutunut salasana kaikista palveluista, joissa se on sinulla käytössä ja ota käyttöön kaksivaiheinen tunnistus. Jos puhelimesi on joutunut salasanoineen vääriin käsiin, niin ota tunnistustavaksi joku muu kuin puhelimeen liittyvä tunnistus.

Kannattaako vaihtaa puhelinnumeroa?

Suomessa kerrotaan onnistutun niin sanotussa SIM swap -huijauksessa, jossa puhelinoperaattoria huijaamalla uhrin henkilötunnuksella on saatu toisen ihmisen puhelinliittymä ja sen avulla otettu haltuun kaikki sovellukset ja palvelut, jotka käyttävät numeroa ihmisen tunnistamiseen. Riski ei ole Suomessa suuri, mutta omaan puhelinoperaattoriin kannattaa olla ainakin varmuuden vuoksi yhteydessä ja ehdottaa vaikka lisätunnistemenetelmiä, mikäli omalle asiakkuudelle on tekemässä muutoksia.

Tarkkaile mihin tietojasi ilmestyy

Vuotaneita tietoja ei välttämättä hyödynnetä heti. Sivusto havebeenpwned.com tarjoaa kattavan ja ahkerasti päivitetyn tietokannan, josta omien tietojen ilmestymistä erilaisiin vuotaneisiin tietokantoihin voi tarkkailla sähköpostiosoitteen perusteella. Googlella on Google Alerts -palvelu, jossa voi hakusanaperusteisesti tilata itselleen sähköposti-ilmoituksia erilaisten hakusanojen ilmaantumisesta Googlen hakutuloksiin. Hakusanaksi voi antaa vaikkapa oman nimen tai puhelinnumeron.

Oikeutesi tulla unohdetuksi

Kiusallisia ja arkaluotoisia tietoja saa tietyin rajauksin vaadittua poistettaviksi itsekin, jos tiedot ovat vääriä tai rekisterinpitäjä ei niitä enää tarvitse. Tämä koskee myös Googleen nousevia hakutuloksia.

Googlen poistopyyntö Microsoft Bing -hakukoneen poistopyyntö

Varaudu henkisesti

Verkkoon vuotanut tieto on verkossa ikuisesti. Varaudu siihen, että vuotaneet arkaluontoiset tiedot voivat kävellä vastaan yllättävässä tilanteessa myöhemmin elämässä. Tee ajatusharjoituksia siitä, miten silloin toimit ja argumentoi itsellesi valmiiksi, miksi sinua ja läheisiäsi ei voi näillä tiedoilla vahingoittaa.