Tietoturvaloukkauksella tarkoitetaan tapahtumaa, jonka seurauksena henkilötietoja vahingossa tai lainvastaisesti tuhoutuu, häviää, muuttuu, luovutetaan luvattomasti tai niihin saa pääsyn taho, jolla ei ole oikeutta käsitellä tietoja. Kyseessä voi olla esimerkiksi palvelunestohyökkäys, haittaohjelmatartunta, tietomurto tai -vuoto, käyttäjätunnuksen joutuminen vääriin käsiin sekä työvälineiden kuten tietokoneen tai puhelimen joutuminen varkauden kohteeksi.
Järjestäjän toiminnassa tietoturvaloukkaus tulee tyypillisesti kyseeseen silloin, jos tietoja annetaan henkilölle, jolla ei ole oikeutta tietojen käsittelyyn (esimerkiksi jos tietojärjestelmän käyttöoikeuksia ei ole määritelty työroolien mukaisesti tai asiakirjoja postitetaan väärään osoitteeseen) tai jos työvälineitä kuten tietokoneita, tabletteja tai puhelimia varastetaan päiväkodin, koulun tai oppilaitoksen tiloista. Kyseeseen voi tulla myös tallennusvälineen kuten usb-tikun katoaminen tai paperiasiakirjojen vahingossa tapahtuva tuhoutuminen kuten arvosteltavien kokeiden tuhoutuminen sateessa.
Toiminnan järjestäjän on arvioitava henkilötietojen käsittelystä aiheutuvia riskejä rekisteröidyille sekä toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet käsittelyn turvallisuuden varmistamiseksi jo ennen käsittelyn aloittamista (ks. tästä aiheesta lisää alla olevasta linkistä). On kuitenkin mahdollista, että asianmukaisista toimista riippumatta järjestäjän henkilötietoihin voi käsittelyn aikana kohdistua tietoturvaloukkaus, josta voi aiheutua merkittäviä aineellisia tai aineettomia vahinkoja rekisteröidyille.
Toiminnan järjestäjän on varauduttava tietoturvaloukkausten mahdollisuuteen ja huolehdittava siitä, että sillä on käytössään ajantasaiset menettelytavat tietoturvaloukkausten pikaiseksi tunnistamiseksi, loukkausten aiheuttamien riskien arvioimiseksi ja vähentämiseksi sekä tarvittavien ilmoitusten tekemiseksi. Kaikki tietoturvaloukkaukset on lisäksi dokumentoitava. Tietoturvaloukkauksen tapahduttua on myös tärkeää käydä tapahtunut huolella läpi ja suunnitella, miten vastaavanlainen tilanne voitaisiin ehkäistä jatkossa.
Tietoturvaloukkauksen käsittely voidaan jakaa vaiheisiin esimerkiksi seuraavasti:
- havainto mahdollisesta tietoturvaloukkauksesta ja sitä koskevat ilmoitukset organisaation sisällä esimerkiksi tietosuojavastaavalle tai muulle henkilölle, jonka vastuulle asian selvittäminen on määritelty,
- selvitys, onko tietoturvaloukkaus todella tapahtunut ja jos on, arviointi loukkauksen aiheuttamista riskeistä rekisteröidyille,
- tiedotus organisaation sisällä tarvittaville henkilöille sekä toimenpiteisiin ryhtyminen tietoturvaloukkauksen leviämisen estämiseksi ja sen korjaamiseksi,
- ilmoittaminen tietosuojavaltuutetun toimistolle ja/tai rekisteröidyille loukkauksesta aiheutuneen riskin perusteella, ja
- dokumentointi sekä muut jälkitoimet.
Varautumisessa kannattaa huomioida, että tieto tietoturvaloukkauksesta voi tulla järjestäjän henkilöstöltä tai organisaation ulkopuoliselta taholta kuten henkilötietojen käsittelijältä, yksityishenkilöltä (ml. oppijat ja huoltajat) tai mediasta. Toiminnan järjestäjän tulisi kyetä reagoimaan alustavaan havaintoon ja käsittelemään tapahtunut nopeasti ja tehokkaasti. Tämä edellyttää muun muassa henkilöstön perehdyttämistä sekä heidän kannustamistaan ilmoituksen tekemiseen matalalla kynnyksellä, ohjeistusta prosessin kulusta ja selkeää vastuunjakoa. Järjestäjä voi myös varautua tietoturvaloukkauksiin harjoittelemalla niihin reagoimista ja tarvittavaa kriisiviestintää etukäteen. Esimerkiksi Digi- ja väestötietovirasto järjestää julkishallinnolle suunnattuja TAISTO-harjoituksia, joissa organisaatiot voivat harjoitella toimintamalleja ja prosesseja erilaisten häiriötilanteiden varalle.