Artikkel ilmus ERR-is 05.04.2024
Juba pikemat aega ei pea olulise mõjuga andmelekete ja muude intsidentide toimumise sagedust mõõtma aastates, vaid hoopis kuudes ja kohati isegi nädalates. Kui me sellest ise järeldusi ei tee, siis paraku selline saabki olema uus reaalsus, kirjutab Sten Tikerpe.
Dokumendifotod, ees- ja perenimed, isikukoodid, telefoninumbrid, meiliaadressid, e-poodide kontode paroolid, kodused aadressid, ostude andmed, spetsiifiliste sotsiaaltoetuste ja hüvitistega seotud andmed, tundlikud terviseandmed. Kõlab kui üpris mahlakas loetelu tundlikest andmetest, mida inimese kohta teada.
Kui aga küsida, mis on selle loetelu ühine nimetaja, siis reaalsus on karm ja ehmatav. Nimelt on see üksnes osaline ülevaade viimaste aastate jooksul Eesti asutustest ja teenusepakkujate juurest võõrastesse kätesse jõudnud andmetest. Ebamugav teadmine? Kindlasti. Loodetavasti tekitab see aga ka soovi küsida, kas, kes ja mida saab teha, et vältida isikuandmete kuritarvitamise tavapäraseks muutumist.
Peame ise teenuste suhtes nõudlikumad olema
Nagu kõlab kõigile tuttav klišee, algab iga muutus meist endist. Seega on esimene ja kõige olulisem samm see, et meie kui tarbijad ja teenuste kasutajad peame muutma oma suhtumist isikuandmetesse.
Endale kallite väärisesemete eest on meil ju kombeks vääriliselt hoolt kanda ja neid mitte pargipingile vedelema või iga vastutulija kätte hoiule usaldada. Isikuandmeidki peame hakkama samal moel väärtustama. Peame mõistma, et isikuandmed on hinnaline ressurss, vara ja osa meie identiteedist.
Teisalt on meil argiolukorras tavaliste klientide ja teenuste kasutajatena sageli peaaegu võimatu täpselt mõista, kui turvaline siis mõni “vastutulija” ehk konkreetne teenusepakkuja koos oma personali, protsesside ja infosüsteemidega on.
Tõsi, mõnikord (avaliku sektori teenuste puhul) pole meil tegelikkuses valikuvõimalust. Kohati ei pööra me sellele ise piisavalt tähelepanu või eeldame (ennatlikult) mõne teenusepakkuja turvalisust, näiteks tema pika tegutsemisaja või teenuste mahtude tõttu. Siin aitab ühelt poolt oskus märgata nn tüüpilisi häirekellasid, mis viitavad sageli just nimelt sellele, et ettevõtjal ei ole andmekaitse ja infoturbe alase baashügieeniga seonduvalt kõik korras.
Üheks häirekellaks võib pidada näiteks ülemääraste andmete kogumist. Kas olete näiteks kunagi mõnest e-poest pakiautomaati kaupa tellides mõelnud, miks on tingimata vaja tellimusse ka oma kodune aadress lisada? Teiseks näiteks sagedasest häirekellast võib pidada teenuseosutaja üleolevat suhtumist andmekaitsealaste küsimuste esitamisse.
Küsimuste küsimine tuleb andmekaitsevaldkonnas normaliseerida. Ebaselguse või kahtluse korral ei tasu kliendil langeda eestlaslikku enesetsensuuri küüsi, vaid hoopis vastupidi, täiesti aktsepteeritav on küsida, kust on teenusepakkuja saanud kliendi kontaktandmed, kus ja kuidas andmeid hoitakse ja mis neist pärast kliendisuhte lõppemist edasi saab. Õigustatud küsimusi esitav klient ei ole tüütu anomaalia, vaid teadlikke valikuid langetav ning väärtuslik partner.
Andmekaitse teisejärguliseks teemaks pidamine maksab kätte
Andmekaitsealaste möödalaskmiste tagajärgedest rääkides kaldub vestlus sageli koheselt nn GDPR-i hiigeltrahvide teemale. Potentsiaalselt miljonitesse eurodesse ulatuvad trahvid ja asjaolu, et Eestis neid seni märkimisväärsel kujul määratud ei ole (nagu ka selle trendi potentsiaalne peatne muutumine), on ajakirjanduses põhjalikku kajastamist leidnud.
Olenemata praegu ja tulevikus määratavatest trahvidest ning nende suurusest on andmeleketel siiski alati mõju teenusepakkuja konkurentsivõimele ja mainele. Teisisõnu võib “köie lohiseda laskmine” maksta kätte trahvi kujul, kuid kindlasti maksab see kätte klientide usalduse kaotamise näol. Usaldus on teatavasti kõrgväärtuslik valuuta ja sellegi võib kulude ja tulude kontekstis matemaatilise näpuosavusega hõlpsasti rahanumbriteks, näiteks potentsiaalselt saamata jäävaks tuluks teisendada.
Samal ajal on oluline mõista, et praeguses tehnoloogilises reaalsuses ei ole iga andmeleke kindlasti lohakuse või tegevusetuse tagajärg.
Kui andmetöötleja on end nõuetega kurssi viinud, mõistlikul viisil turvameetmeid rakendanud ning valinud IT‑partneriteks usaldusväärsed ja hea renomeega teenuseosutajad, on eduka andmevarguse näol tegemist mõistlikult hallatud, et mitte öelda paratamatu jääkriski realiseerumisega, millele ei peagi järgnema samasugune sanktsioon kui põhimõttelistele vajakajäämistele.
Seda, kas tegemist oli lohakuse või mõistlikult hallatud riskiga ning kas sama mõistvaks jäävad ka andmelekke ohvriks langenud kliendid, näitab iga juhtumi korral aeg.
Väärib siiski esiletõstmist, et üks asi, mida iga organisatsioon saab teha ja mida tasub tõsiselt kaaluda, on andmekaitsespetsialisti määramise (või sellise teenuse väljasttellimise) võimalus. Kuigi kõigil teenusepakkujatel sellist kohustust ei ole ja kahtlemata kaasneb andmekaitsespetsialisti – nagu iga teisegi töötaja – töölevõtmisega teatav kulu, on andmekaitsespetsialist justkui organisatsiooni sisemine, koostööle orienteeritud järelevalveüksus, kes aitab sageli tuvastada ja hallata olulisi riske juba enne nende realiseerumist.
Järelevalve fookus tuleks suunata peamistele valupunktidele
Andmekaitsealaste nõuete tõsiseltvõetavuse juures mängib kahtlemata rolli ka andmekaitse inspektsiooni (AKI) käitumine nii turuseire kui ka intsidentidele reageerimise kontekstis. Seejuures ei saa mööda vaadata asjaolust, et nagu iga järelevalveasutuse puhul, on ka AKI ressursid piiratud ja tööpõld lai.
Kuna AKI ei saa olla üheaegselt alati ja igal pool, tõusetub praktikas (kuigi ühegi õigusaktist tuleneva nõude täitmisest ei saa mööda vaadata), vältimatult küsimus, mis on valupunktid, millele tuleks mingil perioodil järelevalve põhifookus suunata. Näiteks on ju kahtlemata oluline, et igas toidupoes oleks õiges kohas üleval nõuetekohane videovalve teavitussilt, aga ilmselt ei ole see küsimus peamiste murekohtade edetabelis siiski poodiumikohal.
Viimastel aastatel meediakünnise ületanud intsidendid näitavad, et andmelekete algpõhjusteks on suuresti hoopis lähenemine koostöösuhetele ja tugiteenuste väljasttellimisele (ingl.k vendor management & outsourcing). Just selles valdkonnas oleks järelevalvetegevustest saadav mõju tõenäoliselt kõige suurem. Ühtlasi on siin näha olulist ja püsivat koostöökohta AKI ja Riigi Infosüsteemi Ameti vahel.