Rikkumisteadete arv kasvas

Andmekaitse Inspektsioon sai 2020. aastal 138 rikkumisteadet, mida oli aasta varasema ajaga võrreldes 20% rohkem. Kõige enam sisaldasid teated infot inimeste tähelepanematusest, lohakusest, teadmatusest põhjustatud eksimustest, kuid teavitati ka tarkvaravigadest põhjustatud rikkumistest ja kavatsetud pahatahtlikest tegevusest kliendiandmebaasidega ning paraku ka jätkuvalt õngitsuskirjadest ja lunavararünnetest.

Veerand kõikidest inspektsioonile tehtud rikkumisteadetest olid seotud õngituskirjade või lunavaranõuete tagajärgedega. Õngituskirjade rünnetest anti kõige rohkem teada erasektorist. Lunavararünnetest teatasid nii avaliku kui erasektori andmetöötlejad. 138-st rikkumisest 54 ehk 39% puudutas avalikku sektorit. Tarkvaravea või rikke tõttu sai inspektsioon möödunud aastal rikkumisteateid ligikaudu paarikümnel korral. Näiteks registreeriti rikkumisena selline juhtum, kui inimesed said e-postidele teenuseosutaja otsuse, mis tegelikult oli kellelegi teisele mõeldud. Juhtus see aga selle tõttu, et automaatotsuse süsteemi tekkis info sisestamisega viga ja otsus saadeti seetõttu välja sadadele e-posti aadressidele, mis olid valed. See viga avastati ise ja rikkumine lõpetati kiiresti ilma inspektsiooni sekkumiseta.

Tarkvaralised intsidendid avalduvad teinekord ka täiesti ettenägematute asjaolude kokkulangemisel. Näiteks koges kaubandusettevõte juhtumit, mille põhjustas kahe erineva inimese samaaegne lojaalsusprogrammi lepingute allkirjastamine ettevõtte e-teeninduses. Ettevõtte infosüsteem tõlgendas seda aga kui ühte toimingut ja salvestas ainult ühe inimese lepingu, kuid mõlema inimese kliendiprofiili. Selle tulemusel said ühe inimese andmed kättesaadavaks ta teisele isikule. Tehnilisi probleeme tuli ette nii avalikus kui erasektoris. Samuti registreeris inspektsioon juhtumeid, kus põhjuseks oli nõrk või aegunud turvalahendus. Näiteks oli võimalik kolleegi parooli teades pääseda infosüsteemi ilma, et jääks jälg maha reaalsest andmete vaatajast. Ühel juhul pääses pahalane ligi haridusasutuse infosüsteemi, kuna rakendamata oli VPN ühendus.


Kõige arvukamalt anti teada juhtumitest, mis oleks võinud ära jääda, kui töötaja oleks tähelepanelikum ja hoolikam.


Selliseid intsidente oli üle poole kõikidest rikkumisteadetest. Kahetsusväärselt palju juhtus inimlikke vigu avalikus sektoris ja seda veebiteenuste või dokumendiregistritega, kus jäetakse tundlikku sisu sisaldav dokument avalikuks või kättesaadavaks inimestele, kellele ei oleks tohtinud info olla kättesaadav.
Nii era- kui avalikus sektoris esines juhtumeid, kus telefoni teel väljastati teavet vale isiku kohta. Põhjuseks mitte piisav helistaja isikusamasuse tõendamine. Varasematest aastatest rohkematel kordadel teavitati möödunud aastal kliendiandmebaasi vargustest. Kõiki juhtumeid ühendas seik, et kliendiandmebaasid kopeeriti infosüsteemist kaasa uue töökoha jaoks. Kas mindi teise tööandja juurde või alustati ise samalaadse teenuse osutamist.

Valdkonnapõhiselt juhtus kõige sagedamini intsidente tervishoius, sotsiaalvaldkonnas ning finantssektoris. Kindlasti ei anna see üldistus teada kõige probleemsematest andmetöötlejatest. Pigem kõneleb see vastutustundlikust käitumisest ja suuremast teadlikkusest. Andmekaitselise rikkumise registreerimine ja teatud juhtudel inspektsiooni teavitamine on iga andmetöötleja kohus, kui tagajärjeks on tõenäoline oht inimese õigustele ja vabadustele. Info tuleb anda inspektsioonile 72 tunni jooksul peale intsidendi toimumist. Suure ohu korral peab andmetöötleja teavitama ka puudutatud inimesi.

Inspektsioon algatas järelevalvemenetluse registreeritud rikkumisteadete peale ligikaudu ühel kolmandikul juhtumitest, et selgitada välja asjaolud ning ära hoida samalaadseid intsidente tulevikus.