Andmekaitse Inspektsioonile esitatud isikuandmetega seotud rikkumisteavitused annavad hea ülevaate sellest, milliste riskidega andmetöötlejad praktikas kokku puutuvad ning millised probleemikohad on püsivad. Rikkumisteated laekusid väga erinevatest valdkondadest ning hõlmasid nii üksikjuhtumeid kui ka väga suure mõjuga intsidente, kus puudutatud oli sadu tuhandeid inimesi.
2025. aastal oli edastatud teavituste arv alates 2018. maist seni suurim. Võrreldes 2024. aastaga oli kasv ca kolmandik - 184 teavitust 2024 vs 251 teavitust 2025.
Kõige sagedamini esines inimlikke eksimusi (nt valele adressaadile saatmine, andmete ekslik avaldamine). Sellele järgnesid hooletus ja tehnilised vead (sh süsteemide vale seadistamine, ebapiisavad kontrollmehhanismid). Eraldi grupi moodustasid õiguste väärkasutused ja turvanõrkused, sealhulgas küberintsidendid.
See kinnitab, et kuigi tehnoloogilised lahendused on olulised, on organisatsioonikultuuril, töötajate teadlikkusel ja ligipääsuhaldusel jätkuvalt suur roll.
Valdav osa rikkumisi puudutas üksikuid nn tavalisi isikuandmeid nagu inimese nimi, e-posti aadress või telefoninumber. Mitmel juhul olid ohus aga ka suuremad andmekogumid või potentsiaalselt tundlikud andmed. Sageli ilmneb, et rikkumised ei ole põhjustatud pahatahtlikkusest, vaid ebaadekvaatsest riskihindamisest, protsesside puudulikkusest või muudatuste (nt personali vahetus, IT-arendused) ebapiisavast juhtimisest.
Märkimisväärne on ka see, et mitu rikkumist avastati alles tagantjärele – kas kolmandate isikute teavituste, auditite või juhuslike avastuste käigus. See viitab vajadusele paremate seire- ja logimislahenduste järele.
Näiteks tuvastas IT-audiitor ühes riigi äriühingus, et ettevõtte eri infosüsteemide testandmebaasides on kasutusel töötajate pärisandmed.
Riigiasutus edastas seadistusvea tõttu teise asutuse andmekogu testkeskkonda andmeid, mis pidanuks jõudma päris andmekogusse.
Mitu andmeleket leidis aset eri majutusasutustes. Ühel juhul kasutas ründaja ära VPN-teenuse turvanõrkust. Teiste puhul oli põhjuseks turvanõrkus broneerimisteenust osutava ettevõtte infosüsteemis. Majutusasutuses broneeringu teinud inimestele hakati saatma õngitsuskirju, milles paluti broneeringu kehtivuse kinnitamiseks täiendavalt maksevahendi andmed sisestada.
Reisijavedu korraldava ettevõtte töötaja langes õngitsuskirja ohvriks, sisestades kirjas olnud petulingile enda tööprofiili sisselogimisandmed. Kuna ettevõttes oli kasutusel SSO (single sign-on), sai ründaja automaatselt juurdepääsu ettevõtte mitmele infosüsteemile.
Seda, et ka paberdokumentide kaitsmisel tuleb jätkuvalt hoolas olla, ilmestab järgmine näide. Haigla toidujagamiskärus oli tasku, kus hoiti paberkandjal patsientide toidunäidustusi koos põgusa terviseinfoga – kas patsient on näiteks vaegkuulja või motoorse häirega. Ühel patsiendil õnnestus see paber enda valdusesse saada ning ta tegi sellest telefoniga pildi.
Kokkuvõtvalt näitavad 2025. aasta rikkumisteated, et isikuandmete kaitse suurimad riskid ei tulene üksnes keerukatest küberohtudest, vaid sageli igapäevastest tööpraktikatest, inimlikest eksimustest ja puudulikest protsessidest. Tõhus andmekaitse eeldab lisaks tehnilistele meetmetele ka teadlikke töötajaid, läbimõeldud sisekordi ning pidevat järelevalvet. Andmekaitse Inspektsioonile esitatud rikkumisteated annavad väärtusliku sisendi ennetustegevuste kavandamisele ja andmetöötlejate teadlikkuse kasvatamisele.
- Kommenteerimiseks logi sisse või registreeru