Andmekaitse Inspektsiooni logo

Andmeturve

Andmeturve (sageli kasutatakse ka sünonüümi infoturve) on tegevuste, meetmete ja põhimõtete kogum, mille eesmärk on kaitsta andmeid ja infosüsteeme volitamata juurdepääsu, kasutamise, avalikustamise, muutmise, hävitamise või kahjustamise eest.

Lihtsamalt öeldes tähendab andmeturve andmete kaitsmist igasuguste ohtude eest, olenemata sellest, kas andmed on digitaalsel kujul (arvutis, serveris, pilves), paberkandjal (dokumentides, väljatrükkides) või isegi suulisel kujul edastatud.

Andmeturbe eesmärgid

  • Konfidentsiaalsus: Tagada, et andmetele ja andmetöötlusseadmetele pääsevad juurde ainult selleks volitatud isikud, vältides kõrvaliste isikute ligipääsu ja andmete omavolilist lugemist või kopeerimist.
  • Terviklus ja autentsus: Tagada, et andmed pärinevad autentsest allikast ning neid ei ole volituseta muudetud ega kustutatud. Andmete muudatused peavad olema tuvastatavad.
  • Käideldavus: Tagada, et andmed on õigeaegselt ja hõlpsasti kättesaadavad isikutele, kellel on selleks luba ja vajadus.
  • Pääsuõiguste haldus: Tagada, et igaühel on juurdepääs üksnes nendele andmetele ja töötlemisviisidele, mis on talle lubatud.
  • Jälgitavus ja vastutus: Tagada, et tagantjärgi on võimalik tuvastada, kes, millal ja millele juurde pääses, andmeid salvestas, muutis, kustutas või edastas, ning miks seda tehti.
  • Korralduslikud : Kujundada töökorraldus ja protsessid nii, et need toetaksid andmekaitse nõuete täitmist ja andmeturbe eesmärkide saavutamist.
  • Personali teadlikkus: Tagada oma alluvuses isikuandmeid töötlevatele isikutele kohane väljaõpe ja teadlikkus andmeturbe põhimõtetest ning nõuetest.

Andmeturbe regulatsioonid ja standardid

Andmekaitseõiguses on andmeturbekorraldus jäetud pigem üldiseks ja lähtub andmekaitseriskide hindamisest. Sobiva andmeturbe raamistiku rakendamine on iga andmetöötleja otsus, kuid isikuandmete puhul tuleb lähtuda kolmest põhilisest normist.

Isikuandmete kaitse üldmääruse (IKÜM) artikkel 5 lg 1 p f sätestab turvalisuse põhimõtte, mis sätestab, et isikuandmeid tuleb töödelda viisil, mis tagab nende asjakohase turvalisuse, kasutades asjakohaseid tehnilisi ja korralduslikke meetmeid.

Turvalisuse põhimõtet täiendab IKÜM artikkel 32, mis sätestab turvalisuse eesmärgid. Näiteks tuleb tagada isikuandmeid töötlevate süsteemide ja teenuste kestev konfidentsiaalsus, terviklus, kättesaadavus ja vastupidavus. Tuleb tagada võimekus taastada õigeaegselt isikuandmete kättesaadavus ja juurdepääs andmetele füüsilise või tehnilise vahejuhtumi korral (nt ka varukoopiate pidamine). Samuti peab andmetöötleja kirjeldama reeglid turvameetmete korrapäraseks testimiseks ja hindamiseks.

IKÜM artikkel 25 rõhutab vajadust lõimida andmekaitse meetmed igasse etappi andmetöötlusprotsessis. See hõlmab tehniliste ja korralduslike meetmete rakendamist, et tagada, et isikuandmeid töödeldakse vaikimisi ainult vajalikus ulatuses ning vastavalt konkreetsele eesmärgile.

Praktilised meetmed andmeturbe tagamiseks

Andmeturve ei ole ainult tehniline küsimus – see on iga organisatsiooni usaldusväärsuse alus. Klientide, töötajate ja partnerite isikuandmete kaitsmine aitab ennetada rikkumisi, vältida trahve ja hoida head mainet.

Siin on praktilised sammud, mida saad kohe rakendada:

Organisatoorsed meetmed

Andmekaitse- ja infoturbepoliitika – loo selged reeglid ja protseduurid, mis määravad, kuidas isikuandmeid töödeldakse ja infot kaitstakse.

Rollid ja vastutusalad – määra vastutajad, nende ülesanded ja asendamise kord. Tee partneritega lepingud, kus on andmetöötluse tingimused ja turvameetmed selgelt kirjas.

Infovarade kaardistus – kaardista kõik olulised andmed, seadmed ja tarkvara ning dokumenteeri need.

Töötajate väljaõpe – koolita regulaarselt kõiki töötajaid, kes puutuvad kokku isikuandmetega, ja tõsta nende teadlikkust.

Liitumise ja lahkumise protsessid – kirjelda sammud uute töötajate liitumisel ja lahkumisel, sh ligipääsude andmine ja eemaldamine.

Konfidentsiaalsuslepingud – sõlmi vajadusel töötajate ja partneritega.

Pääsuõiguste haldus – anna ligipääs ainult neile, kes seda vajavad, ja kontrolli õiguseid regulaarselt.

Külastusreeglid – kehtesta reeglid külastajate vastuvõtmiseks.

Varundus ja taaste – loo ja testi andmete varundamise ning taastamise protseduure.

Füüsilised meetmed

Juurdepääsu piiramine – välista kõrvaliste isikute ligipääs ruumidesse ja seadmetele, kus töödeldakse isikuandmeid.

Signalisatsioon ja valve – kasuta turva- ja tulekahjusignaale ning vajadusel videovalvet.

Ruumipääs – kasuta lukke, magnet- või kiipkaarte ning halda ligipääsuõigusi.

Sissemurdmiskaitse – tugevda uksi, aknaid ja muid sissepääse.

Seadmete kaitse – hoia seadmed kaitstuna tule, vee ja voolukõikumiste eest.

Töökoha paigutus ja ekraanikaitse – paiguta töökohad nii, et kõrvalised isikud ei näeks tundlikku infot; kasuta ekraanikaitseid.

Andmekandjate kaitse ja hävitamine – hoia andmekandjad turvaliselt ja hävita need pöördumatult, kui neid enam ei kasutata.

Külastajate registreerimine – registreeri ja jälgi külastajate liikumist ning piira nende ligipääsu.

Infotehnilised meetmed

Identiteedihaldus ja autentimine – kasuta tugevaid paroole ja mitmikautentimist (ID-kaart, Mobiil-Id, Smart-ID, MFA).

Minimaalne ligipääs – anna kasutajatele vaid vajalikud õigused.

Viirusetõrje ja tulemüürid – rakenda kaasaegseid lahendusi kõigis seadmetes ja võrkudes.

Kaugjuurdepääsude turvalisus – kaitse VPN- ja RDP-ühendusi, sulge mittevajalikud ligipääsud.

Regulaarsed varukoopiad – tee varukoopiaid ja hoia neid turvaliselt, sh offline ja eraldiseisvalt reaalandmetest   .

Logimine ja monitooring – jälgi süsteemide tegevusi ja tuvasta anomaaliaid (nt SIEM-lahendustega).

Tarkvarauuendused ja turvapaigad – uuenda süsteeme ja rakendusi regulaarselt.

Pilveteenuste turvalisus – veendu, et teenusepakkuja vastab sinu organisatsiooni kehtestatud turvanõuetele.

Andmete krüpteerimine – krüpteeri tundlikud andmed nii edastamisel kui salvestamisel.

Turvaline paroolihaldus – kasuta räsimist ja soolamist, ära hoia paroole avatud tekstina.

Küpsiste ja jälgimispikslite haldus – küsi korrektselt nõusolekut ja võimalda kasutajatel lihtsalt loobuda.

Auditid ja testimine – korralda regulaarselt turvaauditeid ja haavatavusteste.

Aus ja läbipaistev veebidisain – väldi tumedaid mustreid, mis eksitavad või raskendavad privaatsuseelistuste muutmist.

  • Õiguskaitseasutuste puhul tuleb enamikel juhtudel kohaldada isikuandmete kaitse seadust (IKS § 12 jj).
  • Eesti infoturbestandard (E-ITS) esitab nõuded ja juhiseid organisatsiooni infoturbe halduse süsteemidele. Küberturvalisuse seadus sätestab, kellel on kohustus rakendada E-ITS-i.
  • Rahvusvaheliselt on tuntum standard ISO 27001 infoturbe juhtimissüsteem.

Tasub meeles pidada, et ei ole universaalset andmeturbestandardit, mis sobiks kõigile andmetöötlejatele. Iga organisatsioon peab alati lähtuvalt oma andmekaitseriskidest kaardistama sobivaimad meetmed andmeturbe tagamiseks.

Andmeturbe soovitused e-poodidele | Andmekaitse Inspektsioon

Loe inspektsiooni kvartaalseid ülevaateid isikuandmetega seotud rikkumiste kohta AKI uudiskirjast.

Kuula ka AKI andmehäälingu episoode, mis käsitlevad andmeturbe teemasid oma ala ekspertidega.

Mida teeme meie andmeturbe alal?

  • kontrollime andmeturvet järelevalvemenetluses, sh seireid ja auditeid tehes;
  • vaatame eelkonsulteerimise raames läbi esitatud andmekaitsealaseid mõjuhinnanguid;
  • hindame andmeturvet avaliku sektori andmekogude kooskõlastamisel ning teenuste kasutuselevõtul;
  • sanktsioneerime isikuandmete ebaturvalise töötlemise eest, samuti juurdepääsupiiranguga avaliku teabe väljastamise eest;
  • koolitame asutusi isikuandmete turvalise töötlemise teemal.

Andmeturvet korraldab ja järelevalvet teeb avaliku teabe seaduse ning hädaolukorra seaduse ning küberturvalisuse seaduse alusel ka Riigi Infosüsteemi Amet.

Last updated: 28.10.2025