Vastaamon ex-toimitusjohtajalle kolme kuukautta ehdollista vankeutta – tuskin tyytyy tuomioon

Käräjäoikeus tuomitsi Ville Tapion kolmen kuukauden ehdolliseen vankeuteen.

Oikeuden mukaan Vastaamon potilastietokantaan oli tallennettu asiakkaiden henkilötietoja ja käyntimerkintöjä selkokielisinä ilman riittävää salausta. Tiedot olivat myös sellaisessa muodossa, että ne olivat yhdistettävissä toisiinsa, oikeus sanoo.

Tapio kiisti syytteen oikeudessa. Hän aikoo hyvin todennäköisesti valittaa tuomiostaan.

Lue myös: Vastaamon entinen IT-työntekijä: Jos jotain ei tehty kunnolla, niin se oli tietoturva

–  Tapio on pettynyt tuomioon sikäli, kun käräjäoikeus on katsonut, että hän olisi laiminlyönyt GDPR:n (EU:n tietosuoja-asetuksen) mukaista velvoitetta henkilötietojen pseudonymisoinnista ja salaamisesta. Tältä osin meidän näkemyksemme mukaan oikeuden ratkaisu oli hieman yllättävä, koska kyseessä ei ole ollut pakottava velvoite, Tapion asianajaja Liina Kokko sanoi STT:lle.

Kokon mukaan henkilötiedot oli Vastaamossa pseudonymisoitu tietokantataulujen tasolla ja tietoliikenne oli salattu.

–  Erimielisyytemme syyttäjien kanssa on koskenut sitä, onko se ollut riittävää vai ei -- tähän asiaan liittyy tulkinnanvaraisia kysymyksiä ja hyvin suurella todennäköisyydellä Tapio tulee hakemaan tähän hovioikeuden kannanottoa.

Lue myös: KRP:n esitutkintamateriaali: Vastaamon potilastietokannan salasana oli 7 merkkiä pitkä, selkokielinen ja käytössä vuodesta 2012

Syyttäjäkin harkitsee valittamista

Myös syyttäjäpuoli harkitsee valittamista. Syyttäjä Pasi Vainio sanoi, että syyttäjät ovat erimielisiä käräjäoikeuden kanssa ainakin siitä, miten oikeus oli arvioinut syytteen osatekojen vanhentumista.

–  (Vastaamon tietoturvan) turvallisuuteen tai sen laiminlyönnin arviointiin ei päästy, kun oikeus oli katsonut vanhentumista näin. Meillä on siitä eri käsitys ja sen osalta mietimme valituksen jättämistä hovioikeuteen, Vainio kertoi.

Syyttäjä lähti siitä, että Vastaamoon kohdistui kaksi tietomurtoa, yksi vuonna 2018 ja toinen maaliskuussa 2019. Viranomaiset ovat epäilleet, että vuonna 2018 tehdyssä murrossa vietiin potilastiedot, joilla asiakkaita myöhemmin kiristettiin. Syyttäjän mukaan Vastaamossa ei oltu tästä murrosta tietoisia.

Lue myös: Poliisi kertoo MTV:lle, miten iso takavarikko Tuusulassa paljasti Vastaamo-jutun pääepäillyn – tietomurtajaa vastaan on vahvaa näyttöä

Tapion syytteessä oli kyse maaliskuun 2019 tietomurrosta ja sen jälkeisestä ajasta lokakuuhun 2020 asti.

Myös käräjäoikeus katsoi, että kiristykseen käytetyt henkilötiedot vietiin todennäköisimmin jo vuonna 2018. Oikeuden mukaan potilastietojärjestelmää ei ollut silloin pseudonymisoitu eikä salattu, eikä näin ollut tehty myöskään maaliskuun 2019 tietomurron jälkeen.

Vastaamoon kohdistunut epäilty törkeä tietomurto on vielä esitutkinnassa. Siitä epäiltynä on vangittu 25-vuotias mies.

Juttua ja otsikkoa on päivitetty uusilla tiedoilla 18.4. klo 13.41 ja 16.27.