Tietosuojavaltuutetun toimistosta kerrotaan, että psykoterapiapalveluita tarjonneen Vastaamo-yrityksen tietomurto voi poikia seuraamuksia yhtiölle, jos näiden tietoturvassa paljastuu puutteita.
Psykoterapiakeskus Vastaamo on vakavan kiristyksen kohteena. Kiristäjä on julkaissut jo sadan yrityksen asiakkaan potilastietoja. Lisäksi kiristäjällä on hallussaan omien sanojensa mukaan kymmeniä tuhansia potilastietoja, joita hän voi yhä julkaista. Tiedot ovat todella arkaluontoisia. Niistä ilmenee esimerkiksi potilaiden terapeuteilleen kertomia asioita. Lisäksi tiedoista selviää asiakkaiden nimiä, osoitteita, puhelinnumeroita ja henkilötunnuksia.
Apulaistietosuojavaltuutettu Jari Råman kertoo, että potilastiedot ovat arkaluontoisia tietoja, joilla voi olla hyvin merkittäviä vaikutuksia henkilön tilanteeseen, jos ne joutuvat vääriin käsiin.
– Tietojen arkaluonteisuuden suhteen terveystiedot ovat ihan kärjessä. Ne menevät syvälle henkilöön. Varisinkin tämän tapauksen kaltaiset tiedot. Myös pelkkä tieto siitä, että potilastiedot ovat vuotaneet aiheuttaa merkittävää henkistä kärsimystä, hän sanoo.
– Seurauksena voi olla mainehaittaa. Voi myös joutua kiusaamisen tai kiristyksen kohteeksi. Muitakin haittoja voi olla.
Lue myös: Psykoterapiakeskus joutui tietomurron ja kiristyksen uhriksi – "Asiakkaidemme luottamuksellisia tietoja on vuotanut"
Yritys voi joutua vastuuseen – rangaistuksen koko skaala voi olla käytössä
Råmanin mukaan potilasrekisteriä ylläpitävällä yrityksellä on vastuu suojata tiedot suhteessa riskitasoon, joka tietojen käsittelyssä syntyy. Yrityksen pitää siis investoida ja toimia sen mukaan, että tiedot ovat riittävästi suojattu.
– Heillä on täysi vastuu, jos suojaustoimenpiteet eivät ole olleet riittävät. Tässä tapauksessa ne tulevat myöhemmin arvioitavaksi, hän sanoo.
Seuraukset voivat olla Råmanin mukaan vakavat, mutta kuitenkin aina tapauskohtaiset.
– Tietosuojaviranomaisen toimesta voidaan mennä aina hallinnollisiin seuraamuksiin ja maksuihin saakka. Skaala on sinällään kokonaan käytössä, riippuen siitä, onko tietoturvassa ollut puutteita, hän sanoo
Ensisijaisesti tietosuojavaltuutetun virasto pyrkii käsittelemään asiaa sen suhteen, miten asiasta ilmoitetaan rekisteröidyille. Asia selviää lähipäivinä.
– Seuraavaksi rekisterinpitoa selvitetään laajemmin, mutta poliisi tutkii asiaa ensin esitutkinnassa. Teemme heidän kanssaan yhteistyötä. Rekisterin pitäjällä on myös velvollisuus informoida rekisteriin kuuluvia tietoturvaloukkauksesta muutenkin kuin vain nettisivullaan, hän sanoo.
MTV Uutiset uutisoi tänään Vastaamon asiakkailleen lähettämästä sähköpostista, jossa se kertoo tapahtuneesta tietomurrosta.
Lue myös: Tällaisen viestin tietomurron ja kiristyksen kohteeksi joutunut Vastaamo lähetti terapia-asiakkailleen – tee näin, jos tietosi leviävät netissä
Hakkeri väittää tietokannan olleen suojaton
Hakkeri itse kertoi nettisivustolla tietomurron Vastaamon tietokantaan onnistuneen varsin helposti tiettyjä oletusasetuksia hyödyntämällä. Myös MTV Uutiset on haastatellut rikollista sähköpostitse.
– Minulla ei ole tarkkoja tietoja tästä tapauksesta, mutta jos tietokantapalvelin on ollut auki internetin suuntaan, kuulostaa uskottavalta murtautumistavalta, Kyberturvallisuuskeskuksen erityisasiantuntija Perttu Halonen sanoo.
Vastaamon hallituksen puheenjohtajan Tuomas Kahrin mukaan asiasta on käynnissä rikostutkinta, ja siksi hän ei voi ottaa murtautumistapaan tarkemmin kantaa.
– Vastaamon tietojärjestelmiä on tarkistettu, ne ovat vahvasti suojattu ja niiden käyttöä valvotaan tehostetusti tietoturva-ammattilaisten toimesta. Teemme kaikkemme selvittääksemme tapahtunutta ja pyrimme yhteistyössä viranomaisten kanssa estämään luottamuksellisten tietojen leviämistä, hän sanoo.
Tietoturva-asiat ovat tuskin olleet täysin tuntemattomia yrityksessä, sillä Vastaamon toimitusjohtajalla Ville Tapiolla oli 15 vuoden kokemus ohjelmistoalalta ennen kuin hän siirtyi Vastaamon toimitusjohtajaksi vuonna 2013.