Psykoterapiakeskus Vastaamolle 608 000 euron seuraamusmaksu tietosuoja-asetuksen rikkomisesta – laiminlyöntejä pidetään erittäin vakavina

Apulaistietosuojavaltuutettu antoi Vastaamolle myös huomautuksen tietosuoja-asetuksen rikkomisesta.

Tietosuojavaltuutetun toimiston tiedotteen mukaan Vastaamo on laiminlyönyt sekä henkilötietojen turvalliseen käsittelyyn sekä tietoturvaloukkauksesta ilmoittamiseen liittyviä velvollisuuksiaan.

Laiminlyöntejä pidetään erittäin vakavina.

– Huolimattomuutta tietojen suojauksessa voidaan pitää törkeänä. Lisäksi rikkomukset ovat olleet pitkäkestoisia.

Vastaamo asetettiin konkurssiin helmikuussa

Vastaamo oli yksi Suomen suurimmista psykoterapiapalvelujen tarjoajista.

Viime vuoden lokakuussa se kertoi joutuneensa tietomurron ja kiristyksen kohteeksi. Tietomurrossa vietyjä, arkaluontoisia asiakastietoja on julkaistu netissä, ja asiakkaille on lähetetty kiristysviestejä.

Vastaamo asetettiin konkurssiin Helsingin käräjäoikeuden päätöksellä helmikuussa 2021.

Lue myös: Uutta tietoa Vastaamon tietomurrosta: Merkittävin tutkintalinja johtaa "Euroopan ulkopuolelle" – uhreja kuullaan sähköisesti

Tietoturvaloukkauksesta olisi tullut ilmoittaa havaitsemisen jälkeen

Tietoturvayhtiö Nixun lokakuussa 2020 valmistuneen teknisen tutkinnan perusteella ulkopuolinen taho pääsi kirjautumaan Vastaamon potilastietokantaan luvatta ainakin kaksi kertaa, joulukuussa 2018 ja maaliskuussa 2019.

Apulaistietosuojavaltuutetun mukaan Vastaamon oli täytynyt olla jo maaliskuussa 2019 tietoinen siitä, että potilastietojärjestelmän tiedot ovat hävinneet ja saattaneet joutua ulkopuolisen hyökkääjän haltuun.

Yritys kuitenkin viivytteli asiasta tiedottamisesta niin viranomaisille kuin asiakkaille.

– Vastaamon olisi tullut ilmoittaa tietoturvaloukkauksesta sekä tietosuojavaltuutetulle että asiakkailleen viivytyksettä, sillä loukkaus on aiheuttanut rekisteröidyille korkean riskin, apulaistietosuojavaltuutettu totesi.

Lue myös: Vastaamo-uhri Jenny Rostain kertoo nyt yli vuoden kestäneestä piinasta – "Tiettyä osaa yksityisyydestäni ei enää ole"

Lisäksi Nixun teknisen tutkinnan mukaan Vastaamon potilastietojärjestelmän palvelimen ylläpidossa ei noudatettu turvallisen palvelun ylläpidon parhaita käytäntöjä ja suojausmenetelmiä, mikä on altistanut palvelimen verkkohyökkäyksille.

Seuraamuskollegio piti laiminlyöntejä erittäin vakavina ja Vastaamon menettelyä ilmoitusvelvollisuuden laiminlyönnissä tahallisena.

Kollegion mukaan asianmukaisesta turvallisuudesta huolehtiminen ei olisi vaatinut Vastaamolta kohtuuttomia toimenpiteitä ottaen huomioon esimerkiksi ne riskit, jotka asiakkaille asiasta aiheutuivat.

KRP kertoi lokakuussa edenneensä jutun tutkinnassaKeskurikospoliisi (KRP) mukaan noin 22 000 ihmistä on tehnyt rikosilmoituksen tietomurtoon liittyen.

Lue myös: Yle: Yksityishenkilö voi saada enintään 2500 euroa vahingonkorvauksia Vastaamon tietomurrosta

KRP tutkii asiassa törkeää tietomurtoa, törkeää kiristystä ja törkeää yksityiselämää loukkaavan tiedon levittämistä. Tutkinnasta tekevät erityisen haastavaa nettirikollisuuden globaali luonne ja tutkittavana olevan aineiston laajuus.

KRP kertoi lokakuussa edistyneensä merkittävästi Vastaamon tietomurron tutkinnassa. KRP:n mukaan tutkinnassa on vahvistunut "kiinnostava tutkintalinja", joka suuntautuu Euroopan ulkopuolelle.

Lue myös: Vastaamon tietomurto toi uuteen asiakastietolakiin useita kiristyksiä potilastietojärjestelmille