Psykoterapiakeskus Vastaamon tietomurron uhrit voivat vaatia Vastaamolta vahingonkorvauksia, jos se on laiminlyönyt tietoturvaan ja henkilötietoihin liittyviä velvollisuuksiaan. Myös sairaanhoitopiirit voivat joutua maksumiehiksi, jos sairaanhoitopiiri on ostanut palveluita Vastaamon kautta ja tietoja on vuotanut.
Julkisuudessa ei ole kuitenkaan vielä varmaa tietoa siitä, ovatko Vastaamon tiedot olleet heikosti suojattuja.
Uhrit voivat saada korvausta ensinnäkin siitä, että he ovat tietojen vuotamisen takia joutuneet tekemään esimerkiksi luottokiellon identiteettivarkauksien estämiseksi.
Lue myös: Terapiakeskus Vastaamo ei kerro tietoturvansa aiemmasta tilasta
– Kaikki toimenpiteet, joilla suojataan isompien vahinkojen syntyminen, tulevat periaatteessa korvattavaksi täysimääräisesti, sanoo tietosuojaan erikoistunut asianajaja Jukka Lång asianajotoimisto Dittmar & Indreniukselta.
Uhrit voivat saada vahingonkorvausta myös kärsimyksestä, joita henkilötietojen vuotaminen on aiheuttanut.
– Rekisteröidyllä on oikeus vahingonkorvaukseen teosta, joka on loukannut yksityiselämän suojaa rangaistavaksi säädetyllä teolla, ja sehän on yksityiselämän suojan loukkaus, kun tällaisia tietoja on päätynyt sivullisten käsiin, sanoo Itä-Suomen yliopiston julkisoikeuden professori Tomi Voutilainen.
Voutilaisen mukaan vahingonkorvausta voivat joutua maksamaan yhteisvastuullisesti rekisterinpitäjä ja palveluntuottaja, joka on tapauksesta riippuen joko Vastaamo tai sairaanhoitopiiri. Sairaanhoitopiiri voi joutua maksamaan kärsimyskorvausta potilaille, jos se on ostanut palveluita Vastaamolta, koska sairaanhoitopiiri on näiden tietojen rekisterinpitäjä.
– Jos sairaanhoitopiirit ovat ostaneet Vastaamolta palveluita, heidän vastuullaan on huolehtia, että palveluntuottaja eli Vastaamo on järjestänyt tietoturvallisuustoimenpiteensä siten, että henkilötietojen suoja toteutuu, Voutilainen sanoo.
Långin mukaan korvausta voivat saada myös tietovuodon uhrien läheiset, jos myös nämä kärsivät vahinkoa. Esimerkiksi jos Vastaamon asiakas on kertonut terapeutille arkaluonteisia tietoja äidistään, myös äiti voi saada vahingonkorvauksia, jos tälle on tullut asiasta kärsimystä.
Uhrit voivat hakea lisäksi myöhemmin vahingonkorvausta, jos henkilötietoja aletaan käyttää väärin kuten vaikka pikavippien ottamiseen.
"Digiympäristössä tiedot voivat olla hamaan loppuun saakka"
Voutilaisen mukaan viime vuosina korvaukset ovat nousseet tapauksissa, joissa arkaluonteista tietoa on käsitelty lainvastaisesti. Minimikorvaus on 300 euroa henkilöä kohden, mutta korvaus voi nousta 1 800 euroon tai sen yli.
– Luulisin, että tässä tapauksessa sovelletaan asteikon korkeampaa päätä. Pitäisin poikkeuksellisena, jos se ei olisi 1 800 euroa tai enemmänkin, Voutilainen sanoo.
Långin mukaan myös muualla Euroopassa trendi on ollut, että korvaukset nousevat.
– Digiympäristössä tiedot voivat olla pahimmillaan hamaan loppuun saakka, niin silloin vahingonkorvausta pitäisi pitää tuntuvampana, hän sanoo.
Långin mukaan aiemmat tapaukset Suomessa liittyvät enemmänkin tietojen urkintaan kuin niiden laajaan leviämiseen verkossa. Esimerkiksi poliiseja kävi luvatta katsomassa entisen ammattihiihtäjä Mika Myllylän tietoja, kun tämä oli kuollut.
Tuomioistuinkäsittely voi olla hankala sekä potilaille että rekisterinpitäjälle
Voutilainen sanoo, että vahingonkorvausasiaa ei välttämättä kannata edes lähteä käsittelemään tuomioistuimessa. Hänen mukaansa rekisterinpitäjien kannattaisi ensisijaisesti vain maksaa vahingonkorvaukset ja rekisterinpitäjien kannattaisi sopia keskenään, miten korvaukset yhteisvastuutapauksessa jaetaan.
Långin mukaan tuomioistuinkäsittelystä voi olla haittaa myös niille, joiden tietoja on vuodettu. Lång sanoo, että vaikka arkaluonteiset tiedot olisivat vuotaneet pimeään verkkoon, ne eivät välttämättä tule niin sanotusti yleiseen tietoisuuteen.
– Jos lähtee kantajaksi oikeudenkäyntiin, tulee tavallaan uudelleen julki, että ne tiedot ovat siellä. Vahingonkorvausta ei voi hakea anonyymina.
Korvausoikeudenkäynti on muutoinkin isotöinen, ja siihen voi liittyä myös taloudellinen riski, Lång sanoo.
Suomessa ei ole mahdollistettu ryhmäkannetta tietosuoja-asioissa, vaikka yksittäisten kanteiden yhdistäminen yhdeksi korvausoikeudenkäynniksi onkin mahdollista toteuttaa.
Lue myös: Asiantuntija kertoo: näin helposti Vastaamon tietomurto olisi ollut estettävissä
Tietosuojaviranomainen on ottanut Vastaamon tapauksen viran puolesta käsittelyyn, ja Vastaamolle voi vahingonkorvausten lisäksi tulla hallinnollinen seuraamusmaksu. Hallinnollinen seuraamusmaksu voi olla jopa 20 miljoonaa euroa tai neljä prosenttia globaalista liikevaihdosta, Lång sanoo.
Seuraamusmaksun määrää seuraamuskollegio, joka koostuu tietosuojavaltuutetusta ja kahdesta apulaistietosuojavaltuutetusta.
Kollegio arvioi sakon määräämisen myötä, onko Vastaamo toiminut väärin.
– Jos tämä on hakkerin tietomurto ja tietoja ei ole suojattu oikein, epäilen, että tästä tulee Suomen suurin sakkoratkaisu, Lång sanoo.
Sakolla on myös pelotevaikutus muille tahoille. Långin mukaan sillä halutaan myös osoittaa, että vaikka tietojen suojaaminen ei ole välttämättä helppoa tai halpaa, se on työtä, joka on pakko tehdä.
– Muuten kriittiset ja hyvin tärkeät tiedot joutuvat vääriin käsiin, Lång sanoo.
Sairaanhoitopiireihin ei voi kohdistaa hallinnollista seuraamusmaksua, koska ne ovat viranomaisia. Asiaa voidaan arvioida tarvittaessa vain rikosvastuun kautta.
Tekijän kiinni saaminen on epävarmaa
Aiemmin tällä viikolla on kerrottu, että Vastaamo on ollut tietomurron kohteena ja ainakin osaa asiakasrekisterin tiedoista on levitetty pimeässä verkossa.
Tietojen levittäminen on yksityiselämää koskevan tiedon laitonta levittämistä eli rikos.
Lång pitää epävarmana sitä, että tekijä saataisiin joskus kiinni.
– Keinot tähän ovat valitettavasti hyvin rajalliset, ellei kiristäjä tee jotain virhettä, jolla hänet tunnistetaan ja saadaan taho kiinni.
Jos tekijä saadaan kiinni, häntä odottaa rikosoikeudellinen vastuu.
Myös Vastaamon henkilökuntaan tai sairaanhoitopiirin henkilökuntaan voi koitua rikosoikeudellisia seuraamuksia.
– Tällainen voi poikkeuksellisesti tulla kyseeseen, jos esimerkiksi Vastaamon johdossa joku on toiminut törkeän huolimattomasti ja laiminlyönyt jonkin oman työtehtävänsä, Lång sanoo.
Voutilaisen mukaan sairaanhoitopiirissä kyse voisi olla virkavelvollisuuden rikkomisesta. Tämä on kuitenkin epätodennäköinen vaihtoehto tällä hetkellä.