Tietosuojavaltuutetun toimisto selvittää parhaillaan Tenan inkontinenssisuojia valmistavan Essity-yhtiön ja lääkealan yhtiön Roche Diagnosticsin toimintaa Westlog-yhtiöön tehdyn tietomurron vuoksi.
– Westlog Oy on toiminut kyseisten yritysten alikäsittelijänä. Tietosuojavaltuutetun toimisto arvioi, ovatko yhtiöt noudattaneet tietoturvaloukkauksiin ja henkilötietojen käsittelyyn liittyviä velvollisuuksiaan, toimistosta vastataan kirjallisesti STT:lle.
Toimisto ei anna tarkempia tietoja keskeneräisistä asioista.
Lue myös: Westlog-yhtiön verkkohyökkäyksen uhriluku kasvaa
Sen sijaan Westlog-yhtiön osalta selvitys on tietosuojavaltuutetun toimistossa tältä haavaa lopetettu niin, ettei jatkotoimille nähty aihetta.
Tietosuojavaltuutetun toimisto valvoo Suomessa EU:n tietosuoja-asetuksen noudattamista eli muun muassa sitä, että henkilötietoja käsittelevät rekisterinpitäjät pitävät huolta hallussaan olevista tiedoista.
Toimiston seuraamuskollegiolla on myös oikeus antaa laiminlyönneistä seuraamuksia.
Yli 116 000 uhria
Viime elokuussa Westlog joutui kiristyshaittaohjelmalla tehdyn verkkohyökkäyksen kohteeksi.
Hyökkäys vaaransi yli 116 000 ihmisen henkilötiedot, ja vuotaneen aineiston joukossa on myös ollut ihmisten henkilötunnuksia.
Westlog vastaa Essityn valmistamien Tena-inkontinenssituotteiden kotiinkuljetuksesta, ja Essityn asiakkaina ovat puolestaan olleet Suomen kaikki hyvinvointialueet ja Helsingin kaupunki.
Lue myös: Westlog-yhtiön kyberhyökkäyksen kohteena
Murrossa vaarantui toisin sanoen hyvinvointialueiden kautta inkontinenssituotteita kotiinkuljetuksena saavien ihmisten henkilötietoja.
Westlog kuljettaa myös Roche-yhtiön diabeteshoitotuotteita.
Hyvinvointialueet tiedottivat murrosta julkisesti ja myös suoraan asiakkaille, joiden tietoja murto vaaransi.
Lisäksi kymmenet rekisterinpitäjät tekivät tietosuojavaltuutetulle ilmoituksia hyökkäyksestä.
Tietosuojavaltuutetun toimisto kuitenkin kertoo selvittävänsä myös sitä, ovatko ilmoitusvelvollisuuttaan noudattaneet sellaiset rekisterinpitäjät, jotka olivat murron piirissä mutta eivät tehneet tietoturvaloukkauksesta erillistä ilmoitusta.
Murtoaineistoa ei ole julkaistu
Lounais-Suomen poliisi tutkii Westlogiin tehtyä hyökkäystä tietomurtona. Kiristyshaittaohjelmalla tehdyn hyökkäyksen takana on väitetysti kyberhyökkäyksiä tekevä ryhmä nimeltä Akira.
Ryhmä ei kuitenkaan ole julkaissut pimeässä verkossa aineistoa, jonka se sai Westlogilta haltuunsa.
Westlogin toimitusjohtaja Ossi Ojanen on pahoitellut tapahtunutta julkisuudessa.
Hän on myös kertonut, ettei yhtiö maksanut siltä vaadittuja lunnaita.
Myös Essity pahoitteli tapahtunutta tiedotteessa, jonka se lähetti asiakkailleen hyökkäyksen jälkeen.
Sekä Essity että Roche-yhtiö olivat tietosuojavaltuutetun toimistoon yhteydessä sen jälkeen, kun yhtiöt saivat tiedon tietoturvaloukkauksesta.
– Olemme toimineet aktiivisesti sidosryhmiemme kanssa yhteistyössä sekä reagoineet viipymättä uusiin tietoihin ja selvityksemme perusteella ilmenneisiin seikkoihin, Roche-yhtiö vastasi lokakuussa tietosuojavaltuutetun toimistolle.