Psykoterapiakeskus Vastaamo on toimintakertomuksiensa perusteella tiedostanut tietosuojan merkityksen jo vuosien ajan ja tehnyt erilaisia palveluihinsa liittyviä selvityksiä. Siitä huolimatta yrityksen tietojärjestelmiin tunkeuduttiin ja yrityksen asiakkaiden tietoja vuodettiin julkisuuteen.
Siihen, miten näin keskeinen tietoturvan osa olisi jäänyt laiminlyödyksi toimintakertomukset eivät kerro.
Tietosuojatoimikunta perustettiin 2017
Vuoden 2017 toimintakertomuksen mukaan yritykseen perustettiin tuolloin tietosuojatoimikunta ja nimitettiin uusi tietosuojavastaava ja lakiasioista vastaava johtaja. Samalla tietosuojan nykytilasta kerrotaan tehdyn analyysi.
Samana vuonna yrityksen toiminnanohjausjärjestelmä siirrettiin turvallisuusmääräykset täyttäviin tiloihin, siitä laadittiin omavalvontasuunnitelma ja se ilmoitettiin Valviran tietojärjestelmärekisteriin.
Tietosuojatoimikunnan kerrotaan toimintakertomuksessa tekevän vuodestaan yksityiskohtaisemman tietotilinpäätöksen.
Vuonna 2018 arvioitiin "korkeat riskit"
Vuoden 2018 toimintakertomuksen mukaan edellisenä vuonna perustettu toimikunta kokoontui kuudesti.
Yritys teki Lääkäriliiton ohjeiden mukaisen tietosuojaselvityksen, korkeiden riskien vaikutusten arvioinnin, potilasrekisterin tietosojaselosteen ja potilastietojen käsittelyn ja luovutuksen ohjeet.
Yrityksessä kerrotaan myös tehdyn tietoturvan ja tietosuojan tarkistuslista.
Nimesi itse tietoturvan riskiksi
Toimintakertomuksessa käydään lävitse yrityksen potentiaalisia riskejä, ja yhdeksi niistä on nimetty tietoturvariski.
Riski on käsitelty kummassakin toimintakertomuksessa täsmälleen samoin sanakääntein, joten ilmeisesti yrityksessä ei ainakaan julkisesti nähty tarpeelliseksi päivittää tilannekuvaa vuosien välillä.
– Asiakkaat odottavat psykoterapiapalveluilta ehdotonta luottamuksellisuutta, kohta alkaa.
Tekstissä pohditaan tietosuojalain ja EU:n yleisen tietosuojaasetuksen voimaan tuomia tiukennuksia ja sanktioiden koventamisia, mutta myös kuvaillaan joitain tehtyjä toimenpiteitä.
– Tietojärjestelmien omavalvontaan on laadittu suunnitelma. Tietosuojariskit ja niiden vaikuttavuus on arvioitu. Palvelinympäristöt on auditoitu.
– Tietosuojatoimikunta jatkaa kehitystyötä, verkostoituu alan muiden asiantuntijoiden kanssa, huolehtii muun henkilöstön riittäväst koulutuksesta sekä toteuttaa valvontaa ja puuttuu havaittuihin poikkeamiin, toimintakertomuksissa kuvaillaan.
Toimintakertomuksessa pohditaan myös maineriskin mahdollisuutta ja hyvän maineen merkitystä yritykselle.
– Hyvä maine helpottaa kaikkien riskien hallintaa.
Paljastiko vasta konsultti tietomurron
Tapauksessa on yhä epäselvää, miten tietomurrot tapahtuivat ja milloin.
Yritys on itse tiedotteessaan kertonut tietomurtoja tapahtuneen marraskuussa 2018 ja maaliskuussa 2019. Yhtiön mukaan nyttemmin syrjäytetty toimitusjohtaja Ville Tapio olisi ollut tietoinen tietomurrosta ja suojauksen puutteista viimeisimmän hyökkäyksen jälkeen.
Tapio on Facebookissa julkaistussa kirjoituksessa kommentoinut vain sitä, että hänelle vuoden 2018 tietomurto ja sen mahdollistaneet virheet olisivat paljastuneet vasta lokakuussa 2020, kun suomalainen kyberturvakonsultointiin keskittynyt yhtiö Nixy teki yrityksessä tutkimuksen.
Myöhempää tietomurtoa Tapio ei viestissään kommentoinut.