Aarnion yli kahdenkymmenen vuoden ura päättyi kauhuesimerkkiin siitä mitä tapahtuu, kun yritys ei huolehdi tietoturvastaan.
Puun alla myytiin Hippokrateen lääkärinvaloja näköispainoksina.
"Mikäli parannustyössäni tai sen ulkopuolella ihmisten parissa näen tai kuulen sellaista, mitä ei pidä levitettämän, vaikenen ja pidän sen salaisuutena", valassa sanotaan.
Ihmiset ovat siis pelänneet jo 2 500 vuotta sitten, että heidän tietonsa leviävät parantajalta muille kuin on tarkoitus.
Lääkärin ja potilaan tai terapeutin ja asiakkaan välit perustuvat luottamukseen.
Aarnion mukaan Psykoterapiakeskus Vastaamon tietomurron takia tuo luottamus on nyt mennyt.
– Luottamuksen juuret eivät ole teknologiassa, käyttäjätunnuksissa tai salasanoissa vaan ihmisten välillä, hän sanoo.
– Koska kysymys on niin herkästä asiasta ja tälläista palvelua on tuotettu yhtään takki auki, niin se on verinen vääryys.
Vastaamo-keissi on tietomurron lisäksi digitaalista väkivaltaa
Aarnio sai pitkän uransa tietosuojavaltuutettuna virallisesti päätökseen lauantaina.
Valtakunnan virallisen jyrähtelijän viimeisille työviikoille sattui tietomurto, joka saattaa olla Suomen rikoshistorian laajin rikosjuttu asianosaisten määrällä mitattuna.
Aarnio on ollut Vastaamo-jupakan aikana kuitenkin lomalla eikä ole juurikaan kommentoinut julkisuudessa.
Nyt hän kuitenkin jyrähtää.
Hän voi tehdä sen ensimmäistä kertaa 23 vuoteen nappikset jalassa tekonurmella, rakastamansa futispallo kainalossa, ilman viran tuomaa painolastia.
Vastaamo-keissi on Aarnion mukaan törkeä kauhuesimerkki siitä, mitä voi tapahtua, jos tietosuoja pettää.
– Vaikka Vastaamo-keissistä minulla ei ole kovin paljon tietoa, niin sen verran voisin vielä jyrähtää, että organisaatioiden vastuuhenkilöt eivät näköjään vieläkään tajua omaa vastuutaan tietosuoja-asioissa.
Yritysten johto ulkoistaa omaa vastuutaan sellaisille toimijoille, joilla ei ole tarpeeksi osaamista, ja lopulta kuluttajat kärsivät.
– Ja juuri se on verinen vääryys, Aarnio tuhahtaa.
Kysymys ei Aarnion mielestä ole vain tietomurrosta tai tietovuodosta, vaan kyse on "digitaalisesta väkivallasta". Se on Aarnion itsensä aikoinaan lanseeraama käsite.
– Potilaat ovat joutuneet digitaalisen pahoinpitelyn uhreiksi. Se pitäisi mielestäni ottaa tämän teon arvioinnissa huomioon, Aarnio sanoo.
Hän pitää tilannetta niin vakavana, että onnettomuustutkintalautakunnan pitäisi tulla mukaan perkaamaan tapausta. Aiemmin samaa on ehdottanut tiede- ja kulttuuriministeri Annika Saarikko (kesk.).
– Onnettomuustutkintalautakunnan olisi pitänyt jo kymmenen vuotta sitten tulla mukaan tietomurtoja tutkimaan, Aarnio sanoo.
Tietosuoja on iloinen missio
Ihmisen oikeus omiin tietoihinsa on ollut Aarnion intohimo monta kymmentä vuotta.
Helsingin yliopistosta oikeustieteilijäksi ** **vuonna 1981 valmistunut Aarnio astui tietosuojavaltuutetuun toimistoon nelikymppisenä, vuonna 1997. Toimisto oli perustettu kymmenisen vuotta aiemmin.
Elettiin aikaa, kun matkapuhelinta oli hädin tuskin keksitty, eikä tietosuojasta oikein edes puhuttu.
– Ihmiset ajattelivat silloin, että vitsit, mikä toi juttu on, hän muistelee kuinka tietosuojasta puhuttiin.
Hän sai ensimmäiseksi tehtäväkseen miettiä, tarvitaanko Suomeen tietoturvalaki.
– Ensimmäiset kymmenen vuotta menin tietosuojavaltuutetun toimistoon joka päivä sen mission kanssa, että tietosuoja on iloinen asia, sillä se tarkoittaa ihmisen oikeutta omiin tietoihinsa.
Sittemmin maailma on muuttunut täysin erilaiseksi.
– Nyt jokainen ihminen saa hallinnon tiedot käyttöönsä ja voi ostaa keneltä tahansa mitä tahansa kotisohvaltaan 24/7.
Viimeisinä virkavuosinaan Aarnio sai maaliin Suomen siirtymisen yhteiseurooppalaisen tietosuoja-asetuksen aikaan.
Vuonna 2018 käyttöön otetun asetuksen tarkoitus on antaa parempi suoja henkilötiedoille digiaikana.
Tsunami opetti, miten kriisitilanteessa voi toimia
Vaikka lainsäädännön ja kuluttajan oikeuksien pitäisi nyt olla paremmalla mallilla kuin koskaan, Vastaamon kaltainen kauhutapaus pääsi sattumaan.
– Miksi niin usein täytyy oppia kantapään tai epäonnistumisen kautta? kysyy Aarnio.
Kantapään kautta oppimisesta tietosuoja-asioista Aarnio ottaa esille vuoden 2004 tsunamin ja 8–vuotiaan Vilja Eerikan tapauksen.
Yli 200 000 ihmistä Itä-Aasiassa tappaneen tsunamin yhteydessä suomalaiset sukeltajat perustivat nimilistoja ja sivuston, jonka kautta suomalaiset pystyivät etsimään omaisiaan.
Aarnion mukaan tsunami osoitti miten kriisitilanteissa voi toimia – tietosuoja huomioiden.
– Tuolloin kysyttiin ja mietittiin, että estääkö tietosuoja jonkun tiedon toimittamisen ja niin edespäin.
Tietosuoja ei estänyt Aarnion mukaan silloin uhrien pelastamista, vaan pikemminkin auttoi.
– Tsunamin aikana luotiin nopeasti teknologiselle alustalle sellainen sanomanvälitysjärjestelmä, jonka avulla saatiin pelastettua ihmisiä. Siitä ehkä opittiin, että on hyvä miettiä, miten tällaisessa kriisitilanteessa toimitaan.
Myös Vastaamo-skandaalin yhteydessä yksityinen ihminen on rakentanut verkkopalvelun, jonka avulla kiristyksen uhriksi joutuneet ovat pystyneet tarkistamaan, onko kiristyksen uhriksi joutuneen tiedot julkaistu verkossa. Sivuston laillisuuteen tietosuojavaltuutettu ei tosin ole vieläkään ottanut kantaa ja se on tällä hetkellä suljettu.
Vilja Eerikan tapauksessa 8-vuotias tyttö kuoli vuonna 2012 sen jälkeen, kun hänen isänsä ja äitipuolensa olivat pitkään pahoinpidelleet ja kiduttaneet häntä. Lastensuojelun ja terveydenhuollon henkilökunta saivat virkarikossyytteen, koska ne eivät olleet reagoineet useisiin tytöstä tehtyihin lastensuojeluilmoituksiin.
– Tuolloinkin väitettiin, että tietosuoja esti viranomaisia puuttumasta, Aarnio muistelee.
– Tämänkin tapauksen yhteydessä nousi esiin klassinen "tietosuoja estää" -näkemys, mistä ei tietenkään ollut kysymys.
Aarnion mukaan lait Eerikan pelastamiseksi olivat kyllä olemassa jo tuolloin, mutta niitä ei osattu käyttää oikein. Esimerkiksi oli jo olemassa laki oikeudesta saada ja luovuttaa tietoja viranomaisille.
– Ihmiset eivät aina osaa oikein erottaa, mikä on oikeuksia tukevan tietosuojasäännöksen ja salassapitopäätöksen ero.
Suomalaisten pitäisi päästä omaan sosiaaliseen mediaan
Aarnion iso harmituksen aihe on teknologia-alan markkinoiden voimakas keskittyminen muutaman yhtiön varaan.
– Esimerkiksi Applella, Googlella, Facebookilla ja Androidilla on niin hallitseva markkina-asema, että se johtaa johtaa siihen, että henkilötiedot ovat määränsä arvoista rahaa. Ja siitä pidetään kynsin hampain kiinni, hän toteaa.
– Me olemme odottaneet kuin kuuta nousevaa sellaistapalvelua, jota ei tarvitse pelätä.
Parasta olisi, jos eurooppalaiset tai suomalaiset rakentaisivat itse esimerkiksi oman sosiaalisen mediansa eurooppalaisille sisämarkkinoille.
– Suomalaiset voisivat käyttää suomalaista sosiaalista mediaa, hän fantasioi.
Aarnio harmittelee myös sitä, miksi kuluttajat ja kansalaiset ylipäätään pakotetaan sosiaaliseen mediaan.
– Pahimmillaan se näkyy siinä, että jotkut viranomaiset ovat siirtyneet tiedottamaan vain sosiaalisessa mediassa, ja sehän ei kaikkia kansalaisia tavoita.
"Yksi vahtija Valvirassa ei riitä, vaan pitää saada nopeasti kaupallisia toimijoita"
Tuhansien vuosien ajan Hippokrateen vala on velvoittanut lääkäreitä pitämään potilaiden tiedot ominaan. Valan rikkoja menettää arvostuksensa.
Nyt moni pelkää, uskaltaako lääkärille tai terapeutille kertoa asioitaan. Aarnio on huolissaan siitä, että luottamuksen takaisin saamiseen kestää kauan – ja valitettavasti tämäkin asia piti oppia kantapään kautta.
Vastaamo-keissi on Aarnion mielessä paitsi kauhuesimerkki, myös herättäjä.
Vaikka myös kansalaisten on syytä ryhdistäytyä tietosuoja-asioissa ja alkaa lukea eri palveluiden "käyttöohjeita", Aarnio on sitä mieltä, että vastuu on yrityksillä ja organisaatioilla.
Kenen siis pitäisi korjata tämä Vastaamo-keissiin liittyvä "verinen vääryys", kuten ex-tietosuojavaltuutettu itse katastrofia kutsuu?
– Kuluttajaa ei pidä liikaa vastuuttaa, vaan palveluntuottajien pitää itse hoitaa turvallisuus ja pystyä osoittamaan, että ne ovat tehneet kaikki temput, jotka lainsäädäntö edellyttää.
Niiden on huolehdittava, että käyttäjän tiedot ovat turvassa, kuten tietosuoja-asetus edellyttää.
– Ihmisten ei pitäisi joutua kysymään, onko palveluiden käyttäminen turvallista vai ei.
Aarnio kaipaa valvonta-apua kaupallisilta toimijoita myös potilastietojen turvallisen säilytyksen valvontaan.
– Valvirassa yksi henkilö on vahtimassa tätä. Onko todellakin yhden ihmisen varassa, että potilasturvallisuus toteutuu? Eikö olisi näiden toimijoiden tehtävä varmistaa, että he toimivat laillisesti? ex-virkamies Aarnio kysyy.
Ja vastaa itse:
– Me tarvitsemme turvallisuuden varmistamiseen nopeasti kaupallisia palveluita. Yksi vahtija Valvirassa ei riitä, eikä tietosuojan toteutumisen valvonnan pitäisi olla ainoastaan viranomaisten tehtävä, Aarnio jyrähtää.
Aarnio aikoo jatkaa töitä: "Informaatio-oikeus on nastaa"
Ex-tietosuojavaltuutettu ei aio alkaa kokopäiväiseksi pallonpelaajaksi, vaikka onkin luovuttanut valtakunnan virallisen jyrähtelijän tittelin seuraajalleen, Anu Talukselle.
– Jatkan työelämässä vielä muutaman vuoden. Minulla on virtaa, ja siksi yritän pitää kondista yllä, paljasjalkainen stadilainen sanoo Lehtisaaren jalkapallokentällä.
65-vuotias mies ei vielä paljasta mitä hän aikoo työelämässä tehdä, mutta kaikesta päätellen se liittyy jollakin tavalla ihmisten oikeuksiin omiin tietoihinsa. Sitä, palaako hän bisneksen pariin, hän ei paljasta.
– Tietosuoja ja informaatio-oikeus on ollut ihan älyttömän nasta oikeudenala. Ei ole kahta samanlaista kahta samanlaista päivää, ja uskon, että minulla on jatkossakin annettavaa työelämään, entinen virkamies sanoo.
Lue myös:
Google sai voiton EU:n tuomioistuimessa – oikeus tulla unohdetuksi ei ole globaali
Uudeksi tietosuojavaltuutetuksi Anu Talus – Reijo Aarnio jää eläkkeelle
Google ei anna periksi – kiista murhasta tuomitun tietojen poistamisesta jatkuu KHO:ssa
Suomi ei voi määrätä sakkoa Facebookille – Somejättien rankaisu vaatii EU:n jäsenmaiden yhteistyötä