Hyppää sisältöön
Hyppää sisältöön
Etusivulle
Artikkeli on yli 3 vuotta vanha
Vastaamon tietomurto

Tietosuojavaltuutettu määräsi Psykoterapiakeskus Vastaamolle 600 000 euron seuraamusmaksun erittäin vakavista tietoturvallisuuspuutteista

Tietosuojavaltuutetun toimisto katsoo, ettei henkilötietoja ollut asianmukaisesti suojattu luvattomalta ja lainvastaiselta käsittelyltä.

Psykoterapiakeskus Vastaamo.
Psykoterapiakeskus Vaastamo on tietosuojavaltuutetun mukaan rikkonut sääntöjä, joilla turvataan henkilötietojen yksityisyys. Kuva: Jorge Gonzalez / Yle
  • Kari Ikävalko

Tietosuojavaltuutetun toimisto on määrännyt Psykoterapiakeskus Vastaamolle tuntuvan hallinnollisen seuraamusmaksun yleisen tietosuoja-asetuksen säännösten rikkomisesta.

Vastaamon toiminta ei toimiston mukaan vastannut henkilötietojen käsittelyyn vaadittavaa turvallisuutta. Lisäksi Vastaamon olisi pitänyt kertoa tietomurrosta vahinkoa kärsineille paljon aikaisemmassa vaiheessa.

Vastaamolle määrätään 608 000 euron hallinnollinen seuraamusmaksu.

Tietosuojavaltuutetun mukaan Vastaamon henkilötietoja ei oltu suojattu asianmukaisesti muun muassa luvattomalta ja lainvastaiselta käsittelyltä. Vastaamo ei ollut tehnyt valtuutetun mukaan perustoimia, joilla varmistetaan henkilötietojen turvallisuus.

Vastaamon huolimattomuus ollut törkeää

Muiden puutteiden lisäksi Vastaamo ei pitänyt kirjaa niistä toimista, millä se ylläpiti henkilötietojen turvallisuutta. Tämä tuli ilmi siinä yhteydessä, kun Vastaamo ei pystynyt osoittamaan toimistolle, että se olisi noudattanut turvallisuutta koskevia vaatimuksia.

Seuraamusmaksun lisäksi Vastaamo saa huomautuksen tietosuoja-asetuksen rikkomisesta.

Toimiston arvion mukaan asianmukaisesta turvallisuudesta huolehtiminen ei olisi vaatinut Vastaamolta kohtuuttomia toimenpiteitä.

Tietosuojavaltuutetun asiantuntijaryhmä katsoo, että Vastaamon huolimattomuus tietojen suojelun suhteen on ollut törkeää. Lisäksi rikkomukset ovat olleet pitkäkestoisia.

Vastaamon olisi pitänyt kerto tapahtuneista heti

Psykoterapiakeskus Vastaamo ilmoitti tietosuojavaltuutetulle potilastietokantaan kohdistuneesta hyökkäyksestä syyskuussa 2020. Apulaistietosuojavaltuutettu määräsi lokakuussa 2020 Vastaamon ilmoittamaan tietoturvaloukkauksesta henkilökohtaisesti asiakkaille, joiden henkilötietoja oli viety.

Tietosuojavaltuutetun toimiston saaman selvityksen mukaan Vastaamossa ollaan mahdollisesti tiedetty maaliskuussa 2019, että potilastietojärjestelmän tiedot ovat hävinneet ja ovat voineet joutua ulkopuolisen hyökkääjän haltuun.

Tietosuojavaltuutetun toimiston mukaan Vastaamon olisi pitänyt ilmoittaa tietoturvaloukkauksesta sekä tietosuojavaltuutetulle että asiakkailleen viivytyksettä.

Otsikkoa korjattu 16.12. klo 10.28: Otsikossa käytettiin aiemmin sanaa rikemaksu. Se on eri asia kuin seuraamusmaksu, josta määrätyssä maksussa on kyse.

Lue myös:

Ehkä jopa 32 000 Vastaamon potilaan tiedot ilmestyivät viime yönä Tor-verkkoon – poliisi: "Emme tiedä, monenko käsissä tietokanta on"

Vastaamon selvitystila tai konkurssikaan ei vapauta korvausvastuusta – uhreilla useita mahdollisia väyliä saada korvauksia