Psykoterapiakeskus Vastaamo arvioi tietomurron koskeneen aluksi vain noin tuhatta asiakasta ja työntekijää. Asia selviää viranomaisilmoituksesta, jonka yritys lähetti tietosuojavaltuutetun toimistoon tapahtuneen jälkeen.
Ilmoituksen mukaan Vastaamon toimitusjohtaja Ville Tapio ja kaksi muuta työntekijää saivat kiristyssähköpostin 28.9. Viesti alkoi suomeksi sanoilla "Hyvaa paivaa. Mina olen hakkeri. Olen kopioinut Vastaamo potilaiden tietokanta." Sen jälkeen kiristäjä vaihtoi englantiin.
Vastaamo ilmoitti tapahtuneesta tietosuojavaltuutetulle seuraavana päivänä. Samalla yritys katsoi, että uhreille ei olisi tarpeen tiedottaa henkilökohtaisesti.
– Se vaatisi kohtuutonta vaivaa ja loukkauksesta ilmoitetaan julkisella tiedonannolla, ilmoituksessa todettiin.
Vastaamo katsoi aluksi, ettei esimerkiksi vuosina 2012–2014 asiakkaina käyneiden yhteystiedot olisivat suurelta osin vanhentuneet. Heille ja muillekin olisi yhtiön näkökulmasta riittänyt julkinen tiedote Vastaamon kotisivuilla.
Myöhemmin tietosuojavaltuutettu määräsi Vastaamon tiedottamaan kaikille asiakkaille henkilökohtaisesti.
Vastaamon tietomurron uhrien määrä on myös paljastunut huomattavasti suuremmaksi kuin yritys alun perin arvioi. Poliisin mukaan tapauksesta on jätetty jo noin 25 000 rikosilmoitusta.
Entinen työntekijä latasi potilaiden tietoja luvatta
Vastaamon tietosuojavaltuutetulle lähettämistä ilmoituksista selviää myös, että yhtiöllä on ollut aiempiakin ongelmia tietoturvassa.
Huhtikuussa 2019 yrityksen palveluksesta irtisanoutunut työntekijä tallensi potilaiden tietoja luvatta omalle koneelleen. Kyse oli tuolloin yhteensä 29 potilaan tiedoista.
Lisäksi saman vuoden joulukuussa sattui yksittäinen tapaus, jossa yksi asiakas sai vahingossa kuuden muun asiakkaan laskut.
Henkilötietojen tietoturvaloukkauksesta täytyy ilmoittaa tietosuojavaltuutetulle, jos loukkauksesta voi aiheutua riski uhrien oikeuksille ja vapauksille. Myös Valviraan täytyy ilmoittaa, jos tietoturvapoikkeama aiheuttaa riskin esimerkiksi potilasturvallisuudelle tai tietosuojalle.
Toistaiseksi tuntematon hakkeri murtautui psykoterapiakeskus Vastaamon potilastietojärjestelmään todennäköisesti vuonna 2018. Murto selvisi yritykselle tämän vuoden syyskuussa.
Vastaamo on kertonut, että sen järjestelmiin kohdistui vuoden 2019 maaliskuussa toinenkin tietomurto. Yhtiön mukaan toimitusjohtaja Ville Tapio kuitenkin pimitti tietoa tapahtuneesta. Myöhemmin Tapio irtisanottiin.
Ylen tietojen mukaan Vastaamo ei ole ilmoittanut maaliskuussa 2019 tapahtuneesta tietomurrosta Valviraan eikä tietosuojavaltuutetulle.
Tiistaina Vastaamo ilmoitti, että suuri osa sen hallituksesta vaihtuu. Uudeksi hallituksen puheenjohtajaksi nimitettiin Esperi Caressa aiemmin toiminut Heini Pirttijärvi. Hän on toistaiseksi myös Vastaamon toimitusjohtaja.
Vastaamo: "Olemme täysin sitoutuneita asioiden selvittämiseen"
Vastaamon hallituksen puheenjohtajana muutama päivä sitten aloittanut Heini Pirttijärvi sanoo vasta perehtyvänsä Vastaamon tilanteeseen, niin myös nyt julki tulleisiin uusiin tietoihin.
– Olemme tietysti täysin sitoutuneita asioiden selvittämiseen ja tietomurron kohteeksi joutuneiden asiakkaiden tukemiseen. Perehdyn tähän asiaan niin kuin muihinkin asioihin parastaikaa, Heini Pirttijärvi sanoo.
Pirttijärven mukaan kaikille tietomurron kohteeksi joutuneille Vastaamon asiakkaille on nyt henkilökohtaisesti ilmoitettu asiasta.
– Kaikille on tieto lähetetty, mutta ovatko he sen lukeneet, sitähän me emme tiedä. Heille on lähetetty eri keinoin tietoa. Kyllä tieto olisi pitänyt saada.
Vastaamo on Pirttijärven mukaan nyt lähettänyt tietomurron uhreiksi joutuneille asiakkailleen tiedon asiasta sähköpostitse, kirjeitse tai soittamalla.
Juttua on päivitetty 11.11. kello 18.48 Vastaamon hallituksen puheenjohtajan Heini Pirttijärven kommenteilla.
Juttua on korjattu 11.11. kello 21.16. Poistettu virke "Vastaamo näyttää arvioineen aluksi virheellisesti, että tietomurto olisi koskenut vain 2012–2014 tehtyjä asiakastapaamisia". Sen sijaan Vastaamo arvioi, että vuosina 2012–2014 asiakkaina käyneille ei tarvitsisi ilmoittaa tietomurrosta henkilökohtaisesti.