Hyppää sisältöön

"Ei tämä kovin harvinaista ole" – apulaistietosuojavaltuutettu pitää Kuopion tietoturvaloukkausta inhimillisenä virheenä

Tietosuojavaltuutetun toimistoon tulee vuosittain vireille noin 11 000 asiaa, joista puolet on tietoturvaloukkauksia koskevia ilmoituksia.

Tietoturvaloukkaus koskee perusturvan ja terveydenhuollon työntekijöitä Kuopiossa. Kuva: Tanja Kröger / Yle

Lähes 3 000 Kuopion kaupungin sote-työntekijän henkilö- ja työsuhdetiedot levisivät sähköpostilla yli sadalle muulle kaupungin työntekijälle syyskuun alussa.

Apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa pitää Kuopion tietoturvaloukkausta kuitenkin inhimillisenä virheenä. Se on jäänyt työntekijöiden keskuuteen, eikä ole levinnyt ulkopuolisille.

– Tietoa ei siis ole ollut tarkoitus jakaa muille, vaan on tapahtunut niin sanottu inhimillinen virhe, ja sen takia Excel-tiedosto on päässyt sähköpostiin ja sitä sähköpostia on jaettu työyhteisön sisällä, Pihamaa kertoo.

Tietosuojavaltuutetun toimistoon tulee vuosittain vireille noin 11 000 asiaa, joista puolet ovat tietoturvaloukkauksia koskevia ilmoituksia. Osa ilmoituksista on vastaavanlaisia tietoturvaloukkaustilanteita kuin Kuopion kaupungin tapauksessa.

Pihamaan mukaan hyvin tyypillisesti tietoturvaloukkauksien syy onkin se, että sähköpostia lähettäessä sähköpostin liitteenä on liiteasiakirja, jossa on muita henkilöitä koskevia tietoja.

– Ei tämä kovin harvinaista ole, että tällaisia virheitä sattuu eli että väärä liite menee sähköpostiin. Meille tulevista ilmoituksista suhteellisen suuri osa on tämäntyyppisiä.

Kuopion kaupunki tehnyt ilmoituksen Tietosuojavaltuutetun toimistoon

Kuopion kaupunki on Pihamaan mukaan myös tehnyt viranomaiselle eli Tietosuojavaltuutetun toimistoon asiasta ilmoituksen.

– Kuopion kaupunki on ilmoituksen mukaan ryhtynyt korjaaviin toimenpiteisiin. Kun tällainen virhe syntyy ja se tulee tietoon, niin heti pitää ryhtyä minimoimaan loukkauksesta aiheutuvia riskejä ja tehdä korjaavat toimenpiteet.

Jos loukkaus aiheuttaa korkean riskin loukkauksen kohteille, rekisterinpitäjän pitää myös ottaa yhteyttä loukkauksen kohteeksi joutuneihin tapahtuneesta tietosuojaloukkauksesta.

– Meidän tiedon mukaan myös tämän rekisteröinnin kohteeksi joutuneita on informoitu, joten laissa säädetyt velvoitteet on myös tältä osin hoidettu.

Ei ota kantaa Excelin sisältöön

Pihamaa ei ota kantaa siihen, onko Kuopion kaupungin tapauksessa toimittu oikein sen suhteen, mitä tietoa Exceliin on kerätty. Tietosuojavaltuutetun toimisto ei ole tutkinut ja selvittänyt Excelin sisältöä sen tarkemmin.

– Toki rekisterinpitäjän pitää pystyä itse kertomaan, että miksi, mihin käyttötarkoitukseen ja millä perusteella tietoa on kerätty. Henkilötietojen käsittelylle tulee aina löytyä joku laillinen peruste ja se pitää osata kertoa.

Lue myös:

Tuhansien sote-työntekijöiden yksityisiä tietoja vuoti sähköpostijakeluun Kuopiossa – poliisille tehty rikosilmoitus

Uutta tietoa Kuopion kaupungin laajasta tietoturvaloukkauksesta: Sote-työntekijöiden henkilötiedot eivät ole vuotaneet eteenpäin

Tuhansien sote-työntekijöiden yksityisiä tietoja lipsahti sähköpostijakeluun Kuopiossa – joukossa palkkatietoja ja henkilöturvatunnuksia

Suosittelemme sinulle