1. yle.fi
  2. Uutiset

Analyysi: Vastaamon tietomurto on kuin lento-onnettomuus – hirveä tilanne, josta kaikki voivat oppia jotain

Kannattaa muistaa, että tietosuojakysymyksiä eivät voi välttää enää urheiluseuratkaan, taloustoimittaja Juha-Matti Mäntylä kirjoittaa.

tietoturva
Lähikuva: mies kirjoittaa kannettavalla tietokoneella.
Tietosuoja-asioissa vastuuta ei voi väistää eikä ulkoistaa.Eleni Paspatis / Yle

Psykoterapiakeskus Vastaamon tietomurto ja sitä seurannut kiristys täyttävät kirkkaasti rikoksen tunnusmerkit. Keskusrikospoliisin tehtävänä on löytää tekijä tai tekijät, joiden uhreina ovat potilastietoja hallinnoinut yritys – ja viime kädessä sen asiakkaat.

Toinen selvitys, joka lienee jo tavalla tai toisella käynnistynyt, liittyy tietosuojalainsäädäntöön. Tässä tutkinnassa Vastaamo on tietojen kerääjänä selvityksen kohde.

Tätä prosessia kannattaa seurata kaikkien, jotka käsittelevät henkilötietoja työssään tai vapaa-ajallaan. Tietosuojakysymyksiä eivät voi välttää enää urheiluseuratkaan.

Vastaamon tapaus on kuin lento-onnettomuus – hirveä tilanne, jossa kaikki häviävät. Ainoa kuviteltavissa oleva positiivinen seuraus on, että mustien laatikkojen löytymisen jälkeen selvitetään tapahtumien kulku ja kaikki ottavat siitä opiksi.

Näin toimitaan ilmailussa ja toivottavasti myös tietosuojan parissa.

Vastuuta ei voi ulkoistaa

Vastaamossa on käytetty itse tehtyä tietojärjestelmää. Toimitusjohtaja Ville Tapio kertoi pari vuotta sitten Kauppalehdessä (siirryt toiseen palveluun), että alalla ei aiemmin ollut järjestelmiä, joilla psykoterapiaa olisi pystynyt tehokkaasti johtamaan ja kasvattamaan.

– Olemme itse kehittäneet järjestelmän, jossa koko putki asiakashankinnasta ajanvarauksiin, resurssien hallintaan, laskutukseen ja raportointiin on digitalisoitu, Tapio kertoi.

Nyt tuo putki on vuotanut pahan kerran.

Sillä ei kuitenkaan ole juuri merkitystä, onko järjestelmän tehnyt yhtiö itse vai joku muu. EU:n tietosuoja-asetuksen mukaan tiedon kerääjä vastaa siitä, että tietoja käsitellään sääntelyn edellyttämällä tavalla.

Esimerkiksi ulkoistussopimuksessa voidaan todeta, että ulkopuolinen palveluntarjoaja vastaa riittävästä tietoturvasta – ja se saattaisi avata palvelun ostaneelle yritykselle mahdollisuuden vahingonkorvausten hakemiseen.

Se ei kuitenkaan poista tiedot keräävän yhtiön omaa vastuuta.

Tietosuojavastaava ei vastaa

EU-tason tuore tietosuojalainsäädäntö edellyttää, että tietoja keräävät yritykset nimeävät tietosuojavastaavan. Tämä taho on yleensä henkilö organisaation sisältä, mutta tehtävä voidaan myös antaa ulkopuoliselle konsultille tai palveluntarjoajalle.

Voidaan kuitenkin kysyä, onko tämän asiantuntijatehtävän ulkoistaminen ylipäätään järkevää – eikö tärkeämpää olisi ydinosaamisen kerryttäminen myös organisaation sisään?

Vastaamon tapauksessa tietosuojavastaavaksi on tällä hetkellä nimetty lakitoimisto Fondia (siirryt toiseen palveluun). Yle ei tavoittanut yhtiön johtoa kertomaan, mikä taho hoiti tehtävää ennen tietomurtoa. Ilmeisesti kyseessä on ollut yhtiön oma työntekijä.

Oma työntekjjä vai joku ulkopuolinen – sekin on kuitenkin sivuseikka vastuun osalta.

Tietosuojavastaavan nimike on harhaanjohtava, sillä kyseessä on vain asiantuntijarooli. Vastuu tietojen turvallisesta hoidosta pysyy tietojen kerääjällä.

Näin ovat todenneet mm. Elinkeinoelämän Keskusliiton asiantuntijat (siirryt toiseen palveluun).

Mikä on riittävä tietoturva?

Maailmassa ei ole sellaista järjestelmää, joka olisi sataprosenttisen turvallinen. Aina löytyy tapa murtaa digitaalinen palomuuri tai fyysinen panssariovi. Tästä huolimatta tietoja on kerättävä.

Siksi olennainen kysymys on se, mitä on riittävä tietoturva.

EU:n tietosuoja-asetuksessa sanotaan, että asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin.

Asiantuntijat puhuvat tässä yhteydessä "riskiperusteisuudesta". Se tarkoittaa yksinkertaisesti, että jos tiedot ovat hyvin arkaluonteisia tai arvokkaita, tietoturvan tulee olla erityisen korkealla tasolla.

Vastaamon tapauksessa kyse oli äärimmäisen arkaluonteisista tiedoista. Lienee selvää, että mitään tietoturvaratkaisujen kevytversiota ei voida pitää riittävänä.

Erityisen huono merkki on, jos tietojen suojaamisessa on käytetty järjestelmien “oletussalasanoja”, kuten F-Securen asiantuntija kertoi MTV3:n haastattelussa (siirryt toiseen palveluun). Se olisi sama kuin säilyttäisi kotiavainta ulko-oven kynnysmaton alla.

Arvion riittävästä tietoturvasta tekee kuitenkin tietosuojavaltuutetun toimisto ja sen seuraamuskollegio.

Posti joutui jo maksamaan

Asiakastiedon mukaan nopeasti kasvaneen Vastaamon liikevaihto oli viime vuonna lähes 14 miljoonaa euroa.

Jos tietosuojan hoito paljastuu riittämättömäksi, tietosuoja-asetuksessa on määritelty hallinnollinen sakko. Tämä seuraamusmaksu voi maksimissaan olla 20 miljoonaa euroa tai – esimerkiksi todella suurten yritysten tapauksessa – neljä prosenttia yhtiön liikevaihdosta.

Suomessa tällaisia maksuja on määrätty kourallinen, joista suurin on ollut Postin saama 100 000 euron seuraamusmaksu. Yhtiö ilmoitti valittavansa päätöksestä.

Postin tapaus koski muuttoilmoituksia. Yhtiö ei ollut kertonut asiakkaiden kaikista oikeuksista, kuten oikeudesta kieltää tietojen luovuttaminen.

Vastaamon tapauksessa tilanne on paljon vakavampi, kuten Maijan tarina kertoo. Jo pelkkä tieto terapeutilla käynnistä on monelle salaisuus.

Seuraamuksia arvioitaessa keskeistä on, kuten edellä kerroimme, onko tietoja keräävä taho tehnyt riittävästi torjuakseen tietoturvauhkat.

Tämän jälkeen yksittäisillä potilailla olisi mahdollisuus hakea korvausta, jos tapauksesta aiheutuu heille todistettavasti vahinkoa. Lähtökohdat esimerkiksi identiteettivarkauksille ovat otolliset, kun verkkoon on vuodettu terapiatietojen lisäksi mm. henkilötunnukset, puhelinnumerot ja osoitteet.

Myös rikoslaki tuntee mahdollisuuden, että tietosuojarikoksesta tuomitaan "törkeän huolimattomuuden" vuoksi. Kynnys tähän on kuitenkin korkea.

Selvää kuitenkin on, että tämän tietomurron tapauksessa ei ole kuin häviäjiä. Ainut hyvä seuraus olisi se, että suomalaiset ottaisivat opikseen ja varmistaisivat, ettei tapaus toistu.

Lue lisää:

"Onneksi tyttärelläni on vihainen äiti, jolla on energiaa selvittää tätä asiaa" – nyt puhuvat Vastaamon tietovuodon uhri ja omainen

Yle seurasi Vastaamon tietomurtotapausta: Vastaamo on ollut myös Kelan palvelutuottaja, kiristäjän verkkosivu palasi nettiin, HUSin, Tyksin, Taysin ja Kanta-Hämeen keskussairaalan asiakastietoja voinut vuotaa

Korjaus 24.10. klo 9.20: Lisätty: "Hallinnollisen seuraamusmaksun suuruus voi maksimissaan olla 20 miljoonaa euroa". Aiemmin artikkelissa viitattiin vain neljän prosentin osuuteen liikevaihdosta. Lisätty myös tieto, että tietosuojavastaavana on ilmeisesti ollut yhtiön oma työntekijä.

Lue seuraavaksi