1. yle.fi
  2. Uutiset

Ex-tietosuojavaltuutettu Reijo Aarnio jyrähtää vielä kerran: Vastaamon tietomurto on digitaalista väkivaltaa ja verinen vääryys

Aarnion yli kahdenkymmenen vuoden ura päättyi kauhuesimerkkiin siitä mitä tapahtuu, kun yritys ei huolehdi tietoturvastaan.

tietosuoja
Reijo Aarnio
Luottamuksen juuret eivät ole teknologiassa, vaan ihmisten välillä, sanoo ihmisten oikeuksia omiin tietoihinsa kymmeniä vuosia puolustanut mies, Reijo Aarnio. Kristiina Lehto / Yle

Kun Suomen pitkäaikaisin tietosuojavaltuutettu Reijo Aarnio oli nuori mies, hän matkusti Kreikkaan Kosin saarelle ja etsi puun, jonka alla Hippokrateen sanotaan kirjoittaneen lääkärinvalan.

Puun alla myytiin Hippokrateen lääkärinvaloja näköispainoksina.

"Mikäli parannustyössäni tai sen ulkopuolella ihmisten parissa näen tai kuulen sellaista, mitä ei pidä levitettämän, vaikenen ja pidän sen salaisuutena", valassa sanotaan.

Ihmiset ovat siis pelänneet jo 2 500 vuotta sitten, että heidän tietonsa leviävät parantajalta muille kuin on tarkoitus.

Lääkärin ja potilaan tai terapeutin ja asiakkaan välit perustuvat luottamukseen.

Aarnion mukaan Psykoterapiakeskus Vastaamon tietomurron takia tuo luottamus on nyt mennyt.

– Luottamuksen juuret eivät ole teknologiassa, käyttäjätunnuksissa tai salasanoissa vaan ihmisten välillä, hän sanoo.

– Koska kysymys on niin herkästä asiasta ja tälläista palvelua on tuotettu yhtään takki auki, niin se on verinen vääryys.

Vastaamo-keissi on tietomurron lisäksi digitaalista väkivaltaa

Aarnio sai pitkän uransa tietosuojavaltuutettuna virallisesti päätökseen lauantaina.

Valtakunnan virallisen jyrähtelijän viimeisille työviikoille sattui tietomurto, joka saattaa olla Suomen rikoshistorian laajin rikosjuttu asianosaisten määrällä mitattuna.

Aarnio on ollut Vastaamo-jupakan aikana kuitenkin lomalla eikä ole juurikaan kommentoinut julkisuudessa.

Nyt hän kuitenkin jyrähtää.

Hän voi tehdä sen ensimmäistä kertaa 23 vuoteen nappikset jalassa tekonurmella, rakastamansa futispallo kainalossa, ilman viran tuomaa painolastia.

Vastaamo-keissi on Aarnion mukaan törkeä kauhuesimerkki siitä, mitä voi tapahtua, jos tietosuoja pettää.

– Vaikka Vastaamo-keissistä minulla ei ole kovin paljon tietoa, niin sen verran voisin vielä jyrähtää, että organisaatioiden vastuuhenkilöt eivät näköjään vieläkään tajua omaa vastuutaan tietosuoja-asioissa.

Yritysten johto ulkoistaa omaa vastuutaan sellaisille toimijoille, joilla ei ole tarpeeksi osaamista, ja lopulta kuluttajat kärsivät.

– Ja juuri se on verinen vääryys, Aarnio tuhahtaa.

Kysymys ei Aarnion mielestä ole vain tietomurrosta tai tietovuodosta, vaan kyse on "digitaalisesta väkivallasta". Se on Aarnion itsensä aikoinaan lanseeraama käsite.

– Potilaat ovat joutuneet digitaalisen pahoinpitelyn uhreiksi. Se pitäisi mielestäni ottaa tämän teon arvioinnissa huomioon, Aarnio sanoo.

Hän pitää tilannetta niin vakavana, että onnettomuustutkintalautakunnan pitäisi tulla mukaan perkaamaan tapausta. Aiemmin samaa on ehdottanut (siirryt toiseen palveluun) tiede- ja kulttuuriministeri Annika Saarikko (kesk.).

– Onnettomuustutkintalautakunnan olisi pitänyt jo kymmenen vuotta sitten tulla mukaan tietomurtoja tutkimaan, Aarnio sanoo.

Tietosuoja on iloinen missio

Ihmisen oikeus omiin tietoihinsa on ollut Aarnion intohimo monta kymmentä vuotta.

Helsingin yliopistosta oikeustieteilijäksi ** **vuonna 1981 valmistunut Aarnio astui tietosuojavaltuutetuun toimistoon nelikymppisenä, vuonna 1997. Toimisto oli perustettu kymmenisen vuotta aiemmin.

Elettiin aikaa, kun matkapuhelinta oli hädin tuskin keksitty, eikä tietosuojasta oikein edes puhuttu.

– Ihmiset ajattelivat silloin, että vitsit, mikä toi juttu on, hän muistelee kuinka tietosuojasta puhuttiin.

Hän sai ensimmäiseksi tehtäväkseen miettiä, tarvitaanko Suomeen tietoturvalaki.

– Ensimmäiset kymmenen vuotta menin tietosuojavaltuutetun toimistoon joka päivä sen mission kanssa, että tietosuoja on iloinen asia, sillä se tarkoittaa ihmisen oikeutta omiin tietoihinsa.

Sittemmin maailma on muuttunut täysin erilaiseksi.

– Nyt jokainen ihminen saa hallinnon tiedot käyttöönsä ja voi ostaa keneltä tahansa mitä tahansa kotisohvaltaan 24/7.

Viimeisinä virkavuosinaan Aarnio sai maaliin Suomen siirtymisen yhteiseurooppalaisen tietosuoja-asetuksen aikaan. (siirryt toiseen palveluun)

Vuonna 2018 käyttöön otetun asetuksen tarkoitus on antaa parempi suoja henkilötiedoille digiaikana.

Tsunami opetti, miten kriisitilanteessa voi toimia

Vaikka lainsäädännön ja kuluttajan oikeuksien pitäisi nyt olla paremmalla mallilla kuin koskaan, Vastaamon kaltainen kauhutapaus pääsi sattumaan.

– Miksi niin usein täytyy oppia kantapään tai epäonnistumisen kautta? kysyy Aarnio.

Kantapään kautta oppimisesta tietosuoja-asioista Aarnio ottaa esille vuoden 2004 tsunamin ja 8–vuotiaan Vilja Eerikan tapauksen.

Yli 200 000 ihmistä Itä-Aasiassa tappaneen tsunamin yhteydessä suomalaiset sukeltajat perustivat nimilistoja ja sivuston, jonka kautta suomalaiset pystyivät etsimään omaisiaan.

Aarnion mukaan tsunami osoitti miten kriisitilanteissa voi toimia – tietosuoja huomioiden.

– Tuolloin kysyttiin ja mietittiin, että estääkö tietosuoja jonkun tiedon toimittamisen ja niin edespäin.

Tietosuoja ei estänyt Aarnion mukaan silloin uhrien pelastamista, vaan pikemminkin auttoi.

– Tsunamin aikana luotiin nopeasti teknologiselle alustalle sellainen sanomanvälitysjärjestelmä, jonka avulla saatiin pelastettua ihmisiä. Siitä ehkä opittiin, että on hyvä miettiä, miten tällaisessa kriisitilanteessa toimitaan.

Myös Vastaamo-skandaalin yhteydessä yksityinen ihminen on rakentanut verkkopalvelun, jonka avulla kiristyksen uhriksi joutuneet ovat pystyneet tarkistamaan, onko kiristyksen uhriksi joutuneen tiedot julkaistu verkossa. Sivuston laillisuuteen tietosuojavaltuutettu ei tosin ole vieläkään ottanut kantaa ja se on tällä hetkellä suljettu.

Vilja Eerikan tapauksessa 8-vuotias tyttö kuoli vuonna 2012 sen jälkeen, kun hänen isänsä ja äitipuolensa olivat pitkään pahoinpidelleet ja kiduttaneet häntä. Lastensuojelun ja terveydenhuollon henkilökunta saivat virkarikossyytteen, koska ne eivät olleet reagoineet useisiin tytöstä tehtyihin lastensuojeluilmoituksiin.

– Tuolloinkin väitettiin, että tietosuoja esti viranomaisia puuttumasta, Aarnio muistelee.

– Tämänkin tapauksen yhteydessä nousi esiin klassinen "tietosuoja estää" -näkemys, mistä ei tietenkään ollut kysymys.

Aarnion mukaan lait Eerikan pelastamiseksi olivat kyllä olemassa jo tuolloin, mutta niitä ei osattu käyttää oikein. Esimerkiksi oli jo olemassa laki oikeudesta saada ja luovuttaa tietoja viranomaisille.

– Ihmiset eivät aina osaa oikein erottaa, mikä on oikeuksia tukevan tietosuojasäännöksen ja salassapitopäätöksen ero.

Reijo Aarnio
Tietoturva on iloinen asia, Reijo Aarnio sanoo. Vastaamo-keissiä hän pitää herätyksenä. Kristiina Lehto / Yle

Suomalaisten pitäisi päästä omaan sosiaaliseen mediaan

Aarnion iso harmituksen aihe on teknologia-alan markkinoiden voimakas keskittyminen muutaman yhtiön varaan.

– Esimerkiksi Applella, Googlella, Facebookilla ja Androidilla on niin hallitseva markkina-asema, että se johtaa johtaa siihen, että henkilötiedot ovat määränsä arvoista rahaa. Ja siitä pidetään kynsin hampain kiinni, hän toteaa.

– Me olemme odottaneet kuin kuuta nousevaa sellaistapalvelua, jota ei tarvitse pelätä.

Parasta olisi, jos eurooppalaiset tai suomalaiset rakentaisivat itse esimerkiksi oman sosiaalisen mediansa eurooppalaisille sisämarkkinoille.

– Suomalaiset voisivat käyttää suomalaista sosiaalista mediaa, hän fantasioi.

Aarnio harmittelee myös sitä, miksi kuluttajat ja kansalaiset ylipäätään pakotetaan sosiaaliseen mediaan.

– Pahimmillaan se näkyy siinä, että jotkut viranomaiset ovat siirtyneet tiedottamaan vain sosiaalisessa mediassa, ja sehän ei kaikkia kansalaisia tavoita.

"Yksi vahtija Valvirassa ei riitä, vaan pitää saada nopeasti kaupallisia toimijoita"

Tuhansien vuosien ajan Hippokrateen vala on velvoittanut lääkäreitä pitämään potilaiden tiedot ominaan. Valan rikkoja menettää arvostuksensa.

Nyt moni pelkää, uskaltaako lääkärille tai terapeutille kertoa asioitaan. Aarnio on huolissaan siitä, että luottamuksen takaisin saamiseen kestää kauan – ja valitettavasti tämäkin asia piti oppia kantapään kautta.

Vastaamo-keissi on Aarnion mielessä paitsi kauhuesimerkki, myös herättäjä.

Vaikka myös kansalaisten on syytä ryhdistäytyä tietosuoja-asioissa ja alkaa lukea eri palveluiden "käyttöohjeita", Aarnio on sitä mieltä, että vastuu on yrityksillä ja organisaatioilla.

Kenen siis pitäisi korjata tämä Vastaamo-keissiin liittyvä "verinen vääryys", kuten ex-tietosuojavaltuutettu itse katastrofia kutsuu?

– Kuluttajaa ei pidä liikaa vastuuttaa, vaan palveluntuottajien pitää itse hoitaa turvallisuus ja pystyä osoittamaan, että ne ovat tehneet kaikki temput, jotka lainsäädäntö edellyttää.

Niiden on huolehdittava, että käyttäjän tiedot ovat turvassa, kuten tietosuoja-asetus edellyttää.

– Ihmisten ei pitäisi joutua kysymään, onko palveluiden käyttäminen turvallista vai ei.

Aarnio kaipaa valvonta-apua kaupallisilta toimijoita myös potilastietojen turvallisen säilytyksen valvontaan.

– Valvirassa yksi henkilö on vahtimassa tätä. Onko todellakin yhden ihmisen varassa, että potilasturvallisuus toteutuu? Eikö olisi näiden toimijoiden tehtävä varmistaa, että he toimivat laillisesti? ex-virkamies Aarnio kysyy.

Ja vastaa itse:

– Me tarvitsemme turvallisuuden varmistamiseen nopeasti kaupallisia palveluita. Yksi vahtija Valvirassa ei riitä, eikä tietosuojan toteutumisen valvonnan pitäisi olla ainoastaan viranomaisten tehtävä, Aarnio jyrähtää.

Reijo Aarnio harrastaa jalkapallon pelaamista.
Paljasjalkainen stadilainen futaa ja pyöräilee rakastamansa meren äärellä. Reijo Aarnio aikoo pysyä kunnossa, sillä hän aikoo tehdä vielä töitä. Kristiina Lehto / Yle

Aarnio aikoo jatkaa töitä: "Informaatio-oikeus on nastaa"

Ex-tietosuojavaltuutettu ei aio alkaa kokopäiväiseksi pallonpelaajaksi, vaikka onkin luovuttanut valtakunnan virallisen jyrähtelijän tittelin seuraajalleen, Anu Talukselle.

– Jatkan työelämässä vielä muutaman vuoden. Minulla on virtaa, ja siksi yritän pitää kondista yllä, paljasjalkainen stadilainen sanoo Lehtisaaren jalkapallokentällä.

65-vuotias mies ei vielä paljasta mitä hän aikoo työelämässä tehdä, mutta kaikesta päätellen se liittyy jollakin tavalla ihmisten oikeuksiin omiin tietoihinsa. Sitä, palaako hän bisneksen pariin, hän ei paljasta.

– Tietosuoja ja informaatio-oikeus on ollut ihan älyttömän nasta oikeudenala. Ei ole kahta samanlaista kahta samanlaista päivää, ja uskon, että minulla on jatkossakin annettavaa työelämään, entinen virkamies sanoo.

Reijo Aarnio tähyilee jo tulevaisuuteen eläkepäiviä.
Meri, ulkoilu ja luottavainen optimismi on pitänyt Suomen pitkäaikaisimman tietosuojaltuutetun, Reijo Aarnion, kunnossa. Kristiina Lehto / Yle

Lue myös:

Google sai voiton EU:n tuomioistuimessa – oikeus tulla unohdetuksi ei ole globaali

Uudeksi tietosuojavaltuutetuksi Anu Talus – Reijo Aarnio jää eläkkeelle

Rikoksesta tuomitut haluavat poistaa tietojaan Google-hauista – tietosuojavaltuutettu jarruttelee intoa

KHO antoi merkittävän ennakkopäätöksen: Googlen poistettava murhasta tuomitun tiedot hakutuloksistaan

Google ei anna periksi – kiista murhasta tuomitun tietojen poistamisesta jatkuu KHO:ssa

Googlelle ensimmäiset poistomääräykset Suomesta – rikoksesta tuomittujen tietoja halutaan pois netistä

Suomi ei voi määrätä sakkoa Facebookille – Somejättien rankaisu vaatii EU:n jäsenmaiden yhteistyötä

Suomi ei olekaan EU-tietosuojan mallioppilas – Tutkijoiden mukaan Suomi toimii laittomasti nettiseurannan valvonnassa

Lue seuraavaksi