1. yle.fi
  2. Uutiset

Vastaamo on lähettänyt henkilötunnuksia sähköpostissa suojaamatta laskun mukana – asiantuntija: "Vastoin kaikkia sääntöjä"

Vastaamo ei kommentoi asiaa. Tietosuojavaltuutetun mukaan laskuun ei saisi laittaa henkilötunnusta.

Vastaamon tietomurto
Psykoterapiakeskus Vastaamo Helsingissä
Vastaamo on lähettänyt ainakin joillekin asiakkaille laskuja, joissa henkilötunnus on näkyvillä. Markku Ulander / Lehtikuva

Vastaamo on lähettänyt ainakin osalle asiakkaistaan sähköpostilla laskuja, joissa on ollut henkilötunnus suojaamatta.

Yle on nähnyt kolme tällaista laskua, jossa henkilötunnus on ollut Y-tunnuksen paikalla. Kahdessa kyseessä on ollut asiakas ja yhdessä läheiselleen ajan varannut henkilö.

Yle pyysi haastateltavia peittämään osan henkilötunnuksesta, kun nämä näyttivät laskua.

Tietosuojavaltuutettu (siirryt toiseen palveluun)Reijo Aarnion ohjeistuksen (siirryt toiseen palveluun) mukaan yritys ei saa käyttää henkilötunnusta laskuissa. Tiedossa ei ole, onko käytäntö Vastaamolla vielä käytössä tai kuinka laajaa osaa asiakkaista käytäntö koskee.

Vastaamo ei halunnut kommentoida asiaa keskiviikkona.

– Vastaamolla ei ole nyt aiheeseen uutta kommentoitavaa. Olemme viime päivinä kertoneet kaiken sen, mitä asiasta on tässä vaiheessa kerrottavaa, Vastaamon hallituksen puheenjohtaja Tuomas Kahri vastasi sähköpostilla.

Yle kysyi käytännöstä tietoturvaan perehtyneeltä Windows-asiantuntijalta Sami Laiholta. Myös hänen laskussaan on henkilötunnus näkyvillä.

– Henkilötunnuksen välittäminen sähköpostilla, täysin suojaamattomana, on vastoin kaikkia sääntöjä, Laiho kertoo.

Vastaamo kertoi viime viikolla, että siltä on viety asiakkaiden henkilökohtaisia tietoja. Tietomurron uhreja voi olla kymmeniätuhansia.

Tietosuojavaltuutettu: Ei saa käyttää laskuissa

Tietosuojavaltuutettu Reijo Aarnio kertoi kesällä määränneensä (siirryt toiseen palveluun) erään organisaation muuttamaan käytäntöä, jossa henkilötunnusta oli käytetty laskuissa asiakkaiden identifiointiin. Asiakkaille osoitettuihin laskuihin oli merkitty laskun saajan nimen lisäksi hänen henkilötunnuksensa.

Tietosuojavaltuutetun toimisto oli saanut kantelun käytännöstä, jossa organisaatio oli lisännyt vastaanottajien henkilötunnukset terveydenhuollon palvelua koskeviin laskuihin. Syy henkilötunnuksen merkitsemiseen on organisaation mukaan ollut henkilöiden yksilöiminen.

Tietosuojavaltuutetun mukaan tämä ei ole tietosuojalainsäädännön mukaista.

Valtiokonttori on antanut myyntilaskuja koskevan määräyksen, jossa todetaan, ettei henkilötunnusta tule merkitä laskulle. Tietosuojalaki puolestaan edellyttää, että henkilötunnusta ei tule merkitä tarpeettomasti henkilörekisterin perusteella tulostettuihin tai laadittuihin asiakirjoihin.

Eduskunnan oikeusasiamies linjasi jo vuonna 2011 (siirryt toiseen palveluun), että salassa pidettäviä tietoja ei saa lähettää suojaamattomassa sähköpostissa.

Lisätty klo 15.44 tieto, että vastaavia laskuja on ollut lisää.

Lue lisää:

Vastaamo-kiristäjä teki pahan virheen perjantaina, sanoo F-Securen Hyppönen: "Hän päästi käsistään kaikkein tärkeimmän tietonsa"

"Tämä on nyt henkilökohtaista": Tietotuvan huippuasiantuntijan omat tiedot vietiin Vastaamolta - auttaa jäljittämään rikollista

Lue seuraavaksi