Vastaamon entiset potilaat vaativat jopa 10 000 euron korvauksia tietomurrosta – konkurssipesä pitää 2 500:aa euroa ylärajana

Vastaamolta vahingonkorvauksia vaatineet potilaat ovat saaneet ensimmäisen arvion heille mahdollisesti maksettavista hyvityksistä. Vahingonkorvausten saaminen on kuitenkin monimutkaisen ja epävarman tien takana.

Vastaamon tietomurto tuli yleiseen tietoon syksyllä 2020, kun kiristäjä julkaisi kymmeniä tuhansia potilaskertomuksia netissä. Kuva: Silja Viitala / Yle

Psykoterapiakeskus Vastaamon konkurssipesä on ensimmäistä kertaa arvioinut asiakkaille maksettavien vahingonkorvauksien enimmäismäärää. Konkurssipesän mukaan yksityishenkilöt voisivat saada korvauksia enimmillään 2 500 euroa.

Arvio selviää tiedotteesta, jonka pesänhoitaja on lähettänyt velkojille. Summa ei kuitenkaan tarkoita sitä, että vahingonkorvauksia vaativat saisivat tuon rahamäärän.

– Tämä arvio ei ole pesänhoitajan lopullinen kannanotto hyväksyttävään vahingonkorvaussaatavan määrään, pesänhoitaja Nina Aganimov viestittää Ylelle.

Itä-Suomen yliopiston julkisoikeuden professorin Tomi Voutilaisen mukaan vahingonkorvausten saaminen Vastaamon tietomurrosta on monimutkainen prosessi. Tässä vaiheessa on vielä epäselvää, millaisia korvauksia asiakkaat saavat – vai saavatko mitään.

– Jos konkurssipesä sellaisen [2 500 euron] summan hyväksyy, asiakkaan kannattaisi lähtökohtaisesti hyväksyä. Tuomioistuimessa korvaus voi olla olennaisesti pienempikin tai sitä ei saa lainkaan, Voutilainen arvioi.

Tuhannet hakeneet vahingonkorvauksia Vastaamolta

Vastaamon potilastietojärjestelmiin kohdistui tietomurto vuonna 2019. Kymmenien tuhansien potilaiden tiedot julkaistiin nettiin syksyllä 2020.

Vastaamo hakeutui tietomurron vuoksi konkurssiin alkuvuodesta 2021. Velkojia ovat lähinnä pankit, mutta myös tuhannet Vastaamon asiakkaat ovat vaatineet konkurssipesältä vahingonkorvauksia tietomurrosta.

Tietovuodon uhri voi saada korvauksia esimerkiksi henkisestä kärsimyksestä tai henkilötietojen väärinkäytön aiheuttamista taloudellisista vahingoista.

Tietosuojavaltuutetun toimisto selvittää parhaillaan, onko Vastaamo rikkonut EU:n tietosuoja-asetusta (GDPR). Asetus määrittelee, miten henkilötietojen käsittelijöiden tulee huolehtia tietoturvasta. Selvityksen lopputulos vaikuttaa siihen, pitääkö pesänhoitaja korvausvaatimuksia perusteltuja.

Suomen Potilasvahinkoapu Oy:n toimitusjohtaja Joni Siikavirta edustaa velkojaintoimikunnassa Vastaamolta korvauksia hakevia asiakkaita. Hänen mukaansa vahingonkorvausvaatimukset liikkuvat 1 000–10 000 euron välillä.

– Summa riippuu vähän siitä, miten vakava vahinko on ollut. Mutta minusta pesänhoitajan ehdottama summa on aika realistinen, hän sanoo.

Jos vahingonkorvauksien maksusta ei päästä sopuun, riita-asia ratkaistaan käräjäoikeudessa. Vastaamon konkurssipesän asettama määräpäivä korvausvaatimusten lähettämiseen umpeutui kesäkuussa. Pesänhoitaja Nina Aganimov viestittää kuitenkin Ylelle, että tietomurron perusteella tehtäviä vaatimuksia voi edelleen lähettää maksutta konkurssipesälle.

"Toivoa on, mutta määrästä on turha puhua"

Vahingonkorvausten saaminen Vastaamon konkurssipesältä on mutkikkaan ja epävarman tien takana. Helsingin Sanomat on aiemmin uutisoinut (siirryt toiseen palveluun), että yhtiön velat ylittivät varat moninkertaisesti.

Laissa on säädetty, missä järjestyksessä saatavia maksetaan konkurssipesästä. Varoja jaetaan yleensä siinä suhteessa, kuinka suuret saatavat velkojalla on. Rikosuhripäivystys on havainnollistanut sivuillaan vahingonkorvausten hakemista (siirryt toiseen palveluun).

Ensin ovat jonossa sellaiset velkojat, joilla on vakuutena yrityskiinnityksiä. Näitä on tyypillisesti pankeilla. Helsingin Sanomien mukaan pelkästään Osuuspankilla oli helmikuussa enemmän saatavia Vastaamolta kuin konkurssipesässä oli varoja.

Tämän jälkeen ovat vuorossa muut saajat, kuten vahingonkorvauksia vaativat potilaat. Heitä edustavan Joni Siikavirran mielestä toivoa korvauksista on, vaikka vakuuksia asettaneet pankit ovatkin etusijalla.

– Ei voi sanoa niinkään, että pankit vievät pesästä kaiken ja muille ei jää mitään. Yksityishenkilöiden on mahdollista saada korvauksia, mutta mahdollisesta määrästä on turha puhua vielä.

Professori Tomi Voutilaisen mukaan julkiselta puolelta Vastaamoon lähetetyt asiakkaat ovat vahingonkorvausten suhteen vahvemmassa asemassa kuin muut. Tämä johtuu siitä, että lähettävä organisaatio on rekisterinpitäjä. Jos henkilötietojen käsittelijä (Vastaamo) ei kykene maksamaan korvauksia, ne tulevat rekisterinpitäjän maksettavaksi.

Tietosuojavaltuutettu voi määrätä jättisakon, mutta kuka maksaa?

Vasta viimeisenä konkurssipesästä maksetaan julkisoikeudelliset seuraamusmaksut. Tähän kategoriaan todennäköisesti kuuluu mahdollinen GDPR-maksu, joka voi langeta rekisterinpitäjän maksettavaksi EU:n tietosuoja-asetuksen rikkomisesta.

Jos tietosuojavaltuutettu katsoo Vastaamon rikkoneen tietosuoja-asetusta, se voi määrätä jopa 20 miljoonan euron seuraamusmaksun. Mutta koska velkojia on paljon, konkurssipesällä on huonot mahdollisuudet maksaa GDPR-sakkoa.

– Siinä valtio jäisi kyllä nuolemaan näppejään, Tomi Voutilainen arvioi.

Hänen mukaansa Vastaamon tapaus saattaakin muodostaa valtion kannalta kiusallisen ennakkotapauksen: yritys voi välttää vastuun myymällä liiketoiminnan ja hakeutumalla konkurssiin. Vastaamon liiketoiminta myytiin Vervelle.

– Ehkä tietosuojavaltuutettu katsoo silloin, että Vastaamon liiketoiminnan ostanut voisi olla vastuussa. Mutta se on aika pitkälle menevää tulkintaa. Tämä voi päätyä vielä Euroopan unionin tuomioistuimeen ennakkoratkaisuna.

Vastaamon konkurssipesä järjestää velkojainkokouksen myöhemmin lokakuussa. Kysymystä vahingonkorvauksista ei ratkaista siellä. Kokoukseen haluavien yksityisvelkojien on erikseen ilmoittauduttava, mikäli he haluavat osallistua.

Rikosperusteiset korvaukset ovat toinen vaihtoehto

Konkurssipesältä saatavat vahingonkorvaukset eivät ole ainoa mahdollisuus saada hyvitystä tietomurrosta. Rikosilmoituksen tehneet voivat vaatia korvauksia myös rikosperusteisesti.

Poliisi tutkii Vastaamon tapausta törkeänä tietomurtona, törkeänä kiristyksenä ja törkeänä yksityiselämää loukkaavana tiedon levittämisenä. Lisäksi poliisi epäilee Vastaamon henkilökuntaan kuuluvia tietosuojarikoksesta.

Henkilövahinkoasiain neuvottelukunta on linjannut suositeltavia vahingonkorvauksia eri rikosnimikkeille. Kiristyksessä summa on 500–2 000 euroa, yksityiselämää loukkaavassa tiedon levittämisessä 400–5 000 euroa ja tietosuojarikoksessa 300–800 euroa.

Rikosperusteisen korvauksen saaminen edellyttää kuitenkin sitä, että joku todetaan syylliseksi mainittuihin rikoksiin ja hän kykenee maksamaan korvaukset.

Tietomurtajan ja kiristäjän henkilöllisyyden selvittäminen on työlään tutkinnan takana. Poliisi on kuitenkin koko ajan suhtautunut asiaan toiveikkaasti.

– Olemme edistyneet merkittävästi. Minun mielestä on selkeästi nähtävissä, että joku tai jotkut voidaan saada tästä vastuuseen, tutkinnanjohtaja Marko Leponen keskusrikospoliisista sanoo.

Lue lisää:

Artikkelia korjattu 19.10.2021 kello 11.48: Toisin kuin artikkelin alkuperäisessä versiossa luki, Vastaamon konkurssipesälle voi edelleen toimittaa tietomurron perusteella korvausvaatimuksia, vaikka alkuperäinen määräaika onkin umpeutunut.