Terveystietoja ja henkilötunnuksia saattoi päätyä paperinkeräykseen Utajärvellä – nyt selvitetään, onko tietoturvaloukkausta tapahtunut

Oulunkaaren kuntayhtymä ja muut vastuutahot joutuvat nyt tarkoin selvittämään, pitääkö joihinkin henkilöihin ottaa yhteyttä tietosuojaloukkauksen vuoksi, kerrotaan tietosuojavaltuuten toimistosta.

Utajärveläiset ihmettelevät henkilötietojen katoamista
Utajärveläiset ihmettelevät henkilötietojen katoamista

Mahdollisesti jopa satojen ihmisten terveys- ja henkilötietoja päätyi vahingossa paperinkeräykseen Utajärvellä Pohjois-Pohjanmaalla. Asiasta uutisoitiin eilen torstaina.

Mahdollinen henkilötietojen tietoturvaloukkaus johtanee nyt tarkkoihin ja aikaa vieviin selvityksiin. Selvittelytyön edetessä asiaan liittyviin henkilöihin voidaan olla yhteydessä.

  • Pääkuvan videosta voit katsoa, miten uutiseen suhtauduttiin Utajärvellä.

Oulunkaaren kuntayhtymä, Oulunkaaren työterveys Oy ja Utajärven kunta ovat tehneet tapauksesta ilmoituksen valtakunnalliselle tietosuojavaltuutetulle.

Oulunkaaren kuntayhtymän ja muiden vastuutahojen on nyt selvitettävä, pitääkö asiakirjoissa mainittuihin henkilöihin ottaa yhteyttä tietoturvaloukkauksen vuoksi. Pelkästään väärin tehty hävittäminen ei automaattisesti johda jokaisen kyseessä olevan henkilön etsimiseen erikseen, jos on vain pieni riski sille, että tiedot olisivat päätyneet vääriin käsiin.

– Pitää arvioida se, aiheutuuko ihmisille korkeaa riskiä, kertoo apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa.

Selvityksessä kartoitetaan, onko mahdollista, että ulkopuolinen ihminen on nähnyt esimerkiksi terveydentilaa koskevia tietoja.

– On mahdollista, että tässä ei ole tapahtunut vakavaa tilannetta. Jos tiedot ovat joka tapauksessa menneet tuhottavaksi, eivätkä olisi ainakaan laajasti päätyneet kolmansien osapuolien haltuun, Pihamaa pohtii.

Oulunkaaren kuntayhtymän tämän hetkisten tietojen mukaan asiakirjat olisivat menneet suoraan paperinkeräyksestä vastaavan yrityksen terminaaliin, jossa ne olisi luultavasti silputtu ja laitettu paalikoneeseen.

Pihamaan mukaan yleensä kynnys ilmoittaa henkilöille itselleen täyttyy, jos asiakirjoissa on ollut esimerkiksi terveydentilaa koskevia tietoja. Varsinkin, jos tällaisia tietoja sisältäneiden dokumenttien silppuaminen ei ole ollut aivan varmaa, ilmoitusvelvollisuus on olemassa.

– Ellei pystytä osoittamaan sitä, että tässä ei olisi tieto vaarantunut matkan varrella.

Tietoturvaloukkauksista ilmoitetaan koko ajan enemmän

Apulaistietosuojavaltuutettu toteaa, että vastuutahojen on nyt pohdittava, miten tällainen tilanne jatkossa voidaan välttää. Lisäksi on arvioitava, onko hävitetty myös dokumentteja, joissa olisi ollut säilyttämisvelvollisuus.

– Valitettavasti tällaisia inhimillisestä virheestä johtuvia tilanteita tapahtuu. Meille ensisijaisen tärkeää on, että rekisterinpitäjä ilmoittaa tällaisesta loukkauksesta, tunnistaa sen ja tekee arvion rekisteröidyille ilmoittamisesta.

Pihamaan mukaan tietosuojavaltuutetun toimistoon tulevat henkilötietojen tietoturvaloukkaukset perustuvatkin useimmiten inhmilliseen virheeseen.

Tietosuojavaltuutetut ovat vastaanottaneet tietoturvaloukkauksia koskevia ilmoituksia vuonna 2018 uudistuneen lainsäädännön jälkeen. Niiden määrä on Pihamaan mukaan ollut ajan kuluessa kasvava.

Pihamaa kertoo, että vuodessa vireille tulee noin 11 000 asiaa, joista lähes 45 prosenttia on tietoturvaloukkausilmoituksia.

– Ehkä pientä kasvusuuntaisuutta on ollut trendeissä, mutta se voi tarkoittaa, että on ymmärretty lain sisältö ja velvollisuus ilmoittaa viranomaisille ja ihmisille.