Tietosuojavaltuutettu määräsi Vastaamolle yli 600 000 euron seuraamusmaksun

Tietosuojavaltuutetun toimiston seuraamuskollegio on määrännyt Psykoterapiakeskus Vastaamolle 608 000 euron suuruisen hallinnollisen seuraamusmaksun tietosuoja-asetuksen säännösten rikkomisesta.

Apulaistietosuojavaltuutettu antoi Vastaamolle myös huomautuksen tietosuoja-asetuksen rikkomisesta.

Tietosuojavaltuutetun toimiston tiedotteen mukaan Vastaamo on laiminlyönyt sekä henkilötietojen turvalliseen käsittelyyn sekä tietoturvaloukkauksesta ilmoittamiseen liittyviä velvollisuuksiaan. Laiminlyöntejä pidetään erittäin vakavina.

– Huolimattomuutta tietojen suojauksessa voidaan pitää törkeänä. Lisäksi rikkomukset ovat olleet pitkäkestoisia.

Vastaamo oli yksi Suomen suurimmista psykoterapiapalvelujen tarjoajista. Viime vuoden lokakuussa se kertoi joutuneensa tietomurron ja kiristyksen kohteeksi. Tietomurrossa vietyjä, arkaluontoisia asiakastietoja on julkaistu netissä muun muassa pimeässä Tor-verkossa, ja asiakkaille lähetettiin kiristysviestejä.

Vastaamo asetettiin konkurssiin Helsingin käräjäoikeuden päätöksellä helmikuussa 2021.

Hallinnollinen sakko on konkurssissa viimesijainen saatava. Viimesijaiset saatavat suoritetaan nimensä mukaisesti kaikkien muiden jälkeen, mikä voi monesti johtaa siihen, että niiden velkojat eivät enää saa osuuttaan konkurssista.

Seuraamusmaksu ei siis pienennä muihin konkurssisaataviin, kuten mahdollisiin vahingonkorvauksiin, käytettävissä olevia varoja.

Tietoturvaloukkauksesta olisi tullut ilmoittaa havaitsemisen jälkeen

Tietoturvayhtiö Nixun lokakuussa 2020 valmistuneen teknisen tutkinnan perusteella ulkopuolinen taho pääsi kirjautumaan Vastaamon potilastietokantaan luvatta ainakin kaksi kertaa, joulukuussa 2018 ja maaliskuussa 2019.

Apulaistietosuojavaltuutetun mukaan Vastaamon oli täytynyt olla jo maaliskuussa 2019 tietoinen siitä, että potilastietojärjestelmän tiedot ovat hävinneet ja saattaneet joutua ulkopuolisen hyökkääjän haltuun. Yritys kuitenkin viivytteli asiasta tiedottamisesta niin viranomaisille kuin asiakkaille.

– Vastaamon olisi tullut ilmoittaa tietoturvaloukkauksesta sekä tietosuojavaltuutetulle että asiakkailleen viivytyksettä, sillä loukkaus on aiheuttanut rekisteröidyille korkean riskin, apulaistietosuojavaltuutettu totesi.

Lisäksi Nixun teknisen tutkinnan mukaan Vastaamon potilastietojärjestelmän palvelimen ylläpidossa ei noudatettu turvallisen palvelun ylläpidon parhaita käytäntöjä ja suojausmenetelmiä, mikä on altistanut palvelimen verkkohyökkäyksille.

Seuraamuskollegio piti laiminlyöntejä erittäin vakavina ja Vastaamon menettelyä ilmoitusvelvollisuuden laiminlyönnissä tahallisena. Kollegion mukaan asianmukaisesta turvallisuudesta huolehtiminen ei olisi vaatinut Vastaamolta kohtuuttomia toimenpiteitä ottaen huomioon esimerkiksi ne riskit, jotka asiakkaille asiasta aiheutuivat.

KRP kertoi lokakuussa edenneensä jutun tutkinnassa

Keskurikospoliisi (KRP) mukaan noin 22 000 ihmistä on tehnyt rikosilmoituksen tietomurtoon liittyen.

KRP tutkii asiassa törkeää tietomurtoa, törkeää kiristystä ja törkeää yksityiselämää loukkaavan tiedon levittämistä. Tutkinnasta tekevät erityisen haastavaa nettirikollisuuden globaali luonne ja tutkittavana olevan aineiston laajuus.

KRP kertoi lokakuussa edistyneensä merkittävästi Vastaamon tietomurron tutkinnassa. KRP:n mukaan tutkinnassa on vahvistunut "kiinnostava tutkintalinja", joka suuntautuu Euroopan ulkopuolelle.

Poliisi on selvittänyt myös sitä, onko tietomurrossa vietyjä Vastaamon asiakkaiden henkilötietoja käytetty esimerkiksi identiteettivarkauksiin tai petoksiin. KRP:n mukaan laajamittaista hyväksikäyttöä ei ole toistaiseksi havaittu.

Etusivulla nyt

Luetuimmat