Tietosuojavaltuutetun toimiston törkeistä laiminlyönneistä antamat sakot ovat Vastaamon konkurssipesälle viimesijainen maksettava. Kymmenien miljoonien vaatimukset tulevat sitä ennen.

Kuva: Emmi Korhonen / Lehtikuva

Helmikuussa konkurssiin asetettu Psykoterapiakeskus Vastaamo rikkoi yleistä tietosuoja-asetusta eli gdpr:ää lyömällä laimin henkilötietojen turvalliseen käsittelyyn sekä tietoturvaloukkauksesta ilmoittamiseen liittyviä velvollisuuksiaan, kertoo tietosuojavaltuutetun toimisto.

Toimiston seuraamuskollegio pitää laiminlyöntejä erittäin vakavina ja Vastaamon menettelyä ilmoitusvelvollisuuden laiminlyönnissä tahallisena. Viranomainen määräsi Vastaamolle hallinnollisen seuraamusmaksun kooltaan 608?000 euroa.

Vastaamo ilmoitti tietomurrosta tietosuojavaltuutetulle syyskuussa 2020. Lokakuussa apulaistietosuojavaltuutettu velvoitti yritystä ilmoittamaan tietoturvaloukkauksesta asiakkaille henkilökohtaisesti. Lisäksi tietosuojavaltuutetun toimisto alkoi tutkia Vastaamon toiminnan lainmukaisuutta.

Vastaamoon kohdistui kaksi murtoa, joulukuussa 2018 ja maaliskuussa 2019. Apulaistietosuojavaltuutetun mukaan Vastaamon olisi tullut ilmoittaa asiakkailleen ja tietosuojavaltuutetulle tietoturvaloukkauksesta jo maaliskuussa 2019, jolloin potilastietokanta varastettiin. Vastaamossa oltiin asiasta tietoisia.

Vastaamon it-työntekijät ja entinen toimitusjohtaja ovat vierittäneet vastuuta toisilleen siitä, kuka tiesi tapahtumista. It-työntekijät ovat väittäneet toimitusjohtaja Ville Tapion käskeneen heidän vaieta ja Tapio sanoo tiedon pimitetyn häneltä.

Vastaamon konkurssin jälkeen sen asioita on hoitanut konkurssipesä, jota hoitaa asianajotoimisto DLA Piper Finland. Nyt langetettu seuraamusmaksu lisää konkurssipesän rasitetta. Marraskuussa konkurssipesän varat olivat 1,4 miljoonaa euroa ja velat 23 miljoonaa.

Pieni osa Vastaamon asiakkaista haki korvauksia konkurssipesältä. Nyt annetut sakot eivät kuitenkaan vähennä mahdollisia korvauksia, sillä ne ovat viimesijainen saatava. Käytännössä se tarkoittanee sitä, ettei sakoille tule maksajaa.

Asiakkaiden korvaukset ovat kuitenkin jäämässä pieniksi. Marraskuussa konkurssipesän asiakkaille lähettämän sähköpostin mukaan yksittäisen asiakkaan saamat korvaukset olisivat korkeintaan 100 euroa, mahdollisesti paljon vähemmän.

Lue lisää: Vastaamon asiakkaat saamassa korkeintaan 100 euroa - vain murto-osa vaati korvauksia

Tietoturvayhtiö Nixun teknisen tutkinnan mukaan Vastaamon potilastietojärjestelmän palvelimen ylläpidossa ei noudatettu turvallisen palvelun ylläpidon parhaita käytäntöjä ja suojausmenetelmiä. Tämä altisti palvelimen verkkohyökkäyksille.

Murron uskotaan mahdollistuneen tietokannan suojaamattoman tietoliikenneportin kautta, eikä tietokannan root-pääkäyttäjätunnusta ollut suojattu salasanalla. Käyttäjätunnukselle annettiin myös oikeus kirjautua tietokantaan etänä. Kaikkiaan palvelin oli ilman suojausta välillä 26.11.2017-13.3.2019.

Lue lisää: Vastaamon palvelimen portti 3306 oli auki nettiin 1,5 vuotta ja kiristys alkoi jo 2018 - julkisuuskatastrofia viivytettiin viimeiseen asti

Tietosuojavaltuutetun toimiston selvitys on eri asia kuin poliisitutkinta, jossa tutkitaan Vastaamon henkilökunnan epäiltyä tietosuojarikosta. Poliisi on ilmoittanut epäilevänsä "alle 10 henkilöä", ja tutkinta on määrä saada päätteeseen ennen vuodenvaihdetta.

Vastaamon asiakkailla on mahdollisuudet hakea korvauksia myös rikosoikeudellisen prosessin kautta.

Tietosuojavaltuutetun toimiston päätös ei ole lainvoimainen.