Tietosuojavaltuutetun toimistolta seuraamusmaksu Vastaamolle tietosuojarikkomuksista
Tietosuojavaltuutetun toimisto tiedottaa määränneensä Psykoterapiakeskus Vastaamolle hallinnollisen seuraamusmaksun yleisen tietosuoja-asetuksen säännösten rikkomisesta. Vastaamo on laiminlyönyt velvollisuuksiaan, jotka liittyvät henkilötietojen turvalliseen käsittelyyn sekä tietoturvaloukkauksesta ilmoittamiseen. Tämän lisäksi puutteita havaittiin dokumentaation laatimisessa.
Psykoterapiakeskus Vastaamo ilmoitti tietosuojavaltuutetulle potilastietokantaansa kohdistuneesta hyökkäyksestä syyskuussa 2020. Tällöin tietosuojavaltuutetun toimisto käynnisti selvityksen Vastaamon toiminnan lainmukaisuudesta. Vastaamo asetettiin konkurssiin Helsingin käräjäoikeuden päätöksellä helmikuussa 2021. Vastaamo ei enää harjoita taloudellista toimintaa, mutta se käsittelee yhä henkilötietoja. Se vastaa rekisterinpitäjänä potilastietojen lainmukaisesta käsittelystä ja säilytysaikojen noudattamisesta.
Apulaistietosuojavaltuutetun mukaan Vastaamoa koskevasta tutkinnasta ilmeni, että Vastaamon on täytynyt olla jo maaliskuussa 2019 tietoinen siitä, että potilastietojärjestelmän tiedot ovat hävinneet ja saattaneet joutua ulkopuolisen hyökkääjän haltuun. Tällöin Vastaamon olisi tullut ilmoittaa tietoturvaloukkauksesta sekä tietosuojavaltuutetulle että asiakkailleen viipymättä, sillä loukkaus aiheutti rekisteröidyille korkean riskin. Rekisterinpitäjä on vastuussa ilmoitusvelvollisuutta koskevista toimintatavoista ja niiden noudattamisesta.
Teknisen tutkinnan mukaan Vastaamon potilastietojärjestelmän palvelimen ylläpidossa ei noudatettu turvallisen palvelun ylläpidon parhaita käytäntöjä ja suojausmenetelmiä. Tämä on tehnyt palvelimen alttiiksi verkkohyökkäyksille. Potilastietokannan vuoto on todennäköisesti ollut seurausta suojaamattomasta MySQL-portista. Potilastietokannan palvelin oli ollut ilman palomuurisuojausta ainakin 26.11.2017 ja 13.3.2019 välisen ajan.
Apulaistietosuojavaltuutettu katsoo, ettei henkilötietoja ollut asianmukaisesti suojattu luvattomalta ja lainvastaiselta käsittelyltä tai vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta. Vastaamo ei myöskään ollut toteuttanut henkilötietojen turvallisen käsittelyn perustoimenpiteitä. Vastaamon dokumentaatio oli puutteellista, minkä takia se ei pystynyt osoittamaan, että asianmukaista turvallisuutta koskevia vaatimuksia olisi noudatettu.
Apulaistietosuojavaltuutettu antoi Vastaamolle huomautuksen tietosuoja-asetuksen rikkomisesta. Tämän lisäksi tietosuojavaltuutetun toimiston seuraamuskollegio määräsi Vastaamolle 608 000 euron suuruisen hallinnollisen seuraamusmaksun.
Seuraamuskollegion mukaan laiminlyönnit ovat erittäin vakavia ja Vastaamon menettely ilmoitusvelvollisuuden laiminlyönnissä tahallista. Kollegio katsoo, että asianmukaisesta turvallisuudesta huolehtiminen ei olisi vaatinut Vastaamolta kohtuuttomia toimenpiteitä. Näin ollen huolimattomuutta tietojen suojauksessa voidaan pitää törkeänä. Rikkomukset olivat myös pitkäkestoisia.
Seuraamusta lieventäviä seikkoja olivat esimerkiksi Vastaamon toimet rekisteröidyille aiheutuneen vahingon pienentämiseksi. Raskauttavia seikkoja puolestaan olivat käsiteltyjen tietojen arkaluonteisuus sekä puutteet dokumentoinnissa joulukuussa 2018 tapahtuneen tietoturvaloukkauksen osalta.
Hallinnollinen sakko on viimesijainen saatava konkurssissa. Tämä tarkoittaa, että seuraamusmaksu ei pienennä muihin konkurssisaataviin, kuten mahdollisiin vahingonkorvauksiin käytettävissä olevia varoja.
Tietosuojavaltuutetun toimiston päätökset eivät ole vielä lainvoimaisia.
Tietosuojavaltuutetun toimiston tiedotteen pääset lukemaan täältä.
Kuva: Markus Spiske sivustolta Unsplash
Kirjoittajat
