Tietosuoja tutuksi, osa 12: Tietosuojavuoden 2021 päätös ja case Vastaamo

Tietosuoja tutuksi, osa 12: Tietosuojavuoden 2021 päätös ja case Vastaamo

Apulaistietosuojavaltuutettu on joulukuussa 2021 antanut päätöksensä koskien Psykoterapiakeskus Vastaamon tietomurtoja. Tässä Tietosuoja tutuksi -blogisarjan päätösosassa luomme katsauksen päätöksen perusteluihin ja siihen, mitä tapauksesta voidaan oppia.

Päätöksen perustelut ja määrätty seuraamusmaksu

Apulaistietosuojavaltuutettu katsoi päätöksessään, että Vastaamo on laiminlyönyt lakisääteisiä velvoitteitaan koskien henkilötietojen turvallista käsittelyä ja tietoturvaloukkauksesta ilmoittamista. Myös rekisterinpitäjän osoitusvelvollisuuden mukaisen dokumentaation laatimisessa havaittiin puutteita.

Turvallisuus. Tehdyn selvityksen mukaan Vastaamon potilastietojärjestelmän palvelimen ylläpidossa ei noudatettu parhaita käytäntöjä ja suojausmenetelmiä, mikä on altistanut palvelimen erilaisille verkkohyökkäyksille. Vastaamo ei siten ollut toteuttanut henkilötietojen turvallisen käsittelyn perusperiaatteita.

Ilmoitusvelvollisuus. Vastaamo ilmoitti tietoturvaloukkauksesta tietosuojavaltuutetulle 29.9.2020 ja apulaistietosuojavaltuutetun määräyksen johdosta asiakkailleen 22.10.2020. Apulaistietosuojavaltuutettu on päätöksessään katsonut, että Vastaamo on ollut tietoinen tietoturvaloukkauksesta jo 15.3.2019. Päätöksen perusteluissa todetaan, ettei ilmoitusvelvollisuuden kannalta ratkaisevaa ole se, missä asemassa työskennelleet henkilöt ovat tienneet tietoturvaloukkauksesta. Vastaamon olisi tullut ilmoittaa tietoturvaloukkauksesta sekä tietosuojavaltuutetulle että asiakkailleen viivytyksettä.

Dokumentaatio. Tietoturvaloukkauksen tapahtuma-ajalta ei ollut säilytetty riittäviä lokitietoja esim. tietomurron tarkan ajankohdan määrittelemiseksi. Tämän johdosta myöskään hyökkääjän käyttämiä verkkoyhteysosoitteita tai tekniikoita ei pystytty yksilöimään. Puutteellisen dokumentaation johdosta Vastaamo ei myöskään pystynyt osoittamaan tukea väitteelleen siitä, että se olisi noudattanut asianmukaista turvallisuutta koskevia vaatimuksia.

Laiminlyöntien johdosta Vastaamolle määrättiin yhteensä 608.000 euron suuruinen hallinnollinen seuraamusmaksu. Seuraamusmaksu on suurin Suomessa tähän mennessä annettu. On kuitenkin huomattava, että Vastaamo on asetettu konkurssiin helmikuussa 2021, ja konkurssissa hallinnollinen sakko on viimesijainen saatava. Sakolla on kuitenkin pelotevaikutus suhteessa muihin rekisterinpitäjiin.

Mitä tapauksesta voidaan oppia?

  1. Tietosuoja on riippuvaista tietoturvasta. Vaatimustenmukaista henkilötietojen käsittelyä ei voida toteuttaa ilman asianmukaisin teknisin ja organisatorisin toimenpitein varmistettua tietoturvaa.
  2. Kaikkien on varauduttava tietoturvaloukkauksiin. Poikkeustilanteita tapahtuu. Niiden varalta organisaatiossa on oltava valmiina dokumentoitu prosessikuvaus, joka on henkilöstön käytössä ja jota osataan tarpeen vaatiessa noudattaa.
  3. Tietosuoja on koko organisaation yhteinen asia. Kaikilla organisaatioon kuuluvilla on oltava tieto sisäisistä tietosuojakäytänteistä sekä kyky havaita ja tunnistaa poikkeustilanteet.
  4. Dokumentaatiolla on keskeinen rooli. Ilman asianmukaisesti laadittua dokumentaatiota rekisterinpitäjä ei voi osoittaa henkilötietojen käsittelyn olevan vaatimustenmukaista. Dokumentaatio ei kuitenkaan ole itseisarvo. Osoitusvelvollisuutta rikotaan myös tilanteissa, jossa dokumentaation sisältö ei vastaa organisaation todellisuutta.

 

Avustamme joustavasti erilaisissa tietosuojaan liittyvissä kysymyksissä. Tutustu esimerkiksi valmiisiin tietosuojapaketteihimme, joilla organisaation tietosuoja saadaan kokonaisuudessaan vastaamaan sille lainsäädännössä asetettuja vaatimuksia. Otathan yhteyttä, jos haluat kuulla palveluistamme lisää.

Anni Halinen

Lakimies | OTM | CIPP/E

Jaa sosiaalisessa mediassa:

Facebook
Twitter
LinkedIn