Vuoden 2018 marraskuussa merkittävän psykoterapiapalveluita tarjoavan yrityksen Vastaamo Oy:n (”Vastaamo”) järjestelmien tietoturvahaavoittuvuus johti siihen, että tuntematon hakkeri varasti vähintään 40 000 potilaan nimet, henkilötunnukset ja potilastiedot.
Asian tutkinta on edelleen kesken, eikä kaikkia tapaukseen liittyviä tietoja ole saatavilla, joten tapauksen yksityiskohdissa on paljon epävarmuutta. Toistaiseksi on kuitenkin kerrottu, että vähintään yksi Vastaamon avainhenkilöistä on ilmeisesti ollut tietoinen tietomurrosta, mutta jättänyt ilmoittamatta tapahtuneesta.
Tietomurto tuli yleiseen tietoon 21.10.2020, kun joku (”hakkeri”) alkoi ladata internetiin varastamiaan tietoja, kuten yksityiskohtaisia tietoja terapiaistunnoista, potilaiden nimiä ja muita henkilötietoja 100 potilaan erissä. Hakkeri aikoi jatkaa potilaiden tietojen julkaisemista, kunnes bitcoineina vaaditut lunnaat olisi maksettu. Maksuvaatimukset lähetettiin Vastaamon lisäksi myös osalle asiakkaista, joiden tiedot oli varastettu.
Tilanteen teki entistä monimutkaisemmaksi se, että pääomasijoittajayritys Intera Partners (”Intera”) osti Vastaamon ennen kuin tietoturvaloukkaus tuli julkisuuteen. Intera onkin ilmoittanut aikovansa haastaa Vastaamon aiemmat omistajat oikeuteen, koska he eivät kertoneet tietoturvaloukkauksesta yrityskauppaprosessin aikana.
Hakkerin varastama ja julkaisema tieto on arkaluontoisinta kuviteltavissa olevaa tietoa: se sisältää yksityiskohtaista mielenterveyttä tai muuta potilaan ja terapeutin välistä erittäin sensitiivistä ja luottamuksellista tietoa, kuten esimerkiksi hoitosuunnitelmia ja potilas on tunnistettavissa esimerkiksi nimen perusteella ja tietoihin voi yhdistyä henkilöturvatunnus. Tietoturvan ja henkilötietojen näkökulmasta tällaisten tietojen tuleminen julkiseksi on katastrofaalista. Kyseessä on epäilemättä vakavin Suomessa julki tullut tietoturvaloukkaus ja mahdollisesti yksi merkittävimmistä tai vakavimmista henkilötietojen tietoturvaloukkauksista koko Euroopassa. Tämän kaltaisten erittäin sensitiivisten tietojen tuleminen julkiseksi henkilökohtaisella tasolla pahimmillaan musertavaa tietomurron uhrien kannalta, mutta sen lisäksi tietoja voidaan valitettavasti käyttää myös identiteettivarkauksiin kuten esimerkiksi lainan hakemiseen tai sopimusten tekemiseen tietomurron uhrien nimissä.
Vaikka tapauksen tutkinta on vasta alkanut ja käytettävissä on toistaiseksi vähän tietoja, näyttää siltä, että Vastaamon tietoturvan ja tietosuojan taso ei ole ollut riittävä erittäin arkaluontoisten henkilötietojen käsittelyyn. Tapauksesta voidaan ja on syytä ottaa opiksi. Monet terveydenhuoltopalveluiden tarjoajat varmasti auditoivatkin jo parhaillaan järjestelmiensä ja palveluiden tietoturvan ja tietosuojan tasoa.
Tämä varoittava esimerkki osoittaa myös, että vaikka EU:n henkilötietojen suojaa koskeva sääntely ovat maailman tiukimpia ja tarjoavat korkeatasoista suojaa rekisteröidyn oikeuksille, ei riitä, että säännöt toimivat paperilla: ne on myös pantava täytäntöön ja niiden täytäntöönpanoa on tarvittaessa valvottava.
Laajamittaisten tietoturvaloukkausten kaltaisten katastrofaalisten henkilötietovuotojen ehkäiseminen ja niiden seurausten lieventäminen on yksi EU:n yleisen tietosuoja-asetuksen (”GDPR”) ja koko EU:n yksityisyyden suojaa koskevan lainsäädäntökehyksen tärkeimmistä tehtävistä. GDPR käsittää on lukemattomia päällekkäisiä säännöksiä, joiden tarkoituksena on sekä estää ja ehkäistä näiden tilanteiden syntymistä että lieventää niiden aiheuttamia vahinkoja. GDPR:n mukaan esimerkiksi:
Tietojärjestelmät on rakennettava alusta alkaen siten, että niissä huolehditaan henkilötietojen suojaamisesta (Sisäänrakennettu ja oletusarvoinen tietosuoja, 25 artikla),
Riskitasoa vastaavan turvallisuustason varmistamiseksi on toteutettava asianmukaiset toimenpiteet, mukaan lukien henkilötietojen pseudonymisointi ja salaus sekä säännölliset tarkastukset (32 artikla).
Tietoturvaloukkauksista on ilmoitettava valvontaviranomaiselle ilman aiheetonta viivytystä ja viimeistään 72 tunnin kuluessa ja rekisteröidyille ilman aiheetonta viivytystä (33–34 artikla).
Jos henkilötiedot ovat erityisen arkaluontoisia, riskien arvioinnin perusteella olisi käytettävä muita teknisiä ja oikeudellisia suojatoimia (esimerkiksi 9 ja 35 artikla).
Rekisterinpitäjän (eli henkilötiedoista vastuussa olevan tahon) on pystyttävä osoittamaan, että se noudattaa aktiivisesti GDPR:n vaatimuksia (24 artikla, ns. osoitusvelvollisuus).
Edellä mainittujen säännösten ja koko GDPR:n yhteinen nimittäjä on riskilähtöisyys ja riskien arviointi. Mitä arkaluontoisempia henkilötiedot ovat, sitä tarkemmin ja ennakoivammin rekisterinpitäjän on toimittava, jotta se voi varmistaa kyseisten henkilötietojen yksityisyyden ja tietoturvan. Sen on myös varmistettava, että henkilötietojen käsittelyssä käytettävä järjestelmä on turvallinen, ja toteutettavia riittäviä lisäsuojatoimia sen varmistamiseksi, että mahdollisen tietoturvaloukkauksen aiheuttamat vahingot voidaan minimoida. Säännölliset tarkastukset parantavat tietoturvan tasoa, ja lisäksi ne antavat rekisterinpitäjälle mahdollisuuden osoittaa tietosuojaviranomaisille, yksittäisille rekisteröidyille ja liikekumppaneille, että yritys on toteuttanut tarvittavat suojatoimet.
Vastaamon tietomurron yksityiskohdat ovat edelleen epäselviä, mutta jo nyt näyttää siltä, että yrityksen järjestelmät ja käytännöt eivät ole olleet riittäviä erittäin arkaluontoisten potilastietojen käsittelyyn. On itsetutkiskelun aika: yritysten, jotka käsittelevät erityisiä henkilötietoryhmiä, kuten terveyteen, geneettiseen informaation, etniseen taustaan tai biometriikkaan liittyviä tietoja, on tarkasteltava prosessejaan ja tehtävä tarvittaessa auditointeja luotettavien kolmansien osapuolten tuella. Näin voidaan varmistaa, että yrityksillä on käsittelemiensä henkilötietojen määrään ja laatuun nähden sopiva tietoturvataso. Tarvittaessa yritysten tulisi myös tarkentaa ja täsmentää henkilötietojen käsittelykäytäntöjään. Lisäksi rekisterinpitäjillä tulisi olla suunnitelma (1) tietoturvaloukkausten nopeaan havaitsemiseen ja (2) niihin reagointiin, jotta vahingot jäisivät mahdollisimman pieniksi.
Tapaukseen liittyy myös kysymys siitä, kenellä on toimivalta valvoa tietosuoja-asetuksen täytäntöönpanoa ja arvioida sitä, onko henkilötietojen käsittely toteutettu asianmukaisesti. Tietosuojaviranomaiset voivat alkaa tutkia muiden yritysten käytäntöjä ennakoivasti ja tarvittaessa käyttää GDPR:n mukaisia valtuuksiaan saadakseen yritykset parantamaan prosessejaan. Tämä tarkoittaa, että arkaluontoisia tietoja käsittelevien yritysten on kyettävä pyydettäessä osoittamaan toimintansa vaatimustenmukaisuus.
Jäljellä on vielä Intera/Vastaamo-yrityskauppaan liittyvä asiakokonaisuus. Kauppa toteutettiin siis tietomurron jo tapahduttua, mutta ennen sen tulemista julkiseksi. Tietomurtoa ei kuitenkaan havaittu yrityskaupan yhteydessä tehdyssä due diligence ‑prosessissa. Tämä korostaa sitä, miten tärkeää on arvioida yrityskaupan yhteydessä myös henkilötietoihin ja tietoturvaan liittyvät riskit, kun kyseessä on erityisen arkaluontoisia henkilötietoja käsittelevä yritys.
Blogin kirjoittajat, asiantuntijamme Suvi Julin ja Arttu Ahava auttavat mielellään kaikissa artikkelin herättämissä kysymyksissä.