Psykoterapiakeskus Vastaamolle 608 000 euron seuraamusmaksu tietosuojarikkomuksista
16.12.2021 | OikeusuutisetTietosuojavaltuutetun toimisto on määrännyt Psykoterapiakeskus Vastaamolle hallinnollisen seuraamusmaksun yleisen tietosuoja-asetuksen säännösten rikkomisesta. Vastaamo on laiminlyönyt henkilötietojen turvalliseen käsittelyyn sekä tietoturvaloukkauksesta ilmoittamiseen liittyviä velvollisuuksiaan. Puutteita havaittiin myös osoitusvelvollisuuden mukaisen dokumentaation laatimisessa.
Psykoterapiakeskus Vastaamo ilmoitti tietosuojavaltuutetulle potilastietokantaan kohdistuneesta hyökkäyksestä syyskuussa 2020. Apulaistietosuojavaltuutettu määräsi lokakuussa 2020 Vastaamon ilmoittamaan tietoturvaloukkauksesta henkilökohtaisesti asiakkaille, joiden henkilötietoja oli viety. Lisäksi tietosuojavaltuutetun toimisto käynnisti selvityksen Vastaamon toiminnan lainmukaisuudesta.
Vastaamo on asetettu konkurssiin Helsingin käräjäoikeuden päätöksellä helmikuussa 2021. Vastaamo on lakannut harjoittamasta taloudellista toimintaa, mutta se käsittelee yhä henkilötietoja. Vastaamo vastaa rekisterinpitäjänä potilastietojen lainmukaisesta käsittelystä ja säilytysaikojen noudattamisesta.
Tietoturvaloukkauksesta olisi tullut ilmoittaa havaitsemisen jälkeen
Tietoturvayhtiö Nixun lokakuussa 2020 valmistuneen teknisen tutkinnan perusteella ulkopuolinen taho on päässyt kirjautumaan Vastaamon potilastietokantaan luvatta ainakin kaksi kertaa, joulukuussa 2018 ja maaliskuussa 2019. Tarkkaa ajankohtaa tietokannan vuotamiselle ei kuitenkaan pystytty tutkinnassa varmuudella määrittelemään, sillä riittäviä lokitietoja tietoturvaloukkausten tapahtuma-ajalta ei ollut säilytetty. Dokumentaation puutteellisuuden vuoksi myöskään hyökkääjän käyttämiä verkkoyhteysosoitteita tai tekniikoita ei ole pystytty yksilöimään.
Potilastietokanta on todennäköisesti tuhottu ja palautettu yhden päivän aikana maaliskuussa 2019. Teknisessä tutkinnassa ilmeni, että potilastietojärjestelmän palvelimelle oli tuolloin jätetty kiristysviesti, jonka mukaan hyökkääjä olisi ladannut tietokannan itselleen. Vastaamolle kuuluvalla käyttäjätunnuksella on erittäin todennäköisesti käsitelty kiristysviestiä kyseisenä päivänä.
Apulaistietosuojavaltuutettu katsoo tutkinnasta ilmenneiden tietojen perusteella, että Vastaamon on täytynyt tulla jo maaliskuussa 2019 tietoiseksi siitä, että potilastietojärjestelmän tiedot ovat hävinneet ja saattaneet joutua ulkopuolisen hyökkääjän haltuun. Vastaamon olisi tullut ilmoittaa tietoturvaloukkauksesta sekä tietosuojavaltuutetulle että asiakkailleen viivytyksettä, sillä loukkaus on aiheuttanut rekisteröidyille korkean riskin.
Ilmoitusvelvollisuuden kannalta ratkaisevaa ei ole, missä asemassa työskennelleet henkilöt ovat tienneet tietoturvaloukkauksesta. Rekisterinpitäjä vastaa ilmoitusvelvollisuutta koskevien toimintatapojen olemassaolosta ja noudattamisesta.
Joulukuussa 2018 tapahtuneen luvattoman kirjautumisen ilmitulon ajankohta, siitä rekisteröidyille todennäköisesti aiheutunut riski ja ilmoitusvelvollisuuden olemassaolo jäivät selvityksen perusteella epäselväksi.
Laiminlyöntejä potilastietojen turvallisen käsittelyn perustoimenpiteissä
Nixun teknisen tutkinnan mukaan Vastaamon potilastietojärjestelmän palvelimen ylläpidossa ei noudatettu turvallisen palvelun ylläpidon parhaita käytäntöjä ja suojausmenetelmiä, mikä on altistanut palvelimen verkkohyökkäyksille.
Todennäköisin syy potilastietokannan vuodolle on ollut tietokannan suojaamaton MySQL-portti, jossa tietokannan root-pääkäyttäjätunnusta ei ollut suojattu salasanalla. Käyttäjätunnukselle oli myös annettu oikeus kirjautua tietokantaan mistä tahansa IP-osoitteesta. Potilastietokannan palvelin on ollut ilman palomuurisuojausta auki internetiin vähintään 26.11.2017 ja 13.3.2019 välisen ajan.
Apulaistietosuojavaltuutettu katsoo, että henkilötietoja ei ollut asianmukaisesti suojattu luvattomalta ja lainvastaiselta käsittelyltä tai vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta, eikä Vastaamo ollut toteuttanut henkilötietojen turvallisen käsittelyn perustoimenpiteitä. Puutteellisen dokumentaation vuoksi Vastaamo ei myöskään pystynyt osoittamaan, että se olisi noudattanut asianmukaista turvallisuutta koskevia vaatimuksia.
Tietosuojarikkomuksista huomautus ja seuraamusmaksu
Apulaistietosuojavaltuutettu antoi Vastaamolle huomautuksen tietosuoja-asetuksen rikkomisesta. Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi lisäksi Vastaamolle 608 000 euron suuruisen hallinnollisen seuraamusmaksun.
Seuraamuskollegio pitää laiminlyöntejä erittäin vakavina ja Vastaamon menettelyä ilmoitusvelvollisuuden laiminlyönnissä tahallisena. Kollegio toteaa, että asianmukaisesta turvallisuudesta huolehtiminen ei olisi vaatinut Vastaamolta kohtuuttomia toimenpiteitä tietojen käsittelyn luonteen, laajuuden ja asiakkaille aiheutuvat riskit huomioon ottaen. Kollegio katsoo, että huolimattomuutta tietojen suojauksessa voidaan pitää törkeänä. Lisäksi rikkomukset ovat olleet pitkäkestoisia.
Seuraamusta lieventävinä seikkoina huomioitiin muun muassa Vastaamon toimet rekisteröidyille aiheutuneen vahingon pienentämiseksi. Raskauttavina seikkoina seuraamuskollegio otti huomioon esimerkiksi käsiteltyjen tietojen arkaluonteisuuden sekä puutteet joulukuussa 2018 tapahtuneen tietoturvaloukkauksen dokumentoinnissa.
Hallinnollinen sakko on konkurssissa viimesijainen saatava. Seuraamusmaksu ei siis pienennä muihin konkurssisaataviin, kuten mahdollisiin vahingonkorvauksiin käytettävissä olevia varoja.
Päätökset eivät vielä ole lainvoimaisia.