Yle: Vastaamo arvioi tietomurron uhrien määrän aluksi moninkertaisesti pienemmäksi

Asia paljastui viranomaisilmoituksesta, jonka yritys lähetti tapahtuneen jälkeen tietosuojavaltuutetulle. Emmi Korhonen / LEHTIKUVA

Antti Salmensaari, Lassi Lapintie, Viivi Salminen / STT

Psykoterapiakeskus Vastaamo arvioi yritykseen kohdistuneen tietomurron uhrien määräksi alun perin noin tuhatta asiakasta. Asiasta kertoi ensimmäisenä Yle , jonka mukaan asia paljastui viranomaisilmoituksesta, jonka yritys lähetti tapahtuneen jälkeen tietosuojavaltuutetulle.

Asian vahvistaa STT:lle apulaistietosuojavaltuutettu Jari Råman, jonka mukaan Vastaamon alkuperäinen arvio perustui yhtiön siinä vaiheessa tekemään selvitykseen. Poliisin mukaan murto on tosiasiassa koskenut kymmenientuhansien asiakkaiden tietoja.

– Tämä on tietoturvaloukkauksissa aika normaali tilanne, että sitten kun asiaa keretään selvittämään tarkemmin, se määrä muuttuu. Monesti se muuttuu toiseen suuntaan, eli ensin arvioidaan että (uhreja) on todella paljon, mutta sitten luku rupeaa pienenemään. Tässä tapauksessa on käynyt toisin päin, Råman kertoo STT:lle.

Tietosuojavaltuutetulla ei vielä alkuperäisen ilmoituksen saamisen hetkellä ollut syytä epäillä, että Vastaamon ilmoittama noin tuhannen uhrin lukumäärä olisi ollut näinkin pahasti alakanttiin.

– Ei vielä siinä hetkessä, mutta sittenhän se lähti tarkentumaan lokakuun alussa, kun kerettiin katsomaan ja pidettiin palaveria heidän kanssaan, Råman kertoo.

Apulaistietosuojavaltuutetun mukaan Vastaamon tapaus on yhä "vahvasti selvitysvaiheessa".

Tietosuojavaltuutettu käski yhtiötä viestimään asiakkaille

Ylen näkemän ilmoituksen mukaan Vastaamon toimitusjohtaja Ville Tapio ja kaksi muuta työntekijää saivat kiristyssähköpostin 28. syyskuuta. Vastaamo ilmoitti tapahtuneesta tietosuojavaltuutetulle seuraavana päivänä, muttei nähnyt tarpeelliseksi ilmoittaa asiasta rekisteröidyille asiakkaille henkilökohtaisesti. Vastaamon ilmoituksen mukaan se olisi vaatinut "kohtuutonta vaivaa".

Ylen mukaan Vastaamo näyttää arvioineen virheellisesti tietomurron koskevan vain asiakastapaamisia vuosina 2012–2014. Yritys arvioi tuolloin kirjattujen yhteystietojen ehtineen jo vanhentua.

Tietosuojavaltuutettu määräsi myöhemmin Vastaamon tiedottamaan tapahtuneesta asiakkailleen henkilökohtaisesti. Vastaamon murrettu potilastietojärjestelmä oli yrityksen itsensä kehittämä.

Yhtiöt voivat tietosuoja-asetuksen mukaan vedota kohtuuttomaan vaivannäköön perusteena sille, ettei kaikille asiakkaille kerrota tietomurrosta henkilökohtaisesti ja tiedottaminen tehdään vain julkisena tiedonantona.

Vastaamon tietomurron kohdalla tietosuojavaltuutettu kuitenkin katsoi, ettei perustelu ollut pätevä.

– Päädyimme lopulta määräämään henkilökohtaisen ilmoittamisen.

Syy henkilökohtaiseen ilmoittamiseen velvoittamisessa oli Råmanin mukaan tarve saada tieto loukkauksesta mahdollisimman hyvin perille tilanteessa, jossa erittäin arkaluonteisia tietoja oli joutunut vääriin käsiin.

Hallitus neuvottelee Vastaamon uhreista

Kulttuuri- ja tiedeministeri Annika Saarikon (kesk.) mukaan hallituksen pöydällä on tänään Vastaamon tietomurron uhrien auttaminen. Saarikon mukaan poliittisena tahtona on ollut henkilötunnuksen vaihtamisen helpottaminen. Hänen mukaansa nähtäväksi jää, miten ja kuinka nopeasti se tapahtuu.

Säätytalolle saapunut perhe- ja peruspalveluministeri Krista Kiuru (sd.) sanoi ennen neuvottelujen alkua, että muille ministereille esitellään tänään sitä, mihin toimiin pitäisi ryhtyä.

Sähköisten palveluiden kehittämisestä vastaa kuntaministeri Sirpa Paatero (sd.), mutta hän ei kommentoinut asiaa Säätytalolla.

Kommentoi