Tietoturvaloukkaus - Potilastiedot - Ilmoitusvelvollisuus

Säädösperusta:	EU:n yleisen tietosuoja-asetuksen mukainen päätös
Antopäivä:	07.12.2021
Diaarinumero:	1150/161/2021

Rekisterinpitäjä

Psykoterapiakeskus Vastaamo Oy (Y-tunnus 2212204-1)

Apulaistietosuojavaltuutetun päätös

Asian tausta

Psykoterapiakeskus Vastaamo Oy (jäljempänä ”Vastaamo”) on tehnyt tietosuojavaltuutetulle tietoturvaloukkausta koskevan ilmoituksen 29.9.2020. Ilmoituksen mukaan Vastaamo on saanut 28.9.2020 uhkauskirjeen, jossa hakkeri ilmoittaa kopioineensa Vastaamon potilastietokannan. Uhkauskirjeen liitteenä on ollut näyte potilastietokannasta.

Vastaamo on täydentänyt tietoturvaloukkausta koskevaa ilmoitusta 2.11.2020. Täydennysilmoituksen mukaan uhkauskirjeen liitteenä olleiden tietojen on varmistettu olevan peräisin Vastaamon potilastietokannasta. Lisäksi ilmoituksen mukaan on selvinnyt, että tietomurto on todennäköisesti tapahtunut jo marraskuussa 2018, ja potilastietojärjestelmän puutteellisen suojauksen vuoksi maaliskuussa 2019 on tapahtunut toinen tietomurto.

Keskusrikospoliisi on antanut Vastaamon edustajille esitutkintalain (805/2011) 11 luvun 5 §:n mukaisen ilmaisukiellon 13.10.2020 ja 15.10.2020. Ilmaisukielto on kumottu 21.10.2020. Apulaistietosuojavaltuutettu on 22.10.2020 määrännyt Vastaamon ilmoittamaan tietoturvaloukkauksesta rekisteröidyille henkilökohtaisesti.

Rekisterinpitäjä

Vastaamo on asetettu konkurssiin Helsingin käräjäoikeuden päätöksellä 15.2.2021 (Helsingin käräjäoikeuden päätös 15.2.2021, K 21/6151). Vastaamo on ilmoittanut Sosiaali- ja terveysalan lupa- ja valvontavirastolle (jäljempänä ”Valvira”) yksityisen terveydenhuollon palvelujen lopettamisesta 1.3.2021 lukien (Valviran ilmoitus ”Yksityisen terveydenhuollon palvelujen lopettaminen”, 26.4.2021, Dnro V/11061/2021). Verve Terapia Oy:n (jäljempänä ”Verve”) 11.2.2021 päivätyn tiedotteen mukaan Verve on solminut esisopimuksen Vastaamon psykoterapialiiketoiminnan ostamisesta. Liiketoimintakaupan myötä Vastaamon psykoterapiapalvelut ovat siirtyneet Verveen 2.3.2021 alkaen. Vastaamon käsittelemiä potilastietoja ei ole siirretty liiketoimintakaupan yhteydessä Verveen, vaan Vastaamolta palveluita tilanneille terveydenhuollon toimintayksiköille, ja muilta osin Kelaan toimintansa lopettaneiden yksityisten palveluntuottajien paperisten potilasasiakirjojen arkistointipalveluun.

Yleisessä tietosuoja-asetuksessa ((EU) 2016/679) (jäljempänä ”tietosuoja-asetus”) rekisterinpitäjällä tarkoitetaan muun ohella oikeushenkilöä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Jos käsittelyn tarkoitukset ja keinot määritellään Euroopan unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti.

Potilastietojen käsittelyn ensisijaisena tarkoituksena pidetään potilaan asemasta ja oikeuksista annetussa laissa (785/1992) (jäljempänä ”potilaslaki”) tarkoitetulla tavalla potilaan hoidon turvaamista.[1] Potilaan hoidon turvaamiseksi käsiteltävien potilastietojen rekisterinpitäjänä voidaan kansallisen lain nojalla pitää muun ohella potilastietolain 2 §:n 4 kohdassa tarkoitettua terveydenhuollon toimintayksikköä, joka vastaa potilaan hoidon järjestämisestä.

Konkurssilain (120/2004) mukaan velallinen menettää konkurssin alettua oikeuden määrätä konkurssipesään kuuluvasta omaisuudestaan. Päätösvaltaa konkurssipesässä käyttävät pääsääntöisesti velkojat. Pesänhoitajan päätösvaltaan kuuluu muun ohella pesäluettelon laatiminen ja saatavien selvittäminen. Pesänhoitajan tehtävänä on muun ohella ottaa haltuun pesään kuuluva omaisuus, mukaan lukien kirjanpitoaineisto ja asiakirjat, sekä huolehtia omaisuuden hoitamisesta ja säilyttämisestä. Pesänhoitajan on tehtävässään noudatettava velkojien antamia ohjeita ja määräyksiä velkojien päätösvaltaan kuuluvissa asioissa. Pesänhoitaja hoitaa konkurssipesää velkojien lukuun.

Sosiaali- ja terveysministeriön potilasasiakirjoista antaman asetuksen (298/2009) (jäljempänä ”potilasasiakirja-asetus”) mukaan potilasasiakirjoja on säilytettävä vähintään potilasasiakirja-asetuksen liitteessä tarkoitettu aika. Potilasasiakirjojen säilyttämisestä vastaa pääsääntöisesti se terveydenhuollon toimintayksikkö, jonka toiminnassa asiakirjat ovat syntyneet. Kun potilasasiakirjojen säilytysaika on päättynyt, on hoidon järjestämisestä vastaavan terveydenhuollon toimintayksikön huolehdittava siitä, että potilasasiakirjat hävitetään välittömästi.

Vastaamo on tuottanut yksityisestä terveydenhuollosta annetun lain (152/1990) mukaisia terveydenhuollon palveluita ja toiminut siten potilaan hoidon turvaamiseksi käsiteltävien potilastietojen rekisterinpitäjänä siltä osin kuin tietoja ei ole käsitelty muiden palveluita tilanneiden rekisterinpitäjien lukuun. Kun Vastaamo on asetettu konkurssiin ja Vastaamo on lopettanut terveydenhuollon palvelujen tuottamisen, Vastaamon rekisterinpidossa olleita potilastietoja ei ole siirretty Vastaamon psykoterapialiiketoiminnan ostaneelle Vervelle, vaan Kelaan säilytykseen.

Vastaamon konkurssipesä on toiminut konkurssin alkamisen jälkeen potilastietojen rekisterinpitäjänä siltä osin kuin potilastietoja on käsitelty konkurssilaista konkurssipesälle ja sen lukuun toimivalle pesänhoitajalle seuraavien velvoitteiden hoitamiseksi. Potilaan hoidon turvaamista koskevan käyttötarkoituksen osalta potilastietojen rekisterinpitäjänä on jatkanut Vastaamo velallisyhtiönä. Vastuu potilastietojen lainmukaisesta käsittelystä potilaan hoidon turvaamista varten ja kansallisessa lainsäädännössä asetettujen säilytysaikojen noudattamisesta on siten edelleen Vastaamolla rekisterinpitäjänä.

Kysymyksenasettelu

Apulaistietosuojavaltuutetun ratkaistavana on seuraavat oikeudelliset kysymykset:

1. Onko Vastaamon henkilötietojen käsittelyssä tapahtunut tietoturvaloukkaus, josta olisi tullut ilmoittaa tietosuoja-asetuksen 33 artiklan 1 kohdassa ja 34 artiklan 1 kohdassa edellytetyllä tavalla?

Jos Vastaamon henkilötietojen käsittelyssä on tapahtunut tietoturvaloukkaus, onko Vastaamo dokumentoinut tietoturvaloukkauksen siten kuin tietosuoja-asetuksen 33 artiklan 5 kohdassa edellytetään?

2. Täyttääkö Vastaamon laatima tietosuoja-asetuksen 35 artiklan 1 kohdassa tarkoitettu tietosuojaa koskeva vaikutustenarviointi tietosuoja-asetuksen 35 artiklan 7 kohdan a–d alakohdassa asetetut vaatimukset?

3. Onko Vastaamo käsitellyt henkilötietoja tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdassa ilmaistun henkilötietojen eheyden ja luottamuksellisuuden periaatteen mukaisesti tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus?

Onko Vastaamo noudattanut tietosuoja-asetuksen 24 artiklan 1 kohdassa, 25 artiklan 1 kohdassa sekä 32 artiklan 1 ja 2 kohdassa asetettuja vaatimuksia henkilötietojen eheyden ja luottamuksellisuuden periaatteen edellyttämällä tavalla?

Onko Vastaamo pystynyt tietosuoja-asetuksen 5 artiklan 2 kohdassa ilmaistun osoitusvelvollisuuden periaatteen mukaisella tavalla osoittamaan, että se on noudattanut tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdasta seuraavia vaatimuksia?

Mikäli Vastaamon henkilötietojen käsittely ei ole ollut tietosuoja-asetuksen säännösten mukaista, on asiassa ratkaistava, mikä tietosuoja-asetuksen 58 artiklan 2 kohdan mukainen seuraamus Vastaamolle on määrättävä.

Apulaistietosuojavaltuutetun päätös

1. Oikeudellinen kysymys 1:

Vastaamon henkilötietojen käsittelyssä on tapahtunut tietoturvaloukkaus 20.12.2018 ja 15.3.2019. Vastaamon olisi tullut ilmoittaa 15.3.2019 tapahtuneesta tietoturvaloukkauksesta tietosuoja-asetuksen 33 artiklan 1 kohdassa edellytetyllä tavalla tietosuojavaltuutetulle ja 34 artiklan 1 kohdassa edellytetyllä tavalla rekisteröidyille.

Vastaamo ei ole dokumentoinut 20.12.2018 tapahtunutta tietoturvaloukkausta siten kuin tietosuoja-asetuksen 33 artiklan 5 kohdassa edellytetään.

2. Oikeudellinen kysymys 2:

Vastaamon laatima tietosuoja-asetuksen 35 artiklan 1 kohdassa tarkoitettu tietosuojaa koskeva vaikutustenarviointi ei täytä tietosuoja-asetuksen 35 artiklan 7 kohdan a–d alakohdassa asetettuja vaatimuksia.

3. Oikeudellinen kysymys 3:

Vastaamo ei ole ennen marraskuuta 2020 käsitellyt henkilötietoja tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdassa ilmaistun henkilötietojen eheyden ja luottamuksellisuuden periaatteen mukaisesti tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus.

Vastaamo ei ole ennen marraskuuta 2020 noudattanut tietosuoja-asetuksen 24 artiklan 1 kohdassa, 25 artiklan 1 kohdassa sekä 32 artiklan 1 ja 2 kohdassa asetettuja vaatimuksia henkilötietojen eheyden ja luottamuksellisuuden periaatteen edellyttämällä tavalla.

Vastaamo ei ole ennen marraskuuta 2020 pystynyt tietosuoja-asetuksen 5 artiklan 2 kohdassa ilmaistun osoitusvelvollisuuden periaatteen mukaisella tavalla osoittamaan, että se on noudattanut tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdasta seuraavia vaatimuksia.

Apulaistietosuojavaltuutettu määrää edellä mainittujen tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdan, 5 artiklan 2 kohdan, 24 artiklan 1 kohdan, 25 artiklan 1 kohdan, 32 artiklan 1 ja 2 kohdan, 33 artiklan 1 ja 5 kohdan, 34 artiklan 1 kohdan sekä 35 artiklan 7 kohdan a–d alakohdan rikkomisten seuraamukseksi tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisesti huomautuksen.

Apulaistietosuojavaltuutettu katsoo, että asiassa on ratkaistava, tuleeko rikkomisten seuraamukseksi määrätä huomautuksen lisäksi tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan mukaisesti hallinnollinen sakko.

Tietosuojalain (1050/2018) 24 §:n 1 momentin mukaan tietosuoja-asetuksen 83 artiklassa säädetyn hallinnollisen sakon (hallinnollinen seuraamusmaksu) määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio.

Apulaistietosuojavaltuutetun päätöksen perustelut

1. Asiassa saatu selvitys

Apulaistietosuojavaltuutettu on pyytänyt Vastaamolta asian johdosta selvitystä 5.11.2020. Vastaamo on antanut vastauksensa selvityspyyntöön 23.11.2020 (”Vastaus selvityspyyntöön asiassa 7648/171/2020”, sisältäen liitteet 1–57e). Vastaukseen viitataan päätöksessä viitteellä ”Vastaamon vastaus selvityspyyntöön 23.11.2020”.

Apulaistietosuojavaltuutettu on varannut 17.6.2021 Vastaamolle ja Vastaamon konkurssipesälle tilaisuuden tulla kuulluksi asian alustavasta arvioinnista, arvioinnissa esitetyistä tosiseikoista sekä asiassa mahdollisesti määrättävästä seuraamuksesta. Vastaamon tapahtuma-aikainen toimitusjohtaja on Vastaamon edustajana antanut vastauksensa kuulemispyyntöön 31.8.2021 (”Vastaus selvityspyyntöön asiassa dnro 1150/161/2021”, sisältäen liitteet 1–49). Vastaukseen viitataan päätöksessä viitteellä ”Vastaamon vastaus kuulemispyyntöön 31.8.2021”.

Vastaamon konkurssipesä on antanut apulaistietosuojavaltuutetun kuulemispyyntöön vastauksensa 9.8.2021 (”Psykoterapiakeskus Vastaamo Oy:n konkurssipesän lausuma ja lisäselvitys asiassa dnro 1150/161/2021”) ja 6.9.2021.

Asiassa saatua selvitystä käsitellään tarkemmin jäljempänä päätöksen kohdassa 2.2. ja 3.2.

2. Oikeudellinen kysymys 1: henkilötietojen tietoturvaloukkausta koskevat ilmoitus- ja dokumentointivelvollisuudet

2.1. Sovellettavat säännökset

Tietosuoja-asetuksen 4 artiklan 12 kohdan mukaan henkilötietojen tietoturvaloukkauksella tarkoitetaan tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin.

Tietosuoja-asetuksen 33 artiklan 1 kohdan mukaan jos tapahtuu henkilötietojen tietoturvaloukkaus, rekisterinpitäjän on ilmoitettava siitä ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta 55 artiklan mukaisesti toimivaltaiselle valvontaviranomaiselle, paitsi jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Jos ilmoitusta ei anneta 72 tunnin kuluessa, rekisterinpitäjän on toimitettava valvontaviranomaiselle perusteltu selitys.

Tietosuoja-asetuksen 33 artiklan 5 kohdan mukaan rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, mukaan lukien henkilötietojen tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet. Valvontaviranomaisen on voitava tämän dokumentoinnin avulla tarkistaa, että tätä artiklaa on noudatettu.

Tietosuoja-asetuksen 34 artiklan 1 kohdan mukaan kun henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidyille ilman aiheetonta viivytystä.

2.2. Oikeudellinen arviointi

2.2.1. Tietoturvaloukkauksen tapahtuminen

Tietoturvayhtiö Nixun 21.10.2020 valmistuneen teknisen tutkinnan (”Forensiikkatutkinta, Vastaamo Oy”) mukaan Vastaamon potilastietokanta on hyvin todennäköisesti ladattu MySQL-tietokantaohjelmiston käyttämän avoimen internetportin kautta marraskuun 2017 ja maaliskuun 2019 välisenä aikana. Tietomurron tarkkaa ajankohtaa ei ole pystytty teknisessä tutkinnassa käytettävissä olleiden tietojen perusteella varmuudella määrittelemään. Teknisessä tutkinnassa on kuitenkin tunnistettu jokseenkin todennäköisesti, että potilastietokantaan on kirjauduttu ulkopuolisen tahon toimesta luvatta ainakin kahdesti, 20.12.2018 ja 15.3.2019.

20.12.2018 tapahtuneen kirjautumisen osalta potilastietokantaan on kirjauduttu käyttäjätunnuksella root yhdysvaltalaisesta IP-osoitteesta, jonka käyttäjä on jäänyt tuntemattomaksi. Selkeitä todisteita tietokannan varastamisesta ei ole saatu, mutta mahdollisuus tähän on ollut olemassa.

15.3.2019 tapahtuneen kirjautumisen osalta potilastietokanta on erittäin todennäköisesti tuhottu ja palautettu 15.3.2019. Yhteys potilastietojärjestelmän www-sovelluksen ja potilastietokannan välillä on katkennut 15.3.2019 klo 05:06:01 (UTC) ja klo 12:44:22 (UTC) väliseksi ajaksi. Lisäksi potilastietojärjestelmän palvelimelta on löytynyt kiristysviestin sisältävä tietokanta PLEASE_READ_ME_XMG, joka on erittäin todennäköisesti luotu hyökkääjän toimesta 15.3.2019. Kiristysviestin mukaan potilastietokanta on ladattu hyökkääjän palvelimille, ja kadonneiden tietojen palauttamista vastaan on vaadittu lunnaita. Tietojen kopioimisesta ei ole löytynyt teknisessä tutkinnassa viitteitä, mutta tietojen kopiointia ei palvelimelta löytyneiden tietojen perusteella ole myöskään voitu sulkea pois. Palvelimen PHP- ja midnight commander -lokien perusteella on erittäin todennäköistä, että potilastietokannan poistuminen liittyy löytyneeseen kiristysviestiin.

Teknisessä tutkinnassa on saatu lisäksi viitteitä siitä, että 26.11.2018 Vastaamon potilastietojärjestelmän MySQL-palvelusta on voinut siirtyä lähes gigatavun verran tietoa ruotsalaisen Mullvad-VPN-palveluntarjoajan hallinnoimaan IP-osoitteeseen. Tiedot tapahtuneesta ovat teknisen tutkinnan mukaan hyvin puutteellisia, mutta on mahdollista, että kyseinen tiedonsiirto koostuu potilastietokannan lataamisesta.

Edellä kerrotuin tavoin ulkopuolinen taho on Nixun laatiman teknisen tutkinnan perusteella päässyt kirjautumaan Vastaamon potilastietokantaan luvatta ainakin 20.12.2018 ja 15.3.2019. Lisäksi yhteys potilastietokantaan on 15.3.2019 katkennut klo 05:06:01 (UTC) ja klo 12:44:22 (UTC) väliseksi ajaksi. Kyseinen potilastietokannan poistuminen liittyy teknisen tutkinnan perusteella erittäin todennäköisesti potilastietojärjestelmän palvelimelta löytyneeseen kiristysviestiin, joka on erittäin todennäköisesti luotu hyökkääjän toimesta 15.3.2019.

Henkilötietojen tietoturvaloukkauksella tarkoitetaan tietosuoja-asetuksen 4 artiklan 12 kohdassa tietoturvaloukkausta, jonka seurauksena on henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin. Tietosuojatyöryhmä WP29:n mukaan tietosuoja-asetuksen 4 artiklan 12 kohdassa tarkoitettu henkilötietojen ”häviäminen” olisi tulkittava siten, että tiedot saattavat yhä olla olemassa, mutta ne eivät ole rekisterinpitäjän valvonnassa tai sillä ei enää ole pääsyä niihin tai tiedot eivät enää ole rekisterinpitäjän hallussa.

Vastaamon potilastietojen käsittelyssä on edellä mainituin perustein tapahtunut 20.12.2018 ja 15.3.2019 tietoturvaloukkaus, jonka seurauksena on ollut luvaton pääsy henkilötietoihin. 15.3.2019 tapahtuneen tietoturvaloukkauksen seurauksena on lisäksi ollut henkilötietojen häviäminen.

2.2.2. Tietoturvaloukkauksen ilmitulo

Tietosuoja-asetuksen 33 artiklan 1 kohdan mukainen ilmoitusvelvollisuus alkaa tietoturvaloukkauksen ilmitulosta. Tietosuojatyöryhmä WP29:n mukaan rekisterinpitäjän olisi katsottava tulleen tietoiseksi tietoturvaloukkauksesta silloin, kun sillä on kohtuullinen varmuus siitä, että on tapahtunut henkilötietoja vaarantava turvapoikkeama (Tietosuojatyöryhmä WP29: Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksesta ilmoittamisesta, WP250rev.01, annettu 3.10.2017, viimeksi tarkistettu ja hyväksytty 6.2.2018, s. 10)

Vastaamo on täydentänyt tietosuojavaltuutetulle 29.9.2020 tekemäänsä tietoturvaloukkausta koskevaa ilmoitusta 2.11.2020. Täydennysilmoituksessa annettujen tietojen mukaan 26.11.2018 alkanut ja 15.3.2019 päättynyt tietoturvaloukkaus on tullut Vastaamolle ilmi 28.9.2020.

Vastaamon 24.3.2019 Valviralle tekemän ilmoituksen (”Alustava ilmoitus vaaratilanteesta”) mukaan Vastaamon potilastietojärjestelmä on otettu tietojen katoamisen vuoksi huoltokatkolle perjantaina 15.3.2019. Uudelleenasennettu järjestelmä on palautettu käytettäväksi sunnuntaina 17.3.2019, jolloin järjestelmä on sisältänyt täydet varmuuskopiot tiedoista 5.3.2019 asti kattaen noin 99 % järjestelmän tiedoista. Loppuja noin 1 % tietoja ajanjaksolta 5.3.–14.3.2019 on jouduttu järjestelmän huoltokatkoa edeltäneiden, inhimillisistä virheistä johtuneiden varmuuskopiointisuunnitelman vastaisten varmuuskopiointi- ja lokitusasetusten vuoksi palauttamaan puoliautomatisoidusti käsittelemällä. Puuttuvat tiedot ovat Vastaamon käsityksen mukaan kuitenkin kokonaisuudessaan olemassa ja mahdollisesti palautettavissa järjestelmään, mutta tämän tutkinta on ollut vielä kesken. Vastaamon mukaan tietosuojan kannalta muuta olennaista on, että tilanteessa ei ole ollut viitteitä asiakastietojen vuotamisesta asiattomaan käyttöön.

Tietosuoja-asetuksen 4 artiklan 12 kohdassa omaksutun henkilötietojen tietoturvaloukkausta koskevan määritelmän mukaan henkilötietojen häviäminen katsotaan tietoturvaloukkaukseksi riippumatta siitä, ovatko tiedot hävinneet vahingossa vai lainvastaisesti. Vastaamo on Valviralle tekemänsä ilmoituksen mukaan ottanut potilastietojärjestelmän tietojen katoamisen vuoksi huoltokatkolle 15.3.2019. Vastaamo on palauttanut potilastietojärjestelmästä kadonneita tietoja varmuuskopioista. Vastaamo on näin ollen ollut tietoinen potilastietojen häviämisestä ja siten tietoturvaloukkauksen tapahtumisesta 15.3.2019.

20.12.2018 tapahtuneen luvattoman kirjautumisen osalta jää asiassa saadun selvityksen perusteella epäselväksi, milloin kyseinen tietoturvaloukkaus on tullut Vastaamolle ilmi.

2.2.3. Tietoturvaloukkauksen dokumentointi

Tietosuoja-asetuksen 33 artiklan 5 kohdan mukaan rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, mukaan lukien tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimenpiteet. Valvontaviranomaisen on voitava tämän dokumentoinnin avulla tarkistaa, että rekisterinpitäjä on noudattanut tietosuoja-asetuksen 33 artiklassa asetettuja vaatimuksia. Tietosuoja-asetuksen johdanto-osan 85 perustelukappaleen mukaan rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta valvontaviranomaiselle, paitsi jos rekisterinpitäjä pystyy tietosuoja-asetuksen 5 artiklan 2 kohdassa ilmaistun osoitusvelvollisuuden periaatteen mukaisesti osoittamaan, että tietoturvaloukkauksesta ei todennäköisesti aiheudu rekisteröityjen oikeuksiin ja vapauksiin kohdistuvaa riskiä.

Tietosuojatyöryhmä WP29:n mukaan sekä sellaisten tietoturvaloukkausten, joista ei tarvitse ilmoittaa, että ilmoitettavien tietoturvaloukkausten rekisteröinti liittyy myös tietosuoja-asetuksen 24 artiklan mukaisiin rekisterinpitäjän velvollisuuksiin. Tietosuojatyöryhmä WP29 suosittelee, että erityisesti jos tietoturvaloukkauksesta ei ilmoiteta, rekisterinpitäjän tulisi dokumentoida perustelut sille, miksi riskiä rekisteröityjen oikeuksille ja vapauksille ei todennäköisesti aiheudu.

Vastaamon 23.11.2020 antaman selvityksen mukana on toimitettu asiakirjat ”Alustava ilmoitus Valviralle 24.3.2019”[1] ja ”Asiakastietolain mukainen poikkeamisilmoitus 12.4.2019”. Kyseisissä asiakirjoissa ei arvioida 15.3.2019 tapahtunutta tietoturvaloukkausta tietosuoja-asetuksesta rekisterinpitäjälle seuraavien vaatimusten näkökulmasta, vaan sosiaali- ja terveydenhuollon sähköisestä käsittelystä annetun lain (159/2007) (jäljempänä ”asiakastietolaki”) 19 i §:stä seuraavien vaatimusten kannalta. Asiakastietolain 19 i §:n mukaan jos sosiaali- tai terveydenhuollon palvelujen antaja havaitsee, että tietojärjestelmän olennaisten vaatimusten täyttymisessä on merkittäviä poikkeamia, on palvelujen antajan ilmoitettava siitä tietojärjestelmän valmistajalle. Jos poikkeama voi aiheuttaa merkittävän riskin potilasturvallisuudelle, tietoturvalle tai tietosuojalle, on siitä ilmoitettava myös Sosiaali- ja terveysalan lupa- ja valvontavirastolle.

Vastaamon 23.11.2020 antamaan selvitykseen sisältyy asiakirja ”Tietoturvaloukkausten taulukointi- ja arviointityökalu”.

Kyseiseen taulukointi- ja arviointityökaluun ei ole merkitty laatimispäivämäärää, joten asiassa jää epäselväksi, onko työkalu ollut käytössä 20.12.2018 ja 15.3.2019 tapahtuneiden tietoturvaloukkausten aikaan. Selvityksen mukana ei ole toimitettu 20.12.2018 ja 15.3.2019 tapahtuneiden tietoturvaloukkausten osalta kyseisellä työkalulla dokumentoituja tietosuoja-asetuksen 33 artiklan 5 kohdan mukaisia tietoja.

Vastaamon 31.8.2021 antaman selvityksen mukaan Vastaamo on dokumentoinut Vastaamon tiedossa olleet tietoturvaloukkaukset dokumentilla ”Tietoturvapoikkeamien hallinta ja rekisteri” (selvityksen liitteet 36, 38 ja 45). Liitteen 36 mukaan kyseinen asiakirja on laadittu 27.3.2019, joten tämän perusteella asiakirja ei ole ollut käytössä vielä 20.12.2018 ja 15.3.2019 tapahtuneiden tietoturvaloukkausten aikaan.

Selvityksen liitteessä 38 ”Tietoturvapoikkeamarekisterin merkinnät” ja liitteessä 45 ”Poikkeamien hallinta ja rekisteri 28.4.2019” on kuvattu 15.3.2019 tapahtuneen tietoturvaloukkauksen osalta tiedot siitä, mitä on tapahtunut, mihin henkilötietoihin tietoturvaloukkaus on vaikuttanut, tietoturvaloukkauksen vaikutukset ja seuraukset, aiheuttaako tietoturvaloukkaus todennäköisesti riskin henkilöiden oikeuksille ja vapauksille, toteutetut korjaavat toimet, perustelut ilmoittamatta jättämiselle sekä tietoturvaloukkauksen käsittely.

Liitteestä 38 ei ilmene asiakirjan laatimispäivämäärää, mutta liitteen 45 otsikon mukaan liite 45 on laadittu 28.4.2019. Liitteen 45 perusteella 15.3.2019 tapahtunut tietoturvaloukkaus on dokumentoitu tietosuoja-asetuksen 33 artiklan 5 kohdassa edellytetyllä tavalla viimeistään 28.4.2019.

Liitteissä 38 ja 45 ei kuvata 20.12.2018 tapahtunutta tietoturvaloukkausta. Tietosuoja-asetuksen 33 artiklan 5 kohdassa edellytettyjä tietoja ei ole toimitettu 20.12.2018 tapahtuneen tietoturvaloukkauksen osalta myöskään muussa asiassa annettuun selvitykseen sisältyvässä asiakirjassa. Asiassa saadun selvityksen perusteella Vastaamo ei ole dokumentoinut 20.12.2018 tapahtunutta tietoturvaloukkausta siten kuin tietosuoja-asetuksen 33 artiklan 5 kohdassa edellytetään.

2.2.4. Tietoturvaloukkauksen käsittelyssä noudatettava dokumentoitu ilmoitusmenettely

Tietosuojatyöryhmä WP29:n mukaan rekisterinpitäjällä olisi oltava käytössä sisäiset prosessit, joiden avulla se voi havaita tietoturvaloukkauksen ja puuttua siihen. On tärkeää, että kun tietoturvaloukkaus havaitaan, siitä raportoidaan ylöspäin asianmukaiselle johdon tasolle, jotta siihen voidaan puuttua ja siitä voidaan ilmoittaa 33 artiklan mukaisesti ja tarvittaessa 34 artiklan mukaisesti. Tällaiset toimenpiteet ja raportointimekanismit voitaisiin kuvailla yksityiskohtaisesti rekisterinpitäjän turvapoikkeamia koskevissa valmiussuunnitelmissa ja/tai hallinnointijärjestelyissä. Nämä auttavat rekisterinpitäjää suunnittelussa ja sen määrittämisessä, kenellä organisaatiossa on operatiivinen vastuu tietoturvaloukkauksen hallinnoinnista ja ilmoitetaanko turvapoikkeamasta hierarkiassa ylöspäin, ja jos ilmoitetaan, miten.

Tietosuojatyöryhmä WP29:n mukaan rekisterinpitäjällä olisi hyvä olla käytössään tietosuoja-asetuksen 33 ja 34 artiklan noudattamisen helpottamiseksi dokumentoitu ilmoitusmenettely, jossa esitetään tietoturvaloukkauksen havaitsemisen jälkeen noudatettava prosessi, muun muassa se, miten tietoturvapoikkeaman leviäminen estetään, miten sitä hallitaan ja miten tiedot palautetaan sekä miten riski arvioidaan ja tietoturvaloukkauksesta ilmoitetaan. Tietosuoja-asetuksen noudattamisen osoittamiseksi saattaa olla hyödyllistä myös osoittaa, että työntekijöille on tiedotettu tällaisten menettelyjen ja mekanismien olemassaolosta ja että nämä tietävät, miten tietoturvaloukkauksiin reagoidaan.

Vastaamon 23.11.2020 antamaan selvitykseen sisältyy liite 36 (”Kaavio toiminnasta tietoturvaloukkaustilanteissa”). Liitteen mukaiseen asiakirjaan ”Psykoterapiakeskus Vastaamo Oy:n toiminta tietoturvaloukkaustilanteissa” ei ole merkitty laatimispäivämäärää, joten asiassa jää epäselväksi, onko asiakirja ollut käytössä 20.12.2018 ja 15.3.2019 tapahtuneiden tietoturvaloukkausten aikaan.

Vastaamon 31.8.2021 antaman selvityksen mukana on toimitettu asiakirja ”Tietoturvapoikkeamien hallinta ja rekisteri” (selvityksen liitteet 36, 38 ja 45). Kyseinen asiakirja on liitteen 36 mukaan laadittu 27.3.2019, joten tämän perusteella asiakirja ei ole ollut käytössä vielä 20.12.2018 ja 15.3.2019 tapahtuneiden tietoturvaloukkausten aikaan.

Vastaamon 26.6.2017 laatiman potilastietojärjestelmää koskevan omavalvontasuunnitelman mukaan potilastietojärjestelmän tietoturvasta vastaa Vastaamon nimetty tietosuojavastaava. Tietosuojavastaava seuraa potilastietojärjestelmän lainmukaista käyttöä käyttäjä- ja toimintokohtaisesta käyttölokista. Asiakirjan ”Työnantajaohje 10.7.2018” mukaan jos tietosuojavastaava epäilee lainvastaista potilastietojen käsittelyä, hän saattaa asian sisäiseen tutkintaan, ja tekee tarvittaessa vaaditut viranomaisilmoitukset.

Omavalvontasuunnitelman mukaan henkilöstö pyytää potilastietojärjestelmän käyttöön liittyvissä ongelmissa ensisijaisesti apua toimipisteiden vastaavilta, jotka koordinoivat asiat ja ohjeistavat toimimaan tapausten vaatimalla tavalla, mahdollisesti tiedottaen Vastaamon teknisiä henkilöitä, mikäli ongelma on tekninen. Havaituista tietoturvaongelmista tiedotetaan aina välittömästi potilastietojärjestelmän kehityksestä ja ylläpidosta vastaavia teknisiä henkilöitä, jotka tutkivat ja raportoivat yrityksen johdolle ongelman laajuuden. Tietoturvaongelmat ratkotaan aina viivytyksettä Vastaamon teknisten ylläpitäjien toimesta, mikäli mahdollista, ja tarvittaessa tekniset henkilöt raportoivat toimitusjohtajalle tarvittavasta lisäasiantuntijaresursoinnista ongelmien ratkomiseksi.

Omavalvontasuunnitelman mukaan virhe- ja poikkeustilanteissa vastuun ottavat Vastaamon toimitusjohtaja ja tietosuojavastaava. Vastaamon potilastietojärjestelmä on omavalmisteinen, joten merkittävät poikkeamat ilmoitetaan suoraan joko toimitusjohtajalle tai järjestelmän teknisestä kehityksestä ja ylläpidosta vastaaville henkilöille. Tarvittaessa Vastaamon toimitusjohtaja, Vastaamon tietosuojavastaava tai Vastaamon terveydenhuollon palveluista vastaava johtaja ilmoittaa näissä tilanteissa poikkeamasta Valviraan.

Omavalvontasuunnitelman mukaan henkilöstön perehdyttämisen yhteydessä käydään heidän kanssaan lävitse, mille taholle tulee kulloinkin ilmoittaa vastaantulevista epäkohdista tai potilastietojärjestelmän käyttöä häiritsevästä/estävästä tekijästä. Omavalvontasuunnitelma on ollut Vastaamon 23.11.2020 antaman selvityksen mukaan henkilöstön saatavilla Vastaamon potilastietojärjestelmän kautta.

Vastaamon 26.6.2017 laatimassa omavalvontasuunnitelmassa kuvataan edellä kerrotuin tavoin asiakastietolain 19 i §:n mukaista ilmoitusmenettelyä, mutta ei tietosuoja-asetuksen 33 ja 34 artiklan mukaisiin ilmoitusvelvollisuuksiin liittyviä menettelyjä. Asiakastietolain 19 i §:n mukainen menettely koskee ilmoitusta, joka poikkeamista tehdään Valviralle. Tietosuoja-asetuksen 33 artiklan 1 kohdan ja 34 artiklan 1 kohdan mukainen menettely koskee ilmoitusta, joka tehdään tietosuoja-asetuksen 4 artiklan 12 kohdan mukaisesta henkilötietojen tietoturvaloukkauksesta tietosuojavaltuutetulle ja rekisteröidyille. Kaikki tietoturvapoikkeamat eivät ole tietosuoja-asetuksen 4 artiklan 12 kohdan mukaisia henkilötietojen tietoturvaloukkauksia.

Asiassa saadun selvityksen perusteella Vastaamossa ei ole ollut 20.12.2018 ja 15.3.2019 tapahtuneiden tietoturvaloukkausten aikaan käytössä dokumentoitua ilmoitusmenettelyä, joka olisi laadittu nimenomaan tietosuoja-asetuksen 33 ja 34 artiklan mukaisten ilmoitusvelvollisuuksien täyttämisen helpottamiseksi. Asiakirja ”Tietoturvapoikkeamien hallinta ja rekisteri” on laadittu vasta tietoturvaloukkausten tapahtumisen jälkeen 27.3.2019, ja asiakirjaan ”Psykoterapiakeskus Vastaamo Oy:n toiminta tietoturvaloukkaustilanteissa” ei ole merkitty laatimispäivämäärää. Asiakirjan ”Työnantajaohje 10.7.2018” mukaan vaaditut viranomaisilmoitukset lainvastaisesta potilastietojen käsittelystä tekee tarvittaessa tietosuojavastaava, mutta asiakirjassa ei mainita tietosuojavaltuutetulle tietosuoja-asetuksen mukaan tehtävää henkilötietojen tietoturvaloukkausta koskevaa ilmoitusta. Asiakirjassa ei myöskään kuvata tietosuoja-asetuksen mukaisten henkilötietojen tietoturvaloukkausten havaitsemisen jälkeen noudatettavaa prosessia, kuten sitä, miten tietoturvapoikkeaman leviäminen estetään, miten sitä hallitaan ja miten tiedot palautetaan sekä miten riski arvioidaan ja tietoturvaloukkauksesta ilmoitetaan. Vastaamon asiassa antamaan selvitykseen ei ole liitetty myöskään muuta tietosuoja-asetuksen 33 ja 34 artiklan mukaisten ilmoitusvelvollisuuksien täyttämisen helpottamiseksi laadittua asiakirjaa, joka olisi ollut Vastaamossa käytössä 20.12.2018 ja 15.3.2019 tapahtuneiden tietoturvaloukkausten aikaan.

2.2.5. Tietoturvaloukkauksesta ilmoittaminen

Tietosuoja-asetuksen 33 artiklan 1 kohdan mukaan rekisterinpitäjän on ilmoitettava henkilötietojen tietoturvaloukkauksesta valvontaviranomaiselle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta. Ilmoitusta ei tarvitse tehdä, jos tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Jos tietoturvaloukkauksesta todennäköisesti aiheutuu luonnollisten henkilöiden oikeuksille ja vapauksille korkea riski, rekisterinpitäjän on tietosuoja-asetuksen 34 artiklan 1 kohdan mukaan ilmoitettava tietoturvaloukkauksesta myös rekisteröidyille ilman aiheetonta viivytystä.

Kuten edellä kohdassa 2.2.2. on tuotu esille, 15.3.2019 tapahtunut tietoturvaloukkaus on tullut Vastaamolle ilmi 15.3.2019, jolloin Vastaamo on ottanut potilastietojärjestelmän tietojen katoamisen vuoksi huoltokatkolle. Tietosuoja-asetuksen 33 ja 34 artiklan mukaisten tietoturvaloukkausta koskevien ilmoitusvelvollisuuksien arvioimiseksi Vastaamon on tullut arvioida potilastietojen häviämisestä rekisteröityjen oikeuksille ja vapauksille todennäköisesti aiheutuvat riskit.

Vastaamon 24.3.2019 Valviralle tekemän ilmoituksen (”Alustava ilmoitus vaaratilanteesta”) mukaan Vastaamon potilastietojärjestelmä on otettu tietojen katoamisen vuoksi huoltokatkolle perjantaina 15.3.2019. Uudelleenasennettu järjestelmä on palautettu käytettäväksi sunnuntaina 17.3.2019, jolloin järjestelmä on sisältänyt täydet varmuuskopiot tiedoista 5.3.2019 asti kattaen noin 99 % järjestelmän tiedoista. Loppuja noin 1 % tietoja ajanjaksolta 5.3.–14.3.2019 on jouduttu järjestelmän huoltokatkoa edeltäneiden, inhimillisistä virheistä johtuneiden varmuuskopiointisuunnitelman vastaisten varmuuskopiointi- ja lokitusasetusten vuoksi palauttamaan puoliautomatisoidusti käsittelemällä. Puuttuvat tiedot ovat Vastaamon käsityksen mukaan kuitenkin kokonaisuudessaan olemassa ja mahdollisesti palautettavissa järjestelmään, mutta tämän tutkinta on ollut vielä kesken. Vastaamon mukaan tietosuojan kannalta muuta olennaista on, että tilanteessa ei ole ollut viitteitä asiakastietojen vuotamisesta asiattomaan käyttöön.

Vastaamon 12.4.2019 Valviralle tekemän ilmoituksen (”Asiakastietolain mukainen poikkeamisilmoitus”) mukaan potilastietojärjestelmä on ollut järjestelmän huollossa tapahtuneen virheen vuoksi käyttökatkolla koko työpäivät perjantaista 15.3.2019 sunnuntaihin 17.3.2019. Järjestelmä on otettu takaisin käyttöön maanantaina 18.3.2019 työpäivän alusta alkaen. Tilanteessa osittain toimimattomaksi osoittautuneiden palautusjärjestelyiden vuoksi 18.3.2019 on saatu palautettua käyttöön vain ennen 5.3.2019 tallennetut tiedot, jotka ovat vastanneet noin 99 % kaikista järjestelmän tiedoista. 5.3.2019–14.3.2019 tallennetut tiedot on saatu palautettua käyttöön vaiheittain seuraavien päivien aikana. Kokonaisuudessaan tiedot on palautettu käyttöön 2.4.2019 mennessä. Järjestelmän toimintoihin on tehty korjauksia 12.4.2019 asti.

Vastaamon 31.8.2021 antamaan selvitykseen liitetyn asiakirjan ”Poikkeamien hallinta ja rekisteri 28.4.2019” mukaan Vastaamon potilastietojärjestelmässä on ollut 15.3.2019 käytettävyyden katko. Huollossa ja varmuuskopiointijärjestelyissä tapahtuneen virheen vuoksi järjestelmä ja sen tiedot ovat olleet saavuttamattomissa koko työpäivät 15.3.2019–17.3.2019. Vastaamon mukaan yrityksen toiminta ei ole akuuttilääketiedettä, jossa olisi potilaan henkeä uhkaavaa riskiä kirjaamisten puutteeseen liittyen. Tietojen käyttökatkosta on voinut olla haittaa terapeutin ja potilaan hoitosuhteen jatkuvuuden sujuvuuden kannalta. Haittaa jatkuvuudelle vähentää se, että terapeutit tekevät käyntimerkinnät lähinnä omiksi muistiinpanoikseen. Tietoja on vain poikkeustapauksissa tarpeen siirtää kesken hoitosuhteen muille. Vastaamon arvion mukaan tietoturvaloukkaus ei todennäköisesti aiheuta riskiä henkilöiden oikeuksille ja vapauksille, sillä poikkeamasta ei Vastaamon toiminnan luonteen, käyttökatkon lyhyyden, viikonloppuun ajoittumisen ja puuttuneen tiedon vähäisyyden vuoksi voida katsoa aiheutuneen merkittävää potilasturvallisuuden vaarantumista. Vastaamon mukaan Vastaamon tiedossa ei ole seuranneita henkilövahinkoja tai vaaratilanteita. Tietosuojavaltuutetulle ja asiakkaille ei ole annettu ilmoitusta, koska poikkeamasta ei ole arvioitu aiheutuvan riskiä henkilöiden oikeuksille ja vapauksille.

Tietosuojatyöryhmä WP29:n mukaan tietoturvaloukkauksesta aiheutuvaa riskiä arvioitaessa tulisi ottaa huomioon tietoturvaloukkauksen tyyppi, henkilötietojen luonne, arkaluonteisuus ja määrä, henkilöiden tunnistamisen helppous, henkilöille aiheutuvien seurausten vakavuus, henkilön ja rekisterinpitäjän erityiset ominaisuudet sekä niiden henkilöiden määrä, joihin tietoturvaloukkaus vaikuttaa. Tietoturvaloukkauksen tyypillä viitataan siihen, vaikuttaako tietoturvaloukkaus henkilötietojen luottamuksellisuuteen, eheyteen vai käytettävyyteen. Tilanteesta riippuen tietoturvaloukkaus voi koskea sekä henkilötietojen luottamuksellisuutta, eheyttä että käytettävyyttä tai mitä tahansa näiden yhdistelmää.

Henkilötietojen luottamuksellisuuteen vaikuttavasta tietoturvaloukkauksesta aiheutuu luonnollisten henkilöiden oikeuksille ja vapauksille toisentyyppisiä riskejä kuin henkilötietojen eheyteen ja käytettävyyteen vaikuttavasta tietoturvaloukkauksesta. Potilastietojen häviäminen potilastietojärjestelmästä voi vaarantaa potilastietojen eheyden ja käytettävyyden ja siten potilaan hoidon jatkuvuuden ja potilasturvallisuuden, mutta potilastietojen joutuminen ulkopuolisen tahon haltuun voi aiheuttaa rekisteröidyille muun ohella salassapitovelvollisuuden alaisten henkilötietojen luottamuksellisuuden menetyksen, maineen vahingoittumisen, syrjintää, identiteettivarkauksien ja petosten kohteeksi joutumisen sekä taloudellisia menetyksiä. Potilaslain 13 §:n 1 momentin mukaan potilasasiakirjoihin sisältyvät tiedot ovat salassapidettäviä. Potilastietojen häviämisestä rekisteröityjen oikeuksille ja vapauksille todennäköisesti aiheutuvien riskien arvioimisessa on siten keskeistä, onko tietojen häviäminen vaikuttanut ainoastaan tietojen käytettävyyteen ja/tai eheyteen vai mahdollisesti myös tietojen luottamuksellisuuteen.

Nixun 21.10.2020 valmistuneen teknisen tutkinnan mukaan Vastaamon potilastietojärjestelmän palvelimelta PLEASE_READ_ME_XMG-tietokannasta löytynyttä kiristysviestiä on erittäin todennäköisesti käsitelty 15.3.2019 klo 19:02:10 (UTC) käyttäjätunnuksella stone, jonka käyttöoikeudet on korotettu pääkäyttäjätasolle. Lisäksi palvelimen Bash-historiasta on löytynyt maaliskuulle 2019 ajoittuvia tietomurron tutkintaan ja potilastietokannan palauttamiseen liittyviä komentoja. Lokitiedoista on ilmennyt tietoturvaohjelmistojen asentamista ja konfigurointia (fail2ban-suojausohjelma ja ufw-palomuuri) 18.3.2019–20.3.2019.

Vastaamon 31.8.2021 antaman selvityksen mukaan potilastietojärjestelmän stone-ylläpitotunnus on ollut Vastaamon järjestelmäarkkitehdin ja tietosuojavastaavan yhteisessä käytössä. Vastaamon järjestelmäarkkitehdillä ja tietosuojavastaavalla viitataan tässä päätöksessä 20.12.2018 ja 15.3.2019 tapahtuneiden tietoturvaloukkausten aikaiseen järjestelmäarkkitehtiin ja tietosuojavastaavaan. Vastaamon mukaan Nixun raportista ilmenee, että järjestelmäarkkitehdin ja tietosuojavastaavan yhteiskäytössä olleella käyttäjätunnuksella stone on 15.3.2019 käsitelty kiristysviestin sisältänyttä hakemistoa /var/lib/mysql/PLEASE_READ_ME_XMG. Vastaamon mukaan Nixun teknisen tutkinnan perusteella ei sen sijaan voida sanoa, että Vastaamon toimitusjohtaja olisi tiennyt tietomurrosta, vaan kyseinen väite perustuu yksinomaan järjestelmäarkkitehdin ja tietosuojavastaavan kertomukseen. Vastaamon mukaan Vastaamon johdossa on tiedetty 15.3.2019 vain tietojen tilapäisestä häviämisestä, mutta ei tietojen luottamuksellisuuteen vaikuttavasta tietoturvaloukkauksesta eli tietomurrosta. Vastaamon mukaan Vastaamon toimitusjohtaja on tullut tietoiseksi Nixun tutkimuksessa havaituista 20.12.2018 ja 15.3.2019 tapahtuneista tietomurroista sekä jäljempään tietomurtoon liittyvästä kiristysviestistä vasta Nixun tekemän teknisen tutkimuksen jälkeen.

Vastaamon mukaan Vastaamon tietosuoja- ja tietoturvatoimikunta on käsitellyt 15.3.2019 tapahtuneen tietoturvaloukkauksen kokouksessaan 24.3.2019, jonka jälkeen Vastaamon toimitusjohtaja on toimittanut Valviralle alustavan ilmoituksen vaaratilanteesta. Koska Vastaamon tietosuojavastaava ei ole tehnyt asiasta ilmoitusta tietosuojavaltuutetulle, on Vastaamon toimitusjohtaja arvioinut ilmoitusvelvollisuutta vielä erikseen Vastaamon lakiasiainjohtajan kanssa 27.3.2019. Sen hetkisten tietojen perusteella on päädytty arvioimaan, että tietoturvaloukkauksesta ei tarvitse tehdä tietosuoja-asetuksen 33 artiklan 1 kohdan mukaista ilmoitusta tietosuojavaltuutetulle, sillä asiassa ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Vastaamon mukaan Tietosuojatyöryhmän ohjeistuksen mukaisesti tietojen häviämistilanteissa ilmoitusvelvollisuus riippuu siitä, kuinka kauan tietojen palauttaminen varmuuskopiosta kestää ja miten tämä käytettävyyden puute vaikuttaa henkilöihin. Vastaamon arvion mukaan kyse on ollut vain lyhytkestoisesta tietojen käytettävyyteen vaikuttavasta tietoturvaloukkauksesta, koska tiedot on pystytty palauttamaan, eikä lyhytkestoinen käytettävyyden puute ole vaikuttanut potilasturvallisuuteen. Vastaamon toimitusjohtajan käsityksen mukaan Vastaamo ei ole edellä todetuilla perusteilla laiminlyönyt ilmoitusvelvollisuuttaan tietosuojavaltuutetun arvioinnin kohteena olevien tietoturvaloukkausten osalta.

Kuten edellä kohdassa 2.2.4. on tuotu esille, Vastaamossa ei ole ollut 20.12.2018 ja 15.3.2019 tapahtuneiden tietoturvaloukkausten aikaan käytössä dokumentoitua ilmoitusmenettelyä, joka olisi laadittu nimenomaan tietosuoja-asetuksen 33 ja 34 artiklan mukaisten ilmoitusvelvollisuuksien täyttämisen helpottamiseksi. Asiassa saadun selvityksen perusteella Vastaamossa ei edellä kuvatuin tavoin ole arvioitu 15.3.2019 tapahtuneesta tietoturvaloukkauksesta rekisteröidyille aiheutuvaa riskiä tietosuoja-asetuksessa asetettujen ilmoitusvelvollisuuksien noudattamiseksi ennen kuin 27.3.2019. Jos Vastaamo olisi tuolloin tullut siihen johtopäätökseen, että tietoturvaloukkauksesta on ilmoitettava tietosuoja-asetuksessa edellytetyllä tavalla tietosuojavaltuutetulle, ilmoitusta ei olisi kyetty enää tekemään tietosuoja-asetuksen 33 artiklan 1 kohdassa asetettujen aikarajojen puitteissa.

Vaikka Vastaamossa ei 20.12.2018 ja 15.3.2019 tapahtuneiden tietoturvaloukkausten aikaan ole ollut tietosuoja-asetuksen mukaisten tietoturvaloukkausten käsittelyssä noudatettavaa dokumentoitua ilmoitusmenettelyä, Vastaamon 26.6.2017 laatimassa omavalvontasuunnitelmassa on edellä kohdassa 2.2.4. kerrotuin tavoin annettu tietoturvapoikkeamien käsittelyä koskevia toimintaohjeita. Tietoturvaongelmista on omavalvontasuunnitelman mukaan tullut tiedottaa välittömästi potilastietojärjestelmän kehityksestä ja ylläpidosta vastaavia teknisiä henkilöitä, joiden puolestaan on tullut tutkia ja raportoida ongelman laajuus Vastaamon johdolle.

Tästä huolimatta Vastaamon johdossa on Vastaamon antaman selvityksen mukaan tiedetty 15.3.2019 ainoastaan potilastietojen tilapäisestä häviämisestä, mutta ei potilastietojen luottamuksellisuuteen vaikuttavasta tietoturvaloukkauksesta eli tietomurrosta.

Tietosuoja-asetuksen 33 artiklan 1 kohdan ja 34 artiklan 1 kohdan mukaisen ilmoitusvelvollisuuden olemassaolon arvioinnin kannalta ratkaisevaa merkitystä ei ole sillä, kuka tai ketkä ja missä asemassa työskennelleet henkilöt ovat potilastietojärjestelmän palvelimelta löytyneestä kiristysviestistä 15.3.2019 tapahtuneen tietoturvaloukkauksen aikaan Vastaamossa tarkkaan ottaen tienneet. Vastuu tietosuoja-asetuksen 33 ja 34 artiklan mukaisen ilmoitusvelvollisuuden täyttämisestä on asetettu tietosuoja-asetuksessa rekisterinpitäjälle. Vastaamo näin ollen rekisterinpitäjänä lähtökohtaisesti vastaa tietoturvaloukkausta koskevien ilmoitusvelvollisuuksien noudattamisesta tietosuoja-asetuksessa edellytetyllä tavalla siinäkin tapauksessa, että tieto kiristysviestistä olisi ollut ainoastaan Vastaamon yhdellä tai useammalla työntekijällä eikä lainkaan Vastaamon johdolla.

Merkitystä tietosuoja-asetuksen 33 artiklan 1 kohdan ja 34 artiklan 1 kohdan mukaisen ilmoitusvelvollisuuden olemassaolon arvioinnissa on sen sijaan sillä, että Nixun teknisen tutkinnan mukaan potilastietojärjestelmän palvelimelta löytynyttä kiristysviestiä on erittäin todennäköisesti käsitelty 15.3.2019 käyttäjätunnuksella stone, ja Vastaamon mukaan kyseinen käyttäjätunnus on ollut Vastaamon kahden työntekijän käytössä. Vastaamo ei ole selvityksessään kiistänyt näiden seikkojen todenperäisyyttä. Kuten edellä kohdassa 2.2.1. on tuotu esille, kiristysviestin mukaan potilastietokanta on ladattu hyökkääjän palvelimille, ja kadonneiden tietojen palauttamista vastaan on vaadittu lunnaita. Vastaamon on kiristysviestiä käsitellessään täytynyt tulla tietoiseksi siitä, että potilastietojärjestelmään on kohdistunut ulkopuolinen hyökkäys. Tätä käsitystä vahvistaa se Nixun teknisessä tutkinnassa havaittu seikka, että potilastietojärjestelmän palvelimelta on löytynyt maaliskuulle 2019 ajoittuvia tietomurron tutkintaan ja potilastietokannan palauttamiseen liittyviä komentoja, ja palvelimelle on asennettu tietoturvaohjelmistoja ja palomuuri 18.3.2019–20.3.2019. Vastaamon on kiristysviestin perusteella täytynyt tulla jo 15.3.2019 tietoiseksi siitä, että potilastietojärjestelmästä hävinneet tiedot ovat saattaneet joutua ulkopuolisen hyökkääjän haltuun, ja näin ollen myös siitä, että potilastietojen häviäminen on voinut vaikuttaa potilastietojen käytettävyyden lisäksi myös potilastietojen luottamuksellisuuteen.

Vastaamon potilastietokantaan on ollut 28.11.2018 tallennettuna 33 171 rekisteröityä koskevia henkilötietoja ja 18.3.2019 35 885 rekisteröityä koskevia henkilötietoja. Nixun teknisen tutkinnan mukaan ulkopuolinen hyökkääjä on todennäköisesti saanut haltuunsa Vastaamon koko potilastietokannan vuotopäivään asti. Rekisteröityjen joukossa on ollut heikossa asemassa olevia henkilöitä, kuten lapsia, vanhuksia ja mielenterveysongelmista kärsiviä henkilöitä. Potilastiedot ovat tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettuja erityisiin henkilötietoryhmiin kuuluvia tietoja, joiden osalta fyysisten, aineellisten tai aineettomien vahinkojen aiheutumista rekisteröidyille olisi Tietosuojatyöryhmä WP29:n mukaan pidettävä todennäköisenä. Potilastiedot ovat potilaslain 13 §:n 1 momentin nojalla salassa pidettäviä. Vastaamon käsittelemät potilastiedot ovat olleet Vastaamon toiminnan luonteen eli psykoterapiapalveluiden tarjoamisen vuoksi luonteeltaan erityisen arkaluonteisia, ja tietoja on säilytetty salaamattomina.

Tietoturvaloukkauksessa, jossa ulkopuolinen hyökkääjä ilmoittaa ladanneensa potilastietokannan palvelimilleen ja vaatii tietojen palauttamista vastaan lunnaita, ovat tiedot haltuunsa saaneen tahon tarkoitusperät ilmeisen pahantahtoiset. Tietoturvaloukkauksesta rekisteröidyille aiheutuvia vahinkoja voidaan pitää tällöin paitsi todennäköisinä, myös luonteeltaan vakavina. Tämän puolesta puhuu erityisesti se, että rekisteröidyt ovat potilastietojärjestelmään tallennettujen tietojen perusteella suoraan tunnistettavissa. Potilasasiakirja-asetuksen 10 §:n 1 momentin 1 kohdan mukaan potilaskertomukseen tulee merkitä potilaan nimi, syntymäaika, henkilötunnus, kotikunta ja yhteystiedot. Salaamattomina säilytettävät tiedot ovat ulkopuolisen tahon haltuun joutuessaan suoraan ymmärrettävissä. Ulkopuolinen taho voi saattaa haltuunsa saamat tiedot suuren joukon saataville julkaisemalla ne esimerkiksi internetissä, jolloin rekisteröidyille aiheutuvat vahingot voivat olla pitkäaikaisia tai jopa pysyviä. Mitä suuremmalle joukolle potilastiedot leviävät, sitä todennäköisempänä vakavien vahinkojen aiheutumista rekisteröidyille voidaan pitää.

Edellä esitetyillä perusteilla Vastaamon potilastietojen käsittelyssä 15.3.3019 tapahtunut tietoturvaloukkaus on todennäköisesti aiheuttanut luonnollisten henkilöiden oikeuksille ja vapauksille korkean riskin. Vastaamon olisi siten tullut ilmoittaa tietoturvaloukkauksesta sekä tietosuoja-asetuksen 33 artiklan 1 kohdassa edellytetyllä tavalla tietosuojavaltuutetulle että tietosuoja-asetuksen 34 artiklan 1 kohdassa edellytetyllä tavalla rekisteröidyille.

20.12.2018 tapahtuneen luvattoman kirjautumisen osalta tietoturvaloukkauksesta rekisteröidyille todennäköisesti aiheutuva riski ja siten ilmoitusvelvollisuuden olemassaolo jää asiassa saadun selvityksen perusteella epäselväksi.

3. Oikeudelliset kysymykset 2 ja 3: henkilötietojen asianmukaisen turvallisuuden varmistaminen, siihen liittyvä osoitusvelvollisuus ja tietosuojaa koskeva vaikutustenarviointi

3.1. Sovellettavat säännökset

Tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdan mukaan henkilötietoja on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia (”eheys ja luottamuksellisuus”).

Tietosuoja-asetuksen 5 artiklan 2 kohdan mukaan rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1 kohtaa on noudatettu (”osoitusvelvollisuus”).

Tietosuoja-asetuksen 24 artiklan 1 kohdan mukaan ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta. Näitä toimenpiteitä on tarkistettava ja päivitettävä tarvittaessa.

Tietosuoja-asetuksen 25 artiklan 1 kohdan mukaan ottaen huomioon uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi ja tarvittavat suojatoimet, jotta ne saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin.

Tietosuoja-asetuksen 32 artiklan 1 kohdan mukaan ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten a) henkilötietojen pseudonymisointi ja salaus; b) kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus; c) kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa; d) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.

Tietosuoja-asetuksen 32 artiklan 2 kohdan mukaan asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi.

Tietosuoja-asetuksen 35 artiklan 1 kohdan mukaan jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa – käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen – luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, rekisterinpitäjän on ennen käsittelyä toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle.

Tietosuoja-asetuksen 35 artiklan 3 kohdan b alakohdan mukaan edellä 1 kohdassa tarkoitettu tietosuojaa koskeva vaikutustenarviointi vaaditaan erityisesti tapauksissa joissa on kyseessä laajamittainen käsittely, joka kohdistuu 9 artiklan 1 kohdassa tarkoitettuihin erityisiin henkilötietoryhmiin.

Tietosuoja-asetuksen 35 artiklan 7 kohdan mukaan arvioinnin on sisällettävä vähintään a) järjestelmällinen kuvaus suunnitelluista käsittelytoimista ja käsittelyn tarkoituksista, mukaan lukien tarvittaessa rekisterinpitäjän oikeutetut edut; b) arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta tarkoituksiin nähden; c) arvio 1 kohdassa tarkoitetuista rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä; d) suunnitellut toimenpiteet riskeihin puuttumiseksi, mukaan lukien suoja- ja turvallisuustoimet ja mekanismit, joilla varmistetaan henkilötietojen suoja ja osoitetaan, että tätä asetusta on noudatettu ottaen huomioon rekisteröityjen ja muiden asianomaisten oikeudet ja oikeutetut edut.

3.2. Oikeudellinen arviointi

3.2.1. Henkilötietojen asianmukaisen turvallisuuden varmistaminen rekisterinpitäjän velvollisuutena

Tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdassa ilmaistun henkilötietojen eheyttä ja luottamuksellisuutta koskevan periaatteen mukaan henkilötietoja on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus asianmukaisten teknisten tai organisatoristen toimenpiteiden avulla. Henkilötietojen eheyttä ja luottamuksellisuutta koskevaa periaatetta tarkennetaan tietosuoja-asetuksen 32 artiklan 1 kohdassa, jonka mukaan rekisterinpitäjän on toteutettava luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet. Vastuu teknisten ja organisatoristen toimenpiteiden toteuttamisesta on tietosuoja-asetuksen 24 artiklan 1 kohdan mukaan rekisterinpitäjällä.

Henkilötietojen eheyden ja luottamuksellisuuden periaatteen toteutumista pyritään edistämään myös tietosuoja-asetuksen 25 artiklan 1 kohdassa ilmaistun sisäänrakennettua tietosuojaa koskevan periaatteen avulla. Kyseinen periaate edellyttää, että rekisterinpitäjä toteuttaa jo käsittelytapojen määrittämisen yhteydessä asianmukaiset tekniset ja organisatoriset toimenpiteet, joiden avulla varmistetaan tietosuoja-asetuksen 5 artiklan 1 kohdan mukaisten tietosuojaperiaatteiden tehokas täytäntöönpano.

Tietosuoja-asetuksen 25 artiklan 1 kohdan ja 32 artiklan 1 kohdan mukaan teknisten ja organisatoristen toimenpiteiden tulee olla asianmukaisia, ja niiden toteuttamisessa tulee huomioida uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat riskit. Kyseisissä säännöksissä ei yksilöidä toimenpiteitä, joiden avulla henkilötietojen asianmukainen turvallisuus voitaisiin aina varmistaa, vaan toteutettavat toimenpiteet tulee suhteuttaa kunkin käsittelytilanteen erityisiin olosuhteisiin.

Tietosuoja-asetuksen 32 artiklan 1 kohdan a–d alakohdassa on annettu esimerkkejä teknisistä ja organisatorisista toimenpiteistä, joiden avulla henkilötietojen käsittelyn riskiä vastaava turvallisuustaso voidaan pyrkiä varmistamaan. Toimenpiteiden toteuttaminen edellyttää, että rekisterinpitäjä on tietoinen siitä, mitkä seikat henkilötietojen käsittelyyn käytettävien tietojärjestelmien luottamuksellisuuteen, eheyteen, käytettävyyteen ja vikasietoisuuteen vaikuttavat ja mitkä seikat tietojärjestelmien luottamuksellisuuden, eheyden, käytettävyyden ja vikasietoisuuden voivat vaarantaa. Rekisterinpitäjän tulee aktiivisesti valvoa paitsi tietojärjestelmien luottamuksellisuuden, eheyden, käytettävyyden ja vikasietoisuuden toteutumista mutta myös fyysisiä ja teknisiä vikoja, jotka voivat estää tietojen saatavuuden ja pääsyn tietoihin. Rekisterinpitäjällä tulee olla käytössään menettelyitä, joiden avulla se pysyy tietoisena käyttöön ottamiensa toimenpiteiden tehokkuudesta käsittelyn asianmukaisen turvallisuuden varmistamisessa. Tarpeen vaatiessa rekisterinpitäjän on toteutettava korjaavia toimenpiteitä, joiden avulla käsittelyn turvallisuus saadaan palautettua riskiä vastaavan turvallisuuden edellyttämälle tasolle. Rekisterinpitäjän on kyettävä takaamaan henkilötietojen asianmukainen turvallisuus käsittelyn koko elinkaaren ajan.

Teknisiä ja organisatorisia toimenpiteitä toteutettaessa on tietosuoja-asetuksen 24 artiklan 1 kohdan, 25 artiklan 1 kohdan ja 32 artiklan 1 kohdan mukaan otettava huomioon muun ohella käsittelyn aiheuttamat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille. Asianmukaisen turvallisuustason arvioimisessa on tietosuoja-asetuksen 32 artiklan 2 kohdan mukaan kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin, joita voi aiheutua erityisesti henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi.

Jos henkilötietojen käsittely todennäköisesti aiheuttaa luonnollisten henkilöiden oikeuksien ja vapauksien kannalta korkean riskin, rekisterinpitäjän tulee ennen käsittelyn aloittamista laatia tietosuoja-asetuksen 35 artiklan 1 kohdassa tarkoitettu tietosuojaa koskeva vaikutustenarviointi. Tietosuoja-asetuksen 35 artiklan 3 kohdan b alakohdan mukaan vaikutustenarviointi vaaditaan erityisesti, jos kyseessä on laajamittainen käsittely, joka kohdistuu tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettuihin erityisiin henkilötietoryhmiin. Tietosuoja-asetuksen 35 artiklan 7 kohdassa asetetaan tarkempia vaatimuksia vaikutustenarvioinnin vähimmäissisällölle.

Tietosuoja-asetuksen 5 artiklan 2 kohdassa ilmaistun osoitusvelvollisuuden periaatteen mukaan rekisterinpitäjän on pystyttävä osoittamaan, että se noudattaa käsittelyssään tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdan mukaista henkilötietojen eheyttä ja luottamuksellisuutta koskevaa periaatetta. Tietosuoja-asetuksen 24 artiklan 1 kohdassa edellytetään, että rekisterinpitäjä toteuttaa tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tietosuoja-asetusta. Jotta rekisterinpitäjä pystyisi osoitusvelvollisuuden periaatteen mukaiset velvoitteensa täyttämään, sen on dokumentoitava toteuttamansa tekniset ja organisatoriset toimenpiteet. Dokumentoinnin riittävyyttä arvioidaan tietosuoja-asetuksen 5 artiklan 2 kohdan mukaisesti sen perusteella, pystyykö rekisterinpitäjä laatimiensa ja keräämiensä dokumenttien avulla osoittamaan, että se on noudattanut tietosuoja-asetuksen 5 artiklan 1 kohdassa asetettuja vaatimuksia.

3.2.2. Tietosuojaa koskeva vaikutustenarviointi

Vastaamo on laatinut tietosuojaa koskevan vaikutustenarvioinnin 9.4.2018 (”Potilasrekisterin korkeiden riskien vaikutustenarviointi”). Tietosuoja-asetuksen 35 artiklan 7 kohdan a alakohdan mukaisen suunniteltuja käsittelytoimia ja käsittelyn tarkoituksia koskevan järjestelmällisen kuvauksen osalta Vastaamon laatimassa vaikutustenarvioinnissa viitataan potilaslain 12 §:n 1 momentin mukaiseen terveydenhuollon ammattihenkilön velvollisuuteen merkitä potilasasiakirjoihin potilaan hoidon turvaamisen kannalta tarpeelliset tiedot ja todetaan, että korkean riskin tilanne syntyy, kun henkilökunta katselee potilaiden rekisteritietoja.

Tietosuoja-asetuksen 35 artiklan 7 kohdan b alakohdan mukaisen käsittelytoimien tarpeellisuutta ja oikeasuhteisuutta koskevan arvion osalta vaikutustenarvioinnissa viitataan potilaslain 12 §:n 1 momentin mukaiseen terveydenhuollon ammattihenkilön velvollisuuteen merkitä potilasasiakirjoihin potilaan hoidon turvaamisen kannalta tarpeelliset tiedot ja todetaan, että potilassuhde syntyy, kun potilas varaa ajan ammattilaiselle, tai kun ammattilainen liittää henkilön potilaakseen henkilötunnuksella.

Tietosuoja-asetuksen 35 artiklan 7 kohdan c alakohdan mukaisen rekisteröityjen oikeuksia ja vapauksia koskevan riskiarvion osalta vaikutustenarvioinnissa mainitaan seuraavat riskit: 1) luvaton potilastietojen käsittely, 2) identiteettivarkaudet, 3) potilastietojärjestelmän tekninen suojaus, 4) tietojen katoaminen, tuhoaminen, häviäminen ja muuttaminen sekä 5) tietojen luvaton luovuttaminen. Kunkin riskin osalta todetaan, että riski on vakava, ja riskin todennäköisyys on vähäinen.

Tietosuoja-asetuksen 35 artiklan 7 kohdan d alakohdan mukaisten riskeihin puuttumiseksi suunniteltujen toimenpiteiden osalta vaikutustenarvioinnissa todetaan riskin 1 (luvaton potilastietojen käsittely) kohdalla, että terveydenhuollon ammattilainen päästetään katsomaan vain omien potilaidensa rekisteritietoja. Vastaamon henkilökunta tekee töitä yksin, eikä henkilötietoja käsitellä yhdessä. Kaikista henkilötietoja koskevista toimenpiteistä tallentuu valvontaloki. Henkilökunta on perehdytetty potilastietojen asianmukaiseen käsittelyyn. Luvattomissa käyttötapauksissa käyttäjätunnukset suljetaan. Luvattomasta käytöstä laaditaan raportti ja tehdään tarvittavat jatkotoimenpiteet (huomautus, varoitus, irtisanominen, viranomaisilmoitus).

Riskin 2 (identiteettivarkaudet) kohdalla riskeihin puuttumiseksi suunniteltuina toimenpiteinä vaikutustenarvioinnissa todetaan, että potilaiden henkilöllisyys tarkistetaan. Identiteettivarkauden tullessa ilmi asianomistajaa oheistetaan tekemään rikosilmoitus. Riskin 3 (potilastietojärjestelmän tekninen suojaus) kohdalla toimenpiteinä todetaan, että tietoja siirretään vain salatussa yhteydessä. Kaikista henkilötietoja koskevista toimenpiteistä tallentuu valvontaloki. Potilasrekisterin käytön valvonnasta on laadittu omavalvontasuunnitelma. Riskin 4 (tietojen katoaminen, tuhoaminen, häviäminen ja muuttaminen) kohdalla toimenpiteinä todetaan, että järjestelmän tiedot ovat aikaleimattu, versioitu, kahdennettu ja varmuuskopioitu. Riskin 5 (tietojen luvaton luovuttaminen) kohdalla toimenpiteinä todetaan, että tietojen luovutuspyyntö pitää tehdä kirjallisesti. Luovutuspyynnöstä vastaa terveydenhuollon palveluista vastaava johtaja. Henkilöstö on perehdytetty luovutuspyyntöjen oikeaan käsittelyyn.

Tietosuojatyöryhmä WP29 on laatinut kriteerit, joita rekisterinpitäjät voivat käyttää arvioidessaan, onko tietosuojaa koskeva vaikutustenarviointi tai sen tekemiseen käytettävä menetelmä riittävän kattava tietosuoja-asetuksen vaatimusten noudattamiseksi.

Kyseisten kriteereiden valossa Vastaamon tietosuojaa koskevassa vaikutustenarvioinnissa ei ole tietosuoja-asetuksen 35 artiklan 7 kohdan a alakohdan osalta otettu riittävällä tavalla huomioon käsittelyn luonnetta, laajuutta ja asiayhteyttä, esitetty toiminnallista kuvausta käsittelytoimista, yksilöity henkilötietojen käsittelyyn käytettäviä resursseja eikä tuotu esille sitä, pidetäänkö henkilötiedoista, tietojen vastaanottajista ja säilytys-ajoista kirjaa. Tietosuoja-asetuksen 35 artiklan 7 kohdan b alakohdan osalta vaikutustenarvioinnissa ei ole riittävällä tavalla tuotu esille käsittelyn oikeasuhteisuutta ja tarpeellisuutta edistäviä toimenpiteitä eikä rekisteröityjen oikeuksia edistäviä toimenpiteitä.

Tietosuoja-asetuksen 35 artiklan 7 kohdan c alakohdan osalta Vastaamon laatimassa vaikutustenarvioinnissa ei ole riittävällä tavalla arvioitu riskien luonnetta, erityisluonnetta, alkuperää tai uhkia, jotka voivat johtaa laittomaan henkilötietoihin pääsyyn, tietojen asiattomaan muuttamiseen tai tietojen häviämiseen, eikä riittävällä tavalla tunnistettu kyseisistä riskeistä rekisteröityjen oikeuksille ja vapauksille kohdistuvia mahdollisia vaikutuksia. Riskejä arvioidaan ainoastaan toteamalla, että riskit ovat vakavia ja todennäköisyydeltään vähäisiä.

Vastaamon 31.8.2021 antaman selvityksen mukaan Vastaamo on tunnistanut ulkopuolisen hakkeroinnin riskin ja varautunut siihen teknisillä tietoturvatoimenpiteillä. Vastaamon mukaan riski on myös dokumentoitu vaikutustenarviointiin, sillä riski ”Potilastietojärjestelmän tekninen suojaus” (riski 3) sisältää nimenomaan ulkopuolisen hakkeroinnin riskin. Hakkeroinnin riskiä on pidetty Vastaamon toiminnassa alusta lähtien itsestäänselvyytenä, ja tietoturva on järjestetty normaalien hyvien käytänteiden mukaisesti tämän riskin pienentämiseksi. Vastaamon mukaan Vastaamo on toteuttanut useita teknisiä ja organisatorisia toimenpiteitä ulkopuolisten hyökkäysten estämiseksi. Tietojärjestelmä on esimerkiksi ollut suojattu palomuurilla, verkkoliikennettä on valvottu ja tietosuojavastaavan on tullut testata muutokset, jotka voivat koskettaa tietoturvaa. Vastaamon mukaan vaikutustenarvioinnissa ei ole ollut tarvetta edellä todettua tarkemmin käsitellä tietoturvaa, koska järjestelmän tekniseen suojaukseen oli keskitytty erityisesti vuodesta 2015 alkaen, jolloin palvelinympäristöä uudistettiin ja valmistauduttiin Kanta-auditointiin. Vastaamon mukaan Vastaamon toiminnassa on siten tunnistettu myös hakkeroinnin riski, ja sen mahdollisuus on eliminoitu järjestelmiin oletusarvoisesti sisältyvällä tietoturvalla.

Vaikka potilastietojärjestelmän teknistä suojausta koskevan riskin (riski 3) samoin kuin sekä potilastietojen luvatonta käsittelyä koskevan riskin (riski 1), identiteettivarkauksia koskevan riskin (riski 2) että tietojen katoamista, tuhoamista, häviämistä ja muuttamista koskevan riskin (riski 4) voidaan sinänsä katsoa sisältävän ulkopuolisen hakkeroinnin riskin, hakkerointiin ei viitata vaikutustenarvioinnissa esimerkiksi riskien mahdollisena alkuperänä tai uhkana, joka voisi johtaa laittomaan henkilötietoihin pääsyyn, tietojen asiattomaan muuttamiseen tai tietojen häviämiseen. Hakkerointia ei tuoda tietosuoja-asetuksen 35 artiklan 7 kohdan c alakohdassa edellytetyssä riskiarviossa esille muullakaan tavoin.

Hakkerointia ei ole huomioitu potilastietojärjestelmän teknistä suojausta koskevan riskin (riski 3) kohdalla myöskään tietosuoja-asetuksen 35 artiklan 7 kohdan d alakohdassa edellytetyllä tavalla riskeihin puuttumiseksi suunnitelluissa toimenpiteissä muutoin kuin tuomalla esille, että kaikista henkilötietoja koskevista toimenpiteistä tallentuu valvontaloki, ja potilasrekisterin käytön valvonnasta on laadittu omavalvontasuunnitelma. Potilastietojärjestelmään kohdistuvien ulkopuolisten hyökkäysten estämiseksi toteutettua palomuurisuojausta, joka edellä kuvatuin tavoin on tuotu esille Vastaamon 31.8.2021 antamassa selvityksessä, ei vaikutustenarvioinnissa mainita.

Hakkerointia ei ole huomioitu vaikutustenarvioinnissa myöskään riskien 1, 2 ja 4 kohdalla tietosuoja-asetuksen 35 artiklan 7 kohdan d alakohdassa tarkoitetulla tavalla riskeihin puuttumiseksi suunnitelluissa toimenpiteissä muutoin kuin tuomalla tietojen katoamista, tuhoamista, häviämistä ja muuttamista koskevan riskin (riski 4) kohdalla esille, että järjestelmän tiedot on aikaleimattu, versioitu, kahdennettu ja varmuuskopioitu. Luvatonta potilastietojen käsittelyä koskevan riskin (riski 1) lieventämiseksi suunnitelluissa toimenpiteissä todetaan, että kaikista henkilötietoja koskevista toimenpiteistä tallentuu valvontaloki, mutta luvatonta käsittelyä tarkastellaan ainoastaan terveydenhuollon ammattilaisen suorittaman käsittelyn kannalta, ei mahdollisesta hakkeroinnista aiheutuvan ulkopuolisen hyökkääjän suorittaman käsittelyn kannalta.

Edellä esitetyillä perusteilla Vastaamon 9.4.2018 laatimassa tietosuojaa koskevassa vaikutustenarvioinnissa ei esitetä tietosuoja-asetuksen 35 artiklan 7 kohdassa edellytetyllä tavalla järjestelmällistä kuvausta suunnitelluista käsittelytoimista ja käsittelyn tarkoituksista (a alakohta), riittävää arviota käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta (b alakohta), riittävää arviota rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä (c alakohta), eikä siinä riittävällä tavalla tuoda esille suunniteltuja toimenpiteitä riskeihin puuttumiseksi (d alakohta).

Vastaamon laatima tietosuoja-asetuksen 35 artiklan 1 kohdassa tarkoitettu tietosuojaa koskeva vaikutustenarviointi ei näin ollen täytä tietosuoja-asetuksen 35 artiklan 7 kohdan a–d alakohdassa asetettuja vaatimuksia.

3.2.3. Tekniset ja organisatoriset toimenpiteet

3.2.3.1. Potilastietojärjestelmän suojaus 26.11.2017–13.3.2019

Vastaamon 31.8.2021 antaman selvityksen mukaan Vastaamon potilastietojärjestelmä (”Psykoterapiakeskusten toiminnanohjausjärjestelmä”, versio 2) on ilmoitettu Valviran ylläpitämään sosiaali- ja terveydenhuollon tietojärjestelmien rekisteriin 29.6.2017. Ilmoituksen mukaan tietojärjestelmä on selainpohjainen, Kanta-palveluihin liittämätön B-luokan järjestelmä.

Nixun 21.10.2020 valmistuneen teknisen tutkinnan mukaan Vastaamon potilastietojärjestelmän palvelimen ylläpidossa on jätetty noudattamatta alan parhaita käytäntöjä ja suojausmenetelmiä, ja tämä on altistanut palvelimen erilaisille verkkohyökkäyksille. Todennäköisin syy potilastietokannan vuodolle on ollut tietokannan suojaamaton MySQL-portti, jossa on ollut puutteellinen pääkäyttäjän autentikaatio. Potilastietokannan root-pääkäyttäjätunnusta ei ole suojattu salasanalla, ja käyttäjätunnukselle on annettu oikeus kirjautua tietokantaan mistä tahansa IP-osoitteesta. Potilastietokannan palvelin on ollut ilman palomuurisuojausta auki internetiin vähintään 26.11.2017 ja 13.3.2019 välisen ajan. Teknisen tutkinnan tuloksena ei ole pystytty yksilöimään hyökkääjän käyttämää yhteyttä tai identiteettiä. Teknisen tutkinnan lopputuloksena ei ole saatu täyttä varmuutta myöskään siitä, milloin tietokanta on vuotanut. Teknisen tutkinnan näkökulmasta väite siitä, että tietokanta on varastettu vuoden 2018 loppupuolella, vaikuttaa uskottavalta.

Vastaamon 31.8.2021 antaman selvityksen mukaan Vastaamo on varmistanut henkilötietojen asianmukaisen turvallisuuden omavalvontasuunnitelmassa ja potilastietorekisterin tietosuojaselosteessa kuvatuilla toimenpiteillä. Vastaamoon on organisatorisina toimenpiteinä palkattu potilastietojärjestelmän kehittämiseen, ylläpitoon ja tietoturvasta huolehtimiseen alaan perehtyneet tekniset asiantuntijat sekä lakimies vastaamaan erityisesti tietosuoja-asetuksen ja tietosuojalainsäädännön velvoitteiden täyttämisestä. Teknisellä henkilöstöllä on ollut vapaudet tehdä tarvittavat hankinnat tietoturvan ylläpitämiseksi, ja henkilöstöllä on ollut mahdollisuus konsultoida haluamassaan laajuudessa asiantuntijoita. Omavalvontasuunnitelmassa kuvattujen tietoturvakäytäntöjen käytännön toteuttaminen on ollut Vastaamon järjestelmäarkkitehdin ja tietosuojavastaavan vastuulla. Potilastietojärjestelmän tietoturvasta on vastannut tietosuojavastaava. Vastaamolla on lisäksi ollut tietosuojatyön organisoinnin, kehittämisen ja hallinnan tueksi tietosuoja- ja tietoturvatoimikunta.

Vastaamon mukaan ulkopuolinen pääsy potilastietojärjestelmän palvelimelle on tullut olla estetty palomuureilla sekä käyttäjätunnus- ja salasanasuojauksilla. Potilastietojärjestelmän omavalvontasuunnitelman mukaisesti järjestelmän kehitystyö olisi pitänyt tehdä käyttöympäristöstä irrallaan olevissa kehitysympäristöissä, jotka ovat asianmukaisesti suojattuja ja joilta ei ole yhteyttä tuotannollisiin järjestelmiin. Järjestelmään liittyvät kehitystoimet, kuten järjestelmäarkkitehdin tekemät palomuurin määrittelyt ja etäkäyttöyhteyden avaus, olisi Vastaamon omavalvontasuunnitelman mukaisesti pitänyt testata Vastaamon tietosuojavastaavan toimesta, jotta kehitystyössä mahdollisesti syntyvät tietoturvapuutteet havaitaan välittömästi.

Vastaamon mukaan normaalien palomuurilaitteiden ja ohjelmistojen lisäksi käytössä olleita potilasrekisterin hakkeroinnin eston ja valvonnan työkaluja ovat olleet muun muassa [tästä kohdasta poistettu salassapidettäviä tietoja]. Vastaamon mukaan toimenpiteet ovat Nixun raportista ilmenevin tavoin olleet myös käytännössä asianmukaisia ja estäneet ulkopuoliset hyökkäykset marraskuuhun 2017 saakka. Tämä on Vastaamon mukaan pääteltävissä myös muun muassa Nixun raportista, koska Shodan-hakukone ei ollut havainnut avointa porttia ennen kuin marraskuussa 2017.

Vastaamon mukaan potilastietokannan päätymisestä kiristäjän haltuun ei ole toistaiseksi tarkempaa tietoa. Tiedossa ei siten ole i) mistä, ii) milloin ja iii) millä tavalla tietokanta on päätynyt kiristäjän haltuun. Myöskin kiristäjän henkilöllisyys on edelleen epäselvä. Ylipäätään tutkimuksessa ei ole saatu näyttöä siitä, että potilastietokanta olisi jossakin vaiheessa ennen 15.3.2019 siirretty pois Vastaamon palvelimelta. Nixun tutkinnassa ei siten ole pystytty yksilöimään, onko kiristäjän hallussa ollut potilastietokanta peräisin Vastaamon palvelimelta tai onko potilastietokanta vuotanut tietoturva-aukon kautta.

Kuten edellä on tuotu esille, Nixun tekemän teknisen tutkinnan mukaan Vastaamon potilastietokannan MySQL-portti on ollut avoinna internetiin vähintään 26.11.2017 ja 13.3.2019 välisen ajan. Teknisen tutkinnan mukaan potilastietokannan root-pääkäyttäjätunnusta ei ole suojattu salasanalla, ja käyttäjätunnukselle on annettu oikeus kirjautua potilastietokantaan mistä tahansa IP-osoitteesta. Suojaamaton tietokantaportti, jossa on ollut puutteellinen pääkäyttäjän autentikaatio, on Nixun arvion mukaan todennäköisin syy potilastietokannan vuodolle. Vastaamon potilastietojen käsittelyssä on edellä kohdassa 2.2.1. esille tuoduin tavoin tapahtunut tietoturvaloukkaus ainakin 20.12.2018 ja 15.3.2019, jolloin ulkopuolinen taho on päässyt kirjautumaan potilastietokantaan. 15.3.2019 tapahtuneen tietoturvaloukkauksen yhteydessä potilastiedot ovat myös hävinneet. Potilastietojärjestelmän palvelimelle on jätetty 15.3.2019 kiristysviesti, jossa hyökkääjä on ilmoittanut, että potilastietokanta on ladattu hyökkääjän palvelimille, ja jossa hyökkääjä on vaatinut tietojen palauttamista vastaan lunnaita. Vastaamon 28.9.2020 saamassa kiristysviestissä hyökkääjä on ilmoittanut kopioineensa Vastaamon potilastietokannan.

Tietojen kopioimista ei 20.12.2018 ja 15.3.2019 tapahtuneisiin tietoturvaloukkauksiin liittyen ole Nixun teknisessä tutkinnassa kyetty vahvistamaan, mutta sitä ei myöskään ole pystytty sulkemaan pois.

Tietosuoja-asetuksen mukaisen henkilötietojen asianmukaisen turvallisuuden arvioinnin kannalta ratkaisevaa merkitystä ei ole sillä, kuka ulkopuolinen taho potilastietokantaan on 20.12.2018 ja 15.3.2019 tapahtuneiden tietoturvaloukkausten yhteydessä päässyt kirjautumaan, tai sillä, milloin ja miten potilastiedot ovat tarkkaan ottaen kiristäjän haltuun päätyneet. Merkitystä asian arvioinnissa on sen sijaan sillä, että asiassa saadun selvityksen mukaan Vastaamon potilastietokannan MySQL-portti on ollut avoinna internetiin vähintään 26.11.2017–13.3.2019, potilastietokannan puutteellinen suojaus on mahdollistanut tietokantaan kohdistuvat ulkopuoliset hyökkäykset, ulkopuolinen hyökkäys on potilastietokannan puutteellisen suojauksen aikana tosiasiallisesti toteutunut, ja ulkopuolinen taho on kiristysviesteissään 15.3.2019 ja 28.9.2020 ilmoittanut pitävänsä hallussaan Vastaamon potilastietokannasta peräisin olevia tietoja. Vastaamo ei ole selvityksessään kiistänyt näiden seikkojen todenperäisyyttä.

Tietosuoja-asetuksen mukaisen henkilötietojen asianmukaisen turvallisuuden arvioinnin kannalta ratkaisevaa merkitystä ei ole myöskään sillä, mistä syystä Vastaamon potilastietokannan MySQL-portti on ollut avoinna internetiin 26.11.2017–13.3.2019. Vastaamon 31.8.2021 antaman selvityksen mukaan Vastaamon järjestelmäarkkitehti on konfiguroinut palvelinasetuksia marraskuussa 2017.

Vastaamon 26.6.2017 laatiman omavalvontasuunnitelman mukaan Vastaamon tietosuojavastaava testaa ja hyväksyy potilastietojärjestelmän muutokset, joiden arvioidaan koskettavan henkilötietoja, potilastietoja tai tietoturvaa käsitteleviä osia järjestelmästä. Asiassa saadun selvityksen perusteella jää kuitenkin epäselväksi, mitä järjestelmäarkkitehdin marraskuussa 2017 tekemät palvelinasetusten muutokset ovat tarkkaan ottaen koskeneet, onko tietosuojavastaava hyväksynyt kyseiset muutokset ja miten nämä seikat ovat mahdollisesti vaikuttaneet siihen riidattomaksi katsottuun tosiseikkaan, että Vastaamon potilastietokannan MySQL-portti on ollut avoinna internetiin 26.11.2017–13.3.2019. Tietosuoja-asetuksen 24 artiklan 1 kohdan mukaan vastuu asianmukaisten teknisten ja organisatoristen toimenpiteiden toteuttamisesta on rekisterinpitäjällä. Vastaamo rekisterinpitäjänä lähtökohtaisesti vastaa ylläpitämänsä potilastietokannan suojausta heikentävistä puutteista riippumatta siitä, mistä syystä tietokanta on ollut puutteellisesti suojattuna.

Edelleen on todettava, että tietosuoja-asetuksen mukaisen henkilötietojen asianmukaisen turvallisuuden arvioinnin kannalta ei ole ratkaisevaa merkitystä sillä, kuka tai ketkä ja missä asemassa työskennelleet henkilöt ovat Vastaamossa olleet tietoisia potilastietokannan puutteellisesta suojauksesta, tai onko tietokannan puutteellisesta suojauksesta tosiasiallisesti tiennyt yksikään Vastaamossa työskennellyt henkilö. Kuten edellä on tuotu esille, vastuu asianmukaisten teknisten ja organisatoristen toimenpiteiden toteuttamisesta on asetettu tietosuoja-asetuksessa rekisterinpitäjälle. Jotta rekisterinpitäjä voisi tämän velvollisuutensa täyttää, sen on pysyttävä tietoisena siitä, millä tavoin henkilötietojen asianmukainen turvallisuus rekisterinpitäjän toteuttamien toimenpiteiden avulla toteutuu. Jos rekisterinpitäjä voisi välttää tietosuoja-asetuksen mukaisen asianmukaisen turvallisuuden varmistamista koskevan vastuunsa yksinomaan tietämättömyytensä perusteella, rekisterinpitäjä voisi tarkoituksellisesti jättäytyä tietämättömäksi seikoista, jotka voivat heikentää rekisterinpitäjän käsittelemien henkilötietojen turvallisuutta.

Vastaamo ei edellä esille tuoduin tavoin ole selvityksessään kiistänyt, et-teikö Vastaamon potilastietokannan MySQL-portti olisi ollut avoinna internetiin vähintään 26.11.2017–13.3.2019, ja etteikö potilastietokannan puutteellinen suojaus olisi mahdollistanut tietokantaan kohdistuvia ulkopuolisia hyökkäyksiä. Vastaamo kuitenkin katsoo 31.8.2021 antamassaan selvityksessä, että Nixun raportissa tehty johtopäätös ”Käyttäjätunnuksen root MySQL-käyttöhistoria vahvistaa havainnon salasanan puuttumisesta” perustuu lokimerkintöihin, jotka eivät ole päivämäärämerkittyjä, mutta jotka vaikuttavat olevan vuosien 2019 ja 2020 ajalta. Vastaamon mukaan palvelin on asennettu käyttöön vasta 27.6.2018. Lisäksi Nixun raportista Vastaamon mukaan ilmenee, että murtautuja itse on muuttanut tietokantakäyttäjien käyttöoikeuksia ainakin 20.12.2018. Vastaamon mukaan Nixun löydökset eivät siis vielä osoita luotettavasti, mikä on ollut tilanne murtojen aikaan, tai mitkä käyttöoikeusasetukset ovat alun perin mahdollistaneet tietomurron.

Nixun mukaan useiden teknisessä tutkinnassa löytyneiden tietojen perusteella potilastietokannan pääkäyttäjätunnusta ei ole suojattu lainkaan salasanalla, ja käyttäjätunnukselle on annettu oikeus kirjautua mistä tahansa IP-osoitteesta tietokantaan. Teknisessä tutkinnassa käytettävissä olleesta levykuvasta on onnistuttu palauttamaan palasia poistetuista vanhemmista lokitiedostoista, joista yksi on sisältänyt käyttäjätunnuksen root kirjautumisen yhdysvaltalaisesta IP-osoitteesta. Lokitiedoston perusteella käyttäjätunnuksen root on ollut mahdollista kirjautua tietokantaan joulukuussa 2018 ilman rajoituksia. Kirjautuminen on tapahtunut 20.12.2018 klo 08:34:26 (aikavyöhyke ei tiedossa). Nixun mukaan kyseinen löydös varmistaa kirjautumisen olleen mahdollinen pääkäyttäjänä internetistä. Teknisessä tutkinnassa löytyneestä 18.3.2020 tallennetusta varmuuskopiosta palautettujen tietojen perusteella kirjautuminen potilastietokantaan ei ole pääkäyttäjätunnukselle lisättyjen rajoitusten vuoksi ollut enää 18.3.2020 mahdollista muutoin kuin paikallisesti potilastietokannan palvelimelta. Nixun teknisen tutkinnan perusteella potilastietokannan pääkäyttäjätunnus on näin ollen ollut salasanalla suojaamaton ainakin 20.12.2018, ja rajoittamaton kirjautuminen internetistä potilastietokantaan ei ole ollut mahdollista enää 18.3.2020. Ulkopuolinen hyökkääjä on toisin sanoen kirjautunut potilastietokantaan aikana, jolloin potilastietokannan MySQL-portti on ollut avoinna internetiin ja jolloin potilastietokannan pääkäyttäjätunnus ei ole ollut suojattuna salasanalla.

Nixun teknisessä tutkinnassa 21.10.2020 havaitut Vastaamon potilastietokannan suojauksessa 26.11.2017–13.3.2019 olleet puutteet ovat liittyneet henkilötietojen turvallista käsittelyä koskeviin perustoimenpiteisiin, jotka tietosuoja-asetuksen eheyttä ja turvallisuutta koskevan periaatteen tehokas täytäntöönpano olisi edellyttänyt Vastaamon toteuttamaan. Henkilötietojen käsittelyä, jossa potilastietokannan palvelimen porttia ei ole suojattu palomuurilla ja tietokantaan on pystynyt kirjautumaan mistä tahansa IP-osoitteesta oletustunnuksella, jolle ei ole määritelty salasanaa, ei voida pitää käsittelynä, jossa henkilötiedot olisi tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdassa edellytetyllä tavalla suojattu luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta asianmukaisten teknisten tai organisatoristen toimenpiteiden avulla.

Palomuuriohjelmistojen asentamista, pääkäyttäjätunnuksen suojaamista salasanalla ja kirjautumismahdollisuuksien rajoittamista IP-osoitteiden avulla ei voida pitää Vastaamon kannalta kohtuuttomina toimenpiteinä ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä rekisteröityjen oikeuksiin ja vapauksiin kohdistuvat riskit. Vastaamon potilastietojärjestelmässä on käsitelty laajamittaisesti henkilötietoja, jotka ovat Vastaamon toiminnan luonteen vuoksi olleet erityisen arkaluonteisia. Vastaamon suorittamasta potilastietojen käsittelystä rekisteröityjen oikeuksille ja vapauksille todennäköisesti aiheutuva riski on sen vuoksi ollut lähtökohtaisesti korkea. Vastaamon toteuttamien teknisten ja organisatoristen toimenpiteiden ei edellä mainituilla perusteilla voida katsoa olleen tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdassa, 24 artiklan 1 kohdassa, 25 artiklan 1 kohdassa ja 32 artiklan 1 kohdassa tarkoitetulla tavalla asianmukaisia potilastietojen käsittelystä aiheutuvien riskien pienentämiseksi henkilötietojen asianmukaisen turvallisuuden edellyttämälle tasolle.

3.2.3.2. Potilastietojärjestelmän suojaus 15.3.2019 jälkeen

Vastaamon 12.4.2019 Valviralle tekemän ilmoituksen (”Asiakastietolain mukainen poikkeamisilmoitus”) mukaan potilastietojärjestelmä on ollut järjestelmän huollossa tapahtuneen virheen vuoksi käyttökatkolla 15.3.2019–17.3.2019. Vastaamon mukaan poikkeaman vuoksi on ryhdytty välittömiin korjaaviin toimiin sekä pidemmän aikavälin lisäselvityksiin potilasturvallisuuden parantamiseksi. Henkilökunta on ohjeistettu toimintaan mahdollisten tulevien tietokatkojen aikana. Ulkopuolisen asiantuntijan kanssa on tehty uusi tietojen varmuuskopiointisuunnitelma, järjestelmän palautussuunnitelma, järjestelmän tehostettu jatkuva monitorointi sekä säännöllisesti toistettava palautettavuustesti. Tietojärjestelmän arkkitehtuurikuvaus ja omavalvontasuunnitelma on päivitetty muutosten mukaisiksi. Virtuaalipalvelinympäristön muisti- ja levytilakapasiteettia on kasvatettu. Ohjelmistosta on kirjoitettu uusiksi laskutustoiminto, joka kasvaneen tiedon volyymin vuoksi palvelimen muistirajoitukset saavutettuaan on keskeytynyt odottamattomasti rikkoen tietojen eheyttä. Ohjelmiston muita ORM-pohjaisesta suunnittelusta ja tietokantaohjelmistosta johtuvia pullonkauloja on pyritty tunnistamaan ennakoivasti. Järjestelmän pidemmän aikavälin kehityssuunnitelmaan muita skaalautuvuuteen, suojaukseen ja käytettävyyteen liittyviä parannuskohteita on dokumentoitu. Selvitystyö järjestelmän käyttöympäristön ylläpidon vastuiden ulkoistusta nykyistä kumppania kattavammin tarjoavista palvelutuottajista on aloitettu.

Nixun 21.10.2020 valmistuneen teknisen tutkinnan mukaan tietokantahäiriön aiheuttaneen hyökkäyksen jälkeen palvelimen asetuksia on kovennettu ja tietoturvaohjelmistoja on otettu käyttöön. Lokitiedoista on ilmennyt tietoturvaohjelmistojen asentamista ja konfigurointia (fail2ban-suojausohjelma ja ufw-palomuuri) 18.3.2019–20.3.2019. Shodan-hakukone ei tämän jälkeen ole kirjannut havaintoja avoimista porteista.

Vastaamon 23.11.2020 antamassa selvityksessä tuodaan esille Vastaamon maaliskuun 2019 ja syyskuun 2020 välisenä aikana toteuttamia tietoturvallisuutta parantavia toimenpiteitä. muassa tarkastettu portit, asennettu lisäpalomuuri (ufw) ja rootkit hunter, tarkastettu tietokantatunnukset sekä ajettu alas tarpeettomat palvelut ja verkkosivut. Lisäksi on suunniteltu ja toteutettu tiedon kahdentaminen. Muita toimenpiteitä ovat muun ohella ulkopuolisen IT-asiantuntijan 15.11.2019 tekemä tietosuojatarkistus kolmelle palvelimelle ja palomuurille, potilastietojärjestelmän teknisten komponenttien (erityisesti Symfony) päivittäminen sekä käyttäjätunnuksen, salasanan ja lisäksi kertakäyttöisen salasanan (One Time Password, OTP) edellyttäminen tietojärjestelmän sisältämiin potilastietoihin sovelluksen käyttöliittymän kautta pääsemiseksi myös toimipisteistä käsin. Vastaamon mukaan potilastietojärjestelmän suojaus on ollut järjestettynä asianmukaisesti viimeistään parantamistoimenpiteiden päättymisestä 20.3.2019 alkaen.

Vastaamo on edellä kuvatuin tavoin korjannut potilastietojärjestelmän suojauksessa olleita puutteita 15.3.2019 tapahtuneen tietoturvaloukkauksen jälkeen. Vastaamon toteuttamista korjaavista toimenpiteistä huolimatta Sofigaten 8.5.2019 valmistuneessa Vastaamon IT-järjestelmiä koskevassa due diligence -selvityksessä (”IT DD Vastaamo”) on havaittu useita potilastietojen asianmukaista turvallisuutta heikentäviä puutteita. Muun ohella sovelluskehitystä varten ei ole ollut olemassa erillisiä kehitys-, testaus- ja tuotantoympäristöjä, Symfony-järjestelmään ei ole ollut enää saatavissa uusia päivityksiä, katkeamatonta kirjausketjua (audit trail) tai tietoja myönnetyistä ja peruutetuista käyttöoikeuksista ei ole ollut saatavilla, potilastietojärjestelmällä on ollut rajapinta julkiseen internetiin, penetraatiotestauksia tai ulkoisia tietoturva-auditointeja ei ole tehty, ja työasemiin ei ole asennettu virustorjuntaohjelmia.

Sofigaten 8.5.2019 havaitsemien puutteiden lisäksi Nixun 21.10.2020 valmistuneessa teknisessä tutkinnassa on havaittu useita puutteita, jotka Nixun mukaan eivät vastaa turvallisen palvelun ylläpidon parhaita käytäntöjä. Havaitsemiensa puutteiden perusteella Nixu on esittänyt Vastaamolle 17 suositusta korjaaviksi toimenpiteiksi. Nixun mukaan muun ohella potilastietojärjestelmän palvelin tulee suojata palomuurilla siten, että muiden kuin www-palveluiden käyttäminen internetistä on estetty, ylläpitäjillä on oltava henkilökohtaiset tunnukset vahvoilla salasanoilla, pääsy potilastietojärjestelmän palvelimelle on syytä rajata VPN-yhteydellä siten, että palvelin ei ole lainkaan saavutettavissa internetin yli ilman VPN-tunnuksia, palvelimen lokit tulee tallentaa erilliselle lokipalvelimelle vähintään vuoden ajan, potilastietokannan pääkäyttäjätunnuksella kirjautuminen ulkoverkosta tulee estää, tietokanta- ja web-applikaatiopalvelimet on eriytettävä erillisiksi palvelimiksi, joista tietokantapalvelimen yhteydet rajoitetaan vain web-applikaatiopalvelimeen, tietokantapalvelimen ohjelmistoihin on asennettava säännöllisesti uusimmat tietoturvapäivitykset, ja potilastietojärjestelmän palvelimen tietoturvatapahtumia täytyy monitoroida säännöllisesti.

Vastaamo ei ole antamassaan selvityksessä kiistänyt Sofigaten ja Nixun selvityksissä esille tuotujen puutteiden olemassaoloa. Vastaamon 23.11.2020 antamassa selvityksessä ja selvityksen liitteenä olevassa asiakirjassa ”Tietoturvaa koskeva toimenpidelista 20.11.2020” tuodaan esille Vastaamon 28.9.2020 jälkeen toteuttamia ja suunnittelemia potilastietojärjestelmän turvallisuutta parantavia toimenpiteitä, jotka kattavat muun ohella kaikki Nixun 21.10.2020 esittämät suositukset. Vastaamossa on loka-marraskuussa 2020 muun ohella eristetty potilastietojärjestelmän palvelin julkisesta internetistä, otettu käyttöön henkilökohtaiset ja vahvoilla salasanoilla suojatut käyttäjätunnukset järjestelmän ylläpitäjille, rajattu palvelimelle pääsy internetistä VPN-yhteyden edellyttäväksi ja estetty tietokannan pääkäyttäjätunnuksella kirjautuminen ulkoverkosta. Käynnissä olevia tai odottavia toimenpiteitä ovat muun ohella palvelimen lokien tallentaminen erilliselle Greylog-lokipalvelimelle, tietokanta- ja www-sovelluspalvelimien eriyttäminen erillisiksi palvelimiksi ja palvelimen tietoturvatapahtumien säännöllinen monitorointi.

Sofigaten 8.5.2019 ja Nixun 21.10.2020 laatimassa selvityksessä havaitut puutteet, jotka Vastaamon potilastietojärjestelmän suojaukseen ovat 15.3.2019 jälkeen toteutettujen korjaavien toimenpiteiden jälkeen yhä jääneet, ovat liittyneet henkilötietojen turvallista käsittelyä koskeviin perustoimenpiteisiin, jotka tietosuoja-asetuksen eheyttä ja turvallisuutta koskevan periaatteen tehokas täytäntöönpano olisi edellyttänyt Vastaamon toteuttamaan. Henkilötietojen käsittelyä, jossa muun ohella potilastietokannan ylläpitäjillä ei ole henkilökohtaisia vahvalla salasanalla suojattuja käyttäjätunnuksia, potilastietokantaa ei ole eristetty julkisesta internetistä, potilastietokannan pääkäyttäjätunnuksella kirjautumista ulkoverkosta ei ole estetty, potilastietokanta- ja www-sovelluspalvelimia ei ole eriytetty erillisiksi palvelimiksi ja tietokantapalvelimen yhteyksiä rajattu sovelluspalvelimeen, ei voida pitää käsittelynä, jossa henkilötiedot olisi tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdassa edellytetyllä tavalla suojattu luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta asianmukaisten teknisten tai organisatoristen toimenpiteiden avulla.

Sofigaten ja Nixun selvityksissä havaittujen puutteiden korjaaminen ei olisi edellyttänyt Vastaamolta kohtuuttomia toimenpiteitä ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä rekisteröityjen oikeuksiin ja vapauksiin kohdistuvat riskit. Vastaamon potilastietojärjestelmässä on käsitelty laajamittaisesti henkilötietoja, jotka ovat Vastaamon toiminnan luonteen vuoksi olleet erityisen arkaluonteisia. Vastaamon suorittamasta potilastietojen käsittelystä rekisteröityjen oikeuksille ja vapauksille todennäköisesti aiheutuva riski on sen vuoksi ollut lähtökohtaisesti korkea. Vastaamon toteuttamien teknisten ja organisatoristen toimenpiteiden ei edellä mainituilla perusteilla voida katsoa olleen tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdassa, 24 artiklan 1 kohdassa, 25 artiklan 1 kohdassa ja 32 artiklan 1 kohdassa tarkoitetulla tavalla asianmukaisia potilastietojen käsittelystä aiheutuvien riskien pienentämiseksi henkilötietojen asianmukaisen turvallisuuden edellyttämälle tasolle ennen Vastaamon loka-marraskuussa 2020 tekemiä korjaavia toimenpiteitä.

3.2.3.3. Epäselviksi jäävät seikat

Tietosuoja-asetuksen 32 artiklan 1 kohdan b alakohdan mukaan eräänä henkilötietojen asianmukaisen turvallisuuden varmistavana toimenpiteenä voidaan pitää rekisterinpitäjän kykyä taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus. Tietosuojatyöryhmä WP29:n mukaan valmiuksia havaita ja torjua tietoturvaloukkaus ja ilmoittaa siitä nopeasti olisi pidettävä riskiä vastaavan turvallisuustason varmistamiseksi toteutettavien teknisten ja organisatoristen toimenpiteiden oleellisena osatekijänä. Tietoturvaloukkausten on tultava rekisterinpitäjälle ilmi ajoissa, jotta rekisterinpitäjä voi ryhtyä välittömästi toimenpiteisiin tietoturvaloukkauksen selvittämiseksi ja siitä ilmoittamiseksi siten kuin tietosuoja-asetuksessa edellytetään.

Vastaamon 31.8.2021 antaman selvityksen mukaan Vastaamo on toteuttanut omavalvontasuunnitelmassa ja potilasrekisterin tietosuojaselosteessa selostetut tekniset ja organisatoriset toimenpiteet tietoturvaloukkausten havaitsemiseksi ja selvittämiseksi. [Tästä kohdasta poistettu salassapidettäviä tietoja.] Potilastietojärjestelmä ylläpitää lokia jokaisesta järjestelmässä tehdystä toiminnosta, ja Vastaamon tietosuojavastaava seuraa potilastietojärjestelmän lainmukaista käyttöä käyttäjä- ja toimintokohtaisesta käyttölokista. Vastaamon 24.5.2018 laatiman tietosuojaselosteen mukaan asiattomat yritykset päästä potilastietoja sisältäville palvelimille aiheuttavat yrityksen alkuperästä tietoja sisältävän hälytyksen rekisterinpitäjälle. Vastaamon 31.8.2021 antaman selvityksen mukaan Vastaamo on näiden toimenpiteiden avulla pystynyt välittömästi selvittämään, onko tietoturvaloukkauksia tapahtunut.

Kuten edellä kohdassa 2.2.2. ja 2.2.3. on tuotu esille, Vastaamo ei ole dokumentoinut 20.12.2018 tapahtunutta tietoturvaloukkausta, ja asiassa saadun selvityksen perusteella jää epäselväksi, milloin kyseinen tietoturvaloukkaus on tullut Vastaamolle ilmi. Vastaamon mukaan Vastaamo on dokumentoinut tiedossaan olleet tietoturvaloukkaukset ylläpitämäänsä tietoturvapoikkeamarekisteriin. Vastaamo on edellä kohdassa 2.2.2. ja 2.2.5. kohdassa todetuin tavoin tullut toteuttamiensa teknisten ja organisatoristen toimenpiteiden avulla tietoiseksi 15.3.2019 tapahtuneesta tietoturvaloukkauksesta ja tietoturvaloukkauksen tyypistä jo saman päivän aikana. Asiassa saadun selvityksen perusteella jää kuitenkin epäselväksi, ovatko Vastaamon toteuttamat tekniset ja organisatoriset toimenpiteet olleet riittäviä 20.12.2018 tapahtuneen tietoturvaloukkauksen havaitsemiseksi ja selvittämiseksi, vai onko asiassa kyse siitä, että toimenpiteet ovat sinänsä olleet riittäviä, mutta tietoturvaloukkausta ei ole dokumentoitu eikä siitä ole tietosuoja-asetuksen mukaisella tavalla ilmoitettu.

Tietosuoja-asetuksen 32 artiklan 1 kohdan c alakohdan mukaan eräänä henkilötietojen asianmukaisen turvallisuuden varmistavana toimenpiteenä voidaan pitää kykyä palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa. Tietojen saatavuuden ja tietoihin pääsyn palauttaminen edellyttävät, että henkilötiedoista ja niiden käsittelystä tallennetaan riittävät varmuuskopiot. Kuten edellä kohdassa 2.2.2. ja 2.2.5. on tuotu esille, Vastaamon Valviralle 24.3.2019 antamien tietojen mukaan 15.3.2019 tapahtuneen tietoturvaloukkauksen yhteydessä hävinneitä tietoja on jouduttu palauttamaan puoliautomatisoidusti käsittelemällä, koska varmuuskopiointi- ja lokitusasetukset ovat olleet varmuuskopiointisuunnitelman vastaiset. Vastaamon 9.4.2018 laatiman vaikutustenarvioinnin mukaan potilastietojärjestelmän tiedot on aikaleimattu, versioitu, kahdennettu ja varmuuskopioitu. Varmuuskopiointia koskevia menettelyitä ei kuitenkaan kuvata vaikutustenarvioinnissa tämän tarkemmin. Vastaamon 26.6.2017 laatimassa omavalvontasuunnitelmassa ja 24.5.2018 laaditussa tietosuojaselosteessa ei mainita varmuuskopiointia. Vastaamon Valviralle 12.4.2019 antamien tietojen mukaan korjaavana toimenpiteenä on tehty ulkopuolisen asiantuntijan kanssa uusi tietojen varmuuskopiointisuunnitelma. Varmuuskopiointikäytäntöjä kuvataan Vastaamon ja Nordic Service Managementin välisessä 25.3.2019 laaditussa palvelukuvauksessa, Vastaamon ja Nordic Service Managementin 15.11.2019–18.11.2019 välillä käydyssä sähköpostikeskustelussa, ja 10.4.2019 laaditussa omavalvontasuunnitelmassa, mutta kyseisten asiakirjojen perusteella jää epäselväksi, millä tavoin varmuuskopiointi on ollut Vastaamossa järjestettynä 20.12.2018 ja 15.3.2019 tapahtuneiden tietoturvaloukkausten aikaan.

Asiassa saadun selvityksen perusteella jää niin ikään epäselväksi, millä tavoin lokitietojen säilyttämisestä on Vastaamossa 20.12.2018 ja 15.3.2019 tapahtuneiden tietoturvaloukkausten aikaan huolehdittu. Potilasasiakirja-asetuksen 24 §:n 1 momentin mukaan sähköisten potilastietojen käyttöön ja luovutukseen liittyvät lokitiedot tulee säilyttää eheinä ja muuttumattomina vähintään 12 vuotta niiden syntymisestä. Vastaamon 26.6.2017 laatimassa omavalvontasuunnitelmassa kuvataan potilastietojen käyttölokitietojen keräämistä, mutta omavalvontasuunnitelmassa, 9.4.2018 laaditussa vaikutustenarvioinnissa tai 24.5.2018 laaditussa tietosuojaselosteessa ei kuvata lokitietojen säilyttämistä koskevia menettelyjä ja lokitietojen säilytysaikaa. Nixun tekemän teknisen tutkinnan mukaan Vastaamon potilastietojärjestelmän palvelimen lokeja on ollut saatavilla rajoitetulta ajalta johtuen siitä, että palvelimen levytilan säästämiseksi lokien säilyvyys on asetettu muutamasta päivästä muutamaan kuukauteen. Koska lokitiedot ovat ulottuneet vain osin vuoden 2019 tapahtumiin ja käytännössä ei lainkaan vuoteen 2018, on tietomurron tarkkaa ajankohtaa ollut Nixun mukaan mahdoton määritellä. Tietomurron ajankohdan ja tarkan toteutustavan jäätyä epäselväksi ei tutkinnassa ole myöskään voitu yksilöidä hyökkääjän käyttämiä verkkoyhteysosoitteita tai tekniikoita.

Tietosuoja-asetuksen 32 artiklan 1 kohdan d alakohdan mukaan eräänä henkilötietojen asianmukaisen turvallisuuden varmistavana toimenpiteenä voidaan pitää menettelyä, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi. Tietosuoja-asetuksen 24 artiklan 1 kohdan mukaan rekisterinpitäjän toteuttamia teknisiä ja organisatorisia toimenpiteitä on tarkistettava ja päivitettävä tarvittaessa. Vastaamon mukaan Vastaamo on pyrkinyt seuraamaan toteuttamiensa teknisten ja organisatoristen toimenpiteiden tehokkuutta ja toteuttanut tietoturvaa parantavia toimenpiteitä tarvittaessa näiden prosessien pohjalta. Vastaamon 26.6.2017 laatimassa omavalvontasuunnitelmassa, 9.4.2018 laaditussa vaikutustenarvioinnissa, 24.5.2018 laaditussa tietosuojaselosteessa tai muussakaan ennen 20.12.2018 ja 15.3.2019 tapahtuneita tietoturvaloukkauksia laaditussa asiakirjassa ei tarkemmin tuoda esille menettelytapoja, joiden avulla Vastaamo olisi 20.12.2018 ja 15.3.2019 tapahtuneiden tietoturvaloukkausten aikaan pyrkinyt säännöllisesti seuraamaan toteuttamiensa teknisten ja organisatoristen toimenpiteiden tehokkuutta siten kuin tietosuoja-asetuksen 32 artiklan 1 kohdan d alakohdassa tarkoitetaan.

Kuten edellä kohdassa 3.2.3.1. on tuotu esille, Vastaamon 31.8.2021 antamassa selvityksessä on tuotu esille useita potilastietojärjestelmän hakkeroinnin eston ja valvonnan työkaluja [tästä kohdasta poistettu salassapidettäviä tietoja]. Kyseisiä työkaluja ei kuitenkaan ole dokumentoitu Vastaamon 26.6.2017 laatimaan omavalvontasuunnitelmaan, 9.4.2018 laadittuun vaikutustenarviointiin, 24.5.2018 laadittuun tietosuojaselosteeseen tai muuhunkaan ennen 20.12.2018 ja 15.3.2019 tapahtuneita tietoturvaloukkauksia laadittuun asiakirjaan. Nixun 21.10.2020 valmistuneen teknisen tutkinnan mukaan Ciscon Stealthwatch on otettu Vastaamossa käyttöön tammikuussa 2019. Vastaamon mukaan netflow-datan kerääminen on aloitettu 22.2.2020. Asiassa saadun selvityksen perusteella jää epäselväksi, ovatko Vastaamon 31.8.2021 antamassa selvityksessä esille tuodut työkalut olleet 20.12.2018 ja 15.3.2019 tapahtuneiden tietoturvaloukkausten aikaan Vastaamossa käytössä.

Henkilötietojen käsittelyä, jossa rekisterinpitäjä ei toteuta toimenpiteitä, joiden avulla se kykenee havaitsemaan ja selvittämään käsittelyssään tapahtuvat tietoturvaloukkaukset, seuraamaan säännöllisesti toteuttamiensa teknisten ja organisatoristen toimenpiteiden tehokkuutta ja huolehtimaan riittävistä varmuuskopiointiin ja lokitietojen säilyttämiseen liittyvistä menettelytavoista tietojen saatavuuden ja tietoihin pääsyn palauttamiseksi ei voida pitää käsittelynä, jossa henkilötiedot olisi tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdassa edellytetyllä tavalla suojattu luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta asianmukaisten teknisten tai organisatoristen toimenpiteiden avulla. Toimenpiteet ovat liittyneet henkilötietojen turvallista käsittelyä koskeviin perustoimenpiteisiin, jotka tietosuoja-asetuksen eheyttä ja turvallisuutta koskevan periaatteen tehokas täytäntöönpano olisi edellyttänyt Vastaamon toteuttamaan. Puutteellisen dokumentaation vuoksi Vastaamo ei ole pystynyt osoittamaan, että mainitut toimenpiteet olisivat kaikilta osin olleet Vastaamossa käytössä 20.12.2018 ja 15.3.2019 tapahtuneiden tietoturvaloukkausten aikaan siten kuin edellä on tarkemmin kuvattu.

Tietoturvaloukkausten havaitsemista ja selvittämistä, teknisten ja organisatoristen toimenpiteiden tehokkuuden seuraamista sekä varmuuskopiointia ja lokitietojen säilyttämistä koskevia toimenpiteitä ei voida pitää Vastaamon kannalta kohtuuttomina ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä rekisteröityjen oikeuksiin ja vapauksiin kohdistuvat riskit. Vastaamon potilastietojärjestelmässä on käsitelty laajamittaisesti henkilötietoja, jotka ovat Vastaamon toiminnan luonteen vuoksi olleet erityisen arkaluonteisia. Vastaamon suorittamasta potilastietojen käsittelystä rekisteröityjen oikeuksille ja vapauksille todennäköisesti aiheutuva riski on sen vuoksi ollut lähtökohtaisesti korkea. Vastaamon toteuttamien teknisten ja organisatoristen toimenpiteiden ei edellä mainituilla perusteilla voida katsoa olleen tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdassa, 24 artiklan 1 kohdassa, 25 artiklan 1 kohdassa ja 32 artiklan 1 kohdassa tarkoitetulla tavalla asianmukaisia potilastietojen käsittelystä aiheutuvien riskien pienentämiseksi henkilötietojen asianmukaisen turvallisuuden edellyttämälle tasolle.

3.2.3.4. Lopputulos

Vastaamo ei ole ennen marraskuuta 2020 käsitellyt henkilötietoja tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdassa ilmaistun henkilötietojen eheyden ja luottamuksellisuuden periaatteen mukaisesti tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus.

Vastaamo ei ole ennen marraskuuta 2020 noudattanut tietosuoja-asetuksen 24 artiklan 1 kohdassa, 25 artiklan 1 kohdassa sekä 32 artiklan 1 ja 2 kohdassa asetettuja vaatimuksia henkilötietojen eheyden ja luottamuksellisuuden periaatteen edellyttämällä tavalla.

Vastaamo ei ole ennen marraskuuta 2020 pystynyt tietosuoja-asetuksen 5 artiklan 2 kohdassa ilmaistun osoitusvelvollisuuden periaatteen mukaisella tavalla osoittamaan, että se on noudattanut tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdasta seuraavia vaatimuksia.

Päätöksen on tehnyt apulaistietosuojavaltuutettu Jari Råman ja sen on esitellyt ylitarkastaja Tiina Pasanen.

Tietosuojalain 24 §:n 1 momentin mukaan hallinnollisen seuraamusmaksun määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio, joka on antanut seuraavan päätöksen seuraamusmaksun määräämisestä.

Seuraamuskollegion päätös

Apulaistietosuojavaltuutettu on edellä todetuin tavoin antanut päätöksessään Vastaamolle tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdan, 5 artiklan 2 kohdan, 24 artiklan 1 kohdan, 25 artiklan 1 kohdan, 32 artiklan 1 ja 2 kohdan, 33 artiklan 1 ja 5 kohdan, 34 artiklan 1 kohdan sekä 35 artiklan 7 kohdan a–d alakohdan rikkomisesta seuraamukseksi huomautuksen.

Tietosuojavaltuutetun toimiston seuraamuskollegio katsoo, että tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdan, 33 artiklan 1 kohdan ja 34 artiklan 1 kohdan rikkomisesta on huomautuksen lisäksi määrättävä seuraamukseksi hallinnollinen seuraamusmaksu. Seuraamuskollegio määrää tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan, 83 artiklan 4 kohdan a alakohdan ja 83 artiklan 5 kohdan a alakohdan nojalla Vastaamon maksamaan valtiolle hallinnollisen seuraamusmaksun, jonka suuruus on 608 000 euroa.

Seuraamuskollegion päätöksen perustelut

1. Asiassa saatu selvitys

Apulaistietosuojavaltuutettu on pyytänyt Vastaamolta asian johdosta selvitystä 5.11.2020. Vastaamo on antanut vastauksensa selvityspyyntöön 23.11.2020 (”Vastaus selvityspyyntöön asiassa 7648/171/2020”, sisältäen liitteet 1–57e). Vastaukseen viitataan päätöksessä viitteellä ”Vastaamon vastaus selvityspyyntöön 23.11.2020”.

Apulaistietosuojavaltuutettu on varannut 17.6.2021 Vastaamolle ja Vastaamon konkurssipesälle tilaisuuden tulla kuulluksi asian alustavasta arvioinnista, arvioinnissa esitetyistä tosiseikoista sekä asiassa mahdollisesti määrättävästä seuraamuksesta. Vastaamon tapahtuma-aikainen toimitusjohtaja on Vastaamon edustajana antanut vastauksensa kuulemispyyntöön 31.8.2021 (”Vastaus selvityspyyntöön asiassa dnro 1150/161/2021”, sisältäen liitteet 1–49). Vastaukseen viitataan päätöksessä viitteellä ”Vastaamon vastaus kuulemispyyntöön 31.8.2021”.

Vastaamon konkurssipesä on antanut apulaistietosuojavaltuutetun kuulemispyyntöön vastauksensa 9.8.2021 (”Psykoterapiakeskus Vastaamo Oy:n konkurssipesän lausuma ja lisäselvitys asiassa dnro 1150/161/2021”) ja 6.9.2021. Vastaukseen viitataan päätöksessä viitteellä ”Vastaamon konkurssipesän vastaus kuulemispyyntöön 9.8.2021” ja ”Vastaamon konkurssipesän vastaus kuulemispyyntöön 6.9.2021”. Vastaamon konkurssipesä on lisäksi 29.6.2021 toimittanut Vastaamon tilinpäätöksen tilikaudelta 1.1.2020–31.12.2020.

Asiassa saatua selvitystä on käsitelty tarkemmin edellä apulaistietosuojavaltuutetun päätöksen kohdassa 2.2. ja 3.2.

1.1. Vastaamon vastaus kuulemispyyntöön 31.8.2021

Vastaamon mukaan seuraamuksen arviointiin vaikuttavana seikkana tulisi huomioida, että tietoturvaloukkaus ei ole seurausta siitä, että Vastaamon potilastietojärjestelmän tietoturva olisi organisoitu huolimattomasti. Vastaamolla on ollut selkeät prosessit tietoturvaloukkausten ehkäisemiseksi, havaitsemiseksi ja ilmoittamiseksi. Kun tietoturvapuutteita on havaittu, on välittömästi ryhdytty korjaaviin toimenpiteisiin potilastietojen turvallisuuden parantamiseksi.

Vastaamon toimitusjohtajan käsityksen mukaan on selvää, että tietoturvaloukkaukset ovat johtuneet tietojärjestelmistä vastaavien työntekijöiden virheistä ja laiminlyönneistä. Työntekijät eivät ole noudattaneet niitä prosesseja, jotka Vastaamon omavalvontasuunnitelmassa on kuvattu. On myös ilmeistä, että 15.3.2019 tapahtunut tietomurto ja sen mahdollistanut tietoturva-aukko on nimenomaisesti salattu Vastaamon johdolta, oletettavasti juuri siitä syystä, että muuten työntekijöiden ohjeistuksen vastainen toiminta olisi tullut johdon tietoon. Vastaamolla yhtiönä on ollut käytännössä mahdotonta saada tietoonsa tietoturvaloukkausta tällaisessa tilanteessa.

Vastaamon ja Vastaamon toimitusjohtajan normaalia toimintatapaa osoittaa konkreettisesti se, miten yhtiössä on toimittu syyskuussa 2020. Tällöin toimitusjohtajalle toimitettiin sähköpostitse kiristysviesti, jonka jälkeen toimitusjohtaja käynnisti välittömästi laajat toimenpiteet asian johdosta edellä kuvatulla tavalla. Tällöin Vastaamo on toimitusjohtajan johdolla ilmoittanut tietoturvaloukkauksesta viipymättä kaikille viranomaistahoille, tehnyt tiiviisti yhteistyötä viranomaisten kanssa ja pyrkinyt välittömästi selvittämään asiaa tilaamalla tietojärjestelmään kohdistuvia tutkimuksia asiantuntijoilta ja jakamalla näiden tutkimusten tulokset avoimesti eri viranomaistahoille.

Vastaamon toimitusjohtajan käsityksen mukaan tietosuojavaltuutetun tulisi arvioinnissaan ottaa keskeisenä seikkana huomioon se, että tietoturva-aukko on syntynyt työntekijöiden yksittäisestä virheestä ja ohjeistuksen vastaisesta toiminnasta, minkä jälkeen 15.3.2019 työntekijöille ilmennyt tietomurto on vielä salattu ja peitelty.

1.2. Vastaamon konkurssipesän vastaus kuulemispyyntöön 9.8.2021 ja 6.9.2021

Vastaamon konkurssipesän mukaan hallinnollisen sakon määräämistä harkittaessa on otettava huomioon se, että Vastaamo on ajautunut ja asetettu konkurssiin. Konkurssipesä katsoo, ettei hallinnollisen sakon määrääminen olisi tarkoituksenmukaista vallitsevissa olosuhteissa (konkurssitilanne).

Mikäli tietosuojavaltuutetun toimiston seuraamuskollegio katsoo, että hallinnollisen sakon määräämiselle on peruste ja sen määräämistä pidetään muutoinkin tarkoituksenmukaisena, tulee konkurssipesän käsityksen mukaan sakon määrää alentavina tekijöinä ottaa huomioon seuraavat seikat:

- Vastaamon toiminnassa ei ole konkurssipesän tietojen mukaan todettu aiempia GDPR:n rikkomuksia.

- Vastaamo ja konkurssipesä ovat toimineet yhteistyössä tietosuojavaltuutetun toimiston kanssa asian selvittämisessä. Vastaamo ja konkurssipesä ovat osaltaan aktiivisesti myötävaikuttaneet asian selvittämiseen muun muassa vastaamalla tietosuojavaltuutetun selvityspyyntöihin.

- Vastaamo ei ole saanut taloudellista hyötyä siitä, että se on mahdollisesti jättänyt noudattamatta GDPR:n asettamia velvoitteita.

- Mahdollinen GDPR:n velvoitteiden rikkominen ei ole konkurssipesän saamien tietojen mukaan ollut tahallinen. Kuulemispyynnössä esitetyn tapahtumainkuvauksen mukaan Vastaamo on monilta osin noudattanut GDPR:n asettamia velvoitteita.

- Vaikka Vastaamon toiminnassa tapahtunut mahdollinen GDPR:n velvoitteiden rikkominen on mahdollistanut tietoturvaloukkauksen tapahtumisen, tietomurrossa on ollut kyse tahallisesta rikoksesta. Vastaamon vastuu ei konkurssipesän käsityksen mukaan voi ulottua siihen, että tietomurron toteuttanut taho on julkaissut tietomurron kautta saatuja tietoja erinäisillä internetsivustoilla. Kyse on ollut näiltä osin Vastaamon toimintamahdollisuuksien ja vaikutuspiirin ulkopuolella olevasta tapahtumasta, josta tietomurron uhreille mahdollisesti aiheutunutta vahinkoa ei voida lukea Vastaamon vastuulle kuuluvaksi. Vastaavasti kyseisen vahingon aiheutumista ei tule ottaa huomioon hallinnollisen sakon määrässä Vastaamon vahingoksi.

1.3. Vastaamon tilinpäätös tilikaudelta 1.1.2020–31.12.2020

Vastaamon 29.6.2021 toimittaman tilinpäätöksen mukaan Vastaamon liikevaihto tilikaudella 1.1.2020–31.12.2020 on ollut 14 627 478,90 euroa.

2. Hallinnollisen sakon määräämisen ja määrän arvioinnissa huomioon otettavat seikat

2.1. Tehokkuus, oikeasuhteisuus ja varoittavuus

Tietosuoja-asetuksen 83 artiklan 1 kohdan mukaan jokaisen valvontaviranomaisen on varmistettava, että 4, 5 ja 6 kohdassa tarkoitettujen tämän asetuksen rikkomisesta määrättävien hallinnollisten sakkojen määrääminen tämän artiklan mukaisesti on kussakin yksittäisessä tapauksessa tehokasta, oikeasuhteista ja varoittavaa.

2.1.1. Seuraamuksen tehokkuutta, oikeasuhteisuutta ja varoittavuutta koskeva oikeuskäytäntö

Euroopan unionin tuomioistuimen mukaan seuraamusten tehokkuutta, oikeasuhteisuutta ja varoittavuutta koskeva vaatimus edellyttää suhteellisuusperiaatteen huomioimista ja siten sitä, että seuraamukset eivät ylitä sitä, mitä voidaan pitää tarpeellisena ottaen huomioon päämäärät, joita rikkomisen kohteena olevilla säännöksillä lainmukaisesti tavoitellaan. Kun on mahdollista valita usean tarkoituksenmukaisen toimenpiteen välillä, on valittava vähiten rajoittava, eivätkä toimenpiteistä aiheutuvat haitat saa olla liian suuria tavoiteltuihin päämääriin nähden. Sen arvioimiseksi, onko seuraamus suhteellisuusperiaatteen mukainen, on otettava huomioon erityisesti rikkomuksen luonne ja vakavuus sekä seuraamuksen määrän määrittämistä koskevat yksityiskohtaiset säännöt. Seuraamusten on oltava ankaruudeltaan oikeassa suhteessa niillä rangaistavien loukkausten vakavuuteen nähden, ja niillä on erityisesti varmistettava todellinen varoittava vaikutus yleistä suhteellisuusperiaatetta kuitenkin noudattaen. Seuraamusta ei voitaisi pitää tehokkaana ja varoittavana, jos sillä ei voitaisi tehokkaasti estää rikkomukseen syyllistyneitä saamasta rikkomuksen tuottamaa taloudellista hyötyä. Taloudellisen hyödyn saaminen ei kuitenkaan ole edellytyksenä sakon määräämiselle, koska sakot menettäisivät varoittavan vaikutuksensa, jos sakkoa ei tällaisessa tilanteessa voitaisi määrätä.

Julkisasiamies Kokottin mukaan seuraamusta voidaan pitää varoittavana, jos se saa pidättäytymään rikkomasta unionin oikeuden päämääriä ja säännöksiä. Kyse ei ole ainoastaan seuraamuksen laadusta ja suuruudesta, vaan myös siitä, millä todennäköisyydellä se määrätään: oikeussääntöjen rikkojan täytyy joutua pelkäämään, että hänelle myös todellisuudessa määrätään seuraamus. Julkisasiamies Van Gervenin mukaan seuraamusten varoittavuudella ja oikeasuhteisuudella tarkoitetaan sitä, että seuraamusten on oltava niillä tavoiteltavat päämäärät huomioon ottaen riittävän, mutta ei suhteettoman ankaria.

2.1.2. Seuraamuksen varoittavuus, kun rekisterinpitäjä on lakannut harjoittamasta taloudellista toimintaa

Tietosuoja-asetuksen johdanto-osan 150 perustelukappaleen mukaan silloin, kun sakkoja määrätään yritykselle, yritys olisi ymmärrettävä SEUT 101 ja 102 artiklan mukaiseksi yritykseksi.

Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT) 101 ja 102 artiklan mukaisella yrityksellä tarkoitetaan Euroopan unionin tuomioistuimen oikeuskäytännössä yksikköä, joka muodostuu taloudellista toimintaa harjoittavista henkilöllisistä, aineellisista ja aineettomista tekijöistä, riippumatta yksikön oikeudellisesta muodosta tai rahoitustavasta.

Euroopan unionin tuomioistuimen mukaan seuraamuksella, joka määrätään yritykselle, joka on oikeudellisesti yhä olemassa mutta joka on lakannut harjoittamasta taloudellista toimintaa, ei välttämättä ole pelotevaikutusta. Kilpailuoikeudellinen seuraamus on sen vuoksi voitu määrätä taloudellista jatkuvuutta koskevan periaatteen mukaisesti yritykselle, jolle rikkomiseen syyllistyneen yrityksen taloudellinen toiminta on siirretty. Euroopan unionin tuomioistuin on katsonut, että jos yritykset voisivat välttää seuraamukset jo pelkästään muuttamalla identiteettiään uudelleenjärjestelyillä, luovutuksilla tai muilla oikeudellisilla tai organisatorisilla muutoksilla, tavoite, joka koskee unionin kilpailusääntöjen vastaisesta käyttäytymisestä rankaisemista sekä tällaisen käyttäytymisen toistumisen välttämistä ennalta ehkäisevillä seuraamuksilla, vaarantuisi.

Vastaamo on lopettanut yksityisen terveydenhuollon palvelujen tuottamisen 1.3.2021. Vastaamon psykoterapiapalvelut ovat siirtyneet liiketoimintakaupan myötä Verveen 2.3.2021 alkaen. Vastaamoa ei näin ollen voida enää pitää yrityksenä, joka harjoittaisi taloudellista toimintaa siten kuin SEUT 101 ja 102 artiklan mukaisessa yrityksen käsitettä koskevassa oikeuskäytännössä tarkoitetaan.

Vastaamon rekisterinpidossa olleita potilastietoja ei ole siirretty liiketoimintakaupan yhteydessä Verveen, vaan potilastiedot on siirretty Kelaan säilytykseen. Apulaistietosuojavaltuutetun päätöksessä todetuin tavoin Vastaamo vastaa yhä rekisterinpitäjänä potilastietojen lainmukaisesta käsittelystä ja kansallisessa lainsäädännössä asetettujen säilytysaikojen noudattamisesta.

Tietosuoja-asetuksen säännösten rikkomisesta määrättävien hallinnollisten sakkojen määräämisen on oltava tehokasta, oikeasuhteista ja varoittavaa suhteessa henkilötietojen käsittelyyn. Vastaamon taloudellisen toiminnan harjoittamisen lakkaaminen ei ole tarkoittanut henkilötietojen käsittelyn lakkaamista. Se seikka, että Vastaamo ei enää harjoita taloudellista toimintaa, ei näin ollen tarkoita sitä, että tietosuoja-asetuksen säännösten rikkomisesta määrättävien hallinnollisten sakkojen määrääminen Vastaamolle ei voisi olla Euroopan unionin tuomioistuimen oikeuskäytännössä tarkoitetulla tavalla varoittavaa.

2.2. Rikkomisen luonne, vakavuus ja kesto

Tietosuoja-asetuksen 83 artiklan 2 kohdan a alakohdan mukaan hallinnollisen sakon määräämisestä ja hallinnollisen sakon määrästä päätettäessä on otettava asianmukaisesti huomioon rikkomisen luonne, vakavuus ja kesto, kyseisen tietojenkäsittelyn luonne, laajuus tai tarkoitus huomioon ottaen, sekä niiden rekisteröityjen lukumäärä, joihin rikkominen vaikuttaa, ja heille aiheutuneen vahingon suuruus.

2.2.1. Rikkomisen luonne ja vakavuus

Tietosuoja-asetuksen rikkomiset luokitellaan tietosuoja-asetuksen 83 artiklassa kahteen sakkoluokkaan. Tietosuoja-asetuksen 33 ja 34 artiklan mukaisten velvoitteiden rikkomiset kuuluvat tietosuoja-asetuksen 83 artiklan 4 kohdan mukaiseen enimmäismäärältään pienempään sakkoluokkaan, jonka osalta määrättävän sakon suuruus voi olla enintään joko 10 000 000 euroa tai kaksi prosenttia edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta. Tietosuoja-asetuksen 5 artiklan 1 artiklan f alakohdan mukaisen eheyttä ja luottamuksellisuutta koskevan perusperiaatteen rikkominen kuuluu puolestaan tietosuoja-asetuksen 83 artiklan 5 kohdan mukaiseen enimmäismäärältään suurempaan sakkoluokkaan, jonka osalta määrättävän sakon suuruus voi olla enintään joko 20 000 000 eroa tai neljä prosenttia edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta. Tietosuojatyöryhmä WP29:n mukaan se, että tietosuoja-asetuksessa vahvistetaan kaksi hallinnollisen sakon enimmäismäärää ilmentää sitä, että joidenkin tietosuoja-asetuksen säännösten rikkominen voi olla vakavampaa kuin toisten.

Henkilötietojen käsittelyn luonteen ja tarkoituksen osalta voidaan todeta, että Vastaamo on toiminut psykoterapiapalvelujen tuottajana yksityisessä terveydenhuollossa ja käsitellyt henkilötietoja potilaslain 12 §:n 1 momentin mukaisiin potilaan hoidon turvaamista koskeviin tarkoituksiin. Henkilötietojen käsittelyn tarkoitus on liittynyt Vastaamon liiketoiminnan ydinalueeseen, jonka vuoksi käsittelyssä tapahtuneita tietosuoja-asetuksen rikkomisia voidaan pitää vakavampina kuin jos käsittely olisi kohdistunut ainoastaan esimerkiksi ajanvaraustietoihin tai henkilöstöhallinnollisiin tietoihin. Vastaamolla on ollut useita toimipaikkoja ympäri Suomea, joten henkilötietojen käsittely on ollut suppeamman paikallisen käsittelyn sijaan laajuudeltaan kansallista. Vastaamon potilastietokantaan on ollut 28.11.2018 tallennettuna 33 171 rekisteröityä koskevia henkilötietoja ja 18.3.2019 35 885 rekisteröityä koskevia henkilötietoja. Käsittelyn luonteen osalta on lisäksi huomioitava, että hoitosuhteen luottamuksellisuus ja potilaan yksityisyyden suoja saavat psykoterapiapalvelujen tuottamisessa korostuneen merkityksen.

Kuten apulaistietosuojavaltuutetun päätöksessä on todettu, henkilötietojen käsittelyä, jossa muun ohella potilastietokannan palvelimen porttia ei ole suojattu palomuurilla ja tietokantaan on pystynyt kirjautumaan mistä tahansa IP-osoitteesta oletustunnuksella, jolle ei ole määritelty salasanaa, ei voida pitää käsittelynä, jossa henkilötiedot olisi tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdassa edellytetyllä tavalla suojattu luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta asianmukaisten teknisten tai organisatoristen toimenpiteiden avulla. Puutteet ovat liittyneet henkilötietojen turvallista käsittelyä koskeviin perustoimenpiteisiin, jotka tietosuoja-asetuksen eheyttä ja turvallisuutta koskevan periaatteen tehokas täytäntöönpano olisi edellyttänyt Vastaamon toteuttamaan.

Potilastietojärjestelmän suojauksessa olleet puutteet ovat mahdollistaneet potilastietokantaan kohdistuvat ulkopuoliset hyökkäykset, ja ulkopuolinen hyökkäys on tietokannan puutteellisen suojauksen aikana tosiasiallisesti tapahtunut ainakin 20.12.2018 ja 15.3.2019. Vastaamo on ilmoittanut tietosuojavaltuutetulle potilastietokantaan kohdistuneesta hyökkäyksestä 29.9.2020 saatuaan 28.9.2020 kiristyskirjeen, jonka mukaan hakkeri on kopioinut Vastaamon potilastietokannan. Noin 300 rekisteröidyn nimet, osoitteet, henkilötunnukset ja potilaskertomukset on julkaistu 21.10.–23.10.2020 anonyymissä Tor-verkossa. Tor-verkossa on julkaistu 23.10.2020 myös noin 10 gigatavun kokoinen tiedosto, joka on saattanut sisältää Vastaamon koko potilastietokannan. Useat henkilöt ovat saaneet ladattua tiedoston itselleen ainakin osittain. Potilastietoja on tämän jälkeen julkaistu Tor-verkossa lisää myös muilla nimimerkeillä kuin kiristäjän käyttämällä nimimerkillä.

Vähintään 15 000 rekisteröityä on saanut 24.10.2020 kiristyskirjeen, jossa on uhattu saattaa julkisuuteen rekisteröidyn nimi, puhelinnumero, osoite, henkilötunnus ja potilaskertomus, jos rekisteröity ei maksa kiristäjälle 200–500 euron suuruista summaa. Ainakin 14 rekisteröityä on maksanut kiristäjän vaatiman summan. Uusia henkilötietoja ei tiettävästi ole julkaistu sen jälkeen, kun kiristyssumman maksamisen määräaika on umpeutunut. Potilastietoja on kuitenkin vuotanut julkisuuteen uudelleen tammikuun lopulla 2021, jolloin kahdella Tor-verkon keskustelupalstalla on julkaistu linkki mahdollisesti lähes 32 000 potilaskertomusta sisältävään tiedostoon. Poliisilla ei ole ollut tietoa siitä, kuinka moni henkilö on saanut potilastietokannan haltuunsa. Helmikuuhun 2021 mennessä tietomurrosta on tehty lähes 25 000 rikosilmoitusta.

Tietosuoja-asetuksen johdanto-osan 85 perustelukappaleessa viitataan fyysisillä, aineellisilla ja aineettomilla vahingoilla, joita tietoturvaloukkauksesta voi luonnollisille henkilöille aiheutua, muun ohella omien henkilötietojen valvomiskyvyn menettämiseen tai oikeuksien rajoittamiseen, syrjintään, identiteettivarkauksiin ja petoksiin, taloudellisiin menetyksiin, maineen vahingoittumiseen, salassapitovelvollisuuden alaisten henkilötietojen luottamuksellisuuden menettämiseen tai muuhun merkittävään taloudelliseen tai sosiaaliseen vahinkoon.

Potilastietojen julkaisemisen seurauksena rekisteröidyt ovat menettäneet mahdollisuuden valvoa omia potilastietojaan, sillä tiedot ovat levinneet tahoille, joilla ei ole niiden käsittelemiseen lainmukaista oikeutta. Tiedot ovat olleet Tor-verkossa laajan joukon saatavilla, joten rekisteröidyillä ei ole tietoa siitä, kenelle ja kuinka monelle henkilölle heidän potilastietonsa ovat levinneet. Tiedot haltuunsa saaneet henkilöt voivat levittää tietoja edelleen julkaisemalla ne yhä uudelleen esimerkiksi internetissä, jolloin vahingot voivat olla pitkäaikaisia tai jopa pysyviä. Salassapitovelvollisuuden alaisten tietojen leviäminen on altistanut rekisteröidyt maineen vahingoittumiselle ja syrjinnälle.

Potilastietojen julkaisemisesta ja potilastiedoilla kiristämisestä aiheutunut potilastietojen lainvastaiseen käsittelyyn ja leviämiseen liittyvä epätietoisuus ja epävarmuus ovat olleet omiaan aiheuttamaan rekisteröidyille huolta ja ahdistusta. Taloudellisia vahinkoja on voinut aiheutua muun ohella huolen ja ahdistuksen käsittelyyn saadusta ulkopuolisesta tuesta, kiristysviestissä vaaditun 200–500 euron maksamisesta, identiteettivarkauksien ja petosten kohteeksi joutumisesta sekä identiteettivarkauksista ja petoksista aiheutuvien vahinkojen torjumiseksi tehdyistä maksullisista toimenpiteistä, kuten omaehtoisesta luottokiellosta. Maksuttomatkin tietomurron vuoksi tehdyt toimenpiteet, kuten muuttoeston tekeminen Postiin ja Digi- ja väestötietovirastolle, rekisteröintikiellon tekeminen Patentti- ja rekisterihallitukselle, puhelinliittymän muuttaminen salaiseksi ja pyyntö poistaa itseään koskevat tiedot laskutuspalveluista ja hakukoneista vaativat rekisteröidyiltä aikaa ja vaivannäköä.

Ulkopuolisen hyökkääjän identiteettiä ja hyökkääjän käyttämiä tekniikoita ei Nixun teknisessä tutkinnassa ole pystytty yksilöimään, eikä täyttä varmuutta ole saatu myöskään siitä, milloin tietokanta on vuotanut. Asiassa on kuitenkin tullut selvitetyksi, että ulkopuolinen hyökkääjä on saanut pääsyn potilastietoihin 20.12.2018 ja 15.3.2019, kiristysviesteissä on 15.3.2019 ja 28.9.2020 ilmoitettu, että kiristäjällä on hallussaan Vastaamon potilastietokannasta peräisin olevia tietoja, ja potilastietoja on kiristäjän toimesta julkaistu Tor-verkossa 21.10.–23.10.2020. Vaikka varmuutta siitä, ovatko potilastiedot päätyneet potilastietoja julkaisseelle kiristäjälle nimenomaan Vastaamon toiminnassa tapahtuneiden tietoturvaloukkausten seurauksena, ja ovatko hyökkääjä ja kiristäjä siten yksi ja sama henkilö, hyökkääjällä on potilastietoihin 20.12.2018 ja 15.3.2019 saamansa pääsyn vuoksi ollut mahdollisuus niin potilastietojen julkaisemiseen ja levittämiseen kuin potilastiedoilla kiristämiseenkin.

Tietosuoja-asetuksen rikkomisen vakavuuteen liittyvässä rekisteröidyille aiheutuneiden vahinkojen suuruutta koskevassa arvioinnissa ei ole kyse vahingonkorvausvelvollisuuden olemassaolon arvioinnista. Tietosuoja-asetuksen rikkomisen ja rekisteröidyille aiheutuneiden vahinkojen välisen syy-yhteyden kannalta voidaan nyt käsillä olevan tapauksen olosuhteissa pitää riittävänä, että asiassa saadun selvityksen perusteella on mahdollista, että potilastietojen julkaisemisesta, levittämisestä ja kiristämisestä rekisteröidyille aiheutuneet vahingot ovat seurausta Vastaamon toiminnassa tapahtuneista tietoturvaloukkauksista, jotka potilastietojen asianmukaisen turvallisuuden varmistamiseen liittyvät laiminlyönnit ovat mahdollistaneet. Vahinkojen aiheutumisen todennäköisyyttä on lisännyt se seikka, että Vastaamo on laiminlyönyt velvollisuutensa ilmoittaa 15.3.2019 tapahtuneesta tietoturvaloukkauksesta rekisteröidyille ilman aiheetonta viivytystä, sillä yli puolitoista vuotta viivästyneen ilmoituksen vuoksi rekisteröidyt eivät ole pystyneet torjumaan tietoturvaloukkauksesta heille mahdollisesti aiheutuvia vahinkoja oikea-aikaisesti.

Asiassa on kuitenkin huomioitava, että rekisteröidyille aiheutuneet vahingot eivät kaikilta osin ole seurausta Vastaamon henkilötietojen käsittelyssä tapahtuneista tietosuoja-asetuksen säännösten rikkomisista, vaan osin myös ulkopuolisen tahon suorittamasta lainvastaisesta käsittelystä, johon Vastaamon ei ole ollut mahdollista vaikuttaa. Rekisteröidyille aiheutuneita vahinkoja ei näin ollen voida kaikilta osin pitää Vastaamon vastuulle kuuluvina.

2.2.2. Rikkomisen kesto

Vastaamo on ilmoittanut tietoturvaloukkauksesta tietosuojavaltuutetulle 29.9.2020. Rekisteröidyille Vastaamo on ilmoittanut tietoturvaloukkauksesta viimeistään marraskuussa 2020.

Tietosuoja-asetuksen 33 artiklan 1 kohdan rikkominen on näin ollen alkanut maaliskuussa 2019, päättynyt 29.9.2020 ja kestänyt noin vuoden ja kuusi kuukautta. Tietosuoja-asetuksen 34 artiklan 1 kohdan rikkominen on alkanut maaliskuussa 2019, päättynyt viimeistään marraskuussa 2020 ja kestänyt lähes vuoden ja kahdeksan kuukautta.

Tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdan rikkominen on alkanut 25.5.2018, jolloin tietosuoja-asetusta on alettu soveltaa, ja päättynyt Vastaamon toteuttamien korjaavien toimenpiteiden jälkeen viimeistään marraskuussa 2020. Potilastietojärjestelmä on kuitenkin ollut puutteellisesti suojattuna jo 26.11.2017 lähtien. Tietosuoja-asetuksen soveltamisen alkamisesta laskettuna potilastietojärjestelmä on ollut puutteellisesti suojattuna noin kaksi ja puoli vuotta, ja marraskuusta 2017 laskettuna noin kolme vuotta.

2.2.3. Lopputulos

Edellä esitetyillä perusteilla tietosuoja-asetuksen 33 artiklan 1 kohdan, 34 artiklan 1 kohdan ja 5 artiklan 1 kohdan f alakohdan rikkomisia voidaan pitää erittäin vakavina.

2.3. Rikkomisen tahallisuus tai tuottamuksellisuus

Tietosuoja-asetuksen 83 artiklan 2 kohdan b alakohdan mukaan hallinnollisen sakon määräämisestä ja hallinnollisen sakon määrästä päätettäessä on otettava asianmukaisesti huomioon rikkomisen tahallisuus tai tuottamuksellisuus.

Tietosuojatyöryhmä WP29:n mukaan tahallisuus edellyttää yleensä tietoista ja tarkoituksellista rikkomista. Tahallisuutta ja tuottamuksellisuutta koskevat päätelmät tehdään tapauksen tosiseikkoihin perustuvien toimintaan liittyvien objektiivisten seikkojen perusteella. Rikkomisen tahallisuutta tai tuottamuksellisuutta arvioidaan sen perusteella, missä määrin rekisterinpitäjän toiminta vastaa sitä, mitä huolelliselta menettelyltä voitaisiin edellyttää.

2.3.1. Tietoturvaloukkausta koskevat ilmoitusvelvollisuudet

Apulaistietosuojavaltuutetun päätöksessä todetuin tavoin Vastaamon kahden työntekijän käytössä olleella käyttäjätunnuksella on käsitelty Vastaamon potilastietojärjestelmän palvelimelta löytynyttä kiristysviestiä 15.3.2019. Kiristysviestin mukaan potilastietokanta on ladattu hyökkääjän palvelimille, ja kadonneiden tietojen palauttamista vastaan on vaadittu lunnaita. Vastaamon on kiristysviestin perusteella täytynyt tulla jo 15.3.2019 tietoiseksi siitä, että potilastietojärjestelmästä hävinneet tiedot ovat saattaneet joutua ulkopuolisen hyökkääjän haltuun, ja näin ollen myös siitä, että potilastietojen häviäminen on voinut vaikuttaa potilastietojen käytettävyyden lisäksi myös potilastietojen luottamuksellisuuteen.

Vastaamon on tietosuoja-asetuksen säännösten noudattamiseksi täytynyt olla 15.3.2019 tapahtuneen tietoturvaloukkauksen aikaan tietoinen siitä, että tietosuoja-asetuksen mukaisesta tietoturvaloukkauksesta voi jättää ilmoittamatta tietosuojavaltuutetulle ainoastaan, jos tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Vastaamon on 15.3.2019 käsittelemänsä kiristysviestin perusteella täytynyt tiedostaa, että jos potilastiedot ovat joutuneet ulkopuolisen hyökkääjän haltuun, todennäköisyys siitä, että lainvastaisesta käsittelystä aiheutuisi rekisteröidyille vahinkoja, on suuri. Jos hyökkääjä päättäisi julkaista tiedot internetissä, tiedot saattaisivat levitä suuren joukon saataville, ja vahingot voisivat olla pitkäaikaisia tai jopa pysyviä. Potilastietojen käsittely on ollut Vastaamossa laajamittaista, ja tiedot ovat olleet luonteeltaan erityisen arkaluonteisia. Vastaamon on siten täytynyt olla tietoinen siitä, että rekisteröidyille tietoturvaloukkauksesta aiheutuvat vahingot ovat olleet paitsi todennäköisiä, myös vakavia.

Vastaamon on täytynyt tiedostaa, että rekisteröidyt eivät pysty torjumaan tietoturvaloukkauksesta aiheutuvia vahinkoja oikea-aikaisesti, jos Vastaamo ei ilmoita heille tietoturvaloukkauksesta tietosuoja-asetuksen edellyttämällä tavalla ilman aiheetonta viivytystä. Vastaamo ei kuitenkaan ole ilmoittanut tietoturvaloukkauksesta rekisteröidyille ennen loka-marraskuuta 2020, toisin sanoen vasta yli puolitoista vuotta 15.3.2019 tapahtuneen tietoturvaloukkauksen jälkeen. Tietosuojavaltuutetulle Vastaamo on ilmoittanut tietoturvaloukkauksesta 29.9.2020. Sen perusteella, että Vastaamon on täytynyt olla tietoinen rekisteröidyille aiheutuvien vahinkojen todennäköisyydestä ja vakavuudesta sekä siitä, että tietoturvaloukkauksesta ilmoittaminen olisi vahinkojen rajoittamiseksi ollut ensiarvoisen tärkeää, Vastaamo näyttäisi ottaneen tietoisen riskin siitä, että ilmoitusvelvollisuuksien laiminlyönti voi aiheuttaa rekisteröidyille vakavia vahinkoja. Vastaamon menettely osoittaa siten välinpitämättömyyttä ilmoitusvelvollisuuksia koskevan laiminlyönnin seurauksista. Vastaamon menettely on lisännyt vahinkojen todennäköisyyttä, koska rekisteröidyt eivät viivästyneen ilmoituksen vuoksi ole pystyneet torjumaan vahinkoja oikea-aikaisesti. Rekisteröidyille on myös tosiasiallisesti aiheutunut vahinkoa siten kuin edellä kohdassa 2.2.1. on kuvattu.

Huolellisesti toimiva rekisterinpitäjä havaitsee tietoturvaloukkaukset toteuttamiensa teknisten ja organisatoristen toimenpiteiden avulla ja pyrkii tietoturvaloukkauksen havaittuaan selvittämään syyt, jotka tietoturvaloukkaukseen ovat johtaneet. Huolellisesti toimiva rekisterinpitäjä tarvittaessa ilmoittaa tietoturvaloukkauksesta tietosuoja-asetuksen säännösten edellyttämällä tavalla arvioituaan tietoturvaloukkauksesta rekisteröidyille aiheutuvat riskit. Vastaamon edellä kuvattua menettelyä ei voida pitää huolellisena vaan ennemminkin tahallisena ottaen huomioon, että Vastaamo on jättänyt ilmoittamatta 15.3.2019 tapahtuneesta tietoturvaloukkauksesta tietosuojavaltuutetulle ja rekisteröidyille, vaikka Vastaamo on tullut jo saman päivän aikana tietoiseksi potilastietojärjestelmän palvelimelle jätetystä kiristysviestistä. Käsitystä Vastaamon tietoisesta ja tarkoituksellisesta ilmoitusvelvollisuuksien laiminlyönnistä vahvistaa se seikka, että Vastaamo on asiassa saadun selvityksen perusteella korjannut potilastietokannan palomuurisuojauksessa olleita puutteita välittömästi tietoturvaloukkauksen tapahtumisen jälkeen.

Edellä mainituilla perusteilla tietosuoja-asetuksen 33 artiklan 1 kohdan ja 34 artiklan 1 kohdan mukaisten ilmoitusvelvollisuuksien laiminlyöntiin liittyvää Vastaamon menettelyä voidaan pitää tahallisena.

2.3.2. Henkilötietojen asianmukaisen turvallisuuden varmistaminen

Apulaistietosuojavaltuutetun päätöksessä todetuin tavoin Vastaamon potilastietokannan MySQL-portti on ollut avoinna internetiin vähintään 26.11.2017–13.3.2019. Potilastietokannan root-pääkäyttäjätunnusta ei ole suojattu salasanalla, ja käyttäjätunnukselle on annettu oikeus kirjautua potilastietokantaan mistä tahansa IP-osoitteesta. Potilastietokannan puutteellinen suojaus on mahdollistanut tietokantaan kohdistuvat hyökkäykset, ja potilastietokantaan on kirjauduttu luvatta ainakin 20.12.2018 ja 15.3.2019. Potilastietojen kopioimista ei kyseisiin tietoturvaloukkauksiin liittyen ole kyetty vahvistamaan, mutta sitä ei myöskään ole pystytty sulkemaan pois. Ulkopuolinen taho on kiristysviesteissään 15.3.2019 ja 28.9.2020 ilmoittanut pitävänsä hallussaan Vastaamon potilastietokannasta peräisin olevia tietoja.

Vastaamon on tietosuoja-asetuksen säännöksiä noudattaakseen tullut tuntea suorittamaansa potilastietojen käsittelyyn liittyvät riskit ja olla tietoinen siitä, että käsittelyyn lähtökohtaisesti liittyvän korkean riskin vuoksi Vastaamon on tullut kiinnittää erityistä huomiota siihen, että se pysyy jatkuvasti tietoisena toteuttamiensa teknisten ja organisatoristen toimenpiteiden tehokkuudesta asianmukaisen turvallisuuden varmistamisessa. Vastaamon on täytynyt siten olla tietoinen potilastietojärjestelmänsä suojausta koskevista puutteista. Potilastietojärjestelmän turvallisuutta heikentävät puutteet ovat koskeneet perustoimenpiteitä, jotka Vastaamon olisi potilastietojen asianmukaisen turvallisuuden varmistamiseksi tullut toteuttaa. Vastaamon on näin ollen täytynyt olla tietoinen siitä, että puutteiden korjaamatta jättäminen on lisännyt todennäköisyyttä vahingoista, joita rekisteröidyille voi potilastietojen käsittelystä aiheutua erityisesti vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi.

Vastaamo on korjannut potilastietojärjestelmässään olleita puutteita 15.3.2019 tapahtuneen tietoturvaloukkauksen jälkeen. Tästä huolimatta Sofigaten 8.5.2019 valmistuneessa selvityksessä on todettu useita potilastietojen asianmukaista turvallisuutta heikentäviä puutteita. Nixun 21.10.2020 valmistuneessa selvityksessä on todettu edelleen useita puutteita, jotka Nixun mukaan eivät vastaa turvallisen palvelun ylläpidon parhaita käytäntöjä. Potilastietokannan puutteellisessa suojauksessa ei ole ollut kyse lyhytaikaisesta laiminlyönnistä, sillä potilastietokanta on ollut ilman riittävää palomuurisuojausta tietosuoja-asetuksen soveltamisen alkamisesta laskettuna yli yhdeksän kuukautta, ja puutteet ovat jatkuneet osin marraskuulle 2020 saakka. Tietosuoja-asetuksen soveltamisen alkamisesta laskettuna potilastietojärjestelmä on ollut puutteellisesti suojattuna noin kaksi ja puoli vuotta, ja marraskuusta 2017 laskettuna kaiken kaikkiaan noin kolme vuotta.

Sofigaten ja Nixun selvityksissä havaittujen potilastietojen turvallisuutta heikentävien puutteiden perusteella Vastaamo näyttäisi ottaneen tietoisen riskin asianmukaisten teknisten ja organisatoristen toimenpiteiden toteuttamisen laiminlyönnin seurauksena rekisteröidyille aiheutuvista vakavista vahingoista, vaikka toimenpiteiden toteuttaminen ei olisi edellyttänyt Vastaamolta kohtuuttomia toimenpiteitä ottaen huomioon käsittelyn luonteen, laajuuden, käsittelystä rekisteröidyille aiheutuvat riskit sekä sen, että potilastietokannan turvallisuuden kannalta keskeisen palomuuri- ja salasanasuojauksen tehokkuus olisi ollut yksinkertaisin ja toteuttamiskustannuksiltaan kohtuullisin toimenpitein seurattavissa ja varmistettavissa. Vastaamon menettely osoittaa siten välinpitämättömyyttä henkilötietojen turvallisuutta koskevan laiminlyönnin seurauksista. Potilastietojärjestelmän asianmukaisen suojauksen laiminlyönti on lisännyt todennäköisyyttä tietoturvaloukkauksen tapahtumisesta ja siten myös todennäköisyyttä tietoturvaloukkauksesta rekisteröidyille aiheutuvista vahingoista. Rekisteröidyille on myös tosiasiallisesti aiheutunut vahinkoa siten kuin edellä kohdassa 2.2.1. on kuvattu.

Potilastietojärjestelmän suojaukseen voi tahattomasti jäädä puutteita esimerkiksi järjestelmän ylläpitotoimien yhteydessä. Huolellisesti toimiva rekisterinpitäjä kuitenkin havaitsee puutteet seuratessaan potilastietojärjestelmän turvallisuuden varmistamiseksi toteuttamiensa toimenpiteiden tehokkuutta, jolloin suojaukseen jääneet puutteet jäävät lyhytaikaisiksi. Se seikka, että potilastietojärjestelmän suojausta koskevien perustoimenpiteiden puutteet ovat olleet olemassa yli yhdeksän kuukautta ennen kuin Vastaamo on ryhtynyt korjaaviin toimenpiteisiin, ja puutteellisuuksia on kaiken kaikkiaan ollut jopa kolme vuotta, antaa viitteitä siitä, että Vastaamon menettelyssä ei ole ollut kyse ainoastaan lyhytaikaiseksi jääneestä lievästä huolimattomuudesta, vaan huolimattomuutta voidaan pitää törkeänä. Tämän puolesta puhuu myös se, että suojausta koskevien perustoimenpiteiden laiminlyömisestä rekisteröidyille aiheutuvien vakavien vahinkojen riski on ollut varsin todennäköinen, ja Vastaamon on täytynyt olla tästä tietoinen.

Edellä mainituilla perusteilla tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdan mukaisen henkilötietojen asianmukaisen turvallisuuden laiminlyöntiin liittyvää Vastaamon menettelyä voidaan pitää törkeän huolimattomana.

2.4. Rekisterinpitäjän toteuttamat toimet rekisteröidyille aiheutuneen vahingon lieventämiseksi

Tietosuoja-asetuksen 83 artiklan 2 kohdan c alakohdan mukaan hallinnollisen sakon määräämisestä ja hallinnollisen sakon määrästä päätettäessä on otettava asianmukaisesti huomioon rekisterinpitäjän tai henkilötietojen käsittelijän toteuttamat toimet rekisteröidyille aiheutuneen vahingon lieventämiseksi.

Vastaamo on ilmoittanut tietoturvaloukkauksesta tietosuojavaltuutetulle 29.9.2020 ja rekisteröidyille loka-marraskuussa 2020. Velvollisuus ilmoittaa tietoturvaloukkauksesta tietosuojavaltuutetulle ja rekisteröidyille seuraa tietosuoja-asetuksen 33 artiklan 1 kohdasta ja 34 artiklan 1 kohdasta, eikä tietoturvaloukkauksesta ilmoittamista voida sen vuoksi ottaa huomioon rekisteröidyille aiheutunutta vahinkoa lieventävänä toimena.

Vastaamo on kuvannut rekisteröidyille aiheutuneen vahingon lieventämiseksi syys-marraskuussa 2020 toteuttamiaan toimenpiteitä apulaistietosuojavaltuutetulle 23.11.2020 antamassaan selvityksessä. Vastaamo on muun ohella tarjonnut rekisteröidyille kriisitukea puhelinpalveluna ja maksuttomana keskusteluna oman terapeutin kanssa, taloudellista tukea hyvittämällä maksullisten luottokieltopalveluiden käyttöönotosta aiheutuneita kustannuksia sekä ohjeistusta verkkosivuilla. Vastaamon terapeutit ovat ottaneet erikseen yhteyttä potilaisiin, joiden terveydentilasta on ollut erityinen huoli, ja terapeuttien omaa kykyä auttaa potilaita on tuettu. Lisäksi asiakaspalvelussa ja tarkastusoikeuden toteuttamisessa tarvittavia resursseja on lisätty. Vastaamon selvityksessä esille tuodut toimenpiteet otetaan huomioon rekisteröidyille aihetutunutta vahinkoa lieventävinä toimina sekä tietosuoja-asetuksen 33 artiklan 1 kohdan ja 34 artiklan 1 kohdan että tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdan osalta.

2.5. Rekisterinpitäjän vastuun aste ottaen huomioon 25 ja 32 artiklan nojalla toteutetut tekniset ja organisatoriset toimenpiteet

Tietosuoja-asetuksen 83 artiklan 2 kohdan d alakohdan mukaan hallinnollisen sakon määräämisestä ja hallinnollisen sakon määrästä päätettäessä on otettava asianmukaisesti huomioon rekisterinpitäjän tai henkilötietojen käsittelijän vastuun aste, ottaen huomioon heidän 25 ja 32 artiklan nojalla toteuttamansa tekniset ja organisatoriset toimenpiteet.

Vastaamon tietosuoja-asetuksen 25 ja 32 artiklan nojalla toteuttamia teknisiä ja organisatorisia toimenpiteitä ja toimenpiteiden toteuttamista koskevia puutteita on arvioitu apulaistietosuojavaltuutetun päätöksessä tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdan rikkomisen perusteena. Toteutettuja toimenpiteitä tai toimenpiteiden toteuttamista koskevia puutteita ei oteta tietosuoja-asetuksen 83 artiklan 2 kohdan d alakohdan osalta erikseen lisäksi huomioon raskauttavina tai lieventävinä tekijöinä.

2.6. Rekisterinpitäjän mahdolliset aiemmat vastaavat rikkomiset

Tietosuoja-asetuksen 83 artiklan 2 kohdan e alakohdan mukaan hallinnollisen sakon määräämisestä ja hallinnollisen sakon määrästä päätettäessä on otettava asianmukaisesti huomioon rekisterinpitäjän tai henkilötietojen käsittelijän mahdolliset aiemmat vastaavat rikkomiset.

Tietosuojavaltuutetun toimistossa ei ole käsitelty Vastaamon aiempia vastaavia rikkomisia. Tätä seikkaa ei oteta huomioon raskauttavana eikä lieventävänä tekijänä.

2.7. Yhteistyön aste valvontaviranomaisen kanssa rikkomisen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi

Tietosuoja-asetuksen 83 artiklan 2 kohdan f alakohdan mukaan hallinnollisen sakon määräämisestä ja hallinnollisen sakon määrästä päätettäessä on otettava asianmukaisesti huomioon yhteistyön aste valvontaviranomaisen kanssa rikkomisen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi.

Apulaistietosuojavaltuutettu on pyytänyt Vastaamolta asian johdosta selvitystä 5.11.2020, ja Vastaamo on antanut pyydetyn selvityksen määräajan puitteissa 23.11.2020. Selvityksen antamista ei kuitenkaan voida pitää toimenpiteenä, joka olisi myötävaikuttanut tietosuoja-asetuksen rikkomisten korjaamiseen tai joka olisi lieventänyt rikkomisista rekisteröidyille aiheutuneita haittavaikutuksia.

Apulaistietosuojavaltuutettu on tuonut selvityspyynnössään 5.11.2020 Vastaamon tietoon, että tietosuojavaltuutetun toimistolle on tullut yhteydenottoja, joiden mukaan rekisteröity ei ole saanut Vastaamolta ilmoitusta tietoturvaloukkauksesta. Vastaamo on ollut yhteydessä tietosuojavaltuutetun toimistoon 10.11.2020 ja pyytänyt saada kyseisten rekisteröityjen yhteystiedot voidakseen lähettää heille tietoturvaloukkausta koskevan ilmoituksen. Tietosuojavaltuutetun toimisto on toimittanut Vastaamolle 10.11.–16.11.2020 neljän rekisteröidyn yhteystiedot. Vastaamo on ilmoittanut tietosuojavaltuutetun toimistolle 11.11.–16.11.2020 lähettävänsä ilmoitukset kyseisille rekisteröidyille, ja vahvistanut ilmoitusten lähettämisen 23.11.2020 antamassaan selvityksessä. Vastaamon edellä kuvattu oma-aloitteinen ja viivytyksetön yhteistyö tietosuojavaltuutetun toimiston kanssa tietoturvaloukkausta koskevan ilmoituksen lähettämiseksi rekisteröidyille otetaan huomioon tietosuoja-asetuksen 33 artiklan 1 kohdan ja 34 artiklan 1 kohdan rikkomisten korjaamiseen ja rikkomisten mahdollisten haittavaikutusten lieventämiseen myötävaikuttavana seikkana.

2.8. Henkilötietoryhmät, joihin rikkominen vaikuttaa

Tietosuoja-asetuksen 83 artiklan 2 kohdan g alakohdan mukaan hallinnollisen sakon määräämisestä ja hallinnollisen sakon määrästä päätettäessä on otettava asianmukaisesti huomioon henkilötietoryhmät, joihin rikkominen vaikuttaa.

Vastaamon käsittelemät henkilötiedot ovat olleet tietosuoja-asetuksen 4 artiklan 15 kohdassa tarkoitettuja terveyttä koskevia tietoja, jotka kuuluvat tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettuihin erityisiin henkilötietoryhmiin. Vastaamon toiminnan luonteen eli psykoterapiapalveluiden tarjoamisen vuoksi tiedot ovat olleet erityisen arkaluonteisia. Tiedot ovat olleet potilaslain 13 §:n 1 momentin nojalla salassa pidettäviä. Rekisteröidyt ovat olleet tietojen perusteella suoraan tunnistettavissa, ja tietoja on säilytetty salaamattomina. Rekisteröityjen joukossa on ollut heikossa asemassa olevia henkilöitä, kuten lapsia, vanhuksia ja mielenterveysongelmista kärsiviä henkilöitä. Edellä mainitut seikat otetaan huomioon raskauttavana tekijänä sekä tietosuoja-asetuksen 33 artiklan 1 kohdan ja 34 artiklan 1 kohdan että tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdan osalta.

2.9. Tapa, jolla rikkominen tuli valvontaviranomaisen tietoon

Tietosuoja-asetuksen 83 artiklan 2 kohdan h alakohdan mukaan hallinnollisen sakon määräämisestä ja hallinnollisen sakon määrästä päätettäessä on otettava asianmukaisesti huomioon tapa, jolla rikkominen tuli valvontaviranomaisen tietoon, erityisesti se, ilmoittiko rekisterinpitäjä tai henkilötietojen käsittelijä rikkomisesta ja missä laajuudessa.

Apulaistietosuojavaltuutetun päätöksessä todetut tietosuoja-asetuksen säännösten rikkomiset ovat tulleet tietosuojavaltuutetun toimiston tietoon Vastaamon 29.9.2020 tekemän tietoturvaloukkausta koskevan ilmoituksen johdosta tehdyssä selvityksessä. Tätä seikkaa ei oteta huomioon raskauttavana eikä lieventävänä tekijänä.

2.10. Rekisterinpitäjälle aikaisemmin samasta asiasta määrättyjen 58 artiklan 2 kohdassa tarkoitettujen toimenpiteiden noudattaminen

Tietosuoja-asetuksen 83 artiklan 2 kohdan i alakohdan mukaan hallinnollisen sakon määräämisestä ja hallinnollisen sakon määrästä päätettäessä on otettava asianmukaisesti huomioon jos kyseiselle rekisterinpitäjälle tai henkilötietojen käsittelijälle on aikaisemmin määrätty samasta asiasta 58 artiklan 2 kohdassa tarkoitettuja toimenpiteitä, näiden toimenpiteiden noudattaminen.

Tietosuojavaltuutetun toimisto ei ole aikaisemmin määrännyt Vastaamolle samasta asiasta tietosuoja-asetuksen 58 artiklan 2 kohdassa tarkoitettuja toimenpiteitä. Tätä seikkaa ei oteta huomioon raskauttavana eikä lieventävänä tekijänä.

2.11. Käytännesääntöjen tai sertifiointimekanismien noudattaminen

Tietosuoja-asetuksen 83 artiklan 2 kohdan j alakohdan mukaan sakon määräämisestä päätettäessä on otettava asianmukaisesti huomioon 40 artiklan mukaisten hyväksyttyjen käytännesääntöjen tai 42 artiklan mukaisten hyväksyttyjen sertifiointimekanismien noudattaminen.

Vastaamo ei ole tuonut tietosuojavaltuutetun toimiston tietoon, että se olisi sitoutunut noudattamaan käsittelyssään tietosuoja-asetuksen 40 artiklan mukaisia hyväksyttyjä käytännesääntöjä tai 42 artiklan mukaisia hyväksyttyjä sertifiointimekanismeja. Tätä seikkaa ei oteta huomioon raskauttavana eikä lieventävänä tekijänä.

2.12. Mahdolliset muut raskauttavat tai lieventävät tekijät

Tietosuoja-asetuksen 83 artiklan 2 kohdan k alakohdan mukaan hallinnollisen sakon määräämisestä ja hallinnollisen sakon määrästä päätettäessä on otettava asianmukaisesti huomioon mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät, kuten rikkomisesta suoraan tai välillisesti saadut mahdolliset taloudelliset edut tai rikkomisella vältetyt tappiot.

Vastaamo on saanut tietosuoja-asetuksen säännösten rikkomisesta taloudellista hyötyä siltä osin kuin Vastaamo on välttynyt kustannuksilta, joita tietosuoja-asetuksen säännösten noudattamisesta olisi henkilötietojen tietoturvaloukkausta koskevien ilmoitusvelvollisuuksien ja potilastietojen asianmukaisen turvallisuuden varmistamisen osalta voinut aiheutua. Tämä seikka otetaan huomioon raskauttavana tekijänä sekä tietosuoja-asetuksen 33 artiklan 1 kohdan ja 34 artiklan 1 kohdan että tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdan osalta.

Tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdan osalta otetaan raskauttavana tekijänä huomioon puutteet tietosuoja-asetuksen 5 artiklan 2 kohdassa ilmaistun osoitusvelvollisuuden periaatteen mukaisen dokumentaation laatimisessa. Vastaamo ei ole dokumentoinut 20.12.2018 tapahtunutta tietoturvaloukkausta tietosuoja-asetuksen 33 artiklan 5 kohdassa edellytetyllä tavalla. Vastaamolla ei ole ollut 20.12.2018 ja 15.3.2019 tapahtuneiden tietoturvaloukkausten aikaan olemassa tietosuoja-asetuksen mukaisten tietoturvaloukkausten käsittelyssä noudatettavaa dokumentoitua ilmoitusmenettelyä. Vastaamon 9.4.2018 laatimassa tietosuojaa koskevassa vaikutustenarvioinnissa ei ole riittävällä tavalla arvioitu henkilötietojen käsittelyyn sisältyviä riskejä eikä tuotu riittävällä tavalla esille riskejä pienentäviä toimenpiteitä. Puutteellisen dokumentaation vuoksi Vastaamo ei ole pystynyt osoittamaan, että se olisi muun ohella kyennyt havaitsemaan 20.12.2018 tapahtuneen tietoturvaloukkauksen, että varmuuskopiointi ja lokitietojen säilyttäminen olisivat 20.12.2018 ja 15.3.2019 tapahtuneiden tietoturvaloukkausten aikaan olleet asianmukaisesti järjestettyinä, ja että Vastaamolla olisi tietoturvaloukkausten aikaan ollut käytössään riittävät keinot teknisten ja organisatoristen toimenpiteiden tehokkuuden säännölliseksi seuraamiseksi. Tietoturvaloukkauksiin liittyvät seikat ovat jääneet monilta osin selvittämättä, koska riittäviä lokitietoja ei jälkikäteen tehdyssä teknisessä tutkinnassa ole ollut enää saatavilla.

3. Yhteenveto

3.1. Hallinnollisen sakon määrääminen

Hallinnollisen sakon määräämisen arvioinnissa otetaan huomioon edellä kohdassa 2.1.–2.12. esille tuoduista seikoista kohta 2.1. (tehokkuus, oikeasuhteisuus ja varoittavuus) ja kohta 2.2. (rikkomisen luonne, vakavuus ja kesto).

Hallinnollisen sakon määräämistä tietosuoja-asetuksen 33 artiklan 1 kohdan, 34 artiklan 1 kohdan ja 5 artiklan 1 kohdan f alakohdan rikkomisista puoltaa se, että rikkomisia voidaan pitää erittäin vakavina. Rikkomiset ovat vaikuttaneet suureen määrään rekisteröityjä, aiheuttaneet rekisteröidyille niin aineellisia kuin aineettomiakin vahinkoja ja olleet pitkäkestoisia. Rikkomisissa ei ole kyse tietosuoja-asetuksen johdanto-osan 148 perustelukappaleessa tarkoitetusta vähäisestä rikkomisesta, josta sakon sijaan voitaisiin antaa huomautus, vaan rikkomiset ovat aiheuttaneet rekisteröityjen oikeuksille ja vapauksille korkean riskin ja vaikuttaneet rikottujen velvoitteiden olennaiseen sisältöön.

Tietosuoja-asetuksen 58 artiklan 2 kohdan a–h ja j alakohdan mukaisten korjaavien toimivaltuuksien yksinomainen käyttäminen ei asianmukaisella tavalla vastaisi rikkomisten luonnetta, vakavuutta ja seurauksia, eikä huomautusta sen vuoksi voitaisi pitää tietosuoja-asetuksen 83 artiklan 2 kohdan a alakohdan mukaiset seikat huomioiden riittävänä seuraamuksena. Hallinnollisen sakon määräämistä ei voida pitää suhteettoman ankarana seuraamuksena rikkomisten vakavuuteen ja kestoon nähden ja ottaen huomioon sen, että tietosuoja-asetuksen säännöksillä suojellaan luonnollisten henkilöiden perusoikeuksia ja -vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan.

Vastaamo on lakannut harjoittamasta taloudellista toimintaa, mutta se käsittelee yhä henkilötietoja. Hallinnollisten sakkojen määräämisellä on siten edelleen mahdollista turvata tietosuoja-asetuksen säännösten tehokas toteutuminen Vastaamon suorittamassa henkilötietojen käsittelyssä ja ennaltaehkäistä tietosuoja-asetuksen säännösten rikkomisia vastaisuudessa. Hallinnollisten sakkojen määräämisellä voi olla pelotevaikutus paitsi suhteessa Vastaamoon, myös suhteessa muihin rekisterinpitäjiin. Huomautuksella ei olisi rikkomisten vakavuus huomioon ottaen mahdollista saavuttaa yhtä tehokasta varoittavaa vaikutusta kuin hallinnollisella sakolla.

Hallinnollisen sakon määräämistä Vastaamolle voidaan näin ollen pitää tehokkaana, oikeasuhteisena ja varoittavana seuraamuksena Vastaamon henkilötietojen käsittelyssä tapahtuneista tietosuoja-asetuksen säännösten rikkomisista.

3.2. Hallinnollisen sakon määrä

Hallinnollisen sakon määrän arvioinnissa otetaan huomioon edellä kohdassa 2.1.–2.12. esille tuoduista seikoista kohta 2.1. (tehokkuus, oikeasuhteisuus ja varoittavuus), kohta 2.2. (rikkomisen luonne, vakavuus ja kesto) sekä kohdat 2.3.–2.12. (tietosuoja-asetuksen 83 artiklan 2 kohdan b–k alakohdan mukaiset seikat). Lisäksi otetaan huomioon Vastaamon liikevaihto tilikaudelta 1.1.2020–31.12.2020.

Edellä mainitut seikat huomioiden Vastaamon maksettavaksi määrättävän hallinnollisen sakon määräksi tulee tietosuoja-asetuksen 33 artiklan 1 kohdan rikkomisen osalta 145 600 euroa, tietosuoja-asetuksen 34 artiklan 1 kohdan rikkomisen osalta 145 600 euroa ja tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdan osalta 316 800 euroa. Hallinnollisen sakon kokonaismääräksi tulee siten 608 000 euroa.

Tietosuoja-asetuksen 83 artiklan 3 kohdassa edellytetään, että jos rekisterinpitäjä rikkoo samoissa tai toisiinsa liittyvissä käsittelytoimissa tahallaan tai tuottamuksellisesti useita tietosuoja-asetuksen säännöksiä, hallinnollisen sakon kokonaismäärä ei saa ylittää vakavimmasta rikkomisesta määrättyä sakkoa. Tietosuoja-asetuksen 33 artiklan 1 kohdan, 34 artiklan 1 kohdan ja 5 artiklan 1 kohdan f alakohdan rikkomiset ovat kaikki tapahtuneet käsittelytoimissa, joissa potilastietoja on käsitelty potilaan hoidon turvaamista varten. Tietosuoja-asetuksen 33 artiklan 1 kohdan ja 34 artiklan 1 kohdan rikkomisista voidaan tietosuoja-asetuksen 83 artiklan 4 kohdan mukaan määrätä enintään 10 000 000 euron suuruinen sakko. Tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdan rikkomisesta voidaan tietosuoja-asetuksen 83 artiklan 5 kohdan mukaan määrätä enintään 20 000 000 euron suuruinen sakko. Hallinnollisen sakon kokonaismäärä 608 000 euroa ei näin ollen ylitä sakkoa, joka vakavimmasta rikkomisesta voitaisiin enimmillään määrätä.

Tietosuoja-asetuksen 83 artiklan 1 kohdan mukaan hallinnollisten sakkojen määräämisen on oltava kussakin yksittäisessä tapauksessa tehokasta, oikeasuhteista ja varoittavaa. Tehokkuuden, oikeasuhteisuuden ja varoittavuuden vaatimukset koskevat myös hallinnollisen sakon määrää. Sakon määrän arvioinnissa on otettava huomioon, että Vastaamo on asetettu konkurssiin eikä harjoita enää taloudellista toimintaa. Nyt maksettavaksi määrättävää sakkoa ei voida pitää määrältään kohtuuttomana yksittäisten rikkomisten eikä kokonaissumman osalta ottaen huomioon rikkomisista määrättävissä olevan sakon enimmäismäärä, rikkomisten vakavuus ja kesto sekä se, että rikottujen säännösten tarkoituksena on suojella luonnollisten henkilöiden perusoikeuksia ja -vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan. Sakon määrää ei voida pitää kohtuuttomana myöskään sen kannalta, että sakon on oltava määrältään riittävä, jotta sen avulla pystyttäisiin varmistamaan varoittava vaikutus tietosuoja-asetuksen säännösten vastaisuudessa tapahtuvan rikkomisen ehkäisemiseksi. On lisäksi huomioitava, että hallinnollinen sakko on konkurssissa viimesijainen saatava, josta on oikeus saada maksu vasta muiden etuoikeudettomien saatavien jälkeen. Hallinnollisen sakon määrä ei näin ollen pienennä muiden paremmalla sijalla olevien konkurssisaatavien suorittamiseen käytettävissä olevia varoja.

Seuraamuskollegion puheenjohtaja: apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa

Apulaistietosuojavaltuutettu Jari Råman

Tietosuojavaltuutetun sijainen: ylitarkastaja Niina Heikman

Asian esittelijä: ylitarkastaja Tiina Pasanen

Päätöksissä sovelletut lainkohdat

Konkurssilain (120/2004) 1 luvun 1 §, 3 luvun 1 §, 5 luvun 1 §, 5 luvun 4 §, 14 luvun 2 §, 14 luvun 3 §:n 2 momentti, 14 luvun 5 §:n 1 momentin 1 kohta, 14 luvun 8 §:n 1 momentti.

Potilaan asemasta ja oikeuksista annetun lain (785/1992) 12 §:n 1 momentti, 13 §:n 1 momentti.

Sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain (159/2007) 19 i §.

Sosiaali- ja terveysministeriön potilasasiakirjoista antaman asetuksen (298/2009) 10 §:n 1 momentin 1 kohta, 22 §, 23 §:n 1 ja 2 momentti, 24 §:n 1 momentti, liitteen N:o 298 kohta 8.

Tietosuojalain (1050/2018) 8 §, 24 §:n 1 momentti.

Velkojien maksunsaantijärjestyksestä annetun lain (1578/1992) 6 §:n 1 momentin 2 kohta.

Yksityisestä terveydenhuollosta annetun lain (152/1990) 2 §:n 1 ja 2 momentti.

Yleisen tietosuoja-asetuksen ((EU) 2016/679) 1 artiklan 2 kohta, 4 artiklan 2 kohta, 4 artiklan 7 kohta, 4 artiklan 12 kohta, 5 artiklan 1 kohdan f alakohta, 5 artiklan 2 kohta, 9 artiklan 1 kohta, 24 artiklan 1 kohta, 25 artiklan 1 kohta, 32 artiklan 1 ja 2 kohta, 33 artiklan 1 ja 5 kohta, 34 artiklan 1 kohta, 35 artiklan 1 ja 7 kohta, 35 artiklan 3 kohdan b alakohta, 58 artiklan 2 kohta, 83 artiklan 1, 2, 3, 4 ja 5 kohta, 99 artiklan 2 kohta.

Muutoksenhaku

Apulaistietosuojavaltuutetun ja seuraamuskollegion päätöksiin saa hakea muutosta tietosuojalain (1050/2018) 25 §:n 1 momentin mukaisesti valittamalla hallinto-oikeuteen siten kuin oikeudenkäynnistä hallintoasioissa annetussa laissa (808/2019) säädetään. Valitus tehdään Helsingin hallinto-oikeuteen.

Päätös ei ole lainvoimainen.