Edilex-palvelut

Kirjaudu sisään

Avoin
Tätä uutista voi jakaa vapaasti. Muistathan mainita lähteen edilex.fi.
Uutinen kuuluu aihealueisiin Siviilioikeus

10.2.2021 11.45 Vierashuoneessa KPMG:n oikeudellisten Compliance-palvelujen johtaja Antti Aalto: Case Vastaamo – Voiko whistleblower-järjestelmä olla kannattava investointi?

Vierashuoneessa KPMG:n oikeudellisten Compliance-palvelujen johtaja Antti Aalto: Case Vastaamo – Voiko whistleblower-järjestelmä olla kannattava investointi?

Viime vuoden lopun suurimpia uutisaiheita oli tieto psykoterapiapalveluita tarjoavaan yritykseen kohdistuneesta tietomurrosta ja siitä seuranneesta yrityksen ja asiakkaiden kiristämisestä. Asiasta on Poliisihallituksen mukaan tehty yli 25 000 rikosilmoitusta. Tapaukseen liittyvistä velvoitteista ja näiden täyttämisen kustannuksista sekä vaihtoehdoista on tutkintaprosessin jatkuessa vaikea keskustella, mutta compliance-näkökulmasta on suorastaan pakko yrittää.

Yhtiön johdon vastuu

Vastaamon tietomurtotapausta on käsitelty mediassa laajasti, mutta nähdäkseni tietomurron kohteeksi joutuneen yhtiön johdon velvoitteiden sisältöä ei julkisuudessa ole selvitetty muuten kuin keskusrikospoliisin ilmoituksella, jonka mukaan yhtiön muutamien työntekijöiden epäillään syyllistyneen tietosuojarikokseen. Entinen toimitusjohtaja ja pääomistaja on myös kertonut, että tietomurrot oli huomattu maaliskuussa 2019, mutta hän ei ollut saanut niistä tietoa. Poliisille on tehty tutkintapyyntö myös yrityskaupasta. Kirjoitus perustuu medialähteisiin, joiden osalta kohtuullista lähdekritiikkiäkin on pyritty noudattamaan.

Soveltuvista oikeusohjeista ei ole ollut pulaa: potilastietolaki, tietosuoja-asetus, rikoslaki sekä osakeyhtiölaki ovat kaikki keskeisiä nyt käsillä olevassa tapauksessa. Yhtiön johdon velvoitteiden osalta mainittakoon osakeyhtiölain säännökset, jotka edellyttävät, että hallitus valvoo yhtiön lukuun harjoitettavaa toimintaa (OYL 6:2 §). Julkisten yhtiöiden osalta velvoitetta täsmennetään edelleen (OYL 6:16a §).

Valvontavelvoitteen täyttämisen osoittaminen on hallituksen vastuulla (OYL 22:1.3 §). Hallituksen tehtävänä on tavoitella yhtiön ja osakkeenomistajan etua (OYL 1:8 §, ns. business judgement rule). Hallituksen tulee siis tavoitella voittoa osakkeenomistajille ja valvoa, että voittoa tavoitellaan relevanttien normien puitteissa. Lisäksi hallituksen on kyettävä osoittamaan huolellisuutensa normien noudattamisen valvonnassa – muuten normirikkomuksella saavutetun voiton hinta on henkilökohtainen vastuu vahingosta.

Väärinkäytösten ilmoituskanava olisi auttanut havaitsemaan epäkohdat

Osakeyhtiön hallitus tai toimitusjohtaja eivät välttämättä seuraa ohjelmistokehitystä tai välttämättä edes käytä ohjelmistoa, joten heidän mahdollisuutensa havaita tietoturva- tai muu poikkeama yhtiötä koskevasta normista on rajallinen. Ohjelmistokehittäjä, yhtiön henkilökunta, asiakkaat, jopa täysin ulkopuoliset henkilöt saattavat havainnon tehdä, mutta miten tieto epäilyttävästä havainnosta saadaan tehokkaasti asiasta vastaavan tahon tietoon ja miten saadaan käynnistettyä mahdollisesti tarvittavat korjaustoimet?

Lienee selvää, että EU:n whistleblower-direktiivin (WBD, joka tulee voimaan 17.12.2021) edellyttämä anonyymi ilmoituskanava olisi tuottanut tarvittavaa tietoa kohun kohteeksi joutuneen yrityksen toimitusjohtajalle, tai ainakin hallitukselle. WBD määrittää, että vähintään 50 henkilöä työllistävillä yhtiöillä on oltava pakollisena tietoturvallinen ja anonyymi ilmoituskanava ja uskottava ilmoitusten käsittelyprosessi.  

Tällaisen järjestelmän rakentaminen tai käyttö ei ole ilmaista. Tämän takia kustannusvaikutusta hyvitetään työnantajalle tarjoamalla kolmen kuukauden yksinoikeus yrityksen piirissä havaittaviin väärinkäytösepäilyihin, jos järjestelmä ja prosessi vastaavat direktiivissä edellytettyä. Tällöin työntekijä on velvollinen ilmoittamaan havaitsemastaan väärinkäytösepäilystä työnantajan järjestelmään, ja työnantaja saa tilaisuuden tutkia ja korjata mahdollisen epäkohdan - ilman julkisuutta ja viranomaisvalvontaa.

Tietosuoja-asetus (GDPR) määrittää melko yksityiskohtaisesti sen prosessin, jonka tuloksena tietojoukon laadun ja laajuuden edellyttämä järjestelmän suojauksen ja huolellisuuden taso voidaan todeta ja määrittää. Ankarasti yleistettynä analyysin kysymykset kuuluvat: onko tieto erityisen arkaluontoista, onko sitä runsaasti ja miten helposti siihen voi päästä käsiksi?

Rekisterinpitäjä velvollinen arvioimaan henkilötietojen suojan tason

Lievästikin myönteiset vastaukset yllä mainittuihin kysymyksiin tuottavat rekisterinpitäjälle velvollisuuden dokumentoida ja arvioida henkilötietojen suojan asianmukaisuuden (D-PIA) ja mahdollisen velvollisuuden suojata tietoa paremmin. Whistleblower-järjestelmän kannalta tilanne vaikuttaa melko selvältä: kanavaan toimitetaan - anonyymisti tai nimellä - tietoa epäillystä väärinkäytöksestä ja mahdollisesta tekijästä.

Epäilyilmoituksen tutkiminen kerryttää tietoja epäillyistä, mahdollisista todistajista ja ilmoittajasta. Tietoa joudutaan säilyttämään vuosia ja sen perusteella on tehtävä kohdehenkilöihin – ja asiasta päättäviin ratkaisuelimen jäseniin - voimakkaasti vaikuttavia päätöksiä. Tietosuojan vaatimustaso on korkea ja yksiselitteinen.

Voidaanko tietosuoja-asetuksen vaatimuksilla perustella WB-direktiivin vaatimusten laiminlyönti? Luin hiljattain hyvämaineisen yrityksen WB-tietosuojaselosteen, jossa esitettiin, että heidän WB-järjestelmässään ei haluta käsitellä erityisen arkaluontoisia henkilötietoja kuten tietoa ilmoittajan tai mahdollisen epäillyn henkilöstä.

Ehkäpä kyseistä tietosuojaselostetta ja WBD:n edellyttämää asiallista tutkintaprosessia olisi syytä pohtia sen valossa, voiko tutkintaprosessi olla asiallinen, jos ilmoittajalta ei voida saada suoria lisätietoja tai jos väärinkäytöksestä epäiltyä tai mahdollista todistajaa ei haluta nimettävän. Whistleblower-direktiivissä edellytettävä järjestelmän ja prosessin uskottavuus edellyttänevät vähintään lisäselvitystä. Tilanne ei ole täysin ongelmaton, mutta tietosuoja-asetuksen vaatimuksilla ei voi perustella WB-direktiivin uskottavuusvaatimuksesta poikkeamista.

Suuretkin tietojoukot voitava suojata asianmukaisesti

Psykoterapiaa tarjoavan yhtiön potilastietojen ja terapiatietojen osalta tietojen luokittelu erityisen arkaluontoiseksi henkilötiedoksi on selvää. Pääsy tietoihin oli järjestetty tietoon oikeutetuille verkossa ja suojattu oikeudetonta pääsyä vastaan – julkisuudessa olleiden väitteiden mukaan – osin oletussalasanoin ja koko prosessi digitalisoitu. Järjestelmään murtautuminen vaikuttaa melko helpolta, ja 25 000 rikosilmoitusta edustaa kansallisesti melko suurta tietojoukkoa. Lakisääteisesti suojaukselle asetettu vaatimustaso on hyvinkin korkea prosessien ja teknisen tietoturvan kannalta. Onko tällaisen tiedon asiallinen käsittely ja suojaaminen taloudellisesti haastavaa tai mahdotonta?

Julkisuudessa tietomurtajan lunnasvaatimukseksi on esitetty 40 bitcoinia eli vaatimuksen esitysaikana noin 450 000 euroa (IS.fi 21.10.2020). Henkilöiltä, joiden tietoja on varastettu, on vastaavasti esitetty vaaditun 200-500 euron lunnaita.

Kiristykseen myöntyminen ja lunnaiden maksaminen olisi saattanut olla taloudellisesti rationaalista toimintaa, jos lunnaiden maksamisella olisi ollut saavutettavissa edes kohtuullinen varmuus siitä, että tietojen enempi leviäminen olisi siten saatu pysäytettyä. Lunnasvaatimuksen esittäminen tietomurron kohteille on niin kuvottavaa, että jätän tämän kannattavuuslaskennan enemmälti tekemättä vedoten juristin lasisilmässä havaittuun inhimillisyyden pilkahdukseen.

Compliance ja hyödyt liike- ja elinkeinotoiminnalle

Terapiapalvelujen tarjoajan potilastietojen nykyarvo asiallisessa liiketoiminnassa sopii paremmin compliance-ajatteluun: kysymys ei ole siitä, mikä on sopivaa, vaan siitä, mitä oikeudellisen normin noudattaminen maksaa osana liike- ja elinkeinotoimintaa.  

Luonteva tapa aloittaa arvonmääritys on määrittää tiedon avulla vuodessa saatu tai saatavissa oleva voitto ja arvioida kyseisen tiedon osuus siitä. Jos yksittäinen terapia-asiakas tuottaa käyttökatetta 20 euroa istunnolta ja istuntoja on kuukausittain, käyttökatetasolla vuoden tuotto on siis 240 euroa. Kuvitteellisella 10 prosentin tuottovaatimuksella asiakashenkilön yksilöinti- ja yhteystiedon nykyarvo on liiketoiminnassa 2 400 euroa asiakkaalta.

Tilanteessa, jossa rikosilmoituksia jätetään 25 000, ja määrä on indikatiivinen suhteessa tällaisten tietojoukkojen määrään (julkisuudessa on esitetty, että kiristäjä olisi väittänyt pitävänsä hallussaan 40 000 asiakkaan tietoja), tietojärjestelmään ja sen norminmukaisuuteen voidaan liiketoiminnallisesta näkökulmasta investoida enintään noin 60 (96) miljoonaa euroa.

Tätä suurempi investointi johtaisi liiketoiminnan arvon negatiivisuuteen. Näin ollen jos muut muuttujat ovat ennallaan, kaiken tulisi johtaa strategiseen päätökseen luopua terapialiiketoiminnasta, toiminnan saneeraukseen tai alasajoon.

Ilmoituskanavan puute voi tulla kalliiksi

Laskentaesimerkki on rikosilmoitusten lukumäärää lukuun ottamatta kuvitteellinen ja karkea. Karkeallakin laskentakaavalla vaikuttaisi kuitenkin uskottavalta, että tietoa olisi kannattanut pyrkiä suojaamaan tehokkaammin kuin julkisuudessa on aiemmin esitetty (KL.fi 31.1.2017).

Jos tietomurto ei kuitenkaan ollut toimitusjohtajan tiedossa, myös liiketoiminnan compliance-riskien systemaattinen analyysi oli tekemättä. Whistleblower-kanava, jonka kautta epäilty puute olisi saattanut ilmetä, puuttui. Nämä ovat asianmukaisen hallinnon kulmakiviä: systemaattinen tiedonkeruu liiketoiminnan ennakoitavissa olevista riskeistä ja kanava, joka on omiaan tuottamaan tietoa virheistä johdon vastuulla olevassa toiminnassa.

Esitin alussa kysymyksen whistleblower-järjestelmän kannattavuudesta. Edellä esittämäni laskentaesimerkki havainnollistaa, että tietoturvaan olisi voitu tuloksentekokykyä olennaisesti heikentämättä panostaa jopa kymmeniä miljoonia euroja, mutta tieto investointitarpeesta ei ollut saavuttanut johtoa.

Whistleblower-direktiivin edellyttämän ilmoituskanavan ja prosessin hankinta, käyttöönotto ja kouluttaminen tai edellytetyn prosessin ylläpito laillisessa liiketoiminnassa ei ole halpaa, mutta sen toimimattomuus tai puuttuminen on omiaan aiheuttamaan eksistentiaalisen kriisin.

Antti Aalto
Director (Legal Compliance)
KPMG Suomi


 

Vierashuonekirjoitukset eivät ole Edilex-toimituksen kannanottoja asioihin.


Kirjoita Edilexiin

Toimittaja: Jukka Savolainen, Edilex-toimitus (jukka.savolainen@edita.fi)

Lisää muistilistalle

Muuta kansioita

Dokumentti ei ole muistilistallasi. Lisää se valittuun tai uuteen kansioon.

Lisää dokumentti kansioihin tai poista se jo liitetyistä kansioista.

Lisää uusi kansio.

Lisää uusi väliotsikko.