Psykoterapiakeskus Vastaamoon kohdistunutta tietomurtoa on kuvattu mediassa sähköisen maailman suuronnettomuudeksi. Tietosuojan näkökulmasta Psykoterapiakeskus Vastaamon potilastietokannan tietoturvaloukkaus on erityisen traaginen, sillä se sisältää tietosuojalainsäädännön näkökulmasta heikommassa asemassa olevien henkilöiden eli potilaiden terveystietoja. Lisäksi Vastaamon tietomurron seuraukset voivat olla uhreille peruuttamattomia. Etenkin arkaluontoisia henkilötietoja käsitteleville organisaatioille on noussut huoli, voisiko tämä tapahtua meillekin.
Puhuttaessa tietoturva- ja tietosuojaloukkauksista termistöä käytetään jonkin verran ristiin, vaikka ne kohdistuvat erilaisiin tietotyyppeihin. Henkilötietoihin kohdistuvia tietoturvaloukkauksia kutsutaan toisinaan myös tietosuojaloukkauksiksi. Tietoturvaloukkaus puolestaan on laajempi termi, joka voi kohdistua esimerkiksi pelkästään talousdataan tai tekniseen koodiin.
Henkilötietoihin kohdistuvaksi tietoturvaloukkaukseksi kutsutaan lähes mitä tahansa tapahtumaa tai tilannetta, jossa rekisteröidyn henkilötiedot ovat vaarantuneet. Henkilötietojen vaarantuminen tarkoittaa niiden tuhoutumista, häviämistä, muuttumista, luvatonta luovuttamista, tai luvatonta käsittelyä. Esimerkkejä henkilötietojen vaarantumisesta ovat henkilötietoja sisältäneen sähköpostin lähteminen vahingossa väärälle lähettäjälle, henkilötietoja sisältäneen muistitikun hukkuminen työmatkalla tai ulkopuolisen tahon tekemä tietomurto kuten Psykoterapiakeskus Vastaamo Oy:n tapauksessa.
Yleisin tietoturvaloukkausten syy on käyttäjän inhimillinen virhe: käyttöoikeuksien rajaamisessa tapahtuu erehdys, henkilökohtaista salasanaa ei suojata riittävästi tai tietojenkalastelun seurauksena luovutetaan tietoja ulkopuoliselle taholle. Toinen yleinen syy tietoturvaloukkauksiin on joko rekisterinpitäjän tai henkilötietojen käsittelijän eli toimittajan tai alihankkijan puutteellinen teknisen tietoturvan tai hallinnollisen tietosuojan taso. Henkilötietojen suojaamiseksi tarvitaan sekä teknistä tietoturvaa että hallinnollisia tietosuojan keinoja. Hallinnollisia toimenpiteitä ovat esimerkiksi henkilötietojen säilytysaikojen määrittäminen, kerättävien henkilötietojen minimoiminen ja prosessien kuvaaminen. Esimerkkejä teknisestä tieturvasta ovat palomuurit, lokitus ja käyttöoikeuksien hallinta.
Psykoterapiakeskus Vastaamon tietoturvaloukkaus johtui tämänhetkisten viranomaisarvioiden mukaan ulkopuolisen tahon tekemästä tietomurrosta. Mikään järjestelmä tai prosessi ei ole täysin turvattu, mutta organisaatio voi tehdä useita toimenpiteitä tietoturvaloukkauksen riskin pienentämiseksi.
Psykoterapiakeskus Vastaamo Oy:n tietoturvaloukkaus on saanut erityisen paljon huomioita sen vakavuuden takia. Tietoturvaloukkauksen vakavuutta arvioidaan suhteessa sen aiheuttamaan riskiin yksilön oikeuksille ja vapauksille.
Lue lisää tietoturvaloukkauksista Tietosuojavaltuutetun sivuilta. Mikäli organisaatiossanne pohditaan, voisiko tämä tapahtua myös meille, lataa tämä lista. Olemme koonneet listan keskeistä asioista, jotka organisaation kannattaa tarkistaa tietoturvaloukkauksen riskin minimoimiseksi.
Lataa tästä 5 kohdan tarkistuslista tietoturvaloukkausten riskien minimoiseksi