Vastaamon tietoturvaloukkaus herättää huolen, voisiko tämä tapahtua meillekin? 

Psykoterapiakeskus Vastaamoon kohdistunutta tietomurtoa on kuvattu mediassa sähköisen maailman suuronnettomuudeksi. Tietosuojan näkökulmasta Psykoterapiakeskus Vastaamon potilastietokannan tietoturvaloukkaus on erityisen traaginen, sillä se sisältää tietosuojalainsäädännön näkökulmasta heikommassa asemassa olevien henkilöiden eli potilaiden terveystietoja. Lisäksi Vastaamon tietomurron seuraukset voivat olla uhreille peruuttamattomia.  Etenkin arkaluontoisia henkilötietoja käsitteleville organisaatioille on noussut huoli, voisiko tämä tapahtua meillekin.

Tietoturva- vai tietosuojaloukkaus?

Puhuttaessa tietoturva- ja tietosuojaloukkauksista termistöä käytetään jonkin verran ristiin, vaikka ne kohdistuvat erilaisiin tietotyyppeihin. Henkilötietoihin kohdistuvia tietoturvaloukkauksia kutsutaan toisinaan myös tietosuojaloukkauksiksi. Tietoturvaloukkaus puolestaan on laajempi termi, joka voi kohdistua esimerkiksi pelkästään talousdataan tai tekniseen koodiin.

Henkilötietoihin kohdistuvaksi tietoturvaloukkaukseksi kutsutaan lähes mitä tahansa tapahtumaa tai tilannetta, jossa rekisteröidyn henkilötiedot ovat vaarantuneet. Henkilötietojen vaarantuminen tarkoittaa niiden tuhoutumista, häviämistä, muuttumista, luvatonta luovuttamista, tai luvatonta käsittelyä.  Esimerkkejä henkilötietojen vaarantumisesta ovat henkilötietoja sisältäneen sähköpostin lähteminen vahingossa väärälle lähettäjälle, henkilötietoja sisältäneen muistitikun hukkuminen työmatkalla tai ulkopuolisen tahon tekemä tietomurto kuten Psykoterapiakeskus Vastaamo Oy:n tapauksessa.

Tietoturvaloukkausten taustalla usein inhimillinen virhe

Yleisin tietoturvaloukkausten syy on käyttäjän inhimillinen virhe: käyttöoikeuksien rajaamisessa tapahtuu erehdys, henkilökohtaista salasanaa ei suojata riittävästi tai tietojenkalastelun seurauksena luovutetaan tietoja ulkopuoliselle taholle.  Toinen yleinen syy tietoturvaloukkauksiin on joko rekisterinpitäjän tai henkilötietojen käsittelijän eli toimittajan tai alihankkijan puutteellinen teknisen tietoturvan tai hallinnollisen tietosuojan taso. Henkilötietojen suojaamiseksi tarvitaan sekä teknistä tietoturvaa että hallinnollisia tietosuojan keinoja. Hallinnollisia toimenpiteitä ovat esimerkiksi henkilötietojen säilytysaikojen määrittäminen, kerättävien henkilötietojen minimoiminen ja prosessien kuvaaminen. Esimerkkejä teknisestä tieturvasta ovat palomuurit, lokitus ja käyttöoikeuksien hallinta.

Psykoterapiakeskus Vastaamon tietoturvaloukkaus johtui tämänhetkisten viranomaisarvioiden mukaan ulkopuolisen tahon tekemästä tietomurrosta. Mikään järjestelmä tai prosessi ei ole täysin turvattu, mutta organisaatio voi tehdä useita toimenpiteitä tietoturvaloukkauksen riskin pienentämiseksi.

Tietoturvaloukkausten vakavuuden arviointi

Psykoterapiakeskus Vastaamo Oy:n tietoturvaloukkaus on saanut erityisen paljon huomioita sen vakavuuden takia. Tietoturvaloukkauksen vakavuutta arvioidaan suhteessa sen aiheuttamaan riskiin yksilön oikeuksille ja vapauksille.

  • Riskin vakavuuden arvioimisessa otetaan huomioon riskin luonne sekä sen toteutumisen todennäköisyys. Toteutumisen todennäköisyyteen vaikuttaa esimerkiksi se, ovatko henkilötiedot paljastuneet vain organisaation sisälle, toiselle organisaatiolle tai joutuneet mahdollisesti sellaiselle taholle, joka voi hyödyntää niitä rikollisiin tarkoituksiin.
  • Huomiota kiinnitetään erityisesti vaarantuneiden henkilötietojen laatuun eli onko kyseessä esimerkiksi terveystiedot, osoitetiedot tai henkilötunnus ja minkälaista vahinkoa näiden tietojen väärinkäytöstä voi aiheutua yksilölle.
  • Riskiarvio tehdään yksilön näkökulmasta ja se on aina yksilökohtainen, sillä esimerkiksi turvakiellon alaisen henkilön osoitteen joutuminen vääriin käsiin voidaan arvioida erityisen suureksi riskiksi yksilölle, vaikka osoitetietoa ei ole tietosuojalainsäädännössä luokiteltu arkaluontoiseksi henkilötiedoksi.

Lue lisää tietoturvaloukkauksista Tietosuojavaltuutetun sivuilta. Mikäli organisaatiossanne pohditaan, voisiko tämä tapahtua myös meille, lataa tämä lista. Olemme koonneet listan keskeistä asioista, jotka organisaation kannattaa tarkistaa tietoturvaloukkauksen riskin minimoimiseksi.

Tietoturvaloukkausten riskien minimoiminen

Lataa tästä 5 kohdan tarkistuslista tietoturvaloukkausten riskien minimoiseksi
  • Kirjoita sähköpostiosoitteesi, johon haluat meidän lähettävän listan tietoturvaloukkasten riskien minimoimiseksi. Käsittelemme henkilötietojasi Privaonin tietosuojaselosteen mukaisesti, jonka löydät täältä: https://privaon.fi/tietosuojaseloste/.