21.2.2022

Vastaamolle tietosuojalainsäädännön rikkomisesta hallinnollinen seuraamusmaksu

Psykoterapiakeskus Vastaamolle annettiin huomautus ja määrättiin 608.000 euron hallinnollinen seuraamusmaksu yleisen tietosuoja-asetuksen rikkomisesta. Vastaamo oli jättänyt ilmoittamatta arkaluonteisiin potilastietoihin tapahtuneesta tietoturvaloukkauksesta ilman aiheetonta viivytystä, minkä lisäksi Vastaamo oli laiminlyönyt henkilötietojen käsittelyn asianmukaisesta turvallisuudesta huolehtimisen. Tietosuojavaltuutetun toimiston seuraamuskollegio piti laiminlyöntejä erittäin vakavana, pitkäkestoisena ja tahallisena.

Tietosuojavaltuutetun toimisto totesi, että Vastaamo oli joutunut tietoturvaloukkausten kohteeksi joulukuussa 2018 ja maaliskuussa 2019, mutta jättänyt ilmoittamatta tietoturvaloukkauksista rekisteröidylle ja tietosuojavaltuutetun toimistolle. Ilmoitus tietosuojavaltuutetulle oli tehty vasta syyskuussa 2020. Koska Vastaamo käsitteli arkaluonteisia potilastietoja, tietoturvaloukkaus oli aiheuttanut rekisteröidyille korkean riskin ja ilmoitus olisi tullut tehdä viipymättä.
Tietosuojavaltuutetun toimisto katsoi myös, että Vastaamon potilastietojärjestelmä oli ollut altis verkkohyökkäyksille, koska sen ylläpidossa ei ollut noudatettu turvallisen palvelun ylläpidon käytänteitä ja suojausmenetelmiä. Henkilötietoja ei ollut asianmukaisesti suojattu tietoturvaloukkauksia vastaan.

Seuraamuskollegion mukaan henkilötietojen asianmukaisesta tietoturvallisuudesta huolehtiminen olisi ollut kohtuullista. Seuraamuskollegio piti Vastaamon menettelyä vakavana, tahallisena ja pitkäkestoisena. Seuraamuskollegio piti raskauttavana, että käsiteltävät henkilötiedot olivat arkaluonteisia ja tietoturvaloukkausten dokumentoinnissa oli ollut puutteellisuuksia.

Seuraamuskollegion päätös ei ole lainvoimainen.

Antti Saari

juristi