Oikeuden mukaan Vastaamon asiakastietoja ei ollut salattu riittävästi, ex-toimitusjohtaja Ville Tapiolle ehdollista

Helsingin käräjäoikeus tuomitsi tiistaina Psykoterapiakeskus Vastaamon entisen toimitusjohtajan tietosuojarikoksesta. Oikeus langetti Ville Samuli Tapiolle, 41, kolmen kuukauden ehdollisen vankeusrangaistuksen.

Oikeuden mukaan Vastaamon potilastietokantaan oli tallennettu asiakkaiden henkilötietoja ja käyntimerkintöjä selkokielisinä ilman riittävää salausta. Tiedot olivat myös sellaisessa muodossa, että ne olivat yhdistettävissä toisiinsa, oikeus sanoi.

Käräjäoikeus katsoi, että Tapio syyllistyi tietosuojarikokseen, koska hän ei ollut toteuttanut Vastaamossa yleisen tietosuoja-asetuksen vaatimusta käsiteltävien henkilötietojen pseudonymisoinnista ja salauksesta.

Syyttäjän mukaan Tapio oli myös muun muassa laiminlyönyt riittävästä tietoturvasta huolehtimisen, antanut viranomaisille vääriä tietoja yritykseen keväällä 2019 kohdistuneesta tietomurrosta sekä määrännyt siihen liittyvää dataa tuhottavaksi. Näiltä muilta osin syyte kuitenkin hylättiin. Käräjäoikeuden mukaan osassa väitetyistä teoista näyttöä ei löytynyt, osan kohdalla syyteoikeus oli ehtinyt vanhentua.

Tapion asianajaja Liina Kokko kertoi STT:lle, että Tapio hyvin todennäköisesti valittaa käräjätuomiosta.

– Tapio on pettynyt tuomioon sikäli, kun käräjäoikeus on katsonut, että hän olisi laiminlyönyt GDPR:n (EU:n tietosuoja-asetuksen) mukaista velvoitetta henkilötietojen pseudonymisoinnista ja salaamisesta. Tältä osin meidän näkemyksemme mukaan oikeuden ratkaisu oli hieman yllättävä, koska kyseessä ei ole ollut pakottava velvoite, Kokko sanoi.

Kokon mukaan henkilötiedot oli Vastaamossa pseudonymisoitu tietokantataulujen tasolla ja tietoliikenne oli salattu.

– Erimielisyytemme syyttäjien kanssa on koskenut sitä, onko se ollut riittävää vai ei — tähän asiaan liittyy tulkinnanvaraisia kysymyksiä ja hyvin suurella todennäköisyydellä Tapio tulee hakemaan tähän hovioikeuden kannanottoa.

Myös syyttäjäpuoli harkitsee valittamista. Syyttäjä Pasi Vainio sanoi, että syyttäjät ovat erimielisiä käräjäoikeuden kanssa ainakin siitä, miten oikeus oli arvioinut syytteen osatekojen vanhentumista.

– (Vastaamon tietoturvan) turvallisuuteen tai sen laiminlyönnin arviointiin ei päästy, kun oikeus oli katsonut vanhentumista näin. Meillä on siitä eri käsitys ja sen osalta mietimme valituksen jättämistä hovioikeuteen, Vainio kertoi.

Syyttäjä lähti siitä, että Vastaamoon kohdistui kaksi tietomurtoa, yksi vuonna 2018 ja toinen maaliskuussa 2019. Viranomaiset ovat epäilleet, että vuonna 2018 tehdyssä murrossa vietiin potilastiedot, joilla asiakkaita myöhemmin kiristettiin. Syyttäjän mukaan Vastaamossa ei oltu tästä murrosta tietoisia.

Tapion syytteessä oli kyse maaliskuun 2019 tietomurrosta ja sen jälkeisestä ajasta lokakuuhun 2020 asti.

Myös käräjäoikeus katsoi, että kiristykseen käytetyt henkilötiedot vietiin todennäköisimmin jo vuonna 2018. Oikeuden mukaan potilastietojärjestelmää ei ollut silloin pseudonymisoitu eikä salattu, eikä näin ollut tehty myöskään maaliskuun 2019 tietomurron jälkeen.

Vastaamoon kohdistunut epäilty törkeä tietomurto on vielä esitutkinnassa. Siitä epäiltynä on vangittu 25-vuotias mies.