Vastaamon ex-toimitusjohtaja: Tietosuojarikossyyte nurin hovioikeudessa

Psykoterapiakeskus Vastaamon entinen toimitusjohtaja Ville Tapio sanoo, että Helsingin hovioikeus on hylännyt hänen syytteensä tietosuojarikoksesta. Tapio lähetti asiasta mediatiedotteen. STT ei ole vielä saanut hovioikeuden ratkaisua.

Helsingin käräjäoikeus tuomitsi Tapion aiemmin kolmen kuukauden ehdolliseen tietosuojarikoksesta. Oikeuden mukaan Vastaamon potilastietokantaan oli tallennettu asiakkaiden henkilötietoja ja käyntimerkintöjä selkokielisinä ilman riittävää salausta. Tiedot olivat myös sellaisessa muodossa, että ne olivat yhdistettävissä toisiinsa, oikeus sanoi.

Käräjäoikeus katsoi, että Tapio syyllistyi tietosuojarikokseen, koska hän ei ollut toteuttanut Vastaamossa yleisen tietosuoja-asetuksen vaatimusta käsiteltävien henkilötietojen pseudonymisoinnista ja salauksesta.

Tapio sanoo tiedotteessa, että hovioikeuden mukaan syyttäjän näyttö ei tukenut väitteitä tietoisesta laiminlyönnistä tai rikosvastuusta. Tapio kertoo toimittaneensa valtakunnansyyttäjälle kantelun, jossa vaaditaan tutkintaa aluesyyttäjä Pasi Vainion menettelyn lainmukaisuudesta

– Tapion mukaan syyttäjä langetti asiassa jo syksyllä 2022 median kautta varjotuomion, joka on aiheuttanut peruuttamatonta oikeudellista ja ammatillista vahinkoa, Tapion tiedotteessa sanotaan.

Psykoterapiakeskus Vastaamon tietojärjestelmä murrettiin ja potilastietokanta kopioitiin marraskuussa 2018. Myöhemmin yhtiötä ja sen asiakkaita kiristettiin ja asiakkaiden erittäin arkaluonteisia tietoja levitettiin verkossa.

Tapiota vastaan nostetussa tietosuojarikossyytteessä lähdettiin siitä, että Vastaamoon kohdistui kaksi tietomurtoa, yksi vuonna 2018 ja toinen maaliskuussa 2019. Syyttäjän mukaan Vastaamossa ei oltu tietoisia vuoden 2018 murrosta. Tapion syytteessä oli kyse maaliskuun 2019 tietomurrosta ja sen jälkeisestä ajasta.

Syyttäjän mukaan ulkopuolinen taho murtautui 15. maaliskuuta 2019 Vastaamon potilastietokantaan, sotki tietokannan ja jätti potilastietokantapalvelimelle kiristysviestin. Syyttäjän mukaan Tapio tiesi tietomurrosta heti sen tapahduttua.

Tapio sanoi, etteivät it-työntekijät kertoneet hänelle tietomurrosta ja että asia paljastui hänelle vasta syksyllä 2020. Silloin Vastaamo kertoi julkisuuteen joutuneensa kiristyksen kohteeksi, ja selvitys ja poliisitutkinta tapahtumista aloitettiin.

Käräjäoikeuden mukaan potilastietojärjestelmää ei ollut pseudonymisoitu eikä salattu vuonna 2018, eikä näin ollut tehty myöskään maaliskuun 2019 tietomurron jälkeen, vaikka silloin järjestelmään tehtiinkin joitain muutoksia.

Käräjäoikeuden mukaan maaliskuun 2019 jälkeenkin Vastaamosta olisi voitu anastaa asiakkaiden arkaluonteiset ja luottamukselliset henkilötiedot niin, että ne ja käyntimerkinnät olisivat olleet toisiinsa yhdistettävissä ja luettavissa.

Muun muassa tietomurrosta ja kiristyksestä tuomittiin käräjäoikeudessa kuuden vuoden ja kolmen kuukauden vankeuteen Aleksanteri Kivimäki, 28. Juttu on myös hänen osaltaan hovioikeudessa, joka pyrkii antamaan ratkaisunsa helmikuun loppuun mennessä.

Kivimäki vaatii hovioikeudessa kaikkien syytteiden hylkäämistä. Syyttäjät vaativat Kivimäen rangaistuksen korottamista seitsemään vuoteen, mikä on maksimirangaistus rikoksista, joista häntä syytetään.

Kivimäki sai käräjätuomion törkeästä tietomurrosta, törkeän kiristyksen yrityksestä, yli 9 200 törkeästä yksityiselämää loukkaavasta tiedon levittämisestä, lähes 21 000 törkeän kiristyksen yrityksestä ja 20 törkeästä kiristyksestä.

Käräjäoikeus katsoi tuomiossaan, että Kivimäki tunkeutui oikeudettomasti Vastaamon tietojärjestelmään ja latasi sieltä potilastietokannan käyttöönsä. Sitten hän oikeuden mukaan julkaisi internetissä yhteensä noin 33 000 Vastaamon potilastietokannassa olleen henkilön tiedot kolmessa erässä.

Lisäksi Virossa asuvaa miestä vastaan on nostettu syyte avunannosta törkeän kiristyksen yritykseen, jonka kohteena oli Vastaamo. Asia käsitellään aikanaan Länsi-Uudenmaan käräjäoikeudessa.