Case Vastaamo konkretisoi tietosuojan merkityksen yritykselle

Suomessa tietosuojaan ja tietoturvaan liittyviä isompia oikeustapauksia on ollut viranomaisten käsittelyssä ja siten myös sanktioiden kohteena hyvin vähän, kun vertaillaan sakkojen määrää ja suuruutta muuhun Eurooppaan.

Laitteisiin ja tietokoneohjelmistoihin liittyvä tietoturva kulkee käsi kädessä organisaation noudattaman tietosuojapolitiikan sekä määrittelyjen kanssa. Keskityn tässä lyhyessä artikkelissa pääosin tietosuojaan ja siihen liittyviin käytännön huomioihin Suomessa.

Vastaamon tapaus toi Suomessa tietosuojan merkityksen viimein isosti tapetille. Asiasta julkisuuteen saatujen tietojen perusteella Vastaamo oli laiminlyönyt vastuunsa järjestää potilastietojen suojaamisen asianmukaisella tavalla ja menettely on mitä ilmeisimmin ollut pitkäkestoista sekä korostetun huolimatonta. Lisäksi on käynyt ilmi, että myös asiakkaiden henkilötietoja oli mitä ilmeisimmin talletettu tietosuojasäännösten vastaisesti eikä organisaatiossa ollut toteutettu esimerkiksi 2-vaiheista tunnistautumista tai potilastietoverkon erillisyyttä riittävällä tasolla. Liiketaloudellisena lopputuloksena oli Vastaamon julistaminen konkurssiin 15.2.2021, vain muutamia kuukausia tietomurron julkitulon jälkeen. Vastaavalle asiantuntijaorganisaatiolle luottamus on kaikki kaikessa ja Vastaamon osalta luottamus oli täysin menetetty sekä liiketoimintamahdollisuudet tulevaisuushorisontissa mitä ilmeisimmin hyvin heikot.

Hyvin järjestetyllä tietoturvalla ja osaavalla henkilöstöllä on siis liiketoiminnan kannalta suuri merkitys. Vastaamon tapauksessa on ilmeistä, että yhtiön sisällä ei löytynyt tietosuojaan liittyvää osaamista, eikä yhtiö ollut panostanut asianmukaisesti luottamuksellisten tietojen suojaamiseen. On selvää, että myös ulkopuolisen asiantuntijan tekemiä tarkastuksia ei ole tehty riittävällä tasolla. Väitän, että yksikin normaalitason auditointi olisi liputtanut Vastaamon tekemiä virheitä ja huolimattomuuksia ja saattanut estää kymmenientuhansien ihmisten terveystietojen joutumisen pimeän verkon puolelle ja väärien tahojen käsiin. Tämä on tietenkin yksittäisen ihmisen ja potilaan osalta todella traagista.

Yritykselle luottamuksellisen tiedon käsittelyn turvaaminen on liiketoiminnan kannalta välttämätöntä. Asiakkaiden ja yhteistyökumppaneiden tietojen turvaamisen ja asianmukaisen käsittelyn lisäksi myös henkilöstön tietojen säilytysaikaan ja käsittelytapoihin tulee kiinnittää riittävää huomiota. Tällä hetkellä erilaisten kalasteluyritysten johdosta organisaation heikoin lenkki on usein tuolin ja etätyöpisteen välissä. Kun yrityksen henkilötietojen käsittely ei ole laajamittaista ja varsinaiselle nimetylle tietosuojavastaavalle ei ole laissa mainittua tarvetta, on yrityksellä hieman pienempi taakka tietosuojavelvoitteiden noudattamisessa.

Käytännön kokemuksen kannalta kehotan jokaista yritystä tarkistamaan oman organisaation osalta ainakin kolme seuraavaa seikkaa:

1) Missä henkilötietoja liikkuu mallintamalla tietojen liikkumista ”kartan” avulla
2) Onko yrityksellä tietosuojaseloste ja onko henkilötietojen luovuttamisesta sovittu kirjallisella sopimuksella GDPR Artikla 28 mukaisesti sekä
3) Kuinka kauan tietoja säilytetään ja miten tietoturvallisuudesta on huolehdittu?  Yleensä jo pelkkä henkilötietojen käsittelyä koskevan sopimuksen tekeminen saa organisaatiossa aikaan sen, että sisäisesti mietitään, kuinka kauan tietoja säilytetään, miten tieto suojataan ja mitä tietoja sopimuksen perusteella liikutetaan rekisterinpitäjältä käsittelijälle.

EU:n tietosuoja-asetuksen (GDPR) valvonta on jäänyt Suomessa muuta Eurooppaa vähemmälle ja useasti on tuotu esille Tietosuojavaltuutetun toimiston resurssipulaa, joka on aiheuttanut käsittelyaikojen venymistä ja sitä että tietosuojaan liittyviä asioita ei pystytä jokaisessa tapauksessa käsittelemään tehokkaasti. Oma käsitykseni kentältä on se, että Tietosuojavaltuutetun toimisto ei tällä hetkellä pysty toimimaan siltä odotetulla tavalla. Tehoton käsittelyprosessi heikentää luottamusta viranomaiseen ja vääristää tällä hetkellä etua niille, jotka eivät ole asianmukaisesti hoitaneet tietosuojaan liittyviä velvoitteitaan kuntoon.

Käytännössä olen myös huomioinut, että pk-sektori ja koko yrityskenttä on jätetty viranomaisnäkökulmasta neuvonnan sekä yhteistyön ulkopuolelle. Vastaamon case tuo esille, että viranomaisvalvontaa ja neuvontaa tarvitaan myös yrityksille, eikä yrityksiä pidä jättää ulos neuvontapalveluista tietosuojan osalta sen takia, että organisaation yhtiömuoto on osakeyhtiö. Toivon että uuden tietosuojavaltuutettu Anu Taluksen myötä Tietosuojavaltuutetun toimisto alkaa tehdä entistä tiiviimpää yhteistyötä yrityskentän kanssa ja yrityksille saadaan sen koosta sekä osaamisesta riippumatta matalan kynnyksen neuvontaa tietosuoja-asioihin liittyen. Tämä on koko kentän etu ja parantaa yritystemme turvallisuutta sekä kilpailukykyä.

Pauli Sortti

Asianajaja Pauli Sortti toimii Asianajotoimisto Roihu Oy:ssä osakkaana ja neuvoo myös Marketing Finland ry:n jäseniä mm. liikejuridiikan, markkinointioikeuden sekä tietosuojaan liittyvissä kysymyksissä.

Kommentoi

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *