Vastaamo – Tietomurron uhrin asema?

Vastaamo – Tietomurron uhrin asema?

Asia ei liity suoraan ekologisuuteen, mutta viimeaikaisten uutisten valossa joka tapauksessa vastuullisuuteen. Koska koulutukseni perusteella kuvittelen ymmärtäväni tietosuoja-asetuksesta jotakin, haluan tunkea lusikkani soppaan selittääkseni mitä on tapahtunut ja tapahtumassa, toivoen tästä olisi jollekulle apua.

Tuntuu varsin hurjalta ajatella, että tietomurron osuessa kohdalle, uhri on se henkilö jonka tehtäväksi jää selvittää missä kaikkialla pitää tehdä luottokielto ja miten yritysrekisteriin asetetaan rekisterintikielto. Useat hyväntahtoiset tahot ovat jakaneet ohjeistuksia siitä miten uhrin kannattaa toimia, mutta kovin monta kertaa ei ole esitetty kysymystä siitä onko oikeudenmukaista, että uhrin täytyy toimia? 

Uhreille harmitellaan sitä pahoinvointia jonka tilanne aiheuttaa, ja kehotetaan asettamaan kieltoja eri rekistereihin suuremman taloudellisen vahingon välttämiseksi. Samalla oletetaan, että Vastaamonkin asiakkaista joista osa on  jo valmiiksi äärirajoilla voimavarojensa kanssa, todella jaksaisi kaivautua jokaisen rekisterin perukalle. Etenkin kun koko sirkus ei ole millään tavalla heidän omaa syytään. 

Ainakin omasta mielestäni oleellisempaa olisi keskittyä uhreihin konkreettisemmin kuin vain toivottelemalla osanottoja ja jaksamista. 

Se mitä jokainen tavallinen tyyppi voi tehdä, on todeta, että asianmukaisinta on pysyä mahdollisimman kaukana vuodetuista tiedoista. Jokainen meistä on vain ihminen, ja aina välillä jokaisella on paha olla. Siinä tapauksessa yksi parhaita ratkaisuja on jutella asiasta ammattilaisen kanssa. Uhreilla ei ole asiakkuuteensa liittyen mitään hävettävää. Päin vastoin. He ovat ottaneet vastuuta omasta hyvinvoinnistaan. 

Mikä on tietosuojarikos?

Rikoslakiin on kirjattu tietosuojarikos. Ongelmana on, että laki on varsin lavealla kynällä kirjoitettu, eikä oikein anna tarkkaa selvyyttä siitä mikä rikoksen muodostaa. Siinä viitataan aika laajasti niin tietosuojalakiin kuin tietosuoja-asetukseenkin, ja vaikuttaa siltä, että etsijän tulisi itse löytää vastauksensa lain hengestä.  Tässä tapauksessa tuomion antamiseen liittyy huomattavaa vapautta lain tulkinnan muodostamisessa, etenkin kun historiassa ei ole yhtä laajamittaisia tapausesimerkkejä.   

Riittävä suojauksen taso tulisi lainsäädännön mukaan määritellä riskiarvion perusteella, mutta ongelmana on, että missään ei ole tarkasti ja virallisesti määritelty kuinka korkea riski vaatii kuinka korkean digitaalisen suojaustason. Kyseinen määritelmä voidaan luoda järkevästi vain tietokeniikan asiantuntijoiden ja oikeustieteen asiantuntijoiden yhteistyönä.

vastaamo uhri oikeudenkäynti vahingonkorvaus

Kuka tilanteesta on vastuussa? 

Tällä hetkellä ensimmäinen ilmiselvä syyllinen ovat hakkerit. Toisaalta jos kyse on ammattimaisesta kansainvälisestä järjestäytyneestä rikollisuudesta internetissä, todennäköisyys hakkereiden kiinnisaamiseen on hyvin pieni. Jos hakkereita ei saada kiinni, heiltä on myös mahdotonta laittaa oikeuden eteen vastaamaan aiheuttamastaan vahingosta. 

Toinen vastuunkantaja olisi Vastaamo itse, sekä ne sairaanhoitopiirit jotka ovat ostaneet Vastaamon palveluita. Vastaamon vastuu perustuisi siihen, että se ei ole suojannut arkaluontoisia henkilö- ja terveystietoja riittävän hyvin, ja sairaanhoitopiirien vastuu puolestaan siihen, että niillä on ollut velvollisuus varmentaa ostamiensa psykoterapiapalveluiden asianmukainen tietosuojan taso, mutta näin on silti päässyt käymään.

Yksi kiintoisa vastuunkantaja saattaisi olla poliisi itse, sillä EU:n tietosuoja-asetuksen tiukan tulkinnan mukaan, se ei tiedottanut väärinkäytöksen kohteiksi joutuneille murron uhreille asiasta välittömästi.

Tiedottamattomuuden tarkoituksena on ollut esitutkinnan hyvän alun varmistaminen, ja poliisin tarkoituksena on ollut, että tiedottamattomuudella on vältetty suuremman vahingon syntymistä. Poliisin suojaustoimista vänkääminen voi mennä hiukan lillukan varsiksi, mutta demokratiassa sillä on merkitystä.

Jos virkamies laiminlyö lain vaatiman ilmoittamisen, kyseessä on virkarikos, esimerkiksi tapauksessa jossa virkamiehen ilmoittamaa syytä tiedottamatta jättämiseen ei lopulta katsotakaan riittäväksi syyksi. 

Tiedotettiinko tietomurrosta Vastaamon tietomurron uhreille lainmukaisesti? 

GDPR:n (EU:n tietosuoja-asetuksen) mukaan tietovuodon tai murron kohteeksi joutuneen tahon tulee ilmoittaa vuodosta viranomaisille viimeistään 72 tunnin kuluessa siitä kun he ovat saaneet tietää vuodosta. Tietojen kohteelle asiasta tulee ilmoittaa välittömästi, ellei ole varmuutta siitä, että vuodetuista tiedoista ei voi koitua enää suurempaa haittaa

Siinä mielessä koen erikoiseksi sen, että rikosilmoitus on tehty syyskuussa, mutta asia on tullut julkiseen tietoon vasta lokakuun puolen välin jälkeen, huomioiden, että vaikka Vastaamon järjestelmiä olisi korjattu siten, että enää 2019 kevään jälkeen tietoihin ei olisi enää pääsyä, kukaan ei todellisuudessa saa jo vuodettuja tietoja pois hakkerien käsistä, eikä kukaan voi varmistua siitä, etteikö niitä olisi väärinkäytetty jo sinä aikana kun niitä ei vielä ole julkaistu. 

Vastaamon tietomurron uhrin oikeus vahingonkorvaukseen

Asiaa tutkitaan tällä hetkellä poliisin toimesta tietosuojarikoksena. On esitetty, että jos Vastaamon henkilökunnan jäsen (kuten esimerkiksi tapauksessa jossa yrityksen palkkalistalla ollut toimitusjohtaja olisi tiennyt murrosta ja jättänyt asian ilmoittamatta) tuomitaan tietosuojarikoksesta, tietomurron uhreilla olisi oikeus vahingonkorvauksiin.

Toimet jotka joudutaan tekemään suurempien vahinkojen ehkäisemiseksi kuuluisivat korvattaviksi. Tässä kohtaa esim. uhrin rekisteröinti- ja luottokieltojen tekeminen. 

Jos vahingonkorvauksia haetaan erillisillä oikeudenkäynneillä, suurimpana ongelmana on se, että häviäjä maksaa. Jos lain tulkinnasta riippuen ei pystytä esittämään toteen, että Vastaamo olisi rikkonut niitä lakeja joiden perusteella vahingonkorvausta haetaan, vahingonkorvausvaatimus hylättäisiin ja hävinnyt maksaisi molempien osapuolten oikeudenkäyntikulut. 

Ongelma rikosvastuun selvittämisessä on, että rikoslain tietosuojarikoksen määritelmässä ei selkeästi kerrota miten henkilötiedot tulee suojata, vaan ilmaistaan varsin laveasti, että ne tulee suojata riskiperusteisen arvion perusteella. Kuka arvioi riskin tason? Kuka arvioi suojaustason? Kuka arvioi että suojaustaso on riittävä suhteessa riskiin?  Sama pätee käytännössä myös tietosuoja-asetuksen perusteella tapahtuvan hallinnollisen seuraamuksen arviointiin. 

vastaamo tietomurto uhri

Onko Vastaamon vuotaneiden tietojen lukeminen rikos? 

Jos kyse on vain lukemisesta kyse tuskin on rikoksesta. Se että jokin ei ole määritelty rikokseksi, ei kuitenkaan tosin muuta sitä, että jokin on moraalitonta ja väärin. 

Tietojen levittäminen sen sijaan on rikollista, eli esim. varastettujen tietojen jakaminen omille kavereille tai seuraajille somessa. Levittämisen rikosnimike on yksityiselämää loukkaavan tiedon levittäminen. Homma ei rikollisuudessaan varsinaisesti poikkea esim. luvallisesti kuvattujen, mutta yksityisiksi tarkoitettujen seksivideoidenluvattomasta julkisesta levittämisestä, kuten esimerkiksi kostopornon tapauksessa. 

Kuka maksaa Vastaamon tietomurron uhreille vahingonkorvaukset? 

Mikäli tietosuojavaltuutettu katsoo, että tapauksessa ei ole menetelty EU:n tietosuoja-asetuksen mukaisesti, sillä on oikeus määrätä yritykselle hallinnollinen seuraamusmaksu. GDPR asetuksen rikkomisesta aiheutuva sakko voi olla enimmillään 20 miljoonaa euroa, tai 4% yrityksen maailmanlaajuisesta liikevaihdosta, riippuen siitä kumpi on suurempi summa. Toisaalta huomioiden, että Vastaamo on vain Suomen rajojen sisällä toimiva yritys, jonka viime vuoden liikevaihto oli 14 miljoonaa euroa, olisi epätodennäköistä, että hallinnollinen seuraamusmaksu olisi lähelläkään 20 miljoonaa euroa.

Sairaanhoitopiirin ostaessa yksityisen tuottajan palveluita, sillä on velvollisuus olla kartalla palvelun laadun lisäksi myös tietosuojan tasosta. On täten mahdollista, että lopulta vastuuseen joutuvat niin sairaanhoitopiirit kuin terapiatalo Vastaamokin. 

Ongelmallista on tapauksessa on myös se, että kaksoisrangaistuksia pyritään välttämään. Tämä tarkoittaen sitä, että jos yritys joutuu rikosoikeudelliseen vastuuseen tietosuojarikoksesta, sen saama rangaistus saattaisi olla päällekkäinen tietosuojavaltuutetun asettaman hallinnollisen seuraamusmaksun kanssa. 

Milloin vahingonkorvaukset Vastaamon tietomurrosta maksetaan? 

Vaikka voi olettaa, että vahingonkorvauksia ainakin suuremman vahingon välttämisestä, kuten esim. Luottokiellon asettamisesta todennäköisesti tullaan maksamaan, on kuitenkin täysin mahdotonta arvioida, milloin. 

Vahingonkorvausten eteen saatetaan joutua käymään erillisiä oikeudenkäyntejä. Suomessa kyseisen kaltaisissa tapauksissa ei ole mahdollista nostaa ryhmäkannetta, vaikka yksittäiset kanteet voidaankin käsitellä yhteisessä oikeudenkäynnissä.

Korvausoikeudenkäynnin suurimpia ongelmia olisi se, että mikäli murron uhrit häviäisivät kyseisen siviilioikeudenkäynnin, he joutuisivat myös Vastaamon oikeudenkäyntikulujen maksumiehiksi. 

Tapaus on vasta paljastunut, eikä sen tutkinta oletettavasti ole vielä lähelläkään valmis. Kun tutkinta valmistuu, asiassa seuraa ennen pitkää oikeudenkäynti, tai näin suuressa tapauksessa todennäköisemmin oikeudenkäyntien sarja. Sen jälkeen kun käräjäoikeus on antanut päätöksensä asiasta, päätöksestä on mahdollista valittaa hovioikeuteen. Oletettavasti juttu olisi supervaudilla nopeimmillaan käsitelty vuodessa, mutta todennäköisemmin näin suuren, monitahoisen ja uuden kaltaista rikollisuutta, yritysvastuuta ja julkista vastuuta käsittelevän oikeustapauksen kanssa puhutaan useista vuosista. 

On myös vielä oma juttunsa mistä kaikesta oikeutta tullaan lopulta käymään, koska ongelmallisia tapahtuman käänteitä tuntuu paljastuvan päivittäin lisää. Niin kauan kuin ei olla vielä varmoja mitä oikeudessa tullaan käsittelemään, on haastavaa arvioida mahdollisia lopputuloksiakaan.

vastaamo tietomurto uhri

Miten tilannetta voisi helpottaa nyt ja välttää tulevaisuudessa? 

Virallisesti henkilötunnusta ei saa käyttää henkilön tunnistamiseen, vaan ainoastaan yksilöimiseen. Siinä mielessä tuntuukin varsin nurinkuriselta, että monilta lainan- tai osamaksuntarjoajilta on voinut saada lainan tai osamaksusopimuksen ilman, että sopimusta tehdessä on tunnistauduttu, vaan henkilö on pelkästään yksilöity. Ei kuulosta kovin turvalliselta järjestelmältä. 

Tämän lisäksi on myös erikoista, että sekä että kaupparekisteri hyväksyisi esim. yrityksen hallituksen jäseneksi rekisteröintejä ilman tunnistautumista, vain yksilöinnillä. Tunnistautumisen kun voisi tehdä joko verkkopankkitunnuksilla, tai fyysisesti paikan päällä henkilötodistuksella, kuten passia tai henkilökorttia näyttämällä. 

Tällä hetkellä on ehdotettu, että henkilötunnusten uusimista voitaisiin nopeuttaa kyseisen vuodon uhreille, mutta toistaiseksi tätä ei ole vielä tehty. Ensisijaisesti pidän kuitenkin ongelmana sitä, miksi uhrin henkilötunnus tulisi vaihtaa, kun sen ei oikeastaan pitäisi turvallisuuden nimissä edes kelvata tunnistautumiskeinoksi mihinkään toimintaan tai palveluun, joka aiheuttaa taloudellisia sitoumuksia jotka voivat tuottaa vahinkoa. 

On mielestäni kohtuutonta vaatia uhria käymään läpi byrokraattinen paperinpyöritys ja mahdollinen henkilötunnuksen vaihto, vaikka hän ei ole itse tehnyt mitään väärin. Vastaavan kaltaisen voisi välttää tulevaisuudessa määrittelemällä selkeästi mikä on riittävä tietoturvan taso millekin henkilötietojen riskitasolle, taho joka ulkoistettujen palvelujen tietosuojaa oikeasti valvoo, ja vaatimalla ihmisiä käyttämään vahvoja tunnistautumistapoja aina kun kyse on erilaisista taloudellisista sopimuksista, kuten esim. luotto- tai osamaksusopimuksista.

Mitä minä voin tehdä? 

Jos sisälläsi kutkuttaa uteliaisuus ymmärtää tapausta paremmin ja haluat kurkata mitä laissa sanotaan aiheesta, käy tsekkaamassa: 

  1. EU:n tietosuoja-asetus
  2. Rikoslaki 38. luku 
  3. Tietosuojalaki

Anna

________________________________________

Luitko jo?

Suomalainen ruoka ei ole aina vastuullisempaa

11 korona-arjen ekovinkkiä

FACEBOOK / INSTAGRAM / BLOGLOVIN



Leave a Reply

Your email address will not be published. Required fields are marked *