Viron historian vakavimmassa terveydenhuollon kyberhyökkäyksessä kaksi vuotta sitten vaarantui myös suomalaisten terveystietoja. Asia paljastui Ylen pyytämistä asiakirjoista, eikä siitä ole uutisoitu Suomessa aiemmin.
Geenitutkimuksia tekevään Asper Biogene -yhtiöön tehtiin marraskuussa 2023 kyberhyökkäys, jossa vaarantuivat 10 000 henkilön tiedot. Joukossa oli noin 50 suomalaista, vahvistaa yhtiön toimitusjohtaja Hardi Tamm.
Valtaosa potilaista, 32, oli Varsinais-Suomen hyvinvointialueelta, kuusi Etelä-Pohjanmaan ja muutamia Pirkanmaan hyvinvointialueelta.
Tietosuoja-asetus velvoittaa Tammin mukaan kertomaan tietovuodosta asianomaisille.
– Meidän tapauksessamme tieto kulkee yhteistyökumppaneidemme kautta niille ihmisille, joiden tiedot varastettiin: mitä heidän pitää tehdä, kuka heihin ottaa yhteyttä ja millä tavoin, hän sanoo.
Etelä-Pohjanmaan ja Pirkanmaan hyvinvointialueet ilmoittivat tietomurrosta potilaille, mutta Varsinais-Suomen hyvinvointialue (Varha) ei.
Tiedot selviävät hyvinvointialueiden tietosuojavaltuutetulle tekemistä ilmoituksista.
Asiakkaista vuotanut geenitietoja
Varhan tietoturvaloukkausilmoituksesta käy ilmi, että vuotaneet tiedot ovat sisältäneet potilaan nimen, syntymäajan sekä tutkimukseen liittyvää koodikieltä. Lisäksi kymmenen potilaan kohdalla on ollut tieto tutkittavista geeneistä, jotka liittyvät silmäsairauksiin.
Eri hyvinvointialueilta on vaarantunut eri tietoja, mikä on saattanut vaikuttaa niiden päätöksiin tiedottamisesta.
Apulaistietosuojavaltuutettu Annina Hautala sanoo, että tietoturvaloukkauksen kohteeksi joutuneella on lähtökohtaisesti oikeus saada tieto, jos loukkaus aiheuttaa korkean riskin tämän oikeuksille ja vapauksille.
– Tietomurtotapauksissa tämä korkea riski katsotaan aiheutuneeksi varsin usein, jos vuotaneiden tietojen joukossa on potilastietoja tai muita terveyteen liittyviä tietoja.
Varsinais-Suomen hyvinvointialue arvioi, ettei tietomurto aiheuttanut korkeaa riskiä. Päinvastoin hyvinvointialue katsoi, että kertominen voisi aiheuttaa asiakkaissa turhaa huolta.
Tietosuojavaltuutetun toimisto ei ottanut Varhan päätöstä olla kertomatta tietomurrosta potilailleen tarkempaan selvitykseen, koska Viron tietosuojaviranomainen ja poliisi ovat selvittäneet Asper Biogenen toimintaa ja tietomurtoa.
– Emme ole tällä erää antaneet ratkaisua, jossa olisi otettu kantaa siihen, onko hyvinvointialueen arvio riskin tasosta ollut oikea, apulaistietosuojavaltuutettu Annina Hautala vahvistaa.
Toisin kuin Varha, Etelä-Pohjanmaan hyvinvointialue päätti kertoa Virossa tapahtuneesta tietomurrosta potilailleen.
Tietosuojavastaava Mari Kempaksen mukaan hyvinvointialue otti kokonaisharkinnassaan huomioon muun muassa palveluntoimittajalta saadun riskiarvioinnin.
– Informointi tehtiin tapauskohtaisen harkinnan ja tilannetekijöiden punninnan näkökulmasta matalalla kynnyksellä.
Kempaksen mukaan asiaan vaikutti muun muassa se, että tietoturvaloukkauksia oli kohdistunut haavoittuvassa asemassa oleviin erityisryhmiin sekä Virossa käynnistynyt poliisitutkinta.
– Rekisteröidyille haluttiin mahdollistaa Virossa tapahtuneen ja siihen liittyvän tapahtumaketjun seuraaminen.
Videolla toimitusjohtaja Hardi Tamm arvioi, miksi virolaislaboratorion asiakastiedot kiinnostivat rikollisia.
Terveystietojen murrot aina vakavia
Tietoturva-asiantuntija Petteri Järvisen mielestä Varhan perustelu olla kertomatta tietomurrosta potilailleen on erikoinen. Hän pitää ihmisten terveystietoihin kohdistuvia tietomurtoja lähtökohtaisesti vakavina.
– Mielestäni tällaisissa tapauksissa pitäisi ilmoittaa ja tällainen tuskaan vetoaminen kuulostaa oudolta.
Myös tietosuoja-asioihin erikoistunut juristi Elina Koivumäki toteaa, että yleensä Suomessa suositaan avointa linjaa.
– Oma käsitykseni varsinkin suuremmista organisaatioista on, että ihmisille halutaan ilmoittaa aika herkästi. Kulttuuri on, että herkemmin ilmoitetaan kun jätetään ilmoittamatta.
Potilaiden tietosuoja-asiat kuuluvat Varsinais-Suomen hyvinvointialueella vt. johtajaylilääkäri Jutta Peltoniemen vastuulle. Hän toimii tehtävässä sijaisena, eikä ollut tekemässä päätöksiä kaksi vuotta sitten.
– Ratkaisu on perustunut sen hetkiseen tilannearvioon. Vuotaneet tiedot ovat olleet sen verran suppeita, että riskiä ei ole pidetty korkeana, Peltoniemi perustelee.
Peltoniemi pitää mahdollisena, että tänä päivänä päädyttäisiin toisenlaiseen ratkaisuun, sillä nettihuijaukset ovat yleistyneet ja niissä osataan hyödyntää taitavasti potilaan terveystietoja.
– Tänä syksynä on varoitettu toistuvasti viranomaisten nimissä lähetetyistä tietojen kalasteluyrityksistä. Tekemämme arviot ovat aina sidottu sen hetkiseen tilanteeseen, jossa elämme.
Peltoniemi sanoo keskustelevansa tietosuojavastaavan kanssa, pitäisikö tietomurron kohteeksi joutuneille potilaille ilmoittaa jälkikäteen, kun asia on noussut julkisuuteen. Hänen tietojensa mukaan Varha ei enää käytä Asper Biogenen palveluja.
Virolaisyhtiön sakot kumottiin
Poliisitutkinnassa kävi ilmi, että Asper Biogenen järjestelmissä oli tietoturvapuutteita. Viron tietosuojaviranomainen määräsi yhtiölle tietosuojarikkomuksesta 85 000 euron sakon, joka valitusprosessin myötä kumottiin tuomioistuimessa.
Rikollisryhmä yritti kiristää Asper Biogene -yhtiötä, mutta yritys kieltäytyi maksamasta ja vei asian poliisille.
Tietoturva-asiantuntija Petteri Järvinen pitää epätodennäköisenä, että suomalaispotilaita yritettäisiin kiristää tietomurron tiedoilla.
Asper Biogenen toimitusjohtaja Hardi Tammin mukaan yhtiön tiedossa ei ole, että potilaiden tietoja olisi levitetty kolmansille osapuolille.
