Ulkopuoliselle päätyneiden laitteiden tietoja ei ollut salattu – apulaistietosuojavaltuutetulta huomautus terveydenhuollon toimijalle
Tietosuojavaltuutetun toimisto sai terveydenhuollon toimijalta ilmoituksen tietoturvaloukkauksesta, jonka mukaan kannettava tietokone, paperiasiakirjoja ja kaksi ulkoista kiintolevyä olivat päätyneet sivulliselle varastetussa tietokonelaukussa. Apulaistietosuojavaltuutetun mukaan yritys ei ollut suojannut laitteilla olleita henkilötietoja riittävällä tavalla.
Yrityksen antaman selvityksen mukaan kannettavan tietokoneen, paperiasiakirjoja ja kaksi ulkoista kiintolevyä sisältänyt tietokonelaukku oli varastettu. Tietokone, kiintolevyt ja paperiasiakirjat sisälsivät muun muassa asiakkaiden terveystietoja, yhteystietoja ja vakuutuksia koskevia tietoja. Tietokone oli suljettu ja kirjautuminen oli suojattu salasanalla, mutta tietokoneen massamuistia tai sen sisältämiä henkilötietoja ei ollut salattu.
Apulaistietosuojavaltuutettu toteaa, että kannettavalle tietokoneelle tallennettujen henkilötietojen suojaaminen pelkällä salasanalla on ollut puutteellinen suojausmenetelmä. Jos ulkopuolinen saa pääsyn laitteelle, vahvakaan kirjautumissalasana ei estä pääsyä tietokoneella oleviin tietoihin, ellei niitä ole salattu asianmukaisesti ja tehokkaasti. Ulkoisilla kiintolevyillä oleviin tietoihin pääsy voi olla vieläkin helpompaa. Tämän vuoksi erityisesti korkeariskiset henkilötiedot on tärkeää suojata riittävän vahvasti ja niitä sisältäviä välineitä on säilytettävä huolellisesti.
Henkilötiedot olisi voitu salata esimerkiksi erilaisilla salausohjelmistoilla, joiden käyttö ei olisi vaatinut rekisterinpitäjältä kohtuutonta vaivaa tai resursseja.
Terveydenhuollon toimijalle annettiin huomautus puutteista henkilötietojen turvallisessa käsittelyssä. Apulaistietosuojavaltuutettu katsoo, että yritys ei ollut täyttänyt tietosuoja-asetuksen mukaista velvollisuuttaan henkilötietojen asianmukaisesta suojaamisesta.
Yritys on ilmoittanut loukkauksesta kohteeksi joutuneille asiakkailleen. Yrityksen arvion mukaan tietoturvaloukkaus on koskenut noin 3 000 asiakasta. Päätös ei ole vielä lainvoimainen.
Apulaistietosuojavaltuutetun päätös Finlexissä
Lisätietoja:
Apulaistietosuojavaltuutettu Annina Hautala, annina.hautala(at)om.fi, puh. 029 566 6776