Påföljdsavgift för dataskyddsöverträdelser åt psykoterapicentret Vastaamo
Dataombudsmannens byrå har fastställt en administrativ påföljdsavgift för psykoterapicentret Vastaamo på grund av överträdelser mot bestämmelser i den allmänna dataskyddsförordningen. Vastaamo har försummat säker behandling av personuppgifter samt sina skyldigheter i anknytning till anmälan om dataintrång. Brister observerades även i upprättandet av dokumentation i enlighet med ansvarsskyldigheten.
Psykoterapicentret Vastaamo meddelade dataombudsmannen om ett angrepp mot patientdatabasen hösten 2020. Biträdande dataombudsmannen beordrade i oktober 2020 Vastaamo att personligen meddela kunderna, vars personuppgifter hade kapats, om dataintrånget. Dessutom inledde dataombudsmannens byrå en utredning om lagligheten i Vastaamos verksamhet.
Vastaamo har försatts i konkurs i februari 2021 genom beslut av Helsingfors tingsrätt. Vastaamo har upphört att bedriva ekonomisk verksamhet, men behandlar ännu personuppgifter. Vastaamo svarar som personuppgiftsansvarig för laglig behandling av patientuppgifter och iakttagande av lagringstider.
Dataintrånget borde ha anmälts efter att det upptäcktes
Enligt datasäkerhetsföretaget Nixus tekniska undersökning som blev färdig i oktober 2020 har en utomstående aktör olovligt kunnat logga in i Vastaamos patientdatabas åtminstone två gånger, i december 2018 och mars 2019. Någon exakt tidpunkt för dataläckaget kunde dock inte fastställas med säkerhet i undersökningen, eftersom tillräcklig logginformation inte har sparats från tiden när dataintrången inträffade. På grund av brister i dokumentationen har inte heller de webbadresser eller tekniker som angriparen använde kunnat preciseras.
Patientdatabasen har sannolikt förstörts och återställts under en dag i mars 2019. I den tekniska undersökningen framkom det att ett utpressningsmeddelande, enligt vilket angriparen har laddat ner databasen åt sig själv, har lämnats på patientdatasystemets server vid den tiden. Med mycket stor sannolikhet har utpressningsmeddelandet behandlats genom ett av Vastaamos användarnamn på dagen i fråga.
Biträdande dataombudsmannen anser på grundval av den information som har framkommit i undersökningen att Vastaamo redan i mars 2019 måste ha fått kännedom om att patientdatasystemets uppgifter hade försvunnit och kan ha hamnat i en utomstående angripares händer. Vastaamo borde utan dröjsmål ha anmält dataintrånget både till dataombudsmannen och till sina kunder, eftersom intrånget har orsakat en hög risk för de registrerade.
Med avseende på anmälningsplikten är det inte avgörande i vilken ställning de personer som kände till dataintrånget arbetade. Den personuppgiftsansvarige ansvarar för att förfaringssätt som gäller anmälningsplikten finns och iakttas.
Tidpunkten när den olovliga inloggningen i december 2018 framkom, den risk som detta sannolikt har orsakat de registrerade och huruvida anmälningsplikt förelåg förblev oklart på grundval av utredningen.
Försummelse av grundläggande åtgärder rörande säker behandling av patientuppgifter
Enligt Nixus tekniska utredning iakttog man inte den bästa praxisen och de bästa skyddsmetoderna för upprätthållande av en säker tjänst i upprätthållandet av servern för Vastaamos patientdatasystem, vilket har gjort servern utsatt för nätangrepp.
Den mest sannolika orsaken till läckan i patientdatabasen var databasens oskyddade MySQL-port, där databasens root-huvudanvändarnamn inte var skyddat med lösenord. Användarnamnet hade också getts rätt att logga in i databasen från vilken IP-adress som helst. Patientdatabasens server har varit öppen gentemot internet utan skydd av brandvägg åtminstone under tiden 26.11.2017–13.3.2019.
Biträdande dataombudsmannen anser att personuppgifterna inte var skyddade på ett adekvat sätt mot olovlig och olaglig behandling eller förlust, förstörelse eller skada som sker i misstag, och Vastaamo hade inte genomfört grundläggande åtgärder för en säker behandling av personuppgifter. På grund av den bristfälliga dokumentationen kunde Vastaamo inte heller påvisa att man skulle ha iakttagit kraven gällande adekvat säkerhet.
Anmärkning och påföljdsavgift för dataskyddsöverträdelser
Biträdande dataombudsmannen gav en anmärkning till Vastaamo för överträdelser mot dataskyddsförordningen. Påföljdskollegiet vid dataombudsmannens byrå påförde dessutom Vastaamo en administrativ påföljdsavgift på 608 000 euro.
Påföljdskollegiet anser att försummelserna är mycket allvarliga och att Vastaamos förfarande beträffande försummelse av anmälningsplikten är avsiktligt. Kollegiet konstaterar att ombesörjandet av en adekvat säkerhet inte skulle ha krävt orimliga åtgärder av Vastaamo med beaktande av informationsbehandlingens karaktär, omfattning och de risker som kunderna orsakas. Kollegiet anser att vårdslösheten rörande uppgiftsskyddet kan anses vara grov. Dessutom har överträdelserna varit långvariga.
Som omständigheter som förmildrar påföljden beaktades bland annat Vastaamos åtgärder för att minska skadan som orsakats de registrerade. Som graverande omständigheter beaktade påföljdskollegiet till exempel känsligheten i de uppgifter som behandlades samt bristerna i dokumentationen om dataintrånget som skedde i december 2018.
Administrativa böter utgör en efterställd fordran i en konkurs. Påföljdsavgiften förminskar alltså inte de medel som är tillgängliga för övriga konkursfordringar, såsom eventuella skadeersättningar.
Besluten har inte ännu vunnit laga kraft.
Biträdande dataombudsmannens och påföljdskollegiets beslut i Finlex på finska
Ytterligare information:
Biträdande dataombudsmannen Jari Råman, jari.raman(at)om.fi, tfn 029 566 6757
Dataombudsmannens byrå utreder om psykoterapicentret Vastaamos verksamhet har varit lagenlig
(27.10.2020)
Bestämmelser om påföljdskollegiets beslutsfattande och de personuppgiftsansvarigas rättsskydd finns i den nationella dataskyddslagen. Påföljdskollegiet bildas av dataombudsmannen och två biträdande dataombudsmän. Kollegiet är behörigt att påföra administrativa påföljdsavgifter för brott mot dataskyddslagstiftningen. Påföljdsavgifternas maximala belopp får vara fyra procent av företagets omsättning eller 20 miljoner euro.