Ex-toimitusjohtaja on kiistänyt syytteen tietosuojarikoksesta. Hänen mukaansa yrityksen tietoturvaongelmat johtuivat it-työntekijöiden virheistä.
Helsingin käräjäoikeus antaa tänään ratkaisunsa Psykoterapiakeskus Vastaamon entisen toimitusjohtajan tietosuojarikossyytteestä.
Syyttäjä sanoo, että Ville Tapio laiminlöi riittävästä tietoturvasta huolehtimisen ja antoi viranomaisille vääriä tietoja yritykseen keväällä 2019 kohdistuneesta tietomurrosta. Syyttäjän mukaan motiivina salailuun oli turvata tuleva yrityskauppa. Pääomasijoittaja Intera Partners hankki osake-enemmistön Vastaamosta keväällä 2019.
Tapio kiistää syytteen ja sanoo, ettei itsekään tiennyt tietomurrosta. Tietosuojarikoksesta voidaan tuomita sakkoja tai enintään vuosi vankeutta.
Syyttäjä: Vastaamon tietoturvan taso oli alkeellinen
Syyttäjän mukaan Vastaamoon kohdistui kaksi tietomurtoa, yksi vuonna 2018 ja toinen maaliskuussa 2019. Epäilynä on, että vuonna 2018 tehdyssä murrossa vietiin potilastiedot, joilla asiakkaita myöhemmin kiristettiin. Syyttäjän mukaan Vastaamossa ei oltu tästä murrosta tietoisia.
Tapion syytteessä on kyse maaliskuun 2019 tietomurrosta ja sen jälkeisestä ajasta lokakuuhun 2020 asti. Syyttäjän mukaan ulkopuolinen taho murtautui 15. maaliskuuta 2019 Vastaamon potilastietokantaan, sotki tietokannan ja jätti potilastietokantapalvelimelle kiristysviestin.
Syyttäjän mukaan tapahtuneen jälkeen Vastaamossa tehdyt toimenpiteet olivat riittämättömiä ja potilastietokannan turvallisuus oli vaarantuneena lokakuuhun 2020 saakka. Silloin Vastaamo kertoi joutuneensa kiristyksen kohteeksi, ja sen jälkeen selvitys ja poliisitutkinta tapahtumista aloitettiin.
Syyttäjän mukaan Vastaamon tietoturvan taso oli alkeellinen.
– Vastaamolla on ollut vartioitavana erittäin arkaluonteisia ihmisten yksityiselämään liittyviä tietoja. Arviointi tietoturvan tasosta on suhteutettava myös siihen, että minkälaista turvaa olisi tarvittu potilasrekisterin takia, syyttäjä Pasi Vainio sanoi oikeudessa.
Tapio: It-työntekijät tekivät käsittämättömiä virheitä
Tapio sanoo, että yrityksen tietoturvasta vastasi kaksi it-osaston työntekijää eikä heistä kumpikaan kertonut hänelle maaliskuun 2019 tietomurrosta sen tapahtuma-aikaan.
Työntekijöitä epäiltiin esitutkinnassa tietosuojarikoksesta Tapion ohella. Syyttäjä jätti kuitenkin syytteet nostamatta, koska hänen mukaansa heidän syyllisyytensä tueksi ei ollut todennäköisiä syitä.
Tapion puolustus sanoo, että tietojärjestelmä olisi oikein käytettynä ollut turvallinen ja työntekijät yrittävät vierittää vastuuta omista virheistään Tapiolle. Puolustuksen mukaan työntekijät avasivat marraskuussa 2017 Vastaamon tietojärjestelmän suojaukset ja tietokantaportin internetiin ja jättivät sen auki.
Tapio sanoi oikeudessa, että työntekijät olivat tehneet "käsittämättömiä virheitä". Hän myös kiisti, että olisi itse ollut missään vaiheessa koodaamassa Vastaamon potilastietojärjestelmää.
Yksi jutun keskeisistä kiistanaiheista koskee sitä, missä määrin it-asiat kuuluivat Tapion vastuulle. Syyttäjä viittasi Tapion taustaan ohjelmistokehittäjänä ja teknologiajohtajana ennen aloittamistaan Vastaamon toimitusjohtajana vuonna 2013. Tapio sanoi oikeudessa, että ohjelmistokehittäjänä hänen kokemuksensa on jo parinkymmenen vuoden takaista eikä hänellä edes ollut pääsyä moniin Vastaamon järjestelmistä.
Vastaamoon kohdistunut epäilty törkeä tietomurto on vielä esitutkinnassa. Siitä epäiltynä on vangittu 25-vuotias mies.