Yksityinen terveydenhuollon alan toimija on saanut tietosuojavaltuutetulta moitteet puutteellisesta potilastietojen salauksesta.
Tapaus sai alkunsa siitä, kun yrityksen toimitusjohtajan tietokonelaukku varastettiin tämän auton vierestä. Yrityksen tietosuojavaltuutetun tekemän ilmoituksen mukaan laukussa oli kannettava tietokone, paperisia asiakirjoja ja kaksi ulkoista kiintolevyä. Varastetun omaisuuden joukossa oli noin 3 000 asiakkaan henkilötiedot.
Tietosuojavaltuutetun toimiston mukaan varastettu omaisuus sisälsi muun muassa asiakkaiden terveystietoja, yhteystietoja ja vakuutuksia koskevia tietoja. Tietokone oli suljettu ja kirjautuminen oli suojattu salasanalla, mutta tietokoneen massamuistia tai sen sisältämiä henkilötietoja ei ollut salattu.
Käytännössä tämä tarkoittaa sitä, että laukun varastanut taho pääsi selaamaan ulkoisilta kovalevyiltä muun muassa asiakkaiden nimi- ja osoitetietoja. Joukossa oli myös puhelinnumeroita, sähköpostiosoitteita, vahinkonumeroita ja vahinkopäiviä sekä tietoja asiakkaiden vakuutusyhtiöstä. Salasanan kiertämällä hänellä oli pääsy myös tietokoneen sisältämiin tietoihin.
Terveydenhuollon toimija sai moitteet puutteellisesta tietojen salauksesta. Apulaistietosuojavaltuutettu toteaa, että kannettavalle tietokoneelle tallennettujen henkilötietojen suojaaminen pelkällä salasanalla on ollut puutteellinen suojausmenetelmä. Jos ulkopuolinen saa pääsyn laitteelle, vahvakaan kirjautumissalasana ei estä pääsyä tietokoneella oleviin tietoihin, ellei niitä ole salattu asianmukaisesti ja tehokkaasti. Ulkoisilla kiintolevyillä oleviin tietoihin pääsy voi olla vielä helpompaa.
Tietosuojavaltuutetun mukaan henkilötiedot olisi voitu salata esimerkiksi erilaisilla salausohjelmistoilla, joiden käyttö ei olisi vaatinut rekisterinpitäjältä kohtuutonta vaivaa tai resursseja.
Tietosuojavaltuutetun antama päätös ei ole vielä lainvoimainen. Yritys on ilmoittanut tietoturvaloukkauksesta kaikille niille asiakkaille, joita asia koskee.
