Alaikäisten oppilaiden arkaluontoisia terveystietoja päätyi julkisesti kaikkien nähtäville, kun kunta julkaisi ne verkkosivuillaan. Toisaalla ihmisten salassa pidettäviä terveystietoja sisältänyt muistitikku päätyi myyntiin kirpputorille. Loukkaus paljastui, kun ulkopuolinen henkilö löysi muistitikun ostamansa tietokonelaukun sisältä.
Nämä ovat esimerkkejä viime aikoina paljastuneista tietoturvaloukkauksista. Ensiksi mainittu tapaus tuli ilmi maanantaina, kun Janakkalan kunta tiedotti havaitsemastaan (ja tekemästään) tietoturvaloukkauksesta. Kunta huomasi – lähes viikon myöhässä – että se oli julkaissut tietoja, jotka olisi pitänyt salata.
Tapaukset ovat pöyristyttäviä. Vielä pöyristyttävämpää on se, että nämä eivät ole ainoita kertoja, kun ihmisten henkilötietoja on käsitelty julkisella sektorilla vastuuttomasti. Vastaavia tapauksia tulee ilmi säännöllisin väliajoin eri puolilla maata. Yleensä syynä ovat puutteet kaupungin järjestelmien tietoturvassa tai työntekijöiden osaamisessa.
Esimerkiksi vuonna 2024 Helsingin kaupunki joutui tietomurron kohteeksi, jonka seurauksena noin 750 000 asiakirjaa päätyi vääriin käsiin. Asiakirjat sisälsivät arkaluontoisia tietoja lukuisista henkilöistä.
Julkisen sektorin huolimattomuus henkilötietojen käsittelyssä ei rajoitu sähköisiin asiakirjoihin. Vuosien varrella on toistuvasti paljastunut tapauksia, joissa henkilötietoja sisältäneitä asiakirjoja on löytynyt esimerkiksi jätekatoksista. Löytyneitä asiakirjoja ei oltu hävitetty tietoturvallisesti, kuten laki velvoittaisi. Tämä kertoo paljon siitä, miten vakavasti henkilötietojen suojaamiseen julkisella sektorilla suhtaudutaan.
Toistuvat tapaukset osoittavat, että kyse ei ole pelkistä yksittäistapauksista vaan laajemmasta ongelmasta. Julkisella sektorilla ei osata käsitellä ihmisten salaisia henkilötietoja riittävän tietoturvallisesti. Onko syynä sitten puutteelliset järjestelmät tai työntekijöiden osaamattomuus, tilanteelle on tehtävä jotain. Kansalaisilla on oikeus luottaa siihen, että heidän henkilötietonsa salataan asianmukaisesti. Pitäisi olla itsestään selvää, että kunta ei mene julkaisemaan ihmisten henkilötietoja verkossa kaiken kansan nähtäville.
Täysin oma lukunsa ovat säännöllisin väliajoin esiin nousevat tapaukset, joissa kunnan tai hyvinvointialueen työntekijä on luvattomasti urkkinut ihmisten terveystietoja. Niistäkin julkisuuteen nousseet tapaukset ovat todennäköisesti vain jäävuoren huippu.
Janakkalan kunnan tapauksen taustoja ei vielä tiedetä, joten emme tiedä, miten tietovuoto oli edes mahdollinen ja kuka siitä on vastuussa. Valitettavan usein tämänkaltaisissa tilanteissa kuitenkin käy niin, että lopulta kukaan ei joudu vastuuseen. Ainoa kärsijä on se, jonka tietoja vuodettiin.
Tästä hyvänä esimerkkinä on aiemmin mainitsemani muistitikkutapaus. Vaikka salassa pidettävät potilastiedot olivat todistettavasti päätyneet vääriin käsiin, lopulta kukaan ei joutunut vastuuseen. Syynä oli se, että epäilty rikos ehti vanhentua ennen kuin poliisi sai esitutkinnan valmiiksi.
Ennen syyteoikeuden vanhenemista poliisi ehti saada selville tiedot muistitikulle tallentaneen silloisen sairaanhoitopiirin työntekijän. Hän kertoi, ettei muista, että työntekijöille olisi annettu erillistä ohjeistusta tietojen tallentamisesta tai muistitikkujen käytöstä. Kaiken lisäksi tiedot olivat tikulla salaamattomassa muodossa.
Tämä kertoo jo paljon. Ongelma ei ole yksittäisessä työntekijässä, vaan koko järjestelmässä. Julkisen sektorin tietoturvaosaaminen ei ole riittävällä tasolla. Yritysmaailmassa vastaavanlaiset virheet johtaisivat nopeasti vakaviin seuraamuksiin, jopa irtisanomisiin.
Julkista sektoria ylläpitävillä veronmaksajilla on oikeus parempaan.