Kirpputorilta ostettu käytetty kiintolevy oli täynnä arkaluontoisia potilastietoja. Asiasta kertoo Register.
Tapaus tuli ilmi, kun valokuvausta harrastanut alankomaalainen mies tarvitsi lisää tallennustilaa valo- ja videokuvilleen. Rahaa säästääkseen hän päätyi ostamaan paikalliselta kirpputorilta viisi käytettyä kovalevyä viiden euron kappalehinnalla. Jokaisen kiintolevyn koko oli 500 gigatavua.
Tämän kokoisten toimivien kiintolevyjen löytäminen viiden euron hintaan on jo itsessään erikoista. Varsinainen yllätys paljastui kuitenkin vasta siinä vaiheessa, kun mies kytki kiintolevyt tietokoneeseensa. Hänelle ilmeni, että ne olivat täynnä ihmisten sairaanhoitoon liittyviä henkilötietoja vuosilta 2011-2019.
Tietojen joukossa oli muun muassa henkilötunnuksia, syntymäaikoja, kotiosoitteita ja muuta arkaluontoista tietoa. Register huomauttaa, että kaikkien näiden tietojen päätyminen vääriin käsiin voisi mahdollistaa esimerkiksi identiteettivarkauksien tekemisen.
– Se oli melkoinen shokki. Ajattelin, miten jotain tällaista voi tapahtua? Aivan yhtä hyvin minun tai siskoni tiedot olisivat voineet olla siellä joukossa, mies toteaa Registerille.
Hänen tekemiensä selvitysten perusteella johtolangat johtivat erääseen it-alan yritykseen, joka oli tarjonnut tietoteknisiä palveluita sairaaloille. Yhtiö on jo lopettanut toimintansa eivätkä sen verkkosivutkaan ole enää toiminnassa. Se jäi lopulta mysteeriksi, miksi potilastietoja täynnä olevat kiintolevyt olivat päätyneet kirpputorille myyntiin ja minkä takia kiintolevyjä ei oltu tyhjennetty.
Tietoturvayhtiö Malwarebytesin mukaan toimintansa lopettanut yhtiö rikkoi paikallista lainsäädäntöä, sillä sen olisi pitänyt hävittää terveystiedot luotettavasti ammattilaisella. Malwarebytes arvioi, että yritys ei ole tehnyt näin siksi, että tietojen luotettava pyyhkiminen olisi aiheuttanut yritykselle kustannuksia. Lisäksi tiedot olisi pitänyt säilyttää kiintolevyillä salatussa muodossa. Näin ei tosiasiassa ollut.