Ylen mukaan Psykoterapiakeskus Vastaamo arvioi yhtiöön kohdistuneen tietomurron koskeneen aluksi vain noin tuhatta asiakasta.
Vastaamo ilmoitti murrosta tietosuojavaltuutetulle syyskuun lopulla ilmaantuneen kiristyssähköpostin jälkeen. Tuolloin katsottiin, ettei uhreille olisi tarpeen kertoa henkilökohtaisesti.
– Se vaatisi kohtuutonta vaivaa, ja loukkauksesta ilmoitetaan julkisella tiedonannolla, Vastaamon viranomaisilmoituksessa todettiin.
Tietosuojavaltuutettu määräsi myöhemmin Vastaamon tiedottamaan murrosta kaikille asiakkaille henkilökohtaisesti. Tapauksesta on jätetty jo noin 25 000 rikosilmoitusta.
Viranomaisilmoituksen mukaan Vastaamolla on ollut aiemmin samankaltaisia ongelmia tietoturvassa. Viime vuonna yhtiöstä irtisanoutunut työntekijä oli tallentanut yhteensä 29 potilaan tietoja luvatta omalle koneelleen.
Ylen tietojen mukaan yhtiö ei ilmoittanut Valviralle eikä tietosuojavaltuutetulle vuonna 2019 tapahtuneesta toisesta tietomurrosta.