15.11.2022

Arkaluonteisten henkilötietojen asianmukainen suojaaminen ja henkilötietojen turvallinen käsittely

Apulaistietosuojavaltuutetun päätös henkilötietojen käsittelyn turvallisuutta koskevassa asiassa

Asia

Terveydenhuollon toimijan kannettavan tietokoneen ja ulkoisten kiintolevyjen päätyminen sivulliselle

Rekisterinpitäjän tietoturvaloukkausilmoitus ja asian selvittäminen

Tietoturvaloukkausilmoitus

Rekisterinpitäjä on 10.5.2022 tehnyt tietosuojavaltuutetun toimistolle tietoturvaloukkausilmoituksen koskien varastettua tietokonelaukkua. Tietoturvaloukkausilmoituksen mukaan laukun sisällä oli rekisterinpitäjän kannettava tietokone sekä kaksi ulkoista kiintolevyä. Tietokone oli suljettu, ja rekisterinpitäjän mukaan kirjautuminen tapahtui salasanalla. Laukussa oli paperisena potilaan käyntikertomus, yrityksen työterveysraportti, yrityksen helmikuun tilinpäätös sekä toimitusjohtajan henkilökohtaisia, terveystietoja koskevia papereita.

Tietoturvaloukkauksen kohteena olevien henkilöiden määräksi rekisterinpitäjä on arvioinut 3000 rekisteröityä. Rekisteröidyille on ilmoitettu tapahtuneesta, ja tietoa tietoturvaloukkauksesta on rekisterinpitäjän mukaan laitettu myös rekisterinpitäjän verkkosivuille sekä julkaistu lehdessä. Myös asiaan liittyville muille terveydenhuollon toimijoille on ilmoitettu asiasta.

Lisäselvitys

Tietosuojavaltuutetun toimisto on pyytänyt rekisterinpitäjältä lisäselvitystä 30.5.2022 päivätyllä selvityspyynnöllä. Rekisterinpitäjä on 14.6.2022 antanut asiassa kirjallisen selvityksen.

Selvityksen mukaan toisella tietokonelaukussa olleista ulkoisista kiintolevyistä oli liiketilan tietokoneelle asennetun Aurigal Noah -ohjelman varmuuskopiot NHA-muodossa. Rekisterinpitäjän mukaan ohjelmaan kirjaudutaan käyttäjätunnuksilla ja salasanalla, ja NHA-muodossa olevat tiedot on todennäköisesti salattu. Ulkoisilla kiintolevyillä oli rekisterinpitäjän mukaan seuraavia asiakkaiden tietoja: nimi, syntymäaika (tai syntymäaika ja sosiaaliturvatunnus), osoite, puhelinnumero, sähköpostiosoite, meluvamma, asiakkaan vakuutusyhtiö, vahinkonumero ja vahinkopäivä.

Rekisterinpitäjän mukaan tietokonelaukun varastaminen tapahtui, kun toimitusjohtaja oli tullut vierailemaan perhepiiriinsä kuuluvan henkilön luokse. Auto oli pysäköity kadun varteen, ja kun kasseja kannettiin sisälle, auton viereltä vietiin tietokonelaukku.

Toisen terveydenhuollon toimijan ilmoitus tietosuojavaltuutetun toimistolle

Tietosuojavaltuutetun toimisto on 13.5.2022 saanut samaa tietoturvaloukkaustilannetta koskevan ilmoituksen toiselta tervreydenhuollon toimijalta (dnro 4125/171/22). Terveydenhuollon toimija on kertonut tiedustelleensa rekisterinpitäjältä tietojen salauksesta ja saaneensa vastaukseksi, että tietokone/kiintolevyt eivät olleet salattuja.

Sovellettavasta lainsäädännöstä

Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (yleinen tietosuoja-asetus) on sovellettu 25.5.2018 alkaen. Yleistä tietosuoja-asetusta täsmentää kansallinen tietosuojalaki (1050/2018), jota on sovellettu 1.1.2019 alkaen.

Yleisen tietosuoja-asetuksen 32 artiklassa säädetään käsittelyn turvallisuudesta. Artiklan 1 kohdan mukaan ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten henkilötietojen salaus. Artiklan 2 kohdan mukaan asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi.

Oikeudellinen kysymys

Apulaistietosuojavaltuutettu arvioi ja ratkaisee asian edellä mainitusti yleisen tietosuoja-asetuksen (EU) 2016/679 ja tietosuojalain (1050/2018) pohjalta.

Apulaistietosuojavaltuutetun on ratkaistava, onko rekisterinpitäjä huolehtinut varastettuun tietokonelaukkuun sisältyneiden, kannettavalla tietokoneella ja ulkoisilla kiintolevyillä sekä paperiasiakirjamuodossa olleiden henkilötietojen suojauksesta asianmukaisella tavalla, ja onko rekisterinpitäjän menettely ollut yleisen tietosuoja-asetuksen 32 artiklan (käsittelyn turvallisuus) mukaista.

Apulaistietosuojavaltuutetun päätös

Päätös

Rekisterinpitäjä ei ole noudattanut toiminnassaan nyt arvioiduilta osin yleisen tietosuoja-asetuksen 32 artiklan 1 ja 2 kohtaa, eikä rekisterinpitäjän menettely koskien varastettuun tietokonelaukkuun sisältyneiden, kannettavalla tietokoneella, ulkoisilla kiintolevyillä ja paperiasiakirjamuodossa olleiden henkilötietojen suojaamista ole ollut yleisen tietosuoja-asetuksen mukainen.

Rekisterinpitäjälle annetaan yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b-alakohdan mukainen huomautus yleisen tietosuoja-asetuksen säännösten vastaisista henkilötietojen käsittelytoimista koskien varastettuun tietokonelaukkuun sisältyneiden, kannettavalla tietokoneella, ulkoisilla kiintolevyillä ja paperiasiakirjamuodossa olleiden henkilötietojen puutteellista suojaamista.

Perustelut

Nyt arvioitavana olevassa asiassa rekisterinpitäjä on jättänyt tietokonelaukun ulkotilassa ilman valvontaa, ja laukku on varastettu. Tietokonelaukun sisällä on ollut kannettava tietokone sekä kaksi ulkoista kiintolevyä. Laukussa on lisäksi ollut henkilötietoja sisältäviä paperiasiakirjoja, kuten potilaan käyntikertomus.

Henkilötietojen suojaamisen osalta voidaan ensinnäkin todeta, että ulkopuolisen saadessa haltuunsa paperiasiakirjoja, sillä on asiakirjoissa oleviin tietoihin suora pääsy. Paperiasiakirjoja tulisi käsitellä siten, etteivät ne ole ulkopuolisen saatavilla, eikä niitä tule esimerkiksi viedä ulkotiloihin ilman asianmukaista suojaamista ja valvontaa. Nyt arvioitavassa asiassa on ollut kyse erityisiin henkilötietoryhmiin kuuluvista terveystiedoista, joita rekisterinpitäjän olisi tullut suojata erityisen hyvin.

Tietokoneella olevien henkilötietojen suojauksen osalta rekisterinpitäjä on kertonut tietosuojavaltuutetun toimistolle, että tietokone oli varastamisajankohtana suljettu, ja kirjautuminen oli mahdollista salasanalla. Asiassa saadun selvityksen perusteella tietokoneen massamuisti tai sen sisältämät henkilötiedot eivät ole olleet salattuja. Rekisterinpitäjän mukaan toisella tietokonelaukussa olleista ulkoisista kiintolevyistä oli liiketilan pöytäkoneella olevan Noah-ohjelman varmuuskopiot NHA-muodossa.

Apulaistietosuojavaltuutettu kiinnittää rekisterinpitäjän huomiota siihen, että vahvakaan sisäänkirjautumisen salasana ei yksin estä pääsyä tietoihin, jos sivullinen saa fyysisen pääsyn tietokoneelle, jonka sisältämiä tietoja ei ole salattu. Fyysinen pääsy laitteelle voi mahdollistaa useita eri tapoja salaamattomiin tietoihin pääsemiseksi, ja sivullinen voi esimerkiksi käynnistää tietokoneen erillisellä käynnistysmedialla ja lukea salaamattoman massamuistin sisällön. Erillisen käynnistysmedian ja yleisesti saatavilla olevien ohjelmistojen avulla on myös mahdollista nollata Windows-käyttäjän salasana ja kirjautua tämän jälkeen Windowsiin normaalisti. Vaihtoehtoisesti massamuisti voidaan siirtää toiseen laitteeseen ja lukea tiedot tällä toisella laitteella. Näin ollen rekisterinpitäjän käyttämä pelkkä salasanasuojaus on ollut selkeästi puutteellinen keino suojata tietokoneelle tallennettuja rekisteröityjen henkilötietoja.

Ulkoisten kiintolevyjen kohdalla sivullisen pääsy tietoihin mahdollistuu vieläkin helpommin, eli kytkemällä levy esimerkiksi sivullisen omaan tietokoneeseen ja tarkastelemalla sen sisältöä. Tämän vuoksi erityisesti korkeariskisten henkilötietojen kohdalla on tärkeää huolehtia tietojen salauksesta esimerkiksi koko levyn salauksella. Nyt arvioitavassa asiassa rekisterinpitäjä ei ole salannut ulkoisia kiintolevyjä, ja henkilötietojen suojaus on näin ollut tältäkin osin selkeästi puutteellinen.

Huomioitakoon, että Noah-ohjelman varmuuskopion tiedot on asiassa saadun selvityksen mukaan ”todennäköisesti salattu”, mutta tietosuojavaltuutetun toimiston käsityksen mukaan Noah-ohjelma ei oletusarvoisesti salaa tietokantaa tai sen varmuuskopioita, vaan salaus pitää erikseen ottaa käyttöön. Myös ohjelman valmistaja on nimenomaisesti ohjeistanut salaamaan kannettavien levyt varkaustapauksien varalta.

Rekisterinpitäjän menettely on nyt arvioitavassa asiassa ollut yleisen tietosuoja-asetuksen 32 artiklan 1 ja 2 kohtien (käsittelyn turvallisuus) vastaista. Yleisen tietosuoja-asetuksen 32 artiklan mukaan rekisterinpitäjän tulee toteuttaa riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten henkilötietojen salaus, muun muassa estääkseen asiattomien pääsyn henkilötietoihin. Rekisterinpitäjä ei ole nyt arvioiduilta osin täyttänyt tätä velvollisuuttaan, ja erityisiin henkilötietoryhmiin kuuluvat henkilötiedot ovat päätyneet sivullisen saataville. Rekisterinpitäjällä olisi ollut saatavilla salaukseen useita vaihtoehtoisia ohjelmistoja, eikä salauksen käyttöönotto olisi vaatinut rekisterinpitäjältä kohtuutonta vaivaa tai resursseja.

Sovelletut lainkohdat

Perusteluissa mainitut.

Muutoksenhaku

Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään hallinto-oikeuteen.

Tiedoksianto

Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.

Lisätietoja tästä päätöksestä antaa asian esittelijä

Ylitarkastaja Niina Miettinen, puh. 029 566 6774

Päätöksen on tehnyt apulaistietosuojavaltuutettu Annina Hautala.

Päätös ei ole vielä lainvoimainen.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.