Helsingi Ringkonnakohus mõistis määras psühhoteraapia keskuse Vastaamo endise juhi  Ville Tapio süüdi isikuandmete kaitse kohustuste rikkumises ning määras talle 3 kuulise tingimisi vanglakaristuse. Rikkumiseks luges kohus  isikuandmete kaitsmiseks vajalike turvameetmete (pseudonüümimine ja krüpteerimine) rakendamata jätmist.

Ebapiisavate turvameetmete tõttu õnnestus häkkeritel varastada keskusest tuhandete patsientide isikuandmed. Vastaamo pakkus psühhoteraapiat enam kui 30 000 tuhandele patsiendile, muuhulgas oli keskus ka mitmete avaliku sektori haigla lepinguline partner.

Patsientide andmeid, mille hulka kuulusid lisaks kontaktandmetele ka iseäranis tundlikud andmed – isikustatud diagnoosid, teraapiapäevikud jmt – avaldati ja pandi häkkerite poolt müüki tumeveebis ja neid andmeid kasutati ka väljapressimiseks nii patsientidelt endilt kui ka keskuse töötajatelt..

Pärast  varguse ilmsikstulekut 2020 aastal vabastas Vastaamo nõukogu Ville Tapio ametist. Kohus asus seisukohale, et trahvi määramine ei ole antud juhtumil piisav, sest tegu on kuritahtliku hooletusega keskuse infoturbe tagamisel ja isikuandmete kaitse tagamisel.

GDPR, täpsemalt selle artikkel 32 kohustab isikuandmete töötlejat rakendama isikuandmete töötlemise turvalisuse tagamiseks asjakohaseid tehnilisi ja korralduslikke meetmeid. Seejuures peab isikuandmete nii vastutav kui volitatud töötleja võtma arvesse teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid ning  isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke, samuti erineva tõenäosuse ja suurusega ohte füüsiliste isikute õigustele ja vabadustele. Vajaliku turvalisuse taseme hindamisel võetakse eelkõige arvesse isikuandmete töötlemisest tulenevaid ohte, eelkõige edastatavate, salvestatavate või muul viisil töödeldavate isikuandmete juhuslikku või ebaseaduslikku hävitamist, kaotsiminekut, muutmist ja loata avalikustamist või neile juurdepääsu.

Artikli kirjutamisel kasutatud allikas:

Hacked therapy centre’s ex-CEO gets 3-month suspended sentence | News | Yle Uutiset