Uutiset

Virkamies tietovuodosta: Miksi THL ei käyttänyt anonyymia tietokantaa?

Tietosuojavaltuutettu Reijo Aarnio
kaipaa sanktioita, joita tietosuojarikkeiden yhteydessä voitaisiin kohdistaa yksittäisen työntekijän sijasta organisaatioihin.

Ensi keväästä alkaen Suomessakin sovelletaan EU:n uutta tietosuoja-asetusta. Aarnion mukaan sen seuraamusjärjestelmästä käydään kovaa keskustelua.

-Meillä on kaksi koulukuntaa. [Toisen mukaan] hallinnollisia sanktioita pitäisi voida kohdistaa myös julkishallinnon yksiköihin. Eri ministeriöt ja muut [vastaavat toimijat] sanovat, että ei pitäisi kohdistaa. Jos mitään terävöittävää toimivaltasäännöstä ei ole, on vaaraa että organisaatio pääsee kuin koira veräjästä. Toki ne joutuvat muuttamaan asioita ja katsomaan että vastaavia ongelmia ei enää tapahdu uudelleen, Aarnio perustelee.

-Toimivalta puuttua asioihin sekä porkkana ovat olemassa. Nyt puhutaan siitä, pitäisikö olla myös keppi. Edustan linjaa, jonka mukaan keppikin pitäisi olla.

Tyypillisesti kyse olisi kansallisista sanktioista, mutta tarvittaessa ylikansallisetkin keinot tulisivat kysymykseen.

-Virkamiesoikeudelliset seuraukset kohdistuvat aina tekijään eikä organisaatioon, mutta eduskuntahan sen viime kädessä päättää.

Terveyden ja hyvinvoinnin laitos tiedotti tiistaina, että inhimillisestä virheestä johtuneen tietovuodon seurauksena lähes 6000 henkilön nimi, henkilötunnus ja yksi laboratoriotulos ovat päätyneet julkiseen verkkoon. Laboratoriotulos koskee yksittäisen bakteerin mikrobilääkeresistenssiä eli sen kykyä vastustaa antibiootteja.

Tietovuodon takana on yksittäinen henkilö, joka oli laatimassa raportoinnissa käytettävää esitysmateriaalia. Tähän materiaaliin hän oli vahingossa käyttänyt ihmisten henkilötietoja sisältävää aineistoa, ja käytännössä tiedot olivat mukana graafisen kuvaajan tausta-aineistossa.

Esitys oli julki kahdessa esityksenjakopalvelussa viiden kuukauden ajan. THL kertoi lehdistötilaisuudessaan tiistaina, että verkosta esitys on ladattu viisi kertaa. Lataajan/lataajien henkilöllisyydestä ei ole tietoa, eikä THL yksilöi tarkemmin käytettyjä tietokoneohjelmia saati verkkopalveluita.

THL sai vihiä asiasta tietosuojavaltuutetun toimistosta, jonne asiasta oli vinkannut yksittäinen henkilö.

THL poisti välittömästi esityksen verkosta ja otti yhteyden internetin hakukoneiden ylläpitäjiin, jotta kaikki viittaukset materiaaliin poistuisivat.

-Kun tehdään tilastokaavio, työ sisältää eri vaiheita. Yhdessä aikaisessa vaiheessa olisi pitänyt poistaa henkilötiedot, mutta ne ovat jääneet sinne taustalle, kertoo THL:n terveysturvallisuusosaston johtaja, tutkimusprofessori Mika Salminen.

Hänen mukaansa tietojen mahdolliselta väärinkäyttäjältä vaaditaan “tiettyä ammattitaitoa”, jotta laboratoriotuloksen ymmärtäisi.

Salminen korostaa, että virheen tehnyt henkilö oli toimittamassa lakisääteisiä virkatehtäviään.

-Tieto, jota hän käsitteli, tulee meille tarttuvien tautien seurantatehtävän kautta. Tehtävä perustuu tartuntatautilakiin ja -asetukseen. Minkäänlaista tietomurtoa ei ollut, ja meille tulleet tiedot olivat viranomaisseurantaa, joka ei liity tutkimustoimintaamme.

Nimen ja henkilötunnuksen yhdistelmä on toki altis väärinkäytölle. THL:n tietoon ei väärinkäytöksiä ole tullut, mutta yhdessä Asiakastiedon kanssa se on omalla kustannuksellaan perustanut palvelun, jossa tietovuodon kohteeksi joutuneet henkilöt voivat tavallista tarkemmin seurata tietojensa käyttöä.

THL:n tilanteesta tekemä selvitys on parhaillaan tietosuojavaltuutetun toimiston analysoitavana. Mahdolliset jälkiseuraamukset selviävät myöhemmin.

Laitoksen käyttämiä ohjeistuksia on toki jo parannettu.

Tietosuojavaltuutettu Aarnio korostaa myös johdon vastuuta tilanteessa, jossa henkilöstölle hankitaan uusia teknisiä järjestelmiä, esimerkiksi tietokoneohjelmistoja.

-On johdon vastuulla, että riskiarvio ja koulutukset on tehty. Siksi sanktiojärjestelmä on huono: jos jotakin tapahtuu, aina syytetään työntekijäraukkaa.

THL:nkin tapauksesta Aarnio löytää selkeän laiminlyönnin.

-Miten joku menee tekemään esityksen tietokannasta, jossa aineistoa ei ole pseudonymisoitu (=tehty nimettömäksi)? Noin pitkälle on käytetty dataa, joka on tunnistettavissa, Aarnio ihmettelee.

Julkisia esityksiä varten voisi siis olla erillinen tietokanta, jossa data olisi esimerkiksi tyyppiä “Mieshenkilö, 45 vuotta”. Niinpä esityksiä laadittaessa ei joka kerta jouduttaisi uudestaan huolehtimaan tietosuojakysymyksistä.

-Jatkossa tietosuoja-asetus tulee erityisesti korostamaan tätä. Tämänkaltaisia suojatoimia, [englanniksi] privacy by default, pitää tehdä. Tämä tapaus on sellainen esimerkki, josta varmaankin keskustelemme THL:n johdon kanssa.

Aarnio esittää myös, että julkisyhteisöjen ja yritysten käyttämät ict-koulutukset voitaisiin sertifioida niiden laadun takaamiseksi.

Asiasanat

Uusimmat