Psykoterapiakeskus Vastaamoon tehty poikkeuksellinen tietomurto on vertaansa vailla. Tekijät kohdistivat iskunsa häikäilemättömästi ihmisen herkimmälle alueelle – mielen ongelmiin.
Mielenterveysongelmat ovat arkipäiväistyneet vain osin. Syövästä on helpompi puhua julkisesti kuin masennuksesta, ahdistuksesta tai muista mielen sairauksista.
On hienoa, että niin moni itsekin uhriksi joutunut arkipäiväistää nimellään ja kasvoillaan mielenterveyden sairauksia. Kuka tahansa voi tarvita apua eikä siinä ole hävettävää.
Vastaamon tapaus osoittaa, että Suomessa kaikkien sote-palveluja tarjoavien tietosuojan tulisi kuulu a-luokkaan.
Laman aikaan 1990-luvulla työttömyydestä tuli niin monen arkea, että siitä alettiin kehdata puhua ääneen. Enää työttömyys ei ole häpeä.
Toivottavasti mielenterveys- ja jaksamisongelmista poistuu häpeän leima lopullisesti.
Yrityksen uhriutuminen ei herätä positiivisia tunteita
Monien julkinen esiintyminen kasvoillaan on myös vastaisku tietomurron tehneille ja niitä suunnitteleville. Helppoa rahaa ei ole jaossa, jos tietomurron tehneet näin ajattelivat.
Tietomurron tekijät eivät tunne suomalaista yhteiskuntaa – olivatpa he keitä tahansa. Sosiaalisen median aikana avautumisesta on tullut helpompaa.
Kuka tahansa saa halutessaan kanavan kertoa itsestään ja mielipiteistään. Nyt sitä on käytetty positiivisesti osoittamaan halveksuntaa tietomurron tehneille.
Myös Vastaamon toiminta näyttäytyy vastuuttomana. Asiakkaat saivat tiedon julkisuuden kautta ennen kuin heille tiedotettiin tietomurrosta. Ensimmäisissä viesteissään yritys uhriutui.
Yritys kertoi viime viikolla joutuneensa tietomurron ja kiristyksen uhriksi. Julkisuuteen mentiin yritys edellä. Tämä kertoo viestinnän ammattitaidottomuudesta.
Vastaamo on palkannut kriisiviestinnän hoitoon Tekirin, joka nousi viimeksi otsikoihin keskustan entisen puheenjohtajan viestintäkonsulttina. Kriisiviestintä tuskin pelastaa Vastaamon menetettyä mainetta.
Yritysjohto on pakoillut vastuutaan, ja sitä on syytetty empatian puutteesta tietomurron kohteeksi joutuneita potilaitaan kohtaan.
Mielenterveysongelmat ovat tuottoisaa liiketoimintaa
Vastaamon tietomurto herättää kysymyksen sote-alan yritysten yhteiskuntavastuusta. Yritys on kasvattanut vauhdilla liikevaihtoaan, työntekijöidensä määrää ja perustajat – mukaan lukien nyt irtisanottu toimitusjohtaja Ville Tapio ja Nina Tapio – ovat myyneet omistustaan yrityksestään viime vuonna sijoitusyhtiö Intera Parners Oy:lle isolla rahalla.
Kauppa on tehty sen jälkeen, kun yhtiöön on tehty tietomurto yhtiön ilmoituksen mukaan marraskuussa 2018. Vastaamon asiakastietojärjestelmän suojauksessa on ollut puute, jota hyödyntämällä rikolliset ovat päässeet käsiksi silloiseen asiakastietokantaan.
Mikäli tämä on ollut tiedossa ennen kaupan tekemistä, myyjät ovat pimittäneet olennaista tietoa ostajilta. Sijoitusyhtiö Intera Partnersin liiketoiminta on tuottanut 20 hengen voimin yli kolmen miljoonan tuloksen vuonna 2019 syyskuussa. Vastaamo teki viime vuonna tappiota, mutta kahtena edellisenä vuonna se teki yhteensä lähes 900 000 euron voitot.
Vastaamo on hakenut potilaita, joilla on varaa maksaa. Sen potilaista neljännes on saanut Kela-korvausta. Maksavia asiakkaita riittää, ja toisaalta kaikki palvelua tarvitsevat eivät täytä Kela-korvauksen kriteerejä.
Psykoterapiapalveluilla on enemmän kysyntää kuin tarjontaa, ja terapeuteista on pulaa.
A- ja b-luokan tietosuojaa sote-palveluissa
Tietomurron seurauksena on tullut ilmi, että sote-alan yrityksillä on a-luokan ja b-luokan tietosuoja asiakastietosuojan mukaan luokiteltuna. Oikea ratkaisu olisi keskittää kaikki terveys- ja sosiaalipalvelujen tiedot Kanta-palveluun.
Se palvelisi myös potilasta itseään, joka pääsisi omakannan kautta tietoihinsa käsiksi. Potilas ja palvelujen tarjoaja säästyisivät tiedon siirtojen yhteydessä valtuutusten tekemiseltä ja tiedot olisivat hoitavien tahojen käytössä.
Valviran mukaan Suomessa on noin 260 b-luokan tietojärjestelmässä olevaa sote-alan yritystä. Näiden yritysten valvonta perustuu omavalvontaan eli yritys itse ilmoittaa Valviralle mahdollisista häiriöistä.
Vastaamo on ilmoittanut yhdestä häiriöstä, joka ei johtanut mihinkään. Tietosuojan jako kahden kerroksen väkeen tulikin monille yllätyksenä. Yritysten tietosuojasta on paljon puhuttu etenkin EU:n yleisen tietosuoja-asetuksen gdpr:n tuotua tietosuojavelvoitteita yrityksille.
Vastaamon tapaus osoittaa, että Suomessa kaikkien sote-palveluja tarjoavien tietosuojan tulisi kuulua a-luokkaan. Tämä tarkoittaa myös Valviran resurssien lisäämistä – ja vauhdilla.