Mehiläinen Länsi-Pohjan keskussairaala on lähettänyt Lapin hyvinvointialueella asiakkaalle kirjeen, jonka läpinäkyvästä ikkunasta näkyi myös kirjeen sisältämää tekstiä.
Logistiikkapäällikkö Hannu Niskanen Lapin hyvinvointialueelta kertoo, että lähetettävissä kirjeissä on automaattinen muotoilu, jossa teksti on aseteltu kirjepohjassa niin, että kirjekuoren ikkunasta ei tule näkyviin muuta tekstiä kuin saajan nimi ja osoite.
Nyt todennäköisesti kirjeen lähettänyt työntekijä on muuttanut tekstin automaattiasetuksia, jolloin kirjekuoren ikkunaan on näkyviin tullut mahdollisesti arkaluontoista tekstiä.
Sairaalasta kirjeet lähtevät sähköisesti e-kirjeinä Postille, joka laittaa ne paperisessa muodossa kirjekuoriin, mikäli asiakas on halunnut perinteisen paperipostin.
Niskanen sanoo, että asiakkaille e-kirjeitä lähettäville työntekijöille on nyt lähetetty muistutus, että automaattista muotoilua ei saa muuttaa.
Niskanen kertoo, että sairaalan tietohallinnossa vastaavia tapauksia on 13 viime vuoden ajalta tiedossa vain yksi.
Kyseessä on tietoturvaloukkaus
Apulaistietosuojavaltuutettu Annina Hautala Tietosuojavaltuutetun toimistosta sanoo, että heidän toimistoon on tullut yhteydenottoja joistakin vastaavista tapauksista. Vastuu tietojen salassa pitämisestä on niitä käsittelevillä organisaatioilla.
– Terveydenhuoltosektorin toimijoilla on lakisääteinen velvollisuus huolehtia henkilötietojen käsittelyn turvallisuudesta ja tähän kuuluu myös henkilötietojen huolellinen käsitelty siten, ettei niitä päädy ulkopuolisten saataville.
Jos muita kuin postilähetyksen perille toimittamiseksi tarpeellisia henkilötietoja on luettavissa kirjekuoren ulkopuolelta, voi kyseessä olla tietosuoja-asetuksessa tarkoitettu tietoturvaloukkaus.
– Jos näkyvissä on vielä ollut terveydentilaa kuvaavia tietoja, jotka kuuluvat erityisesti suojattaviin henkilötietoihin, niin tapahtunutta voidaan pitää vakavana asiana.
Vastaavat tapaukset harvinaisia
Tietosuojavaltuutetun tietoon on tullut vastaavia tapauksia, joissa kirjekuoren ikkunasta on näkynyt liikaa tietoja, sekä tilanteita, joissa on käytetty kirjekuorta, josta on näkynyt liian helposti läpi.
– Suhteellisen harvinaisia nämä ovat kyllä, Hautala sanoo.
Hän ei voi kommentoida yksittäistapauksia, mutta tunnistaa tilanteen yleisellä tasolla.
– On tilanteita, joissa esimerkiksi teknisistä syistä johtuen yksittäinen inhimillinen virhe on päässyt tapahtumaan.
Mikäli vastaava tapaus tulee tietosuojavaltuutetun toimistoon käsiteltäväksi, siellä selvitetään mitä on tapahtunut. Lisäksi selvitetään, onko organisaatio ryhtynyt toimenpiteisiin, joilla ihmisille aiheutuvia riskejä voidaan minimoida ja vastaavia tapahtumia jatkossa välttää.
Tietoturvaloukattu voi saada korvauksia
Tietosuojavaltuutetun toimistossa harkitaan tapauskohtaisesti asianmukaiset toimenpiteet, kuten se, määrätäänkö organisaatiolle hallinnollisia seuraamuksia.
Tietoturvaloukkauksen kohteeksi joutunut voi hakea korvauksia tapahtuneesta. Vahingonkorvausvaatimus tulee esittää rekisterinpitäjälle.