Joensuulaisen miehen sähköpostissa odotti viime vuoden marraskuussa yllätys. If-vakuutusyhtiön lähettämässä viestissä oli ventovieraan ihmisen vakuutuksiin liittyvä asiakirja osoitteineen ja henkilötunnuksineen.
– Ajattelin ensin, että tämä on joku huijausviesti, mutta sitten tarkistin, että kyseinen ihminen oli oikeasti olemassa, mies sanoo.
Mies sai sittemmin samantyyppisiä viestejä vielä kuusi lisää. Yhteensä If lähetti hänelle kymmenen eri ihmisen henkilötiedot.
Yle on nähnyt miehen saamat viestit. Yle ei julkaise miehen nimeä tietolähteen suojelemiseksi.
Ilmoitus tietosuojavaltuutetulle
Joensuulaismies ilmoitti kaikista viesteistä tietosuojavaltuutetun toimistoon. Hän sai vastauksen, jossa kerrottiin, että kyse on tietoturvaloukkauksesta. Lisäksi häntä kehotettiin olemaan yhteydessä Ifiin.
Mies ei aluksi kokenut velvollisuudekseen ilmoittaa asiasta yhtiölle.
– Ei se minun tehtäväni ole Ifille ilmoitella, minne he ovat kenenkin henkilötietoja lähettäneet.
Hän oli kuitenkin maaliskuussa yhteydessä yhtiöön, josta vastattiin pian ja kerrottiin, että asia on hoidossa. Mies ehti saada yhteydenoton jälkeen vielä kaksi asiakirjoja sisältänyttä viestiä.
Hän ihmettelee, miksi useat yhteydenotot tietosuojavaltuutetulle eivät lopettaneet viestien tuloa.
– Jos tulee tuollaisia viestejä solkenaan, niin kyllä joku blokki pitäisi laittaa ihan välittömästi.
Inhimillinen virhe
Ifin mukaan virheviestien taustalla on inhimillinen virhe. Työntekijä oli syöttänyt väärän sähköpostiosoitteen järjestelmään, jota käytetään Ifille siirtyvien asiakkaiden muissa yhtiöissä olevien vakuutusten lopettamiseen.
Ifin lakiasiainjohtajan Rami Urhon mukaan järjestelmää on tarkoitus kehittää niin, että jatkossa tällainen virhe ei olisi mahdollinen.
Urhon mukaan tietoja ei ole virheen vuoksi päätynyt muille ulkopuolisille. Hänellä ei myöskään ole tiedossa muita vastaavia samasta syystä johtuvia tapauksia.
If on ilmoittanut tapauksesta tietosuojavaltuutetulle. Yhtiö aikoo ilmoittaa tietoturvaloukkauksista myös henkilöille, joiden tiedoista on kyse.
– Olemme parhaillaan kontaktoimassa ja informoimassa näitä asiakkaita, Urho sanoo.
Käsittely voi viedä vuoden
Tietosuojavaltuutetun toimistosta kerrotaan, että käsittelyyn tulee vuosittain yli 6 000 tietoturvaloukkausta. Tavoitekäsittelyaika on noin vuosi.
– Tämä asia on käsittelyssä, enkä voi kommentoida yksittäistapausta tässä vaiheessa, apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa sanoo joensuulaismiehen tapauksesta.
Toimistosta pyritään reagoimaan nopeasti, jos epäillään, että henkilötietoja on esimerkiksi vuotanut suurelle joukolle ihmisiä tai jos kyseessä ovat niin sanotut erityiset henkilötiedot.
Lain mukaan erityisiä henkilötietoja ovat esimerkiksi terveystiedot, seksuaalinen suuntautuminen tai poliittinen kanta, mutta ei henkilötunnus.
– Henkilötunnuksen päätyminen vääriin käsiin voi kuitenkin johtaa siihen, että henkilö joutuu identiteettivarkauden kohteeksi, Pihamaa sanoo.
Valtuutetulla rajalliset resurssit
Jos saa itselleen kuulumattoman viestin, jossa on henkilötietoja, olisi viranomaisten mukaan tärkeää ottaa ensin yhteyttä tiedon lähettäjään.
– Valvontaviranomainen ei ole se ensimmäinen kontaktipiste, vaan se on aina rekisterinpitäjä, Pihamaa sanoo.
Tietosuojavaltuutetulla ei hänen mukaansa ole resursseja toimia nopeasti jokaisessa tapauksessa.
Viestin saajan ei Pihamaan mukaan tarvitse pelätä joutuvansa itse epäillyksi väärinkäytöksistä, vaikka esimerkiksi avaa sähköpostin liitteenä tulleen asiakirjan. Tärkeintä on olla itse käyttämättä tai levittämättä tietoja eteenpäin ja tuhota ne mahdollisimman pian.
Vakuutusala perustuu luottamukseen
Tietovuoto on saanut joensuulaismiehen miettimään tarkemmin tietoturva-asioita.
– Aikaisemmin naureskelin ihmisten peloille tietoturvaloukkauksista. Tämän tapauksen jälkeen olen kuitenkin miettinyt, minne kaikkialle omiakin tietoja lähetellään.
Ifin Rami Urho vakuuttaa, että yhtiössä otetaan tietosuoja vakavasti.
– Vakuutusala perustuu luottamukseen. Se on oikeastaan kaikkein tärkein asia vakuutusyhtiölle.
