Helsingin käräjäoikeus aloitti torstaina psykoterapiakeskus Vastaamon ex-toimitusjohtaja Ville Tapiolle tietosuojarikoksesta luetun syytteen käsittelyn.
Syyttäjä Pasi Vainion mukaan Tapio oli joko tahallaan tai törkeästä huolimattomuudesta laiminlyönyt Vastaamon tietoturvan, tietosuojan ja yrityksen hallussaan pitämien henkilötietojen käsittelyn turvallisuuden.
Lopputuloksena kymmenien tuhansien asiakkaiden arkaluonteisia tietoja pääsi vuotamaan ulkopuolisille hakkerin iskettyä Vastaamon tietojärjestelmiin.
Syyttäjän mukaan Tapio oli yrityksen toimitusjohtajana viime kädessä vastuussa siitä, että tietojärjestelmät ja niiden suojaukset olisivat olleet riittävällä tasolle. Vainio kuvaili Tapion olleen ”syvällä” Vastaamon IT-asioissa.
Vastaamoon kohdistui tietomurto marraskuussa 2018 ja maaliskuussa 2019. Syyttäjän mukaan Tapio ja yhtiön it-osasto olivat välittömästi tietoisia jälkimmäisestä tietomurrosta. Syyttäjä esitti myös, että Tapio olisi pyrkinyt salaamaan tietomurrot viranomaisilta.
Vastaamon panostuksista tietoturvaan kertoi syyttäjän mukaan karua kieltä esimerkiksi se, että yrityksen toimintakertomuksissa järjestelmän kehittämiseen käytettiin vuosina 2016–2018 yhteensä noin 400 euroa. Lisäksi syyttäjä soimasi yrityksen palomuurien tilaa.
– Palomuuri ei kontrolloinut liikennettä palvelimelle millään tavalla, vaan se päästi kaiken liikenteen läpi, Vainio sanoi.
Syyttäjä ja Tapion puolustus olivat oikeudenkäynnissä yhtä mieltä lähinnä Tapion asemasta Vastaamon toimitusjohtajana.
Sen sijaan näkemykset erosivat merkittävästi siinä, mitä tuli Tapion asemaan tietoturvasta, tietosuojasta ja henkilötietojenkäsittelystä vastuussa olevana johtajana. Syyttäjän mukaan Tapio oli näistä vastuussa, mutta puolustus käytännössä sysäsi kaiken vastuun kahden Vastaamon IT-työntekijän harteille.
Syyttäjä teki jo aiemmin päätöksen olla syyttämättä heitä, mutta heitä kuullaan myöhemmin oikeudenkäynnissä todistajina.
Tapion asianajaja Liina Kokon mukaan IT-työntekijät jättivät Tapion pimentoon ja ryhtyivät myöhemmin syyllistämään häntä tapahtuneesta.
– He eivät kertoneet Ville Tapiolle murrosta ja siitä, että joku on sotkenut tietokannan ja siitä, että potilastietokantapalvelimelle oli jätetty kiristysviesti.
Syyllistäminen meni puolustuksen mukaan niin pitkälle, että toinen työntekijöistä toimitti poliisille itsensä ja Tapion välisiä, puolustuksen peukaloiduiksi väittämiä keskusteluja.
Tietomurron käytyä ilmi Tapio ehdotti ulkopuolisen asiantuntija-avun hankkimista, mutta IT-osaston työntekijät kieltäytyivät siitä. Tapion käsityksen mukaan IT-väki toimi Tapiota vastaan siksi, että he tiesivät murron johtuneen heidän omasta, ”järjettömästä virheestään”.
Työntekijät olivat avanneet Vastaamon palvelimelle julkisen tietoliikenneportin ja unohtaneet sen auki peräti puoleksitoista vuodeksi. Tietomurron tehnyt henkilö pääsi Vastaamon tietoihin käsiksi tämän portin kautta.
Oikeudenkäynnin tauolla syyttäjä Vainio kertoi syyttäjien vaativan Tapiolle vankeusrangaistusta, mutta hän ei ottanut kantaa rangaistuksen pituuteen. Kirjallisessa haastehakemuksessaan syyttäjät esittävät, että Tapio on tuomittava tuntuvaan sakkorangaistukseen tai ehdolliseen vankeusrangaistukseen.
Ville Tapion syytteen käsittely jatkuu aina maaliskuun loppuun asti. Oikeus käy sen aikana läpi huomattavan suuren määrän kirjallisia todisteita ja kuulee 19 todistajaa.
Poliisi on kertonut, että se epäilee Vastaamoon tehdyn tietomurron tekijäksi 25-vuotiasta Julius Kivimäkeä. Kivimäki vangittiin Länsi-Uudenmaan käräjäoikeudessa tiistaina. Syytteennoston määräpäivä on 18.10.2023.
