Psykoterapiakeskus Vastaamo on toimintakertomuksiensa perusteella tiedostanut tietosuojan merkityksen jo vuosien ajan ja tehnyt erilaisia palveluihinsa liittyviä selvityksiä. Siitä huolimatta yrityksen tietojärjestelmiin tunkeuduttiin ja yrityksen asiakkaiden tietoja vuodettiin julkisuuteen.
Siihen, miten näin keskeinen tietoturvan osa olisi jäänyt laiminlyödyksi toimintakertomukset eivät kerro.
Tietosuojatoimikunta perustettiin 2017
Vuoden 2017 toimintakertomuksen mukaan yritykseen perustettiin tuolloin tietosuojatoimikunta ja nimitettiin uusi tietosuojavastaava ja lakiasioista vastaava johtaja. Samalla tietosuojan nykytilasta kerrotaan tehdyn analyysi.
Samana vuonna yrityksen toiminnanohjausjärjestelmä siirrettiin turvallisuusmääräykset täyttäviin tiloihin, siitä laadittiin omavalvontasuunnitelma ja se ilmoitettiin Valviran tietojärjestelmärekisteriin.
Tietosuojatoimikunnan kerrotaan toimintakertomuksessa tekevän vuodestaan yksityiskohtaisemman tietotilinpäätöksen.
Vuonna 2018 arvioitiin "korkeat riskit"
Vuoden 2018 toimintakertomuksen mukaan edellisenä vuonna perustettu toimikunta kokoontui kuudesti.
Yritys teki Lääkäriliiton ohjeiden mukaisen tietosuojaselvityksen, korkeiden riskien vaikutusten arvioinnin, potilasrekisterin tietosojaselosteen ja potilastietojen käsittelyn ja luovutuksen ohjeet.
Yrityksessä kerrotaan myös tehdyn tietoturvan ja tietosuojan tarkistuslista.
Nimesi itse tietoturvan riskiksi
Toimintakertomuksessa käydään lävitse yrityksen potentiaalisia riskejä, ja yhdeksi niistä on nimetty tietoturvariski.
Riski on käsitelty kummassakin toimintakertomuksessa täsmälleen samoin sanakääntein, joten ilmeisesti yrityksessä ei ainakaan julkisesti nähty tarpeelliseksi päivittää tilannekuvaa vuosien välillä.
– Asiakkaat odottavat psykoterapiapalveluilta ehdotonta luottamuksellisuutta, kohta alkaa.