Psykoterapiakeskus Vastaamon tietomurto, jossa satojen ja ehkä jopa kymmenientuhansien terapia-asiakkaiden potilas- ja henkilötiedot on vuodettu verkkoon on järkyttänyt etenkin meitä tietovuodon kohteeksi joutuneita. Hoitosuhteen yksityisyys ja luottamuksellisuus on yksi suurimmista luottamuksen alaisista asioista ja se on nyt monen ihmisen osalta rikkoutunut. Tietovuodon seurauksena monet uhreista ovat saaneet myös kiristysviestejä. Tietovuoto ja sitä seurannut kiristys ovat rikollisia tekoja, ja toivottavaa on, että Keskusrikospoliisi löytää tekijän tai tekijät, joiden uhreina ovat potilastietoja hallinnoinut yritys ja sen asiakkaat. Tulee myös selvittää, onko terapiayrityksen tietoturva ollut asianmukaisesti järjestetty. 

Tapaus osoittaa, että emme ole yhteiskuntana riittävästi varautuneet kyberrikollisuuteen, kun näin suuri määrä ihmisiä joutuu alttiiksi identiteettivarkauksille ja potilastietojen vuotamiselle. Tämä poikkeuksellinen tietovuoto herättää monia kysymyksiä ja lainsäädännön muutostarpeita etenkin tietosuojaan liittyen. Kysymyksiä herää sekä henkilö- ja potilastietojen tietosuojaan liittyen että erityisesti henkilötunnusten tunnistekäyttöön liittyen. On välttämätöntä selvittää, onko lainsäädäntömme näiltä osin ajan tasalla sekä tietosuojan ja tunnistautumisen että kiristyksen uhrien oikeuksien ja tuen osalta. Jokaisen suomalaisen rekisterinhaltijan velvollisuus ylläpitää lain edellyttämää suojaa tulee varmistaa myös valvomalla niitä riittävässä määrin. 

Sen lisäksi, että pitää nyt varmistaa ja valvoa, että kaikilla potilastietoja säilyttävillä tahoilla on riittävä tietoturva, tulee myös pohtia, pitäisikö asiakkaalla olla enemmän valtaa päättää, mitä tietoja hänestä kirjataan tietoverkkoon. On myös tarpeen arvioida uudelleen, kuinka pitkään erilaisia potilastietoja pitää säilyttää ja voiko asiakas pyytää poistamaan esimerkiksi terapiassa terapeutille kerrottuja asioita. Nyt osa tiedoista säilytetään jopa vuosia henkilön kuoleman jälkeen. 

Tällä hetkellä henkilötunnus eli yksilön identiteettinumero riittää monissa yhteyksissä mm. Postissa, Patentti- ja rekisterihallituksessa, Digi- ja väestötietovirastossa sekä verkkokaupassa riittäväksi tunnistautumisen välineeksi. Satojen ja jopa tuhansien ihmisten henkilötunnusten paljastuminen verkossa pakottaa meidät pohtimaan henkilötunnuksen käytön kieltämistä tunnisteena ilman vahvaa tunnistautumista. Jokaisella kansalaisella pitäisi olla oikeus siihen, että heitä koskevia tietoja voi viranomaisten rekistereissä muuttaa ainoastaan vahvan tunnistautumisen kautta. Nyt esimerkiksi osoitteenmuutoksen voi tehdä ja henkilön voi ilmoittaa yrityksen vastuuhenkilöksi tämän tietämättä. Omien, viranomaisten rekistereissä olevien tietojen muuttamista ja luovuttamista koskevat pyynnöt ja kiellot pitäisi voida tehdä netissä ainoastaan vahvaa tunnistautumista hyödyntäen. 

Tällä hetkellä on mahdollista myös tehdä ostoksia netissä, hakea lainaa tai pikavippejä ja tilata erilaisia palveluita ilman vahvaa sähköistä tunnistautumista. Kaikenlainen luotollinen myynti, tilaaminen ja lainan sekä pikavippien ottaminen niin verkossa kuin muuallakin, jossa käytetään henkilötunnusta identifiointiin, tulee kieltää kokonaan. Sen sijaan tulee aina edellyttää vahvaa tunnistautumista (mobiilivarmenne, pankin tunnukset tms. kautta). Tällä hetkellä pelkän henkilötunnuksen varkaudella voidaan aiheuttaa ja on aiheutettu valtavia vahinkoja syyttömille ihmisille. Identiteettivarkaus tulee usein ilmi vasta siinä vaiheessa, kun uhri saa perintäkirjeitä liittyen ostoksiin, joita hän ei tiedä tehneensä, tai lainoihin, joita hän ei tiedä ottaneensa. Tämän jälkeen rikoksen uhri joutuu ottamaan yhteyttä laskuttajiin, tekemään rikosilmoituksen, maksamaan omaehtoisen luottokiellon hankinnasta (joka ei silti täysin suojaa tietojen väärinkäytökseltä). 

Ostoksen tekeminen esimerkiksi verkkokaupassa saattaa siis onnistua tietämällä ainoastaan ihmisen nimi ja henkilötunnus. Myös osoitetieto vaaditaan, mutta toimituksen voi valita muuhunkin osoitteeseen. Joissain tapauksissa tilauksen tekeminen onnistuu pelkkään pakettiautomaattiin ilman kotiosoitetta. Tekijä käyttää usein tilauksella omaa (keksittyä) sähköpostiosoitetta ja puhelinnumeroaan saaden tällöin noutoilmoituksen ja ensimmäisen laskun itselleen. Uhri yleensä saa tietoonsa tilauksen vasta, kun kotiin tulee luottosopimus, maksumuistutus tai perintäkirje. Tilaus on uhrin nimissä, joten maksuvastuu on lähtökohtaisesti uhrilla ja uhri joutuu selvittämään asiaa, että saa maksuvastuun pois itseltään. Kun henkilötunnus on ammattirikollisen tiedossa, sitä usein käytetään useamman eri maksunvälittäjän ostoksissa, pikavipeissä ja lainoissa, jotka kaikki kasaantuvat uhrin nimiin. 

Tulee myös pohtia, tulisiko lainsäädäntöä muuttaa myös siltä osin, että perintätoimiston on osoitettava, että perintään menevä verkko-ostos, pikavippi tms. on tehty vahvan tunnistuksen kautta. Muuten se ei oikeuttaisi perimistä. Näin järjestelmästä tulisi automaattisesti itse itseään suojaava. Perintätoimistojen vastuun kasvaessa eivät ne enää voisi ottaa leväperäisesti toimineilta yrityksiltä toimeksiantoja ja systeemi säätäisi siten itse itseään. 

Yhteiskunnan toimin tulee myös minimoida se haitta, jota tietomurron uhrille koituu. On kohtuutonta, että rikoksen uhrin pitää hakea erikseen luottokielto, rekisteröintikielto, osoitteenmuutoskielto ja osoitetietojen suojaus. Tästä aiheutuu myös kuluja, sillä ainakin luotonestokiellosta eli siitä, ettei hänen tietojaan käytetä rikollisiin tarkoituksiin, pitää maksaa. Luottokielto myös haittaa uhrin muuta elämää ja se tulee tehdä aina kahden vuoden välein uudestaan eikä tämä silti takaa, etteikö ostoksia tai lainoja voisi toisen nimissä tehdä. Luottokielto pitää voida hoitaa maksuttomana viranomaispalveluna. Luottokielto, rekisteröintikielto, osoitteenmuutoskielto ja osoitetietojen suojaus tulisi voida saada maksuttomasti samasta paikasta 

Niin kauan kun pelkän henkilötunnuksen tiedoin voi asianomaisen tietämättä tehdä monenlaisia toimia, tulisi identiteettivarkauden uhrin voida vaihtaa henkilötunnusta jo ennen kuin uhrille on koitunut merkittävää vahinkoa. Henkilö, jonka henkilötunnus on varastettu, voi kokea olevansa turvassa ainoastaan, jos hänellä on uusi henkilötunnus. Tällöin jo vuotaneet tiedot eivät olisi loppuelämän riesa ja ongelma.