Psykoterapiakeskus Vastaamon tietomurto, jossa satojen ja ehkä jopa kymmenientuhansien terapia-asiakkaiden potilas- ja henkilötiedot on vuodettu verkkoon, on järkyttänyt etenkin meitä tietovuodon kohteeksi joutuneita. Hoitosuhteen yksityisyys ja luottamuksellisuus on yksi suurimmista luottamuksen alaisista asioista, ja se on nyt monen ihmisen osalta rikkoutunut. Tietovuodon seurauksena monet uhreista ovat saaneet myös kiristysviestejä. Tietovuoto ja sitä seurannut kiristys ovat rikollisia tekoja, ja toivottavaa on, että keskusrikospoliisi löytää tekijän tai tekijät, joiden uhreina ovat potilastietoja hallinnoinut yritys ja sen asiakkaat. Tulee myös selvittää, onko terapiayrityksen tietoturva ollut asianmukaisesti järjestetty. Tietovuodon uhrit tarvitsevat myös riittävästi tukea. 

Tapaus osoittaa, että emme ole yhteiskuntana riittävästi varautuneet kyberrikollisuuteen, kun näin suuri määrä ihmisiä joutuu alttiiksi identiteettivarkauksille ja potilastietojen vuotamiselle. Tämä poikkeuksellinen tietovuoto herättää monia kysymyksiä ja lainsäädännön muutostarpeiden pohdintaa etenkin tietosuojan suhteen. Kysymyksiä herää sekä henkilö- ja potilastietojen tietosuojasta että erityisesti henkilötunnusten tunnistekäytöstä. On välttämätöntä selvittää, onko lainsäädäntömme näiltä osin ajan tasalla sekä tietosuojan, tunnistautumisen että kiristyksen uhrien oikeuksien ja tuen osalta. Jokaisen suomalaisen rekisterinhaltijan velvollisuus ylläpitää lain edellyttämää suojaa tulee varmistaa myös valvomalla niitä riittävässä määrin. 

Sen lisäksi, että tulee varmistaa ja valvoa, että kaikilla potilastietoja säilyttävillä tahoilla on riittävä tietoturva, tulee myös pohtia, pitäisikö asiakkaalla olla enemmän valtaa päättää, mitä tietoja hänestä kirjataan tietoverkkoon. On myös tarpeen arvioida uudelleen, kuinka pitkään erilaisia potilastietoja pitää säilyttää ja voiko asiakas pyytää poistamaan esimerkiksi terapiassa terapeutille kerrottuja asioita. Nyt osa tiedoista säilytetään jopa vuosia henkilön kuoleman jälkeen. 

Tällä hetkellä henkilötunnus eli yksilön identiteettinumero riittää monissa yhteyksissä mm. Postissa, Patentti- ja rekisterihallituksessa, Digi- ja väestötietovirastossa sekä verkkokaupassa riittäväksi tunnistautumisen välineeksi. Satojen ja jopa tuhansien ihmisten henkilötunnusten paljastuminen verkossa pakottaa meidät pohtimaan henkilötunnuksen käytön kieltämistä tunnisteena ilman vahvaa tunnistautumista. Jokaisella kansalaisella pitäisi olla oikeus siihen, että heitä koskevia tietoja voi viranomaisten rekistereissä muuttaa ainoastaan vahvan tunnistautumisen kautta. Nyt esimerkiksi osoitteenmuutoksen voi tehdä ja henkilön voi ilmoittaa yrityksen vastuuhenkilöksi tämän tietämättä. Omien, viranomaisten rekistereissä olevien tietojen muuttamista ja luovuttamista koskevat pyynnöt ja kiellot pitäisi voida tehdä netissä ainoastaan vahvaa tunnistautumista hyödyntäen. 

Tällä hetkellä on mahdollista myös tehdä ostoksia netissä, hakea lainaa tai pikavippejä ja tilata erilaisia palveluita ilman vahvaa sähköistä tunnistautumista. Kaikenlainen luotollinen myynti, tilaaminen ja lainan sekä pikavippien ottaminen niin verkossa kuin muuallakin, jossa käytetään henkilötunnusta identifiointiin, tulee kieltää kokonaan. Sen sijaan tulisi aina edellyttää vahvaa tunnistautumista (mobiilivarmenne, pankin tunnukset tms.). Tällä hetkellä pelkän henkilötunnuksen varkaudella voidaan aiheuttaa ja on aiheutettu valtavia vahinkoja syyttömille ihmisille. Identiteettivarkaus tulee usein ilmi vasta siinä vaiheessa, kun uhri saa perintäkirjeitä liittyen ostoksiin, joita hän ei tiedä tehneensä, tai lainoihin, joita hän ei tiedä ottaneensa. Tämän jälkeen rikoksen uhri joutuu ottamaan yhteyttä laskuttajiin, tekemään rikosilmoituksen ja maksamaan omaehtoisen luottokiellon hankinnasta (joka ei silti täysin suojaa tietojen väärinkäytökseltä). Kun henkilötunnus on ammattirikollisen tiedossa, sitä usein käytetään useamman eri maksunvälittäjän ostoksissa, pikavipeissä ja lainoissa, jotka kaikki kasaantuvat uhrin nimiin. 

Tulee myös pohtia, tulisiko lainsäädäntöä muuttaa myös siltä osin, että perintätoimiston on osoitettava, että perintään menevä verkko-ostos, pikavippi tms. on tehty vahvan tunnistuksen kautta. Muuten se ei oikeuttaisi perimistä. Näin järjestelmästä tulisi automaattisesti itse itseään suojaava. Perintätoimistojen vastuun kasvaessa eivät ne enää voisi ottaa leväperäisesti toimineilta yrityksiltä toimeksiantoja, ja systeemi säätäisi siten itse itseään. 

Yhteiskunnan toimin tulee myös minimoida se haitta, jota tietomurron uhrille koituu. On kohtuutonta, että rikoksen uhrin pitää hakea erikseen luottokielto, rekisteröintikielto, osoitteenmuutoskielto ja osoitetietojen suojaus. Tästä aiheutuu myös kuluja, sillä ainakin luotonestokiellosta pitää maksaa. Luottokielto myös haittaa uhrin muuta elämää, ja se tulee tehdä aina kahden vuoden välein uudestaan, eikä tämä silti takaa, etteikö ostoksia tai lainoja voisi toisen nimissä tehdä. Luottokielto pitää voida hoitaa maksuttomana viranomaispalveluna. Luottokielto, rekisteröintikielto, osoitteenmuutoskielto ja osoitetietojen suojaus tulisi voida saada maksuttomasti samasta paikasta. 

Niin kauan kuin pelkän henkilötunnuksen tiedoin voi asianomaisen tietämättä tehdä monenlaisia toimia, tulee arvioida, tulisiko identiteettivarkauden uhrin voida vaihtaa henkilötunnusta jo ennen kuin uhrille on koitunut merkittävää vahinkoa. Henkilö, jonka henkilötunnus on varastettu, voi kokea olevansa turvassa ainoastaan, jos hänellä on uusi henkilötunnus. Tällöin jo vuotaneet tiedot eivät olisi loppuelämän riesa ja ongelma.