Vastaamo.fi tietovuoto - keskustelu ja seuranta

Kai siinä totuuspohjaa on. Toki hieman erikoista kohkata siitä tässä vaiheessa. Toki unohtuu koodarit tässä kun ruvetaan jotain lukijoita metsästämään. Se kai tarkoitus onkin.
Siitähän poliisi voi rakentaa itseelleen yhden tulonlähteen, kun tätä kiristystoimintaa nyt on muutenkin liikkeelle. Niitä tietoja on käynyt katsomassa tämän kohun aikana varmasti kymmenet tuhannet ihmiset ja eri foorumeilla olevia viestejä varmaan toinen mokoma, joten kohteita kyllä löytyy.

"Hallussamme olevien logien mukaan olet avannut sivun x, jossa on ollut viesti y ja olet siten syyllistynyt salassapitorikokseen. Maksa 50€ tilille z, tai iskemme niin kovaa että koiraasikin sattuu. T: Poliisi.fi" :D
 
Se on selvää, mutta ei oikein mahdu tähän kuvioon sekään, jos poliisimies valehtelee tiedotustilaisuudessa toimittajalle ja yleisölle tällaisessa kysymyksessä. Kai tuolla on jotain totuuspohjaa oltava, tai sitten herra tutkinnanjohtaja kämmäsi.
Tulkintakysymyksiähän nämä taitaa aika pitkälle olla. Verrokkina esimerkiksi jos Postipate pistää vahingossa naapurin kirjeen laatikkoosi. Näet, että kirje ei ole sinulle osoitettu, mutta luet sen silti. Syyllistyt rikokseen.

Näitä potilastietoja tuskin kukaan alkaa kenellekään sähköpostiin lähettelemään, joten sinun pitää aktiivisesti etsiä vuotaneet tiedot ja tiedät, että ne ei ole sinun silmille tarkoitettu, vaikka ovatkin julkisesti saatavilla. Hyvin mahdollista, että syyllistyt rikokseen.
 
Ja tämähän ei välttämättä pidä paikkaansa. Esim. Ubuntu 16.04 LTS on tarjonnut korjauksia PHP haavoittuvuuksiin ainakin vielä tänä keväänä. Vaikka virallisesti PHP 5.x on jo aikaa sitten kuopattu. Muistaakseni Ubuntun LTS versioihin tarjotaan tietoturvapäivityksiä vähintään 5 vuotta.
Tässä Ubuntujen tukiajat.
1603631916758.png

 
Tulkintakysymyksiähän nämä taitaa aika pitkälle olla. Verrokkina esimerkiksi jos Postipate pistää vahingossa naapurin kirjeen laatikkoosi. Näet, että kirje ei ole sinulle osoitettu, mutta luet sen silti. Syyllistyt rikokseen.

Näitä potilastietoja tuskikin kukaan alkaa kenellekään sähköpostiin lähettelemään, joten sinun pitää aktiivisesti etsiä vuotaneet tiedot ja tiedät, että ne ei ole sinun silmille tarkoitettu, vaikka ovatkin julkisesti saatavilla. Hyvin mahdollista, että syyllistyt rikokseen.

Eiköhän nyt kaikki sen ymmärrä että jos tiedät lukevasi tavaraa joka ei ole sinulle tarkoitettu, niin mahdollisesti syyllistyt rikokseen. Tämä kuitenkaan ei estä psykoja lukemasta niitä. Normi ihminen jota ei voisi vähempää kiinnostaa ei lue niitä oli se rikos tai ei. Normaalia diipadaapaa taas.
 
Tälle itsekin naureskelin. Vähän sama kuin postilaatikosta tulisi kirje jonka lukemisesta syyllistyisi rikokseen. Joku jonne printtaa tiedot ja laittaa postilaatikosta sisään, niin kyllähän se Jonne siitä rikokseen syyllistyy mutta kirjeen vastaanottaja myös kun lukee sen? Eihän kukaan normaali ihminen edes voi tietää milloin mikäkin tieto on oikeaa salassapidettävää ja mikä tieto on jonkun Yliksen jonnen keksimä potilastarina. Mistä siis tietää lukeeko nyt jotain oikeaa salassa pidettävää tekstitiedostoa vai trollia? Eihän sitä voikaan tietää ellei lue omia tietojaan :D
No tämä selitys ei oikein mene läpi, jos lähtee jostain tor-verkosta ihan erikseen juuri näitä tietoja etsimään. Ja joskus ihmisen nyt vain voidaan vaatia/olettaa ymmärtävän joitain asioita ihan itse...
 
Halutessaan voi myös rajata yksittäisiä organisaatioita joiden tietoja ei halua että kanta-haulla löytyy. On tärkeää ymmärtää, että KANTA-kielto voi vaarantaa hätätilanteessa hoitosi merkittävästi. Olet helsinkiläinen turisti levillä laskettelemassa, saat paljubileistä vaarallisen bakteeritaudin ja menet tajuttomaksi. Riskitiedoissasi lukee että olet antibiootille allerginen, mutta Rovaniemellä päivystyksessä eivät tätä tietoa pääse katsomaan. Toki tiedot voi tarkistaa hätätilanteessa myös soittamalla mutta tässä menee aikaa.
Ainakin jos kieltää yksittäisiltä tahoilta pääsyn, niin Kannassa on kohta, jonka ruksittamalla hätätilanteessa kielletyilläkin tahoilla on pääsy tietoihin.
 
Tulkintakysymyksiähän nämä taitaa aika pitkälle olla. Verrokkina esimerkiksi jos Postipate pistää vahingossa naapurin kirjeen laatikkoosi, Näet, että kirje ei ole sinulle osoitettu, mutta luet sen silti. Syyllistyt rikokseen.

Näitä potilastietoja tuskikin kukaan alkaa kenellekään sähköpostiin lähettelemään, joten sinun pitää aktiivisesti etsiä vuotaneet tiedot ja tiedät, että ne ei ole sinun silmille tarkoitettu, vaikka ovatkin julkisesti saatavilla. Hyvin mahdollista, että syyllistyt rikokseen.
Näinhän se on, mutta ei siltikään oikein mahdu minun oikeustajuun että lukemalla jotain sisältöä internetissä voisi syyllistyä minkäänlaiseen rikokseen. Sitten jos sitä tietoa tallentaa ja/tai käyttää hyväksi jollakin tavalla, niin sitten tilanne muuttuu. Ja kuten sanottua, käisttäkseni noita on ollut postattuna myös eri foorumeille muiden viestien sekaan.

Kuvitellaanpa tilanne, että joku henkilö on ollut Vastaamon asiakkaana. Todennäköisesti kohun alettua hän haluaisi etsiä julkaistuja tietoja, jotta voisi varmistaa onko itse niissä mukana. Vaikka omia tietoja ei löytyisi, niin piina jatkuu kun selviää että tietoja on vuodettu enemmänkin ja nyt sitten tulee vielä poliisi päälle ja alkaa syyttelemään rikoksesta kun tämä henkilö on yrittänyt varmistaa ettei ole itse mukana. Tupla-ahdistus, jee!

Niiden tietojen lukeminen on moraalisesti arveluttavaa ja epäeettistä, mutta asia kiinnostaa silti lainopilliselta puolelta. Poliisilla ei ole mitään mahdollisuuksia selvittää tietoja lukeneita henkilöitä, eli tämä on tällaista hypoteettista höpinää, mutta silti.
 
Viimeksi muokattu:
Tutkinnan johtaja vastasi jossain määrin kaikkii muihin kysymyksiin, mutta kun kysyttiin, "onko lunnaita maksettu?" niin "ei oteta kantaa"
 
Viimeksi muokattu:
Kuvitellaanpa tilanne, että joku henkilö on ollut Vastaamon asiakkaana. Todennäkösiesti kohun alettua hän haluaisi etsiä julkaistuja tietoja, jotta voisi varmistaa onko itse niissä mukana. Vaikka omia tietoja ei löytyisi, niin piina jatkuu kun selviää että tietoja on vuodettu enemmänkin ja nyt sitten tulee vielä poliisi päälle ja alkaa syyttelemään rikoksesta kun tämä henkilö on yrittänyt varmistaa ettei ole itse mukana.

Vaikea uskoa että tällaisessa keississä poliisi syyttelee.
 
Vaikea uskoa että tällaisessa keississä poliisi syyttelee.
Tarkoitin syyttämistä julkisesti, kuten tutkinnanjohtaja juuri teki. Syytti melko suoraan rikoksesta kaikkia, jotka ovat niitä tietoja jossakin nähneet. Laki on myös yhdenvertainen, eli ei rikos muutu sen sallittavammaksi, vaikka epäilisit olevasi itse yksi uhreista.
 
Tarkoitin syyttämistä julkisesti, kuten tutkinnanjohtaja juuri teki. Syytti melko suoraan rikoksesta kaikkia, jotka ovat niitä tietoja jossakin nähneet. Laki on myös yhdenvertainen, eli ei rikos muutu sen sallittavammaksi, vaikka epäilisit olevasi itse yksi uhreista.

Siinäpähän syyttelee julkisesti. Ei siitä nyt kannata stressiä ottaa.
 
Onkohan asia ihan noin mitä annat ymmärtää? Kertomasi on ristiriidassa itse löytämieni tietojen kanssa. Katso esimerkiksi alta. Olen myös käynyt terapiassa ja terapeutti on tuhonnut kaikki yksityiskohtaiset tuntimuistiinpanot, kun terapia on päättynyt. Olen asian varmistanut häneltä.

HENKILÖTIETOJEN KÄSITTELYN TARKOITUS
Kasvun kausia tallentaa ja käsittelee henkilötietoja EU:n yleisen tietosuoja-asetuksen (GDPR 2016/679) sekä nykyisen Henkilötietolain (523/1999) mukaisesti. Asiakkaan kanssa käytyjä keskusteluja ei ole tarpeellista tallentaa tai referoida yksityiskohtaisesti.

REKISTERIN SUOJAUKSEN PERIAATTEET

MANUAALINEN AINEISTO

Manuaaliset tiedot säilytetään lukon takana olevissa tiloissa. Terapiassa kerätyt tiedot voidaan asiakkaan toiveen mukaan tuhota heti terapian päätyttyä tai ne voidaan säilyttää enintään vuoden ajan terapeutin hallussa, mikäli asiakas haluaa palata terapiaan uudelleen.

SÄHKÖINEN AINEISTO

Rekisterin käsittelyssä noudatetaan huolellisuutta ja tietojärjestelmien avulla käsiteltävät tiedot suojataan asianmukaisesti. Rekisterinpitäjä huolehtii siitä, että tallennettuja tietoja sekä palvelimien käyttöoikeuksia ja muita henkilötietojen turvallisuuden kannalta kriittisiä tietoja käsitellään luottamuksellisesti ja vain niiden työntekijöiden toimesta, joiden työnkuvaan se kuuluu. Asiakkaiden yhteystietoja tallentuu kotisivuille, mikäli asiakas lähettää yhteydenottopyynnön. Lisäksi asiakkaan nimi ja sähköposti ovat Ukko pro palvelun asiakasrekisterissä, jota kautta hoidetaan laskutus. Ukko prolla on oma henkilötietoselosteensa.


Eli oman käsitykseni mukaan laki ei edellytä tarkkojen keskusteluiden kirjaamista vuosikausiksi. Toki tuntimerkintä jokaisesta käynnistä tulee säilyttää pidempään. Tuntimerkintä voi olla typistetympi eikä sen tarvitse sisältää arkaluontoisia yksityiskohta.
Linkkaamasi terapeutti todennäköisesti tarkoittaa tässä manuaalisella materiaalilla muistiinpanoja, lomakkeita ynnä muita, joita tekee vastaanoton aikana. Niiden pohjalta tehdään kuitenkin varsinainen potilasasiakirjamerkintä, johon pätee säädös potilasasiakirjojen säilyttämisestä. Suoraan sanottuna en täysin ymmärrä tuota linkkaamasi lyhytterapeutin selostetta. Jää epäselväksi että tekeekö hän varsinaisia potilasasiakirjamerkintöjä ja jos tekee, niin mihin. Muistiinpanot ovat eri asia. Potilasasiakirjojen säilyttämisestä säädetään Sosiaali- ja terveysministeriön asetuksessa potilasasiakirjoista Sosiaali- ja terveysministeriön asetus… 298/2009 - Ajantasainen lainsäädäntö - FINLEX ® jonka piiriin luetaan myös yksityiset terveydenhuollon ammattihenkilöt. Lyhytterapia ei ole sama kuin psykoterapia. Sekin ehkä tätä eroa saattaa selittää. Kuitenkin on myös hyvä huomata että GDPR:n mukaiset oikeudet poistaa tietoja eivät koske potilastietoja. Terveydenhuolto ja tietosuoja
 
Eiköhän nyt kaikki sen ymmärrä että jos tiedät lukevasi tavaraa joka ei ole sinulle tarkoitettu, niin mahdollisesti syyllistyt rikokseen. Tämä kuitenkaan ei estä psykoja lukemasta niitä. Normi ihminen jota ei voisi vähempää kiinnostaa ei lue niitä oli se rikos tai ei. Normaalia diipadaapaa taas.
No enpä sanoisi noinkaan. Jos kertomuksia tulee esiin satunnaisilla sivuilla ja satut niitä lukemaan niin enpä usko että on rikollista. En tiedä mitä pykälää sovellettaisiin edes siinä tapauksessa että etsimällä etsit niitä. Levittäminen ja tallentaminen luultavasti ovat rikollista. Olisikin melkoinen homma saada kaikki tietoja katselleet tuomiolle.

Mitenkäs nämä pykälät menevät esim. lapo-kuvien kanssa? Eipä taida siinäkän pelkkä kuvan näkeminen olla rikollista? Olisi muuten vähän turhan kätevää lähetellä tälläista materiaalia vaikka poliitikoille ja sitten antaa ilmi. Jos siis pelkkä kuvan tai tekstin näkeminen/lukeminen olisi rikos.
 
No enpä sanoisi noinkaan. Jos kertomuksia tulee esiin satunnaisilla sivuilla ja satut niitä lukemaan niin enpä usko että on rikollista. En tiedä mitä pykälää sovellettaisiin edes siinä tapauksessa että etsimällä etsit niitä. Levittäminen ja tallentaminen luultavasti ovat rikollista. Olisikin melkoinen homma saada kaikki tietoja katselleet tuomiolle.

Mitenkäs nämä pykälät menevät esim. lapo-kuvien kanssa? Eipä taida siinäkän pelkkä kuvan näkeminen olla rikollista? Olisi muuten vähän turhan kätevää lähetellä tälläista materiaalia vaikka poliitikoille ja sitten antaa ilmi. Jos siis pelkkä kuvan tai tekstin näkeminen/lukeminen olisi rikos.

Mä sanoinkin "mahdollisesti syyllistyt rikokseen" sekä "jos tiedät lukevasi tavaraa joka ei ole sinulle tarkoitettu".
 
Linkkaamasi terapeutti todennäköisesti tarkoittaa tässä manuaalisella materiaalilla muistiinpanoja, lomakkeita ynnä muita, joita tekee vastaanoton aikana. Niiden pohjalta tehdään kuitenkin varsinainen potilasasiakirjamerkintä, johon pätee säädös potilasasiakirjojen säilyttämisestä. Suoraan sanottuna en täysin ymmärrä tuota linkkaamasi lyhytterapeutin selostetta. Jää epäselväksi että tekeekö hän varsinaisia potilasasiakirjamerkintöjä ja jos tekee, niin mihin. Muistiinpanot ovat eri asia. Potilasasiakirjojen säilyttämisestä säädetään Sosiaali- ja terveysministeriön asetuksessa potilasasiakirjoista Sosiaali- ja terveysministeriön asetus… 298/2009 - Ajantasainen lainsäädäntö - FINLEX ® jonka piiriin luetaan myös yksityiset terveydenhuollon ammattihenkilöt. Lyhytterapia ei ole sama kuin psykoterapia. Sekin ehkä tätä eroa saattaa selittää. Kuitenkin on myös hyvä huomata että GDPR:n mukaiset oikeudet poistaa tietoja eivät koske potilastietoja. Terveydenhuolto ja tietosuoja
Esim tässä tapauksessa henkilöllä ei edes ole muita kun sosiaalityöntekijän ammattinimike eli jos hän kutsuu itseään terapeutiksi niin se on ihan muuta kuin valviran valvomaa toimintaa jossa yllä mainittu laki potilastiedoista ei edes ole käytössä kuten tietosuojaselosteestakin näkee EDIT terapeutti ei ole siis suojattu nimike joten jokainen voi kutsua itseään terapeutiksi niin halutessaan
 
Mä sanoinkin "mahdollisesti syyllistyt rikokseen" sekä "jos tiedät lukevasi tavaraa joka ei ole sinulle tarkoitettu".

Ja taas tätä kaikin puolin hyödytöntä jankkaamista. Et varmaan ole juristi? Ennemmin uskon jotain oikeustieteen proffaa kuin näitä "musta tuntuu"-mutuja, millä ketjut nopsasti täyttyy.
 
Mä sanoinkin "mahdollisesti syyllistyt rikokseen" sekä "jos tiedät lukevasi tavaraa joka ei ole sinulle tarkoitettu".
Sanotaan sitten niin että on todella epätodennäköistä että tuossa syyllistyy rikokseen vaikka tietäisi että ne ei ole tarkoitettu sinun silmillesi. Kirjesalaisuus on sitten eri asia koska avaat materiaalia johon sinulla ei ole oikeutta ja tästä löytyy lakikin. Sama netissä eli vuotaja on rikollinen. Mutta odotellaan, täälläkin on useampikin myöntänyt että katsomassa on käyty.
 
Mistäs rikoksesta se syytti?
Ei mistään tietystä.

– Verkkoon on vuodettu salassa pidettävää tietoa, ei tee siitä julkista ja laillista lukea sen vuoksi, että se on sinne vuodettu. Käytännössä siihen voi syyllistyä myös rikokseen, sitä ei ole tarkoitettu julkiseksi sitä tietoa, eikä siitä julkista tule edes rikollisella paljastuksella, Leponen totesi tiedotustilaisuudessa.

No enpä sanoisi noinkaan. Jos kertomuksia tulee esiin satunnaisilla sivuilla ja satut niitä lukemaan niin enpä usko että on rikollista. En tiedä mitä pykälää sovellettaisiin edes siinä tapauksessa että etsimällä etsit niitä. Levittäminen ja tallentaminen luultavasti ovat rikollista. Olisikin melkoinen homma saada kaikki tietoja katselleet tuomiolle.

Mitenkäs nämä pykälät menevät esim. lapo-kuvien kanssa? Eipä taida siinäkän pelkkä kuvan näkeminen olla rikollista? Olisi muuten vähän turhan kätevää lähetellä tälläista materiaalia vaikka poliitikoille ja sitten antaa ilmi. Jos siis pelkkä kuvan tai tekstin näkeminen/lukeminen olisi rikos.
Sitä minäkin tuossa ajoin takaa. En ymmärrä millä kriteereillä pelkästään tekstisisällön näkeminen voisi automaattisesti tehdä lukijasta rikollisen? Sen kyllä ymmärrän, että tuolla tavalla halutaan antaa ymmärrettävän, jotta kaikki tavikset eivät niitä tietoja kävisi kaivelemassa, mutta se on eri asia.

Eikä niitä tietoja ole käsittääkseni tarvinnut liiemmin edes etsiä. Tekijä oli postannut ainakin yhdelle julkiselle foorumille suoran linkin sivulle, jossa oli keskusteluketju asiasta ja jossa oli myös linkki niihin vuodettuihin tietoihin. Tämän jälkeen yksittäisiä tietoja on melko varmasti postailtu muuallekin myös Tor-verkon ulkopuolelle.
 
Esim tässä tapauksessa henkilöllä ei edes ole muita kun sosiaalityöntekijän ammattinimike eli jos hän kutsuu itseään terapeutiksi niin se on ihan muuta kuin valviran valvomaa toimintaa jossa yllä mainittu laki potilastiedoista ei edes ole käytössä kuten tietosuojaselosteestakin näkee EDIT terapeutti ei ole siis suojattu nimike joten jokainen voi kutsua itseään terapeutiksi niin halutessaan
Näinhän se näyttää olevan. Ilmeisesti laissakaan ei tuosta lytterapeutin nimikkeestä säädetä mitään, joten sitä eivät koske nuo aiemmin mainitsemani säädökset.
 
Veikkampa että aika monessa potilastietoja sisältävässä organisaatiossa on tiuhaan istuttu alas ja varmistuttu tietoturvan pitävyydestä. Kuten joku kirjoitti, Vastaamolla mennyt sen verran hyvin potilasvirran suhteen ettei oltu "ehditty" seuraamaan tietoturvan tiiviyttä ja tukka putkella jauhettu laput silmillä plussatulosta nousukäyrää tuijottaen. Nyt tuli senkin edestä kunnon näpäytys. Tilanne samanlainen kuin se, että toitotetaan ottamaan varmuuskopioita ulkoiselle kovolle ja muutaman pvän päästä Henkilö X soittaa itkuisena kun kahvit läikkyny kannettavan päälle tuhoten hää ja muksukuvat vaikerrellen että ne tarvis saada takasin - siinä vaiheessa OIKEASTI tulee mietittyä että olisi kannattanut ottaa ne varmuuskopiot.
 
Linkkaamasi terapeutti todennäköisesti tarkoittaa tässä manuaalisella materiaalilla muistiinpanoja, lomakkeita ynnä muita, joita tekee vastaanoton aikana. Niiden pohjalta tehdään kuitenkin varsinainen potilasasiakirjamerkintä, johon pätee säädös potilasasiakirjojen säilyttämisestä. Suoraan sanottuna en täysin ymmärrä tuota linkkaamasi lyhytterapeutin selostetta. Jää epäselväksi että tekeekö hän varsinaisia potilasasiakirjamerkintöjä ja jos tekee, niin mihin. Muistiinpanot ovat eri asia. Potilasasiakirjojen säilyttämisestä säädetään Sosiaali- ja terveysministeriön asetuksessa potilasasiakirjoista Sosiaali- ja terveysministeriön asetus… 298/2009 - Ajantasainen lainsäädäntö - FINLEX ® jonka piiriin luetaan myös yksityiset terveydenhuollon ammattihenkilöt. Lyhytterapia ei ole sama kuin psykoterapia. Sekin ehkä tätä eroa saattaa selittää. Kuitenkin on myös hyvä huomata että GDPR:n mukaiset oikeudet poistaa tietoja eivät koske potilastietoja. Terveydenhuolto ja tietosuoja

Tässä pitää erottaa potilasasiakirjamerkintä ja tuntimuistiinpanot. Tuntimuistiinpanot voidaan hävittää. Potilasasiakirjamerkinnät pitää säilyttää. Potilasasiakirjamerkintöihin ei tarvitse (eikä GDPR huomioiden pitäisi) kirjoittaa yksityiskohtaisia keskusteluita. Ne voivat olla lyhyitä. Olen myös keskustellut asiasta aikoinaan terapiassa (psykodynaaminen).

On siis väärin antaa ymmärtää, että kaikki terapiassa tehdyt muistiinpanot pitää säilyttää. Yksityiskohtaisia keskusteluita ei tarvitse säilyttää, jotka vaarantavat pahiten asiakkaan tietovuodossa.

Kaikki muistiinpanot ja merkinnät pitäisi tehdä niin, että mahdollisimman vähän sieltä voi tunnistaa, kenestä on kyse (myös kolmannet osapuolet).
 
"– Kaikki toimenpiteet, joilla suojataan isompien vahinkojen syntyminen, tulevat periaatteessa korvattavaksi täysimääräisesti, sanoo tietosuojaan erikoistunut asianajaja Jukka Lång asianajotoimisto Dittmar & Indreniukselta."
Tarkoittaakohan tämä, että myös maksetuista kiristysrahoista voisi saada korvausta? Tulee päälle 8M€ kulut tuosta - ei taida kassa riittää.
Tää on kyllä mielenkiintoinen pointti, eli jos maksat ja kiristäjä ei julkaise tietojasi eli saat rahoille vastinetta niin voiko Vastaamo joutua korvaamaan aiheutuneet kulut jos sen tietoturvan tason katsotaan olleen riittämätön tälläistä potilasrekisteriä varten
 
Tässä pitää erottaa potilasasiakirjamerkintä ja tuntimuistiinpanot. Tuntimuistiinpanot voidaan hävittää. Potilasasiakirjamerkinnät pitää säilyttää. Potilasasiakirjamerkintöihin ei tarvitse (eikä GDPR humioiden pitäisi) kirjoittaa yksityiskohtaisia keskusteluita. Ne voivat olla lyhyitä. Olen myös keskustellut asiasta aikoinaan terapiassa (psykodynaaminen).

On siis väärin antaa ymmärtää, että kaikki terapiassa tehdyt muistiinpanot pitää säilyttää. Yksityiskohtaisia keskusteluita ei tarvitse säilyttää, jotka vaarantavat pahiten asiakkaan tietovuodossa.

Kaikki muistiinpanot pitäisi tehdä niin, että mahdollisimman vähän sieltä voi tunnistaa, kenestä on kyse (myös kolmannet osapuolet).
En tietääkseni ole niin väittänytkään että kaikki muistiinpanot pitäisi säilyttää. Jos viittaat tuohon aiempaan viestiini jota lainasit niin tarkoitin sitä, että se ruutuvihko voi olla se potilastiedon säilytyspaikka jossa on se potilastietomerkintä. Tietääkseni mikään laki ei vaadi yksittäisiä terveydenhuollon ammattilaisia pitämään sähköisiä potilasasiakirjamerkintöjä, koska se monimutkaistaa asioita paljon. Tietääkseni yksittäisten psykoterapeuttien toimialalla se ruutuvihko potilasasiakirjana on edelleen varsin yleinen tapa tehdä potilasasiakirjamerkintöjä. GDPR ei päde niiden sisältöön, vaan siitä säädetään laissa Laki potilaan asemasta ja oikeuksista 785/1992 - Ajantasainen lainsäädäntö - FINLEX ®, jonka mukaan "Terveydenhuollon ammattihenkilön tulee merkitä potilasasiakirjoihin potilaan hoidon järjestämisen, suunnittelun, toteuttamisen ja seurannan turvaamiseksi tarpeelliset tiedot." Olen samaa mieltä että mitään vuoropuheluja yms sinne ei tarvitse kirjoittaa. Olisi useampikin tarina näistä epäasiallisista potilastiedoista. On hyvä kuitenkin muistaa, että merkinnät ovat niin potilaan- kuin työntekijän oikeusturvan kannalta kriittisiä. Se mitä ei ole kirjattu, sitä ei ole tehty - periaate mitä terveydenhuollon ammattilaisille opetetaan kirjaamiseen liittyen.
 
Olen samaa mieltä että mitään vuoropuheluja yms sinne ei tarvitse kirjoittaa. Olisi useampikin tarina näistä epäasiallisista potilastiedoista. On hyvä kuitenkin muistaa, että merkinnät ovat niin potilaan- kuin työntekijän oikeusturvan kannalta kriittisiä. Se mitä ei ole kirjattu, sitä ei ole tehty - periaate mitä terveydenhuollon ammattilaisille opetetaan kirjaamiseen liittyen.

Jep! Alalla ei selvästi monikaan ole vielä tajunnut, että pitäisi kirjoittaa asiat tavalla, että on riittävät tiedot prosessin / päätöksen tueksi. Ylimääräinen lässytys asiakkaan muusta elämästä ja sivullisista jätetään pois. Elämänkerrat on sitten erikseen.
 
Viimeksi muokattu:
Näinhän se on, mutta ei siltikään oikein mahdu minun oikeustajuun että lukemalla jotain sisältöä internetissä voisi syyllistyä minkäänlaiseen rikokseen. Sitten jos sitä tietoa tallentaa ja/tai käyttää hyväksi jollakin tavalla, niin sitten tilanne muuttuu. Ja kuten sanottua, käisttäkseni noita on ollut postattuna myös eri foorumeille muiden viestien sekaan.
Itse ajattelen tuon rikokseen syyllistymisen siten, että vaikka vahingossa jostain foorumikeskustelujen seasta tälläistä potilaskertomusta lukisitkin, niin siinä kohtaa kun itse tajuat mistä materiaalista on kyse ja se ei ole sinun silmille tarkoitettua, niin jos siitä huolimatta jatkat lukemista, kallistuu vaaka aavistuksen enemmän rikoksen puolelle. (tätähän ei tietenkään kukaan voi todentaa, luitko kokonaan vai et, mutta itselläni raja menee tuossa kohtaa)

Mitä tallentamiseen tulee, niin jos kyse olisi tekijänoikeuden alaisesta materiaalista, niin jo selaimen cacheen tallentunut versio olisi laiton kopio :D

Niiden tietojen lukeminen on moraalisesti arveluttavaa ja epäeettistä, mutta asia kiinnostaa silti lainopilliselta puolelta. Poliisilla ei ole mitään mahdollisuuksia selvittää tietoja lukeneita henkilöitä, eli tämä on tällaista hypoteettista höpinää, mutta silti.
Amen! Joiltakin 7-päivää lehden tilaajilta nyt voisi tuollaista uteliaisuutta odottaa, että lähtee erikseen vuodettua dataa etsimään, mutta ei normaalilla ihmisellä pitäisi tulla mitään tarvetta tämän materiaalin lukemiseen.
 
Ilmeisesti se aiemmin uutisoitu 10GB tiedosto on tosiaan sisältänyt käyttäjädataa ja osia sen sisällöstä on myös julkaistu:


Jos pitäisi arvata, niin sanoisin että sen julkaisu oli hyökkääjältä tosiaan vahinko. Aika amatöörimäinen tapaus. Toivottavasti kämmejä on tilillä enemmänkin ja jää niiden vuoksi kiinni.
 
En tietääkseni ole niin väittänytkään että kaikki muistiinpanot pitäisi säilyttää. Jos viittaat tuohon aiempaan viestiini jota lainasit niin tarkoitin sitä, että se ruutuvihko voi olla se potilastiedon säilytyspaikka jossa on se potilastietomerkintä. Tietääkseni mikään laki ei vaadi yksittäisiä terveydenhuollon ammattilaisia pitämään sähköisiä potilasasiakirjamerkintöjä, koska se monimutkaistaa asioita paljon. Tietääkseni yksittäisten psykoterapeuttien toimialalla se ruutuvihko potilasasiakirjana on edelleen varsin yleinen tapa tehdä potilasasiakirjamerkintöjä. GDPR ei päde niiden sisältöön, vaan siitä säädetään laissa Laki potilaan asemasta ja oikeuksista 785/1992 - Ajantasainen lainsäädäntö - FINLEX ®, jonka mukaan "Terveydenhuollon ammattihenkilön tulee merkitä potilasasiakirjoihin potilaan hoidon järjestämisen, suunnittelun, toteuttamisen ja seurannan turvaamiseksi tarpeelliset tiedot." Olen samaa mieltä että mitään vuoropuheluja yms sinne ei tarvitse kirjoittaa. Olisi useampikin tarina näistä epäasiallisista potilastiedoista. On hyvä kuitenkin muistaa, että merkinnät ovat niin potilaan- kuin työntekijän oikeusturvan kannalta kriittisiä. Se mitä ei ole kirjattu, sitä ei ole tehty - periaate mitä terveydenhuollon ammattilaisille opetetaan kirjaamiseen liittyen.
Tämä on nyt alkanut tässä ihmetyttämään, että onko GDPR:ssä oikeasti pykälät, että sitä ei sovelleta potilasasiakirjoihin, vai onko tämä jotain STM:n "ykstyistä" ajattelua? Nopealla haulla tulee paljon tuloksia Briteistä, joiden perusteella GDPR kyllä kattaa potilasasiakirjat.
 
Ilmeisesti se aiemmin uutisoitu 10GB tiedosto on tosiaan sisältänyt käyttäjädataa ja osia sen sisällöstä on myös julkaistu:


Jos pitäisi arvata, niin sanoisin että sen julkaisu oli hyökkääjältä tosiaan vahinko. Aika amatöörimäinen tapaus.
Veikkaisin vahingon ja syötin välillä aikalailla 50:50. Tietää että tuolla saa tutkinnan kiinnittämään katseensa selvittää mistä tuli. Ja mikä sen tehokkaampaa ajan hukkaamista kuin et siellä olikin joku Järvenpääläisen mummon zombikone bottiarmeijan suojassa hoitaen tiedoston jakamista hetken. Ja moniko sen tiedoston lopulta sai ladattua ja oiiko edes oikeaa tietoa vai tahallista väärennettyä.
 
No tämä selitys ei oikein mene läpi, jos lähtee jostain tor-verkosta ihan erikseen juuri näitä tietoja etsimään. Ja joskus ihmisen nyt vain voidaan vaatia/olettaa ymmärtävän joitain asioita ihan itse...

Miten ihmeessä voi päätellä onko lähtenyt "ihan erikseen tietoja etsimään"? Pointtini lähinnä oli se, että jos menee vaikka torilaudalle, ja näkee jonkun postanneet jonkun potilaskertomuksen sinne, niin syyllistyykö rikokseen? Eihän siinä olisi mitään järkeä. Syyllistyikö ylilaudan lankaa lukeneet rikokseen myös kun se ransom_man lanka ehti olla sen 2h siellä? Kuulostaa oikeasti naurettavalta.
 
Miten ihmeessä voi päätellä onko lähtenyt "ihan erikseen tietoja etsimään"? Pointtini lähinnä oli se, että jos menee vaikka torilaudalle, ja näkee jonkun postanneet jonkun potilaskertomuksen sinne, niin syyllistyykö rikokseen? Eihän siinä olisi mitään järkeä. Syyllistyikö ylilaudan lankaa lukeneet rikokseen myös kun se ransom_man lanka ehti olla sen 2h siellä? Kuulostaa oikeasti naurettavalta.
Ei minun sitä tarvitse miettiä. Se varmasti selvitetään sitten jos/kun asiaa käsitellään oikeudessa. En huolestuisi, jos on nähnyt vahingossa, mutta en menisi ihan hirveästi myöskään huvikseni tonkimaan.
 
Tämä on nyt alkanut tässä ihmetyttämään, että onko GDPR:ssä oikeasti pykälät, että sitä ei sovelleta potilasasiakirjoihin, vai onko tämä jotain STM:n "ykstyistä" ajattelua? Nopealla haulla tulee paljon tuloksia Briteistä, joiden perusteella GDPR kyllä kattaa potilasasiakirjat.
En osaa tästä tämän tarkemmin sanoa. Kun haluat poistaa tietojasi Omasta työstäni tiedän tapauksen, jossa kuolleen potilaan iäkäs potilas pyysi GDPR:ään vedoten kaikki tiedot sähköisenä terveydenhuollon isosta organisaatiosta. Oli mm satoja sivuja paperisina arkistossa. Tietosuojavaltuutetun kannanotto oli, että ne säädökset joissa tämä tietojen toimittamisvelvoite on, ei päde potilasasiakirjoihin.

Edit: Virkistelin muistiani taas. Omaiset tätä asiaa hoitivat iäkkään potilaan puolesta.
 
Viimeksi muokattu:
Ilmeisesti se aiemmin uutisoitu 10GB tiedosto on tosiaan sisältänyt käyttäjädataa ja osia sen sisällöstä on myös julkaistu:


Jos pitäisi arvata, niin sanoisin että sen julkaisu oli hyökkääjältä tosiaan vahinko. Aika amatöörimäinen tapaus. Toivottavasti kämmejä on tilillä enemmänkin ja jää niiden vuoksi kiinni.

En mä voi sitäkään käsittää, miten voi 10GB vahingossa julkaista. Eikös se pidä eka uploadata jonnekin, että sen saa jakoon? Mutta em onneksi olekaan netadmin superuser
 
Veikkaisin vahingon ja syötin välillä aikalailla 50:50. Tietää että tuolla saa tutkinnan kiinnittämään katseensa selvittää mistä tuli. Ja mikä sen tehokkaampaa ajan hukkaamista kuin et siellä olikin joku Järvenpääläisen mummon zombikone bottiarmeijan suojassa hoitaen tiedoston jakamista hetken. Ja moniko sen tiedoston lopulta sai ladattua ja oiiko edes oikeaa tietoa vai tahallista väärennettyä.

Puhtaasti spelukaatiota: Tulee mieleen sekin vaihtoehto että murtaja tajusi ettei 40 BTC:tä tule joten heitti paketin jakoon Järvenpään mummon zombikoneesta, whoopsie, enjoy big tar! Nyt joku toinen rikollinen on saattanut ladata sen ja alkanut kiristää niitä yksittäisiä tiedostopaketissa olleita henkilöitä (tähän ei välttämättä ollut alkuperäisellä murtajalla motivaatiota, 40 BTC vs. satunnaiset 200 euroa). Edellä kuvatussa tilanteessa alkuperäisen murtajan kannattaisi ehdottomasti kertoa olevansa näiden pikkukiristysten takana, se että poliisi ja valkohatut juoksee pikkukiristäjän perässä pelaa mukavasti aikaa omaan pussiin hautautua parempaan piiloon.
 
Viimeksi muokattu:
Ei minun sitä tarvitse miettiä. Se varmasti selvitetään sitten jos/kun asiaa käsitellään oikeudessa. En huolestuisi, jos on nähnyt vahingossa, mutta en menisi ihan hirveästi myöskään huvikseni tonkimaan.

Jos oikeasti väität, että se olisi rikos lukea noita tekstejä, niin kyllähän sinun tarvitsee miettiä tuota asiaa? Tuollaista tuskin tullaa selvittelemään oikeudessa, koska näyttäisi siltä, että se ei ole rikollista tämän hetkisten tietojen perusteella.
 
Mitä tallentamiseen tulee, niin jos kyse olisi tekijänoikeuden alaisesta materiaalista, niin jo selaimen cacheen tallentunut versio olisi laiton kopio :D
Tor-verkkoa käytetään käsittääkseni erillisellä sovelluksella, joka ei talleta mitään paikalliseen cacheen. Selain ja koko verkko on suunniteltu alusta lähtien sellaiseksi, että rikolliset tuntevat olonsa kotoisaksi. Tällaisten tapausten jälkeen sitä miettii väkisinkin, että onko oikeasti tarpeellista antaa tuollaisen verkon toimia ilman mitään seurantaa? Aina välillä kuulee sanottavan, että Tor-verkkoa voi käyttää myös jos on huolestunut omasta yksityisyydestään, joka varmasti pitää paikkaansa, mutta ei kai tuolla oikeasti ole siltikään suuremmassa mittakaavassa mitään muuta virkaa kuin toimia kanavana kaikenlaiselle hämärätoiminnalle.

Ei minun sitä tarvitse miettiä. Se varmasti selvitetään sitten jos/kun asiaa käsitellään oikeudessa. En huolestuisi, jos on nähnyt vahingossa, mutta en menisi ihan hirveästi myöskään huvikseni tonkimaan.
Tuskinpa tuosta on kukaan oikeuteen päätymässä. Ei poliisilla ole keinoja selvittää kuka fyysinen henkilö on vieraillut jollakin Tor-verkon sivulla x, saati että se tässä vaiheessa edes kiinnostaisi, kun kaikki resurssit ja keinot on kiinnitetty kiristäjän etsimiseen.

Se on sitten eri asia, että missä niitä tietoja alkaa näkymään jatkossa ja miten tämä kuvio kehittyy.
En mä voi sitäkään käsittää, miten voi 10GB vahingossa julkaista. Eikös se pidä eka uploadata jonnekin, että sen saa jakoon? Mutta em onneksi olekaan netadmin superuser
Veikkaan että kaikki datat ovat olleet koko ajan samalla palvelimella. Oli vaan varmaan kopioinut vahingossa yhden tiedoston väärään hakemistoon. Ei se muuta vaadi.
 
Tor-verkkoa käytetään käsittääkseni erillisellä sovelluksella, joka ei talleta mitään paikalliseen cacheen. Selain ja koko verkko on suunniteltu alusta lähtien sellaiseksi, että rikolliset tuntevat olonsa kotoisaksi. Tällaisten tapausten jälkeen sitä miettii väkisinkin, että onko oikeasti tarpeellista antaa tuollaisen verkon toimia ilman mitään seurantaa? Aina välillä kuulee sanottavan, että Tor-verkkoa voi käyttää myös jos on huolestunut omasta yksityisyydestään, joka varmasti pitää paikkaansa, mutta ei kai tuolla oikeasti ole siltikään suuremmassa mittakaavassa mitään muuta virkaa kuin toimia kanavana kaikenlaiselle hämärätoiminnalle.
No ainoa tapa estää tuota olisi kai kriminalisoida minkään oman verkon pyörittäminen. Tuohan perustuu täysin siihen, että data kiertää vain ympäriämpäri käyttäjien tietokoneiden kautta. Sinällähän se tor-verkko ei ole mitenkään erillinen vaan vain kerros internetin päällä.
 
No ainoa tapa estää tuota olisi kai kriminalisoida minkään oman verkon pyörittäminen. Tuohan perustuu täysin siihen, että data kiertää vain ympäriämpäri käyttäjien tietokoneiden kautta. Sinällähän se tor-verkko ei ole mitenkään erillinen vaan vain kerros internetin päällä.
Joo, tiedän kyllä tämän. Toinen vaihtoehto olisi mahdollistaa merkittävästi nykyistä laajempi valtiollinen elektroninen tiedustelutoiminta. En ole kummankaan vaihtoehdon kannalla, mutta eiköhän tämä tapaus taas laita sitäkin keskustelua uudestaan tulille.
 
Ei todellakaan ole mikään rikos lukea noita vuodettuja tietoja. Ainoat läheltä liippaavat rikokset ovat viestintäsalaisuuden loukkaus (vuodetut tiedot eivät ole viestejä, ei voi soveltaa) ja yksityiselämää loukkaava tiedon levittäminen (edellyttää tietojen julkaisua isossa skaalassa, edes se ei ole rikos jos kerrot tiedot vaikka kaverille).

Todennäköisesti KRP puhuu paskaa siksi, että osa ihmisistä säikähtää eikä lähde näitä tietoja lukemaan.
 
Jos vain "törmäät" tietoihin jotka on ilmiselvästi varastettu, niin seuraavat ovat rikoksia:
- Kerrot jollekin toiselle henkilölle lukemastasi sisällöstä
- Käytät henkilötietoja johonkin joskus myöhemmin (vaikka ihan vain ulkomuistista)
- Otat ruutukaappauksen
- Tallennat tiedot talteen muulla tavoin

Seuraava ei ole rikos:
- Suljet selaimen ja olet hiljaa

Myöskin, kun lataat tälläisen ZIP yms tiedoston, se on heti rikos. (tiedät ennen lautasta mitä se sisältää, ei se oikein vahingossakaan lähde latautumaan)
 
Jos vain "törmäät" tietoihin jotka on ilmiselvästi varastettu, niin seuraavat ovat rikoksia:
- Kerrot jollekin toiselle henkilölle lukemastasi sisällöstä
- Käytät henkilötietoja johonkin joskus myöhemmin (vaikka ihan vain ulkomuistista)
- Otat ruutukaappauksen
- Tallennat tiedot talteen muulla tavoin

Seuraava ei ole rikos:
- Suljet selaimen ja olet hiljaa

Myöskin, kun lataat tälläisen ZIP yms tiedoston, se on heti rikos. (tiedät ennen lautasta mitä se sisältää, ei se oikein vahingossakaan lähde latautumaan)
Jos tietoa ei levitä, niin mikä rikos on ottaa data talteen? En yhtään epäile etteikö siitä yritettäisi viedä oikeuteen, mutta mikä laki siihen koitetaan venyttää?
 
Jos vain "törmäät" tietoihin jotka on ilmiselvästi varastettu, niin seuraavat ovat rikoksia:
- Kerrot jollekin toiselle henkilölle lukemastasi sisällöstä
- Käytät henkilötietoja johonkin joskus myöhemmin (vaikka ihan vain ulkomuistista)
- Otat ruutukaappauksen
- Tallennat tiedot talteen muulla tavoin

Seuraava ei ole rikos:
- Suljet selaimen ja olet hiljaa

Myöskin, kun lataat tälläisen ZIP yms tiedoston, se on heti rikos. (tiedät ennen lautasta mitä se sisältää, ei se oikein vahingossakaan lähde latautumaan)

Onko lähteitä väittämällesi?

"- Kerrot jollekin toiselle henkilölle lukemastasi sisällöstä"

Tuohan riippuu mitä tarkalleen ottaen kertoo. Jos kertoo ympäripyöreästi onko rikos?

"Myöskin, kun lataat tälläisen ZIP yms tiedoston, se on heti rikos. (tiedät ennen lautasta mitä se sisältää, ei se oikein vahingossakaan lähde latautumaan)"

Mihin rikokseen syyllistyy kun lataa zip tiedoston? Onko merkitystä osaako epäillä kansion sisältöä?
Ei ainakaan levitykseen koska tällöin ei levitä tietoa (olettaen että ei ole kyseessä torrentin lataus, jolloin samalla levittää)
 
Missä vaiheessa niitä kiristysviestejä muuten alettiin lähettämään? Joskus eilen alkuillasta lähtien kaiketi?

Pohdiskelin vaan, että mikä on tapahtumien aikaikkuna ennen kuin on odotettavissa että kiristäjä julkaisee lisää tietoja? Jos lunnaiden maksuun annettu raja oli 2+2 vrk, niin tietoja alkanee pullahdella julkisuuteen mahdollisesti loppuviikosta, olettaen että kiristäjä toimii ilmoittamallaan tavalla. En tosin olisi yllättynyt, vaikka tämä julkaisisi koko paketin kerralla riippumatta siitä onko joku maksanut lunnaita vai ei. Siinä on yksi merkittävä syy muiden lisäksi olla maksamatta, mutta helppohan se on toisaalta sanoa näin sivusta.

Jos virkavalta ehtisi ennen tuota saamaan tekijän/tekijät kiinni, niin voisi olla vielä laiha mahdollisuus välttyä suuremmalta katastrofilta, mutta aika epätoivoiselta tehtävältä kuulostaa tällä aikataululla.
 
Missä vaiheessa niitä kiristysviestejä muuten alettiin lähettämään? Joskus eilen alkuillasta lähtien kaiketi?

Pohdiskelin vaan, että mikä on tapahtumien aikaikkuna ennen kuin on odotettavissa että kiristäjä julkaisee lisää tietoja? Jos lunnaiden maksuun annettu raja oli 2+2 vrk, niin tietoja alkanee pullahdella julkisuuteen mahdollisesti loppuviikosta, olettaen että kiristäjä toimii ilmoittamallaan tavalla.

Jos virkavalta ehtisi ennen tuota saamaan tekijän/tekijät kiinni, niin voisi olla vielä laiha mahdollisuus välttyä suuremmalta katastrofilta, mutta aika epätoivoiselta tehtävältä kuulostaa tällä aikataululla.

Joskus noin klo 19 aikaan taisi ekat ilmoitukset tulla(?). Eli ekaksi 24h aikaa maksaa 200€ ja 500€ tämän aika ikkunan jälkeen 48h aikaa eli 72h yhteensä. No kiristäjä tuskin tulee toimimaan ilmoittamallaan tavalla kuten on huomattu. Sehän jaksoi vain 3pv julkaista niitä tietoja kunnes kyllästyi. Toinen vaihtoehto että tekee "Hedmannit" ja alkaa lähettelemään aina aalloissa niitä kiristyskirjeitään puolenvuoden välein ja toivoo että aina vähän tulisi. Myös tietokannan myynti on mahdollista. Ei voi tietää varmuudella tietenkään mitä tulee tapahtumaan. Se, että julkaisee koko tietokannan tarkoittaisi kuitenkin lypsylehmän menettämistä.
 
Virkavalta on tätä käsittääkseni 4 viikkoa selvitellyt, joten jotain hankaluuksia han tuossa selvittelyssä lienee.
 
Mitenköhän pitkälle pykälä viestintäsalaisuuden loukkaamisesta kantaisi tuossa jos noita tekstejä menee latailemaan?
3 § (10.4.2015/368)
Viestintäsalaisuuden loukkaus

Joka oikeudettomasti
1) avaa toiselle osoitetun kirjeen tai muun suljetun viestin taikka suojauksen murtaen hankkii tiedon sähköisesti tai muulla vastaavalla teknisellä keinolla tallennetusta, ulkopuoliselta suojatusta viestistä taikka
2) hankkii tiedon televerkossa tai tietojärjestelmässä välitettävänä olevan puhelun, sähkeen, tekstin-, kuvan- tai datasiirron taikka muun vastaavan televiestin sisällöstä taikka tällaisen viestin lähettämisestä tai vastaanottamisesta,
on tuomittava viestintäsalaisuuden loukkauksesta sakkoon tai vankeuteen enintään kahdeksi vuodeksi.

Yritys on rangaistava.

Eihän tuo laki nyt ehkä oikeasti ihan tällaista tilannetta varten ole kirjoitettu, mutta mutta...
 

Uusimmat viestit

Statistiikka

Viestiketjuista
259 325
Viestejä
4 504 514
Jäsenet
74 381
Uusin jäsen
Matimane

Hinta.fi

Back
Ylös Bottom