Asiakirjaturvallisuus - SecMeter

Go to content

Asiakirjaturvallisuus

Tietopalvelu > Tietoturvallisuus
Asiakirjaturvallisuus tarkoittaa hyvän tiedonhallintatavan toteutumista asiakirjojen käsittelyssä (asiakirjoja luotaessa, muutettaessa, siirrettäessä, arkistoitaessa, hävitettäessä tai muutoin käsiteltäessä).

Asiakirjojen käsittelysääntöjä määriteltäessä on huomioitava seuraavat neljä asiakirjan elinkaaren pääasiallista käsittelyvaihetta:

  • asian vireille tulo sekä asiakirjan luokittelu ja merkintä
  • asiakirjan jakelu, luovutus, tulostus ja vastaanotto
  • asiakirjan käsittely, säilytys ja arkistointi
  • asiakirjan hävittäminen ja käytöstä poistaminen.

Asiakirjoja sisältävät tietojärjestelmät on suojattava ja niissä olevien tietojen saatavuuden, luottamuksellisuuden ja eheyden tulee toteutua asianmukaisella tavalla.



TEHTÄVÄLISTA

  1. Selvitä, onko kannettavissa mikrossa kiintolevyt salattu?
  2. Selvitä, onko yrityksen käyttämissä USB-muistitikuissa salasanaominaisuus?
  3. Selvitä, tapahtuuko luottamuksellisten asiakirjojen välitys sähköpostitse salattuna?
  4. Selvitä, onko työhuoneissa asianmukaiset lukittavat kalusteet asiakirjojen säilytystä varten?

Asiakirjahallinto
Asiakirjaturvallisuuden käytännön toteuttaminen on suuri haaste yrityksen tietohallinnolle sekä liike- tai palvelutoiminnoille. Asiakirjahallinnon haasteena ovat moninaiset asiakirjat, niiden versiot ja kopiot käyttäjien työasemien levytallenteilla, irrallisilla tallennusmedioilla, työpöydillä ja sähköpostiarkistoissa.

Asiakirjojen käsittelyprosesseja ei ole mahdollista valvoa näissä toimintaympäristöissä. Sen sijaan sähköinen asiakirjahallinto tarjoaa hyvät puitteet asiakirjaturvallisuuden toteutumiselle.

Hyvän asiakirjahallinnon rakenneosia ovat arkistonmuodostussuunnitelma, sähköinen asiakirjahallinto ja asianhallintajärjestelmä. Sähköinen asiakirjahallinto ja asianhallintajärjestelmä yhdessä kattavat kaikki yrityksen asiakirjoihin liittyvät käsittely- ja valvontaprosessit.

Sähköisessä asiakirjahallintajärjestelmässä asiakirjat luokitellaan ja niille määritellään käyttö- ja käsittelyvaltuudet. Sähköiset asiakirjahallintajärjestelmät pitävät tapahtumakirjanpitoa kaikista asiakirjoihin kohdistuneista toimenpiteistä, joten ongelmien ilmaantuessa asiakirjan käsittelijä on mahdollista jäljittää.

Yksittäisestä asiakirjasta voidaan jäljittää mm. syntyhetki, vireille tulon ajankohta, kaikki käsittelytilanteet kommentteineen, muutoksineen ja kopioineen tuhoamishetkeen saakka. Asiakirjahallintajärjestelmät tarjoavat myös henkilöstön tekemisiin kohdistuvia teknisiä valvontamahdollisuuksia, joiden käytöstä on sovittava YT-prosessien mukaisesti.

Sähköisen asiakirjahallinnon keskeinen toiminnallisuus on asiakirjojen ja asioiden haku metatietojen (asiakirjan kuvailutiedot ts. tunniste- ja viitetiedot) perusteella. Metatietojen käytettävyyden varmistaminen on eräs keskeisimpiä tietoturvatehtäviä.

Tiedon omistajuus
Tiedon omistaja on se toiminto, jonka toiminnan tuloksena asiakirja syntyy. Yksittäinen henkilö ei voi koskaan omistaa yritykselle kuuluvaa tietoa. Tiedon omistajuuteen liittyvä hallinnollinen rooli (vastuu tietojen käytöstä) on yrityksen toiminnosta vastaavalla johtajalla.

Toiminnon johtaja voi delegoida edelleen tiedon omistajan hallinnollisen roolin tehtävät tai tehtäviä nimeämilleen alaisille. Vastuuta ei voi kuitenkaan delegoida. Tiedon omistajan hallinnolliseen roolin liittyviä tehtäviä ovat mm.


  • tiedon merkityksen arviointi
  • salassapitointressin arviointi
  • tiedon turvaluokitus
  • tietoon oikeuttavista käyttövaltuuksista päättäminen.

Asiakirjaturvallisuutta tukevia hallinnollisia periaatteita

  • Tietoaineistojen tietojenkäsittely- ja säilytystilat ovat valvottuja ja suojattuja.
  • Tietoaineistoja saavat käsitellä vain ne, joiden tehtäviin asian käsittely kuuluu.
  • Vierailijoita ei vastaanoteta työtiloissa.
  • Kokouksia, joihin osallistuu yrityksen ulkopuolisia henkilöitä, ei järjestetä työtiloissa olevissa kokoushuoneissa.
  • Luottamuksellisia asiakirjoja tai tietosuoja-aineistoa ei säilytetä työpöydillä.
  • Salassapidosta on varmistuttu sopimussanktioin.
  • Etätyössä ei sallita luottamuksellisen tai tietosuoja-aineiston käsittelyä.

Asiakirjaturvallisuuteen liittyviä teknisiä periaatteita

  • Tietojärjestelmiin tunkeutuminen on estetty asianmukaisin menettelyin.
  • Tietojärjestelmien käyttövaltuudet on rajattu työtehtävien mukaisesti ja niiden käyttöä valvotaan.
  • Asiakirjan tietoturvamekanismit on sisällytetty liiketoiminta- tai palveluprosessin vaatimuksiin.
  • Kannettavien mikrojen levyalueet on salattu kokonaisuudessaan.
  • Matkapuhelimet ja muut taskupäätelaitteet on suojattu luvattomalta käytöltä.
  • Luottamukselliset yksittäiset asiakirjat silputaan henkilökohtaisesti silppurilla.
  • Luottamuksellisia asiakirjoja ja tietosuoja-aineistoa lähetetään sähkopostissa julkisen verkon yli vain päästä päähän suojatun tietoliikenneyhteyden kautta.

Viranomaisen asiakirjat
Viranomaisen asiakirjahallintoa ohjaavat useat lait kuten arkistolaki (831/1994), laki viranomaisen toiminnan julkisuudesta (621/1999), asetus viranomaisen julkisuudesta ja hyvästä tiedonhallintatavasta (1030/1999), henkilötietolaki (523/1999), laki sähköisestä asioinnista (13/2003) ja laki sähköisistä allekirjoituksista 14/2003.

Julkisuuslain 24 §:n 1 momentissa on lueteltu salassa pidettävät viranomaisen asiakirjat, jollei erikseen ole toisin säädetty. Saman pykälän 1 momentin 7 kohdan mukaan salassa pidettäviä ovat muun muassa tieto- ja viestintäjärjestelmien turvajärjestelyjä koskevat ja niiden toteuttamiseen vaikuttavat asiakirjat, jollei ole ilmeistä, että tiedon antaminen niistä ei vaaranna turvajärjestelyjen tarkoituksen toteutumista.

Suomessa on omaksuttu ns. julkisuusperiaate viranomaisten tuottaman tai heidän hallussaan olevan tiedon suhteen. Poikkeuksen muodostavat tiedot, jotka katsotaan lainsäädännön perusteella salaisiksi tai luottamuksellisiksi.
Viranomaisella ei ole salassapidon osalta määräysvaltaa. Salassapidon perusteena on aina lakiin perustuva salassapitovelvollisuus.

Jokaisella on oikeus saada tieto viranomaisen julkisesta asiakirjasta. Muiden ei-julkisten asiakirjojen osalta viranomainen ei saa evätä tiedon antamista, ilman asiallista tai laissa säädettyä perustetta eikä enempää kuin on suojattavan edun vuoksi tarpeellista.

Tietosuoja-aineistot
Tietosuoja-aineisto muodostaa poikkeuksen yrityksen muihin tietoaineistoihin. Asiakirjaturvallisuutta henkilötietojen käsittelyn osalta ohjaa henkilötietolaki (523/1999). Henkilötietolaki asettaa rekisterinpitäjälle erityisen huolellisuusvelvoitteen. Henkilötietolain yleisvelvoitteita ovat tarpeellisuus- ja virheettömyysvaatimukset sekä huolellisuus- ja suojaamisvelvoitteet, jotka on otettava huomioon kaikessa henkilötietojen käsittelyssä.

Julkis- ja yksityisoikeudellisissa organisaatioissa tietosuoja-aineisto on lain perusteella salassa pidettävää aineistoa. Tietosuoja-aineiston salassapitovelvollisuus jatkuu myös työsuhteen päätyttyä.

Alla on kuvattu yleisimmin yksityisoikeudellisissa organisaatioissa käytetty asiakirjojen turvaluokitus. Epäselvyyksien välttämiseksi myös julkinen asiakirja-aineisto on luokiteltava sillä perusteella, että asiakirjan haltija voi merkinnän perusteella varmistua kyseisen asiakirjan julkisuudesta.

  • Julkinen (yrityksen julkisuuteen tarkoittamat asiakirjat)
  • Sisäinen (yrityksen sisäisessä toiminnassa käyttämät asiakirjat)
  • Luottamuksellinen (valmisteilla olevat julkistamattomat asiakirjat)
  • Salainen (yritys-, liike- ja ammattisalaisuudet sekä tietosuoja-aineisto)

Asiakirjan salassapitoaika saattaa olla rajoitettu tiettyyn päivään, jonka jälkeen salassa pidettävän asian status muuttuu esimerkiksi julkiseksi. Näissä tapauksissa asiakirjaan voidaan tehdä merkintä esimerkiksi "Julkinen 12.4.2008".

Jakelulista
Jakelulistassa on kysymys asiakirjaan liitetystä käsittelyohjeesta. Luottamuksellisiin ja salaisiin asiakirjoihin on merkittävä jakelulista, eli luettelo henkilöistä, joiden hallussa on asiakirjakopio, jotka ovat tietoon oikeutettuja ja joiden kanssa asiasta voidaan luottamuksellisesti keskustella. Asiaa ei saa paljastaa jakelulistan ulkopuolisille henkilöille.

Tietopalvelut ja asiakirjojen lainaus
Asiakirjoja joudutaan lainaamaan tai niistä joudutaan antamaan tietoja yrityksen ulkopuolelle. Tietojen luovuttajan on aina varmistuttava tiedon saajan oikeudesta pyydettyyn tietoon.

Asiakaspalvelussa joudutaan huomioimaan arkistolain, viranomaistoiminnan julkisuus-, henkilötieto- sekä muun erityislainsäädännön määräykset. Asiointi ja tietojenluovutukset tulee aina kirjata asianhallintajärjestelmään, jotta voidaan jälkeenpäin tarkistaa tietojenluovutuksen asianmukaisuus.

Yksityisille henkilöille ei lainata koskaan alkuperäisiä asiakirjoja. Viranomaisilla on tietyin edellytyksin oikeus saada käyttöönsä alkuperäiskappale. Tällöin asiakirjasta tulee jäädä organisaatioon kopiokappale ja luovutuksesta kuitti.

Asiakirjojen hävittäminen
Vuoden 1996 alusta tuli voimaan YTV:n tekemä muutos jätehuoltomääräyksiin, joka velvoittaa lajittelemaan jätepaperin työpaikoilla aiempaa tarkemmin. Toimisto-, liike- ja teollisuuskiinteistöissä on eroteltava vaalea toimistopaperi muusta keräyspaperista, jos keräyspaperin kokonaismäärä ylittää 50 kiloa viikossa. Käytössä olevat keräysprosessit eivät aina täytä asiakirjojen salassapidolle asetettavia vaatimuksia.

Työpaikalla tietosuoja-aineiston haavoittuvin käsittelyvaihe on silloin, kun tuhottavaksi tarkoitettu asiakirja odottaa työpöydän alla olevassa pahvisessa keräysastiassa tyhjennystä. Hylätyt asiapaperit saattavat lojua viikkoja työpöydän alla kaikkien toimitiloissa liikkuvien saatavilla, ennen siirtoa turvallisempaan paikkaan.

Yrityksen asiakirjasilppurit on yleensä tarkoitettu yksittäisten luottamuksellisten asiakirjojen silppuamiseen ja ne ovat tärkeässä roolissa tietoturvan kannalta.

Asiakirjaturvallisuus voi vaarantua, jos toimitiloissa sijaitsevat keräysastiat ovat lukitsemattomia ja luottamuksellinen aineisto lojuu pitkään työhuoneiden keräysastioissa. Jokaisessa toimistokerroksessa pitäisi olla ainakin yksi lukittu keräysastia luottamuksellisille asiakirjoille ja tietosuoja-aineistolle.

Asiakirjaturvallisuus ei voi rakentua olettamukselle, ettei kellään ole aikaa tai motivaatiota penkoa hävitettäviä asiakirjoja, vaan siihen, että tällainen mahdollisuus on suljettu pois kontrolloimalla tilanne asianmukaisesti.

Asiakirja-arkistot
Asiakirjojen hävittämisprosessi perustuu lainsäädännössä asiakirjoille määriteltyihin säilytysaikoihin. Pysyvästi säilytettävä asiakirja-aineisto tulee erottaa määräajan säilytettävästä asiakirja-aineistosta, joille määritellään säilytysajat asiakirjatyypeittäin.

Arkistolain 6 §:n mukaan arkistoon kuuluvat asiakirjat, jotka ovat saapuneet arkistonmuodostajalle sen tehtävien johdosta tai syntyneet arkistonmuodostajan toiminnan yhteydessä. Arkistoaineiston kohdalla noudatetaan arkistolain 13 §:n mukaisia säilytysaikoja.

Asiakirjojen hävittämisestä ei tarvitse tehdä merkintää hävittämisluetteloon, jos asiakirjojen säilytysajat on merkitty arkistonmuodostussuunnitelmaan. Poikkeuksen muodostaa kirjanpitoaineisto, jonka hävittämisestä on aina tehtävä merkintä hävittämisluetteloon.

Hävittäminen tapahtuu yleensä polttamalla tai silppuamalla materiaali paperiteollisuuden raaka-aineeksi. Arkistoaineiston hävittämistä on aina valvottava, myös ulkopuolisen sertifioidun palveluntarjoajan palveluita käytettäessä.

Valmiiksi silputtu arkistoaineisto voidaan kuitenkin luovuttaa palveluntarjoajalle ilman valvontaa.
Salaiseksi luokitellun asiakirja-aineiston hävityksessä voidaan käyttää turvaluokituksen DIN 32757 10/85 DIN 5-normin täyttäviä silppureita. Levyke-, filmi- ja kasettipohjaiset asiakirjat voidaan tuhota erikoissilppurilla DIN 4 tai DIN 5.

NÄPPÄILYVIRHEEN JOHDOSTA POLIISIN SALASSAPIDETTÄVIÄ TIETOJA SISÄLTÄVÄ VIESTI PÄÄTYI VÄÄRÄÄN OSOITTEESEEN
Poliisin inhimillisen näppäilyvirheen johdosta oululainen naishenkilö sai omaan sähköpostiinsa yllättäen poliisin lähettämän viestin, joka sisälsi mm. tiedon Venäjän presidentti Vladimir Suomen vierailussa käytettämän helikopterin tarkasta saapumisajasta ja Suomen presidentin Sauli Niinistön käyttämistä reiteistä.

Kuopion poliisiasemalta oli tarkoitus lähettää poliisin sisäisen Lync-pikaviestiohjelman viestiketjun kopio tiedoksi poliisin viestintäjohtaja Minna Immoselle, mutta näppäilyvirheen vuoksi viesti ohjautui Minna Timosen Hotmail-sähköpostiin.

Harmillinen erehdys tapahtui poliisin kirjoittaessa vastaanottajakenttään vastaanottajan etunimen, jolloin Outlook-sähköpostiohjelma täytti automaattisesti vastaanottajakenttään väärän henkilön osoitteen. Outlook-sähköpostiohjelma muistaa aiemmin lähetettyjen viestien osoitetiedot.

Poliisihallituksen edustaja totesi, että poliisilla on käytössä viestipalveluihin liittyviä turvallisuusratkaisuja. Poliisin henkilöstölle on annettu myös tietoturvaan liittyvää koulutusta, ohjeita ja määräyksiä. Lähteet: (iltalehti.fi 7.8.2017, yle.fi 7.8.2017, maaseuduntulevaisuus.fi 7.8.2017, aamulehti.fi 7.8.2017, savonsanomat.fi 7.8.2017, hs.fi 7.8.2017)

ULKOMINISTERIÖSTÄ LÄHTI SÄHKÖPOSTIA VÄÄRÄÄN OSOITTEESEEN
Ulkoministeriöstä lähti epähuomiossa sisäiseksi tarkoitettua kokousaineistoa ulkopuolisen henkilön gmail-tilille. Sekaannus aiheutui siksi, että ulkopuolinen yksityishenkilö ja ulkoministeriön virkamies sattuivat olemaan samannimisiä.

Ulkoministeriö päätti tehdä ohjeistuksen vastaisesta tapahtumasta sisäisen selvityksen. Kokouskutsumateriaalissa käsiteltiin mm. viranomaisten terrorisminvastaiseen työhön liittyviä asioita, jotka eivät olleet kaikilta osin julkisia. Ulkoministeriö piti tapahtunutta vakavana asiana, koska kyse oli asiakirja-aineistosta, jota ei ohjeistuksen mukaan saa välittää ulkoiseen sähköpostiin. Lähde: (yle.fi 29.11.2016)

BUSSINKULJETTAJIEN POTILASTIEDOT HEITTEILLÄ
Bussiyhtiö Veolia Transport Vantaa Oy:n kuljettajat pelkäsivät, että heidän henkilötietojaan oli urkittu. Bussivarikon kaapista löytyi kansioita, jotka sisälsivät 416 henkilön terveystarkastus- ja potilasasiakirja-aineistoa.

Työterveyshoitaja lopetti Veolian henkilökunnan vastaanotot Tuupakan bussivarikon tiloissa 31.12.2011, jolloin asiakirjat jäivät työterveyshoitajan entiseen vastaanottohuoneeseen. Huonetta käytettiin sen jälkeen mm. työvaatteiden sovittamiseen. Huoneen avaimet olivat työnantajan hallussa, mutta asiakirjakaapiston avaimet roikkuivat kaapiston lukossa.

Ainakin neljällä työnjohdon edustajalla ja siivoojalla olisi ollut halutessaan mahdollisuus lukea asiakirjoja. Henkilöstö teki asiasta tutkintapyynnön poliisille 24.2.2012. Poliisin mukaan asiassa näytti olevan kyse huolimattomuudesta, joka ei ollut törkeää. Dextra haki kansiot omiin tiloihinsa Munkkivuoreen 17.2.2012. Lähde: Vantaan Sanomat 7.3.2012

TIETOMURTO RANSKAN VALTIOVARAINMINISTERIÖÖN
Ranskan talous- ja valtiovarainministeriö joutui tietomurron kohteeksi vuoden 2010 joulukuusta vuoden 2011 maaliskuuhun saakka. Lähteiden mukaan kyseessä oli kaiketi laajin Ranskaa vastaan tehty tietomurto.

Hyökkääjien epäiltiin lähettäneen ministeriön työntekijöiden sähköpostiosoitteisiin haittaohjelmia sisältäviä sähköpostiviestejä, jonka seurauksena ministeriön yli 150 tietokoneesta löytyi vakoiluohjelma. Murtautujien epäiltiin tavoitelleen G20-maita koskevia asiakirjoja ja ohjanneen asiakirjat kiinalaisiin verkko-osoitteisiin. Lähteet: (parismatch.com 7.3.2011, yle.fi 7.3.2011, IT-viikko 7.3.2011)

TELIASONERAN PALVELUSOPIMUKSIA LÖYTYI ROSKAKATOKSEN VIERESTÄ
Vantaan Veromiehen Rälssitiellä lojui ulkosalla roskakatoksen vieressä TeliaSoneran ja asiakkaiden välisiä palvelusopimuksia. Palvelusopimuksista ilmeni mm. asiakkaiden nimet, osoitteet, sosiaaliturvatunnukset ja myyjien nimet sekä puhelinnumerot.

Luottamukselliset asiakirjat olivat osa murtosaalista ja peräisin Keravalaisesta liikkeestä, josta oli anastettu myös matkapuhelimia ja kannettavia tietokoneita noin 10 000 euron arvosta. Vain viikkoa aikaisemmin TeliaSoneran turvallisuusyksikkö oli pitänyt liikkeen henkilökunnalle myymäläturvallisuuskoulutuksen, jossa oli käsitelty myös luottamuksellisten asiakirjojen säilytystä, arkistointia ja hävittämistä. Lähde: (Vantaan Sanomat 5.-6.2.2011)

HENKILÖTIETOJA ROSKALAVALLA
Ohikulkija löysi lahtelaisen ravintolan edessä olevalta roskalavalta ravintolan seitsemäätoista työntekijää koskevia henkilötietietoja. Asiakirjat sisälsivät mm. ravintolan työntekijöiden hetuja, pankkitilien numeroita, verotietoja, terveydentilaa koskevia tietoja (psykiatrin lausunto) ja osoitteita.

Roskalavalta löytyi myös muita luottamuksellisia tietoja, kuten kiinteistön ovien turvakoodeja ja kirjanpitoaineistoa. Toimintansa lopettaneen ravintolan edustaja ei osannut sanoa miten asiakirjat olivat joutuneet roskalavalle. Lähde: (Iltalehti 29.5.2010 sivu 22)

POLIISI HYLKÄSI ARKALUONTEISIA ASIAKIRJOJA ROSKALAVALLE
Ohikulkija löysi Pasilan poliisin hylkäämiä arkaluonteisia asiakirjoja kadunvarteen sijoitetulta roskalavalta. Roskalava sijaitsi Pasilan poliisitalon ja Ylen Ison Pajan välisellä alueella, jossa sen sisältö oli helmikuun alusta noin kuukauden ajan ohikulkijoiden tavoitettavissa.

Asiakirja-aineiston joukossa oli runsaasti esitutkinta-aineistoa mm. hätäpuhelunauhoja, kuulustelunauhoja, joukossa mahdollisesti kolmoissurmaan liittynyt äänitallenne, revittyjä ruumiinavauskuvia ja osittain revitty passi. Asiakirjoista selvisi mm. rikoksen uhrien nimiä ja osoitteita. Näiden lisäksi jätelavalta löytyi mm, hiuksia ja verisiä vaatteita.

Poliisiylijohtaja Mikko Paatero pyysi tapauksen selvittämistä sisäisen tarkastuksen yksiköltä. Poliisihallitus halusi selvittää, missä yhteydessä ja millaista asiakirja-aineistoa roskalavalle oli hylätty. Tapauksen osalta tiedotusvastuuseen asetettu päivystävä komisario ei pitänyt tapausta vakavana, vaan enneminkin nolona (Lähde: (yle.fi 10.3.2010).

Tietosuojavaltuutettu Reijo Aarnio totesi tiedotusvälineille, että mikäli materiaali osoittautuu poliisin tutkimuksissa edelleen salassa pidettäväksi, on kyseessä useammankin lain rikkomus.

Poliisihallituksen toimeenpaneman selvityksen mukaan asiassa oli syytä epäillä laiminlyöntiä. Selvityksessä ilmenneiden seikkojen johdosta poliisihallitus siirsi asian valtakunnansyyttäjänvirastolle, joka arvioi ylittyikö esitutkintakynnys. Lähteet: (MTV3 uutislähetys kello 19:00 ja 22:00 10.3.2010, TV1 uutislähetys kello 20:30 10.3.2010, hs.fi 10.3.2010, mtv3.fi 10.3.2010, voima.fi 10.3.2010, yle.fi 11.3.2010, hs.fi 16.3.2010, iltalehti.fi 16.3.2010)

LUOTTOTIETOJA LÖYTYI PAPERINKERÄYSASTIASTA
Asiakastieto Oy:n julkaisemia Luottolista-kirjoja löytyi paperinkeräysastiasta Helsingin Malmilta. Kirjat sisälsivät yritysten ja yksityishenkilöiden maksuhäiriötietoja.

Luottotietojen lisäksi kirjoista ilmeni yksityishenkilöiden salaisia osoitetietoja. Luottolista-kirjoja myydään yrityksille vain luottotietolain mukaisiin tarkoituksiin, joita ovat mm. luoton myöntäminen, valvonta ja perintä.  Lähde: (Iltalehti 7.4.2009)

LÄÄKÄREITÄ KOSKEVIA HENKILÖTIETOJA LÖYTYI JÄTELAVALTA
Helsingin ja Uudenmaan sairaanhoitopiirissä (HUS) paljastui tapaus, jossa satoja lääkäreitä koskevia henkilötietoja päätyi jätelavalle. Ohikulkija löysi tietokonelevykkeitä (korppuja) Töölön Auratalon edustalle jätetyltä jätelavalta.

Levykkeiltä paljastui mm. lääkäreiden henkilötunnuksia, tehtäväkuvauksia ja lomarahoihin liittyviä tietoja.
HUS-Servisin asiakaspalvelupäällikön mukaan kasa rikottuja vanhoja levykkeitä oli hylätty roskalavalle, joista muutama levyke oli ilmeisesti jäänyt ehjiksi tai ainakin lukukelpoisiksi. Asiakaspalvelupäällikön mukaan tapauksessa oli rikottu HUS:n tietoturvaohjesääntöä. Lähteet: (Ilta-Sanomat 23.03.2009)

SAKSASSA KÖLNIN KAUPUNGINARKISTON LUHISTUMINEN TUHOSI KORVAAMATTOMIA ASIAKIRJOJA
Kölnin kaupunginarkisto ja kaksi viereistä rakennusta romahtivat yllättäen tiistaina 3.3.2009. Romahduksen syyksi arvioitiin junatunnelin kaivaustöitä.

Kaupunginarkiston romahduksen seurauksena tuhoutui peruuttamattomasti historiallisia asiakirjoja yli tuhannen vuoden ajalta. Asiakirjoja oli kaikkiaan noin 18 hyllykilometriä. Asiakirjojen vakuutusarvo oli noin 400 miljoonaa euroa. Lähde: (HS.fi 4.3.2009)

KÄRÄJÄOIKEUS ANTOI KAUPUNGINVALTUUTETULLE VAROITUKSEN
Kuopion käräjäoikeus antoi tiistaina 23.12.2008 salaisia asiakirjoja jäteastiaan hylänneelle kaupunginvaltuutetulle varoituksen. Tapaus sattui vuoden 2007 puolella. Käräjäoikeus katsoi tekijän syyllistyneen tuottamukselliseen virkasalaisuuden rikkomiseen. Tekijä ja Kuopion kaupunki velvoitettiin maksamaan korvauksia ja oikeuskuluja runsaat 17 000 euroa.

Asiakirjat sisälsivät muun muassa terveystietoja. Tekijä oli heittänyt asiakirjat menemään joulusiivouksen yhteydessä. Sivullinen löysi paperit ja toimitti ne Savon Sanomille, joka julkisti asian. Käräjäoikeuden mukaan tekijä aiheutti vahinkoa julkisen vallan käyttäjänä ja piti ensisijaisena korvausvelvollisena Kuopion kaupunkia.

Kaupunki määrättiin maksamaan 4 000 euroa kärsimyskorvauksia 16 asianomistajalle, joiden nimet esiintyivät papereissa. Kukin heistä sai 250 euroa. Lähde: (Iltalehti 23.12.2008, Ilta-Sanomat 23.12.2008)

NORDEAN ASIAKASTIETOJA LÖYTYI JÄTESÄKEISTÄ
Vantaan Sanomien mukaan ulkoilija oli löytänyt Nordean konttorin roskalaatikon vierestä mustia jätesäkkejä, joihin oli sullottu luottamuksellisia asiakastietoja. Säkit odottivat jätekuljetusta ulkona lukitsemattomassa tilassa.

Havainnon tehneen henkilön mukaan säkkeihin sullotut asiakirjat sisälsivät mm. henkilö-, tili- ja luottotietoja sekä sähköpostiviestien printtejä. Asiakirjat olivat olleet ohikulkijoiden nähtävänä ainakin viikonlopun yli.

Pankkivirkailija oli luvannut löytäjälle 150 euron palkkion vaitiolosta. Lehtiartikkelin mukaan pankille oli sattunut vastaava tilanne vuonna 2003. Lähde: (Vantaan Sanomat 28.3.2008, sivu 3)

LUOTTAMUKSELLISIA ASIAKIRJOJA HEITTEILLÄ
Kierrätysmyymälästä Mikkelistä arkistokaapin ostanut asiakas löysi kaapin sisältä mm. yksityishenkilöiden ulosottoa, häätöä ja vangitsemista koskevia asiakirjoja. Asiakirjat olivat peräisin Mikkelin kihlakunnanviraston ulosotto-osastolta.

Asiakirjat sisälsivät arkaluonteisia tietoja vuosilta 2001 ja 2002. Asiakirjojen epäillään päätyneen heitteille muuton yhteydessä. Lähde: (Ilta Sanomat 10.1.2008)

TELEOPERAATTORIN LUOTTAMUKSELLISIA ASIAKIRJOJA LÖYTYI ROSKALAATIKOSTA
Savon Sanomien 31.12.2007 artikkelin mukaan puhelinoperaattori Saunalahden asiakkaita koskevia luottamuksellisia asiapapereita oli löytynyt kuopiolaisen taloyhtiön roskalaatikosta.

Saman taloyhtiön tiloissa toimi myös Saunalahden jälleenmyyjä. Roskalaatikosta löydetyt asiapaperit olivat liittymäsopimuksia, joista ilmeni mm. henkilötunnuksia, sähköpostiosoitteita, käyttäjätunnuksia ja salasanoja. Kuopion poliisi aloitti tapauksen tutkinnan.

Lehtiartikkelin mukaan Saunalahden omistajayhtiön Elisan viestintäjohtaja totesi että jälleenmyyjä on toiminut vastoin sekä sisäisiä ohjeita että tietosuojalakia.

SOSIAALI- JA TERVEYSLAUTAKUNNAN LUOTTAMUKSELLISIA ASIAKIRJOJA LÖYTYI JÄTEASTIASTA
Savon Sanomat kertoi tapauksesta, jossa kuopiolainen henkilö hylkäsi joulusiivouksensa jälkeen Kuopion sosiaali- ja terveyslautakunnalle kuuluvat luottamukselliset asiakirjat jätepaperin keräysastiasta

Sivullisten löytämät asiakirjat koskivat mm. asiakkaiden huostaanotto- ja toimeentulotukiasioita. Lääninhallitus piti tapausta vakavana. Kuopion rikospoliisi käynnisti asiasta esitutkinnan rikosnimikkeenä salassapitorikos.

HYKSIN KLINIKALTA KATOSI ASIAKIRJOJA
Poliisi tutki Hyksin sydänkirurgian klinikalla tapahtunutta asiakirjojen katoamistapausta tietosuojarikoksena. Klinikan työntekijät havaitsivat papereita siirrellyn ja pengotun. Neljään lukolliseen työhuoneeseen oli tunkeuduttu todennäköisesti omilla avaimilla, koska murtojälkiä ei havaittu.

Työhuoneista todettiin kadonneiksi mm. henkilöstöön liittyviä asiakirjoja ja kirjeenvaihtoa. Sydänpotilasjonoa hoitaneen henkilön työhuoneen oven havaittiin olevan auki ja tietokoneen päällä. Tapauksen uskottiin liittyneen klinikan kolmen sydänkirurgin hyllytykseen ja kehnoon työilmapiiriin. Lähde: (Timo Myllyniemi, Ilta-Sanomat 13.10.1999, sivu A3)

2000 SYDÄNINFARKTIPOTILAAN POTILASTIEDOT SIVULLISEN HALTUUN
Joensuun käräjäoikeus totesi Pohjois-Karjalan sairaanhoitopiirin atk-päällikön ja käyttöpäällikön syyllistyneen tuottamukselliseen virkasalaisuuden rikkomiseen. Miehet myivät käytöstä poistetun tietokoneen romuna outokumpulaiselle atk-ammattilaiselle, joka myi koneen edelleen joensuulaiselle opiskelijalle.

Käräjäoikeuden mukaan miesten olisi kokemuksensa ja koulutuksensa perusteella pitänyt ymmärtää, että tietokoneessa saattoi olla salassa pidettäviä tietoja. Oikeus kuitenkin katsoi, että rangaistus olisi kohtuuton ja jätti syylliset tuomitsematta. Lähde: (Ilta-Sanomat 27.5.1999)

OIKEUSLÄÄKÄRI RIKKOI VIRKASALAISUUTTA
Oikeuslääkäri paljasti lokakuussa 1997 MTV3:n Rikosraportti-ohjelman toimittajalle yksityiskohtia Ullanlinnan poliisisurmista. Oikeuslääkäri ilmaisi toimittajalle ammuttujen laukausten määrän ja mihin laukaukset olivat osuneet.

Tietojen kertominen oli vastoin kuolemansyyn selvittämistä koskevia säännöksiä. Helsingin käräjäoikeus totesi oikeuslääkärin syyllistyneen virkasalaisuuden rikkomiseen, mutta ei antanut teosta rangaistusta. Lähteet: (Uutislehti 100 21.5.1999 sivu 2, Iltalehti 21.5.1999 sivu 5, MTV3 uutislähetys klo 22.00)

POLIISIN TIEDOT VUOTAVAT
Helsingin keskustan poliisipiirin vanhempaa konstaapelia epäiltiin virkasalaisuuden rikkomisesta. Tutkinta- ja kenttätehtävissä toimiva poliisi jäi kiinni salaisten virkatietojen luovuttamisesta. Epäilyt poliisin toimintaa kohtaan heräsivät aiemmin, mutta poliisipiirillä ei ollut heti asiasta riittävää näyttöä. Jutun tutkinnanjohtajana toimi Vantaan syyttäjä. Lähde: (Iltalehti 22.2.1999)

ULOSOTTOTIETOJA PAPERINKERÄYSLAATIKOSSA
Lahdessa oli hylätty ulosottotietoja koskevia asiakirjoja tavaratalon avonaiseen paperinkeräyskonttiin. Ulosottomiehen tilitystiedot koskivat yksityisiä henkilöitä ja yrityksiä. Joukossa oli myös toimintaa harjoittaneiden yritysten tietoja.

Paperit olivat paikalle saapuneen yleisön vapaasti luettavissa. Hylätyt tiedot koskivat 1950 - 1960 lukuja. Arkistot löysi lahtelainen mies, joka keräsi noin kymmenen kiloa asiakirjoja talteen. Paikalle jäi edelleen kymmeniä kiloja asiakirjoja kansalaisten selattavaksi. Lähde: (Ilta-Sanomat 25.8.1998)

RANKKASADE AIHEUTTI TULVIA PÄÄKAUPUNKISEUDULLA 6.8.1998
Mätäjoen tulvavesi tunkeutui Helsingin Sanomien keskusarkistoon tuhoten suuren määrän historiallista arkistoaineistoa. Tulvavesi tunkeutui arkistotilaan, jossa on kahdeksan kilometriä täysiä arkistohyllyjä.

Vesi nousi niin nopeasti, että työntekijät ehtivät kantaa vain tietokoneet ulos tilasta. Vesi nousi arkistossa metrin korkeuteen. Ulkopuolella vettä oli kaksi metriä. Palokunta joutui käyttämään pihalla venettä.

HÄVITETTÄVIKSI AIOTUT POSTIMERKKIARKIT ANASTETTIIN HUOMAAMATTA
Postimerkkikeskuksesta anastettiin useiden vuosien aikana postimerkkiarkkeja yli 600 000 mk arvosta. Vuosina 1991 - 1994 lakkautetut postikonttorit lähettivät käyttämättä jääneet postimerkkinsä Postimerkkikeskukseen.
Postimerkkikeskuksen oli tarkoitus lähettää arkit edelleen setelipainoon hävitettäviksi. Tuolloin ei tiedetty miten hävitettäviksi tarkoitetut postimerkit on anastettu.

Postimerkkiarkit oli pantattu useassa erässä panttilainaamolle ja jätetty lunastamatta. Tapaus paljastui vasta panttilainaamon tarjottua lunastamatta jääneitä postimerkkejään edelleen Postimerkkikeskukselle, joka ryhtyi selvittämään suuren postimerkkierän alkuperää. Tutkimuksessa ilmeni, että merkit olivatkin Postimerkkikeskuksen omaisuutta. Poliisi piti tapauksen selvittämistä erittäin hankalana. Lähde: (Iltalehti 5.6.1998)

ARKALUONTEISIA POTILASTIETOJA LÖYTYI KADULTA
Iltakävelyllä ollut helsinkiläisnainen hämmästyi löydettyään Arabian kaupunginosassa sijaitsevan Mertakadun varrelta viisi kansiollista potilastietoja. Kansiot sisälsivät mm. potilaiden täyttämiä kyselylomakkeita leikkauksen jälkeisestä virtsaamis- ja ulostamiskyvystä. Jokaisessa lomakkeessa oli potilaan nimi ja syntymäaika.

Kansiot löytyivät kadun varteen hylätyistä keittiökaapeista. Hyksin johtajaylilääkäri ilmoitti selvittävänsä asian tarvittaessa, vaikka viranomaisten kanssa. Lähde: (Ilta-Sanomat 23.4.1998)

LIIKETALON ROSKALAATIKOSSA TUHANSIA POTILASPAPEREITA
Mieshenkilö löysi Tukholmankatu 2:ssa sijaitsevan liiketalon roskalaatikosta useita jätesäkkejä, joihin oli pakattu potilastietoja sisältäviä mappeja. Avonaisia jätesäkkejä oli jätetty roska-astioiden viereen. Lehtiartikkelin mukaan papereista oli luettavissa potilaiden henkilötiedot, osoitteet ja sosiaaliturvatunnukset. Paperit kuuluivat erään tutkijan arkistoon. Lähde: (Iltalehti 28.1.1998)

VENÄJÄN MAFIA PUHALSI KOLME REKKAKUORMALLISTA KOTIELEKTRONIIKKAA
Venäläismies onnistui erehdyttämään Kaukomarkkinat Oy:n luovuttamaan kolme rekka-autollista elektroniikkatuotteita väärälle vastaanottajalle. Tuotteiden arvo oli noin 2,09 miljoonaa markkaa.

Mies lähetti faksilla tiedot vastaanottavasta yrityksestä ja lähetystä noutamaan tulevista rekka-autoista. Kuljetuksen saavuttua Venäjälle hän katosi jäljettömiin. Venäjän sisäministeriön mukaan teon taustalla oli järjestäytynyt rikollisuus. Kaukomarkkinoiden lakiasiainjohtaja ei uskonut, että edes osaa puhalletusta tavaroista saataisiin takaisin.

Kaukomarkkinat Oy:n edustaja totesi antamassaan lausunnossa, että he olivat noudattaneet mahdollisimman suurta huolellisuutta, eikä laiminlyöntejä tapahtunut. Kehitystoimenpiteinä Kaukomarkkinat lisäsi kontrollejaan ja käsittelivät tapahtumien kulkua useaan kertaan. Lähde: (Ilta-Sanomat 23.8.1996)

MIES VARASTI SOSIAALITOIMISTOSTA PERHETTÄÄN KOSKEVAT PAPERIT
Miehikkäläläinen yrittäjä pyysi sosiaalityöntekijältä nähtäväksi perhettään koskevat paperit. Sosiaalityöntekijän vastusteluista huolimatta mies poistui paikalta paperit mukanaan. Kotiin päästyään hän poltti asiakirjat saunassa.

Kotkan käräjäoikeus tuomitsi miehen arkistoasiakirjojen hävittämisestä ja herjauksesta 30 päivän ehdolliseen vankeusrangaistukseen. Lähde: (Ilta-Sanomat 14.8.1996)

SYP LÄHETTI TASETIETONSA VÄÄRÄÄN FAKSI -NUMEROON
Faksilla esiintyneet luvut paljastivat Merita-pankin heinäkuun lopun taloudellisen tilanteen. Haastatellun pörssianalyytikon mukaan näin yksityiskohtaisia numeroita annetaan pankin sisällä vain muutamille henkilöille. Analyytikko ihmettelee, että arkaluonteinen asiakirja oli lähetetty faksilla. Lähde: (Ilta-Sanomat 18.12.1995)

Merita pankista kerrottiin myöhemmin, että lukuja oli tietoisesti sotkettu. Tapausta pidetään valitettavana, mutta pankki vakuuttaa, että kontrollijärjestelmä on kunnossa, kun pelataan todellisilla luvuilla. Lähde: (Ilta-Sanomat 19.12.1995)

PANKIN LUOTTOTIETOJA LÖYTYI SORAKUPASTA
Kemijärveltä löydettiin asiakirjanippu, joka sisälsi tiedot 140 laina-asiakkaasta ja heidän takaajistaan. Luetteloista ilmeni tarkat lainamäärät, asiakkaiden sosiaaliturvatunnukset sekä lainojen takaajat.

Luettelon tulostanut SP-palvelu oli toimittanut sen Suomen Säästöpankin Koillis-Suomen konttorille.
Paperit löytänyt henkilö toimitti nipun paikalliselle lehdelle. Asianomaisen konttorin johtaja piti tapahtumasta vastuullisena liiketoiminnan ostanutta Postipankkia.

Postipankki kiisti vastuun ja sysäsi ongelman entisen SSP:n vastuulle, koska asiakirjat oli tulostanut SP-palvelu. Lähde: (Helsingin Sanomat 7.5.1994)

MIKSI POLIISIN PAPEREITA LOJUU KAIKKIEN LUETTAVANA
Kotkassa sijaitsevasta ulkovarastosta löytyi asiakirjoja, joiden joukossa on mm. Espoon ja Vantaan poliisin, autorekisterikeskuksen ja muiden viranomaisten arkaluontoisia papereita. Lähde: (Helsingin Sanomat 8/1993)

SUURYHTIÖN MILJOONALASKUT LÖYTYIVÄT JÄTEPAPERIKASASTA
Arkaluotoisia verotustietoja ja liike-elämän papereita lojui Paperinkeräys Oy:n avovarastolla Kotkan Hallassa. Eräs ohikulkija oli poiminut alueelta suuryhtiön miljoonalaskut, joista kävi ilmi mm. yhtiön myöntämät alennukset. Lähde: (Ilta-Sanomat 8/1993)

ONGELMIA ULKOMINISTERIÖSSÄ
Iltalehti paljasti numerossaan 13.10.1992 otteita ulkoministeriön sisäpiirille salaiseksi tarkoitetusta puheesta. "Operaatio Ahtisaari" -kirja julkaistiin vuoden 1993 lopulla presidentinvaalikampanjan aikana. Kirjassa julkaistiin Wider-instituutin varainkäytöstä salaiseksi luokiteltuja tietoja. Asiakirjat kuuluivat ulkoministeriön hallinnonalan piiriin ja koskivat ulkoministeriön matkarekisteriä.

Iltalehdessä 8.11.1993 julkaistun artikkelin mukaan ulkoministeriön turvaraportissa todettiin seuraavaa "asiakirjojen vuotaminen julkisuuteen antaa kielteisen vaikutelman hallinnonalasta ja saattaa asiasta riippuen vahingoittaa maan mainetta myös rajojen ulkopuolella".

Artikkelissa kerrottiin raportin sisällöstä lisää "kansainvälispoliittisen tilanteen muuttumisesta huolimatta esiintyy luvatonta tiedustelutoimintaa edelleen ja sen estämiseen tulee varautua. Tiedustelun painopiste on yhä selvemmin siirtymässä taloudellis-tekniselle sektorille".

Sääntö nro 3
Asiakkaiden luottamus on voitettava joka päivä uudelleen.
Sääntö nro 2
Riittävän isolla vasaralla voi rikkoa mitä tahansa.
Sääntö nro 1
Valvontaa ei voi korvata luottamuksella.
Sääntö nro 3
Asiakkaiden luottamus on voitettava joka päivä uudelleen.
Sääntö nro 2
Riittävän isolla vasaralla voi rikkoa mitä tahansa.
Back to content