Tietosuojavaltuutetun toimisto on määrännyt Aktia Pankille 865 000 euron seuraamusmaksun, koska pankki laiminlöi tietoturvallisuuden sähköisessä tunnistuspalvelussaan. Häiriön vuoksi osa käyttäjistä pääsi näkemään toisten asiakkaiden arkaluonteisia tietoja, ja jopa asioimaan heidän nimissään.
Kyse oli tammikuussa 2023 sattuneesta noin tunnin mittaisesta virhetilanteesta, joka syntyi pankin tekemän teknisen muutoksen seurauksena. Tapahtuma ei vaikuttanut Aktian verkkopankkiin, mutta koski useita viranomais- ja asiointipalveluja, kuten työttömyyskassoja, vakuutusyhtiöitä ja terveydenhuollon järjestelmiä.
Tietovuodon piirissä oli noin 350 henkilöä. Aktian mukaan tietoja ei ole käytetty väärin, mutta vahinko oli tietosuojavaltuutetun mukaan silti vakava.
"Vahvan tunnistautumisen on toimittava virheettömästi, sillä sen tarkoitus on suojata ihmisten henkilöllisyys ja yksityiset tiedot", korostaa apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa.
Tietosuojavaltuutetun toimisto totesi, että Aktia oli toteuttanut tunnistuspalvelun teknisen muutoksen puutteellisesti. Muutosta ei ollut testattu riittävän laajasti, vaikka testaus olisi voitu tehdä tavanomaisin menetelmin.
Pankki on sittemmin ottanut käyttöön uusia testauskäytäntöjä, jotka estävät tunnistautumisten sekoittumisen jatkossa.
Pihamaan mukaan tietoturvatoimien taso on aina suhteutettava käsiteltävien tietojen määrään ja niiden arkaluonteisuuteen. @Mitä suuremmat riskit yksilöille ovat, sitä enemmän on panostettava turvallisuuteen", hän toteaa.
Seuraamuskollegio piti rangaistusta perusteltuna, koska Aktia ei ollut noudattanut tietosuojalainsäädännön vaatimuksia henkilötietojen turvallisesta käsittelystä. Maksun suuruutta kuitenkin lievensi se, että pankki reagoi tilanteeseen nopeasti ja ryhtyi korjaaviin toimiin heti.
Tietosuojavaltuutettu antoi pankille myös virallisen huomautuksen.
Aktian näkemyksen mukaan tietosuojaviranomaisen päätös sisältää virheellisiä tulkintoja Aktian tietoturvatestauksesta ennen tapahtunutta virhettä.
Aktia pitää viranomaisen tulkintoja soveltuvasta sääntelystä sekä seuraamusmaksua ankarana suhteessa tapahtumaan, jossa on kyse yksittäistapauksesta ja jossa Aktia on reagointikyvyllään ja -nopeudellaan osoittanut organisaatiotasoista tietoturvaansa.
Aktia tulee valittamaan päätöksestä hallinto-oikeuteen.
Kuva Mufid Majnun Unsplash