#Vastaamo kuultavana tänään it-henkilö, jonka ominta aluetta oli multimedia. #Tietosuojavastaava Nimitys tuli ennen Interan kauppaa 5/2019 "koska sellainen piti vain olla". Virallista koulutusta aiheeseen muutama tunti Snellmannin kesäyliopistosta. #tietosuoja #GDPR
Syyttäjä: "Kuka hallinnoi #Vastaamo tietojärjestelmien käyttäjätunnuksia?" Vastaaja heiluttelee käsiään. Ei ollut kirjallisia käytäntöjä.
Syyttäjä: "Tekikö kukaan tietoturvatestausta?" Vastaaja: "Ei"
Vastaaja: "Versionhallinta oli, mutta sitä ei voitu käyttää, koska Ville Tapio teki muutoksia suoraan palvelimella pyörivän tuotantojärjestelmän koodiin."
Vastaaja: "Järjestelmää ei ollut dokumentoitu, koodissa oli jotain hassuja kommentteja"
Syyttäjä: Mikä on 'kikkare'?
Vastaaja: "#Kikkare on joskus tehty koodinpätkä, joka on saanut liian vähän rakkautta osakseen. Hylkiölapsi. Välttämätön paha."
Vastaaja: "#Kikkare on joskus tehty koodinpätkä, joka on saanut liian vähän rakkautta osakseen. Hylkiölapsi. Välttämätön paha."
Keskeinen kysymys siitä, miten yhtiö reagoi 15.3.2019, kun tietokanta oli kaadettu ja jätetty 200 euron (!) kiristysviesti. Ville Tapio käski palauttaa toiminnan mahd. nopeasti. "Villen mukaan jos asioita ei voinut vahvistaa, niitä ei ollut tapahtunut".
Ilmoitus Valviralle tehtiin, mutta tapahtumista annettiin siloiteltu kuva. "Olin huolissani, että mahdollinen potilastietovahinko on tapahtunut, joten olisi pitänyt mainita."
Edellinen backup oli 10 pv vanha, vastaaja kaivoi "paksulla hammastikulla" tavu kerrallaan puuttuvat tiedot Mysql-välimuistista, kanta palautui täysin vasta toukokuun alussa.
Tapion asiamies: "Kuka vastasi #Vastaamo tietoturvasta?"
Vastaaja: "En tiedä. En minä ainakaan. Eikä toinen it-kaveri. Joten jäljelle jää vain Ville Tapio."
Vastaaja: "En tiedä. En minä ainakaan. Eikä toinen it-kaveri. Joten jäljelle jää vain Ville Tapio."
Omavalvontasuunnitelmassa 2017 lukee "järjestelmän tietoturvasta vastaa Vastaamon nimetty tietosuojavastaava" (joka oli vastaaja). Vastaaja kiistää kaiken vastuunsa tietoturvasta.
Vastaaja: "(tietoturva)dokumentit vain tehtiin koska ne piti olla olemassa, ei niitä ollut tarkoituskaan panna täytäntöön"
(Tässä vaiheessa loputkin hiukseni nousevat pystyyn)
(Tässä vaiheessa loputkin hiukseni nousevat pystyyn)
Vastaaja vetoaa siihen, että hänellä oli nollatuntisopimus, joten hän ei vastannut mistään eikä tietosuojatehtävistä mainittu työsopimuksessa ennen kuin vasta 2020 - nimi vain kirjattiin papereihin.
Vastaaja: "Vastaamon tapauksessa jos jotain asiaa ei hoidettu kunnolla, niin se oli tietoturva." (Voisiko sitä tämän selvemmin sanoa?)
Huom: termillä "Vastaaja" tarkoitan siis Vastaamon it-järjestelmäarkkitehtiä, jota kuullaan todistajan asemassa ja joka vastaa syyttäjän kysymyksiin. Hänen osaltaan tehtiin syyttämättäjättämispäätös, joten vastaaja ei ole tässä yhteydessä juridinen termi.
Todistajan tittelinä oli Tietosuojavastaava ja järjestelmäarkkitehti, toimenkuva oli omasta mielestä talonmies. Haki laitteita kaupasta ja asensi niitä, teki sekalaisia it-töitä. Tietoturva ei ollut kenenkään vastuulla.
• • •
Missing some Tweet in this thread? You can try to
force a refresh
