Ville Tapio a été condamné à trois mois de prison avec sursis.
Le tribunal de district d’Helsinki a condamné l’ancien PDG du centre de psychothérapie Vastaamo Ville Tapio à une peine de trois mois avec sursis pour une infraction à la protection des données.
Le tribunal de district a modéré la peine en raison de la large publicité reçue par la violation de données de Vastaamo et des menaces de mort reçues par Tapio.
Tapio était à la tête de l’entreprise lorsqu’elle a été touchée par une violation de données exceptionnellement importante. Un pirate a fait irruption dans les serveurs de Vastaamo, a volé les données des patients de dizaines de milliers de Finlandais et les a utilisées à des fins d’extorsion.
Les accusations contre Ville Tapio ont commencé à être traitées par le tribunal de district d’Helsinki au début du mois de mars. Le traitement a pris des jours. Antti Nikkanen
La violation de données elle-même est suspectée Aleksanteri Kivimäki, anciennement connu sous le prénom Julius. Il est en prison, soupçonné, entre autres, de violation de données aggravée.
Lacunes connues
Selon l’acte d’accusation, la première violation de données a déjà eu lieu en 2018, lorsque l’entreprise n’a réagi qu’en 2020 après que les données des patients ont été divulguées au réseau sombre Tor.
L’acte d’accusation de Ville Tapio portait sur le fait qu’il était au courant des faiblesses de la sécurité des informations de son entreprise et de la violation de données. Selon le procureur, il n’a pas cherché à régler les problèmes, mais à brouiller les pistes.
Les informaticiens au comptoir ont tenté de suggérer des corrections à Tapio pour améliorer la sécurité des informations de l’entreprise.
Les employés et Tapio ont communiqué sur le sujet une nuit d’avril 2019. À ce moment-là, Tapio a répondu à une proposition comme suit :
— A ce stade, il conviendrait d’aller de la manière la plus légère possible, afin que les entrées et déclarations de visite puissent être dites chiffrées.
La réunion liée à l’acquisition de Vastaamo a eu lieu le lendemain de l’échange de messages.
Selon le tribunal de district, il ressort des messages que Tapio avait connaissance des articles du règlement général sur la protection des données concernant la pseudonymisation et le cryptage, leur signification et le fait qu’ils n’étaient pas suivis dans le traitement des données personnelles par Vastamo.
La pseudonymisation fait référence au traitement des données personnelles de telle manière que les données ne peuvent pas être liées à une personne spécifique jusqu’à ce que des informations supplémentaires soient fournies, qui doivent être soigneusement séparées des données personnelles.
Selon le tribunal de district, les informations personnelles et les notes de visite du client ont été stockées dans la base de données des patients de Vastaamo en langage clair sans cryptage suffisant et sous une forme telle qu’elles pourraient être combinées les unes avec les autres.
Selon le tribunal, le but de Tapio était de dissimuler la méthode de traitement des données personnelles utilisée par l’autre côté de la réunion d’affaires. Il a essayé d’amener les employés informatiques à répondre au niveau minimum de solutions aux lacunes connues à peine un jour avant la réunion d’affaires.
– Tapio a commis un délit de protection des données alors qu’il n’a pas mis en œuvre les exigences du règlement général sur la protection des données concernant la pseudonymisation et le cryptage des données personnelles traitées chez Vastamo, a déclaré le tribunal dans sa décision.
Il a nié l’accusation
Selon les procureurs, Tapio a tenté de dissimuler la violation de données contre Vastaamo qui a eu lieu en mars 2019 et n’en avait pas informé le bureau du commissaire à la protection des données et Valvira. Selon les procureurs, Tapio n’a pas non plus pris de mesures suffisantes pour améliorer la sécurité des données après le cambriolage.
Selon le tribunal de district, le défaut de notification est déjà expiré. Selon le tribunal, il n’a pas non plus été démontré que Tapio aurait ordonné la destruction des données de trafic réseau liées à la violation de la sécurité des données.
À ces égards, l’accusation a été rejetée.
Tapio a nié avoir commis les crimes et a exigé que toute l’accusation soit rejetée.
Le jugement n’est pas contraignant. Puissamment selon Tapio et les procureurs envisagent de déposer une plainte auprès de la Cour d’appel.
Dans un premier temps, la police a également soupçonné deux employés en charge de la sécurité de l’information chez Vastaamo d’un délit de protection des données. Cependant, le procureur n’a pas porté plainte.