Nyt puhuu Ville Tapio: ”Internet täynnä roskaporukkaa”

Vastaamon ex-toimitusjohtajan mielestä hän ei edelleenkään ole tehnyt mitään väärää.

Konkurssiin ajautuneen Psykoterapiakeskus Vastaamon ex-toimitusjohtaja Ville Tapion mielestä Vastaamo-jutusta on välittynyt julkisuuteen väärä kuva.

Ex-toimitusjohtajan mukaan media ja erityisesti syyttäjän tekemät syyttämättäjättämispäätökset leimasivat hänet syylliseksi jo ennen oikeudenkäyntiä.

Hän ei ota suoraan kantaa siihen, mitä virheitä hän on saattanut itse tehdä.

– Tietysti olen varmasti luottanut väärin henkilöihin. Kun jälkikäteen ajattelen, niin olisi varmaan ollut sellaisia tilanteita, missä olisin voinut puuttua asioihin.

Tapion syytteitä käsitellään parasta aikaa hovioikeudessa.

Absurdeja juttuja

Ville Tapio tuomittiin huhtikuussa 2023 kolmen kuukauden ehdolliseen vankeuteen tietosuojarikoksesta. Ennen oikeudenkäyntiä syyttäjä p äätti jättää kaksi Vastaamon IT-työntekijää syyttämättä rikoksista.

IT-työntekijät sälyttivät omissa kuulusteluissaan vastuuta ongelmista toimitusjohtajan niskaan. Syyttämättäjättämispäätöksissä avattiin Vastaamon IT-osaston resursseja ja Tapion johtamistyyliä. Tapion mielestä väitteet olivat täyttä puppua.

– Siinä otettiin kantaa minun syyllisyyteeni ennen oikeudenkäyntiä. En voinut siinä vaiheessa mitenkään puolustautua. En saanut tuoda julkisuuteen mitään tietoja, mitkä olivat ennen oikeudenkäyntiä salassapidettäviä.

Tapion mukaan ”virheelliset väitteet” elävät edelleen julkisuudessa, vaikka niitä on käsitelty myös käräjäoikeudessa. Tapio on kirjoittanut näkemyksistään myös Linkedinissä.

– On absurdia lukea jotakin kansainvälisiä tieteellisiä julkaisuja, joissa käytetään lähteenä englanniksi käännettyjä suomenkielisiä lehtiartikkeleita. Niissä on kaikenlaisia kohuväitteitä, joille ei ollut missään vaiheessa mitään totuuspohjaa, hän sanoo.

”Hyvin koulutettuja ja kokeneita”

Tapio aloitti Vastaamon toimitusjohtajana kesällä 2013. Samalla Vastaamo siirtyi valtakunnallisen Valviran valvonnan piiriin, mistä seurasi uusia vaatimuksia. Yrityksen potilastietojärjestelmän ohjelmiston alkuperäinen kehittäjä irtisanoutui.

Tilalle palkattiin neljä henkilöä yrityksestä, joka oli ollut mukana kehittämässä alkuperäistä potilastietojärjestelmää.

– Yleisellä tasolla voin sanoa, että kaikki henkilöt, jotka siinä olivat mukana, olivat hyvin koulutettuja ja hyvin kokeneita, sanoo Tapio.

IT-työntekijöiden asema oli Tapion mukaan hyvin itsenäinen. Työntekijät raportoivat hänelle kerran kuussa siitä, mitä he ovat tehneet ja miten projektit ovat edenneet.

Tapion mukaan Vastaamon IT-työntekijöillä oli käytössään 40 000 euron luotollinen tili Verkkokauppa.comista. Hän kiistää, ettei osastolla olisi ollut käytettävissään resursseja.

Sähköpostit, joissa IT-työntekijät näyttävät tekevän itsenäisesti hankintoja, tulivat julkiseksi esitutkinnan ja oikeudenkäynnin kautta.

”Mikään ei olisi pelastanut”

Työntekijöiden mukaan Tapiota kiinnosti vain voitontavoittelu. Rikoksista epäiltynä IT-työntekijät kertoivat tuoneensa ilmi huolensa yhtiön puutteellisesta tietoturvasta ja tehneensä Tapiolle hankintaehdotuksia sen parantamiseksi. Tapio kuitenkin torppasi ehdotukset.

Tapion mukaan väitteet eivät pidä paikkaansa. Yrityksen yhtiöjärjestykseen oli kirjattu, että voitot käytetään Vastaamon yhteiskunnallisen mission toteuttamiseen. Vastaamon työntekijöiden ei pitänyt myöskään ennalta hyväksyttää hankintoja häneltä.

Asiakirjalähteiden perusteella laitehankinnoilla ei ollut myöskään merkitystä, koska tietomurto johtui inhimillisestä tekijästä. Normaalisti potilastiedot olivat suljetun yhteyden takana. Vastaamon palvelimelle syntyi tietoturva-aukko loppuvuodesta 2017, kun toinen IT-työntekijöistä pyysi marraskuussa avaamaan tietoliikenneportin.

– Se ei liittynyt millään tavoin laitteiden tai softien puutteeseen, vaan siihen, että ylläpitäessä toimittiin vastoin käytäntöjä ja kaikkia hyviä tapoja, kun käytössä olleet suojaukset avattiin ja poistettiin. Sitä ei olisi mikään laite tai softa pelastanut.

Portti oli avoinna puolitoista vuotta. Palvelimelle murtauduttiin vuonna 2018 ja sieltä anastettiin kymmenientuhansien asiakkaiden potilastiedot, joita säilytettiin selkokielisinä. Henkilötiedot oli eriytetty tauluihin, jotka olivat yhdistettävissä toisiinsa tauluissa olevilla avaimilla.

Kova väite

Syyskuussa 2020 Tapio ja Vastaamon IT-työntekijät saivat kiristysviestit sähköpostitse. Hänet irtisanottiin toimitusjohtajan paikalta 26. lokakuuta 2020. Samana päivänä Vastaamon hallituksen puheenjohtaja Tuomas Kahri syytti Ilta-Sanomissa Tapion salanneen tietomurron yli puolentoista vuoden ajan.

Intera Partners osti Vastaamon vuonna 2019 Ville Tapiolta ja hänen vanhemmiltaan. Tapio uskoo, että hänet päätettiin heittää bussin alle, jotta yrityskauppa voitaisiin purkaa.

– IT-työntekijät olivat palkansaajia. Minulla oli ne yrityskaupparahat. Oli tavallaan hyödyllisempää lähteä haastamaan minua kuin näitä työntekijöitä, hän uskoo.

Helsingin käräjäoikeus katsoi jääneen näyttämättä, että Tapio olisi määrännyt tietoturvaloukkaukseen liittyvän verkkodatan tuhottavaksi. Todisteena asiasta esitettiin tuhotuksi väitetty verkkoliikennedata, joka oli osa asian esitutkintamateriaalia.

Vastaamoon maaliskuussa 2019 tapahtuneen tietomurron ilmoitusvelvollisuuden laiminlyönti oli käräjäoikeuden mukaan jo vanhentunut. Syyttäjän hovioikeudelle toimittaman valituksen mukaan syynä oli päivämäärävirhe.

Helsingin käräjäoikeuden mukaan Tapio oli tietoinen tietosuoja-asetuksen pseudonymisointia ja salausta koskevasta artiklasta. Käräjäoikeuden mukaan Tapio pyrki salaamaan yrityskaupan osapuolelta, ettei henkilötietoja ollut pseudonymisoitu tai salattu.

Tapion Helsingin hovioikeudelle toimittaman valituksen mukaan tietojen pseudonymisointi ja salaus ei ole pakottava velvoite vaan suositus.

Kommentoi Kivimäkeä

Länsi-Uudenmaan käräjäoikeus tuomitsi Aleksanteri Kivimäen Vastaamon tietomurrosta ja kiristämisestä kuuden vuoden vankeuteen. Tapio oli paikalla Espoossa seuraamassa Kivimäen kuulemista tammikuussa 2024.

Kysyttäessä Tapio sanoo, ettei hänellä ole erityistä sanottavaa Kivimäestä.

– Internet ja maailma ovat täynnä semmoista pimeää roskaporukkaa, josta ei pääse eroon sillä, että sieltä poistetaan yksi toimija, hän toteaa.

Helsingin käräjäoikeuden mukaan Tapio syyllistyi tietosuojarikokseen, kun hän ei toteuttanut Vastaamossa yleisen tietosuoja-asetuksen vaatimusta käsiteltävien henkilötietojen pseudonymisoinnista ja salauksesta.

Tapio ja syyttäjä ovat valittaneet tuomiosta hovioikeuteen. Asiaa alettiin käsitellä oikeudessa viime viikolla.