Monetra Pohjois-Savo Oy vastaa Kuopion kaupungin talous- ja palkkahallinnon palveluista. Monetrassa tapahtui 9.3.2023 inhimillinen virhe sähköpostin lähettämisen yhteydessä. Monetran lähettämä henkilötietoja sisältävä aineisto joutui väärälle vastaanottajalle, mistä aiheutui henkilötietojen tietoturvaloukkaus. Tietoturvaloukkaus koski osaa varhaiskasvatuksen henkilöstöä ja heidän työsuhdetietojaan, joita Monetra on käsitellyt toimeksiantonsa perusteella. 

Sähköpostin lähettäminen ja aineiston käsittely liittyi Monetran sisäiseen työskentelyyn varhaiskasvatuksen henkilöstön tietojen lakisääteisessä siirrossa henkilöstöhallinnon Personec – järjestelmästä opetushallituksen Varda-tietovarantoon. Aineisto sisälsi henkilöstöä (1143 henkilöä) yksilöivänä tietona nimen, henkilötunnuksen ja henkilönumeron. Kyseiset tiedot ovat välttämättömiä henkilön yksilöimiseksi, jotta mahdollisesti tarvittavat muutokset tehdään oikean henkilön työsuhdetietoon.

Kyseessä olevan inhimillisen virheen aiheutti Outlookin toiminnallisuus, joka esittää automaattisesti vastaanottajaa, jolloin vastaanottajaksi valikoitui asiaan kuulumaton henkilö. Kyseinen henkilö oli oikean vastaanottajan täyskaima. 

Rekisterinpitäjän toimenpiteet

Virhe tapahtui 9.3.2023 ja asian selvittäminen aloitettiin välittömästi. Tietoturvaloukkauksen kohteena olleille henkilöille on lähetetty asiasta ilmoitus 17.3.2023 päivätyllä kirjeellä.

EU:n yleisen tietosuoja-asetuksen ja Kuopion kaupungin poikkeamaohjeistuksen mukaisesti tapahtunut on kirjattu henkilötietojen tietoturvaloukkaukseksi ja selvitetty yhdessä Monetran edustajien kanssa. Kuopion kaupunki on tehnyt tapahtuneesta ilmoituksen tietosuojavaltuutetulle. 

Rekisterinpitäjän edustajat ja Monetra ovat arvioineet rekisteröidyille aiheutunutta riskiä. Rekisterinpitäjä ja Monetra arvioivat, että mahdollisuus henkilötietojen väärinkäytölle on pieni, koska sähköpostin vastaanottaja on toiminut vastuullisesti ilmoittaen asiasta viipymättä ja toiminut saamiensa ohjeiden mukaisesti. Tietojen mahdollinen väärinkäyttö tai leviäminen on saatu estettyä.

Kuopion kaupunki ei olisi omilla toimenpiteillään voinut estää tapahtunutta. Kaupunki suhtautuu kaikkiin tietoturvaloukkauksiin vakavasti ja pahoittelee tästä aiheutunutta harmia.