Sanna VirtanenHelsingin hovioikeus koventi Aleksanteri Kivimäen tuomiota Vastaamo-asiassa helmikuussa 2026: hakkeri tuomittiin kuuteen vuoteen ja 11 kuukauteen ehdottomaan vankeusrangaistukseen. Alkuperäisestä käräjäoikeuden tuomiosta (6 vuotta ja 3 kuukautta) rangaistus nousi, koska hovioikeus katsoi rikoksen kohdistuneen poikkeuksellisen laajaan uhriryhmään ja haavoittuviin henkilöihin. Kivimäki itse on ilmoittanut haluavansa valittaa korkeimpaan oikeuteen. Hakusana "tuomio" räjähti yli 100 hakuun päivässä Suomessa juuri tämän oikeusprosessin uutisoinnin myötä.
Mutta mitä Vastaamo-tapauksen uhrit voivat vielä tehdä? Ja mitä tämä tapaus opettaa suomalaisille heidän oikeuksistaan tietosuojarikoksen jälkeen?
Mikä Vastaamo-tapaus oli — lyhyesti
Psykoterapiakeskus Vastaamon tietojärjestelmiin murtauduttiin vuonna 2018, ja potilastietokanta kopioitiin. Vuoteen 2020 mennessä tiedot noin 33 000 potilaan arkaluonteisista psykoterapian sessiomerkinnöistä olivat levinneet verkkoon. Uhrit saivat kiristysviestejä ja heidän terapeuttiseen hoitoonsa liittyviä yksityistietojaan julkaistiin.
Aleksanteri Kivimäki, joka tunnistettiin tekijäksi kansainvälisen poliisiyhteistyön tuloksena, pidätettiin Ranskassa vuonna 2023. Käräjäoikeus tuomitsi hänet vuonna 2024. Hovioikeuden kovennettu tuomio helmikuussa 2026 merkitsi, että Kivimäki jatkaa vankilassa, vaikka vaati kaikkien syytteiden hylkäämistä.
Tapaus on Suomen historian laajin henkilökohtaisiin terveystietoihin kohdistunut tietomurto.
Mitä oikeuksia Vastaamo-uhreilla on vuonna 2026?
Hovioikeuden tuomio on tärkeä rikosoikeudellisesti — mutta uhrien korvausoikeudellinen tilanne on erillinen kysymys. Asianajajat muistuttavat, että rikosoikeudellinen tuomio ja siviilioikeudellinen vahingonkorvaus ovat kaksi eri asiaa, ja jälkimmäinen ei ratkea automaattisesti rikostuomion myötä.
Vahingonkorvaukset rikoksen uhrille: Suomen vahingonkorvauslain nojalla rikoksen uhri voi vaatia tekijältä korvausta kärsimästään vahingosta — sekä taloudellisesta (esim. terapiakulut lisääntyneistä sessiokäynneistä) että muusta (henkinen kärsimys). Vastaamo-asiassa korvausvaatimukset käsiteltiin osittain rikosasian yhteydessä, mutta osa uhreista ei ole vielä saanut kaikkia vaatimuksiaan käsiteltyä.
Vakuutusyhtiö Veritas ja uhrirahaston korvaukset: Vastaamon konkurssin ja tekijällä mahdollisesti olevan maksukyvyttömyyden vuoksi osa korvauksista on jäänyt saamatta. Rikosuhrirahasto (RIKU) voi tietyissä tapauksissa korvata uhrille rikoksesta aiheutuneita kustannuksia — tätä kannattaa selvittää asianajajan avulla.
Henkilötietolain ja GDPR:n mukaiset korvaukset Vastaamolta: Erillisistä kanteista Vastaamo Oy:tä vastaan johtuen tietosuojavelvoitteiden laiminlyönnistä on myös mahdollista hakea korvauksia. Tietosuojavaltuutetun toimisto on käsitellyt Vastaamo-tapauksen ja todennut organisaation rikkoneen EU:n tietosuoja-asetusta (GDPR). Tämä luo pohjan erilliselle vahingonkorvauskanteelle.
Vanhentumisajat: Vahingonkorvausvaatimuksilla on vanhentumisajat. Suomen velan vanhentumisesta annetun lain nojalla henkilövahingon korvauskanne vanhentuu tyypillisesti 10 vuodessa vahingon syntymisestä. Vuodesta 2018 laskettuna määräaika alkaa umpeutua 2028 — eli kiirehtiminen ei ole välttämätöntä, mutta odottaminen ei ole eduksi.
Mitä tämä tapaus opettaa tietoturva- ja tietosuojaoikeuksista?
Vastaamo-tapaus on paitsi rikosasiakin myös tietosuojaoikeudellinen ennakkotapaus Suomessa. Se on ensimmäinen näin laajamittainen tapaus, jossa arkaluonteisten terveysdatan murtautuminen on tuomittu rikosoikeudellisesti Suomessa ja jossa uhrien korvausoikeus on ollut laajimman käsittelyn kohteena.
Hovioikeuden päätöksellä on myös laajempi yhteiskunnallinen merkitys: se vahvistaa, että erityisen arkaluonteisten tietojen — kuten psykoterapiakirjausten — luvaton käsittely ja levittäminen on vakava rikos, josta seuraa ankaran rangaistuksen. Tämä linjaus on tärkeä myös tulevia tietomurtotapauksia ajatellen.
Samalla tapaus on paljastanut suomalaisen tietosuoja- ja terveydenhuoltosektorin haavoittuvuuksia: arkaluonteiset potilastiedot olivat tallennettuna suojaamattomasti, eikä yrityksen tietoturva vastannut lainsäädännön vaatimuksia. GDPR:n nojalla rekisterinpitäjä — tässä tapauksessa Vastaamo — oli vastuussa tietoturvasta, ja sen laiminlyönti avaa siviilioikeudellisen vastuun.
Asianajajat korostavat useita keskeisiä oppeja kaikille, joita tietomurto koskee:
Ensin: Tietomurron uhri on oikeutettu saamaan tietoa siitä, mitä tietoja hänestä on vuotanut. Rekisterinpitäjällä on GDPR:n nojalla velvollisuus ilmoittaa tietomurrosta asianomaisille viivytyksettä — mutta käytännössä tämä on usein puutteellista. Jos et ole saanut ilmoitusta, voit pyytää rekisterinpitäjältä selvityksen.
Toiseksi: Uhrit voivat tehdä ilmoituksen tietosuojavaltuutetulle, jos he epäilevät, että heidän tietojaan on käsitelty lainvastaisesti. Tietosuojavaltuutetun toimisto voi määrätä organisaatiolle seuraamuksia ja auttaa vahingonkorvausoikeuden selvittämisessä.
Kolmanneksi: Psyykkinen kärsimys on korvattava vahinko. Suomalaisessa oikeudessa on ollut perinteisesti varovainen kärsimyskorvausten suhteen, mutta Vastaamo-tapaus on nostanut esille sen, että arkaluonteisten terveystietojen leviäminen voi aiheuttaa vakavan ja pitkäkestoisen psyykkisen haitan, jolla on korvattava arvo.
Korkeimpaan oikeuteen vai ei?
Kivimäen asianajaja on todennut asiakkaan haluavan hakea valituslupaa korkeimpaan oikeuteen. Tämä ei tarkoita, että tapaus alkaa alusta — korkeimmalta oikeudelta pyydetään ensin lupa käsitellä asia, ja luvan saaminen on harvinaista. Pääsääntöisesti KKO:n ratkaisut koskevat lainkäytön yhtenäisyyttä, eivät yksittäistapausten tosiseikastoa.
Uhrien näkökulmasta mahdollinen KKO-käsittely tarkoittaa asian pitkittymistä — mutta ei estä siviilioikeudellisten vaatimusten ajamista erikseen.
Oikeusministeriön virallinen tietopankki Oikeus.fi tarjoaa ajantasaista tietoa rikosuhrin oikeuksista osoitteessa oikeus.fi/en/themes/criminal-cases/judgments.
Mitä tapahtuu, jos tekijällä ei ole varoja maksaa korvauksia?
Tämä on Vastaamo-tapauksen yksi keskeisimmistä kysymyksistä. Rikostuomio ei automaattisesti tarkoita, että uhri saa korvaukset — tekijällä pitää olla maksukykyä.
Suomessa toimii useita mekanismeja, joiden kautta uhri voi saada korvauksia myös silloin, kun tekijä on maksukyvytön:
Valtionkorvaus henkirikosten ja väkivaltarikosten uhreille kattaa joissakin tapauksissa myös vakavat rikokset, joissa on aiheutunut vakavaa psyykkistä vahinkoa. Rikosuhripäivystys (RIKU) auttaa selvittämään, onko tähän oikeus.
Korvausvaatimukset vastuutahoilta — tässä tapauksessa Vastaamo Oy:n konkurssipesältä tai vakuutusyhtiöltä — ovat erillinen oikeudellinen polku. Jos Vastaamo otti kyberturvallisuusvakuutuksen, vakuutusyhtiö voi olla vastuussa osasta korvauksia.
Tietosuojavaltuutetun kautta voidaan hakea korvauksia GDPR:n nojalla, ja EU-tasolla on ennakkotapauksia, joissa organisaatio on velvoitettu maksamaan uhreille korvauksia tietosuojarikkomuksesta. Nämä prosessit ovat hitaita, mutta voivat tuottaa tulosta.
Käytännössä moni Vastaamo-uhri on jo luovuttanut oikeustaistelun väsymykseen tai epätietoisuuteen prosessista. Juuri siksi asianajajan konsultointi ennen luovuttamista on perusteltua.
Milloin Vastaamo-uhrin kannattaa ottaa yhteyttä asianajajaan?
Jos olet Vastaamo-tapauksen uhri — tai yleisemmin tietomurron uhri — asianajajan konsultointi on perusteltua seuraavissa tilanteissa:
- Et ole saanut korvauksia, vaikka sinulle on aiheutunut selkeää vahinkoa (terapiakulut, psyykkinen kärsimys, identiteettivarkaus)
- Et tiedä, onko sinulla oikeus hakea korvauksia rikosuhrirahastosta tai tietosuojavaltuutetun kautta
- Olet epävarma vanhentumisajoista tai siitä, missä vaiheessa oikeudelliset mahdollisuutesi sulkeutuvat
- Haluat selvittää, voitko tehdä erillisen korvauskanteen Vastaamo Oy:n konkurssipesää tai muuta vastuutahoa vastaan
Expert Zoomin lakiasiantuntijat auttavat sinua ymmärtämään oikeutesi — myös tietosuojarikoksissa ja vahingonkorvausasioissa. Oikeudellinen neuvonta auttaa sinua tekemään tietoisen päätöksen siitä, kannattaako asiaa ajaa eteenpäin ja miten prosessi etenee käytännössä.
Tämä artikkeli on tarkoitettu yleiseksi tiedoksi eikä muodosta henkilökohtaista oikeudellista neuvontaa. Oikeudellinen tilanteesi voi poiketa yleisistä periaatteista — konsultoi asianajajaa oman tilanteesi arvioimiseksi.
