Sosiaali- ja terveysalan valvontaviraston Valviran mukaan valmisteilla olevaan asiakastietolakiin tulee tiukennus Vastaamon tietomurron vuoksi. Psykoterapiakeskus Vastaamon tietomurto paljasti räikeän puutteen asiakastietolaissa.
Vastaamon tietojärjestelmä kuuluu niin sanottuihin B-luokan järjestelmiin, joilta laki ei edellytä ulkopuolista turvallisuuden arviointia. Valviran mukaan Suomessa on Psykoterapiakeskus Vastaamon lisäksi 260 erikokoista terveydenhuollon yritystä, joiden tietoturva perustuu käytännössä omavalvontaan.
– Yritysten tietojärjestelmien valmistajilla ja käyttäjillä on lakisääteinen velvollisuus ilmoittaa mahdollisista häiriötilanteista. Tämän jälkeen Valvira voi pyytää heiltä lisäselvitystä korjauksista, mitä havaituille tietoturvaongelmille on tehty. Käytännössä ei ole mitään ennakkosertifiointia tai hyväksymismenettelyä. Näille B-luokan järjestelmille ei ole myöskään säännönmukaista laajaa tarkastustoimintaa, toteaa yli-insinööri Arto Härkönen Valvirasta
Vastaamo on yksi suurimmista yrityksistä, jonka toiminta on perustunut omavalvontaan. Häiriöistä sekä niiden korjaamisesta olisi pitänyt ilmoittaa.
Lue myös: Vastaamon toimitusjohtaja pimitti tietomurron yli 1,5 vuotta – sai nyt potkut, yritys aloittaa oikeustoimet
Vastaamon turvallisuus pettänyt pahasti
Digi- ja väestötietoviraston mukaan turvallisuus on pettänyt pahasti Vastaamon tapauksessa.
– Riskinhallinnan tason ja turvallisuuden tason pitää olla niin lähellä sataa prosenttia kuin on mahdollista, arvioi johtava erityisasiantuntija Digi- ja väestötietovirastosta Uutisaamussa.