Vastaamon tapaus paljasti räikeän puutteen laissa – 260 terveydenhuoltoyrityksen tietoturva omavalvonnassa

2:28
Katso video: Laki ei ole tähän asti edellyttänyt ulkopuolisen tahon turvallisuusarviota Vastaamon tietojärjestelmästä ja muista vastaavista. Tähän on tulossa muutos.

Sosiaali- ja terveysalan valvontaviraston Valviran mukaan valmisteilla olevaan asiakastietolakiin tulee tiukennus Vastaamon tietomurron vuoksi. Psykoterapiakeskus Vastaamon tietomurto paljasti räikeän puutteen asiakastietolaissa.

Vastaamon tietojärjestelmä kuuluu niin sanottuihin B-luokan järjestelmiin, joilta laki ei edellytä ulkopuolista turvallisuuden arviointia. Valviran mukaan Suomessa on Psykoterapiakeskus Vastaamon lisäksi 260 erikokoista terveydenhuollon yritystä, joiden tietoturva perustuu käytännössä omavalvontaan.

– Yritysten tietojärjestelmien valmistajilla ja käyttäjillä on lakisääteinen velvollisuus ilmoittaa mahdollisista häiriötilanteista. Tämän jälkeen Valvira voi pyytää heiltä lisäselvitystä korjauksista, mitä havaituille tietoturvaongelmille on tehty. Käytännössä ei ole mitään ennakkosertifiointia tai hyväksymismenettelyä. Näille B-luokan järjestelmille ei ole myöskään säännönmukaista laajaa tarkastustoimintaa, toteaa yli-insinööri Arto Härkönen Valvirasta

Vastaamo on yksi suurimmista yrityksistä, jonka toiminta on perustunut omavalvontaan. Häiriöistä sekä niiden korjaamisesta olisi pitänyt ilmoittaa.

Vastaamon turvallisuus pettänyt pahasti

Digi- ja väestötietoviraston mukaan turvallisuus on pettänyt pahasti Vastaamon tapauksessa.

– Riskinhallinnan tason ja turvallisuuden tason pitää olla niin lähellä sataa prosenttia kuin on mahdollista, arvioi johtava erityisasiantuntija Kimmo Rousku Digi- ja väestötietovirastosta Uutisaamussa.

– Tässä tapauksessa siellä on [turvallisuus] pettänyt. Syynä voi olla jokin tekninen järjestely,  inhimillinen erehdys tai piittaamattomuus huolehtia turvallisuudesta tai asiakkaiden henkilötiedoista

Vähemmistö tietojärjestelmistä ulkopuolisen valvonnassa

Helsingin ja Uudenmaan sairaanhoitopiirin tietojärjestelmät kuuluvat tiukasti valvottuun A-luokkaan, joita Suomessa on 70 ja omavalvontaa pohjautuvia järjestelmiä on peräti 260.

A-luokan järjestelmät arvioidaan etukäteen ulkopuolisen asiantuntijan toimesta ja ne sertifioidaan.

Vastaamon kaltainen tietomurto olisi HUS:issa lähes sula mahdottomuus, koska henkilötiedot ja potilastiedot ovat eri järjestelmissä.

– Digitaalisella hoitopolulla tapahtunut yhteydenpito on yhteydessä ainoastaan tunnus-ID:hen ja toisessa paikassa käytössä on ID ja henkilötunnus, eli tietomurtautujan pitäisi samanaikaisesti murtautua erittäin taitavasti kahdesta suunnasta päästäkseen meidän potilastietoihin käsiksi, sanoo it-kehitysjohtaja Visa Honkanen HUS:ista.

Lue myös

    Uusimmat

    Sivusto ei tue käyttämääsi selainta. Suosittelemme vaihtamaan tuettuun selaimeen. Lisätietoja