Sosiaali- ja terveysalan valvontaviraston Valviran mukaan valmisteilla olevaan asiakastietolakiin tulee tiukennus Vastaamon tietomurron vuoksi. Psykoterapiakeskus Vastaamon tietomurto paljasti räikeän puutteen asiakastietolaissa.
Vastaamon tietojärjestelmä kuuluu niin sanottuihin B-luokan järjestelmiin, joilta laki ei edellytä ulkopuolista turvallisuuden arviointia. Valviran mukaan Suomessa on Psykoterapiakeskus Vastaamon lisäksi 260 erikokoista terveydenhuollon yritystä, joiden tietoturva perustuu käytännössä omavalvontaan.
– Yritysten tietojärjestelmien valmistajilla ja käyttäjillä on lakisääteinen velvollisuus ilmoittaa mahdollisista häiriötilanteista. Tämän jälkeen Valvira voi pyytää heiltä lisäselvitystä korjauksista, mitä havaituille tietoturvaongelmille on tehty. Käytännössä ei ole mitään ennakkosertifiointia tai hyväksymismenettelyä. Näille B-luokan järjestelmille ei ole myöskään säännönmukaista laajaa tarkastustoimintaa, toteaa yli-insinööri Arto Härkönen Valvirasta
Vastaamo on yksi suurimmista yrityksistä, jonka toiminta on perustunut omavalvontaan. Häiriöistä sekä niiden korjaamisesta olisi pitänyt ilmoittaa.
Lue myös: Vastaamon toimitusjohtaja pimitti tietomurron yli 1,5 vuotta – sai nyt potkut, yritys aloittaa oikeustoimet
Vastaamon turvallisuus pettänyt pahasti
Digi- ja väestötietoviraston mukaan turvallisuus on pettänyt pahasti Vastaamon tapauksessa.
– Riskinhallinnan tason ja turvallisuuden tason pitää olla niin lähellä sataa prosenttia kuin on mahdollista, arvioi johtava erityisasiantuntija Kimmo Rousku Digi- ja väestötietovirastosta Uutisaamussa.
– Tässä tapauksessa siellä on [turvallisuus] pettänyt. Syynä voi olla jokin tekninen järjestely, inhimillinen erehdys tai piittaamattomuus huolehtia turvallisuudesta tai asiakkaiden henkilötiedoista
Vähemmistö tietojärjestelmistä ulkopuolisen valvonnassa
Helsingin ja Uudenmaan sairaanhoitopiirin tietojärjestelmät kuuluvat tiukasti valvottuun A-luokkaan, joita Suomessa on 70 ja omavalvontaa pohjautuvia järjestelmiä on peräti 260.
A-luokan järjestelmät arvioidaan etukäteen ulkopuolisen asiantuntijan toimesta ja ne sertifioidaan.
Vastaamon kaltainen tietomurto olisi HUS:issa lähes sula mahdottomuus, koska henkilötiedot ja potilastiedot ovat eri järjestelmissä.
– Digitaalisella hoitopolulla tapahtunut yhteydenpito on yhteydessä ainoastaan tunnus-ID:hen ja toisessa paikassa käytössä on ID ja henkilötunnus, eli tietomurtautujan pitäisi samanaikaisesti murtautua erittäin taitavasti kahdesta suunnasta päästäkseen meidän potilastietoihin käsiksi, sanoo it-kehitysjohtaja Visa Honkanen HUS:ista.