Tällä viikolla voimaan tullut uusi asiakastietolaki kiristi merkittävästi terveysyritysten tietojärjestelmien vaatimuksia, jottei Vastaamon kaltainen tietomurto toistu.
Sosiaali- ja terveysalan lupa- ja valvontaviraston Valviran mukaan pienemmiltä yrityksiltäkin voidaan edellyttää lisäksi ulkopuolista tietoturvallisuuden arviointia.
Vastaamoon ostaneessa Vervessä tietojärjestelmät ovat parasta A-luokkaa Valviran mukaan. Terapeutti kirjaa potilastiedot suojatussa verkossa, ja tiedot kirjautuvat tiukasti suojattuun Kelan Kantajärjestelmään.
Ulkopuolinen yritys on arvioinut Verven järjestelmien turvallisuuden. Tietoturvan päivitykset ovat jatkuvia, sillä hyökkäysyritysten määrä on lisääntynyt.
Verven kehitysjohtajan Jorma Kudjoin mukaan yrityksessä oli jo aiemminkin hyvä tietoturva, jota vielä parennettiin ja henkilökuntaa koulutettiin.
– Se tiukka rajaus oli, että meille ei siirtynyt mitään järjestelmiä Vastaamosta eikä potilasasiakirjoja eli lähdettiin puhtaalta pöydältä. Käytämme tunnettua laajasti terapiapalveluihin käytettyä valmisohjelmistoa, lisää Kudjoi.
Vastaamo oli sen sijaan kehittänyt itse oman tietojärjestelmänsä, ja valvoi sitä myös itse. Kaiken lisäksi tiedot tallentuivat yrityksen omille palvelimille eikä tietoturvasta huolehdittu tarpeeksi.
Laissa useita parannuksia tietoturvaan
Uusi laki pyrkii estämään vastaavanlaiset tietomurrot, kun isojen yritysten ulkopuolinen tietojärjestelmien auditointi lisääntyy eikä potilastietoja voi tallentaa enää ainoastaan omille palvelimille.