Suomessa on 260 sosiaali- ja terveydenhuollon potilastietojärjestelmää, joiden tietoturvallisuutta viranomaiset valvovat lähinnä poikkeustapauksissa.
Tällainen järjestelmä on muun muassa psykoterapiapalveluja tarjoavalla Vastaamolla, jonka potilastietoja anastettiin. Järjestelmä on Vastaamon itsensä kehittämä.
Tavallisesti tietoturvallisuudesta vastaa järjestelmän valmistaja, ja Valvira puuttuu asiaan vain, jos valmistajat ilmoittavat poikkeamista tai ongelmista.
– Järjestelmän valmistajilla, samoin kuin järjestelmän käyttäjillä, on lakisääteinen velvollisuus ilmoittaa meille, jos niiden järjestelmien toiminnassa tai käytössä ilmenee poikkeamia toimivuudessa tai tietoturvassa, Valviran terveydenhuollon valvontaosaston yli-insinööri Antti Härkönen kertoo.
Tiukempi seula on järjestelmillä, jotka liitetään valtakunnalliseen terveystietojen Kanta-palveluun. Niiden osalta rekisteröinnin edellytyksenä on Kelan tekemä Kanta-yhteistestaus, minkä lisäksi niille tehdään tietoturva-arviointi.
Tällaisia A-luokan järjestelmiä Valviran rekisterissä on 82 kappaletta.
B-luokan tietojärjestelmien, eli esimerkiksi Vastaamon järjestelmän, kohdalla kelpoisuusehtoja ei ole. Ne ilmoitetaan Valviraan ja rekisteröidään, minkä jälkeen järjestelmät ovat ilmoittautuneet viranomaisvalvonnan piiriin.
Jatkuvaan valvontaan ei ole resursseja
Asiakastietolain perusteella Valviralla on oikeudet tehdä tarkastuskäyntejä myös B-luokan tietojärjestelmien valvonnassa.