Yhteistyösopimuksen vuoksi Vastaamosta on voinut karata myös Tampereen yliopistollisessa keskussairaalassa asioineiden asiakkaiden tietoja.

Vastaamo tiedotti eilen, että tuntematon vihamielinen osapuoli on ollut yhteydessä Vastaamoon ja väittää saaneensa haltuun yhtiön asiakkaiden luottamuksellisia tietoja ja että keskusrikospoliisi aloitti asiasta rikostutkinnan.

Vastaamon mukaan tapahtumasta tehtiin  välittömästi  ilmoitukset  myös  Suomen kyberturvallisuuskeskukselle, Valviralle sekä tietosuojavaltuutetulle. Ilmeisesti marraskuun 2018 jälkeen kirjatut asiakastiedot eivät ole vaarantuneet. Kyse on sitä vanhemmasta aineistosta.

Valvirasta todettiin tänään Ylelle, että käytännössä kukaan ei valvo yksityistä psykoterapiatoimintaa siitä tehdyn aloitusilmoituksen jälkeen.

Silloin, kun yksityinen psykoterapeutti tai psykoterapiakeskus aloittaa toimintaansa, siitä tehdään aloitusilmoitus Valviralle tai Aluehallintaviranomaiselle (Aville).

– Uskoisin, että silloin tarkistetaan se, millaiset tietoturvajärjestelmät aiotaan ottaa käyttöön, Valviran edustaja sanoi Ylelle.

Sosiaali- ja terveysministeriössä sosiaali- ja terveydenhuollon tietoturvallisuusasioiden päällä istuu erityisasiantuntija Teemupekka Virtanen.

– Ministeriö ei voi ottaa kantaa yksittäisiin tapauksiin vaan sitä varten meillä on valvontaviranomaiset. Toki ministeriön tehtävä on katsoa, että asiat kokonaisuutenaan toimivat. Kun tällaisia ilmenee, niin jossain on tietysti epäonnistuttu, Virtanen sanoo.

Poliittisesti ja ministeriöstä käsin olisi mahdollista puuttua lakeihin. Virtasen kanta on kuitenkin se, että lainsäädännöllisesti välttämättä ei parannettavaa enää ole.

– Meillä on ollut laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelyssä voimassa jo jonkin aikaa. Aika suuri osa laista liittyy tietojärjestelmien hyväksymismenettelyihin, Virtanen sanoo.

Lakia sovelletaan julkisten ja yksityisten sosiaalihuollon ja terveydenhuollon palvelujen antajien työhön.

– Siinä puhutaan lähinnä järjestelmistä, jotka ovat liittyneinä kansalliseen Kanta-järjestelmään. Suurin osa potilastietojärjestelmistä on Kannassa ja se siis kattaa suuren osan myös yksityistä sektoria.

Käytännössä toimijoilla on oma tai palveluna hankittu paikallinen potilastietojärjestelmä, jota he päivittäin käyttävät. Siitä siirretään kertyneet tiedot valtakunnalliseen Kanta-järjestelmään.

Teemupekka Virtanen painottaa, että kaikkien sote-palvelujen järjestäjien täytyy hyväksyttää ja sertifioida Kantaan liittyneet järjestelmänsä. Valtakunnallisella tasolla Valvira pitää rekisteriä hyväksytyistä järjestelmistä. Tietojärjestelmien hyväksyntä on määräaikainen ja se pitää uusia tietyin väliajoin

Virtasen mukaan sote-tietoturva on tällä hetkellä hyvin säännelty muuhun Eurooppaan verrattuna.

– Nyt on puhuttu (Vastaamon kohdalla) lehtitietojen mukaan vähän vanhemmista varastetuista tiedoista, jolloin on mahdollista, että tiedot ovat peräisin jostakin vanhemmasta järjestelmästä, jota ei ole välttämättä hyväksytty lain mukaisesti.

Laki asiakastietojen käsittelystä tuli voimaan vuonna 2007.

– Se on sitä mukaa alkanut toimia, kun eri palveluntarjoajat ovat liittyneet kansalliseen järjestelmään asteittain vuodesta 2011 eteenpäin. Yksityinen puoli on nimenomaan tullut kaikkein viimeisimpänä tähän mukaan, Virtanen sanoo puhuen vasta esimerkiksi vuonna 2017 kansalliseen järjestelmään tulleista.

– Jos nyt varastetut tiedot ovat vanhempia tietoja, on täysin mahdollista, että ne eivät olleet sertifiointimenettelyssä. Minulla ei ole tietoa, milloin kyseinen murto on tapahtunut.

Virtanen ei lähde erityisesti kommentoimaan nyt sattuneen tietomurron vastuukysymyksiä vaan puhuu yleisellä tasolla.

– Jos paikallisesti on oltu lepsuja eikä ole noudatettu ohjeita, suurin vastuu on toimijalla itsellään. Se joutuu kohtaamaan tilanteen niin viranomaisten kuin asiakkaidensakin edessä. Tässä vaiheessa on sinänsä vaikea sanoa, mitä tarkkaan ottaen on tapahtunut. Vielä ei edes tiedetä, mistä järjestelmästä tiedot ovat vuotaneet ja miten se on tapahtunut.

Lainsäädännöllisesti tietoturvaa ei siis Virtasen mukaan voida enää parantaa. Se lukko on kunnossa.

– Tämäntyyppisiin järjestelmiin on vaatimus sertifioida ja hyväksyttää ne. Näitä vaatimuksia seurataan ja tarkistetaan jatkuvasti. Eivät nekään ole mitenkään ajastaan jäljessä niin, että niissä olisi paljon parannettavaa. Kysymys on siitä, että miten vaatimuksia noudatetaan ja valvotaan. Sillä puolella on kysymys, pitäisikö valvonnan olla säännönmukaisempaa.

Virtanen painottaa, että organisaatioilla täytyy olla omavalvontasuunnitelma, joka on tavallaan tietoturvallisen toiminnan käsikirja. Eli kun järjestelmä on hyväksytty, organisaation johdon vastuulla on huolehtia, että se toimii turvallisesti.

– Vaikka olisi kuinka paljon teknisiä osia järjestelmässä, järjestelmän käyttö lopulta ratkaisee, mikä todellinen turvallisuus on. Valvonnassa on tietenkin kyse tietynlaisesta optimoinnista… Lähdemme siitä, että kun asiat on määrätty tietyllä tavalla, ne myös pääsääntöisesti tehdään niin. Emme voi lähteä siitä oletuksesta, että jokainen rikkoo lakia, jos valvonta pettää.

Sen Virtanen kuitenkin sanoo, etteivät Sosiaali- ja terveysalan lupa- ja valvontavirasto Valviran resurssit ole tällä hetkellä kovin isot.

Sosiaali- ja terveysministeriöstä onkin jo aikaisemmin puollettu Valviran ehdottamaa resurssilisäystä nimenomaan tietojärjestelmien valvontaan.