Palkittu politiikan aikakauslehti
41€/4kk

Politiikka

Luottamuksellisia tietoja varastettu – ministeriön mukaan lait ovat kunnossa mutta valvonnassa on parannettavaa

Lehtikuva / Markku Ulander
Psykoterapiakeskus Vastaamo Helsingissä maanantaina 14. joulukuuta 2017.

Eilen selvisi, että yksityinen Psykoterapiakeskus Vastaamo on joutunut tietomurron ja kiristyksen kohteeksi.

Johannes Ijäs

Demokraatti

Yhteistyösopimuksen vuoksi Vastaamosta on voinut karata myös Tampereen yliopistollisessa keskussairaalassa asioineiden asiakkaiden tietoja.

Vastaamo tiedotti eilen, että tuntematon vihamielinen osapuoli on ollut yhteydessä Vastaamoon ja väittää saaneensa haltuun yhtiön asiakkaiden luottamuksellisia tietoja ja että keskusrikospoliisi aloitti asiasta rikostutkinnan.

Vastaamon mukaan tapahtumasta tehtiin  välittömästi  ilmoitukset  myös  Suomen kyberturvallisuuskeskukselle, Valviralle sekä tietosuojavaltuutetulle. Ilmeisesti marraskuun 2018 jälkeen kirjatut asiakastiedot eivät ole vaarantuneet. Kyse on sitä vanhemmasta aineistosta.

Nyt luonnollisesti kysytään, mikä meni pieleen, kun näin vakava tietovarkaus on päässyt tapahtumaan. Yrityksillä on vastuu suojata tietonsa. Erilaista valvontaa tietoturvan osalta tekevät niin Valvira kuin alueellisesti aluehallintovirastot eli avit.

Valvirasta todettiin tänään Ylelle, että käytännössä kukaan ei valvo yksityistä psykoterapiatoimintaa siitä tehdyn aloitusilmoituksen jälkeen.

Silloin, kun yksityinen psykoterapeutti tai psykoterapiakeskus aloittaa toimintaansa, siitä tehdään aloitusilmoitus Valviralle tai Aluehallintaviranomaiselle (Aville).

– Uskoisin, että silloin tarkistetaan se, millaiset tietoturvajärjestelmät aiotaan ottaa käyttöön, Valviran edustaja sanoi Ylelle.

”Kun tällaisia ilmenee, niin jossain on tietysti epäonnistuttu.”

Sosiaali- ja terveysministeriössä sosiaali- ja terveydenhuollon tietoturvallisuusasioiden päällä istuu erityisasiantuntija Teemupekka Virtanen.

– Ministeriö ei voi ottaa kantaa yksittäisiin tapauksiin vaan sitä varten meillä on valvontaviranomaiset. Toki ministeriön tehtävä on katsoa, että asiat kokonaisuutenaan toimivat. Kun tällaisia ilmenee, niin jossain on tietysti epäonnistuttu, Virtanen sanoo.

Poliittisesti ja ministeriöstä käsin olisi mahdollista puuttua lakeihin. Virtasen kanta on kuitenkin se, että lainsäädännöllisesti välttämättä ei parannettavaa enää ole.

– Meillä on ollut laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelyssä voimassa jo jonkin aikaa. Aika suuri osa laista liittyy tietojärjestelmien hyväksymismenettelyihin, Virtanen sanoo.

Lakia sovelletaan julkisten ja yksityisten sosiaalihuollon ja terveydenhuollon palvelujen antajien työhön.

– Siinä puhutaan lähinnä järjestelmistä, jotka ovat liittyneinä kansalliseen Kanta-järjestelmään. Suurin osa potilastietojärjestelmistä on Kannassa ja se siis kattaa suuren osan myös yksityistä sektoria.

Käytännössä toimijoilla on oma tai palveluna hankittu paikallinen potilastietojärjestelmä, jota he päivittäin käyttävät. Siitä siirretään kertyneet tiedot valtakunnalliseen Kanta-järjestelmään.

”On mahdollista, että tiedot ovat peräisin jostakin vanhemmasta järjestelmästä.”

Teemupekka Virtanen painottaa, että kaikkien sote-palvelujen järjestäjien täytyy hyväksyttää ja sertifioida Kantaan liittyneet järjestelmänsä. Valtakunnallisella tasolla Valvira pitää rekisteriä hyväksytyistä järjestelmistä. Tietojärjestelmien hyväksyntä on määräaikainen ja se pitää uusia tietyin väliajoin

Virtasen mukaan sote-tietoturva on tällä hetkellä hyvin säännelty muuhun Eurooppaan verrattuna.

– Nyt on puhuttu (Vastaamon kohdalla) lehtitietojen mukaan vähän vanhemmista varastetuista tiedoista, jolloin on mahdollista, että tiedot ovat peräisin jostakin vanhemmasta järjestelmästä, jota ei ole välttämättä hyväksytty lain mukaisesti.

Laki asiakastietojen käsittelystä tuli voimaan vuonna 2007.

– Se on sitä mukaa alkanut toimia, kun eri palveluntarjoajat ovat liittyneet kansalliseen järjestelmään asteittain vuodesta 2011 eteenpäin. Yksityinen puoli on nimenomaan tullut kaikkein viimeisimpänä tähän mukaan, Virtanen sanoo puhuen vasta esimerkiksi vuonna 2017 kansalliseen järjestelmään tulleista.

– Jos nyt varastetut tiedot ovat vanhempia tietoja, on täysin mahdollista, että ne eivät olleet sertifiointimenettelyssä. Minulla ei ole tietoa, milloin kyseinen murto on tapahtunut.

”Se joutuu kohtaamaan tilanteen niin viranomaisten kuin asiakkaidensakin edessä.”

Virtanen ei lähde erityisesti kommentoimaan nyt sattuneen tietomurron vastuukysymyksiä vaan puhuu yleisellä tasolla.

– Jos paikallisesti on oltu lepsuja eikä ole noudatettu ohjeita, suurin vastuu on toimijalla itsellään. Se joutuu kohtaamaan tilanteen niin viranomaisten kuin asiakkaidensakin edessä. Tässä vaiheessa on sinänsä vaikea sanoa, mitä tarkkaan ottaen on tapahtunut. Vielä ei edes tiedetä, mistä järjestelmästä tiedot ovat vuotaneet ja miten se on tapahtunut.

Lainsäädännöllisesti tietoturvaa ei siis Virtasen mukaan voida enää parantaa. Se lukko on kunnossa.

– Tämäntyyppisiin järjestelmiin on vaatimus sertifioida ja hyväksyttää ne. Näitä vaatimuksia seurataan ja tarkistetaan jatkuvasti. Eivät nekään ole mitenkään ajastaan jäljessä niin, että niissä olisi paljon parannettavaa. Kysymys on siitä, että miten vaatimuksia noudatetaan ja valvotaan. Sillä puolella on kysymys, pitäisikö valvonnan olla säännönmukaisempaa.

Virtanen painottaa, että organisaatioilla täytyy olla omavalvontasuunnitelma, joka on tavallaan tietoturvallisen toiminnan käsikirja. Eli kun järjestelmä on hyväksytty, organisaation johdon vastuulla on huolehtia, että se toimii turvallisesti.

– Vaikka olisi kuinka paljon teknisiä osia järjestelmässä, järjestelmän käyttö lopulta ratkaisee, mikä todellinen turvallisuus on. Valvonnassa on tietenkin kyse tietynlaisesta optimoinnista… Lähdemme siitä, että kun asiat on määrätty tietyllä tavalla, ne myös pääsääntöisesti tehdään niin. Emme voi lähteä siitä oletuksesta, että jokainen rikkoo lakia, jos valvonta pettää.

Sen Virtanen kuitenkin sanoo, etteivät Sosiaali- ja terveysalan lupa- ja valvontavirasto Valviran resurssit ole tällä hetkellä kovin isot.

Sosiaali- ja terveysministeriöstä onkin jo aikaisemmin puollettu Valviran ehdottamaa resurssilisäystä nimenomaan tietojärjestelmien valvontaan.

Jaa tämä artikkeli

Kommentit

Artikkeleita voi kommentoida yhden vuorokauden ajan julkaisuhetkestä. Kirjoita asiallisesti ja muita kunnioittaen. Ylläpito pidättää oikeuden poistaa sopimattomat viestit ja estää kirjoittajaa kommentoimasta.

Sähköpostiosoitteesi

Toimituksen valinnat

Palkittu politiikan aikakauslehti
41€/4kk

Toimituksen valinta

Johannes Ijäs

Politiikka
23.11.2020
”Tämä on ehkä liian suoraa puhetta, kun näin sanon” – Seppo Kääriäinen nostaa esiin Marin-Saarikko-akselin
Lue lisää

Luetuimmat

Uusimmat

Toimituksen valinnat

Demokraatti

va. päätoimittaja: Rane Aunimo
Lähetä juttuvinkki →

Toimitus: PL 338, 00531 Helsinki, puh. 09 701 041

Arbetarbladet

Chefredaktör: Johan Kvarnström
Kontakt →

Redaktion: Broholmsgatan 18-20 C, 00531 Helsingfors

2018 DEMOKRAATTI
TIETOSUOJA- ja REKISTERISELOSTE