Kotimaa

Terveydenhuollon järjestelmien turvallisuus vaihtelee: Pienen yksityisen palveluntarjoajan järjestelmä yleensä suuremmassa vaarassa kuin terveysjätin

Asiaan saattaa lähivuosina olla tulossa muutoksia, kun lainsäädäntöä uudistetaan.
Kuva: Rami Marjamäki / Kuvitus: Juho Leskinen
Suurimmassa vaarassa potilastiedot ovat Valviran yli-insinööri Antti Härkösen arvion mukaan pienessä yksityisessä terveysalan yrityksessä. Sen sijaan suurilla yrityksillä on yleensä resursseja hoitaa myös tietoturva-asiat kuntoon pienempiä verrokkejaan paremmin.

Terveydenhuollon järjestelmissä on nykyisin jonkin verran vaihtelua. Yleisellä tasolla pienen yksityisen palveluntarjoajan järjestelmässä olevat tiedot voivat olla suuremmassa vaarassa kuin suuren terveysjätin järjestelmässä olevat tiedot. Asiaan saattaa kuitenkin lähivuosina olla tulossa muutoksia, kun asiaa koskevaa lainsäädäntöä uudistetaan.

Sosiaali- ja terveysalan lupa- ja valvontavirasto Valviran yli-insinööri Antti Härkönen kertoo, että yleisellä tasolla terveydenhuollon järjestelmät ovat nykyisin suurelta osin vastuullisten järjestelmän valmistajien tuottamia. Nämä tahot näkevät vastuunsa ja ottavat vallitsevan lainsäädännön huomioon.

"Toiminnassa on tällainen järjestelmällinen toimintatapa, että asioista pidetään huolta", hän arvioi.

Lisäksi on syytä huomioida sekin, että kokonaisuuteen liittyy myös terveydenhuollon yksiköiden omavalvonta.

"Olipa järjestelmä minkälainen hyvänsä, leväperäisellä toiminnalla voidaan heikentää tietoturvaa", Härkönen muistuttaa.

Yli-insinööri painottaa, että myös terveydenhuollon yksiköt tuntevat vastuunsa.

Ongelmat liittyvät Härkösen mukaan usein tietojärjestelmien häiriötilanteisiin, joita ilmenee esimerkiksi järjestelmien käyttöönoton yhteydessä. Toisaalta kyse voi olla siitäkin, että käyttöön liittyvä ohjeistus on ollut heikkoa. Sen sijaan varsinaisia laiminlyöntejä tai huolimattomuutta ei juurikaan ilmene.

"Tuntuu, että terveydenhuollossa kaikki kuitenkin parhaansa yrittävät", Härkönen pohtii.

Suurimmassa vaarassa potilastiedot ovat Härkösen arvion mukaan pienessä yksityisessä terveysalan yrityksessä. Sen sijaan suurilla yrityksillä on yleensä resursseja hoitaa myös tietoturva-asiat kuntoon pienempiä verrokkejaan paremmin.

"On laatujärjestelmiä, henkilöstöä ja prosessit on paremmin mietittyjä", yli-insinööri sanoo.

Jos yritys on kovin pieni, herää Härkösen mukaan kysymys tietoturvasta, kun tällöin myös tietojärjestelmät on voitu tehdä hyvin pienellä rahalla.

Sen sijaan sellaista jakoa ei voida yli-insinöörin mukaan tehdä, että suurissa kaupungeissa järjestelmät olisivat pieniä kuntia turvallisempia. Härkönen huomauttaa, että julkisessa terveydenhuollossa käytetään pääsääntöisesti A-luokan järjestelmiä, jotka on liitetty Kanta-järjestelmään.

"Ne järjestelmät ovat ihan vastaavat siellä pienemmilläkin paikkakunnilla", hän kertoo.

Härkönen lisää, että järjestelmien parissa työskentelevän henkilöstön määrä saattaa kuitenkin vaikuttaa siihen, miten paljon mahdollisia ongelmia ilmenee.

"En näkisi sitä merkittävä tekijänä", hän sanoo.

Terveydenhuollon järjestelmät jaetaan lainsäädännön näkökulmasta A- ja B-luokan järjestelmiin. A-luokan järjestelmiltä edellytetään ulkopuolista tietoturva-arviointia sekä Kelan Kanta-testausta. Tässä testauksessa varmistetaan se, että tieto kulkee ongelmitta Kanta-palveluun. Sen sijaan B-luokan järjestelmille ei aseteta lainsäädännön tasolla mitään erityisiä vaatimuksia.

A-luokan järjestelmiä on tällä hetkellä käytössä hieman yli 40 kappaletta. B-luokan järjestelmiä taas on käytössä 260 kappaletta. Käytännössä siis suurin osa järjestelmistä on sellaisia, ettei niiltä vaadita ulkopuolista tietoturva-arviointia.

A-luokan järjestelmiä ovat kaikki Kanta-palveluun liitettävät järjestelmät eli käytännössä kaikki julkisen terveydenhuollon järjestelmät. Jos järjestelmä käyttää sähköistä reseptiä tai valtakunnallista potilastiedon arkistoa, kuuluu se automaattisesti A-luokkaan. Sen sijaan B-luokan järjestelmiä käyttävät erilaiset yksityiset terveysalan yritykset.

"Hyvin erityyppisiä ja erikokoisia järjestelmiä ja toimijoita", Härkönen kertoo.

Käytännössä siis sillä, millaisia tietoja kukin potilastietojärjestelmä sisältää, ei ole vaikutusta sen turvallisuuteen.

Tulevaisuudessa tilanteeseen on odotettavissa muutosta, kun asiakastietolakia uudistetaan. Tässä yhteydessä pohditaan sitä, pitäisikö erilaisille tiedoille olla eritasoinen suojaus. Yksi vaihtoehto on se, että vaikkapa psykoterapiatiedoilta edellytettäisiin jatkossa A-luokan järjestelmiä.

"Voidaan luokitella niitä nykyisiä B-luokan järjestelmiä sinne A-luokkaan siten, että niillä ei olisi sitä Kanta-yhteyttä", Härkönen kertoo.

Härkönen huomauttaa, että samalla Vastaamo-tapauksen johdosta arvioidaan myös sitä, kuinka paljon kullakin järjestelmällä on käyttäjiä tai miten monen potilaan tietoja järjestelmään on tallennettu.

Asiakastietolakia on ehdotettu muutettavaksi niin, että velvoitetta liittyä Kanta-palveluihin laajennettaisiin kaikkiin sellaisiin palveluntarjoajiin, joilla on käytössään asiakas- ja potilastietojärjestelmä.

Asiakastietolain muutos on näillä näkymin menossa eduskunnan käsittelyyn joulukuussa. Yli-insinööri arvioi, että järjestelmien päivittäminen uudistetun lainsäädännön vaatimalle tasolle vie helposti aikaa vuoden tai jopa kaksi.

Jo nykyisellä lainsäädännölläkin myös B-luokan järjestelmien turvallisuutta voitaisiin nykyisestä parantaa. Mahdollisuutta ei ole kuitenkaan Härkösen mukaan hyödynnetty aikataulu- sekä resurssisyistä. Käytännössä kyse on siitä, että aika on mennyt A-luokan järjestelmien parantamiseen.

"Kanta-palveluun meneviä tietoja ja niiden järjestelmien tietoturvaa on haluttu varmistaa", hän sanoo.

Lue lisää:

Poliisiylijohtaja Seppo Kolehmainen Vastaamo-tapauksesta: "Erityisen alhaista ja tuomittavaa"

Vuotaneilla henkilötiedoilla voi tehtailla tilauspetoksia ja ottaa luottoa uhrin nimiin – kaikki pikavippiyrityksetkään eivät Finanssialan mukaan välttämättä noudata lakia

Eläintilalla hyökkäys voisi sekoittaa lypsyrobotin, ruokintajärjestelmän tai kanalan ilmanvaihdon – maatiloillakin muistettava kyberturva

Huoltovarmuuskeskuksen asiantuntija listaa elintarvikealan yritysten suurimmat tietoturvariskit: Keskiössä kiristäminen ja hakkereiden satunnaishyökkäykset

Lue lisää

Paula-myrskyn tuhopuiden korjuussa pullonkaulana sahapuiden vastaanotto – "Koneita ja ihmisiä kyllä riittää"

Valvira: Psykoterapiakeskus Vastaamo laiminlöi useita velvollisuuksiaan

Metsureiden työllistymisongelmaa talvella voisi ratkoa yhdessä hiihtokeskusten kanssa

Jos kännykkäsovellus antaa terveydenhoito-ohjeita, laki kohtelee sitä kuin sairaalalaitetta