Yksityisten ihmisten verotietoihin liittyy tietoturva-ja väärinkäytösriskejä

Maanantai 2.11.2020 - Mia Laiho

Vastaamon tietoturvarikoksen myötä 40 000 ihmisen henkilötiedot ovat valuneet verkkoon. Pian tapahtuneen jälkeen eli 3.11 julkaistaan ihmisten verotiedot vuodelta 2019 kaikkien, myös rikollisten ulottuville. Verohallinto luovuttaa tiedotusvälineille listan niiden henkilöiden verotiedoista, joiden Suomeen maksetut ansio- ja pääomatulot olivat edellisvuonna yhteensä vähintään 100 000 euroa. Vetoankin verohallintoon, tiedotusvälineisiin ja hallitukseen, ettei tuloverotuksen tietoja vuodelta 2019 asetettaisi julkiseksi vielä 3.11 ja ilman kontrollointia. Listauksen julkistamiseen liittyy ihmisten turvallisuuteen ja yksityisyyteen liittyviä uhkia.

Tässä tilanteessa on erittäin kyseenalaista julkaista yksityisistä ihmisistä tällaisia tietoja, jotka sisältävät mm. ihmisten nimen, syntymäajan, tulotiedot ja asuinpaikan. On täysin mahdollista, että kiristys, uhkailu, ilkivalta ja varkaudet voivat kohdentua juuri verotietojen perusteella tehdyn listauksen kautta ihmisiin. Tällaista on tapahtunut myös Suomessa.

Vuonna 2009 tapahtui poikkeuksellinen kidnappaus ja kiristystapaus, jossa perheeltä kiristettiin miljoonia euroja tyttären vapauttamiseksi. Verotietojen julkistaminen sekä median julkaisemat nimi- ja kuvalistat kansalaisten tulotietoineen listaavat samalla tarjottimella rikollisille kidnappaus- ja kiristyskohteet. Tiedot ovat nykyisin vielä helpommin saatavilla, kun ne ovat sähköisessä muodossa ja napinpainalluksen takana.

Viime vuonna kansalaisille annettiin ensimmäistä kertaa mahdollisuus vastustaa tietojen luovuttamista ilmoittamalla verohallinnolle 1.10 mennessä kiellosta. Taustalla on EU:n yleinen tietosuoja-asetus GDPR.

Verohallinto päätti kyseisestä päivämäärästä käytännön syistä eli 1.10 päivämäärä ei perustu lakiin.

Omien tietojen julkistamisen kieltomahdollisuutta ei ole viestitty ihmisille juurikaan, eikä se enää hyödytä Vastaamon uhreja, koska Vastaamon tietoturvarikos nousi esille vasta 1.10 jälkeen, jolloin Verohallinto ei enää ota vastaan kieltoilmoituksia.

Verotietojen julkisuustietojen kielto pitäisi pystyä tekemään esim. veroilmoituksen täyttämisen yhteydessä. Harmaan talouden kitkemiseen ja julkisten virkojen palkkioiden esiin nostamiselle täytyy löytyä muitakin keinoja kuin kaikkien suomalaisten verotietojen julkisuus.

Vetoankin verovirastoon, hallitukseen ja mediaan, että tietojen julkistamisen kiellon määräaikaa pidennettäisiin, jotta kaikilla niillä kansalaisilla, joilla on siihen perusteltu tarve, ehtisivät tehdä kiellon. Myös Vastaamon tietoturvarikosten uhreja kohtaan on kohtuutonta lisätä yhteiskunnan taholta riskejä tulla hyväksikäytetyksi.

Tulevaisuudessa on myös syytä arvioida, liittyykö verohallinnon sähköiseen rekisteriin turvallisuusriskejä ja uudenlaisia uhkia ihmisten kannalta. Onko järkevää yhteiskunnan taholta tarjota kuin tarjottimella rikollisille kansalaistemme tulo- ja henkilötietoja ja lisätä tätä kautta riskejä hyväksikäytölle?

Verohallinnon olisi syytä merkitä myös ylös, kuka pyytää kenenkin tietoja. Jälkikäteen voisi tällöin esim. rikoksen sattuessa tarkastaa, kuka on käynyt tiedoissa. Tämä parantaisi uhrin asemaa.

Digitalisaation myötä yhteiskunta on muuttunut ja se asettaa haasteensa sekä tietoturvan tasolle, että ihmisten yksityisyydelle. Tämän takia nykyistä lainsäädäntöämme pitäisi pystyä arvioimaan uudelleen nykymaailman tietoturvallisuus uhkien valossa. Digitalisaatio on mennyt jättiloikin eteenpäin, mutta laki on jäänyt taakse. Ihmisen yksityisyyttä ja turvallisuusuhkia pitää pystyä ehkäisemään myös verkossa.

Jätin asiasta kirjallisen kysymyksen hallitukselle.

Kommentoi kirjoitusta. Avainsanat: Vastaamo, tietoturva, rikollisuus, identiteettuvarkaus, tietosuoja, vero

Terapiapalvelujen tietoturvarikos on uhrin henkinen raiskaus

Torstai 29.10.2020 - Mia Laiho

Terapiapalveluja tuottavan yrityksen laaja tietoturvamurto on nostanut esille huolen sosiaali- ja terveydenhuollon tietoturvan tasosta. Vastaamon tietoturvamurto ja kiristys ei koske vain uhreja, vaan myös ihmisten luottamusta potilastietojen tietoturvaan kaikkialla sosiaali- ja terveyspalveluissa. Jätin 26.10 hallitukselle kirjallisen kysymyksen sosiaali- ja terveydenhuollon tietoturvasta ja kyberturvallisuudesta. Halusin nostaa keskusteluun, kuinka varmistetaan, että terveydenhuollon digitalisaation myötä potilastietojärjestelmien, lääkinnällisten laitteiden, ohjelmistojen, etähallittavien laitteiden tietoturva ja siirrettävät sisällöt on huomioitu nykyisin ja miten tietoturva ja siihen liittyvät riskit on arvioitu suunnitellussa sote-uudistuksessa.

On huomioitava, että digitalisaatiossa on oltava korkeat laatuvaatimukset asiakkaan tietoturvan osalta. Tämä pätee niin sairaskertomuksia sisältävien potilastietojärjestelmien, etävastaanottojen että potilasvalvontajärjestelmien tietoturvaan sekä erilaisiin hälytyslaitteisiin liittyen. Ihmisten on voitava luottaa siihen, etteivät sosiaali-ja terveystiedot tiedot pääse ulkopuolisten käsiin.

Terveydenhuollon digitalisaatioon liittyy paljon muutakin kuin pelkät potilastiedot. Hoitotyötä helpotetaan monilla erilaisilla hälytys- ja valvontajärjestelmillä kuten diabeteksien ja sydämenrytmin etäseurannalla. Etävastaanottojen lisäksi etäyhteyksillä saadaan suorayhteys myös vanhusten koteihin, joten yksityisyydensuojan lisäksi myös tietoturvan tulee olla aukoton näissä palveluissa. Tärkeää on, että ihmiset voivat luottaa sosiaali- ja terveydenhuollon palveluihin ja ettei tietoturvavuodon pelossa jätetä apua hakematta.

Asiakastietolaissa tietojärjestelmät jaetaan valvonnan kannalta kahteen luokkaan. Kanta-palveluun liitetyt järjestelmät ovat ns. A-luokassa, ja kaikki muut luokassa B. Tietoturvakäytännöt ovat kuitenkin hyvin moninaiset ja Valviran mahdollisuudet valvoa kaikkia yrityksiä ovat riittämättömät.

Ne yritykset, jotka ovat pitkälti oman kontrollin luokassa eli B-luokassa, ovat tulevaisuudessakin korkeammassa riskissä tietoturvamurroille. Ihmisten henkilökohtaisia tietoja keräävät järjestelmät sekä digitaalisesti etäohjattavat hoitolaitteet tulisi mielestäni olla aina automaattisesti valvonnalta korkeammassa A-luokassa turvallisuusriskin takia.

Kyberturvallisuutta ei voi ajatella erillisenä tietoteknisenä kysymyksenä, vaan se on potilasturvallisuutta ja luottamusta yhteiskuntaamme ja sen palveluihin. Kyse on myös kansallisesta turvallisuudesta. SOTE-lakien valmistelussa olisi välttämätöntä olla tehtynä riskinarvio ja riskinhallintasuunnitelma liittyen hyvinvointialueiden tietojärjestelmiin ja tietoturvaan. Myös työntekijöiden tietoturva tulee varmistaa sote-alueen moninkertaiseksi kasvavan henkilöstöhallinnon myötä. Myös tietojen käsittelyä koskevan lainsäädännön uudistus olisi saatava nopealla aikataululla hallituksen työpöydälle.

Kun tällainen rikos on tehty, uhrien on saatava hoidettua rikosilmoitus, henkilötunnuksen vaihto, tietojenluovutuskielto, sekä vapaaehtoinen luottokielto ym. tärkeät yksityisyyttä suojaavat toimenpiteet nopeasti ilman hallinnollisia viiveitä. Näiden toimenpiteiden tulee myös olla tehtävissä ympäri vuorokauden ja ilman kuluja. Valtavan ahdistuksen, pelon ja epävarmuuden hoitoon tarvitaan myös tukea ja hoitoa. Terapiatietojen väärinkäyttöä voidaan pitää ihmisen henkisenä raiskauksena, josta voi jäädä pitkäkestoiset vauriot. Ihmisiä ei saa jättää yksin, oli sitten kyse käytännön järjestelyistä henkilötietorikoksen yhteydessä tai hoidon saamisesta tasapainoa järkyttäneessä tilanteessa ja sen jälkeen. Tietoturvarikoksen uhreja on Vastaamon yhteydessä tuhansia ja vaikutukset ovat laajat ja pitkäkestoiset. Toivottavasti tekijä saadaan oikeusteen vastuuseen teoistaan.

Sähköisen asioinnin käyttö, digitalisaatio ja robotiikka lisääntyy sosiaali- ja terveyspalveluissa koko ajan. On päättäjien, ministeriöiden, ja palveluja järjestäviä ja tuottavien toimijoiden vastuulla, että tietoturvasta on huolehdittu asianmukaisesti ja myös valvonnan resurssit ovat riittävät. Turvalliset tietoturvakäytänteet ovat myös meidän jokaisen vastuulla omassa toiminnassamme.

Kommentoi kirjoitusta. Avainsanat: Vastaamo, tietoturva, tietoturvarikos, psykoterapia

Epäuottamuslause täysistunnossa ministerin toiminnasta

Perjantai 9.10.2020 - Mia Laiho

Arvoisa puhemies!
Koronan toinen aalto on tuonut esiin merkittäviä puutteita koronakriisin hoitamisessa. Hallitus ei käyttänyt epidemian suvantovaiheen tuomaa mahdollisuutta organisoida epidemian torjunnan johtamista niin, että se olisi johdonmukaista, tehokasta ja vaikuttavaa.
Hiljaisempi kesä olisi pitänyt käyttää täysimääräisesti toiseen aaltoon varautumiseen ja selkeän suunnitelman laatimiseen. Esimerkiksi ravintoloiden osalta olisi voitu valmistella massarajoitusten sijaan edellytykset käyttää nykyistä huomattavasti kohdennetumpia paikkakunta-, ravintolatyyppi- tai jopa ravintolakohtaisia rajoituksia. Ravintola-ala on syystä laajasti tyytymätön hallituksen toimin. Hallituksen valmistelun puutteellisuus maksaa suomalaiselle yhteiskunnalle miljoonia euroja ja pahimmillaan tuhansia työpaikkoja. 
Hallituksen viestintä koskien koronakriisin hoitoa on ollut sekavaa ja luonut epävarmuutta.  
Hallitus linjaa, mutta kerta toisensa jälkeen ministeri Kiuru yllättää meidät poikkeavilla tulkinnoillaan. Yksi kuvaava esimerkki tästä oli hallituksen neuvottelu matkustusrajoituksista, ja siinä hallitus ensin linjasi asian toisin kuin ministeri Kiuru tahtoi, minkä jälkeen Kiuru käveli hallituksen linjauksen yli ministeriönsä toimilla. 
Toinen vakava esimerkki hallituksen viestinnän ja valmistelun sekavuudesta olivat ministeri Lintilän lausunnot siitä, että hänellä tai työ- ja elinkeinoministeriöllä ei ole mitään tietoa siitä, minkälaisia rajoitustoimia STM:ssä valmistellaan. 
Räikein esimerkki on kuitenkin ministeri Kiurun tiedotustilaisuudessa esittämä pakkokaranteeni kaikille Suomeen tulijoille. Myöhemmin selvisi, että tällaista mahdollisuutta ei lain mukaan ole. 
Arvoisa puhemies!
Muun muassa WHO, Euroopan tartuntatautivirasto, USA:n kansanterveysvirasto, Saksan tiedeakatemia ja monet kansainväliset korkeatasoiset lääketieteelliset julkaisut ovat suosittaneet kasvomaskien tärkeyttä yleisvaarallisen tartuntataudin torjunnassa. Tällä linjalla oli keväällä myös THL:n pääjohtaja Markku Tervahauta, joka suositteli maskien käyttöä haastattelussa 14.4. Asiantuntijanäkemys tyrmättiin välittömästi ministeriöstä THL:n pääjohtajan omaksi ajatteluksi. Asiantuntijoiden kokema poliittinen ohjaus nousi aiheellisesti julkiseen keskusteluun. 
6.5. hallitus teki periaatepäätöksen maskiselvityksestä. Eilen saamiemme tietojen valossa on vakavasti syytä epäillä, että tätä selvitystä on poliittisesti ohjattu ja sillä on pyritty johtamaan suomalaisia harhaan. Miksi ministerit tai ylin virkamiesjohto eivät sanoneet suoraan, että maskisuositusta ei annettu, koska maskeja ei ollut riittävästi? Sen sijaan väisteltiin, vähäteltiin maskien merkitystä ja annettiin tietoisesti jopa harhaanjohtava ohje maskien käytön merkityksestä koronaepidemian torjuntaan. On äärimmäisen vakavaa, että ministeri ohittaa asiantuntijanäkemyksiä, mikäli ne eivät sovi ministeriön johdon linjaan. 
Hallituksen ja johtavien virkamiesten viestintä maskien ongelmista tai jopa niiden haitallisuudesta on omiaan heikentämään ihmisten luottamusta maskin käytön hyötyihin. Jos tosiasiat olisi tunnustettu jo keväällä, olisimme välttyneet siltä, että osa kansalaisista luulee maskien käyttöä edelleen haitalliseksi. 
Olemme johdonmukaisesti tukeneet hallitusta koronakriisin hoidossa. Olemme halunneet, että Suomi onnistuu siinä mahdollisimman hyvin. Se on Suomen ja suomalaisten etu. Toisen aallon torjuntaan varautuminen, hallituksen ja erityisesti ministeri Kiurun epäselvä viestintä sekä eilen tulleet raskauttavat tiedot poliittisesti ohjatuista maskilinjauksista tekevät tämän kuitenkin vaikeaksi. On kiistatonta, että valtaosa näistä luottamusta rapauttavista ongelmista palautuu ministeri Kiurun toimintaan. 
Arvoisa puhemies!
Koronakriisi saattaa jatkua vielä pitkään. Sen onnistunut hoitaminen edellyttää, että eduskunta ja Suomen kansa voivat järkähtämättä luottaa kriisinhoitoa johtavaan vastuuministeriin. Nyt näin ei ole. Tapahtuneen valossa suomalaiset eivät voi enää luottaa vastuuministeri Kiurun ja hänen johdollaan toimivan ministeriön tekevän linjauksensa parhaan tiedon valossa ja esittävän kaikissa tilanteissa niille rehelliset perustelut.  
Siksi esitän, että eduskunta toteaa, että koronakriisin hoidosta vastaava perhe- ja peruspalveluministeri Krista Kiuru ei nauti eduskunnan luottamusta. 
 

Kommentoi kirjoitusta. Avainsanat: epäluottamus, hallitus, luottamus, johtaminen, tieto, kasvomaski

Super: Käyttäjälähtöisillä tietojärjestelmillä aikaa hoitotyölle

Perjantai 17.8.2018 - Mia Laiho

Näkymätön työ vie lääkärien ja hoitajien työaikaa, samalla kun hoitojonot pitenevät. Hoitohenkilökunnalla voi kulua toistakin tuntia päivässä erilaisten järjestelmien välillä sukkuloimiseen lukuisine salasanoineen. Jokainen entterin painallus ja tiimalasin odotus ovat pois varsinaisesta hoitotyöstä. Eri tietojärjestelmät muodostavat riskin potilasturvallisuudelle ja ovat rasite sujuvalle hoitotyölle. Vapauttamalla henkilökunnan työaikaa tietojärjestelmien palvelemisesta asiakastyöhön saataisiin suunnattua resurssia asiakkaan suuntaan ja hillittyä sosiaali- ja terveydenhuollon kustannuksia.

Esimerkiksi päivystysyksiköissä on käytössä useita eri tietojärjestelmiä, joiden käyttö henkilökunnan tulee hallita. Päivystysten keskittämisen lisäännyttyä päivystyksessä joudutaan hakemaan potilastietoja eri sairauskertomusjärjestelmistä, kun alueellista yhteistä tietojärjestelmää ei ole saatavilla. Tietojärjestelmien käyttöön kuluu yhä enemmän aikaa koko sosiaali-ja terveydenhuollon alalla. Muutos on kuormittavaa henkilökunnalle ja yhä vähemmän on aikaa asiakkaille. Tietojärjestelmien käyttökatkokset aiheuttavat myös toistuvia potilasturvallisuuden vaaratilanteita. Järjestelmätoimittajien pitää pystyä takaamaan välttämättömän tiedon saanti myös käyttökatkojen aikana.

Valvira ja aluehallintovirastot toteuttivat valtakunnallisen sosiaali- ja terveydenhuollon valvontaohjelman vuosina 2016-2017. Tuloksista ilmenee, että päivystystoiminnassa tehdään paljon hyvää kehittämistyötä, jonka keskiössä on potilas, mutta potilasturvallisuuden toteutumiseen erityisesti tietojärjestelmien osalta kohdistuu riskejä. Päivystyksen ruuhkahuippuihin tarvitaan koko hoitoketjun osallistumista, ja siinä myös tietojärjestelmät voisivat olla avuksi.

Tietojärjestelmiä tulee kehittää tulevaisuudessa käyttäjäystävällisyyden lisäksi niin, että ne palvelevat laadun ja potilasturvallisuuden arviointia. Eri laatumittareiden seuranta ja niiden arviointi ovat jatkossa avainasemassa asiakaslähtöisempien ja yhdenvertaisten palvelujen mahdollistamiseksi sosiaali-ja terveydenhuollossa. Järjestelmien pitäisi tukea ja helpottaa sosiaali-ja terveydenhuollon henkilökunnan työtä eikä päinvastoin.

Kirjoittaja on lääkäri ja kokoomuksen kansanedustaja.

Kommentoi kirjoitusta. Avainsanat: tietojärjestelmät, sairauskertomus, vuorovaikutus, asiakastyö, hoitajat, lääkäri