Terapiapalveluja tuottavan yrityksen laaja tietoturvamurto on nostanut esille huolen sosiaali- ja terveydenhuollon tietoturvan tasosta. Vastaamon tietoturvamurto ja kiristys ei koske vain uhreja, vaan myös ihmisten luottamusta potilastietojen tietoturvaan kaikkialla sosiaali- ja terveyspalveluissa. Jätin 26.10 hallitukselle kirjallisen kysymyksen sosiaali- ja terveydenhuollon tietoturvasta ja kyberturvallisuudesta. Halusin nostaa keskusteluun, kuinka varmistetaan, että terveydenhuollon digitalisaation myötä potilastietojärjestelmien, lääkinnällisten laitteiden, ohjelmistojen, etähallittavien laitteiden tietoturva ja siirrettävät sisällöt on huomioitu nykyisin ja miten tietoturva ja siihen liittyvät riskit on arvioitu suunnitellussa sote-uudistuksessa.
On huomioitava, että digitalisaatiossa on oltava korkeat laatuvaatimukset asiakkaan tietoturvan osalta. Tämä pätee niin sairaskertomuksia sisältävien potilastietojärjestelmien, etävastaanottojen että potilasvalvontajärjestelmien tietoturvaan sekä erilaisiin hälytyslaitteisiin liittyen. Ihmisten on voitava luottaa siihen, etteivät sosiaali-ja terveystiedot tiedot pääse ulkopuolisten käsiin.
Terveydenhuollon digitalisaatioon liittyy paljon muutakin kuin pelkät potilastiedot. Hoitotyötä helpotetaan monilla erilaisilla hälytys- ja valvontajärjestelmillä kuten diabeteksien ja sydämenrytmin etäseurannalla. Etävastaanottojen lisäksi etäyhteyksillä saadaan suorayhteys myös vanhusten koteihin, joten yksityisyydensuojan lisäksi myös tietoturvan tulee olla aukoton näissä palveluissa. Tärkeää on, että ihmiset voivat luottaa sosiaali- ja terveydenhuollon palveluihin ja ettei tietoturvavuodon pelossa jätetä apua hakematta.
Asiakastietolaissa tietojärjestelmät jaetaan valvonnan kannalta kahteen luokkaan. Kanta-palveluun liitetyt järjestelmät ovat ns. A-luokassa, ja kaikki muut luokassa B. Tietoturvakäytännöt ovat kuitenkin hyvin moninaiset ja Valviran mahdollisuudet valvoa kaikkia yrityksiä ovat riittämättömät.
Ne yritykset, jotka ovat pitkälti oman kontrollin luokassa eli B-luokassa, ovat tulevaisuudessakin korkeammassa riskissä tietoturvamurroille. Ihmisten henkilökohtaisia tietoja keräävät järjestelmät sekä digitaalisesti etäohjattavat hoitolaitteet tulisi mielestäni olla aina automaattisesti valvonnalta korkeammassa A-luokassa turvallisuusriskin takia.
Kyberturvallisuutta ei voi ajatella erillisenä tietoteknisenä kysymyksenä, vaan se on potilasturvallisuutta ja luottamusta yhteiskuntaamme ja sen palveluihin. Kyse on myös kansallisesta turvallisuudesta. SOTE-lakien valmistelussa olisi välttämätöntä olla tehtynä riskinarvio ja riskinhallintasuunnitelma liittyen hyvinvointialueiden tietojärjestelmiin ja tietoturvaan. Myös työntekijöiden tietoturva tulee varmistaa sote-alueen moninkertaiseksi kasvavan henkilöstöhallinnon myötä. Myös tietojen käsittelyä koskevan lainsäädännön uudistus olisi saatava nopealla aikataululla hallituksen työpöydälle.
Kun tällainen rikos on tehty, uhrien on saatava hoidettua rikosilmoitus, henkilötunnuksen vaihto, tietojenluovutuskielto, sekä vapaaehtoinen luottokielto ym. tärkeät yksityisyyttä suojaavat toimenpiteet nopeasti ilman hallinnollisia viiveitä. Näiden toimenpiteiden tulee myös olla tehtävissä ympäri vuorokauden ja ilman kuluja. Valtavan ahdistuksen, pelon ja epävarmuuden hoitoon tarvitaan myös tukea ja hoitoa. Terapiatietojen väärinkäyttöä voidaan pitää ihmisen henkisenä raiskauksena, josta voi jäädä pitkäkestoiset vauriot. Ihmisiä ei saa jättää yksin, oli sitten kyse käytännön järjestelyistä henkilötietorikoksen yhteydessä tai hoidon saamisesta tasapainoa järkyttäneessä tilanteessa ja sen jälkeen. Tietoturvarikoksen uhreja on Vastaamon yhteydessä tuhansia ja vaikutukset ovat laajat ja pitkäkestoiset. Toivottavasti tekijä saadaan oikeusteen vastuuseen teoistaan.
Sähköisen asioinnin käyttö, digitalisaatio ja robotiikka lisääntyy sosiaali- ja terveyspalveluissa koko ajan. On päättäjien, ministeriöiden, ja palveluja järjestäviä ja tuottavien toimijoiden vastuulla, että tietoturvasta on huolehdittu asianmukaisesti ja myös valvonnan resurssit ovat riittävät. Turvalliset tietoturvakäytänteet ovat myös meidän jokaisen vastuulla omassa toiminnassamme.