Tietomurto Psykoterapiakeskus Vastaamoon on herättänyt keskustelua myös muiden sosiaali- ja terveysalan yritysten tietoturvan tasosta.
Tietosuojavaltuutettu Anu Talus toteaa, että tietojen kalasteluviestit vaikuttavat olevan terveydenhuollossa arkipäivää. Näillä viesteillä yritetään saada käyttäjä antamaan tunnuksensa.
– Harmillisilta seuraamuksilta voi suojautua henkilökuntaa kouluttamalla, jotta henkilökunta tunnistaa kalasteluyrityksen. Osa kalasteluista on kuitenkin niin ammattimaisesti laadittuja, että niiden tunnistaminen saattaa olla hyvin haastavaa.
Taluksen mukaan järjestelmien ja laitteiden henkilötietojen suojaamisesta ja asianmukaisesta käsittelystä tulisi muodostua sisäänrakennettu ja oletusarvoinen toimintatapa.
– Käytännössä keinoja siihen ovat muun muassa tietojen salaaminen, käyttöoikeuksien rajattu määrittely ja tietojen pseudonymisointi. On hyvä huomata, että sote-alalla suuri osa tietoturvaloukkauksista vaikuttaisi johtuvan inhimillisistä virheistä, kuten esimerkiksi virheellisistä postituksista, jotka voitaisiin välttää huolellisella asiakirjojen käsittelyllä.
Talus muistuttaa, että laitteiden ja järjestelmien pitää olla ajan tasalla, ja käytettyjen salasanojen kunnollisia. Ohjelmia voi auditoida eli testauttaa mahdollisten puutteiden ja ongelmien varalta.
– Monivaiheisilla tunnistautumisilla voidaan ehkäistä ulkopuolisten pääsyä järjestelmiin. Henkilöä ei pitäisi koskaan tunnistaa esimerkiksi ainoastaan pelkän nimen ja henkilötunnuksen avulla.
Lisäksi Talus huomauttaa, että myös tilaratkaisuihin liittyviin seikkoihin on hyvä kiinnittää huomiota.
– Muiden asiakkaiden ei tulisi joutua kuulemaan toisten potilastietoja asiakaspalvelijan puhuessa puhelimeen. Näytöt on suojattava ja käännettävä siten, etteivät tiedot ole asiakkaalle näkyvissä.
Asiakastietolakia ollaan uudistamassa
Suomessa asiakas- ja potilastietojärjestelmiä valvoo Valvira asiakastietolakiin perustuen. Valviran yli-insinööri Antti Härkönen kertoo, että Valviran tietoon tulleet tietomurtotapaukset ovat todella harvinaisia, mutta murtoyritysten määrästä ei ole tarkkaa tietoa.
– Yleisesti näkisin sote-kentän toiminnan vastuulliseksi. Tietojärjestelmien valmistajat keräävät järjestelmällisesti käyttäjiltä tulevaa palautetta ja pyrkivät parantamaan tuotteitaan. Terveydenhuollon ammattilaisten oma osuus on myös merkittävä, ja uusien järjestelmien sekä tietoturvaan liittyvään koulutukseen kannattaa panostaa.
Terveyspalveluja käyttävien yritysten tietojärjestelmien pitää löytyä Valviran ylläpitämästä julkisesta rekisteristä. Tällä hetkellä rekisterissä on jaoteltu Kanta-palveluun liitetyt ja muut tietojärjestelmät omiin luokkiinsa, mutta asiakastietolakia ollaan uudistamassa.
– Jatkossa Kanta-palveluun liittymistä tullaan edellyttämään todennäköisesti kaikilta järjestelmiltä, Härkönen kertoo.
Hammaslääkäriliiton lakimies Heikki Kuusela muistuttaa, että tietoturva-asioiden hoitaminen hyvin yrityksissä on tärkeää paitsi potilasturvallisuuden kannalta, myös yrityksen luotettavuuden ja esimerkiksi myyntikelpoisuuden ja jälleenmyyntiarvon kannalta.
– On luultavaa, että terveydenhuollon yrityskaupoissa kiinnitetään Vastaamo-tapauksen myötä tarkemmin huomiota ostettavan yrityksen tietoturvaan, Kuusela kertoo.