Vastaamon asiakastietojärjestelmää on valvottu vähemmän kuin monien muiden terveysalan toimijoiden, koska se kuuluu asiakastietolain mukaan niin sanottuun B-luokkaan.
– Koska meillä on ollut vain yksi virkamies hoitamassa valvontaa, hänen aikansa on täyttynyt A-luokan järjestelmiin liittyvistä ongelmista, Valviran ylijohtaja Markus Henriksson kertoo.
– Niitä on ollut varsin paljon, mutta ne eivät ole olleet tietomurtotapahtumia.
Henrikssonin mukaan psykoterapia-alan yritykset ovat käytännössä saaneet itse valita, kumpaan luokkaan kuuluvat. B-luokan järjestelmien yrityksillä ei kuitenkaan ole mahdollisuutta liittyä Kanta-potilastietojärjestelmään eikä antaa sähköisiä reseptejä.
Useat suuret psykoterapiayritykset käyttävät A-luokan järjestelmiä. Myöskään sekä lääkäri- että psykoterapiapalveluja tarjoaville yrityksille, kuten Mehiläiselle tai Terveystalolle, B-luokkaan kuuluminen ei ole mahdollista.
Henriksson arvioikin, että Vastaamo on suurimpia psykoterapiayrityksiä, joiden järjestelmä kuuluu B-luokkaan.
– Käsitykseni on, että kyllä se on suurimpia.
A-luokan järjestelmille tehdään ennen rekisteröintiä tietoturva-arviointi sekä Kelan testaus niiden yhteensopivuudesta Kanta-järjestelmään. Myös sen jälkeen niiden toimintaa on valvottu tarkemmin.
– Eli ne on varsin hyvin arvioitu ja testattu. B-luokan järjestelmiltä laki ei vaadi sitä.
Valvira korjaisi tilanteen lakimuutoksella ja ylimääräisillä tarkastuksilla
Henrikssonin mielestä tilanteen korjaaminen vaatii lakiuudistusta.
– Olisi hyvä, että sallitaan ainoastaan A-luokan järjestelmä tai kiristetään B-luokan vaatimuksia. Lakiuudistusta ollaankin (sosiaali- ja terveysministeriössä) STM:ssa valmistelemassa tähän suuntaan.
Nyt Valvirassa kuitenkin suunnitellaan ylimääräistä tarkastuskierrosta B-luokan järjestelmille.
– Selvitämme yhteistyössä Kyberturvallisuuskeskuksen kanssa B-luokan tietojärjestelmien turvallisuuden läpikäyntiä.
Lisäksi jo keväällä on tehty päätös Valviran lisäresursseista. Valvontaa tekemään pyritään saamaan yksi tai kaksi virkahenkilöä lisää.
Myös tietosuojavaltuutetun toimisto voi tehdä sektorikohtaisia tarkastuksia. Apulaistietosuojavaltuutettu Anu Taluksen mukaan nyt mietitään tarkasti, olisiko jollekin sektorille syytä tehdä laajempi tarkastus.
Anu Talus nousee tänä syksynä uudeksi tietosuojavaltuutetuksi, kun Reijo Aarnio jää eläkkeelle.
Tietoturvan laiminlyönnistä voi rapsahtaa tuntuva maksu
Vaikka B-luokkaan kuuluvia yrityksiä valvotaan vähemmän, myös Vastaamon kaltaisia yrityksiä koskevat EU:n tietosuoja-asetuksen velvoitteet. Anu Taluksen mukaan asetuksen vaatimukset ovat ”aika tukevia”.
Tietosuoja-asetuksen tarkoituksena on suojata EU:n kansalaisten yksityisyyttä.
Jos yrityksen toiminta ei ole tietosuoja-asetuksen mukaista, sille voi rapsahtaa hallinnollinen seuraamusmaksu eli sakko.
Jos tietosuojan hoito paljastuu riittämättömäksi, tietosuoja-asetuksessa on määritelty hallinnollinen sakko. Tämä seuraamusmaksu voi maksimissaan olla 20 miljoonaa euroa tai – esimerkiksi todella suurten yritysten tapauksessa – neljä prosenttia yhtiön liikevaihdosta.
Asiakastiedon mukaan nopeasti kasvaneen Vastaamon liikevaihto oli viime vuonna lähes 14 miljoonaa euroa.
Tietosuojarikkomusmaksuja määrättiin Suomessa ensi kertaa keväällä, jolloin esimerkiksi Postille lankesi 100 000 euron rapsut muuttoilmoituskäytännöistä. Yhtiö ilmoitti valittavansa päätöksestä.
Vastuunjako psykoterapiayritysten valvonnasta on jaettu niin, että tietosuojavaltuutetun toimisto valvoo yleisen tietosuoja-asetuksen noudattamista ja Valvira esimerkiksi potilaslaista tulevia säädöksiä.
Vastaamon kaltaisia yrityksiä valvotaan vain, jos ongelmia epäillään
Valvira ja aluehallintovirastot (AVI) myöntävät yksityisille yrityksille toimiluvat ja valvovat niiden toimintaa sen jälkeen.
Yleensä viranomaiset reagoivat vain silloin, jos ne saavat ilmoituksia tai kanteluita.
Markus Henrikssonin mukaan Valviralla ei ole ollut erityistä syytä epäillä, että potilaiden hoidossa Vastaamossa olisi ollut epäasianmukaisuuksia. Myöskään AVIen ja Tietosuojavaltuutetun mukaan Vastaamon toiminnasta ei ole tullut tavallisesta poikkeavia ilmoituksia tai kanteluita.
Lisäksi viranomaiset saisivat tehdä oma-aloitteista valvontaa, mutta käytännössä resurssit eivät yleensä riitä.
– Sellaista meillä ei ole ollut että käytäisiin psykoterapiatoimintayksiköitä läpi ennakoivasti, vaan se on ollut lähinnä reaktiivista, Valviran ylijohtaja Markus Henriksson kertoo.
– Nyt selvitämme Vastaamon toiminnan ja sen potilasturvallisuuden jatkumisen perusteellisesti.
Myös apulaistietosuojavaltuutettu Jari Råman kertoo, että tietosuoja on pääasiassa yrityksen omalla vastuulla. Yritys voi pyytää tietosuojavaltuutetulta ennakkokuulemista, jos sen tietoturvassa on haasteita, mutta Råmanin mukaan Vastaamo ei ole näin tehnyt.
– Millään valvonnalla ei koskaan saada täysin varmistettua, ettei sieltä tällaista pääsisi läpi, jos organisaatio itse ei ole riittävän vastuullinen, hän kommentoi Vastaamon tapausta.
Anu Talus sanoo, että yritykset voivat olla yleensä turvallisin mielin, jos ennakkokuuleminen on viety loppuun. Tietosuojavaltuutetun toimistoon on tullut tämän vuoden aikana vireille ennakkokuulemisia koskevia asioita 80.
Myöskään Taluksen mukaan valvonta ei rakennu sille, että tietosuojeluvaltuutetun toimisto tekisi systemaattisesti tarkastuksia, vaan sille, että yrityksen pitää arvioida tietojärjestelmänsä samalla kun se ottaa niitä käyttöön.
Aiheesta voi keskustella 29.10. kello 23 saakka.
Lue lisää: