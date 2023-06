Tietosuojavaltuutetun toimistoon voi olla yhteydessä, jos epäilee, että henkilötietoja on vuotanut vääriin käsiin. Arkistokuva.

Varsinais-Suomessa ja Etelä-Karjalassa on tullut ilmi epäiltyjä tietoturvaloukkauksia, joissa sosiaali- ja terveysalan työntekijä on katsonut potilastietoja luvatta.

Varsinais-Suomessa sairaanhoitopiirin entistä työntekijää syytetään nyt oikeudessa tietosuojarikoksesta. Urkittujen potilastietojen määrä on huomattava, poliisin mukaan jopa 200.

Etelä-Karjalassa hyvinvointialue taas uskoo, että sen entinen työntekijä pitää hallussaan jopa 30 luvatonta henkilötietoja sisältävää asiakirjaa. Asia on poliisin tutkinnassa.

Tietosuojavaltuutetun toimiston mukaan potilastietojen urkintoja tulee tietoon muutama vuodessa, mutta näissä kahdessa katseltujen potilastietojen lukumäärä on poikkeuksellinen.

– Kaikki tapaukset ovat hyvin valitettavia. Erityisesti potilastietoihin kohdistuvat tietoturvaloukkaukset ovat vakavia ja niillä voi olla suuriakin vaikutuksia, apulaistietosuojavaltuutettu Annina Hautala sanoo.

Vastaamon tietomurto herätti ihmisiä potilastietoihin

Hautalan mukaan ainutkertaisia suureen potilasmäärään kohdistuneet tietoturvaloukkaukset eivät kuitenkaan ole.

– Nämä Etelä-Karjalan ja Varsinais-Suomen hyvinvointialueiden tietoturvaloukkaukset ovat kohdistuneet suurempaan joukkoon ja ovat sillä tavalla harvinaisempia. Joitakin tapauksia tietosuojavaltuutetun toimiston tiedossa kyllä on.

Esimerkiksi psykoterapiakeskus Vastaamon tietomurrossa tuhansia potilastietoja levisi vääriin käsiin. Tämä herätti ihmisiä ja toi potilastietoasiat suurempaan tietoisuuteen.

– Varmasti jonkun verran potilastietojen lainvastainen käsittely huolestuttaa ja ihmiset ovat heränneet mahdollisiin väärinkäytöksiin. Väärinkäytöksen motiivilla voi olla vaikutusta siihen, miten huolestuttavasta tapauksesta on kyse, eli onko tietoja katseltu uteliaisuudesta vai onko niiden katselulla joku tietoinen tarkoitus, esimerkiksi identiteettivarkauksiin ja kiristyksiin liittyvä, Hautala sanoo.

Varsinais-Suomen hyvinvointialue, tuolloin vielä sairaanhoitopiiri, pääsi tietosuojaloukkauksen jäljille omavalvonnan kautta.

Apulaistietosuojavaltuutettu Annina Hautala muistuttaakin, että laki sitoo hyvinvointialueita valvomaan potilastietojen tietoturvaa.

– Rekisterinpitäjillä on tietosuojalainsäädännöstä tuleva vastuu huolehtia siitä, että henkilöillä, joilla on pääsy henkilötietoihin, on riittävä osaaminen ja ymmärrys tietosuojasta ja siitä, mihin ylipäätään henkilötietoja saa käyttää.

Lisäksi käyttöoikeuksia rajataan työtehtävien mukaan.

– Henkilötietojen käsittelyn pitää olla erilaisissa tietojärjestelmissä rajattua, eli käyttöoikeudet tulee rajata esimerkiksi työtehtävien mukaan. Asianmukaisilla käyttöoikeuksilla pystytään riskiä tietoturvaloukkauksesta pienentämään merkittävästi. Lisäksi henkilötietojen käsittelyä pitää valvoa asianmukaisesti, Hautala kertoo.

