Voisiko Vastaamon kaltainen tietomurto toistua? Maanantaina voimaan tuleva laki tekee siitä erittäin epätodennäköistä, sanovat asiantuntijat

Vastaamo-tietomurto johti lakimuutokseen, joka parantaa potilastietoturvaa merkittävästi. Inhimillisiä virheitä ei voi silti koskaan täysin estää, muistuttaa tietoturva-asiantuntija.

Keskusrikospoliisi on tutkinut psykoterapiakeskus Vastaamon tietomurtoa vuoden päivät. Ratkaisua ei ole vielä saatu. Kuva: Silja Viitala / Yle

Psykoterapiakeskus Vastaamon tapauksen kaltainen laajamittainen potilastietomurto on nyt huomattavasti epätodennäköisempi kuin vuosi sitten. Tapaus on saanut aikaan muutoksia lainsäädäntöön ja valvontaan.

Valviran yli-insinööri Antti Härkönen kertoo ennen kaikkea asiakastietolain uudistuksen parantavan potilastietosuojaa merkittävästi.

– Tähän saakka yksityisille terveydenhuollon palveluntarjoajille ei ole ollut yksiselitteistä vaatimusta liittyä Kanta-palveluun, mutta uuden lain myötä tämä muuttuu.

Uusi asiakastietolaki – eli sosiaali- ja terveydenhuollon asiakastietojen sähköistä käsittelyä koskeva laki – astuu voimaan tulevana maanantaina.

Käytännössä se velvoittaa sosiaalihuollon palvelunantajat ja yksityiset terveydenhuollon palveluntarjoajat liittymään valtakunnallisiin Kanta-palveluihin.

Kanta-palveluun tallennetaan tiedot terveydenhuollon käynneistä ja diagnooseista.

Kanta-palvelu on varmennettu ja valvottu

Massiivinen tietomurto mahdollistui, koska Vastaamon asiakastietojärjestelmää valvottiin vähemmän kuin monien muiden terveysalan toimijoiden. Tietojärjestelmälle ei ollut myöskään yksityiskohtaisia tietoturvavaatimuksia tai ulkopuolista arviointia. Tämä johtui siitä, että Vastaamo kuului asiakastietolain mukaan niin sanottuun B-luokkaan.

Useat suuret psykoterapiayritykset käyttävät A-luokan järjestelmiä, jotka on liitetty Kanta-palveluun. Niille tehdään ennen rekisteröintiä tietoturva-arviointi ja Kelan testaus yhteensopivuudesta Kanta-järjestelmään.

B-luokan järjestelmiltä laki ei tätä ole vaatinut. A-luokan järjestelmiä on myös valvottu B-luokkaa tarkemmin.

Valviran yli-insinööri Antti Härkönen sanoo, että Vastaamon järjestelmässä kaikki munat olivat samassa korissa.

– Murtautujan oli mahdollista päästä tietoihin helposti käsiksi. A-luokan järjestelmässä tiedot ovat huomattavasti hajautetummin.

Jatkossa B-luokka ei tule kokonaan poistumaan, mutta senkin valvontaa parannetaan.

Inhimillisiä virheitä ja sisäisiä väärinkäytöksiä ei voi estää

Tietoturva-asiantuntija Petteri Järvinen niin ikään näkee lakimuutoksen potilastietosuojalle hyväksi. Vaikka laajoja potilastietomurtoja onkin yhä vaikeampaa toteuttaa, ei se silti ole mahdotonta.

– Mikään auditointi tai tekninen ratkaisu ei varmuudella takaa mitään. Inhimillisiä huolimattomuusvirheitä tai sisäistä urkintaa voi aina tapahtua. Sellaista ei koskaan pysty sataprosenttisesti estämään, Järvinen sanoo.

Psykoterapiakeskus Vastaamon yhä selvittämättä oleva potilastietomurto sai monet pelkäämään arkaluontoisten tietojensa puolesta.

– Vastaamon tapauksessa priorisointi petti pahasti. Potilastietojen kohdalla valvonnan täytyisi olla mahdollisimman tarkkaa, kuului järjestelmä sitten mihin kategoriaan tahansa, tietoturva-asiantuntija Petteri Järvinen toteaa.

Valviran yli-insinöörin Antti Härkösen mukaan on ymmärrettävää, että ihmiset ovat huolissaan esimerkiksi terapiatietojensa kirjaamisesta sähköisiin järjestelmiin. Hänen mukaansa Vastaamon tapauksesta otettiin kuitenkin paljon opiksi.

– Valvontaa on parannettu merkittävästi. Vielä vuosi sitten olin Valviran ainoa asiakastietolakia valvova henkilö. Ensi viikolla meitä on kaikkiaan neljä. Resurssit ovat nyt paremmat ja järjestelmien turvallisuus on parantunut, Härkönen arvioi.

Psykoterapiakeskus Vastaamon tietomurtoa on tutkittu vuosi.

Keskusrikospoliisi tiedotti tänään, että se on edistynyt tutkinnassa merkittävästi. Poliisilla on uusi tutkintalinja, joka ulottuu Euroopan ulkopuolelle. Tutkinnanjohtaja Marko Leponen ei ottanut suoraan kantaa, onko poliisilla varsinaisia epäiltyjä.

Vastaamon tapaus on Suomessa täysin poikkeuksellinen muun muassa uhrien määrällä mitattuna.

Voit keskustella aiheesta 28.10.2021 klo 23.00 saakka.

Lue myös: