Valviran asiantuntija: ”Vastaamon tietomurto ei tullut yllätyksenä – jotain tällaista osasi odottaa, koska tietojärjestelmien ennakkoarviointia ei ole”
Vastaamon tietojärjestelmä kuuluu Valvirassa B-luokitukseen eli viranomaiset eivät ole arvioineet sen tietoturvallisuutta ennen käyttöönottoa. Samassa kastissa on 259 muutakin luottamuksellisia tietoja sisältävää järjestelmää, muun muassa lastenvalvojien työkalu.
Ympäri Suomea toimiva Psykoterapiakeskus Vastaamo kertoi 21.10. joutuneensa tietomurron ja kiristyksen kohteeksi.
Valvira luokittelee sosiaali- ja terveydenhuollon tietojärjestelmät valvontaluokkiin A ja B. Luokkaan A kuuluvat Kansaneläkelaitoksen ylläpitämät Kanta-palvelut sekä tietojärjestelmät, jotka on tarkoitettu liitettäväksi Kanta-palveluihin.
Muut tietojärjestelmät kuuluvat luokkaan B. Valvira ei tee näille ulkopuolista tietoturvallisuuden ennakkoarviointia.
Nettihoitopalveluistaan tunnetun psykoterapiakeskus Vastaamon tietojärjestelmä on juuri tässä B-luokassa ja sen potilastiedot olivat suoraan selaimella.
”Vastaamon tietomurto ei tullut yllätyksenä, mutta laajuus on aivan poikkeuksellista”, Valviran terveydenhuollon valvontaosaston yli-insinööri Antti Härkönen sanoo.
Osaan B-luokan järjestelmiin on merkitty CE-merkintä. Merkintä takaa, että järjestelmä on vaatimusten mukainen.
Mukana julkisia lasten palveluita
Suurin osa A:han kuuluvista on julkisia, isoja terveydenhuollon tietojärjestelmiä. Perusterveydenhuollon tietojärjestelmät, joilla on sähköinen resepti käytössä, kuuluvat lähtökohtaisesti A-luokkaan.
B:hen kuuluvista valtaosa on pieniä, yksityisiä terveydenhuoltoalan tietojärjestelmiä. Mutta B-luokkaankin kuuluu isoja terveydenhuoltoalan yritysten järjestelmiä ja yksityisten yritysten tekemiä, julkisissa palveluissa käytettyjä järjestelmiä.
Valviran A- ja B-luokkiin kuuluvat toimijat löytyvät täältä.
Rekisterin mukaan B-luokkaan kuuluvat esimerkiksi Mehiläinen oy:n Mehidoc-järjestelmä, Terveystalon Terveystalo Pro -järjestelmä, Pihlajalinnan Oma Pihlajalinna -palvelu, Fimlab-laboratorioiden Labon-järjestelmä, Merlot Medi -ensihoidon potilastietojärjestelmä, koulupsykologien ja kuraattorien työvälineeksi tarkoitettu asiakastyön sovellus Aura ja lastenvalvojien asiakastapaamisten dokumentoinnissa käytetty Pro Consona Lastenvalvoja sekä sosiaalihuollon asiakastietojärjestelmä ja vanhustyön asiakastietojärjestelmä.
Aikooko Valvira kiristää valvontaa Vastaamon tietomurron takia?
”Näin ei voi sanoa. Minä olen tällä hetkellä ainoa tätä valvontatyötä tekevä työntekijä. Tarve valvonnalle on kyllä, mutta B-luokassa ei ole yksityiskohtaisia määräyksiäkään”, Antti Härkönen sanoo.
Kun sosiaali- ja terveysalan tietojärjestelmät rekisteröidään Valviraan, toimijoilla on velvoite ilmoittaa tietoturvallisuuden puutteista Valviraan.
”Paljon jää toimijoiden omalle vastuulle”, Härkönen myöntää.
© iStock