Tällä viikolla voimaan tullut uusi asiakastietolaki kiristi merkittävästi terveysyritysten tietojärjestelmien vaatimuksia, jottei Vastaamon kaltainen tietomurto toistu.
Sosiaali- ja terveysalan lupa- ja valvontaviraston Valviran mukaan pienemmiltä yrityksiltäkin voidaan edellyttää lisäksi ulkopuolista tietoturvallisuuden arviointia.
Vastaamoon ostaneessa Vervessä tietojärjestelmät ovat parasta A-luokkaa Valviran mukaan. Terapeutti kirjaa potilastiedot suojatussa verkossa, ja tiedot kirjautuvat tiukasti suojattuun Kelan Kantajärjestelmään.
Ulkopuolinen yritys on arvioinut Verven järjestelmien turvallisuuden. Tietoturvan päivitykset ovat jatkuvia, sillä hyökkäysyritysten määrä on lisääntynyt.
Verven kehitysjohtajan Jorma Kudjoin mukaan yrityksessä oli jo aiemminkin hyvä tietoturva, jota vielä parennettiin ja henkilökuntaa koulutettiin.
– Se tiukka rajaus oli, että meille ei siirtynyt mitään järjestelmiä Vastaamosta eikä potilasasiakirjoja eli lähdettiin puhtaalta pöydältä. Käytämme tunnettua laajasti terapiapalveluihin käytettyä valmisohjelmistoa, lisää Kudjoi.
Vastaamo oli sen sijaan kehittänyt itse oman tietojärjestelmänsä, ja valvoi sitä myös itse. Kaiken lisäksi tiedot tallentuivat yrityksen omille palvelimille eikä tietoturvasta huolehdittu tarpeeksi.
Laissa useita parannuksia tietoturvaan
Uusi laki pyrkii estämään vastaavanlaiset tietomurrot, kun isojen yritysten ulkopuolinen tietojärjestelmien auditointi lisääntyy eikä potilastietoja voi tallentaa enää ainoastaan omille palvelimille.
Valviran yli-insinööri Antti Härkösen mukaan laissa on useita parannuksia ja marraskuussa THL tekee siihen vielä tarkennuksia, kun lakia tarkentavat määräykset julkaistaan.
– Tällä hetkellä kaikkien terveydenhuollon yksityisen palvelun tarjoajien tulee liittyä kanta-palveluun, jos heillä on käytössään sähköinen potilastietojärjestelmä. Tämä on merkittävä parannus.
Tietojärjestelmät on luokiteltu Kanta-liittymisen perusteella A- ja B-luokan järjestelmiin. Valviran mukaan A-luokan järjestelmiä valmistavia yrityksiä on tällä hetkellä rekisterissä 34 (50 järjestelmää) ja B-luokan järjestelmien valmistajia 157 (312 järjestelmää).
Isoksi kasvanut Vastaamo oli jäänyt omavalvontaa pohjautuvaan B-luokkaan, joten nyt Valvira selvittelee muidenkin B-luokan tietojärjestelmien käytön laajuutta, järjestelmin tallennettavaa tietosisältöä ja järjestelmien turvallisuutta.
Aiemmin Härkönen vastasi yksin valvonnasta, mikä pohjautui lähinnä yritysten poikkeamailmoituksiin. Nyt käytössä on neljän hengen tiimi, joka mahdollistaa myös ennakoivan valvonnan ja apuna on tiukempi laki.