Lehti 51-52: Ajan­kohtai­sta 51-52/2020 vsk 75 s. 2818 - 2821

Tietoturva kiinnostaa nyt kaikkia

Potilastietojärjestelmien tietoturva on yleisesti hyvä, mutta poikkeuksiakin on. Tiukemmat vaatimukset tarkoittavat kasvavia it-kustannuksia.

Anne Seppänen
Kuvituskuva 1
Jussi Helttunen

– Vastaamon tietovuoto oli ikävä tapaus, jolla on positiivisia seurauksia muiden potilastietojärjestelmien tietoturvaan, näkee yleislääketieteen erikoislääkäri, päätoimittaja Johannes Lyytikkä.
Kuvituskuva 2
Jussi Helttunen

– Työnantajalta voi kysyä, onko tehty tietoturvasuunnitelmaa ja riskiarviota ja kuka on tietoturvavastaava, Johannes Lyytikkä neuvoo.
Kuvituskuva 3
Adobe/AOP

Ei niin pahaa, ettei jotain hyvääkin: Vastaamon tietovuodosta on seurannut ennennäkemätön kiinnostus potilastietojärjestelmien tietoturvaa kohtaan. Siihen ollaan myös valmiita satsaamaan enemmän.

– Koskaan aikaisemmin ihmiset eivät ole olleet näin kiinnostuneita tietoturvasta. Se on hyvä ilmiö, sanoo ICT-pääsuunnittelija Tomi Tikkanen Siun sotesta.

Samaa mieltä on yleislääketieteen erikoislääkäri, Kustannus Oy Duodecimin Integroidut palvelut -yksikön päätoimittaja Johannes Lyytikkä. Hän on urallaan ollut mukana kehittämässä potilastietojärjestelmiä ja niiden integraatioita.

– Vastaamon tietovuoto oli ikävä tapaus, jolla varmasti on positiivisia seurauksia muiden potilastietojärjestelmien tietoturvaan, Lyytikkä sanoo.

Epäreilu pelikenttä

Vastaamo-vuodon aiheuttamasta huolesta huolimatta terveydenhuollon tietoturvan tilanne Suomessa on varsin hyvä.

– Tietoturvaan suhtaudutaan vakavasti, ja se on aina keskusteluissa mukana. Kenttä on kuitenkin laaja, ja toimijoita on paljon. On varmasti myös niitä tahoja, joilla se on huonosti järjestetty, Lyytikkä sanoo.

Tietoturvaan pätee hänen mukaansa hyvin sanonta siitä, että ketju on niin vahva kuin sen heikoin lenkki.

– Tietoturvan pelikenttä on epäreilu. Murtautujalle riittää yksi huonosti toteutettu osa-alue; tietoturvasta vastaavan pitää vastata kaikesta. Supertietoturva ei riitä, jos pääkäyttäjän salasana on post-it-lapulla.

Tiukemmat vaatimukset

Siun sotessa uudet suunnitelmat tietoturvan kehittämiseksi ovat jo pitkällä.

– Erityisesti alihankintasopimusten sopimusehdot tiukkenevat, Tomi Tikkanen sanoo.

Alihankkijoiden kenttä on laaja. Esimerkiksi vanhusten asumispalvelut on suureksi osaksi ulkoistettu, ja toimijat käyttävät omia tietojärjestelmiään.

Siun sotessa on aiemminkin ollut tietojenkäsittelyn vaatimukset ja ohjeet alihankkijoille. Tikkanen arvelee, että jatkossa otetaan kantaa myös fyysisiin ratkaisuihin ja vaikkapa siihen, onko palveluntuottajalla käytössään esimerkiksi pilvipalvelu.

Paljon vaihtelua

Potilastietojärjestelmät jaetaan A- ja B-luokkiin. A-luokan järjestelmät on suoraan integroitu Kanta-palveluun, ja niiltä edellytetään ulkopuolista tietoturvallisuuden arviointia. B-luokassa riittää oma ilmoitus.

A-luokan potilastietojärjestelmiä on nelisenkymmentä, ja niitä käyttävät julkisen terveydenhuollon toimijat sekä kaikki ne, joilla on käytössään esimerkiksi sähköinen resepti tai potilastiedon arkisto.

B-luokkaan kuuluvat kaikki muut potilastietojärjestelmät, ainakin 260 eri järjestelmää. Niistä osa on Kantaan yhteydessä välittäjäpalvelun avulla.

– Yksityisellä puolella on vaihtelua ja paljon pieniä toimijoita. Käytössä voi olla jopa itse tehty järjestelmä, jota ei ole liitetty Kantaan, kertoo yli-insinööri Antti Härkönen Valvirasta.

Joskus käytössä on hyvinkin vanhoja järjestelmiä. Tomi Tikkanen on nähnyt jopa 1980-luvulta peräisin olevia merkkipohjaisia järjestelmiä, jotka eivät ole A- eivätkä B-luokkaa.

Valvira valvoo potilastietojärjestelmien turvallisuutta asiakastietolain nojalla. Resurssit ovat kuitenkin vähäiset, ja tarkastuksia tehdään harvoin.

Turvallisuus maksaa

Kun vaatimukset tiukkenevat, myös it-kustannukset kasvavat. Vastaamo-tietovuodon yhteydessä on ehdotettu, että B-luokan potilastietojärjestelmät pitäisi yksinkertaisesti poistaa käytöstä.

Tomi Tikkanen huomauttaa, että A-luokan vaatiminen voi tulla kohtuuttoman kalliiksi. Pienet sote-alan toimijat, esimerkiksi ammatinharjoittajafysioterapeutit, eivät välttämättä pysty maksamaan sen vaatimia kustannuksia.

Terveydenhuollolle sanelunhallintajärjestelmää, puheentunnistusta ja sanelunpurkupalvelua myyvän Diktamen Oy:n toimitusjohtaja Olavi Valkama toteaa, että esimerkiksi finanssialalla tietoturvalta vaaditaan enemmän kuin terveydenhuollossa.

– Vastaamon tapauksessa tapahtui sellaista, mitä ei välttämättä olisi sattunut, jos vaatimustaso ja regulaatiot olisivat olleet kovempia, hän sanoo.

Diktamen Oy hankki joitakin vuosia sitten englantilaisten asiakkaidensa vaatimuksesta tietoturvasertifikaatin (ISO27001). Sertifikaatin ylläpito vaatii säännöllisiä auditointeja ja tietoturvatestauksia.

Valkaman mielestä tietoturvasertifikaattia pitäisi vaatia kaikilta potilastietoja käsitteleviltä toimijoilta.

Tikkanen taas ajattelee, että Suomeen tarvittaisiin jonkinlainen kansallisen tason tietoturvasertifiointi, joka vaatima työmäärä ja hinta olisivat kohtuullisia myös pienille alihankkijayrityksille.

Jos vaatimuksia kiristetään paljon, pulaa voi tulla myös it-ammattilaisista.

– Kaikkien järjestelmien auditointi kerran vuodessa olisi talouden ja resurssien kannalta haastavaa, Lyytikkä huomauttaa.

Mihin voi luottaa?

Mihin lääkäri voi luottaa? Jos käytössä on A-luokan järjestelmä, tietoturvan vähimmäisvaatimusten voi luottaa täyttyvän. Moni kuitenkin käyttää työssään B-luokan potilastietojärjestelmää.

Härkönen neuvoo ensimmäiseksi tarkistamaan, löytyykö potilastietojärjestelmä Valviran ylläpitämästä rekisteristä, joka on Valviran internet-sivustolla. Kaikkia ei kuitenkaan sieltä löydy, vaan kyseessä voi olla yleiskäyttöinen ohjelmisto.

Lue myös

– Työnantajalta voi kysyä, onko tehty tietoturvasuunnitelmaa ja riskiarviota ja kuka on tietoturvavastaava. Jos mitään näistä ei ole tehty, mennään hyvän onnen varassa, Lyytikkä sanoo.

Kuntaliiton erityisasiantuntija Karri Vainio korostaa, että ohjelmistoihin liittyvä tietoturva on ohjelmistovalmistajien vastuulla. Yksittäinen lääkäri ei voi varmistua siitä aukottomasti.

– Käyttäjien ja sote-organisaatioiden on kiinnitettävä entistä enemmän huomiota sopimuksiin, joilla ohjelmistoja hankitaan, Vainio toteaa.

Osa tietoturvallisuutta on käyttäjien opastus.

– Yksittäiset työntekijät ovat tärkeitä. Tässä tietoturvakoulutuksella on tärkeä rooli, Lyytikkä sanoo.

Kehitys ei pysähdy

Tietoturva on muistettava kaikessa muussakin.

– Viime vuosina on tullut käyttöön uudentyyppisiä palveluja, jotka liittyvät sähköisen asioinnin ja omahoidon ratkaisuihin. Ne eivät ole perinteisessä mielessä potilastietojärjestelmiä, huomauttaa Vainio.

Esimerkiksi etälääkäripalveluihin liittyy asioita, joissa tietoturvan lisäksi korostuvat tietosuojakysymykset ja asiakkaan sähköinen luotettava tunnistaminen.

Pilvipalvelut ovat arkea muualla, ja niitä on tullut myös terveydenhuoltoon. Ajankohtaisia asioita ovat myös avoimet rajapinnat, avoimet koodipohjat ja avoimet alustat.

– Niihin liittyy uusia huomioon otettavia asioita, mutta ei ratkaisematonta ongelmaa, joka tekisi niistä suljettuja järjestelmiä tietoturvattomampia, Lyytikkä arvioi.

Jokaisella on oikeus henkilötietojensa suojaan

• Tietosuoja on perusoikeus, joka turvaa rekisteröidyn oikeuksien ja vapauksien toteutumisen henkilötietojen käsittelyssä.

• Potilastiedot ovat henkilötietoja. Niiden käsittelyssä sovelletaan muun muassa EU:n yleistä tietosuoja-asetusta ja kansallista lainsäädäntöä.

• Tietoturva on yksi tietosuojan toteuttamisen keino. Sen tarkoitus on suojata tietoaineisto ja tietojärjestelmät.

Etusivulla juuri nyt

Lääkäriliitto Fimnet Lääkärilehti Potilaanlaakarilehti Lääkäripäivät Lääkärikompassi Erikoisalani Lääkäri 2030