Aloitetaanpa pienellä tilastokatsauksella. Sosiaalihuollon asiakkaita on Suomessa noin 770 000. Kaiken kaikkiaan Suomessa sote-alan toimijoita on noin 26 400 ja näistä 95% on mikro- ja pk-yrityksiä. Kuinka moni noista noin 770 000 asiakkaista on pienten yksityisten yritysten palvelutuotannon piirissä? Kuinka paljon asiakkaiden tiedosta kirjataan erilaisiin sähköisiin asiakastietojärjestelmiin ja on liki päivittäisessä käytössä? Ja kuinka paljon erilaisia asiakirjoja yksittäisestä asiakkaasta laaditaan? Asiakastietojärjestelmien lisäksi yrityksissä on käytössä myös muita järjestelmiä, joihin asiakkaiden tietoja tallennetaan esimerkiksi laskutusta varten. Voidaan siis sanoa, että pienissä yrityksissä käsitellään varsin laajaa asiakastietojoukkoa. (Lähde: https://thl.fi/tilastot-ja-data/tilastot-aiheittain/sosiaalipalvelut/sosiaalihuollon-asiakkaat)
Otetaanpa tähän perään karkea vertailu potilastiedosta ja asiakastiedosta. Potilas tulee murtuneen jalkansa kanssa terveyskeskukseen, jossa jalka kuvataan, lääkäri tutkii tilanteen, murtuma lastoitetaan ja potilas kotiutetaan kipulääkereseptin kera. Tämä näin karkeana esimerkkinä. Tästä tehdään tarvittavat kirjaukset potilastietojärjestelmään, joka on myöhemmin luettavissa potilaan omaKannassa, mutta myös myöhemmin tutkimuskäytössä (potilastiedon toissijainen käyttö) esimerkiksi murtumiin liittyvän yleisyyden tai työtapaturmakartoituksien yhteydessä. Potilasta on vaikeaa tekstistä tunnistaa, kuten on tarkoituskin.
Asiakas tulee sosiaalihuoltoon taustallaan lastensuojeluilmoitus kaltoinkohtelusta. Asiakastietojärjestelmään kirjataan laaja kuvaus tapahtumista, paikoista, sukulaisuussuhteista jne. Ylipäätään järjestelmään kirjataan paljon vapaata tekstiä kuvaamaan tilannetta, sekä asiakkaan omaa kuvausta tapahtuneesta. Näitä tietoja asiakkaan iästä ja kypsyydestä riippuen voidaan julkaista asiakkaan nähtäville viivästeisesti ja asiakkaan hyvinvointia suojellen. Nopealla tulkinnalla ja tällä karkealla vertailulla ei liene vaikeaa arvioida, kumpi tekstityyppi on arkaluonteista ja suojeltavaa, mutta todellisuus on toisenlainen.
Edellä mainittu ei ole tarkoitettu vähättelemään kumpaakaan kirjattua tietoa, vaan esimerkiksi on tarkoitushakuisesti haettu hyvin ääripään tietoa käsitteleviä kuvauksia. Tavoitteena esimerkeillä on herättää keskustelua siitä, mikä tieto on suojelemisen arvoista ja kuka määrittää sen, mikä tieto on arkaluonteisempaa. Voidaanko näitä edes arvottaa tai asetella tärkeysjärjestykseen millään logiikalla. Ei edes potilastieto vs. asiakastieto -tasolla.
Euroopan unionin kyberturvallisuusdirektiivi NIS2
Potilastieto ja yleisemmin terveystieto kuuluu tulevaisuudessa myös NIS2 sääntelyn (Euroopan unionin kyberturvallisuusdirektiivi) piiriin. Terveydenhuollon isoimmat toimijat sekä hyvinvointialueet on määritelty kriittisiksi toimijoiksi. Näin ollen näiden toimijoiden käsittelemät tiedot määritellään arkaluonteiseksi ja tietojen käsittelyssä tulee huomioida tarkasti jatkossa myös kyberturvaan liittyviä näkökulmia riskiperusteisesti käsittelypaikasta ja henkilökunnan osaamisesta lähtien. Valitettavasti tämän sääntelyn ulkopuolelle jäävät pienet terveydenhuollon yritykset, sillä NIS2 sääntely koskee vain yli 50 henkeä työllistäviä yrityksiä tai yrityksiä, joiden liikevaihto on yli 10 miljoonaa euroa.
Vaikka direktiivi ei suoraan velvoitakaan pienempiä toimijoita, voivat sen vaikutukset kuitenkin alihankintaketjun kautta niihin ulottua. Direktiivi velvoittaa sen piiriin kuuluvia toimijoita arvioimaan toimitusketjuun liittyviä riskejä ja esimerkiksi hyvinvointialueelle palveluita tuottaessaan yritykselle voi tulla hyvinvointialeelta myös kyberturvaan ja riskienhallintaan liittyviä vaatimuksia. Tällä tavoin hyvinvointialue varmistaa, ettei palvelunantaja aiheuta heille riskejä.
Entä sosiaalihuollon asiakastieto? Se ei näihin arkaluontoisiin tietoihin NIS2 ohjeistuksessa Suomessa kuuluisi, toki ko. tietoa tulee asianmukaisesti käsitellä, mutta tietoa tuottavien tahojen osaaminen ei kuulu aktiivisen kouluttamisen ja tiedottamisen kohteeksi. Tuleeko tuon asiakastiedon suojeleminen liian kalliiksi, joten annetaan sen olla niin kuin se on!
Pienet yritykset asiakastiedon vartijana
Kyberturvan näkökulmasta tilanne on huolestuttava. Arkaluonteisen tiedon vartijana ovat ne pienet ja keskisuuret yritykset, jotka pyrkivät kyllä parhaalla mahdollisella tavalla tekemään asiakasturvallista työtä, mutta joille ei anneta selkeitä ohjeita siitä, miten tietoa suojellaan ja mikä tieto on suojelemisen arvoista. Pieniltä yrityksiltä harvemmin kysytään, mikä osaamisen taso on ja miten he asiakastiedon kanssa toimivat. Ja työkalut, joita ilmaiseksi tähän osaamisen tason kartoittamiseen ja muuhun kyberturvaan liittyvään toimintaan tarjotaan, on tehty suurille organisaatioille. Noita työkaluja ei ole mukautettu pienille yrityksille toimivaksi. Pienet yritykset ovat loppujen lopuksi aika yksin tässä kyberturvamaailmassa.
Hyvinvointialueiden valuttaessa näitä vaatimuksia pienille yrityksille ja heidän toimintaansa kuuluvaksi, jätetään ohjaus ja kustannusvaikutus pääsääntöisesti huomioimatta. Miten pienet sosiaali- ja terveydenhuoltoalan yritykset pystyvät ilman kasvavia kustannuksia vastaamaan näihin vaatimuksiin? Ilmaisista työkaluista tuskin on pienelle apua ja kun tuska yrityksissä on jo pelkän tietoturvasuunnitelman laatimisessa, miten jatkuvan parantamisen logiikka toteutuu?
Ongelma on monisyinen, josta tullaankin otsikon kysymyksen asetteluun. Usein puhutaan potilastiedon suojaamisesta mutta todella vähän puhetta löytyy sosiaalihuollon asiakastiedon näkökulmasta. Lähtökohtaisesti potilastietoa on käsitelty sairaanhoitopiirien tasolla, jossa on paljon hallinnollista henkilökuntaa vartioimassa sekä tietoa että tiedon käsittelyä. Toisin on sosiaalihuollon asiakastiedon laita.
Kuka lopulta on siinä asemassa, että voi sanoa kumpi tieto tai arkisto on tärkeämpää, arkaluonteisempaa ja arvokkaampaa tai kenen tuottama tieto ansaitsee tulla suojatuksi? Henkilökohtaisella tasolla sanoisimme, että kaikki sosiaali- ja terveystieto, joka yksilön elämästä tuotetaan, on suojaamisen arvoista. Ei se, missä, kenen ja minkä kokoisen yksikön sisällä tieto tuotetaan.
Tilannetta haastaa entisestään se, että eri viranomaisten tieto on hajallaan erilaisissa järjestelmissä. Harvalla työntekijällä on aikaa etsiä tietoa eri lähteistä, tulkita luotettava ja ajantasainen tieto epäluotettavasta tai vanhentuneesta ja keskittyä lopulta siihen asiakastyöhön.
Mikä “lääkkeeksi”?
Mikäli asenne ei muutu tietoturvamyönteisemmäksi ja sitä tukevaksi toimialaa valvovien ja sääntelevien osalta, ei mielestämme voida odottaa kovin suurta edistysloikkaa lähitulevaisuudessakaan. Jos asian tärkeyttä ei riittävästi korosteta, ei siihen myöskään tartuta. Näin on käynyt esimerkiksi laatutyön kanssa, sillä kun sitä ei enää arvosteta kilpailutuksissa, harvat jaksavat siihen nykyisessä tilanteessa myöskään panostaa. Muutos tarvitsee taustalleen yhteisen ryhtiliikkeen ja tässä tapauksessa sen täytyy lähteä ylhäältäpäin. Oletus itseohjautuvuudesta ilman työkaluja on aika absurdi.
Tärkeää olisi, että päättävillä tahoilla ymmärrettäisiin pienten yritysten merkitys kyberturvallisuuden toteuttamisessa sote-alalla. Viranomaisten tulee tarjota kyberturvallisen toiminnan toteuttamiseen tukea, olipa se sitten taloudellista tai välineellistä. On tärkeää, että eri kokoisissa yrityksissä luodaan käsitys siitä, että kyberturva on ennen kaikkea liiketoimintatekijä. Toiminnan jatkuvuuden turvaamisessa myös kyberuhkat tulee riittävällä tasolla huomioida ja niihin varautua. Viranomaisten tulee ymmärtää kyberturva kaiken kokoisten yritysten näkökulmasta ja lisätä kaikkien asiakastietoa käsittelevien kyberturvatietoisuutta.