Ajatuksia sote-alan tietosuojasta ja tietoturvasta
Olen seurannut tiiviisti viimeaikaista uutisointia tietosuojaan ja tietoturvaan sekä Vastaamoon liittyen. Paljon on ollut hyvää uutisointia, mutta myös sitä pelkoja lietsovaa uutisointia, joka asettaa jo lähtökohtaisesti vaikean tilanteen entistä kamalampaan valoon. Uutisoinnissa korostuu syyllisen etsiminen, vaikka lopulta se on vain yksi osa tilanteen eheyttämistä. Fokus pitää olla siellä mitä me voimme oppia tapahtuneesta, sillä surullisinta olisi se, että kaikki jatkuu tomun laskeuduttua samanlaisena missä mahdollinen uusi tietovuoto väijyy jo nurkan takana jotakin muuta palveluntuottajaa.
Lehdissä on uutisoitu mm. sote-alan tietojärjestelmistä ja siitä miten vähän niihin kohdistuu valvontaa. On totta, että valvontaa on vähän, jos ollenkaan. Kuitenkin näkemäni uutinen jossa jaoteltiin sote tietojärjestelmät ns. parempiin A-luokan järjestelmiin ja huonompiin B-luokan järjestelmiin ei ihan pitänyt paikkaansa. Ensinnäkin luokitus A -ja B-luokan järjestelmiin ei ole koskaan tarkoittanut järjestelmien hyvyyttä tai huonoutta toisiinsa verrattuna, vaan sitä ovatko ne kytkettävissä Kanta-palveluihin ja millä mekanismilla.
Totta uutisoinnissa oli mm. se, että A-luokan järjestelmillä on suora rajapinta Kanta-viestinvälityspalveluun ja ne ovat läpäisseet sertifioinnin ja saaneet tästä vaatimustenmukaisuustodistuksen, mutta myös B-luokan järjestelmällä on yhtäläiset mahdollisuudet päästä kanta yhteyteen, kunhan se on integroitu A-luokkaan sertifioituun viestivälityspalikkaan. Tällöin yhteydet B-luokan ja A-luokan järjestelmillä ovat yhtälailla turvatut silloin, kun kirjaukset tehdään vain Kanta-palveluun. Oma tarinansa on sitten ne tiedot, joita mahdollisesti käsitellään kanta-palvelusta irrallaan, toisaalla asiakas -ja potilastietojärjestelmässä. Tällaisia tietoja ovat esimerkiksi sosiaalihuollossa tapahtuvat asiakkaan terveyteen liittyvät kirjaamiset, joiden osalta ollaan edelleen harmaalla alueella sillä viranomaiset eivät ole tähän selkeää kantaa ja linjausta tehneet. Palveluntuottajat toimivat siis parhaan tietämyksensä mukaisesti, mutta tällaiset kirjatut tiedot kelluvat ikäänkuin kahden maailman välissä tällä hetkellä.
Niin kauan, kun kirjaamisvelvoitetta kanta-palveluun ei ole, on jokaisen velvoitteen ulkopuolella toimivan palveluntuottajan mahdollista tehdä kirjaamiset esimerkiksi erilaisia varmenneratkaisuja hyödyntävissä asiakas -tai potilastietojärjestelmissä. Silti vaikka varmenneratkaisut toisistaan poikkeaisivatkin uskon, ja etenkin toivon, että jokaiseen markkinoilla olevaan järjestelmään tarvitaan aina vahva salasana, jota myös päivitetään. Markkinoilla on myös toimintojensa osalta hyvin erilaisia asiakas -ja potilastietojärjestelmiä myynnissä, riippuen vähän minkä toimialan tarpeisiin järjestelmä on erityisesti kehitetty tai onko järjestelmässä mahdollista tehdä myös muuta toiminnanohjausta, kuin pelkästään asiakkaisiin tai potilaisiin liittyvää raportointia.
Asiakas -ja potilastietojen käsittelyn valtakunnallisen yhteinäistämisen osalta on tulossa ratkaisu valmisteilla olevan asiakastietolain myötä. Tällöin asiakas -ja potilastietojen kirjaaminen kanta-palveluihin sekä järjestelmissä tehtävä tunnistautuminen tapahtuvat tietoturvallisesti sote-ammattikortin kautta. Sote-ammattikortti on verrattavissa henkilökorttiin ja tämä varmenne hankitaan puolestaan digi -ja väestötietovirastosta. Asiakastietolain myötä velvoite kirjata kanta-palveluihin laajenee terveydenhuollon puolelta, myös sosiaalihuollon puolelle, jolloin se kattaa kaikki palveluntuottajat niin yksityisellä, kuin julkisellakin sektorilla.
Valitettavasti järjestelmissä voi olla heikkouksia, etenkin silloin jos niissä käytetään jotain kolmannen osapuolen liitännäispalvelua tai esimerkiksi integrointi johonkin toiseen tietojärjestelmään on tehty heikosti. Järjestelmissä voi olla heikkouksia myös käytettävien varmenteiden osalta, etenkin jos on mahdollista käyttää esimerkiksi heikkoa tunnistautumista eikä järjestelmä pakota salasanan vaihtamiseen. Kaikkeen tähän ja moneen muuhun asiaansa perehtyneet kyberrikolliset voivat päästä järjestelmissä kiinni. Silti valveutuneimpia kyberrikolliset ovat tietojen kalastelussa, jossa kohteena olemme me, ihmiset, eivät niinkään välttämättä yksittäiset järjestelmät.
Tietosuojan ja tietoturvan osalta tärkeintä on tiedostaa se mitä riskejä omaan toimintaamme kohdistuu ja mitkä näiden riskien vaikutukset voivat lievimmillään ja pahimmillaan olla. Haastavaa tästä tekee se, että huomattavin riskitekijä ovat henkilötietoja käsittelevät inhimilliset resurssit. Inhimillinen virhe on läsnä 70-80% tietosuoja -ja tietoturvapoikkeamista. Miten siis varmistat ihmisen toiminnan jo lähtökohtaisesti paineita ja kiirettä sisältävässä sote-alan työssä?
Tietosuojapoikkeamat itsessään voivat olla tiedostamattomia, tiedostettuja tai tietämättömyyteen pohjautuvia. Kuten jo alussa totesin oleellista ei ole se, kuka virheen teki, vaan se miten se pääsi syntymään, mikä on juurisyy tapahtuman taustalla? Kun syytä selvitetään riittävästi paljastuu taustalta useimmiten heikosti hallitu tietosuoja ja tietoturva prosessi. Tällöin ei esimerkiksi ole käytössä riittäviä keinoja yrityksessä tapahtuvan henkilötietojen käsittelyn seurantaan. Tai sitten ei olla muistettu ohjeistaa ja varmistaa henkilötietoja käsittelevien ihmisten osaamista ja heidän tietotaitojen ylläpitämistä. Veikkaan, että aika monessa yrityksessä on viimeksi tietosuojaan ja tietoturvaan liittyvissä asioissa kouluttauduttu EU:n tietosuoja-asetuksen voimaantulon tienoilla toukokuussa 2018. Tästä on aika kauan aikaa, kun ottaa huomioon, että esimerkiksi asiaan liittyvät riskiarvioinnit pitäisi aivan minimissään käydä läpi kerran vuodessa koko henkilöstön kanssa, jos ne siis on tehty?
Ymmärrän kyllä, että tietosuojan ja tietoturvan hallinta saattaa tuntua mahdottomalta asialta ja kohtuullisen abstraktilta käsitteeltä, etenkin jos tätä pohtii pitkälti tietojärjestelmien kautta, joiden sielunelmästä vain tietyn koulutustaustan omaavat tietävät parhaiten. Kannattaa kuitenkin muistaa, että tietoturvallisen toimintakulttuurin luomisessa on lopulta kyse siitä miten me suojaamme henkilön yksityisyyttä ja turvaamme toimintamme jatkuvuuden olosuhteista riippumatta. Tätä lähtökohtaa pohtiessamme löydämme varmasti keinoja joihin pystymme vaikuttamaan ilman diplomi-insinöörin pätevyyttäkin, sillä tietosuojassa ja tietoturvassa on kyse kokonaisuuden hallinnasta ei siitä kenellä on parhaat it-taidot. Tekniseen osaamiseen me voimme tarvittaessa ostaa palveluita ulkopuolelta, mutta toimintamalleja, työohjeita ja työprosesseja joihin on sisällytetty tietoturvallinen toimintatapa, voimme suunnitella itsenäisesti. Ja toki myös tähän voi saada ulkopuolelta apua, vaikkapa meiltä Saluksesta 🙂
Listaan tähän loppuun kysymyksiä, jotka kannattaa käydä vaikkapa henkilöstön kanssa yhdessä läpi ja joiden hallinta on ensimmäinen askel tietosuojan ja tietoturvan osalta:
±Tunnetko yrityksesi tietosuojakäytännöt –ja ohjeistukset?
±Tiedätkö kuka on yrityksesi tietosuojavastaava ja keneltä voit saada lisätietoja tietosuojaan ja tietoturvaan liittyvissä kysymyksissä?
±Lukitsetko tietokoneen aina kun poistut sen luota?
±Jätätkö työpuhelimen näkyville esimerkiksi pöydälle ilman vahvaa lukitusta?
±Jätätkö kalenterin näkyville, jossa voi olla asiakkaiden henkilötietoja?
±Ovatko salasanasi vain sinun tiedossasi?
±Vaihdatko salasanoja säännöllisesti?