Vastaamo-skandaali: Viranomaisvalvonta näyttää pettäneen, laki vaati yrityksiä liittymään tietoturvalliseen järjestelmään jo 2015

Vuonna 2015 lähetetty paimenkirje uhkasi ”toimenpiteillä”, jos vahvan tietoturvan Kantaan ei liitytä. Valvira ja THL vetoavat siihen, että Vastaamo olisi teoriassa voinut täyttää lain vaatimukset säilyttämällä potilaiden tietoja paperilla.
Kotimaa 6.11.2020 12:42
THL lähestyi yksityisiä terveydenhuollon toimijoita paimenkirjeellään helmikuussa 2017.

Potilastietojen lainmukaisen säilyttämisen viranomaisvalvonta näyttää Vastaamon tapauksessa pettäneen. Lupa- ja valvontavirasto Valvira ja Terveyden ja hyvinvoinnin laitos THL antoivat vältteleviä vastauksia, kun Suomen Kuvalehti yritti selvittää, miten Vastaamo on noudattanut lainsäädäntöä ja millä tavalla viranomainen on noudattamista valvonut.

Yritykseen kohdistuneessa tietomurrossa kiristäjien käsiin päätyi jopa kymmenientuhansien ihmisten potilastietoja. Yritys ei ollut siirtänyt potilastietojaan tietoturvaltaan vahvaan Kanta-järjestelmään.

Kanta on maan laajin potilastietoarkisto, jonne on kirjattu tietoja kaikista suomalaisista. Palvelun tietoturva on Kansaneläkelaitoksen vastuulla ja sitä valvotaan tarkasti.

Jo yli viisi vuotta sitten viranomaiset vaativat yrityksiä liittymään Kanta-palveluihin. Yrityksille kerrottiin, että liittymisen takaraja on 1. syyskuuta 2015. Asiassa myös annettiin ohjausta eri tavoin. Vastaamon edustajia on myös osallistunut viranomaisen järjestämään Yksityisten käyttöönoton tuki -tilaisuuteen marraskuussa 2016.

Vastaamo ei kuitenkaan koskaan liittynyt Kantaan eikä siitä ole seurannut sanktioita.

Helmikuussa 2017 THL muistutti yrityksiä lakisääteisestä velvoitteesta paimenkirjeessään. Siinä tuotiin esille yli vuosi aiemmin umpeutunut aikaraja. ”Yksityisen terveydenhuollon palvelunantajien tulee liittyä Potilastiedon arkistoon ensi tilassa”, kirjeessä todetaan.

THL uhkasi tuolloin lisäksi, että Kantaan siirtymistä valvotaan ja laiminlyönteihin puututaan:

”Viranomaiset seuraavat liittymisten etenemistä ja tarvittaessa ryhdytään toimenpiteisiin, mikäli käyttöönottoa viivytetään tarpeettomasti.”

 

Viranomaisen vaatimusten taustalla oli lainsäädäntö. Potilastietojen sähköisestä arkistoinnista säädetty laki on jo vuosien ajan määrännyt yksityisiä terveysyrityksiä siirtämään potilastietojaan Kansaeläkelaitoksen ylläpitämään Kanta-palveluun.

Myös asiakastietolakina tunnetussa laissa sanotaan:

”Yksityisen terveydenhuollon palvelujen antajan tulee liittyä näiden tietojärjestelmäpalvelujen käyttäjäksi, jos sen potilasasiakirjojen pitkäaikaissäilytys toteutetaan sähköisesti.”

”Näillä tietojärjestelmäpalveluilla” viitataan siis Kansaneläkelaitoksen ylläpitämään Kanta-palveluun. Kannassa potilaiden tiedot ovat turvallisesti sosiaali- ja terveydenhuollon ammattilaisten saatavilla ja pitkäaikaisessa säilytyksessä samassa paikassa.

Mikäli yritys ei noudata asiakastietolakia, Valvira voi määrätä korjaamaan puutteet, kieltää tietojärjestelmän käyttämisen, velvoittaa tiedottamaan viranomaisen päätöksestä ja antaa uhkasakon.

Yksityisiä terveydenhuoltoyrityksiä on siis velvoitettu siirtämään potilastietonsa Kantaan jo syyskuuhun 2015 mennessä. Psykoterapiakeskus Vastaamon säilyttämien tietojen määrästä, laadusta ja säilytysajoista ei ole tarkkaa tietoa. Tietomurron yhteydessä esiin tulleiden tietojen perusteella kyse on kuitenkin ollut merkittävästä potilastietoarkistosta.

Yli 15 000 ihmistä on tehnyt tutkintapyynnön poliisille. Kiristäjä on ilmoittanut, että sillä on hallussaan potilastiedot marraskuun 2018 loppuun saakka. Niitä arvioidaan olevan yhteensä 40 000 henkilöstä. Poliisi tutkii Vastaamo-tapausta törkeänä tietomurtona ja törkeänä yksityiselämää loukkaavana tiedon levittämisenä.

 

Kantaan voi liittää ainoastaan sellaisia tietojärjestelmiä, jotka valvontaviranomainen Valvira on nostanut niin sanottuun A-luokkaan. Liittyä voi joko suoraan tai teknisen välityspalvelun kautta.

Ulkopuolinen asiantuntija arvioi kaikkien A-luokan järjestelmien tietoturvan ja seuraa sitä säännöllisin väliajoin. Arvion voi tehdä ainoastaan liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen hyväksymä toimija.

B-luokan järjestelmien ei ole pakko tehdä ulkopuolista tietoturva-arviointia, eikä niitä voi liittää Kanta-järjestelmään. B-järjestelmällä kerättyjä potilastietoja on kuitenkin mahdollista palveluun, jos siinä käytetään apuna Kantaan liitettyä A-järjestelmää.

Jos potilasasiakirjoja säilytetään pitkäaikaisesti, säilytys tulee asiakastietolain mukaan järjestää Kantaan kuuluvalla järjestelmällä.

”Velvollisuus liittyä [Kantaan kuuluvaan] Potilastiedon arkistoon koskee niitä yksityisen terveydenhuollon yrityksiä ja itsenäisiä ammatinharjoittajia, jotka arkistoivat potilasasiakirjat sähköisesti”, Kannan sivuilla kerrotaan.

Asiakastietolaki koskee kaikkia terveydenhuollon ammattilaisia. Joukkoon kuuluvat myös ne, joilla on oikeus käyttää suojattua ammattinimikettä. Psykoterapeutti on suojattu nimike. Psykoterapiassa potilasasiakirjoilla tarkoitetaan kaikkia potilaaseen liittyviä tallenteita, kortistoja, paperitulosteita sekä myös käsintehtyjä asiakirjoja.

 

Miten Vastaamo on voinut jatkaa potilastietojen säilyttämistä omassa, tietoturvaltaan mitä ilmeisimmin kehnossa tietojärjestelmässään vuosia sen jälkeen, kun tiedot olisi pitänyt siirtää Kantaan?

Vastuu tietojärjestelmien ”olennaisten vaatimusten toteutumisen” valvonnasta kuuluu Valviralle. Myös THL on osallistunut asian hoitamiseen: se on muistuttanut toimijoita asiakastietolain vaatimuksista.

SK:n kysymystä Vastaamon valvonnan laiminlyömisestä pallotellaan viranomaisten välissä.

Lopulta vastaus halutaan kirjoittaa yhdessä, ja se lähetetään THL:n johtavan asiantuntija Juha Mykkäsen nimissä. Polveileva vastaus ohittaa Vastaamoa koskevat kysymykset ja pyörittelee tiedon pitkäaikaisen säilyttämisen yleisiä käytäntöjä.

”Tietojen päivittäisessä käsittelyssä ja tallennuksessa ei ole kyse arkistoinnista tai pitkäaikaissäilytyksestä.”

”Potilasasiakirjojen arkistointivelvoitteet on sinällään ollut mahdollista täyttää sekä paperisen arkiston että sähköisen järjestelmän kautta. Yksityinen palvelunantaja on voinut itse päättää, järjestääkö potilasasiakirjojen pitkäaikaissäilytyksen sähköisessä muodossa Kanta-palveluihin vai muulla Kansallisarkiston ohjeistamalla tavalla.”

THL:n vuonna 2017 yrityksille lähettämää, suorasanaista vaatimusta Kantaan liittymisestä Mykkänen kommentoi ylimalkaisesti, muun muassa näin:

”Kirjeessä mainitut uudet toiminnallisuudet tarkoittavat vaiheistusasetuksessa esitettyjä lisätoiminnallisuuksia toimijoilla, jotka ovat liittyneet tai liittyvät Kanta-palveluihin.”

Toimittajaa neuvotaan kääntymään Kansallisarkiston puoleen sen selvittämisessä, mikä on ”pitkäaikaissäilytystä”. Kansallisarkistossa neuvoa ihmetellään. Potilastietojen säilyttämisestä on omat lakinsa.

”Arkistointi on tietosuojalainsäädännön ja tiedonhallintalain perusteella vaihe, joka alkaa säilytysvaiheen jälkeen”, Kansallisarkiston tutkimusjohtaja Päivi Happonen kirjoittaa sähköpostissaan.

Pitkäaikaiselle säilyttämiselle ei löydy tarkkaa aikamäärettä laista, mutta säilytys viittaa käytännössä kaikkiin asiakirjoihin, joilla on vielä käyttöä. Potilasasiakirjojen tapauksessa sitä on niin pitkään, kuin potilas on hengissä.

 

Asiaa selvitetään vielä puhelimitse THL:n Mykkäsen kanssa. Mykkänen vetoaa siihen, että teoriassa Vastaamo olisi voinut säilyttää potilaiden asiakirjoja myös paperilla, Kanta-järjestelmän ulkopuolella.

Miksi Kannan ulkopuolella tapahtuneeseen potilastietojen säilyttämiseen ei ole puututtu Vastaamon tapauksessa?

”Pitkäaikaissäilytys liittyy asiakirjallisen tiedon elinkaareen. Kansallisarkisto ohjaa sitä, kuinka pitkäaikaissäilytys ja arkistointi pitää hoitaa. Tämänhetkisten lakien ja ohjeiden mukaan yksityisillä toimijoilla on edelleen ollut mahdollisuus hoitaa pitkäaikaissäilytystä esimerkiksi paperisten arkistojen kautta.”

Vastaamon tietomurto ei kohdistunut paperiarkistoon.

”Kanta-arkiston yksi käyttökohde on nimenomaan asiakirjojen pitkäaikaissäilytys, josta tässä yhteydessä on käytetty myös arkistointi-termiä. Tietojen käsittelyä toimijat ovat myös voineet hoitaa sähköisellä järjestelmällä ilman että pitkäaikaissäilytys on järjestetty sähköisesti.”

Vastaamon tietojärjestelmissä vaikuttaa olleen tietoja useiden vuosien ajalta.

”Kyllä, tältä vaikuttaa. Tiedon elinkaaren hallintaan ja esimerkiksi tietojen hävittämiseen on pitänyt olla arkistonmuodostus- tai tiedonohjaussuunnitelma. Se on kuitenkin erillinen siitä, että tietoa ylipäätään käsitellään sähköisillä järjestelmillä.”

”Ohjeistus, jota tällä hetkellä on olemassa, sanoo selvästi, että yksityinen toimija voi hoitaa pitkäaikaissäilytyksen paperilla, jolloin ei ole velvoitetta Kanta-palveluun liittymisestä.”

Vastaamon tietojärjestelmästä on viety jopa 40 000 ihmisen tiedot, useiden vuosien ajalta ja 15 000 on jo tehnyt rikosilmoituksen. Tämän perusteella on vaikea uskoa, että tietoja olisi säilytetty vain päivittäiskäyttöön.

”Silloin tullaan rekisterinpitäjän vastuuseen. Rekisterinpitäjällä ja palvelun antajalla on vastuu tietojen suojaamisesta.”

Jos Vastaamonkin olisi pitänyt liittyä Kantaan jo 2015, eikä se kuitenkaan ole liittynyt, voivatko viranomaiset olla tyytyväisiä omaan toimintaansa asiassa?

”Kuten sanottua, säädösten mukaan yksityinen voi toimia siten, että ei ole liittynyt Kantaan. THL ei ole asiakastietolain valvova viranomainen. Teemme tietysti paljon yhteistyötä aluehallintovirastojen, Tietosuojavaltuutetun ja Valviran kanssa, joilla on valvontarooli.

Valvira ei suostunut vastaamaan edelliseen kysymykseen. Tai ainakin kysymykset kierrätettiin lopulta THL:ään ja sinun vastattavaksesi.

”Nykyiset säännökset mahdollistavat sen, että pystytään toimimaan ilman että olisi liitytty Kanta-palveluun. Tämä on kyllä tunnistettu, että tämä asia vaatii selkeytystä. Uudessa asiakastietolain valmistelussa ollaan nimenomaan tiukentamassa, ettei sinne jää tällaista tulkinnanvaraa.

Laissa sanotaan, että yksityisen terveydenhuollon palvelujen antajan tulee liittyä Kantaan, jos sen potilasasiakirjojen pitkäaikaissäilytys toteutetaan sähköisesti. Se on varsin selkeästi sanottu. Onko kyse siitä, että laki ei ole riittävän tiukka tai selkeä vai siitä, ettei lakia vain valvota?

”Kyllä siellä tosiaan on mahdollisuus toimia nykyisen lain puitteissa. On tiedossa, että näin jotkut yksityiset ovat toimineetkin, siten että pitkäaikaissäilytys on järjestetty muulla tavoin kuin Kanta-palvelujen kautta. Tähän on tunnistettu tarkennustarve jo useita vuosia sitten.”

”Seuraavan lakiversion myötä, tiettävästi, jos valmistelu etenee niin kuin luonnoksissa on lukenut – jatkossa palvelunantajat eivät voi järjestää pitkäaikaissäilytystä muuten kuin Kanta-palvelujen kautta, jos heillä on sähköinen tietojärjestelmä.”

Eikö myös Vastaamolla ole ollut velvoite liittyä Kantaan?

”He kyllä käsittelevät terveystietoja. Mutta nykyisen lain puitteissa on mahdollista toimia niin, että yksityinen palvelun antaja ei ole liittynyt Kanta-palveluihin.”

Sanoit, ettei lakisääteinen velvoite liittyä Kantaan koskisi Vastaamoa, koska se ei säilyttäisi potilastietoja laissa tarkoitetulla tavalla. Mistä tiedät, että Vastaamo ei ole tehnyt laissa kuvailtua pitkäaikaissäilytystä?

”En ole sanonut, että Vastaamolla ei olisi asiakirjojen pitkäaikaissäilytystä. Olen kertonut, miten yksityisten palvelunantajien on ollut mahdollista toimia. Meillä ei ole valvonta- tai tutkintatietoa, joka kertoisi, miten he ovat toimineet.”

Minusta te sanoitte tuossa aikaisemmin, että Vastaamo olisi toiminut lain mukaan oikein tai että Vastaamolta ei olisi jäänyt viemättä Kantaan mitään, mikä ei sinne kuuluisi. Voimmeko kuitenkaan oikeasti tietää, onko näin tapahtunut? Se vaikuttaa ilmeiseltä, että tietomurtajat ovat saaneet Vastaamosta huomattavan määrän aineistoa.

”En ole sanonut, että Vastaamolla ei olisi asiakirjojen pitkäaikaissäilytystä. Olen kertonut, miten yksityisten palvelunantajien on ollut mahdollista toimia. Meillä ei ole valvonta- tai tutkintatietoa, joka kertoisi miten he ovat toimineet.”

Eli on siis vähintään mahdollista, että Vastaamo on jättänyt viemättä Kantaan tietoja, joita olisi pitänyt sinne viedä?

”Jos he eivät ole muulla tavoin järjestäneet pitkäaikaissäilytystä, niin kyllä se on mahdollista.”

 

Mykkänen palaa vielä sähköpostitse asiaan ja korostaa, että hänen näkemyksensä mukaan lakien tai nykyohjeistuksen vastaista ei ole se, että yksityinen terveysyritys ei ole liittynyt Kanta-arkistoon.

”Näkemykseni on, että liittyminen potilastiedon arkistoon on sivuseikka nyt tapahtuneen erittäin valitettavan Vastaamon tietovuodon ja siihen liittyvän törkeän kiristäjän rikoksen näkökulmasta”, Mykkänen kirjoittaa.

Valvira antaa lopulta erikseen kysyttäessä omat vastauksensa Vastaamon valvonnan laiminlyömiseen sähköpostilla. Yli-insinööri Antti Härkönen kirjoittaa:

”Vastaamon osalta Valviran valvonta ja poliisin rikostutkinta on kesken, joten emme voi kommentoi tuota tapausta ja Vastaamon tekemiä toimia yksityiskohtaisemmin. Asiakastietolain mukainen tietojärjestelmien valvontavastuu on Valviralla.”

”Yksityisen terveydenhuollon palvelujen antaja voi edelleen käyttää luokan B tietojärjestelmää, jos potilasasiakirojen pitkäaikaissäilytykseen on olemassa muu ratkaisu. Palvelujen antaja voi toteuttaa pitkäaikaissäilytyksen paperimuodossa. Kelan Kanta-arkistoon on mahdollista siirtää vanhoja potilasasiakirjoja massalatauksena”, Härkönen toteaa viestissään.

Vastaukset jättävät auki kysymyksen siitä, olisiko Vastaamon tietomurto voinut ylipäätään tapahtua, jos Vastaamo olisi vienyt potilastietonsa Kantaan.

 

Sosiaali– ja terveysministeriössä (STM) on valmisteltu asiakastietolain päivittämistä jo useamman vuoden ajan. Kun Vastaamon tapaus oli tullut ilmi, STM laati lainmuutoksesta muistion. Sen viimeisessä kappaleessa kerrotaan terveyspalvelujen antajia koskevista asiakastietolain vaatimuksista.

Niistä voi päätellä, että potilastietojen sähköisessä arkistoinnissa luotetaan jatkossakin vahvasti toimijoiden omaan valvontaan. Viranomaisvalvonta perustuu yritysten tekemiin ilmoituksiin.

”Palvelunantajan on laadittava tietoturvaan ja tietosuojaan sekä tietojärjestelmien käyttöön liittyvä omavalvontasuunnitelma, jossa on selvitettävä, miten palvelunantajan toiminnassa varmistetaan tietojärjestelmien käyttöön liittyvä turvallisuus”, muistiossa kirjoitetaan.

”Jos palvelunantaja havaitsee olennaisten vaatimusten täyttymisessä merkittäviä poikkeamia, on sen ilmoitettava siitä tietojärjestelmän valmistajalle. Jos poikkeama voi aiheuttaa merkittävän riskin potilasturvallisuudelle, tietoturvalle tai tietosuojalle, on siitä ilmoitettava myös Valviralle.”

 

Tietomurron jälkeenkään Vastaamo ei heti nähnyt Kantaan liittymisen edellyttämien A-luokan tietojärjestelmien käyttöön ottamista välttämättömänä.

”Terapiatyötä ei toistaiseksi tarvitse kirjata Kantaan. Sikäli meillä ei ole tarvetta lähteä muuttamaan järjestelmää”, Vastaamon hallituksen puheenjohtaja Tuomas Kahri sanoi Suomen Kuvalehdelle tiistaina 27. lokakuuta tehdyssä haastattelussa.

Väite on kyseenalainen. Asiakastietolakia sovelletaan kaikkeen julkisten ja yksityisten sosiaalihuollon ja terveydenhuollon palvelujen antajien järjestämään sosiaali- tai terveydenhuoltoon.

SK:n kysyessä Kahrilta asiasta uudestaan kaksi päivää myöhemmin hallituksen puheenjohtaja muotoili näkemyksensä uudestaan.

”Olemme ryhtyneet arvioimaan kysymystä Kantaan liittymisestä. Hallitus tulee käsittelemään tätä yksityiskohtaisesti. Teemme arvioinnin lainsäädännön vaatimusten sisältämien vaihtoehtojen pohjalta”, Kahri kirjoittaa.

Kahri työntää vastuun Vastaamon aiemmista päätöksistä olla siirtämättä potilasasiakirjojan Kantaan Ville Tapiolle, yhtiöstä sittemmin irtisanotulle toimitusjohtajalle. Yhtiön mukaan Tapio oli yrityksen mukaan tietoinen kahdesta Vastaamoon kohdistuneesta tietomurrosta, mutta ei ollut kertonut niistä eteenpäin. Tapio on kiistänyt pimittäneensä tietoa tietomurroista.

”Tapio ei ole enää yhtiön palveluksessa. Minulla ei ole mahdollisuutta selvittää tarkemmin, millä perusteella yhtiössä on linjattu tätä asiaa …esimerkiksi 2015 tai 2017 aikaan”, Kahri ilmoittaa.

Myöhemmin Kahri vielä selventää alkuperäistä kommenttiaan. ”Aikaisemman vastaukseni taustalla on se, että käytännöt alalla vaihtelevat. Esimerkiksi psykoterapiapalvelujen tarjoajista osa on Kantaan liittyneitä palveluntuottajia, ja merkittävä osa on järjestänyt potilastietojen kirjaamisensa muulla tavalla”, hän toteaa.