Vastaamon valvonta petti
THL kovisteli yrityksiä liittymään vahvan tietoturvan järjestelmään jo vuonna 2015. Psykoterapiakeskus ei liittynyt Kantaan, eikä siitä koitunut yritykselle seurauksia.
Potilastietojen säilyttämisen viranomaisvalvonta näyttää pettäneen psykoterapiayritys Vastaamon kohdalla.
Tietomurron tehnyt kiristäjä on ilmoittanut, että sillä on hallussaan yrityksen potilastiedot marraskuun 2018 loppuun saakka. Niitä arvioidaan olevan noin 40 000 henkilöstä.
Poliisi tutkii tapausta törkeänä tietomurtona ja törkeänä yksityiselämää loukkaavana tiedon levittämisenä.
Lupa- ja valvontavirasto Valvira ja Terveyden ja hyvinvoinnin laitos THL antoivat vältteleviä vastauksia, kun Suomen Kuvalehti yritti selvittää, miten Vastaamo on noudattanut lainsäädäntöä ja millä tavalla viranomainen on asiaa valvonut.
SK sai selville, että viranomaiset olivat jo yli viisi vuotta sitten vaatineet alan yksityisiä yrityksiä liittymään Kanta-palveluihin.
Yrityksille kerrottiin, että liittymisen takaraja on 1. syyskuuta 2015. Asiassa annettiin ohjausta eri tavoin. Vastaamon edustajia on myös osallistunut viranomaisen järjestämään Yksityisten käyttöönoton tuki -tilaisuuteen marraskuussa 2016.
Kanta on maan laajin potilastietoarkisto, jonne on kirjattu tietoja kaikista suomalaisista. Palvelun tietoturva on Kansaneläkelaitoksen vastuulla ja sitä valvotaan tarkasti. Kannassa tiedot ovat turvallisesti sosiaali- ja terveydenhuollon ammattilaisten saatavilla ja pitkäaikaisessa säilytyksessä samassa paikassa.
Helmikuussa 2017 THL muistutti yrityksiä lakisääteisestä velvoitteesta paimenkirjeessään.
”Yksityisen terveydenhuollon palvelunantajien tulee liittyä Potilastiedon arkistoon ensi tilassa”, kirjeessä todetaan.
THL muistutti jo 2015 umpeutuneesta takarajasta ja uhkasi, että laiminlyönteihin puututaan: ”Viranomaiset seuraavat liittymisten etenemistä ja tarvittaessa ryhdytään toimenpiteisiin, mikäli käyttöönottoa viivytetään tarpeettomasti.”
Vastaamo ei koskaan liittynyt Kantaan, eikä siitä ole seurannut sanktioita.
Viranomaisten jo yli viisi vuotta sitten esittämien vaatimusten taustalla oli lainsäädäntö. Asiakastietolaki on määrännyt yksityisiä terveysyrityksiä siirtämään potilastietonsa Kanta-palveluun, jos tietoja säilytetään pitkäaikaisesti.
Laki koskee kaikkia terveydenhuollon ammattilaisia, myös heitä, joilla on oikeus käyttää suojattua ammattinimikettä. Psykoterapeutti on tällainen nimike.
Mikäli yritys ei noudata lakia, Valvira voi määrätä korjaamaan puutteet, kieltää tietojärjestelmän käyttämisen, velvoittaa tiedottamaan viranomaisen päätöksestä ja antaa yritykselle uhkasakon.
Kantaan voi liittää ainoastaan järjestelmiä, jotka valvontaviranomainen Valvira on nostanut niin sanottuun A-luokkaan. Liittyä voi joko suoraan tai teknisen välityspalvelun kautta. Ulkopuolinen asiantuntija arvioi A-luokan järjestelmien tietoturvan ja seuraa sitä säännöllisesti.
Miten Vastaamo on voinut jatkaa tietojen säilyttämistä omassa, tietoturvaltaan mitä ilmeisimmin kehnossa järjestelmässään vuosia sen jälkeen, kun ne olisi pitänyt siirtää Kantaan?
Vastuu tietojärjestelmien ”olennaisten vaatimusten toteutumisen” valvonnasta kuuluu Valviralle. Myös THL on osallistunut asian hoitamiseen: se on muistuttanut toimijoita asiakastietolain vaatimuksista.
SK:n kysymystä Vastaamon valvonnasta pallotellaan viranomaisten välissä. Lopulta vastaus halutaan kirjoittaa yhdessä, ja se lähetetään THL:n johtavan asiantuntijan Juha Mykkäsen nimissä. Polveileva vastaus ohittaa Vastaamoa koskevat kysymykset ja pyörittelee tiedon pitkäaikaisen säilyttämisen käytäntöjä.
Viranomaisten keskeinen argumentti on se, että teoriassa Vastaamolla olisi ollut mahdollisuus hoitaa tietojen pitkäaikainen säilyttäminen paperilla. Yritys ei kuitenkaan ilmiselvästi ole toiminut näin.
”Ohjeistus, joka tällä hetkellä on olemassa, sanoo selvästi, että yksityinen toimija voi hoitaa pitkäaikaissäilytyksen paperilla, jolloin ei ole velvoitetta Kanta-palveluun liittymisestä”, vastauksessa todetaan.
Viranomaisten viestissä pyöritellään myös sitä, onko Vastaamon tietojen säilytyksessä ollut kyse ”päivittäiskäytöstä” vai ”pitkäaikaissäilytyksestä”.
Toimittajaa neuvotaan jopa kääntymään asian selvittämisessä Kansallisarkiston puoleen. Siellä neuvoa ihmetellään.
Pitkäaikaiselle säilyttämiselle ei löydy tarkkaa aikamäärettä laista, mutta säilytys viittaa käytännössä kaikkiin asiakirjoihin, joilla on vielä käyttöä. Potilasasiakirjojen tapauksessa sitä on niin pitkään kuin potilas on hengissä. Vaikuttaa ilmeiseltä, että tietoja ei ole säilytetty vain Vastaamon ”päivittäiskäyttöön”.
SK on myös nähnyt keväältä 2020 kirjeenvaihtoa, jossa viranomainen ohjeistaa erästä alan toimijaa nimenomaisesti niin, että jos sähköistä järjestelmää käyttää, pitää liittyä Kantaan.
Epäselväksi jää, miksi Kannan ulkopuoliseen potilastietojen säilyttämiseen ei ole puututtu Vastaamon tapauksessa.
”Silloin tullaan rekisterinpitäjän vastuuseen. Rekisterinpitäjällä ja palvelun antajalla on vastuu tietojen suojaamisesta”, Mykkänen toteaa puhelimessa.
Hän korostaa, ettei viranomaisella ole valvonta- tai tutkintatietoa, joka kertoisi, miten yritys on toiminut.
Sekään ei selviä, ovatko viranomaiset tyytyväisiä omaan toimintaansa asiassa. ”THL ei ole asiakastietolain valvova viranomainen”, Mykkänen sanoo.
Jatkossa sääntelyyn on tulossa muutos. ”Seuraavan lakiversion myötä, jos valmistelu etenee niin kuin luonnoksissa on lukenut, jatkossa palvelunantajat eivät voi järjestää pitkäaikaissäilytystä muuten kuin Kanta-palvelujen kautta, jos heillä on sähköinen tietojärjestelmä.”