Suomessa toimivien terveydenhuollon organisaatioiden tietoturvan taso vaihtelee Mehiläisen it-johtajan Kalle Alpin ja Nixu Certificationin toimitusjohtaja Niki Klausin mukaan huimasti.
– Meillä ei ole kattavia valvontakäytäntöjä, ja tietoturva perustuu pitkälti omavalvontaan, he toteavat Vieraskynä-kirjoituksessaan Helsingin Sanomissa.
Lainsäätäjien ja viranomaisten on heidän mielestään nyt pohdittava, millaisia vähimmäisvaatimuksia terveydenhuollon tietoturvalle asetetaan ja miten tietoturvan toteutumista valvotaan.
He huomauttavat, että nykyiset tietoturvavaatimukset kansalliseen terveysarkistoon eli Kantaan liitettäville potilastietojärjestelmille keskittyvät lähinnä käytettävään sovellukseen ja Kanta-liitäntään.
– Kun otetaan huomioon käsiteltävän tiedon arkaluontoisuus, edes näille niin sanotun a-luokan tietojärjestelmille laaditut kriteerit eivät aseta riittäviä vaatimuksia vahvalle tunnistautumiselle, salaukselle, säännöllisille tarkastuksille, ylläpitokäytännöille tai konesaliympäristöille ja henkilökunnan tietoturvakoulutukselle, Alppi ja Klaus kirjoittavat.
Monissa tapauksissa ulkopuolinen asiantuntija ei heidän mukaansa tarkasta lainkaan itse tietojärjestelmän käyttöympäristöä. Jos käyttöympäristö on heikosti suojattu, turvallisinkaan sovellus ei yleensä pysty estämään tietomurtoa.
Vielä heikompi tietoturva on kirjoittajien mukaan niin sanottuun b-luokkaan kuuluvilla potilastietojärjestelmillä, joita ei liitetä Kantaan. Tällaisille järjestelmille ei ole määrätty minkäänlaista ulkopuolista tarkastusta, ja niiden tietoturva perustuu pelkästään omavalvontaan, kirjoittajat kertovat.
– Kanta-järjestelmän turvallisuuden eteen on tehty paljon työtä, ja Kannan riskienhallinta vaikuttaa olevan kunnossa. Kanta-järjestelmän ulkopuolella olevat potilastiedot ovat sen sijaan alttiimpia tietomurroille: tietosuojan taso riippuu käytännössä siitä, kuinka paljon kyseinen terveysalan toimija on panostanut tietoturvaan, asiantuntijat toteavat.
Viranomaisten ja terveysalalla toimivien yritysten pitäisi Alpin ja Klausin mielestä valmistella tietoturvavaatimuksia yhdessä.
– Tässä työssä kannattaa kuunnella asiantuntijoita ja sellaisia alan yrityksiä, jotka ovat jo aiemmin huolehtineet tietoturvastaan pitkäjänteisesti, he painottavat.