Sosiaali- ja terveysvaliokunnan varapuheenjohtaja Mia Laiho on huolissaan sosiaali- ja terveydenhuollon tietoturvasta yhä enemmän digitalisoituvassa toimintaympäristössä. Terapiapalveluja tuottavan yrityksen laaja tietoturvamurto on nostanut esille huolen sosiaali- ja terveydenhuollon tietoturvan tasosta. Laiho on jättänyt tänään hallitukselle kirjallisen kysymyksen sosiaali- ja terveydenhuollon tietoturvasta ja kyberturvallisuudesta. Laiho haluaa nostaa keskusteluun, kuinka varmistetaan, että terveydenhuollon digitalisaation myötä potilastietojärjestelmien, lääkinnällisten laitteiden, ohjelmistojen, etähallittavien laitteiden tietoturva ja siirrettävät sisällöt on huomioitu nykyisin ja miten tietoturva ja siihen liittyvät riskit on arvioitu suunnitellussa sote-uudistuksessa.

”On huomioitava, että digitalisaatiossa on oltava korkeat laatuvaatimukset asiakkaan tietoturvan osalta. Tämä pätee niin potilastietojärjestelmien, etävastaanottojen että potilasvalvontajärjestelmien tietoturvaan sekä erilaisiin hälytyslaitteisiin liittyen. Ihmisten on voitava luottaa siihen, etteivät tiedot pääse ulkopuolisten käsiin” sanoo Laiho.

”Terveydenhuollon digitalisaatioon liittyy paljon muutakin kuin pelkät potilastiedot. Hoitotyötä helpotetaan monilla erilaisilla hälytys- ja valvontajärjestelmillä kuten diabeteksien ja sydämenrytmin etäseurannalla. Etäyhteyksillä saadaan suorayhteys myös vanhusten koteihin, joten yksityisyydensuojan lisäksi myös tietoturvan tulee olla aukoton myös näissä palveluissa. Tähän ei ole kiinnitetty riittävästi huomiota”, huomauttaa Laiho.

Asiakastietolaissa tietojärjestelmät jaetaan valvonnan kannalta kahteen luokkaan. Kanta-palveluun liitetyt järjestelmät ovat ns. A-luokassa, ja kaikki muut luokassa B. Tietoturvakäytännöt ovat kuitenkin hyvin moninaiset ja Valviran mahdollisuudet valvoa kaikkia yrityksiä ovat riittämättömät.

”Ne yritykset, jotka ovat pitkälti oman kontrollin luokassa eli B-luokassa, ovat tulevaisuudessakin korkeammassa riskissä tietoturvamurroille. Ihmisten henkilökohtaisia tietoja keräävät järjestelmät sekä digitaalisesti etäohjattavat hoitolaitteet tulisi olla aina automaattisesti valvonnalta korkeammassa A-luokassa turvallisuusriskin takia”, huomauttaa Laiho.

”Kyberturvallisuutta ei voi ajatella erillisenä tietoteknisenä kysymyksenä, vaan se on potilasturvallisuutta ja luottamusta yhteiskuntaamme ja sen palveluihin. Kyse on myös kansallisesta turvallisuudesta. SOTE-lakien valmistelussa olisi välttämätöntä olla tehtynä riskinarvio ja riskinhallintasuunnitelma liittyen hyvinvointialueiden tietojärjestelmien ja digitalisaatiosuunnitelmien tietoturvallisuuteen. Myös työntekijöiden tietoturva tulee varmistaa sote-alueen moninkertaiseksi kasvavan henkilöstöhallinnon myötä. Myös tietojen käsittelyä koskevan lainsäädännön uudistus olisi saatava nopealla aikataululla hallituksen työpöydälle”, päättää Laiho.