On kulunut pian vuosi siitä, kun psykoterapiakeskus Vastaamon asiakastietokantaan tehty tietomurto tuli julkisuuteen. Kymmenien tuhansien Vastaamon asiakkaiden potilastietoja julkaistiin ainakin osittain verkossa.

Vastaamon asiakkaat saivat sähköposteja, joissa lähettäjä uhkasi paljastaa asiakkaiden henkilökohtaisia tietoja, ellei viestin vastaanottaja maksa rahaa kiristäjälle. Asiakkaiden potilastietoja julkaistiin pimeässä verkossa sekä julkisen verkon puolella.

Tapaus tuli julkisuuteen lokakuussa 2020. Keskusrikospoliisi (KRP) tutkii asiaa rikosnimikkeillä törkeä tietomurto, törkeä yksityiselämää loukkaava tiedon levittäminen sekä törkeä kiristys. Myös tietosuojavaltuutettu selvittää, onko Vastaamo rikkonut EU:n tietosuoja-asetuksen määräyksiä.

Tapaus on mittakaavaltaan Suomessa ainutlaatuisen suuri.

Voisiko sama toistua uudelleen? Millainen ylipäätään on terapiapalveluita tarjoavien yritysten asiakkaiden tietoturva?

Vastaamo oli yksi maan suurimmista psykoterapiapalveluita tarjoavista yrityksistä. Myös monissa pienemmissä alan yrityksissä asiakas- ja potilasasiakirjat tietoineen tallennetaan tietojärjestelmään.

Järjestelmän valmistajalla on vastuu siitä, että järjestelmä täyttää tietoturvan ja -suojan osalta lain mukaiset vaatimukset, jotka Terveyden ja hyvinvoinnin laitos (THL) on julkaissut. Valvira ylläpitää julkista rekisteriä sosiaali- ja terveydenhuollon tietojärjestelmistä ja rekisteri löytyy Valviran nettisivuilta.

Monet näistä tietojärjestelmistä toimivat lähinnä omavalvonnan pohjalta. Rekisterissä tietojärjestelmät on jaoteltu luokkiin a ja b. Luokassa a on Kansaneläkelaitoksen pitämät Kansallisen terveysarkiston eli Kanta-palvelut sekä tietojärjestelmät, jotka on tarkoitettu liitettäväksi Kanta-palveluihin. Muut tietojärjestelmät, joita on yli 200, kuuluvat luokkaan b. Myös Vastaamon tietojärjestelmä oli tällainen paikallinen tietojärjestelmä.

Kun a-luokan tietojärjestelmät arvioi tietoturvaan erikoistunut arviointilaitos, kuten tietoturva-alan yritys, niin b-luokan tietojärjestelmiltä ei vaadita ulko­puolista arviointia. Riittää, että valmistaja tekee itse selvityksen olennaisten vaatimusten toteutumisesta sekä tekee omavalvontasuunnitelman.

Pienillä terapia-alan yrityksillä on käytössään pääasiassa b-luokan järjestelmiä. Niitä ei valvota käyttöönoton jälkeen, ellei Valviralle tule järjestelmästä ilmoituksia tai kanteluita.

– Tavoite on, että näistä b-luokan järjestelmistä vähitellen päästäisiin eroon.Tarkoituksena on ensin kartoittaa, kuinka laajasti eri b-luokan järjestelmät ovat käytössä, sanoo Kaisa Riala, Valviran Terveydenhuollon valvontaosaston ryhmäpäällikkö.

Riala kertoo, että kartoituksen jälkeen järjestelmiä voitaisiin valvoa riskiperusteisesti. Käytännössä se tarkoittaa, että huomio olisi ensin niissä tietojärjestelmissä, joilla on enemmän käyttäjiä. Huomio kohdistettaisiin myös niihin järjestelmiin, joista on tullut ilmoituksia.

Vastaamon tietomurto seurauksineen on saanut sekä tietojärjestelmien toimittajat että niiden palveluja ostavat organisaatiot ja yritykset kiinnittämään entistä enemmän huomiota potilastietojen tietoturvaan.

– Palveluidemme kysyntä on lisääntynyt ja kyselyjä tulee aiempaa enemmän, kertoo Niki Klaus, Nixu Certificationin toimitusjohtaja.

Yritys tekee arviointeja a-luokan eli Kantaan liitettyjen sosiaali- ja terveysalan tietojärjestelmien toimittajille. Nixu Certificationin emoyhtiö, tietoturvayritys Nixu osallistui Psykoterapiakeskus Vastaamon tietomurron selvittelyyn Vastaamon toimeksiannosta.

Klausin mukaan edes a-luokan tieto- järjestelmien valvonta ei ole riittävää. Tärkein syy on se, että järjestelmän käyttöympäristön tarkastus ei pääsääntöisesti sisälly THL:n julkaisemiin tietoturva- ja arviointivaatimuksiin. Esimerkiksi terapiapalveluita tarjoavan yrityksen käyttämää potilastietojärjestelmää ei lähtökohtaisesti arvioida siellä missä sitä käytetään.

Tietoturvan voi kuitenkin vaarantaa esimerkiksi henkilöstön riittämätön tietoturvakoulutus tai liian laajat käyttöoikeudet potilastietojärjestelmään. Inhimillisellä tekijällä voi olla ratkaiseva merkitys potilastietojen tietoturvan kannalta.

Eniten Klausia kuitenkin huolestuttaa b-luokan, eli niiden potilastietojärjestelmien tietoturva, joita ei ole liitetty Kantaan.

– Onko järkevää, että pienet yritykset pitävät itse tietojärjestelmää yllä? Voisiko nykytilanteen sijaan olla malli, jossa pienet terapia-alan yritykset käyttäisivät keskitettyä palvelua potilastietojen tallentamiseen esimerkiksi selaimen kautta, sanoo Niki Klaus.

Keskitetympi malli potilastietojärjestelmien osalta helpottaisi ennen kaikkea järjestelmien arviointia ja valvontaa.

Vielä nykyään monet terapeutit kirjaavat potilastietoja kuitenkin äärimmäisen hajautetun mallin mukaan, nimittäin kynä ja paperi -metodilla.

– Suuri osa terapeuteista kirjaa vastaanoton aikana tiedot vihkoon, arvelee pääkaupunkiseudulla toimiva psykoterapeutti.

Hän tarjoaa yksilöpsykoterapiaa sekä omalla vastaanotollaan vuokratilassa että ison terveysalan yrityksen kautta. Kun omalla vastaanotolla hän kirjoittaa tiedot vastaanottokäynniltä vihkoon, terveysalan yrityksen vastaanotolla hän kirjaa tiedot Kantaan liitettyyn potilastietojärjestelmään. Vihon muistiinpanot näkee vain psykoterapeutti itse.

Vihkoa hän säilyttää lukitussa arkistokaapissa, joka sijaitsee lukitussa tilassa.

– Koen vihkoon kirjaamisen todella tietoturvalliseksi.

Lisäksi psykoterapeutti antaa Kela-kuntoutuksen asiakkaasta lausunnon Kelalle kerran vuodessa.

– Lausunto ei jää omalle tietokoneelleni, vaan tallennan sen muistitikulle. Sijoitan muistitikun arkistokaappiin.

Haastavimpana asiakkaan tietoturvan kannalta hän pitää asiakkaan ensimmäistä yhteydenottoa. Jotkut asiakkaat etsivät itselleen terapeuttia puhelimitse mutta valtaosa ottaa ensimmäisen kerran yhteyttä sähköpostitse. Näin asiakas pystyy tavoittelemaan useita terapeutteja samalla viestillä.

Yhteydenotto sähköpostitse on harvoin täysin tietoturvallinen. Asiakkaat ensimmäisessä sähköpostiviestissään usein kertovat tilanteestaan ja hoitoon hakeutumisen syistä. Terapeuteille on jonoa ja monet terapeutit eivät pysty ottamaan uusia psykoterapia-asiakkaita.

– Kun asiakastulva on niin suuri, yritän sähköpostiviestin perusteella poimia ne, joihin minulla on riittävästi työresurssia.

Terapeutti kertoo, että muita asioita hän ei yksityisvastaanoton asiakkaidensa kanssa hoida sähköpostitse.

– Uskon, että Vastaamo-tapaus ravisteli alaa. Asiakkaiden tietosuoja otetaan vakavasti psykoterapeuttien joukossa ja siitä keskustellaan paljon, sanoo terapeutti.

Esimerkiksi etäyhteyksien lisääntynyt käyttö korona-aikana kirvoitti vilkkaan keskustelun eri etäyhteyspalveluiden tietoturvasta psykoterapeuttien joukossa.

– En olisi niin huolissani siitä, että psykoterapeutti riskeeraa asiakkaansa tietoturvan. Isompi uhka on heidän käyttämiensä potilastietojärjestelmien haavoittuvuus, terapeutti sanoo.

Uutta asiakasta terapeutti rohkaisisi ottamaan puheeksi tietosuojaan liittyvät asiat, jos ne mietityttävät. Hän kertoo, että vain muutama asiakas otti Vastaamon tapauksen saaman julkisuuden myötä puheeksi tietoturvaan ja yksityisyyden suojaan liittyvät asiat vastaanotolla.

– Sitten päätin ottaa asian kaikkien asiakkaiden kanssa puheeksi. Kysyin aina vastaanotolla, haluaisiko asiakas puhua terapiasuhteen tietosuojasta. Useimmat asiakkaat eivät kuitenkaan halunneet käyttää terapia-aikaa tietosuojasta puhumiseen.

Terapeutti arvelee, että Vastaamon tapaus aiheutti alalle hallaa synnyttäen epäluottamusta tietoturvaan. Koko ydin terapiasuhteen kuitenkin on se, että asiakas luottaa terapeuttiinsa.

– Asiakkaiden yksityisyyden suoja on tässä ammatissa itsestäänselvyys. Ammattirooliimme kuuluu suojella ihmistä eikä altistaa häntä vaaralle.