Vastaamon tapaus on myös yrittäjän kauhukuva – ”Yksikään yritys ei voi vähätellä tietoturvaa”
Suomen Kuntoutusyrittäjät kehottaa yrittäjiä tarkistamaan koneiden ja välineiden ajanmukaisuuden ja tietoturvallisuuden. Myös Kanta-arkistoon liittyminen on järkevää.
Psykoterapiapalveluita tarjoavan Vastaamon tietomurto, jossa asiakkaiden arkaluontoisia tietoja on vuodettu Tor-verkkoihin, on aiheuttanut huolta ja ahdistusta niin yrityksen palveluita käyttäneissä asiakkaissa ja hakkereiden kiristyksen uhreissa kuin ulkopuolisissakin. Tietomurtoa on verrattu julkisuudessa muun muassa lentokoneonnettomuuteen.
– Tapaus muistuttaa, että yritysten on otettava tietoturva-asiat vakavasti. Yksikään yritys – ei iso eikä pieni – ei voi vähätellä tietoturvaa, Suomen Yrittäjien toimitusjohtaja Mikael Pentikäinen sanoo.
Yle kertoo jutussaan, että Valvira ei valvo yksityisten psykoterapiapalveluiden tietojärjestelmiä. Käytännössä uuden palvelun perustaja tekee ilmoituksen Valviralle tai Aluehallintovirastolle toiminnan aloittamisesta.
Ylen haastattelema Valviran Terveydenhuollon valvontaosaston ryhmäpäällikkö, psykiatri ja psykoterapeutti Kaisa Riala kertoo, että aloitusilmoituksen yhteydessä kysytään, mitä tietoturvajärjestelmiä yritys tulee ottamaan käyttöön, mutta sen jälkeen yritystä ei asiassa valvota, ellei Valvira saa ilmoituksia tai kanteluita.
Yrittäjänkin kauhukuva
Tilanne on myös yrittäjille kauhukuva. Suomen Kuntoutusyrittäjät kirjoitti sunnuntaina kannanoton Facebook-sivuilleen, jossa se kehottaa kuntoutusalan yrittäjiä liittymään Kanta-arkistoon ja luopumaan turvattomista tietojärjestelmistä.
– Kanta-arkistoon liittymisessä on hyvänä puolena se, että Kantaan liitetyn järjestelmän tietoturvan tason on oltava sama, kuin esimerkiksi julkisessa terveydenhuollossa on. Samaan tasoon pääsee myös sillä, että ottaa käyttöön Kanta-yhteensopivan potilastietojärjestelmän, vaikkei vielä Kantaan liittyisikään, Kuntoutusyrittäjät toteaa kannanotossaan.
Kannan ulkopuolelle jäävien, niin sanottujen B-luokan potilastietojärjestelmien, tietoturvan tarve korostuu.
Yrittäjän kannattaa myös tarkistaa käytettyjen tietokoneiden ja välineistön ajanmukaisuus. Käytännössä vain verkkoon kytketyissä koneissa on vain ajantasainen Windows- tai Mac-ohjelmisto, ja että yrityksen käyttämät reitittimet tai laajakaistamodeemit ovat edelleen tietoturvallisia. Vanhentuneita käyttöjärjestelmiä, kuten Windows 7 ja Windows XP -käyttöjärjestelmät ovat jo vanhentuneita, eikä niitä saa kytkeä verkkoon.
Potilastiedot suojattava väärinkäytöltä
Kuntoutusyrittäjät ovat laatineet vastauksia askarruttaviin kysymyksiin potilastietosuojasta. Siellä kerrotaan muun muassa, että potilasasiakirjat ovat lain nojalla kirjattavia tietoja, joita asiakkailla ei ole henkilökohtaista oikeutta vaatia poistettavaksi. Vastineeksi tästä yritykseltä edellytetään rekisterinpitoon liittyen erityistä huolellisuutta ja tietojen erityistä suojelua.
Asiakkaalla on oikeus tarkistaa hänestä tehdyt potilasasiakirjamerkinnät EU:n tietosuoja-asetuksen 15 artiklan nojalla, ja vaatia myös tietoja oikaistavaksi, mikäli niissä havaitaan virheitä.
EU:n tietosuoja-asetus edellyttää rekisteriä pitävää yritystä sekä muita henkilötietojen käsittelyyn osallistuvia tahoja suojaamaan tiedot muun muassa käsittelyyn liittyvät riskit huomioiden. Erityisesti potilastiedot on suojattava sekä sisäiseltä että ulkoiselta väärinkäytöltä. Tietojen väärinkäyttö on myös rangaistavaksi säädetty teko.
Suomen Yrittäjät on tehnyt tietoturvaoppaan, josta yrittäjä voi katsoa vinkit ja käytännön niksejä tietoturvaan liittyen omassa yritystoiminnassaan.
Yrittäjät järjestää myös koulutuksia digitaaliseen turvallisuuteen liittyen, ja ensimmäinen Digitaalisen turvallisuuden perusteet -kurssi järjestetään joulukuussa.
Lue myös Varmista tietoturva! Muista nämä 7 tärkeintä asiaa
Elina Hakola
elina.hakola (at) yrittajat.fi
