– Psykoterapiayritys Vastaamoon kohdistunut tietomurto on laajuudeltaan ja vaikutuksiltaan rinnastettavissa terroritekoon. Mediatietojen mukaan kiristäjällä voi olla hallussaan jopa 40 000 ihmisen tietoja. Kyseessä on valtavan laaja yksittäisiin ihmisiin kohdistuva rikos, Sarkkinen toteaa.
– Rikos vaikuttaa uhrien ja heidän perheidensä lisäksi koko yhteiskuntaan. Teko voi heikentää yleistä yhteiskunnallista luottamusta ja ihmisten turvallisuuden tunnetta. Rikos lisää monien ihmisten ahdistusta ja pahaa oloa, ja toisaalta saattaa valitettavasti nostaa mielenterveyspalveluihin hakeutumisen kynnystä.
Sarkkinen toteaa, että uhreille on annettava se henkinen ja käytännöllinen tuki, mitä he tarvitsevat ja rikoksen selvittämiseen on suunnattava riittävät resurssit. Tietojen edelleen leviäminen mediassa, sosiaalisessa mediassa ja muualla verkossa tulee mahdollisuuksien mukaan estää.
Rikos vaikuttaa uhrien ja heidän perheidensä lisäksi koko yhteiskuntaan. Teko voi heikentää yleistä yhteiskunnallista luottamusta ja ihmisten turvallisuuden tunnetta. Rikos lisää monien ihmisten ahdistusta ja pahaa oloa, ja toisaalta saattaa valitettavasti nostaa mielenterveyspalveluihin hakeutumisen kynnystä.
– On tärkeä viestiä laajalle yhteiskuntaan, että arkaluonteisten terveystietojen edelleen levittäminen on laitonta ja lukeminen vähintään moraalitonta, Sarkkinen sanoo.
Jotta vastaavat rikokset voidaan jatkossa estää, tulee myös tarkastella, miten arkaluonteisia sosiaali- ja terveyspalveluiden potilastietoja voidaan suojata nykyistä paremmin.
– Kyseinen tietomurto koskettaa yksityistä yritystä. Kuitenkin niin Vastaamo kuin useat muutkin yksityiset sosiaali- ja terveyspalveluita tuottavat yritykset toimivat isolta osin julkisilla varoilla. Näin ollen on kohtuullista edellyttää, että julkinen taho ja palveluita käyttävät potilaat voivat olla varmoja, että palveluita tuottavat yritykset pitävät hyvää huolta tietoturvasta, Sarkkinen toteaa.
Sarkkinen kysyy hallitukselta, että selvitetäänkö sosiaali- ja terveyspalveluita Suomessa tuottavien organisaatioiden tietoturvan taso ja jos puutteita ilmenee, mihin toimenpiteisiin ongelmien korjaamiseksi ryhdytään.
Kirjallinen kysymys kokonaisuudessaan on luettavissa alla.
——–
Kirjallinen kysymys
Sosiaali- ja terveydenhuoltojärjestelmien tietoturvavaatimuksista
Eduskunnan puhemiehelle
Psykoterapiayritys Vastaamoon kohdistunut tietomurto on laajuudeltaan ja vaikutuksiltaan rinnastettavissa terroritekoon. Kyseessä on valtavan laaja yksittäisiin ihmisiin kohdistuva rikos.
Rikos vaikuttaa paitsi niihin yksilöihin, keiden arkaluonteisia terveys- ja henkilötietoja on varastettu ja vuodettu, myös heidän läheisiinsä ja työyhteisöihin. Teko voi myös heikentää yleistä yhteiskunnallista luottamusta ja ihmisten turvallisuuden tunnetta. Rikos lisää monien ihmisten ahdistusta ja pahaa oloa, ja toisaalta saattaa nostaa mielenterveyspalveluihin hakeutumisen kynnystä.
Julkisuudessa olleiden tietojen mukaan Vastaamo on joutunut jo vuonna 2018 tietomurron kohteeksi. Vastaamo teki tietomurrosta rikosilmoituksen 29.9.2020 kun yritystä kiristettiin rikollisen haltuun saamien tietojen vuodolla. Alkuperäinen tekijä tai joku muu tietoihin käsiksi päässyt rikollinen on kiristänyt myös yksittäisiä potilaita tietojen levittämisellä. Mediatietojen mukaan kiristäjällä voi olla hallussaan jopa 40 000 ihmisen tietoja.
Rikoksen seurauksena netissä leviää ihmisten arkaluonteisia terveys- ja henkilötietoja. Arkaluonteisten terveystietojen leviäminen julkisuuteen aiheuttaa ahdistusta ja pelkoa. Vaarana on myös se, että rikoksen uhrit joutuvat lisäksi erilaisten identiteettivarkauksien kohteeksi, jos heidän tiedoillaan yritetään esimerkiksi ottaa luottoja tai tehdä muita sopimuksia.
On erittäin tärkeää, että uhreille annetaan kaikki se henkinen ja käytännöllinen tuki, mitä he tarvitsevat. Sen lisäksi rikoksen selvittämiseen on suunnattava riittävät resurssit. Tietojen edelleen leviäminen mediassa, sosiaalisessa mediassa ja muualla verkossa tulee mahdollisuuksien mukaan estää. On tärkeä viestiä laajalle yhteiskuntaan, että arkaluonteisten terveystietojen lukeminen ja edelleen levittäminen on moraalitonta tai jopa laitonta.
Jotta vastaavat rikokset voidaan jatkossa välttää, tulee myös tarkastella, miten arkaluonteisia sosiaali- ja terveyspalveluiden potilastietoja voidaan suojata nykyistä paremmin.
Vastaamo on Valviran hyväksymä ja valvoma palveluntuottaja. Sen tietojärjestelmä kuuluu laissa säädeltyyn B-luokkaan, joilta ei edellytetä ulkopuolista tietoturvallisuuden arviointia. B-luokan tietojärjestelmiä valvotaan vain, jos on erityistä syytä epäillä ongelmia tai jos palveluntuottaja sitä erikseen pyytää. B-luokkaan kuuluville järjestelmille ei ole tehty ennakkoarviointia tai yksityiskohtaisia vaatimuksia, toisin kuin A-luokkaan kuuluville Kanta-yhteensopiville järjestelmille. Kuitenkin myös B-luojan järjestelmiltä edellytetään lain mukaista huolellisuutta asiakirjojen käsittelyssä.
Tietomurto koskettaa yksityistä yritystä. Kuitenkin niin Vastaamo kuin useat muutkin yksityiset sosiaali- ja terveyspalveluita tuottavat yritykset toimivat isolta osin julkisilla varoilla. Näin ollen on kohtuullista edellyttää, että julkinen taho ja palveluita käyttävät potilaat voivat olla varmoja, että palveluita tuottavat yritykset pitävät hyvää huolta tietoturvasta.
Edellä olevan perusteella ja eduskunnan työjärjestyksen 27 §:ään viitaten esitän asianomaisen ministerin vastattavaksi seuraavan kysymyksen:
Aikooko sosiaali- ja terveysministeriö selvittää, mikä on sosiaali- ja terveyspalveluita tuottavien organisaatioiden tietoturvan taso, ja jos puutteita esiintyy, selvittää mitkä ovat ne lainsäädännölliset tai muut syyt, joiden takia tietoturva- ja tietosuojataso ei ole riittävä ja ryhtyä toimenpiteisiin puutteiden korjaamiseksi?
Tulisiko sosiaali- ja terveydenhuollon asiakastietojen sähköistä käsittelyä koskevan lain tietoturva- ja tietosuojavaatimuksia selkeyttää ja kiristää niin, että varmistetaan niin julkisten kuin yksityisten tahojen ylläpitämien järjestelmien vaatimustenmukaisuus käytännössä, esimerkiksi pakollisen ennakkosertifioinnin kautta?
Tulisiko Kelan kilpailutuksissa tai julkisten sote-palveluiden palveluseteleissä asettaa vaatimuksia palveluntuottajayritysten tietoturvalle ja potilastietojärjestelmille?
Miten varmistetaan, että sosiaali- ja terveysalan tietojärjestelmien tukeen ja valvontaan kohdennetaan jatkossa riittävät viranomaisresurssit?
Helsingissä 26.10.2020
Hanna Sarkkinen, Vasemmistoliiton eduskuntaryhmä