Valikko
Kotimaa

Potilastietojärjestelmän virheistä tehty jo 30 ilmoitusta – Pegasoksen korjaamisella ei silti vaikuta olevan kiire

Terveydenhuollon laitteille ei ole tietoturvavaatimuksia, eikä potilastietoja lainvastaisesti paljastavan Pegasos-tietojärjestelmän korjaamisella ole mikään kiire.

Potilastietojärjestelmä Pegasoksen tietosuojapuutteet ovat olleet tiedossa, mutta vastuu korjaamisesta ei tunnu kuuluvan kenellekään. HS kertoi maanantaina, että potilastietojärjestelmässä on näkymiä, joissa potilaiden tietoja voi tutkia ilman että vierailusta jää jälkeä.

Sosiaali- ja terveysministeriön tietohallintoneuvos Maritta Korhonen totesi HS:ssa maanantaina, että Pegasokseen liittyvistä tietosuojaongelmista ”on kyllä ollut keskustelua”.

Lain mukaan potilaalla tulee olla oikeus saada tietää, kuka hänen tietojaan katselee. Nyt pelkästään Helsingissä noin tuhannella Pegasosta käyttävällä terveydenhuollon ammattilaisella on käyttöoikeudet, joita käytettäessä laki ei toteudu.

Pegasos on terveydenhuollon ammattilaisten käyttämä tietojärjestelmä, joka on liitetty potilaille avoimeen Kanta-tietopalveluun. Järjestelmässä on vähintään yksi pääkäyttäjien selailunäkymä, jonka kautta potilastietoja voi katsella pitkältäkin ajalta ilman, että siitä jää jälkeä eli lokitietoa.

Viestintäviraston kyberturvallisuuskeskuksen mielestä kyseessä on selkeä puute potilaan tietosuojassa.

”Kuulostaa siltä, että lokitietojen tallentumista ei ole jossain näkymässä laitettu päälle. Tietenkään tällaista tilannetta ei saisi olla”, sanoo tietoturva-asiantuntija Jussi Eronen viestintäviraston kyberturvallisuuskeskuksesta.

”Lokitietoja pitäisi syntyä, varsinkin pääkäyttäjän tarkastellessa tietoja.”

Asian korjaaminen ei pitäisi olla teknisesti järin monimutkaista.

”Lokitietojen kirjautumiselle on yleensä standardoitu tapa ohjelman koodissa. Tuskin asian korjaaminen mahdottoman vaikeaa on, mutta tietysti kaikki aina maksaa”, Eronen pohtii.

Vastuun jakautuminen on monimutkaista. Potilaan tietosuoja pohjautuu lakiin asiakastietojen sähköisestä käsittelystä sosiaali- ja terveydenhuollossa. Tarkemmat määräykset antaa Terveyden ja hyvinvoinnin laitos (THL). Määräysten toteutumista valvoo omalta osaltaan Valvira, mutta valvontavastuuta on ripoteltu myös esimerkiksi Sosiaali- ja terveysministeriölle, Kansaneläkelaitokselle, Tietosuojavaltuutetulle ja aluehallintoon.

Esimerkiksi Valvira on viimeisen neljän vuoden aikana saanut Pegasoksen käyttäjiltä 30 ilmoitusta henkilön terveyden vaarantumiseen johtavista vaaratilanteista.

”Tyypillisesti potilasturvallisuuden vaarantavaksi asiaksi on raportoitu käyttäjän mukaan järjestelmän ominaisuuden tai virhetoiminnon vuoksi puuttuva tai virheellinen tieto”, kertoo valvonnasta vastaavan Valviran terveysteknologiaryhmän ylitarkastaja Jari Knuuttila.

Knuuttila korostaa, ettei 30 ilmoituksen määrä ole poikkeuksellinen. Pegasoksen tietosuojapuutteista on tehty vain yksi ilmoitus. Se tapahtui jo yli kaksi vuotta sitten, toukokuussa 2014. Tuolloin Valvira pyysi valmistajayhtiö CGI:lta selvityksen, jonka saatuaan se päätti ettei ryhdy toimenpiteisiin.

Kun tietojärjestelmä otetaan käyttöön, sen turvallisuus, toimivuus ja käytettävyys pitää testata ja tarkistaa erikseen. Potilastietojärjestelmien ja useiden muiden viranomaisjärjestelmien virallisesta testauksesta eli auditoinnista vastaa Suomessa viestintäviraston kyberturvallisuuskeskuksen valtuuttamana vain konsultointiyhtiö KPMG.

”Pegasos-järjestelmä on auditoitu viimeksi vuonna 2014 tai 2015”, kertoo KPMG:n osakas, KPMG Sertifiointi Oy:n toimitusjohtaja Mika Laaksonen.

Lomalta tavoitettu Laaksosen kertoo, että jatkoauditoinnit tehdään joustavasti yleensä noin kolmen vuoden välein. Järjestelmän toimittajalla on velvollisuus ilmoittaa merkittävistä muutoksista. Tuolloin tyypillisesti vaaditaan uusinta-auditointi.

”Auditointivaatimukset kohdistuvat tietojärjestelmän ja Kanta-palvelun rajapintaan, eli siihen miten nämä kaksi toimivat yhdessä. Tässä ei tarkasteta järjestelmää kokonaisuudessaan.”

Laaksonen tarkoittaa, että Pegasos-tietojärjestelmää ja sen sisäisiä ominaisuuksia KPMG:n vastuulla oleva tietoturva-auditointi ei koske. Selainnäkymä, josta lokitiedot eivät kirjaudu, on tietojärjestelmän sisäinen ominaisuus.

”Potilastietojärjestelmän auditointi tehdään pääasiallisesti haastattelujen ja dokumentaation kautta sekä pistokokeilla. Esimerkiksi lokitietojen osalta testataan se, että tietoja katsellaan Kanta-palvelusta ja että siitä jää lokimerkintä, luodaan e-resepti ja kokeillaan pääseekö esimerkiksi opiskelijan käyttöoikeuksilla näkemään Kanta-järjestelmästä tietoja joiden pitäisi näkyä lääkärin oikeuksilla”, Laaksonen kuvailee.

Pelkästään Helsingissä 7 000 Pegasos-käyttäjästä liikaa tietoja paljastavan tilastointinäkymän selausnäytön käyttöoikeudet ovat noin tuhannella. Niinpä Laaksosen kuvailema tietoturva-auditionti ei kuulosta järin kattavalta.

KPMG tekee kyberturvallisuuskeskuksen valtuuttamana sertifiointiin vaadittavat auditoinnit myös viranomaisten tietojärjestelmiin. Niihin kohdistuvat vaatimukset ovat huomattavasti potilastietojärjestelmiä raskaammat.

”Viranomaisjärjestelmien katakriksi kutsutut vaatimukset ovat tolkuttoman yksityiskohtaiset. Sellaisen järjestelmän auditointiin menee keskimäärin 20–40 päivää. Potilastietojärjestelmän auditointi kestää muutaman päivän, joista itse auditointityöhön menee päivä tai kaksi ja loput paperitöihin. Auditointeja ja vaatimuksia on hyvin eritasoisia.”

Kun auditointi on tehty hyväksytysti, ohjelmisto saa sertifioinnin. Niiden vaatimustenmukaisuutta valvoo Valvira, jonka vastuulle ei vielä vuonna 2014 kuulunut vastuuta tietojärjestelmän vaatimuksien mukaisuudesta. Vaatimukset räätälöi Terveyden ja hyvinvoinnin laitos ensimmäistä kertaa alkuvuonna 2015.

Nyt THL:n tulkinnan mukaan vastuu toimivuudesta on ensisijaisesti tietojärjestelmän toimittajalla.

”Asiakastietolain mukaisesti vastuu siitä että järjestelmä toimii oikein ja turvallisesti on järjestelmän valmistajalla. Tämä on tilanne myös silloin, jos järjestelmä toimii vastoin kansallisia määrittelyjä ja vaatimuksia”, lukee THL:n HS:lle lähettämässä lausunnossa.

KPMG:n Laaksonen huomauttaa, että myös toimintojen tilaajalla on vastuu tilaamastaan tuotteesta. Mikäli asiakas ei ole vaatinut lokitietoja kirjattavaksi pääkäyttäjien selailunäkymistä, järjestelmän tekijä ei niitä toimita.

Pegasos-järjestelmän valmistaneen CGI:n palvelujohtaja Jyrki Rintala sanoi maanantaina HS:ssa, etteivät asiakkaat ole lokitietojen kirjautumista kyseisestä näkymästä vaatineet.

KPMG:n Laaksosen mukaan koko Pegasos-järjestelmän tietoturvasta ja sen testaamisesta vastaa kuitenkin valmistaja CGI. Laaksonen ei tiedä, miten valmistaja on testauksen tehnyt. Yleensä pidetään hyvänä, jos tietoturvatestauksen on tehnyt joku ulkopuolinen.

”Mitään järjestelmää ei kuitenkaan voi auditoida täysin turvalliseksi varsinkaan listaamalla tarkistettavia kohtia”, Laaksonen huomauttaa. ”Koodiauditoinnit ja tietomurtotestaus ovat erillisiä prosesseja, jotka eivät sisälly KPMG:n suorittamiin potilastietojärjestelmien auditointiin tai auditointivaatimuksiin.”

Laaksosen mielestä tietoturva-auditointi kannattaisi ylipäätään tehdä monessa vaiheessa. Nyt ne tilataan ja toteutetaan useimmiten viime tingassa.

”Mentaliteetti on se, että järjestelmien kehittämiseen käytetään miljoonia euroja ja vuosia aikaa. Auditointi jätetään viimeiseksi ja siihen suhtaudutaan kuin valmista olisi pitänyt olla jo eilen.”

HS ei tavoittanut tiistaina Pegasos-järjestelmän valmistaneen CGI:n edustajaa kommentoimaan asiaa.

Valviran terveydenhuollon laitteiden ja tarvikkeiden valvontayksikön ylitarkastaja Jari Knuuttila kertoo, että Pegasoksen tietosuojapuutteiden kohdalla on vaikeaa osoittaa, että järjestelmä olisi vaatimusten vastainen.

Potilastietojärjestelmille, jotka on tulkittu vuonna 2010 tehdyn lain päivityksen jälkeen terveydenhuollon laitteiksi, ei edelleenkään ole tietosuoja- tai tietoturvavaatimuksia. Niinpä niitä ei voida edellyttää noudatettavaksi.

Sen sijaan Pegasos-järjestelmälle annetut hyväksynnät ovat yhä voimassa, ellei järjestelmiin tehdä olennaisia muutoksia. Onko puute potilaan tietosuojassa olennainen, ei ole vielä tiedossa. Epäkohta se ainakin on, ehkä jopa THL:n vaatimusten vastainen.

”Asiakastietolain käyttöönotto on vielä kesken, ja ennen sen voimaantuloa hyväksyttyjen järjestelmien hyväksyntä jatkuu kaksi vuotta. Mahdolliset päivitykset potilastietojärjestelmien vaatimuksiin tehdään viranomaisyhteistyönä. Tämä on monen kokin soppa”, Knuuttila summaa.

Kommentit

    Ei vielä kommentteja. Kirjoita ensimmäinen.

    Näytä lisää
    Luetuimmat
    1. 1

      Tuhansia suomalaisia ryöstettiin orjiksi, mutta sitä hädin tuskin muistetaan – moni kansa ei unohtaisi moista vääryyttä ikinä

    2. 2

      Suurin osa syövistä on huonoa onnea – enemmistö syöpään johtavista mutaatioista on satunnaisia virheitä

    3. 3

      Toni Kitin kova flunssa olikin aids – Nyt hän toivoo, että muut eivät uskoisi netin valesivuja

    4. 4

      Jopa puolet liikunnan harrastajista treenaa liian lujaa, sanoo asiantuntija – Iltakävely voi usein olla hikilenkkiä parempi

    5. 5

      Aikuiset ihmiset ovat unohtaneet, ettei töykeyttä voi perustella millään

    6. 6

      Tohtori Tuulan ja tehdastyöntekijä Ritvan rakkaus oli monelle yllätys – ”Alemmassa sosiaaliluokassa ajatellaan, että herrat eivät pidä maailmaa käynnissä”

    7. 7

      Telia luopuu roaming-maksuista – kuluttajille kotimaan hinnat kaikissa EU-maissa

    8. 8

      Jos haluaa treenata ja pysyä hyvässä kunnossa, on oltava itsekäs

    9. 9

      En halua olla sukupuoli­neutraali, haluan olla nainen – kotona pesen mielelläni mieheni pyykit

    10. 10

      Kuusi naista perusti vertaiskoulutusverkoston, jonka suosio räjähti – ”Miehillä on pörssiklubit ja muut. Tämä on meidän juttu”

    11. Näytä lisää
    1. 1

      Tuhansia suomalaisia ryöstettiin orjiksi, mutta sitä hädin tuskin muistetaan – moni kansa ei unohtaisi moista vääryyttä ikinä

    2. 2

      Toni Kitin kova flunssa olikin aids – Nyt hän toivoo, että muut eivät uskoisi netin valesivuja

    3. 3

      Finnair perui koko kesän Miamin-lennot – mitä lentoyhtiössä oikein tapahtuu?

    4. 4

      Tohtori Tuulan ja tehdastyöntekijä Ritvan rakkaus oli monelle yllätys – ”Alemmassa sosiaaliluokassa ajatellaan, että herrat eivät pidä maailmaa käynnissä”

    5. 5

      Jopa puolet liikunnan harrastajista treenaa liian lujaa, sanoo asiantuntija – Iltakävely voi usein olla hikilenkkiä parempi

    6. 6

      Aikuiset ihmiset ovat unohtaneet, ettei töykeyttä voi perustella millään

    7. 7

      En halua olla sukupuoli­neutraali, haluan olla nainen – kotona pesen mielelläni mieheni pyykit

    8. 8

      Telia luopuu roaming-maksuista – kuluttajille kotimaan hinnat kaikissa EU-maissa

    9. 9

      Mika Häkkisen ja Ayrton Sennan yhteinen taival alkoi kunnon riidalla – eikä suomalainen huumori yhtään helpottanut tilannetta

    10. 10

      Yle sai JSN:ltä langettavan päätöksen poliittiseen painostukseen taipumisesta

    11. Näytä lisää
    1. 1

      Vanha hinnasto saattaa olla arvokkaampi kuin romaani eivätkä Myrna-kupit kiinnosta ketään – asiantuntijat kertovat, mitkä käytetyt tavarat nyt käyvät kaupaksi

    2. 2

      Lenkille lähtenyt helsinkiläisnainen huomasi itkevän autoilijan tien poskessa – kuljetti satamaan ja juoksi takaisin

    3. 3

      Tuhansia suomalaisia ryöstettiin orjiksi, mutta sitä hädin tuskin muistetaan – moni kansa ei unohtaisi moista vääryyttä ikinä

    4. 4

      Jopa puolet liikunnan harrastajista treenaa liian lujaa, sanoo asiantuntija – Iltakävely voi usein olla hikilenkkiä parempi

    5. 5

      Ottelun parhaaksi pelaajaksi valitun hyökkääjän tunteellinen emämoka: kiitti haastattelussa vaimoaan – ja tyttöystäväänsä

    6. 6

      En halua olla sukupuoli­neutraali, haluan olla nainen – kotona pesen mielelläni mieheni pyykit

    7. 7

      Kela vaatii, että 6-vuotiaalle lapsenlapselle säästämäni rahat käytetään perheen elättämiseen

    8. 8

      Vanhuksia on jäänyt ilman ruokaa Helsingissä, eikä edes kaupunki tavoita uutta lähettiyritystä – lopulta kotihoito tilasi ruokaa Helvi Ukkola-Saariselle, 91

    9. 9

      Toni Kitin kova flunssa olikin aids – Nyt hän toivoo, että muut eivät uskoisi netin valesivuja

    10. 10

      Finnair perui koko kesän Miamin-lennot – mitä lentoyhtiössä oikein tapahtuu?

    11. Näytä lisää