Viimeksi julkaistu 27.11.2021 17.02

Kirjallinen kysymys KK 804/2020 vp 
Hanna Sarkkinen vas 
 
Kirjallinen kysymys sosiaali- ja terveydenhuoltojärjestelmien tietoturvavaatimuksista

Eduskunnan puhemiehelle

Psykoterapiayritys Vastaamoon kohdistunut tietomurto on laajuudeltaan ja vaikutuksiltaan rinnastettavissa terroritekoon. Kyseessä on valtavan laaja yksittäisiin ihmisiin kohdistuva rikos.  

Rikos vaikuttaa paitsi niihin yksilöihin, joiden arkaluonteisia terveys- ja henkilötietoja on varastettu ja vuodettu, myös heidän läheisiinsä ja työyhteisöihin. Teko voi myös heikentää yleistä yhteiskunnallista luottamusta ja ihmisten turvallisuudentunnetta. Rikos lisää monien ihmisten ahdistusta ja pahaa oloa ja toisaalta saattaa nostaa mielenterveyspalveluihin hakeutumisen kynnystä. 

Julkisuudessa olleiden tietojen mukaan Vastaamo on joutunut jo vuonna 2018 tietomurron kohteeksi. Vastaamo teki tietomurrosta rikosilmoituksen 29.9.2020, kun yritystä kiristettiin rikollisen haltuun saamien tietojen vuodolla. Alkuperäinen tekijä tai joku muu tietoihin käsiksi päässyt rikollinen on kiristänyt myös yksittäisiä potilaita tietojen levittämisellä. Mediatietojen mukaan kiristäjällä voi olla hallussaan jopa 40 000 ihmisen tietoja. 

Rikoksen seurauksena netissä leviää ihmisten arkaluonteisia terveys- ja henkilötietoja. Arkaluonteisten terveystietojen leviäminen julkisuuteen aiheuttaa ahdistusta ja pelkoa. Vaarana on myös se, että rikoksen uhrit joutuvat lisäksi erilaisten identiteettivarkauksien kohteiksi, jos heidän tiedoillaan yritetään esimerkiksi ottaa luottoja tai tehdä muita sopimuksia. 

On erittäin tärkeää, että uhreille annetaan kaikki se henkinen ja käytännöllinen tuki, mitä he tarvitsevat. Sen lisäksi rikoksen selvittämiseen on suunnattava riittävät resurssit. Tietojen edelleen leviäminen mediassa, sosiaalisessa mediassa ja muualla verkossa tulee mahdollisuuksien mukaan estää. On tärkeä viestiä laajalle yhteiskuntaan, että arkaluonteisten terveystietojen lukeminen ja edelleen levittäminen on moraalitonta tai jopa laitonta.  

Jotta vastaavat rikokset voidaan jatkossa välttää, tulee myös tarkastella, miten arkaluonteisia sosiaali- ja terveyspalveluiden potilastietoja voidaan suojata nykyistä paremmin. 

Vastaamo on Valviran hyväksymä ja valvoma palveluntuottaja. Sen tietojärjestelmä kuuluu laissa säädeltyyn B-luokkaan, jolta ei edellytetä ulkopuolista tietoturvallisuuden arviointia. B-luokan tietojärjestelmiä valvotaan vain, jos on erityistä syytä epäillä ongelmia tai jos palveluntuottaja sitä erikseen pyytää. B-luokkaan kuuluville järjestelmille ei ole tehty ennakkoarviointia tai yksityiskohtaisia vaatimuksia toisin kuin A-luokkaan kuuluville Kanta-yhteensopiville järjestelmille. Kuitenkin myös B-luokan järjestelmiltä edellytetään lain mukaista huolellisuutta asiakirjojen käsittelyssä. 

Tietomurto koskee yksityistä yritystä. Kuitenkin niin Vastaamo kuin useat muutkin yksityiset sosiaali- ja terveyspalveluita tuottavat yritykset toimivat isolta osin julkisilla varoilla. Näin ollen on kohtuullista edellyttää, että julkinen taho ja palveluita käyttävät potilaat voivat olla varmoja siitä, että palveluita tuottavat yritykset pitävät hyvää huolta tietoturvasta. 

Ponsiosa 

Edellä olevan perusteella ja eduskunnan työjärjestyksen 27 §:ään viitaten esitän asianomaisen ministerin vastattavaksi seuraavan kysymyksen:

Aikooko sosiaali- ja terveysministeriö selvittää, mikä on sosiaali- ja terveyspalveluita tuottavien organisaatioiden tietoturvan taso, 
jos puutteita esiintyy, niin aikooko sosiaali- ja terveysministeriö selvittää, mitkä ovat ne lainsäädännölliset tai muut syyt, joiden takia tietoturva- ja tietosuojataso ei ole riittävä, ja ryhtyä toimenpiteisiin puutteiden korjaamiseksi,  
tulisiko sosiaali- ja terveydenhuollon asiakastietojen sähköistä käsittelyä koskevan lain tietoturva- ja tietosuojavaatimuksia selkiyttää ja kiristää niin, että varmistetaan niin julkisten kuin yksityistenkin tahojen ylläpitämien järjestelmien vaatimustenmukaisuus käytännössä, esimerkiksi pakollisen ennakkosertifioinnin kautta, 
tulisiko Kelan kilpailutuksissa tai julkisten sote-palveluiden palveluseteleissä asettaa vaatimuksia palveluntuottajayritysten tietoturvalle ja potilastietojärjestelmille ja 
miten varmistetaan, että sosiaali- ja terveysalan tietojärjestelmien tukeen ja valvontaan kohdennetaan jatkossa riittävät viranomaisresurssit? 
Helsingissä 26.10.2020 
Hanna Sarkkinen vas