Kela osavastuullinen Vastaamon tietomurrossa?
Näyttää kansalaisia kiinnostavan suuresti Vastaamoon kohdistunut tietomurto ja joissakin mielipidekirjoituksissa on esitetty vastuullisuutta Marinin hallituksen vastuuministereille. Tuota en oikein ymmärrä eli mihin perustuu vastuullisuus nykyhallituksen ministeriin. Ensinnäkin valtion varoista Kela maksaa tietyn laissa määritellyn korvauksen potilaan/asiakkaan psykoterapeutin palkkoista.
Minä vuonna Kela on ottanut/hyväksynyt Valvomon yhdeksi palveluntuottajakseen? Yhtiö näyttää perustetun jo vuonna 2008, joten Kelan kanssa sopimus taitaa olla tehdyn jo huomattavasti ennen vuotta 2020.
Kelan vuoden 2008 toimintakertomuksessa kerrotaan ”Kelan KanTo-hanke rakentaa yhteistyössä muiden toimijoiden kanssa terveydenhuollon käyttöön valtakunnalliset KanTa-tietojärjestelmäpalvelut (Kansallisen Terveysarkiston), jotka otetaan käyttöön vaiheittain 1.4.2011 mennessä. Tietojärjestelmien rakentaminen perustuu vuonna 2007 voimaan tulleeseen lainsäädäntöön. Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä ja laki sähköisestä lääkemääräyksestä määrittelevät Kelan tehtävät terveydenhuollon ja apteekkien tietojärjestelmäkokonaisuuden toteutuksessa. Sosiaali- ja terveysministeriö koordinoi KanTa-järjestelmien toteutusta ja käyttöönottoa. Sosiaali- ja terveysalan lupa- ja valvontavirasto vastaa varmennepalvelusta ja Terveyden ja hyvinvoinnin laitos koodistopalvelusta.
Vuonna 2007 käynnistyneen hankkeen aikataulua on tarkistettu. Tavoitteena on, että sähköisen lääkemääräyksen käyttöönotto aloitetaan vuonna 2009 ja sähköisen potilastiedon arkiston käyttöönotto vuonna 2010.”
Eikö tuo Kelan KamTo-hanke ole koskenut sopimus-/välityspalvelun tuottaja Valvomon tietojärjestelmiä? Miksi ei? Miksi Valviran johtohenkilö (Kela tietojärjestelmää valvova laitos) kertoi Ylen lähetyksessä, että Valvomo kuuluu ns. B-ryhmän valvottaviin, vaikka
Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä
näyttäisi tarkoittavan 1§:n mukaisesti ”Tämän lain tarkoituksena on edistää sosiaali- ja terveydenhuollon asiakastietojen tietoturvallista sähköistä käsittelyä. Lailla toteutetaan yhtenäinen sähköinen potilastietojen käsittely- ja arkistointijärjestelmä terveydenhuollon palvelujen tuottamiseksi potilasturvallisesti ja tehokkaasti sekä potilaan tiedonsaantimahdollisuuksien edistämiseksi.”
Miksi Valvomo ei kuulu A-ryhmään, vaikka on suoraan kytköksissä Kelaan, joka maksaa verovaroista korvauksia Valvomolle? Lain 2§:ssä joka tapauksessa sanotaan lakia sovellettavan myös yksityisten terveydenhuollon palvelujen antajien järjestämään terveydenhuoltoon. Kaiketi Valvomon tuottamia ja Kelan korvaamia palveluja on pidettävä terveyspaleveluina. Onko lainsäädäntö epäselvä ja tulkinnanvaraista tässäkin kohtaa? Kaikki terveydenhoitoon liittyvät asiakastiedot tulee olla lainsäädännön alaisena ja siten noudatettava täysimääräisesti.
Kela kertoo omilla nettisivuillaan; ”Kela maksaa potilaan puolesta osan psykoterapeutin palkkiosta. Yksilöterapiasta (45 min) Kelan korvaus on 57,60 euroa. Kuntoutujan omavastuuosuudeksi jää tyypillisesti noin 30 euroa. Korvausta voi saada enintään 80 käyntiin yhden vuoden ja 200 käyntiin kolmen vuoden aikana. Kelalta voi saada myös matkakorvauksiasekäkuntoutusrahaakuntoutuksen aikaisen toimeentulon turvaamiseen. Psykoterapiakeskus Vastaamon psykiatrit ja psykoterapeutit auttavat potilaitaan tarvittavien tukihakemusten tekemisessä.”
Oletettavaa on, että Kela vaatisi korvauksia maksaessaan yksityisen välityspalvelutuottajan tietojärjestelmän täyttävän asiakastietojen sähköisessä arkistoinnissa tietoturvallisuutta lain edellyttävällä tavalla. Miksi näyttäisi tietoturvallusuus laiminlyödyltä uutisoinnin perusteella?
Kuka tai mikä taho murron suorittaneen lisäksi on vastuussa tietoturvarikollisuuden uhreiksi joutuneista? Tutkinnan päättyessä sekä oikeuden päätöksestä tuo seikka tullee todennettavaksi?
On kuitenkin syytä kohdistaa tiettyä huomiota valtion eri laitosten omiin toimintatapoihin tai hienoiseen leväperäisyyteen valvonnan suhteen monissa eri yhteyksissä, joita on esiintynyt. Näin näyttäisi omasta mielestäni tapahtuneen tässäkin tapauksessa Kelan kohdalla. Suurin syyllinen ilman muuta on tietomurron suorittanut taho, joka vielä sortuu syvällisemmin rikolliseen toimintaan kiristyksen muodossa.
Tekstin aiheet:
Tokikaan kaikki Valvomon asiakkaat eivät tule Kela-korvauksen piirissä vaan ovat yksiyisinä asiakkaina. Vain lääkärin lähetteillä asiakasuhteessa olevat ovat Kel-korvauksen piirissä.
Luonnollisesti Valvomo pitää kaikista asiakkaista tietorekisteriä, jonka tulee olla kirjoituksessa mainitun lain täyttävää rekisterin ylläpitämistä.
Sulje
Ilmoita asiaton kommentti
Hyvä näkökanta. Vaikuttaa jo tuon B-luokan tietoturvallisuusvaatimuksen takia laitokselta, jonka ajateltiin olevan vähemmän arkaluontoista psykologityötä tekevää (burn out, työpaikkakiusaaminen, syrjintä…, asioista, joista avaudutaan lehtien palstoilla, ei silti etteivätkö ongelmat olisi aitoja, ja myös monelle luottamuksellisia). IS kertoo, että Helsingin vihreä apulaispormestari oli neuvotellut Vastaamon kanssa yhteistyöstä, mikä herättää myös epäilyjä, miksi Helsinki tekisi yhteistyötä tietoturvariskein, eivätkö osanneet tarkistaa tilannetta, vai eivätkö välittäneet.
Sulje
Ilmoita asiaton kommentti
Aliina, kiits kommentistasi. Ihmetellä sopii, miksi ylipäänsä on Valvomon kaltaista palvelua tarjoavat ulkopuolella ”Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä” lain velvoitteista. Sähköisen asiakastietokannan valvonta tulee olla aina tiukan valvonnan alaista. Nythän näin ei ole Valviran johdon mukaan ollut vaan ainoastaan B-ryhmään kuuluvana.
Monta kertaa on omaan mieleeni tullut, että kaikkinainen lainsäädäntö on jo aivan liian monimutkaista ja vaikeaselkoista. Niin vaikeaselkoista ettei viranomaisetkaan, puhumattakaan yrityksistä itsestään, osaa tulkita lakeja oikealla tavalla näinkin tärkeissä kohdin kuin mitä salaisten asiakastietojen rekisteröimisen pitää tarkoittaa.
Sulje
Ilmoita asiaton kommentti
Hei. Kiitos Sirpakin. Kyllä nämä maanpälliset silmät valvomiseen ovat: Huononäköisiä ja puutteellisia; Mutta onneksemme meillä on: Isän valvovat silmät ja niitä ei meistä kukaan voi välttää ja paeta. Taivaassa: Asiamme: Analisoidaan ja; osasto meille;-ja; palkka maksetaan. Muutenhan: Olisimmekin: Aivan; Huilupuilla, ja päätösvalta; olisi; aivan muilla. Kiitos. Siunaten, Lasse.
Sulje
Ilmoita asiaton kommentti
Kiitos Lasse mielipiteestäsi! Valvovia silmiä tarvitaan.
Sulje
Ilmoita asiaton kommentti
Hei. Kiitos Sirpakin. Kiva on mihin ”Sanoja suoltaa” ja tietää, että missä joku on: joka niitä puoltaa. Kiitos. Siunaten, Lasse.
Sulje
Ilmoita asiaton kommentti
Tähän tietoturvaan liityen on asiaa käsitelty mm- 2017 perustuslakivaliokunnassa. Alla linkki valiokunnan lausuntoon eduskunnalle lain säätämistä varten.
https://www.eduskunta.fi/FI/vaski/Lausunto/Sivut/PeVL_1+2018.aspx
Sulje
Ilmoita asiaton kommentti
Erittäin merkittäväksi laiksi katson lain tietoturvallisuuden arviointilaitoksista ja siinä lain soveltamisalaa koskevan lain kohdan (2§).
”Lakia sovelletaan elinkeinonharjoittajiin ja palvelutehtäviä julkishallinnolle tarjoaviin yksiköihin, jotka toimeksiannosta arvioivat tietoturvallisuustason (tietoturvallisuuden arviointilaitos) ja jotka haluavat toiminnalleen Viestintäviraston hyväksynnän. Lisäksi tätä lakia sovelletaan hyväksymismenettelyyn.”
Onko esim. Kela ja mahdollisesti muut valtion laitokset pyytäneet Vastaamolta todistusta tietoturvallisuustasosta?
Sulje
Ilmoita asiaton kommentti