26 lokakuun, 2020 |

Kuntoutusyrittäjät kannustaa terapia- ja kuntoutusyrityksiä pitämään tietoturvajärjestelmät ajan tasalla

Psykoterapiakeskus Vastaamon tietomurto ja asiakkaiden kiristys on tuomittava teko.

Kuntoutusyrittäjät kannustaa ihmisiä tästä huolimatta käyttämään yksityisten psykoterapeuttien palveluita. Psykoterapeutit ovat ammattilaisia ja asiakas saa palveluista apua.

Palveluihin voi hakeutua suoraan tai selvittää mahdollisuutensa saada lähete.

Yrityksille Suomen Kuntoutusyrittäjillä on tämä viesti:

1) Liity Kanta-arkistoon

2) Luovu turvattomista tietojärjestelmistä

Tietomurto on ikävä tapaus, joka toimii käytännön muistutuksena tietoturvan tärkeydestä. Tämänkaltainen uutinen kiristysyrityksestä on tietojen häviämisen ohella varmasti monelle terveydenhuoltoalan yrittäjälle kauhukuva.

Kanta-arkistoon liittymisessä on hyvänä puolena se, että Kantaan liitetyn järjestelmän tietoturvan tason on oltava sama, kuin esimerkiksi julkisen terveydenhuollon Kantaan liitetyissä järjestelmissä. Samaan tasoon pääsee myös sillä, että ottaa käyttöön Kantaan yhteensopivan potilastietojärjestelmän, vaikkei vielä Kantaan liittyisikään.

Tietomurto korostaa myös Kannan ulkopuolelle jätettyjen järjestelmien (ns. B-luokan potilastietojärjestelmien) eli vanhojen järjestelmien tietoturvaa. Mihin tahansa tietoverkkoon kytketty vanha järjestelmä täytyy päivitysten avulla pitää tietoturvallisena ja ajantasaisena samalla tavalla, kuin uusikin järjestelmä.

Miten päivitän yritykseni tietoturva-asiat?

Kuntoutusyrityksissä voi olla käytäntöjä, jotka on syytä muuttaa. Joillain yrityksillä on ehkä yhä henkilötietoja sisältäviä word-dokumentteja tallennettuna erilaisille alustoille. Näistä on syytä luopua heti, mikäli tiedot säilytetään palveluissa salaamattomana tai heikosti salattuina.

Yhdessä IT-tuen kanssa kannattaa myös pohtia, onko mahdollisesti vanhentuneen potilastietojärjestelmän käyttö esimerkiksi arkistointitarkoituksiin tietoturvallista.

Jos vanhaa järjestelmää päivitetään edelleen säännöllisesti ja vastaavasti tietoturva-aukkoja paikataan, lienee sen käyttökin turvallista. Järjestelmien säännölliset päivitykset kuuluvat yleensä SaaS-palveluihin, eli tilanteeseen jossa järjestelmä ostetetaan palveluna. Yleisimpiä SaaS -palveluita ovat erilaiset pilvipalvelut.

Jos järjestelmää ei ole ostettu pilvipalveluna, tulee päivittämätön järjestelmä kytkeä irti verkosta (myös yrityksen sisäverkosta) ja siihen talletettu potilastieto siirtää mahdollisuuksien mukaan uuden järjestelmän alle (suorittaa ns. migraatio).

Onko asiakkaan henkilötunnus pakko tallentaa? Saako sen poistaa?

On pakko tallentaa, ja ei saa poistaa. Kyse on välttämättömistä lainmukaisista potilastiedoista. Asiakkaalle ei voi antaa palvelua, ellei tämä suostu potilastietojensa kirjaamiseen järjestelmään. Asiakkaat kysyvät nyt näitä kysymyksiä terveydenhuoltoalan yrityksistä.

Kokosimme tietojen keräämiseen ja tallentamiseen liittyvät yleisimmät kysymykset tänne