Lakiesitys potilastietojärjestelmien tietoturvasta aiheuttamassa suurmyllerryksen
Hallituksen lakiesitys potilastietojärjestelmien tietoturvan parantamiseksi on aiheuttamassa suuren myllerryksen sosiaali- ja terveysalalla, sillä roima enemmistö alan potilastietojärjestelmistä ei nykyisellään täytä tulevaisuudessa vaadittavia tietoturvakriteerejä.
Sosiaali- ja terveysalan lupa- ja valvontaviraston Valviran mukaan alan tietojärjestelmistä vain 82 kuuluu lakiesityksessä vaadittavaan A-luokkaan, kun taas heikomman tietoturvan B-luokassa on peräti 260 järjestelmää. Laajan tietomurron kohteeksi joutuneen Psykoterapiakeskus Vastaamon tietojärjestelmä kuului B-luokkaan.
Valviran terveydenhuollon valvontaosaston yli-insinööri Antti Härkönen arvioi, että kaikkien potilastietojärjestelmien nostaminen A-luokkaan voi viedä helposti parikin vuotta.
Härkösen mukaan pullonkaulaksi uudistuksessa voi muodostua esimerkiksi Kela, sillä jatkossa kaikkien asiakas- tai potilastietojärjestelmiä käyttävien palveluntarjoajien tulisi liittyä Kelan Kanta-palveluihin ja niiden käyttämien tietojärjestelmien tulisi olla yhteensopivia Kanta-palveluiden kanssa.
– Kelan yhteystestaus voi ruuhkautua pahasti, jos useampi sata järjestelmää hakeutuu yhteystestaukseen samaan aikaan, Härkönen arvioi.
Toiseksi pullonkaulaksi voivat Härkösen mukaan muodostua tietoturvallisuuden arviointilaitokset, sillä esitetyn lain mukaan tietojärjestelmien tulisi läpäistä arviointilaitoksen suorittama tietoturvallisuuden arviointi.
Kelan Kanta-palveluissa on tiedostettu mahdollisesti tulossa oleva asiakasryntäys, jos kaikkien potilastietojärjestelmiä käyttävien palveluntarjoajien täytyy jatkossa liittyä Kanta-palveluihin.
– Meidän yhteystestauksemme kapasiteettia on kasvatettava tuntuvasti. Resurssit pitäisi ehkä noin tuplata nykyisestä, palvelutoiminnan päällikkö Outi Lehtokari arvioi.
Lehtokarin mukaan mahdollista ruuhkaa voi lievittää hieman se, että kaikkia 260 tietojärjestelmää ei tarvitse liittää Kelan Kanta-palveluihin, sillä niiden joukossa on varsinaisten potilastietojärjestelmien ohella myös esimerkiksi laboratoriotietojärjestelmiä. Niiden pitää kuitenkin käydä läpi tietoturvallisuuden arviointilaitosten suorittama arviointi, mikä lisää arviointilaitosten työsarkaa.
Nixu Certification -yhtiön toimitusjohtaja Niki Klaus ei usko, että tietoturvallisuuden arviointilaitokset muodostuisivat pullonkaulaksi potilastietokantojen tietoturvallisuuden parantamisessa.
Nixu Certification on yksi kolmesta liikenne- ja viestintäviraston kyberturvallisuuskeskuksen hyväksymästä tietoturvallisuuden arviointilaitoksesta yhdessä Inspectan ja KMPG IT Sertifioinnin kanssa.
– Me ainakin pystymme skaalaamaan toimintaa tarvittaessa ylöspäin. Voimme tarvittaessa siirtää muualta Nixusta ihmisiä auditointitiimin avuksi. Lisärekrytoinnitkin voivat tulla kyseeseen, Klaus sanoi.