Hyvinvointialueiden tietosuojassa on havaittu puutteita. Kuudella suomalaisella hyvinvointialueella ja sadoilla yksityisillä sote-sektorin organisaatioilla on riskialtis tapa lähettää tai vastaanottaa salassa pidettäviä henkilötietoja ilman toisen osapuolen tunnistamista, Suomen turvaposti kertoo tiedotteessa.
Sähköposteissa lähetetään www-linkki, jonka ensimmäinen klikkaaja pääsee käsiksi salassa pidettäviin henkilötietoihin riippumatta siitä, onko viesti hänelle tarkoitettu.
– Etelä-Pohjanmaan, Keski-Suomen ja Satakunnan hyvinvointialueilla on käytössä riskialtis lähetystapa, joka voi vaarantaa noin 680 000 suomalaisen sosiaali- ja terveystietojen salassapidon, kertoo tietoturva-alalla yli 20 vuotta työskennellyt Markku Vettenniemi Suomen turvapostin tiedotteessa.
Keski-Uudenmaan, Kymenlaakson ja Lapin hyvinvointialueet puolestaan tarjoavat internet-sivuillaan asiakkaille luottamuksellisten henkilötietojen lähetyslomakkeen, jonka käyttäjä voi esiintyä toisen henkilön nimissä, sillä lomakkeen lähettäjää ei tunnisteta.
Sama ongelma on myös Kelalla ja Terveyden ja hyvinvoinnin laitoksella (THL), jotka ovat sote-sektorin suunnannäyttäjiä. Mehiläinen puolestaan on suurin yksityinen terveysalan toimija, jonka vastaavalta lomakkeelta puuttuu tunnistaminen.
– Viestin avaajan tunnistaminen puuttuu laajasti myös sote-sektorin ulkopuolella, ja se on johtanut kiusallisiin tilanteisiin, esimerkiksi kokonimikaimalle tarkoitetun virallisen avioeroilmoituksen saamiseen sähköpostilla, kuten huhtikuun lopulla uutisoitiin. Tunnistamisen toteutus olisi kuitenkin helppoa. Esimerkiksi verkkokaupoissa pankkitunnusten ja mobiilivarmenteen käyttö on jo pitkään ollut arkipäivää, huomauttaa tietoturva-asiantuntija Petteri Järvinen.
EU:n tietosuoja-asetus sekä laki sosiaali- ja terveydenhuollon asiakastietojen käsittelystä edellyttävät salassa pidettävien (niin sanottujen erityisten) henkilötietojen sähköisessä siirrossa osapuolten tunnistamista.
Edellä kuvatuista tietosuojariskeistä on Suomen turvapostin mukaan informoitu tietosuojavaltuutetun toimistoa ja kyberturvallisuuskeskusta.
