Kotimaa

LM-selvitys: Sairaanhoitopiirien Vastaamo-sopimusten arvo yli miljoona euroa – Tietoturvatarkastuksia ei tehty, vaikka niihin olisi ollut mahdollisuus

Sairaanhoitopiirit ovat hankkineet psykoterapiaa sadoille potilaille Vastaamolta. Asiantuntijan mukaan sh-piirit voivat olla Vastaamon kanssa yhteisvastuussa mahdollisista vahingonkorvauksista. Vastaamo sanoo, ettei se tutkinnan tässä vaiheessa ota kantaa korvausvastuisiin. Yritys kuitenkin kertoo hyvittävänsä tietomurron kohteeksi joutuneille luottotietoihin liittyviä turvapalveluita yhdeksi vuodeksi.

Sairaanhoitopiirit ovat hankkineet palveluita psykoterapiakeskus Vastaamolta vähintään yli miljoonalla eurolla vuosina 2015-2020, käy ilmi Lännen Median kuudelta sairaanhoitopiiriltä hankkimista tiedoista.

Toimitus kävi läpi Helsingin ja Uudenmaan (HUSin), Pirkanmaan (PSHP:n), Varsinais-Suomen (VSSHP:n), Kanta-Hämeen (KHSHP), Etelä-Pohjanmaan (EPSHP) sekä Pohjois-Pohjanmaan (PPSHP) sairaanhoitopiirien Vastaamo-sopimukset. Niiden perusteella sairaanhoitopiirit ovat psykoterapiapalveluiden osalta rekisterinpitäjiä ja Vastaamo palveluntuottaja.

Tieto on vahingonkorvausvastuiden kannalta merkityksellinen sairaanhoitopiirien Vastaamo-asiakkaille. EU:n tietosuoja-asetuksen perusteella rekisterinpitäjän, eli Vastaamo-tapauksessa sairaanhoitopiirien, täytyy varmistaa tarvittavien teknisten ja organisatoristen toimenpiteiden avulla, että Vastaamo noudattaa tietosuoja-asetusta.

HUSilla mittavat hankinnat

Esimerkiksi Helsingin ja Uudenmaan sairaanhoitopiiri on ostanut psykoterapiakeskus Vastaamolta yli 730 000 eurolla palveluita lapsille, nuorille ja aikuisille vuosina 2017–2020. Vastaamoon on ohjattu HUSin kautta asiakkaiksi 230 potilasta.

HUSin mukaan kyse on potilaista, joiden maksusitoumuksen voimassaoloaika on alkanut marraskuun 2018 loppuun mennessä.

Itä-Suomen yliopiston julkisoikeuden professori Tomi Voutilainen perehtyi LM:n pyynnöstä sairaanhoitopiirien Vastaamo-sopimuksiin. Sairaanhoitopiirit viittaavat sopimuksissaan Vastaamolle annettaviin ohjeisiin sekä esimerkiksi auditointiin eli yrityksestä tehtävään ulkopuoliseen arviointiin.

HUS on ainoana tässä jutussa käsitellyistä sairaanhoitopiireistä antanut Vastaamolle erikseen ohjeita sopimuskauden aikana. Ohjeita annettiin, kun EU:n tietosuoja-asetus astui voimaan. Voutilainen arvioi, että HUSin antama ohjaus tietojenkäsittelystä Vastaamolle on ollut sopimuskauden aikana riittävää.

Varsinais-Suomen sairaanhoitopiiri (VSSHP) on hankkinut Vastaamolta terapiapalveluita vuodesta 2016 lähtien noin 243 000 eurolla. Maksusitoumuksia on annettu Vastaamoon noin 130 kappaletta. Niistä vain osa on annettu ennen tietomurtoa.

Kanta-Hämeen sairaanhoitopiiriltä Vastaamo on laskuttanut noin 52 313, Pirkanmaan 11 593, Etelä-Pohjanmaan 9 480 ja Pohjois-Pohjanmaan sairaanhoitopiiriltä 7845 euroa.

PSHP:n mukaan sopimuskaudella ei ole annettu Vastaamolle ohjeita "lain, asetuksen ja sopimuksen lisäksi". Sopimuskauden aikana ohjeistusta ei ole annettu myöskään Varsinais-Suomen, Kanta-Hämeen, Etelä-Pohjanmaan tai Pohjois-Pohjanmaan sairaanhoitopiireistä.

PPSHP:n mukaan ohjeet ovat olleet varsinaisen sopimuksen tietosuojaliitteissä. Sairaanhoitopiirin mukaan sen potilaat eivät ole tämän hetkisten tietojen mukaan joutuneet tietomurron kohteeksi.

Myös VSSHP viittaa sopimukseen. Sen mukaan "sopimuskautena ei ole ilmennyt tarpeita erillisiin kirjallisiin ohjeisiin sopimustekstin ja sen liitteiden lisäksi".

"Sopimukset jäävät yleiselle tasolle"

Professori Voutilaisen mukaan sopimuksiin kirjatut yleiset ehdot eivät välttämättä riitä EU:n tietosuoja-asetuksen ja muun lainsäädännön edellyttämiksi ohjeiksi henkilötietojen käsittelyyn.

– HUSin osalta ei ole ongelmia, mutta muiden sairaanhoitopiirien sopimukset jäävät yleiselle tasolle. Miten voidaan sanoa, että henkilötietojen käsittelijä toimii rekisterinpitäjän antamien ohjeiden mukaisesti, jos ohjeita ei ole annettu millään tavoin.

– Tietosuoja-asetus edellyttää, että henkilötietojen käsittelijöiden pitää noudattaa rekisterinpitäjän antamia ohjeita, Voutilainen sanoo.

Mahdollisuus tarkastuksiin

Sairaanhoitopiirit ovat kirjanneet sopimuksiinsa mahdollisuuksia Vastaamoon kohdistuvaan ulkopuoliseen arviointiin, mutta arviointeja ei ole tehty. Varsinais-Suomen sairaanhoitopiirin mukaan auditointeihin ei toistaiseksi ole ollut syytä.

– Käytämme tarkastusmahdollisuutta, jos on mitään syytä epäillä rikkomuksia tai yhteistyön luotettavuutta, kommentoi viestintäjohtaja Maria Roos .

Kanta-Hämeen sairaanhoitopiirillä on ollut oikeus teetättää Vastaamoon esimerkiksi tietoturva-asiantuntijan tarkastus kerran vuodessa, mutta sellaista ei ole tehty.

Pirkanmaan sairaanhoitopiiri on lähettänyt Vastaamoon noin kymmenen potilasta. Auditointioikeutta ei ole käytetty tietohallinnossa, sairaanhoitopiirin viestintäjohtaja Elina Kinnunen viestittää.

Sh-piireille ei kerrottu tietomurrosta

Käytännössä tietosuojavaltuutettu joutuu arvioimaan, ovatko sairaanhoitopiirit rikkoneet tietosuoja-asetusta rekisterinpitäjinä. Sairaanhoitopiirit vakuuttavat noudattaneensa tietosuoja-asetusta. LM ei tavoittanut asiaa hoitavaa apulaistietosuojavaltuutettua.

Sairaanhoitopiireistä kerrotaan, että Vastaamo ei ilmoittanut vuonna 2018 tapahtuneesta tietomurrosta, vaikka lukuisissa sopimuksessa edellytettiin Vastaamoa raportoimaan tietoturvaloukkauksista.

Korvausvastuu tietomurron uhreille jakaantuu Vastaamon ja sairaanhoitopiirien välillä. Ensisijainen vastuu vahingonkorvauksesta on sairaanhoitopiireillä rekisterinpitäjinä, mikäli korvausta ei saada Vastaamolta.

– Rekisterinpitäjä on yhteisvastuussa vahingonkorvauksista Vastaamon kanssa. Jos Vastaamo ei pysty vastaamaan vahingonkorvauksista, niin sairaanhoitopiiri joutuu ne hoitamaan, professori Voutilainen arvioi.

Hänen arvionsa mukaansa kärsimyskorvaukset liikkuvat tietomurtojen osalta 500–2000 euron välillä.

– Kun tietoja on vuodettu sivullisille, korvaus on suurempi, hän sanoo.

Korvauksia voi jo hakea

Vastaamo-tapauksesta on tehty poliisille yli 25 000 rikosilmoitusta. Jos sairaanhoitopiirien Vastaamo-potilaiden lisäksi kaikki muut asiakkaat hakisivat 1 000 euron korvausta Vastaamolta, korvaussumma nousisi yli 25 miljoonaan euroon.

Näin mittava korvausvastuu ajaisi Vastaamon todennäköisesti vakaviin talousvaikeuksiin. Yhtiön liikevaihto oli vuonna 2019 päättyneellä tilikaudella 13,9 miljoonaa euroa ja tilikauden tulos oli yli 400 000 euroa tappiollinen.

Huomionarvoista on, että mahdollista kärsimyskorvauksen hakemista ei ole sidottu rikosprosessiin. Keskusrikospoliisin esitutkinta Vastaamosta voi kestää jopa vuosia ja tekijä ei selviä välttämättä koskaan.

Tietomurron uhrit voivat kuitenkin hakea korvauksia jo nyt suoraan Vastaamolta tai vaihtoehtoisesti odottaa, että tietosuojavaltuutettu käsittelee tapauksen tietosuoja-asetuksen mahdollisen rikkomisen osalta.

Toimitus ei tavoittanut Vastaamon hallituksen puheenjohtajaa ja vt. toimitusjohtajaa Heini Pirttijärveä . Yrityksen viestintä kuitenkin vastasi sähköpostilla kysymyksiin korvausvastuusta ja tietosuoja-asetusten noudattamisesta.

– Vastaamo hyvittää tietomurron kohteeksi joutuneille Asiakastiedon turvapalveluita yhdeksi vuodeksi. Valitettavasti emme selvitysten ja tutkinnan tässä vaiheessa pysty ottamaan kantaa muihin korvausvastuisiin. Olemme poliisin ohjeen mukaan kehottaneet asiaa tiedustelevia, tietomurron ja kiristyksen kohteina olleita asiakkaita tekemään rikosilmoituksen asianomistajina. Lisäksi kehotamme säilyttämään kaikki tapahtunutta koskevat tiedot, dokumentit ja kuitit tapahtumien myöhempää mahdollista oikeuskäsittelyä varten, yritys toteaa.

Vastaamo lisää, että tietosuojan toteutumisen osalta selvitykset tietosuojavaltuutetun toimiston kanssa ovat kesken.

"Hyvätkään sopimukset itsessään eivät tietoturvaa ratkaise"

Sairaanhoitopiirien suhtautuminen mahdolliseen vahingonkorvausten maksamiseen vaihtelee. Varsinais-Suomen sairaanhoitopiirin tämän hetken arvion mukaan tietomurron uhrit eivät saa piiriltä korvauksia.

– Olemme huolestuneita ja hyvin pahoillamme, että näin vakava henkilötietoihin kohdistunut rikos on voinut tapahtua. Tämänhetkisen käsityksemme mukaisesti sairaanhoitopiirille ei tässä muodostu perustetta vahingonkorvauksiin rikoksen uhriksi joutuneille, viestintäjohtaja Roos kommentoi sähköpostitse.

HUSin mukaan korvausasiaan ei oteta kantaa esitutkinnan ollessa kesken. Pirkanmaalla PSHP:ssa ei ole tehty viestinnän mukaan "ennakoivasti linjauksia mahdollisissa korvauskysymyksissä".

Kanta-Hämeen sairaanhoitopiirin mukaan lain mukainen vastuu kannetaan, mutta piirillä ei ole tapahtuneesta vielä riittävästi tietoa, jotta asiaa voitaisiin arvioida yksittäisen potilaan kannalta. Etelä-Pohjanmaa (EPSHP:n) mukaan vahingonkorvauksesta keskustellaan tarvittaessa asiakkaan kanssa.

Uusien asiakkaiden lähettäminen Vastaamoon on keskeytetty kaikissa tässä jutussa käsitellyissä sairaanhoitopiireissä.

– Sopimukset ovat edelleen voimassa, mutta emme ole ohjanneet enää potilaita Vastaamoon. Hyvätkään sopimukset itsessään eivät tietoturvaa valitettavasti ratkaise, kommentoi sähköpostitse Husin toimitusjohtaja Juha Tuominen .

Pirkanmaalla sairaanhoitopiirin palvelusopimuksia on tarkoitus käydä läpi. PSHP:n johtaja Tarmo Martikaisen mukaan sairaanhoitopiiri selvittää kaikki hoidolliset palvelusopimuksensa ja pyrkii päivittämään ne tarvittaessa mahdollisimman nopeasti.

Sekava sääntely

Professori Tomi Voutilainen kuvaa terveydenhuollon tietojärjestelmiä koskevaa sääntelyä niin sekavaksi, että aina ei ole selvää, mitä ohjeita on milloinkin noudatettava.

– Varmasti on epätietoisuutta. Tällä hetkellä yhteensä 25 lakia vaikuttaa potilas- ja asiakastietojen käsittelyyn.

– Tämä (sääntely) muodostaa kokonaisuuden, josta esimerkiksi keskiverto hallintoylilääkäri ei ota mitään tolkkua, että miten näitä säädöksiä noudatetaan ja missä järjestyksessä, Voutilainen sanoo.

Hänen mukaansa sekava sääntelyjärjestelmä on myös Vastaamo-tapauksen taustalla.

– Vastuut ovat puuroutuneet potilastietojen käsittelyssä eri toimijoille. Tämä on yksi syy siihen, miksi Vastaamo-tapaus sattui. Tapaus ei ollut pelkästään Vastaamosta kiinni, vaan siihen vaikutti myös potilastietojen käsittelyyn luotu sekava systeemi muun muassa viranomaisvalvonnan ja laintulkinnan osalta, Voutilainen sanoo.