Arkaluonteisten tietojen urkinta

Helsingin sanomat uutisoi 20.7.2011 aiheesta potilastietojen urkinta. Jutun otsikkona oli ”Hoitohenkilökunta urkkii potilastietoja viikottain”.

Aihe liittyy vahvasti tietoturvaan ja tietosuojaan, joten uutista on hyvä käyttää esimerkkitapauksena.

Otteita uutisesta (Lähde: Helsingin sanomat, kts yllä mainittu linkki.):

  • Viikkoa aikaisemmin YLE Uutiset kertoi määräaikaisessa työsuhteessa olleen toimistotyöntekijän urkkineen neljän kuukauden aikana 188 henkilön potilastietoja.
  • HS:n jutussa on lausuntoja mm. tietosuojavaltuutettu Reijo Aarniolta, joka komentoi aihetta kertomalla että aiheeseen liittyviä ”–lausuntypyyntöjä tulee 40-50 vuodessa”.
  • Aarnio kertoo myös että ”Määrä on tasaisesti kasvussa, mikä on ikävä juttu.”
  • ”Helsingin kaupungin sairaaloissa potilaan tietoja katsotaan luvatta muutamia kertoja vuodessa, sanoo hallintolakimies Joni Komulainen.”
  • ”Hänen mukaansa kyse on usein ajattelemattomuudesta”.
  • Urkinnan estämiseksi tehdään kaikki mahdollinen, Komulainen sanoo: henkilöstöä koulutetaan ja väärinkäytöksiä valvotaan pistokokein.
  • ”Tietoturva on muutamassa vuosikymmenessä huomattavasti parantunut”, sanoo Markus Henriksson Valvirasta. ”Ennen oli paperiset potilasasiakirjat kärryissä osastolla, ja niitä selattiin aika huolettomasti. Nyt asiakirjan käsittelystä jää aina jälki järjestelmään.”

 

Aiheen käsittelyä tietoturvan ja tietosuojan näkökulmasta

Kuten uutisessakin jo mainitaan, niin arkaluonteisten tietojen muuttaminen sähköisiksi/digitaalisiksi on parantanut tietoturvaa. Sähköiset materiaalit tuo kuitenkin mukanaan omia haasteita:

  • Onko myös digitaaliset materiaalit lajiteltu tietoaineiston tärkeyden mukaan?
  • Miten digitaalisten materiaalien käyttöoikeudet on asetettu ja miten niitä hallitaan?
  • Miten digitaalisten materiaalien käyttöä valvotaan?
  • Kuka valvoo valvojia?
  • Onko sähköiset materiaalit varmuuskopioitu?
  • Miten varmuuskopiot on suojattu ulkopuolisten pääsyltä?

Hyvässä tietojärjestelmässä kaikista tapahtumista jää merkintä lokiin. Aiheesta voi etsiä lisätietoa vaikkapa hakusanoilla ”audit log” tai ”audit trail”.

Uutisessa mainitaan myös se, että henkilöstöä koulutetaan ja pistokokeita tehdään.

  • Onko käyttäjän mielenkiinto kuitenkin niin suuri, että se voittaa kiinnijäämisen pelon?
  • Miten teidän yrityksessä varmistetaan työntekijän motivoituneisuus toimia oikein?

 

Pohdi asioita oman yrityksesi kannalta!