Husin työntekijöiden epäillyt tietoturvaloukkaukset ovat tulleet ilmi Husin potilaiden ja henkilöstön tekemistä lokitietopyynnöistä.
Asia ilmenee Husin tietosuojavaltuutetun toimistolle tekemistä tietoturvaloukkausilmoituksista, joiden julkiset versiot STT sai tietopyynnöllä. Ilmoitusten mukaan Hus alkoi selvittää henkilötietojen käyttöä lokipyyntöjen yhteydessä tarkemmin.
Aiemmin Hus on kertonut, että epäillyt tietoturvaloukkaukset ovat tulleet ilmi Husin omavalvonnassa. Hallintoylilääkäri Teppo Heikkilä ei kommentoi tarkemmin Husin käyttämiä menetelmiä julkisuudessa.
– Potilaiden tekemien lokipyyntöjen selvittely ja siihen liittyvät menettelyt ovat yksi osa meidän omavalvontaamme, Heikkilä sanoo STT:lle.
Hus vastaa erikoissairaanhoidon järjestämisestä Uudellamaalla.
Yli 1 000 luvatonta katselua
Hus kertoi elokuussa, että kolmen sen työntekijän epäillään katsoneen luvatta tietoja Husin potilastietojärjestelmästä Apotista. Aiemmin keväällä Hus kertoi tietoturvaloukkauksesta, jota keskusrikospoliisi (KRP) tutkii tietosuojarikoksena. Sitä koskeva esitutkinta on KRP:n tutkinnanjohtajan Tiia Grönbergin mukaan edelleen kesken.
Husin huhtikuisen tiedotteen mukaan KRP:n tutkintaan johtaneessa jutussa on kyse reskontrahoitajan epäillyistä tietoturvaloukkauksista.
Hus on huhti–elokuussa tehnyt tietosuojavaltuutetulle viisi ilmoitusta tahallisista tietoturvaloukkauksista kolmesta eri tapauksesta. Heikkilän mukaan Hus on kertonut julkisuuteen kaikista sen tietoon tulleista laajoista tietoturvaloukkauksista.
Tietosuojailmoitusten perusteella ainakin noin 1 100 ihmisen tietoja on katsottu luvattomasti. Tapauksista suurimmassa epäiltyjä loukattuja on tietosuojailmoitusten perusteella lähes tuhat.
Heikkilän keskiviikkona Ylelle kertoman mukaan kahdessa pienemmässä tapauksessa epäiltyjä uhreja on yhteensä noin 450. Hän vahvistaa luvut STT:lle.
Laajimmassa jutussa on Husin tietosuojavaltuutetulle toimittaman aineiston mukaan kyse siitä, että sen entisen työntekijän epäillään katsoneen Apotista kaikkiaan 975 potilaan tietoja ilman, että rekisterin käyttö liittyy hänen työhönsä. Tietosuojaloukkausta alettiin Husin mukaan tutkia sen jälkeen, kun eräs potilas oli tehnyt lokitietopyynnön.
Kyseinen työntekijä oli Husissa töissä huhtikuusta 2021 joulukuun 2021 loppuun eli yhdeksän kuukauden ajan. Työntekijä on Husin mukaan katsonut Apotin Identity-näkymää, josta ilmenee potilaan henkilö- ja osoitetiedot sekä se, onko kyseinen ihminen parhaillaan kirjautuneena johonkin Husin sairaalaan.
Potilaskertomuksia hänen ei epäillä aiheetta katsoneen, eikä työntekijän epäillä levittäneen tietoja eteenpäin.
Epäily: Lähihoitaja katsoi sairaanhoitajan perheen terveystietoja
Pienemmissäkin tapauksissa epäillyt tietoturvaloukkaukset tulivat ilmi lokitietopyynnöistä. Erään lähihoitajan epäilty tietoturvaloukkaus tuli ilmi sen jälkeen, kun Husin oma sairaanhoitaja teki itsestään lokitietopyynnön. Pyynnön selvittelyssä kävi toukokuussa 2023 ilmi, että Husissa työskennellyt lähihoitaja myönsi katsoneensa sairaanhoitajan ja tämän lasten tietoja luvatta. Husissa alettiin myös tämän seurauksena tutkia loukkauksen laajuutta.
Vastaavasti Husissa lokakuusta 2020 elokuun 2021 alkuun työskennelleen osastosihteerin epäillään tietosuojailmoitusten perusteella katsoneen 123 potilaan tietoja luvatta. Määräaikaisen pestinsä jälkeen osastosihteeri teki vielä keikkoja vuokratyöntekijänä vuoden 2021 lopussa.
STT:n tiedossa ei ole, onko jokin ilmoituksissa mainituista tapauksista se, joka on KRP:n esitutkinnassa. Poliisi on aiemmin kertonut STT:lle, että osa epäiltyjen tietoturvaloukkausten uhreista on itse tehnyt poliisilla tutkintapyyntöjä.
– Arvioimme tutkintapyynnön tekemistä poliisille tapauksittain. Osa rikoslaissa säädetyistä tieto- ja viestintärikoksista on lähtökohtaisesti asianomistajarikoksia, kertoo Heikkilä.
Hus on neuvonut ihmisiä tekemään halutessaan tutkintapyyntöjä loukkausten vuoksi, ja Heikkilän mukaan Hus on yhteydessä kaikkiin epäiltyjen loukkausten uhreihin.
Hallintoylilääkäri Heikkilä kertoo, että väärinkäyttöepäilyt ovat osaltaan vauhdittaneet Husin tietosuojakäytäntöjä. Hänen mukaansa käytäntöjä ja henkilöstölle annettavaa koulutusta on jo kehitetty.
– Nämä ovat antaneet aihetta tarkastella myös omaa toimintaamme. Otamme näistä tapauksista opiksemme.
