Etelä-Karjalan hyvinvointialue (EKHVA) havaitsi järjestelmätoimittajiensa kanssa teknisen tietoturvapoikkeaman Toimintakykymobiilissaan.
Omavalvonnassa havaittu tietoturva-aukko on mahdollistanut sen, että ulkopuolisilla tahoilla on voinut olla pääsy salassa pidettäviin henkilötietoihin (nimi, henkilötunnus ja toimintakyky).
EKHVAlla ei ole tiedossa yhtään tästä johtuvaa tietoturvarikkomusta.
Tietoturvariskin aika vajaa viisi vuotta
Toimintakykymobiili on vuosi sitten aloittaneen EKHVAn edeltäjän eli Etelä-Karjalan sosiaali- ja terveyspiirin (Eksote) 2018 käyttöönottama sovellus, johon ammattilaisen toimesta on arvioitu ja kirjattu laaja-alaisesti asiakkaan toimintakykyä ja avun tarvetta.
Toimintakykymobiilia on käytetty erityisesti ikääntyneiden palvelujen, muistiasiakkaiden sekä koti- ja osastokuntoutuksen tarvearvioinnissa sekä vähäisessä määrässä myös muissa rajatuissa asiakasryhmissä.
Tietoturvariski kohdentui ajanjaksolle 6.11.2018 − 29.9.2023. Tuona aikana sovellusta hyödynnettiin yhteensä 11 563 eteläkarjalaisen asiakkaan, pääasiassa ikäihmisen arviointiin. Tietoturvariski koskee vain tätä ryhmää, ei muita EKHVAn asiakkaita.
-Tämä selvisi omavalvonnassamme eikä tietovarkauksia ole meidän selvitystemme perusteella tapahtunut, vaikuttavuus- ja tietojohtaja Juuso Tamminen toteaa.
Tämän omavalvonnan yhteydessä havaittiin myös erään toiminnanohjausjärjestelmän käyttöön liittyviä puutteita henkilötietojen käsittelyssä. Tämä järjestelmä on ainoastaan ammattilaisten sisäisessä käytössä oleva ohjelma, jossa käsitellään potilaiden siirtoa ja palvelutarvetta. Ulkopuolisilla tahoilla ei ole pääsyä tähän järjestelmään. Korjaavat toimenpiteet ja selvitykset tämänkin osalta on käynnistetty syksyllä ja jatkuvat edelleen. Tästä havainnosta on ilmoitettu tietosuojavaltuutetun toimistoon.
Ilmoitus tietosuojavaltuutetulle
Havaittu tietoturva-aukko korjattiin välittömästi syyskuussa, kun epäilys tietoturvariskistä heräsi.
− Olemme pystyneet jäljittämään sovelluksen loki- eli käyttötiedot syyskuusta 2022 nykyhetkeen saakka. Tänä aikana yhdenkään asiakkaan tietoja ei ole tarkasteltu luvatta. Valitettavasti tätä vanhempia lokitietoja ei ole enää saatavilla, joten emme voi olla varmoja, ettei tietoturvaloukkauksia ole tapahtunut aiempina vuosina, vaikkakaan mitään viitteitä tästä ei ole, hyvinvointialueen johtaja Sally Leskinen sanoo.
EKHVA teki laajamittaisen tietoturvariskiarvion, jonka seurauksena marraskuussa todettiin tarve tehdä ilmoitus tietosuojavaltuutetun toimistolle ja pyydettiin ohjausta tarvittavista toimenpiteistä. Tammikuussa ilmoitusta vielä täydennettiin kahdesti tietosuojavaltuutetun pyynnöstä. Päätös asiasta apulaistietosuojavaltuutetulta saatiin 6.2. Siinä määrättiin EKHVAa tiedottamaan korjatusta Toimintakykymobiili-sovelluksen tietoturvariskistä asianosaisille.
Koska asianosaisia on merkittävä määrä, tiedottaminen tapahtuu hyvinvointialueen eri julkaisukanavien ja median kautta sekä asiakaskohtaamisissa.
Keskusteluapua tarjolla
Paljastunut tietoturvariski saattaa aiheuttaa hämmennystä toimintakykyarviointiin osallistuneiden asiakkaiden keskuudessa.
EKHVA järjestää heille mahdollisuuden kysymyksille torstaina 8.2. klo 14.30–16, perjantaina 9.2. klo 8–10 ja klo 11–15 sekä ensi viikolla maanantaina torstaihin (12.–15.2.) klo 14–16. Kysyjät voivat soittaa kyseisinä aikoina numeroon 040 127 4128.
− Jos asia huolettaa, kannattaa ehdottomasti soittaa, Leskinen korostaa.
Lisätietoa medialle
Sally Leskinen, hyvinvointialuejohtaja
[email protected]
p. 040 638 6436
Juuso Tamminen, vaikuttavuus- ja tietojohtaja
[email protected]
p. 040 194 7370
Neuvoja, jos epäilet omien tietojesi vuotaneen
Linkit, joista saat lisätietoa:
- Jos joudut tietoturvaloukkauksen kohteeksi
- Miten toimia, jos tietojani on vuodettu verkkoon
- Henkilötietojani on viety tai vuotanut / suomi.fi
- Ohjeet rikosilmoituksen tekemiseen
- Etelä-Karjalan hyvinvointialueen tietosuojavastaavan yhteystiedot:
Jaana Peltola, tietosuojavastaava
[email protected]
p. 040 651 1974