Hyvinvointialueen tietoturvasuunnitelman puuttuminen

Apulaisoikeuskansleri antoi Varsinais-Suomen hyvinvointialueelle ja Lounais-Suomen aluehallintovirastolle huomautukset vastaisen varalle.

Apulaisoikeuskanslerin laillisuusvalvontakäynnillä kävi ilmi, ettei hyvinvointialueella ollut siltä asiakastietolaissa edellytettyä valmista tietoturvasuunnitelmaa. Aluehallintovirasto ei ollut ryhtynyt ohjaus- tai valvontatoimiin saatuaan asiasta tiedon. Apulaisoikeuskansleri otti tietoturvasuunnitelman puuttumisen sekä sen laatimista koskevan valvonnan omana aloitteena tutkittavakseen. 

Hyvinvointialue vetosi siihen, ettei sen ollut tietojärjestelmä- ja tietoverkkomuutosten vuoksi tarkoituksenmukaista rakentaa perusteellisempaa tietoturvasuunnitelmaa vanhojen tietojärjestelmien pohjalle ja tilanne oli tästä syystä keskeneräinen. Aluehallintoviraston mukaan tieto hyvinvointialueen tietoturvasuunnitelman puuttumisesta oli tullut yksittäisten virkamiesten tietoon eri yhteyksissä, mutta mahdollista ohjausta ei ollut kirjattu asianhallintajärjestelmään. Hyvinvointialue ei ollut tehnyt asiasta lain mukaista ilmoitusta, eikä aluehallintovirasto ollut aloittanut asiaan liittyvää valvonta-asiaa oma-aloitteisesti.

Apulaisoikeuskansleri totesi, ettei tietoturvasuunnitelman puuttuminen voinut johtua tietämättömyydestä velvoitteen sisällöstä. Velvollisuudesta on säädetty laissa ja se on yksiselitteinen. Tietoturvasuunnitelma auttaa hallitsemaan digitaaliseen turvallisuuteen liittyviä riskejä, jotka ovat vakavia. Pahimmillaan puutteelliset tietoturvakäytännöt voivat johtaa arkaluonteisiin tietoihin kohdistuviin tietomurtoihin, jotka voivat koskea laajoja asiakas- ja potilasjoukkoja. Tietomurrot ovat silloin erityisen vahingollisia ja voivat aiheuttaa muun muassa henkilötietojen väärinkäyttöä, kiristämistä ja identiteettivarkauksia. Koska tietoturvasuunnitelma ei ole julkinen asiakirja, hyvinvointialueen asukkailla tai ulkopuolisella valvonnalla ei ole mahdollisuutta havaita kyseistä puutetta. Hyvinvointialueella on tämänkin vuoksi poikkeuksellisen suuri vastuu, koska tietoturvasuunnitelman noudattaminen on jätetty lainsäädännössä korostetusti hyvinvointialueen omavalvonnan varaan. Viiveet organisaation järjestäytymisessä eivät myöskään poista tietoturvallisuuteen liittyviä riskejä tai tee niistä vähäisempiä hyvinvointialueen asiakkaiden kannalta. Lakia on noudatettava kaikissa olosuhteissa.

Apulaisoikeuskanslerin mukaan suunnitelman puuttumisessa on ollut kyse sellaisesta asiakas-ja potilasturvallisuutta olennaisesti vaarantavasta epäkohdasta, josta saadun ilmoituksen perusteella aluehallintoviraston olisi tullut ryhtyä toimenpiteisiin.

Apulaisoikeuskansleri pyysi aluehallintovirastoa ilmoittamaan viimeistään 16.5.2025, mihin toimiin se on ryhtynyt valvoakseen, että hyvinvointialue täyttää tietoturvasuunnitelman laatimista koskevan velvoitteensa sekä huolehtii ja varmistaa ajankohtaisesti asiakas- ja potilastietojen tietoturvallisen käsittelyn.