Helsingin ja Uudenmaan sairaanhoitopiirissä (HUS) on paljastunut kaksi merkittävää tietoturvaloukkausta, joissa työntekijät katselivat luvatta yhteensä satojen henkilöiden tietoja. Tapaukset tulivat ilmi HUSin omavalvonnassa, ja kummankin työntekijän työsuhde on päättynyt. Tietoturvaloukkaus tapahtui vuosina 2023–2024.
Ensimmäisessä tapauksessa hammashoitajana ja osastonsihteerinä työskennellyt henkilö tarkasteli perusteettomasti ainakin 430 henkilön tietoja. Suurin osa tapauksista koski henkilötietoja, kuten nimiä, henkilötunnuksia ja yhteystietoja, mutta noin 50 henkilön kohdalla katselu ulottui potilastietoihin.
Toisessa tapauksessa lähihoitajana työskennellyt henkilö tarkasteli perusteetta yli tuhannen henkilön perustietoja. Molemmissa tapauksissa tietojen luvaton käsittely kohdistui niin HUSissa hoidettuihin henkilöihin kuin sellaisiin, joilla ei ollut hoitosuhdetta organisaatioon. Osassa tapauksia kohteena olivat myös julkisuuden henkilöt.
Tietoturvaloukkauksista on ilmoitettu tietosuojavaltuutetulle, ja HUS on tehnyt tapauksiin liittyen tutkintapyynnöt poliisille. Tällä hetkellä ei ole viitteitä siitä, että tietoja olisi luovutettu eteenpäin. HUSin mukaan loukkausten selvitys on pääosin valmis, mutta kohteeksi joutuneiden määrä saattaa vielä hieman kasvaa.
HUS tiedottaa tietoturvaloukkauksen kohteeksi joutuneita kirjeitse. Ilmoituksessa kerrotaan tarkemmin tapahtuneesta, tarjotaan lisätietoa ja annetaan toimintaohjeita. HUS korostaa sitoutuneensa tietoturvan ja tietosuojan kehittämiseen estääkseen vastaavat tapaukset jatkossa.
Tietoturvaloukkaukset nostavat esiin jälleen kysymyksiä terveydenhuollon tietojärjestelmien valvonnasta ja henkilökunnan tietoturvatietoisuudesta. Tietojen luvaton käsittely vaarantaa potilaiden luottamuksen järjestelmään, ja tilanteen vakavuus korostaa tarvetta vahvistaa valvontakäytäntöjä.
Teksti: Joni Hildén
Kuva: HUS