Tieto vuotaa ja luottamus horjuu – Case Psykoterapiakeskus Vastaamon tietomurto
Kun potilasdataa vuotaa, on sillä vaikutuksensa koko sosiaali- ja terveydenhuollon luottamukseen. Mielikuva yksityisten hyvin henkilökohtaisten, kipeiden ja haavoittavien asioiden päätymisestä muiden silmille säikäyttää helposti sellaisenkin, joka ei Psykoterapiakeskus Vastaamon asiakkaisiin kuulu. ”Jos tällaista voi tapahtua yhdelle firmalle, niin miksei sitten toisellekin?” kysyy mieli. On vaikeaa luottaa siihen, että potilastiedot ovat turvassa muissakaan järjestelmissä. Vastaamossa epäilty ongelmien peittely ja tiedon pimittäminen, josta on laajalti uutisoitu, pahentaa toki tilannetta entisestään. Tällainen toiminta tai sen epäily kasvattaa luottamuksen rakoilua niin alan toimijoihin kuin yhteiskunnan kykyyn suojata sellaista ilmeisen haavoittuvaa ihmisryhmää, joka ei millään tavoin pyri voiton maksimointiin, vaan lähinnä jonkinlaisen hyvän elämän mahdollisuuteen kuntoutuspalveluja käyttämällä. Samalla kolauksensa saa usko eri tietojärjestelmien turvallisuuteen ja datan salassa pysymiseen, ehkä osin syystäkin.
Tutkiessani tekoälyn hyödyntämistä kuntoutuksessa yksityisyyden suojan ja tietoturvan riittävyys sekä tiedon rikollinen käyttö luonnollisesti nousivat esiin keskeisinä haasteina. Myös avoimuus, osaaminen ja pätevyys sekä luottamuksen muodostuminen koko toimijakentässä linkittyivät vahvasti eettiseen tekoälyn hyödyntämiseen. Nämä kaikki tekijät ja niihin liittyvät ongelmat ovat tunnistettavissa myös Vastaamon tapauksessa.
Hakkerointi ei maailmasta poistu, eivätkä varmasti onnistuneet tietomurrotkaan. Seurauksia tietojen vuotaessa koituu niin yksilöille, saman alan yrittäjille kuin koko yhteiskunnallekin. Kunkin tahon kohdalla vaaditaan iso työ, jotta luottamus voidaan palauttaa (jos voidaan). Uutisoinnin ja avoimen keskustelun kautta tieto ja epäilykset leviävät laajalle harmeja ja epäluottamusta aiheuttaen. Samalla tietenkin annetaan näkyvyyttä myös tietomurron toteuttaneelle rikolliselle, joka sitä kenties toivookin. Myös eräisiin mielenterveyden häiriöihin ja sairauksiin liittyvä vainoharhaisuus voi asian laajan esillä olon myötä saada vettä myllyynsä. Silti avoimuutta toki tarvitaan. Syyllistä kaivetaan esiin ja yhtiön toimintatapojakin kyseenalaistetaan eri näkökulmista. Eettisyyteen törmätään joka suunnilla: mikä on (riittävän) oikein, mikä (selvästi) väärin?
Kyse on myös kollektiivisen tason haasteesta. Tällä kertaa ulos ei valunut yrityssalaisuuksia tai muuta rahassa mitattavaa tietoa, vaan suojassa pidettäväksi tarkoitettua arkaluontoista tietoa yksityisistä ihmisistä. Tämä ei ole vain yrityksen asia, tämä on koko yhteiskunnan asia. Kenen pitäisi huolehtia siitä, ettei näin pääse käymään? Henkilötietoja käsitellessä toimijan (esim. yrityksen) on arvioitava riskejä ja ennaltaehkäisevien toimenpiteiden riittävyyttä jatkuvasti sekä tehtävä tarvittavat päivitykset. Suomessa toimiva valvontaviranomainen, tietosuojavaltuutetun toimisto, ohjeistaa yleisen tietosuoja-asetuksen (GDPR) pohjalta ilmoittamaan 72 tunnin kuluessa henkilötietojen tietoturvaloukkauksesta valvontaviranomaiselle, jos loukkauksesta voi aiheutua riski luonnollisten henkilöiden oikeuksille ja vapauksille. Lisäksi sosiaali- ja terveysministeriön alaisena toimiva keskusvirasto Valvira valvoo sosiaali- ja terveydenhuollon asiakas- ja potilastietojen käsittelyyn tarkoitettujen tietojärjestelmien olennaisten vaatimusten toteutumista taustallaan Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) sekä Terveyden ja hyvinvoinnin laitoksen määräykset. Valviralla on myös oikeus tehdä valvonnan edellyttämiä tarkastuksia. Mikseivät järjestelmän heikkoudet siis tulleet ilmi jo ennen riskin toteutumista? Helsingin Sanomien Talous-osaston uutisessa (27.10.2020) haastateltu Valviran terveydenhuollon tietojärjestelmistä vastaava Antti Härkönen toteaa, että käytännössä ennakoiva ja säännönmukainen valvonta puuttuu niistä järjestelmistä, jotka eivät suoraan liity Kantaan. Härkösen mukaan tällaisia järjestelmiä käyttää 260 toimijaa (Vastaamo mukaan lukien) ja hän itse on näiden ainoa valvoja. Tästä on melko helppo päätellä resurssin riittämättömyys valvontaan. On luotettava siihen, että yritykset tekevät itsekin kaikkensa estääkseen tietojen vuotamisen.
Dataa on toki sosiaali- ja terveydenhuollossa ehdottoman tärkeää kerätä, sillä se mahdollistaa koko palvelun laadun arvioinnin ja ylipäätään prosessien toiminnan. Käsinkin psykoterapiasta saa muistiinpanoja yhä tehdä, mutta tällöin aineiston analyysi ja tiedon linkitys on hankalaa. Toisaalta näin vältettäisiin koko datavuotoriski. Milloin datan sähköisen keräämisen hyödyt ylittävät haitat, vai voiko tällaista vertailua edes nykymaailmassa tehdä? Keskustelua, ymmärrystä ja näkemyksiä asioihin tarvitaan monelta suunnalta.
Ihmisten kasvanut huoli ja luottamuksen menetys eivät tässäkään tapauksessa automaattisesti ilmene yhteydenottoina sosiaali- ja terveysalan toimijoihin. Luottamuksen menetys voi loogisesti ajateltuna ennemminkin näyttäytyä juuri yhteydenottojen (ja pahimmillaan myös vastaanottokäyntien) välttämisenä. Ihminen saattaa myös voimattomana hyväksyä asioiden laidan: jotta palvelua saa, on itsestään luovutettava tietoa – ”minkäs mahdat”. Todennäköisemmin tiedolla vielä saavuttaa hyötyä kuin haittaa.
Tavallisen kansalaisen (tällaisen tutkijanplantunkin) on mahdotonta tietää, milloin jonkin yrityksen tietoturva on rakennettu mahdollisimman korkeaksi esim. riittävin verkon salauksien ja käyttäjätunnistuksin tai minkä yrityksen työntekijöitä on riittävästi koulutettu järjestelmään. Tässä on luotettava organisaatioihin ja yhteiskunnan valvovaan silmään, eikä sitä luottamusta ei ole mukava menettää. Kanta-palvelujen tietosuojan ja -turvan pääpiirteet on onneksi avattu selkeästi, ja ainakin itse koulutukset ja käyttöopastukset käyneenä voin palvelun tietosuojaan luottaa.
Jokaisen yrityksen ja organisaation haasteena on pysyä teknologisen kehityksen matkassa ja saada asianmukainen tietoturva kuntoon. Tuntuu, että osaamista ja ymmärrystä tarvitaan rutkasti jo siihen, että oikeanlaista osaamista edes osaa ostaa ulkopuolelta. Toisaalta tietämättömyyteen ei turvallisuusasioissa voi vedota. Jos omaa toimintaa (ja sen eettisyyttä) ei säännöllisesti arvioida kriittisin silmin – tunnisteta epäkohtia, puutteita ja haasteita – sekä opita ennakoimaan ja minimoimaan riskejä, tulevat asiat aina vastaan enemmän tai vähemmän yllättävinä ja koko toiminnan sotkevina häiriöinä.
Opiksi on siis otettava ja maailma saatava tässäkin paremmaksi. Siihen asti (ja sen jälkeenkin) seuraukset kohdataan yhdessä.
Blogin kirjoittaja Senior Scientist Marinka Lanne työskentelee VTT:llä ja ETAIROS-tutkimushankkeessa hän tarkastelee erityisesti teköälyn eettistä hyödyntämistä sosiaali- ja terveyspalveluissa.