​Nixu: Terveystietojen tietoturvaa auditoidaan kevyemmin kuin luottokorttitietojen


Vastaamon tapaus on osoittanut, että nyt tulisi pohtia, miten terveystietojen tietoturvaa auditoidaan, ja verrata auditointia muiden toimialojen tietoturvavaatimuksiin ja auditointikäytäntöihin, peräänkuuluttaa tietoturvayhtiö Nixu.

Terveystietojen tietoturvavaatimusten vertailupohjaksi voisi Nixun mukaan ottaa maksukorttiturvaan liittyvät standardit ja viranomaisen turvaluokitellun tiedon suojaukseen liittyvät kriteeristöt. Näitä tietoturvakriteeristöjä yhdistää se, että niiden tehtävä on suojata luottamuksellista tietoa.


Terveystietoa käsittelevät tietojärjestelmät on jaettu A- ja B-luokan järjestelmiin. A-luokan järjestelmät liittyvät Kelan hallinnoimaan kansalliseen terveysarkistoon, eli Kantaan. B-luokan järjestelmät toimivat paikallisesti.


A-luokan järjestelmille on THL:n määrittelemät tietoturvavaatimukset, mutta B-luokan järjestelmille ei ole pakollista tietoturvatarkastusta. Sen sijaan palvelutuottaja joutuu tekemään omavalvontasuunnitelman tietoturvan osalta.
Vastaamon järjestelmä on kuulunut B-luokkaan.