Hoppa till huvudinnehåll

Inrikes

Valvira har inte resurser för regelbunden koll av Vastaamo och övriga vårdföretag: "Tyngdpunkten är på egenkontroll"

Från 2020
Valviras överdirektör Markus Henriksson
Bildtext Valviras överdirektör Markus Henriksson tycker att man måste granska lagstiftningen om datasäkerhet vid patientuppgifter och vid behov förnya lagen.
Bild: Petteri Sopanen / Yle

De läckta patientjournalerna från psykoterapicentret Vastaamo har väckt många frågor om hur privata hälso- och sjukvårdsföretags datasystem för patient- och klientuppgifter övervakas.

Valvira övervakar Vastaamo och övriga företags patientdatasystem men tyngdpunkten är på egenkontroll

2:40

I Finland är det tillstånds- och tillsynsverket för social- och hälsovården, Valvira, som övervakar vårdföretagens patientdatasystem.

Valviras överdirektör Markus Henriksson säger att alla typer av vårdföretag och organisationer måste registrera sig och sina datasystem.

– Privata och offentliga organisationer måste registrera sig och sitt patientdatasystem och sedan granskar vi dem.

Då en anmälan om att ett bolag startar lämnas in, granskar Valvira hur dataskyddet är planerat. Företag ska även själva lämna in en plan på hur de kontrollerar datasäkerheten.

Kraven på datasystemen varierar. Enligt lagen delas datasystem in i två klasser: A och B. De system som är kopplade till patientdatasystemet Kanta klassas som A och har även högre krav på datasäkerhet.

Ingen regelbunden kontroll av företagen

Eftersom Vastaamos datasystem inte är kopplat till Kanta klassas de som typ B. Enligt Henriksson har Valvira inte tillräckligt med resurser för att övervaka alla serviceproducenter i B-klassen.

– Vi har inte haft resurser att göra proaktiva inspektionsbesök till alla producenter. Däremot granskar vi de felanmälningar som kommer in.

I praktiken betyder det här att de företag som hör till B-klassen inte alls övervakas ifall inga problem uppstår eller anmälningar om fel görs.

– Tyngdpunkten då det gäller ansvar för datasäkerhet har varit på egenkontroll. Det är varje företags eget ansvar att själva granska sina system och se till att de är tillräckligt säkra. Myndigheterna kommer aldrig att ha så mycket resurser att de skulle kunna ta på sig huvudansvaret för det, även om vi såklart behöver mer resurser till övervakning.

Dataläckan från Vastaamo visar ändå att datasäkerheten varit otillräcklig.

Henriksson säger att man nu måste granska ifall lagstiftningen borde ändras då de handlar om hur olika datasystem övervakas.

– Vi måste utreda och undersöka det här fallet noggrant och sen överväga ifall det behövs förändringar i lagstiftningen och i det sätt vi övervakar olika organisationer och företag.

Läs också

Psykoterapiakeskus Vastaamo Oy.n toimitusjohtaja Ville Tapio, Mannerheimintie 12 B, 02.12.2016.

Vastaamos grundare och vd får sparken: "Jag är väldigt ledsen för de anställdas och för kundernas skull"
26.10.2020

Dataläckan från Vastaamo kan också leda till bedrägerier: "Det borde vara straffbart att använda personbeteckningar för att säkerställa vem en person är"
26.10.2020

Också Vastaamos anställda har fått utpressningsmejl: "Det verkar som att det är frågan om samma e-postmeddelande"
26.10.2020

Psykiatern Kristian Wahlbeck om Vastaamoläckan: "Väldigt allvarligt brott mot förtroendet som i årtionden byggts upp inom hälsovården"
25.10.2020

Tips till dig som drabbats av dataintrånget på Vastaamo
25.10.2020
Taggar:

Diskussion om artikeln

Till sidans topp

A-Ö: Mer från Svenska Yle