Hoppa till huvudinnehåll

Valvira har inte resurser för regelbunden koll av Vastaamo och övriga vårdföretag: "Tyngdpunkten är på egenkontroll"

Valviras överdirektör Markus Henriksson
Valviras överdirektör Markus Henriksson tycker att man måste granska lagstiftningen om datasäkerhet vid patientuppgifter och vid behov förnya lagen. Valviras överdirektör Markus Henriksson Bild: Petteri Sopanen / Yle Valvira

De läckta patientjournalerna från psykoterapicentret Vastaamo har väckt många frågor om hur privata hälso- och sjukvårdsföretags datasystem för patient- och klientuppgifter övervakas.

I Finland är det tillstånds- och tillsynsverket för social- och hälsovården, Valvira, som övervakar vårdföretagens patientdatasystem.

Valviras överdirektör Markus Henriksson säger att alla typer av vårdföretag och organisationer måste registrera sig och sina datasystem.

– Privata och offentliga organisationer måste registrera sig och sitt patientdatasystem och sedan granskar vi dem.

Då en anmälan om att ett bolag startar lämnas in, granskar Valvira hur dataskyddet är planerat. Företag ska även själva lämna in en plan på hur de kontrollerar datasäkerheten.

Kraven på datasystemen varierar. Enligt lagen delas datasystem in i två klasser: A och B. De system som är kopplade till patientdatasystemet Kanta klassas som A och har även högre krav på datasäkerhet.

Ingen regelbunden kontroll av företagen

Eftersom Vastaamos datasystem inte är kopplat till Kanta klassas de som typ B. Enligt Henriksson har Valvira inte tillräckligt med resurser för att övervaka alla serviceproducenter i B-klassen.

– Vi har inte haft resurser att göra proaktiva inspektionsbesök till alla producenter. Däremot granskar vi de felanmälningar som kommer in.

I praktiken betyder det här att de företag som hör till B-klassen inte alls övervakas ifall inga problem uppstår eller anmälningar om fel görs.

– Tyngdpunkten då det gäller ansvar för datasäkerhet har varit på egenkontroll. Det är varje företags eget ansvar att själva granska sina system och se till att de är tillräckligt säkra. Myndigheterna kommer aldrig att ha så mycket resurser att de skulle kunna ta på sig huvudansvaret för det, även om vi såklart behöver mer resurser till övervakning.

Dataläckan från Vastaamo visar ändå att datasäkerheten varit otillräcklig.

Henriksson säger att man nu måste granska ifall lagstiftningen borde ändras då de handlar om hur olika datasystem övervakas.

– Vi måste utreda och undersöka det här fallet noggrant och sen överväga ifall det behövs förändringar i lagstiftningen och i det sätt vi övervakar olika organisationer och företag.

Läs också