Poikkeuksellinen tietoturvaloukkaus HUSissa – "Luvaton katselu kohdistunut hoidossa olleisiin ja henkilökuntaan"

HUSin työntekijää epäillään vakavasta tietoturvaloukkauksesta. Hänen työsuhteensa on purettu ja asiasta on tehty tutkintapyyntö poliisille. Tietoturvaloukkauksen kohteita informoidaan kirjeitse.

Viranomaisyhteistyönä tehdyssä selvityksessä on käynyt ilmi, että HUSissa asiakaslaskutusta hoitanut reskontranhoitaja oli tehnyt väestötietojärjestelmässä ja HUSin potilastietojärjestelmistä perusteettomia hakuja.

Kyseinen työntekijä on katsellut väestötietojärjestelmästä henkilöiden perustietoja ja perhetietoja. Potilastietojärjestelmästä henkilö on katsellut henkilötietoja ja osassa tapauksista tietoja käynneistä HUSissa. Potilastietojärjestelmissä henkilö on voinut nähdä listauksen mahdollisista käynneistä ja hoitojaksoista päivämäärineen, mutta hänellä ei ole ollut pääsyä potilaskertomusmerkintöihin, tutkimustuloksiin tai vastaaviin hoitotietoihin. Tietoturvaloukkaukset ovat tapahtuneet kyseisen henkilön työssäoloaikana lokakuun 2019 ja maaliskuun 2023 välisenä aikana.

– Luvaton katselu on kohdistunut HUSissa hoidossa olleisiin ja henkilökuntaan, mutta myös henkilöihin, joilla ei ole mitään kytkentää HUSiin. Osa henkilöistä asuu Uudellamaalla, osa muualla Suomessa. Selvitys on vielä kesken, mutta tässä vaiheessa tiedämme jo, että luvaton katselu on kohdistunut satojen henkilöiden tietoihin. Kyseessä on poikkeuksellinen ja vakava tapahtuma, kertoo HUSin hallintojohtaja Suvi Posio sanoo HUSin tiedotteessa.

Tietoturvaloukkauksen kohteita informoidaan kirjeitse

Kaikki kyseisen työntekijän tietojenkäsittelytapahtumat käydään läpi kolmen ja puolen vuoden ajalta ja selvitetään, mitkä niistä ovat henkilön työhön kuuluvia ja mitkä perusteettomia. Tietojen läpikäynti kestää pitkään.

– Kyseisen työntekijän käyttöoikeudet ovat olleet työn edellyttämät, mutta hän on käyttänyt oikeuksiaan väärin. Olemme pahoillamme tapahtuneesta ja äärimmäisen pettyneitä työntekijämme toimintaan, sanoo Posio.

Kaikissa niissä tapauksissa, joissa tulee ilmi luvaton katselu, asianomaista henkilöä informoidaan kirjeitse. HUS on tehnyt tapauksesta tutkintapyynnön poliisille, mutta kirjeen saaneet voivat myös itse tehdä tutkintapyynnön. Ensimmäiset kirjeet on jo lähetetty ja lisää kirjeitä postitetaan vaiheittain sitä mukaa, kun selvitykset etenevät.

Asian tultua ilmi kyseisen henkilön käyttöoikeudet passivoitiin välittömästi, häneltä otettiin pois työvälineet ja hänen työsuhteensa purettiin. HUS on tehnyt ilmoituksen tietosuojavaltuutetun toimistoon. ”Sen lisäksi, että jatkamme omaa selvitystyötämme, tuemme viranomaisia heidän selvitystyössään”, kertoo Posio.