Kaksoiskansalaisuuden saanut HUS:n työntekijä epäiltynä tietoturvaloukkauksesta

[Nokra]

https://www.iltalehti.fi/kotimaa/a/37f5 ... 18977e1532

Kiinnostaisi tietää miten jäi kiinni
Ja miksi ihmeessä ylipäätään (oletettavasti) urkki tietoja

Otsikko päivitetty
-NILS-

[Obi-Wan Ketipinori]

Niin, potilaana sulla on oikeus tietää kuka on urkkinu sun tietoja ja mistä syystä, oliskohan tämmösen pyynnön yhteydessä käyny ilmi.
Miksi? Mulla ei tuu mieleen mitään muuta kuin se, että "tilauksesta" jollekki tietoja penkoo tai sitten on sairaalloisen utelias ja kiinnostunut ihmisten tiedoista. Täytynee laittaa pyyntö HUS:lle omien potilastietojeni käsittelystä, voin hyvinkin olla yksi sadoista.

[Nice shirt]

https://www.iltalehti.fi/kotimaa/a/37f5 ... 18977e1532

Kiinnostaisi tietää miten jäi kiinni
Ja miksi ihmeessä ylipäätään (oletettavasti) urkki tietoja

Lokitiedot paljastanut. Potilaan tietoja kun katsoo, pitää olla joku suhde potilaaseen (ammatillinen). Täytyy siis jollainlailla hoitaa potilaan asioita.

[Nokra]

Nii, olisko jopa sisäisessä tarkastuksessa jäänyt kiinni? Mulla ei ole omavalvontaan juuri luottoa, sen verran alkeelliset järjestelmät ja niukka mitoitus on. Tietopyynnön yhteydessä voikin olla, että on tullut ilmi.

[ässähai]

Lokitiedot paljastanut. Potilaan tietoja kun katsoo, pitää olla joku suhde potilaaseen (ammatillinen). Täytyy siis jollainlailla hoitaa potilaan asioita.

Tässäkin tapauksessa nähdään lokitietojen hyöty, kun niiden perusteella saadaan ongittua esille täsmätietoa, kuka organisaatiossa katselee potilastietoja. Toista se on ollut ennen vanhaan, kun sairaaloiden ja terveyskeskusten potilastietokansioita on säilytetty lukollisessa huoneessa. Eipä ole silloin kenelläkään voinut olla hajuakaan, kuka lukolliseen huoneeseen päässyt mitäkin potilasmappia lueskelee. Ennen vanhaa on ollut myös sellainen systeemi potilastietojen säilytyksessä psykoterapiapaikoissa, että käsin laadittujen potilastietojen kansioita on pidetty lukollisessa kaapissa, jossa psykoterapeuteilla ja psykiatreilla ei kuitenkaan ole ollut erikseen omia lukollisia lokeroita. Kyllä siinäkin systeemissä on ollut vaikka mitä salaista tietoa jaossa luvattomia puuhia harrastaville terveydenhuollon ammattihenkilöille. Eikä ole jäänyt mitään jälkiä, jos joku on ryhtynyt tuommoiseen rikolliseen tirkistelytoimintaan.

[meksi]

https://www.iltalehti.fi/kotimaa/a/37f5 ... 618977e153

Tässäpä itse linkin sisältö:

Husin työntekijää epäillään satoja ihmisiä koskevasta tietoturvaloukkauksesta
Hus purki epäillyn työsopimuksen välittömästi, kun salakatselu kävi ilmi.

Husin eli Helsingin yliopistollisen sairaalan työntekijää epäillään vakavasta tietoturvaloukkauksesta. Asia kävi ilmi viranomaisyhteistyöässä tehdyssä selvityksessä.

Epäilty on katsellut väestötietojärjestelmästä henkilöiden perustietoja ja perhetietoja. Potilastietojärjestelmästä henkilö on katsellut henkilötietoja ja osassa tapauksista tietoja käynneistä Husissa.

Potilastietojärjestelmissä henkilö ei voinut nähdä potilaskertomuksia, tutkimustuloksia tai hoitotietoja, mutta hän on päässyt käsiksi listauksiin mahdollisista käynneistä ja hoitojaksoista päivämäärineen.

Tietoturvaloukkaukset ovat tapahtuneet henkilön työssäoloaikana lokakuun 2019 ja maaliskuun 2023 välillä. Epäillyn työsuhde Husin kanssa on purettu tapauksen tultua ilmi.

– Luvaton katselu on kohdistunut Husissa hoidossa olleisiin ja henkilökuntaan, mutta myös henkilöihin, joilla ei ole mitään kytkentää Husiin. Osa henkilöistä asuu Uudellamaalla, osa muualla Suomessa, Husin hallintojohtaja Suvi Posio kertoo tiedotteessa.

Uhreja informoidaan
Posion mukaan selvitys on vielä kesken, mutta luvaton katselu on tässä vaiheessa kohdistunut jo satoihin henkilöihin.

– Kyseessä on poikkeuksellinen ja vakava tapahtuma.

– Kyseisen työntekijän käyttöoikeudet ovat olleet työn edellyttämät, mutta hän on käyttänyt oikeuksiaan väärin. Olemme pahoillamme tapahtuneesta ja äärimmäisen pettyneitä työntekijämme toimintaan, Posio jatkaa.

Seuraavaksi käydään läpi, missä tapauksissa käy ilmi, että kyseessä on luvaton katselu. Jokaista asianomaista henkilöä informoidaan luvattomasta katselusta sähköpostitse.

[ässähai]

↑

Jos "jokaista asianomaista henkilöä informoidaan luvattomasta katselusta sähköpostitse", niin eivät taida olla nämä tietojen salakatselun kohteeksi joutuneet ensisijaisesti potilassuhteessa HUSsiin, vaan täytyy olla joku sellainen ensisijainen kytkös, jossa on pitänyt antaa oma sähköpostiosoitetieto??? Olisko hankintoja...


Piitkä lainaus korvattu nuoliviittauksella
-NILS-

[Bonafides]

Nii, olisko jopa sisäisessä tarkastuksessa jäänyt kiinni? Mulla ei ole omavalvontaan juuri luottoa, sen verran alkeelliset järjestelmät ja niukka mitoitus on. Tietopyynnön yhteydessä voikin olla, että on tullut ilmi.

Olisiko totta ettei noissa käytetä tekoälyä? Sehän olisi harvinaisen helppo järjestää, että jos aktiivista asiakkuutta ei ole, niin kaikki tarkastelut pingaa ja menee ihmissilmin tarkistettaviksi, ja sama jos tarkasteluyksikkö ei mitenkään liity viimeaikaisiin tai tuleviin hoitotapahtumiin.

Olen ajatellut, että valvonta olisi toiminut noin jo vuosikymmeniä.

[Nokra]

Ainakaan omavalvontaauunnitelmissa ei näistä ole tähän mennessä ollut mainintaa missään organisaatiossa, missä olen työskennellyt sotealalla vuosien varrella. Olen vain käyttäjän roolissa ollut, joten voi ollakin etten vain ole tietoinen seurannasta. Lokitiedot toki tallentuvat, tämä on selvää kaikille järjestelmien käyttäjille. Eikä yhtään kyselyä ole ikinä tullut vuosien varrella miksi olen tarkastellut x tietoja, vaikka niitäkin voisi olettaa joskus tulevan. Syy avata potilastietoja ei ole aina (järjestelmän näkökulmasta) selvä ja virheavauksia tapahtuu satunnaisesti alalla. Mutta ehkä tässä on jokulogiikka mistä en ole tietoinen.

[ässähai]

Jaahas, tämä HUSin tapaus on siirtynyt oikopäätä KRP:lle, koska uhreja on ympäri Suomea.

KRP otti HUS:n tietosuojarikoksen tutkintaansa – tutkinnajohtaja: Epäiltynä yksi henkilö, ketään ei ole otettu kiinni

Keskusrikospoliisi tutkii tietosuojarikosta, joka liittyy väestötietojärjestelmään ja HUS:n potilastietojärjestelmään tehtyihin hakuihin. KRP vahvistaa MTV uutisille, että kyse on samasta rikosepäilystä, josta MTV:n Asian ytimessä -ohjelma uutisoi keskiviikkona.

KRP tiedotti asiasta torstaina ja kertoi kirjanneensa asiasta rikosilmoituksen viime tiistaina. KRP käynnisti tutkinnan välittömästi rikosilmoituksen vastaanotettuaan.

Rikosepäily liittyy väestötietojärjestelmässä ja HUS:n potilastietojärjestelmässä tehtyihin hakuihin. Rikoksesta epäillään yhtä henkilöä.

– Asia on tutkittavana KRP:llä, koska asianosaisia on ympäri Suomea, kertoo KRP:n tutkinnanjohtaja Tiia Grönberg MTV:lle.
...
Epäilty on kaksoiskansalainen

MTV:n Asian ytimessä -ohjelman tietojen mukaan tietoturvaloukkauksesta epäillyn Husin työntekijän erityisen mielenkiinnon kohteena ovat olleet julkisuudesta tutut henkilöt.

Ohjelman tietojen mukaan epäilty työntekijä on Suomen ja Venäjän kaksoiskansalainen.

Urkinnan motiivina on ollut ohjelman tietojen mukaan kuitenkin työntekijän oma uteliaisuus. Epäilty itse on kiistänyt antaneensa tietoja eteenpäin.

Husin mukaan katselu on kohdistunut Husissa hoidossa olleisiin ja henkilökuntaan, mutta myös henkilöihin, jotka eivät asu Uudenmaan alueella ja joilla ei ole kytköstä Husiin.
...
Satoja henkilöitä kohteena

Tietoja on katseltu väestötietojärjestelmästä sekä Husin potilastietojärjestelmissä. Järjestelmistä on nähnyt ihmisten perus- ja perhetietoja sekä listauksen mahdollisista käynneistä ja hoitojaksoista.

--> https://www.mtvuutiset.fi/artikkeli/krp ... ni/8685098

[canis lupus]

Kun antaa uteliaisuudelle pikkusormen, se vie koko käden ja kropankin, vähän käy niinkuin Sirkesalolle rantatuolissa.

[Kaarnalaiva]

Tämä voi olla pelkkää uteliaisuutta tai sitten ihan järjestelmällistäkin.
Moni ei tiedä sitä, miten halukkaasti eritoten eri päällikkötason ihmiset tsekkaavat alaiskanditaattiensa tietoja.
Työnhakijan tietoja mikäli vain mahdollista säännönmukaisesti katsotaan vaikka lupaa ei olisi. Työnantaja kun ei edes saisi googlata tai katsella sometileja, mutta niin ne vaan tekevät. Näin tehdään hallintoalasta riippumatta. Ja niitähän riittää. Sote ala kokonaisuudessaan. Verohallinto. Oikeusistuimet, Valtioneuvosto, Elyt, Avit, Poliisi- ja oikeusminsiteriön hallinnonala, Kriminaalihuolto, Puolustuvoimat, Apteekit ja jopa Postit. Harjoitelijoiksi, kesälomansijaisiksi, työssäoppijaksi, vuorettelusijaiseksi, työllistettävksi pyrkineistä kaikista on enemmän sääntö kuin poikkeus tsekata yhtä sun toista mitä vain järjestelmästä irtoaa.
Jopa esimiehet katsovat sotealalla, että onko edes käynyt lääkärissä, kun ilmoittaa sairauslomastaan. Sitten verottaja katselee heille töihin pyrkivien tietoja. Ja kyillä siellä yksi jos toinen katselee yhden jos toisen tietoja. Lokitiedot kait vanhenee 3 vuodessa. Että aika sitten paikkaa väärinkäytökset. Ja kellään normi-ihmisellä ei riitä aika pyytää tiedoistaan lokitietoja. Itse pari kolme oikeastaa neljä kertaa rysän päästä esimiestason tai vakitoimihenkilön löytänyt näissä puuhissa.

[janis]

Jopa esimiehet katsovat sotealalla, että onko edes käynyt lääkärissä, kun ilmoittaa sairauslomastaan.

mitä syytä tällaista on järjestelmistä kytätä? mikäli on omailmoituksella pois ei edes tarvitse käydä missään lääkärillä, ja mikäli taas on käyty, niin yleensä sieltä annetaan samalla vaivalla sairauslomatodistus mikä kuitenkin toimitetaan esimiehelle.

[Kaarnalaiva]

Jopa esimiehet katsovat sotealalla, että onko edes käynyt lääkärissä, kun ilmoittaa sairauslomastaan.

mitä syytä tällaista on järjestelmistä kytätä? mikäli on omailmoituksella pois ei edes tarvitse käydä missään lääkärillä, ja mikäli taas on käyty, niin yleensä sieltä annetaan samalla vaivalla sairauslomatodistus mikä kuitenkin toimitetaan esimiehelle.

Tuo etu on vakituisilla. Mm. työllistetyt ainakin joissakin sote-piireissä joutuvat jokaisesta sairauspoissaolopäivästä toimittamaan todistuksen. Ja se sairausloman todistushan ei tapahdu päivässä. Esimies nopsana ihmisenä katsoo, että onko käytinmerkintöjä ja olettaa automaattisesti, että työllistetty ei voi käydä yksityisellä vaan heidän julkisen puolen palveluissa.

[janis]

^ jaa, okei.
itse en ole sote-alalla töissä, joten käytänteet ei ole tuttuja. meillä on tapana lähettää saman tien sairauslomatodistus esim wa-viestillä (kuvana) työnantajalle jolloin se saavuttaa palkanlaskijan ennen paperiversiota. eivät ilmeisesti ole tätä sitten tajunneet, jos täytyy sen vuoksi urkkia työntekijöiden tietoja. ja mikäli sitä saikkulappua ei töihin palattaessa olekaan, niin sehän on sitten valehtelua ja luvaton poissaolo (mikäli todistus vaaditaan ja ollaan väitetty lääkärissä käydyn) ja jatkomenettely sen mukaan. en edelleenkään ymmärrä, miksi se lääkärissäkäynti pitäisi todentaa luvattomin keinoin välittömästi kun tilapäisestä työkyvyttömyydestä on ilmoitettu. mutta - eipä minun kaikkea tartte ymmärtääkään.