perjantai 9. joulukuuta 2011

Tuloksellista tietoturvallisuutta USA:sta

Suomessa julkisuutta saaneista valelääkäreistä ja viranomaisvalvonnan puutteesta terveydenhuollon suurimmat ongelmat eivät ainakaan USA:ssa vaikuttaisi liittyvän viranomaisvalvontaan, vaan paljon käytännönläheisimpiin asioihin.

Tietovuodot ja niiden kautta tapahtuva potilastiedon vuotaminen ja joko suorat identiteettivarkaudet tai niiden mahdollistuminen vuotojen kautta on lisääntynyt. Jopa 96% terveydenhuollon palveluntarjoajista raportoi, että heillä on tapahtunut ainakin yksi tietovuoto viimeisen kahden vuoden aikana. Yhdysvalloissa terveydenhuollossa suurimmat ongelmat liittyvät turvattomiin mobiilipäätteisiin ja henkilökunnan tekemiin virheisiin. Suurimmat syyt ovat: 

  • Kadonneet tai varastetut laitteet (49%) 
  • Työntekijöiden epätarkoituksenmukainen toiminta (41%) 
  • Kolmansien osapuolten tekemät virheet (46%) 

Yhdysvalloissa on keskitytty viime vuosina lainsäädännön ja vaatimustenmukaisuuden parantamiseen terveydenhuollon ympäristössä. Työ on keskittynyt henkilöstön koulutukseen, toimintapolitiikoihin ja hallintoon. Yhä vähemmän luotetaan ad-hoc –prosesseihin ja pyritään suunnittelemaan turvallisuuden hallinta pitkäjänteisemmäksi ja mitattavaksi organisaatioksi. Työllä onkin ollut tuloksia, sillä yhä useampi ongelma havaitaan mm. työntekijöiden toimesta tehdyissä tarkastuksissa ja potilaiden, terveydenhuollon asiakkaiden, toimesta tehdyt havainnot ovat vähentyneet. Havaintojakson ollessa yhden vuoden, eivät muutokset vielä voikaan olla kovin suuria. Mutta tietoturvallisuuden pitkäjänteisellä ja kokonaisvaltaisella kehittämisellä saadaan siis tuloksia enemmän kuin esimerkiksi vain teknologiaan keskittymällä.

Kuitenkin viimeisin kolmesta on mielenkiintoinen ongelma Suomen näkökulmasta. Tutkimustuloksia ei voi johtaa suoraan Suomen toimintaympäristöön, mutta eräs tärkeä havainto meidänkin näkökulmasta löytyy. Tutkimukseen osallistunen henkilöstön osalta potilastiedon tärkeyden merkityksen ymmärtäminen ei vaikuta olevan kovin korkeaa tasoa. Esimerkiksi IT-henkilöstön osalta 58% sanoo, etteivät he ymmärrä potilastiedon tärkeyttä. Tämä yhdistettynä niihin 46 prosenttiin, joissa tietovuodon syynä on kolmas osapuoli antaa ajattelemisen aihetta. Suomessakin ollaan siirtymässä kansallisen lääketietokannan, reseptikeskuksen ja potilastiedon arkistojen käyttäjiksi. Tämä tarkoittaa väistämättä sitä, että potilastiedon kanssa alkaa olla tekemisissä yhä useampia organisaatioita terveydenhuollon ulkopuolelta esimerkiksi tietotekniikkapalveluiden kautta. Suomen terveydenhuolto on laadukasta ja työntekijöiden moraali on korkeaa. Mutta entä niissä yrityksissä, joille terveydenhuollon alan etiikka ei ole tuttua? Etenkin siirtymävaiheen aikana on muistettava kiinnittää huomiota myös siihen, että kolmansien osapuolten henkilöstö on osaavaa, motivoitunutta ja ymmärtää myös tiukkojen säädösten taustalla olevan tarkoituksen.

Olisiko heidät jopa syytä osallistaa vaikkapa tietoturvapoikkeamien hallintaan liittyviin prosesseihin palveluita ostavan terveydenhuollon organisaation toimesta? Ja kummanko organisaation laadun parantaminen on tällöin itse asiassa kyseessä? Ja miten se huomioidaan jo sopimustasolta lähtien?

Ei kommentteja:

Lähetä kommentti