Digi-HTA arvioi digitaalisten hoitomenetelmien kyberturvallisuutta

21.4.2021

¨

Terveydenhuolto digitalisoituu vauhdilla. Digitaaliset ratkaisut parantavat hoitoa, mutta niiden laadun ja tietoturvallisuuden varmistaminen vaatii erikoisosaamista hankinnoissa. Digi-HTA-hankkeessa terveydenhuollon tuotteiden tietoturvaa ja -suojaa arvioidaan keskitetysti hyödyntämällä Kyber-Terveys-hankkeen kehittämää arviointilomaketta.

Terveydenhuolto teknistyy, ja erilaisten tietojärjestelmien ja digitaalisten palvelujen rooli kasvaa jatkuvasti. Viimeistään syksyn 2020 Vastaamo-tapaus osoitti, että teknisten järjestelmien tietoturva ja -suoja ovat tärkeä osa potilasturvallisuutta. Niiden laadun arviointi vaatii erityisasiantuntemusta.

Olemme iloisia siitä, että yritykset kuuntelevat meitä rakentavalla ja yhteistyöhaluisella tavalla.

Prof. Juha Röning Oulun yliopiston Secure programming group -tutkimusryhmä

 

Terveydenhuollon digitaalisten tuotteiden ja palveluiden kyberturvallisuuden arvioinnissa kannattaakin etsiä keskitettyjä ratkaisuja, jotta ostoista vastaavien terveys- ja sosiaalihuollon työntekijöiden ei tarvitsisi jokaisen erikseen pohtia teknistä erityisasiantuntemusta vaativia tietoturvan ja -suojan kysymyksiä. Keskittämisestä on hyötynsä myös laitteiden ja ohjelmistojen valmistajille, sillä sen ansiosta tuotteita arvioidaan yhtenäisten vaatimusten mukaisesti.

Jarna Hartikainen

Oulussa käynnistyi vuonna 2019 digitaalisiin terveydenhuollon ratkaisuihin keskittyvä valtakunnallinen Digi-HTA -arviointitoiminta, jossa puolueettomat asiantuntijat arvioivat terveydenhuoltoon tarkoitettujen sähköisten tuotteiden ja palvelujen laatua ja kyberturvallisuutta. Digi-HTA toimii Oulun yliopistollisen sairaalan yhteydessä toimivan kansallisen hoitoteknologioiden arvioinnin koordinaatiokeskuksessa (FinCCHTA). Huoltovarmuuskeskus osallistuu tietosuojan ja -turvan arviointityön kustannuksiin ja saa Digi-HTA:n kautta arvokasta käyttäjäkokemusta sote-alan hankintatoimeen Kyber-Terveys-hankkeessa kehitetystä itsearviointilomakkeesta.

- Digitaalinen turvallisuus 2030 -ohjelmakokonaisuuden kautta panostamme laajasti yhteiskunnan kyberturvallisuuden kehittämiseen. Digi-HTA on hyvä esimerkki hankkeesta, jossa tietoturva ja -suoja saadaan huomioiduksi osana laajempaa arviointikokonaisuutta tukemiemme hankkeiden yhteistyön ansiosta, sanoo ohjelmapäällikkö Jarna Hartikainen Huoltovarmuuskeskuksesta.

Oireseurantaa syöpäpotilaille

Yksi Digi-HTA-arvioiduista tuotteista on Kaiku Health, syöpäsairaaloiden käyttöön tarkoitettu digitaalinen palvelu, jolla voidaan seurata potilaiden vointia. Lääkinnälliseksi laitteeksi luokitellun palvelun on osoitettu parantavan potilaiden elämänlaatua ja pidentävän heidän elinaikaansa. Kaiku Health toimii käytännössä niin, että potilas syöttää sille verkkoselaimella tai mobiilisovelluksella tietoja oireistaan ja voinnistaan ja järjestelmä lähettää tarvittaessa hoitavalle lääkärille tiedon voinnin huonontumisesta.

Kesällä 2020 Digi-HTA -arvioinnista vihreää valoa saanutta palvelua kehittää ja tarjoaa Helsingissä toimiva Kaiku Health Oy. Yrityksen laadunvalvonnasta ja viranomaissääntelyyn liittyvistä asioista vastaava Joel Lehikoinen kertoo, että arviointiprosessi kattoi olennaiset aspektit tarkoituksenmukaisella tavalla.

Joel Lehikoinen

”Suurimpaan osaan kysymyksistä meillä oli jo olemassa olevaa dokumentaatiota, joten prosessi sinällään oli meille melko kevyt. Vaatimukset näyttävät myös olevan linjassa muiden maiden vastaavien vaatimusten kanssa. Valitettavasti hoitoteknologia-arvioinnin tekotapaa ei kuitenkaan ole kansainvälisesti harmonisoitu, vaan joudumme käymään vastaavanlaisen prosessin joka maassa erikseen läpi.”

Arviointi koski jo olemassa olevaa tuotetta, joten se ei ohjannut ennakkoon Kaiku Healthin tekemistä.

”Saamamme hyvä arvio on mielestäni osoitus panostuksistamme palvelun vaikuttavuuden osoittamiseen ja sen korkeaan tietoturvan tasoon. Tietoturva on meille keskeinen kysymys, sillä käsittelemme erittäin arkaluonteisia potilastietoja Internetissä.”

 

Palaute liikennevalo-mallilla

HTA-lyhenne tulee sanoista Health Technology Assessment. Termi kattaa mm. kaikki hoitotoimenpiteet, lääkkeet ja lääkinnälliset laitteet, muistuttaa arviointia koordinoiva erikoissuunnittelija Jari Haverinen. Tähän mennessä on arvioitu kaksi kuntoutukseen tarkoitettua kävelyrobottia, yksi automaattinen lääkeannostelupalvelu sekä syöpäpotilaille tarkoitettu mobiilisovellus, ja lisää arvioita on tulossa.

Sisäänkirjautumisessa käytettävät tee-se-itse -ratkaisut vaikuttaisivat olevan yksi yleisimmistä sudenkuopista.

Tietoturva-asiantuntija Jari Jääskelä, OUSPG

 

Digi-HTA-hankkeessa arvioidaan tuotteiden vaikuttavuus, turvallisuus, kustannukset, käytettävyys ja saavutettavuus sekä kyberturvallisuus, ja ne pisteytetään kolmiportaisella liikennevalo-asteikolla. Jos yksikin alakohta menee punaiselle, tuotteen käyttöönottoa kehotetaan harkitsemaan vakavasti. Yrityksillä on myös mahdollisuus vetäytyä prosessista korjaamaan havaitut puutteet, jos huomioitavia tai korjattavia asioita on useita. Arvioinnin kohteina ovat myös tuotetuki, tuotteen vaatima koulutus sekä sen integroitavuus muihin järjestelmiin.

Haverinen muistuttaa, että digitaalisiin ratkaisuihin limittyy kirjava joukko teknologiaa ja ohjelmistoja, joilla voi myös olla erilliset käyttöliittymät sekä asiakkaalle että palveluntarjoajan henkilökunnalle.

Jari Haverinen

”Käytettävyys- ja saavutettavuusasioissa ostajan pitää esimerkiksi miettiä, pystyvätkö erikoiskäyttäjäryhmät kuten huonokuntoiset vanhukset käyttämään sovellusta. Turvallisuuspuolella katsomme muutakin kuin kyberturvallisuutta, kuten sitä onko robotilla törmäämistä estävää suojamekanismia tai puristaako se liian suurella voimalla.”

Arvio on toistaiseksi päätöksenteon tueksi annettu suositus, jonka hakija saa parissa kuukaudessa. Arviointiprosessin päättää palautepalaveri, jossa valmistajan tuotteelleen saama suositus käydään yksityiskohtaisesti läpi.

”Suositukset ovat julkisia dokumentteja, joita voivat hyödyntää sekä tuotteita hankkivat että niitä valmistavat yritykset. Yritämme tehdä niistä mahdollisimman informatiivisia ja helposti ymmärrettäviä tietopaketteja päätöksentekijöille.”

Emme lähteneet keksimään pyörää uudelleen, sillä Kyber-Terveys hankkeen vaatimuskantaa oli kehitetty jo pitkään ja siihen oli koottu vahvalla asiantuntemuksella tietoturva- ja tietosuojakäytäntöjä hankintojen tueksi.

DigiHTA-arviointia koordinoiva erikoissuunnittelija Jari Haverinen 

 

Laaja-alaista arviointia

Monet yritykset kiinnittävät itsekin huomiota tuotteidensa tietoturvaan, ja yleinen tietoisuus kyberturvallisuudesta on parantunut koko ajan. Silti myös ulkopuolinen arviointi on tärkeää, sanoo tuotteiden tietoturvallisuuden ja -suojan arvioinnista vastaavan Oulun yliopiston Secure programming group -tutkimusryhmän (OUSPG) johtaja, professori Juha Röning.

”Pandemian aiheuttama pakollinen digiloikka on sekin osaltaan saanut yritykset ottamaan tietoturvariskit vakavasti. Erilaisissa palvelukonsepteissa asiantuntemus kuitenkin keskittyy usein lähinnä palveluun ja sen substanssiin. Etäyhteydet ja alusta, joiden varaan palvelu järjestetään, eivät sitten enää olekaan ominta osaamisaluetta ja vakavien virheiden riski kasvaa”, Röning kuvaa tilannetta.

Juha Röning

”Olemme iloisia siitä, että yritykset kuuntelevat meitä rakentavalla ja yhteistyöhaluisella tavalla. Esimerkiksi viime vuonna meillä oli yksi hälyttävä tuote, jonka valmistaja kuitenkin otti palautteen vastaan erittäin hyvin ihan ylintä johtoa myöten ja ryhtyi nopeasti korjaaviin toimenpiteisiin.”

Röningin tutkimusryhmässä toimiva tietoturva-asiantuntija Jari Jääskelä arvioi tuotteiden tietoturvan ja tietosuojan käytännössä. Osassa tuotteita on ollut huomautettavaa, mutta tarkasteltavana on myös ollut tuotteita, joissa ei ole ollut merkittäviä puutteita.

”Tuotteiden valmistajat merkitsevät meiltä saamaansa vaatimuslistaan, mitä vaatimuksia he niistä täyttävät ja toimittavat siitä todisteeksi tarvittavan dokumentaation. Pyydämme heiltä myös muita tietoja tuotteesta, kuten tietovuokaavion ja tiedot käsiteltävistä henkilötiedoista”, Jääskelä kuvaa työskentelyään.

”Testaan tuotetta mahdollisuuksien mukaan ja luen julkisesti saatavilla olevaa dokumentteja kuten ohjekirjoja. Mobiili- ja web-sovellusten kohdalla katson myös niiden käyttöliittymän ohjelmistokoodin läpi. Siitä on apua, kun pohdin onko valmistajan vastauksissa puutteita. Ilmoitan havaitsemistani ongelmista ja esitän tarvittaessa tarkentavia kysymyksiä. Lopuksi laadin suosituksen tietoturvan ja tietosuojan osalta.”

Tee-se-itse -ratkaisut sudenkuoppana

Jääskelä muistuttaa, että terveyteen liittyvissä palveluissa henkilötietojen vuodolla, vääristymisellä tai saavuttamattomuudella voi olla vakavia seuraamuksia. Sen vuoksi on tärkeää, että valmistaja täyttää olennaiset tietojen luottamuksellisuuden, eheyden ja saatavuuden vaatimukset. Se edellyttää muun muassa toimivaa pääsynvalvontaa, tietojen vahvaa salausta ja aukotonta tietojen käsittelyn kirjausketjua.

Jari Jääskelä

”Sisäänkirjautumisessa käytettävät tee-se-itse -ratkaisut vaikuttaisivat olevan yksi yleisimmistä sudenkuopista. Niiden toteutuksissa voi mennä hyvin monta asiaa pieleen, eivätkä ne aina tue kaikkia vaatimuksia”, Jääskelä sanoo.

”Henkilötietojen tallentamisessa ja käsittelyssä täytyy myös ottaa huomioon EU:n yleinen tietosuoja-asetus, joka edellyttää että henkilötiedot tallennetaan ja käsitellään Euroopan talousalueen sisällä. Se voi osoittautua ongelmaksi varsinkin jos kyseessä on ulkomainen tuote, jota tarjotaan Suomessa.”

Avauskuva, liikennevalot Göttingenissä Saksassa, Wikimedia. 

Kyber-Terveys -hankkeen kriteeristö käytössä

Digi-HTA-toimintaa käynnistettäessä ei vielä ollut kriteeristöä digitaalisten ratkaisujen arviointiin, joten sellainen laadittiin Oulun yliopiston lääketieteellisen tiedekunnan ja kansallisen hoitoteknologioiden arvioinnin koordinaatiokeskuksen (FinCCHTA) yhteistyönä. Tietoturvan ja -suojan osalta kriteeristö löytyi Kyber-Terveys-hankkeen vaatimuskannasta, joka oli Pohjois-Pohjanmaan sairaanhoitopiirissä pilottivaiheessa.

”Tutustuimme Kyber-Terveys hankkeen vaatimuskantaan, ja totesimme että sitä oli kehitetty jo pitkään ja siihen oli koottu vahvalla asiantuntemuksella tietoturva- ja tietosuojakäytäntöjä hankintojen tueksi”, Jari Haverinen kertoo.

”Siihen oli hyvä tukeutua, joten emme lähteneet keksimään pyörää uudelleen. Arvioimme kaikkia osapuolia myös hyödyttävän, että sama kriteeristö oli jo valmiiksi käytössä tuotteita hankkivilla organisaatioilla. Vaatimusten yhteensopivuus hyödyttää sekä tuotteiden valmistavia että niitä hankkivia organisaatioita. ”

Haverinen arvioi, että vaatimuskanta on nostanut hyvin esiin tietoturvaan ja -suojaa liittyviä puutteita ja huomioita. Ja se on toisaalta myös näyttänyt, että asiat ovat kunnossa.

”Vaatimuksia pitää toki soveltaa tuotekohtaisesti, mutta ne ovat auttaneet löytämään tuotteista huomioitavia asioita. Ja niiltä, joilla asiat ovat kunnossa, on tullut palautetta vaatimuskannan täyttämisen helppoudesta.”

 
 

 

 

 

Jaa artikkeli