Vastaamo.fi tietovuoto - keskustelu ja seuranta

Potilasasiakirjoihin kirjatut asiat pysyvät tallessa laissa/asetuksissa määritellyn ajan. Niitä ei voida edes potilaan pyynnöstä poistaa. Virheelliset merkinnät voidaan toki korjata/oikaista.


EDIT: Paska juttuhan tällainen pakkosäilytys on. Muistuu esim. mieleen se yksi tapaus, jossa kiusaamismielessä joku koululainen lavastettiin kouluampujaksi tekemällä tästä perättömiä rikosilmoituksia ym. Kaveria sittent tutkittiin lanttumaakarienkin toimesta ja todettiin luonnollisesti syyttömäksi ja ihan täysissä järjissä olevaksi. Nuokin tiedot säilyvät ilmeisesti kirjoissa ja kansissa, kunnes ko. henkilön kuolemasta on kulunut 12 vuotta.
Tähän pitäisi kyllä sitten saada muutos. Mielenterveyteen (siis terapiaan ynnä muuhun keskusteluapuun) liittyvät tiedot voisi eritellä muista ja säilytysaika olisi hoitoaika plus maksimissaan x vuotta hoidon päättymisestä. Mahdolliset jatkuvat lääkitykset jäisivät tietoon. Kyllä pitäisi säätää myös niin että harkinnanvaraisesti ne saisi poistettua sieltä jo ennen jos asiakas on normaalilla järjentoiminnalla varustettu ja allekirjoittaa lomakkeen missä hyväksyy että nämä ovat sitten mennyttä tietoa ja mahdolliset jatkoseuraamukset tietojen poistosta on asiakkaan ongelma. Korkeintaan jonkun koonnin missä on hoidossa käynyt ja mahd. diagnoosit voisi jättää mutta tuollaisen todella yksityisen tiedon ikuinen säilytys on kyllä ongelma.
 
Tätä nimenomaista keissiä tuntematta se versionvaihto ei ei nyt aina mene ihan sillä, että lataa uuden version sisään.

No ei tietenkään mene mutta miksi tuo haavoittuva järjestelmä on tuolla vielä pystyssä ja käytössä? Nyt kun tää keissi on vielä saanut niin paljon huomiota niin siellä on varmasti moni muukin säätämässä ja koittamassa mitä muita aukkoja löytyy.

Pois verkosta ja hommiin.
 
Ihmisillä on näemmä yleinen harhaluulo että bitcoin siirrot ovat anonyymeja, ei todellakaan. Hakkerin pitää käytännössä vaihtaa bitcoinit rahaksi käteiskaupalla ja sittenkin kun uusi omistaja niitä yrittää myydä kaupankäyntialustalla niin lompakon avulla voidaan tunnistaa valuutan alkuperä

Bitcoineja on aivan todella helppo pestä. Jos alkuperäisestä lompakosta muunnat rahat suoraan käteiseksi, jäät sataprosenttisen varmasti kiinni. Jos sekoitat kolikot, et jää ikinä kiinni. Bitcoinien seuraaminen ei varmasti tässä tapauksessa johda syylliseen, ellei kaveri nyt oikeasti ole ihan saatanan tyhmä.
 
Tässä ketjussa kun on kaikenlaisia pieniä tiedonmurusia kerätty niin ajattelin lisätä yhden jota en mielestäni huomannut vielä tässä ketjussa.

Tämä ei ole oma löytöni vaan joku toinen oli sen huomannu.

Vastaamon nettisivuilla esitellään tärkeimmät henkilöt valokuvan, nimen ja tittelin kanssa ja tällä hetkellä yhden henkilön titteli on Järjestelmäarkkitehti mutta Wayback machine osaa kertoa että samainen henkilö on vielä muutama päivä sitten esitelty Tietosuojavastaavana.

Onko siellä uuden tietosuojavaltuutetun nimi? Eikös tuo ole pakollinen.
 
Tähän pitäisi kyllä sitten saada muutos. Mielenterveyteen (siis terapiaan ynnä muuhun keskusteluapuun) liittyvät tiedot voisi eritellä muista ja säilytysaika olisi hoitoaika plus maksimissaan x vuotta hoidon päättymisestä. Mahdolliset jatkuvat lääkitykset jäisivät tietoon. Kyllä pitäisi säätää myös niin että harkinnanvaraisesti ne saisi poistettua sieltä jo ennen jos asiakas on normaalilla järjentoiminnalla varustettu ja allekirjoittaa lomakkeen missä hyväksyy että nämä ovat sitten mennyttä tietoa ja mahdolliset jatkoseuraamukset tietojen poistosta on asiakkaan ongelma. Korkeintaan jonkun koonnin missä on hoidossa käynyt ja mahd. diagnoosit voisi jättää mutta tuollaisen todella yksityisen tiedon ikuinen säilytys on kyllä ongelma.
Meillä töissä kaikki terapiatiedot on lähtökohtaisesti piilotettu kaikilta muilta kuin terapeuteilta. En sitten tiedä vaikeuttaako se niiden hakkerointia vai ei.

On tärkeää ymmärtää, että KANTA-kielto voi vaarantaa hätätilanteessa hoitosi merkittävästi. Olet helsinkiläinen turisti levillä laskettelemassa, saat paljubileistä vaarallisen bakteeritaudin ja menet tajuttomaksi. Riskitiedoissasi lukee että olet antibiootille allerginen, mutta Rovaniemellä päivystyksessä eivät tätä tietoa pääse katsomaan.

Hätätilanteessa voi käyttää hätätilahakua, joka ohittaa kaikki kiellot.
 
Meillä töissä kaikki terapiatiedot on lähtökohtaisesti piilotettu kaikilta muilta kuin terapeuteilta. En sitten tiedä vaikeuttaako se niiden hakkerointia vai ei.



Hätätilanteessa voi käyttää hätätilahakua, joka ohittaa kaikki kiellot.
Eiköhän ne kaikki tiedot ole siellä samassa kannassa teknisesti, eli nuo rajoitukset koskevat vain rehellisiä käyttäjiä.
 
Redditin puolella (eli pienin varauksin) joku kirjoitteli että olisi saanut kiristysviestin vaikka ei ole suoraan Vastaamon kanssa ollut asiakassuhteessa. HUSin puolella suoraan ollut josain terapiassa ja kamat löytyy silti Vastaamolta.

Voisiko olla että joku terapeutti käyttänyt Vastaamon systeemiä tallettaakseen muistiinpanoja joita tuolla HUSin puolella on syntynyt. Melko rouheaa.
 
Eiköhän ne kaikki tiedot ole siellä samassa kannassa teknisesti, eli nuo rajoitukset koskevat vain rehellisiä käyttäjiä.

Multa ainakin joku yleislääkäri kyseli vastaanotolla että saako hän käydä kattelemassa tietojani. Sanoin kyllä ja yhdellä klikillä pääsi sitten katselemaan kaikkia tietojani. Ei kai se sen kummempaa ole.
 
Redditin puolella (eli pienin varauksin) joku kirjoitteli että olisi saanut kiristysviestin vaikka ei ole suoraan Vastaamon kanssa ollut asiakassuhteessa. HUSin puolella suoraan ollut josain terapiassa ja kamat löytyy silti Vastaamolta.

Voisiko olla että joku terapeutti käyttänyt Vastaamon systeemiä tallettaakseen muistiinpanoja joita tuolla HUSin puolella on syntynyt. Melko rouheaa.

HUS on ostanut palveluja, eli terapiatuotantoa, Vastaamosta. "HUS on pyytänyt lisätietoja tapahtuneesta HUSin potilaiden osalta"

 
Eiköhän ne kaikki tiedot ole siellä samassa kannassa teknisesti, eli nuo rajoitukset koskevat vain rehellisiä käyttäjiä.

Kyllä ainakin psykiatrian puolen potilaskertomuksia on monessa järjestelmässä piilotettu muilta käyttäjiltä, vaikka ne teknisesti samassa taulussa siellä kannassa istuisikin. Käyttäjien rehellisyydellä ei tuon kanssa siis ole mitään tekemistä.
 
Kyllä ainakin psykiatrian puolen potilaskertomuksia on monessa järjestelmässä piilotettu muilta käyttäjiltä, vaikka ne teknisesti samassa taulussa siellä kannassa istuisikin. Käyttäjien rehellisyydellä ei tuon kanssa siis ole mitään tekemistä.
Käsitit nyt vissiin väärin. Tarkoitin sitä, että jos ja kun tiedot ovat samassa kannassa, niin hakkerilla on pääsy niihin kaikkiin tietoihin kerralla, vaikka loppukäyttäjillä olisikin niihin erilaisia oikeusrajoituksia. Käyttäjiin vaikuttavat rajoitukset eivät siis vaikuta siinä vaiheessa kun mennään sisään karmit kaulassa.
 
Tämähän tarkoittaa että Vastaamon toiminta tulee "automaattisesti" loppumaan koska heillä ei tämän jälkeen ole ammatinharjoittajia jotka olisivat Vastaamon asiakkaitaan. Potilaat eivät Vastaamon palveluita enää tule tämän jälkeen käyttämään, missään muodossa. Toivotaan että terapia jatkuu mutta uuden oksan alla. Tämä taasen vaatinee uuden Kela-päätöksen....

Terapiamarkkina on nyt vallattavissa erittäin pienillä peliliikkeillä...

Jos, jos&jos...

Siis itse ihmettelen hetkellä tällä miten erään tietoturvaputkan jamppa käytti dokumentaationa erään keskustelupalstan kiristäjänä esiintynyttä nimimerkkiä. Pahinta (oman uskottavuuden kannalta) olisi jos postaaja olisi real mccoy.
Oman elämänkokemukseni valossa en atomiakaan todesta ottaisi henkilöltä, joka pystyy tämän kaltaiseen toimintaan.. Tässä on viety kuin litran mittaa aika montaa tahoa...
En itse mitenkään pysty julkisen datan valossa sulkemaan pois sitä vaihtoehtoa että päähenkilö (yritys) on myös uhri.

Mut siis matikkaan. Sakot ymmärtääkseni 4% liikevaihdosta, putka teki /c-nettoo puolisen miltsii viime vuonna 14M€ liikevaihdolla. Tähän päälle korvaukset muutamasta satkusta yli kiloon per uhri.
Eli jos tämä skenaario toteutuu, niin menuussa loppuvaikeudet.
 
Potilastietojen säilytykseen liittynee myös potilasturva siinä mielessä jos lääkäri tai terapeutti on tehnyt hoitovirheitä. Valelääkäri Laiho ehti toimia 10v ennen kuin jäi kiinni. Jos tiedot tuhottaisiin aina säännöllisesti, olisi hän voinut esim. tappaa väärillä hoidoilla ja todistusaineisto tästä olisi tuhottu yksityisyyden nimissä.

Tekniikka on sitten eri keskustelu, säilytetäänkö historia tälläisissä systeemeissä vai pitäisikö se esim. hoitosuhteen lopulla dumpata johonkin omakannan arkistoon. Ja mitenhän tälle datalle käy jos Vastaamo menisi nurin ja palvelimet kantoineen sen mukana..
 
Se voi olla kyllä ihan hyväkin idea pistää palvelu kiinni yöksi, ettei jengi päissään tehtaile rikosilmoja pikkutunneilla.

YLE tietää kertoa, että Vastaamo ois korkattu useammankin kerran. Mikä nyt ei varmaan yllätä, vähän kun olisi jättänyt ne potilaskertomukset kadulle lojumaan.



Nyt yhtiö tiedottaa, että sen järjestelmiin on todennäköisesti tunkeuduttu myös toisen kerran marraskuun lopun 2018 ja maaliskuun 2019 välisenä aikana.

Onko maaliskuussa 2019 huomattu tietoturvaongelmat tai tehty muita muutoksia?
 
Potilastietojen säilytykseen liittynee myös potilasturva siinä mielessä jos lääkäri tai terapeutti on tehnyt hoitovirheitä. Valelääkäri Laiho ehti toimia 10v ennen kuin jäi kiinni. Jos tiedot tuhottaisiin aina säännöllisesti, olisi hän voinut esim. tappaa väärillä hoidoilla ja todistusaineisto tästä olisi tuhottu yksityisyyden nimissä.

Tekniikka on sitten eri keskustelu, säilytetäänkö historia tälläisissä systeemeissä vai pitäisikö se esim. hoitosuhteen lopulla dumpata johonkin omakannan arkistoon. Ja mitenhän tälle datalle käy jos Vastaamo menisi nurin ja palvelimet kantoineen sen mukana..

Toisaalta kuinka paha valelääkäri on oikein kyseessä jos kukaan ei kerran huomaa mitään 10 vuodessa. Ei siinä jotkut tiedostot oikein auta, muuta kuin ehkä jälkeenpäin.
 
Käsitit nyt vissiin väärin. Tarkoitin sitä, että jos ja kun tiedot ovat samassa kannassa, niin hakkerilla on pääsy niihin kaikkiin tietoihin kerralla, vaikka loppukäyttäjillä olisikin niihin erilaisia oikeusrajoituksia. Käyttäjiin vaikuttavat rajoitukset eivät siis vaikuta siinä vaiheessa kun mennään sisään karmit kaulassa.
Joo, jäi näköjään osa kontekstista huomioimatta. Just näin, eli kun ne oletettavasti on samoissa tauluissa niin ei vaikuta koko kannan haltuunsa saavan tahon toimia mitenkään. Eri asia jos olisi menty jonkun hoitohenkilökuntaan kuuluvan tunnuksilla sisään, mutta siitähän tässä Vastaamon keississä ei ole kyse.
 
Nyt tulee varmaan bannit, mutta ikävä huomata miten monella täälläkin (eli tässä maassa) on tarve terapialle. Siinä ei ole todellakaan mitään hävettävää ja hyvä että on saatu apua. Mietin vain mikä tässä maassa on vikana, että niin monella mieli järkkyy. Kiristäjä (eli ei monikko),vaikuttaa olevan itse hieman epästabiili ja uskon jäävän kiinni pian.
Olen minäkin rampannut terapiassa, alkoholisti vanhemmat, lastenkodit ym. synttärisetit niin 4v kävin pari kertaa viikossa.

En tiedä auttoiko vai ei mutta käyty on. Aikaa kumminkin jo 30v tapahtuneesta.
 
Sinällään on hyvä haastaa vallalla olevia käsityksiä ja säädöksiä. Kuitenkin vaikuttaa tämänkin keskustelun pohjalta siltä että psykiatristen tietojen poistoa vaativat ne ihmiset jotka eivät tee töitä näiden asioiden kanssa. Kuvitellaan että hoidetaan vakava masennus potilas xllä. Hoito kestää 2 vuotta ja päättyy useiden lääkekokeilujen jälkeen oireiden poistumiseen ja hoito päättyy. Tiedot poistetaan. Masennus uusiutuu muutaman vuoden kuluttua, pot tulee hoitoon eikä vanhoja tietoja ole potilaalla itsellään. Hyvässä lykyssä on hoitaja ja lääkärikin vaihtunut. Ei ole potilaankaan kannalta järkevää aloittaa kaikki alusta. Tämä nyt vielä tietysti kevyemmästä päästä jolloin vanhoista tiedoista olisi kovastikin hyötyä.

Itselläni ei ole tarkkaa tietoa miten kela tiedot kannassa salaa. Veikkaisin kuitenkin että se on jonkin verran vahvempi mitä nyt nähty tapaus:geek:. Tästä varmaankin löytyy julkistakin tietoa jossain määrin kelan sivuilta.

Psykiatrian näkymä on tietojärjestelmissä lailla erityissuojattu joka tarkoittaa lähinnä sitä että kussakin tietojärjestelmässä tietosuoja järjestelmän sisällä tulee rakentaa niin ettei se näkymä avaudu oletuksena vaan sitä täytyy mennä erikseen katsomaan. Tietyiltä käyttäjäryhmiltä tämä voidaan suoraan myös estää kokonaan. Kuten aiemmissa kommenteissa olikin, ei tätä psy näkymää ole muutoin sen erityisemmin tietovuotoja vastaan kuin muitakaan näkymiä.

Kantahaun hätähakuun liittyen. Kelan kantadokumenteistä suora lainaus. "
Kieltojen tekemisen yhteydessä potilasta on informoitava, että kielto koskee myös tilanteita, joissa hän
on äkillisen henkeä uhkaavan sairauden tai loukkaantumisen vuoksi tajuton ja sen vuoksi kykenemätön
peruuttamaan tekemänsä kiellon – ellei hän erikseen rajaa kieltojen voimassaoloa pois hätätilanteista."
 
HS.fi:ssä tänään: Psykoterapiakeskus Vastaamon mukaan sen asiakkaiden tietoja on voinut kadota ainakin kahden eri tietomurron yhteydessä vuosina 2018–2019.

Miten todennäköisenä pidätte tuota vain kahta tietomurtoa jos root:rootilla on päässyt sisään?

Pelkästään omaan raspiin tulee tunnin aikana näin monta yritystä kirjautua roottina sisään. Jos tuonne on vuosina 2018-2019 päässyt sillä sisään niin tunkeutujia lienisi kymmeniätuhansia. Toki en tiedä kuinka moni näistä on scriptattu kopioimaan tiedostoja (esim koko / talteen) ja kuinka suurta osaa käytetään ihan vaan dossaukseen tai muuhun spedeilyyn.

1603624391949.png


Toki jos roottina pääsee sisään niin luulisi että automaattisesti poistetaan logeista jäljetkin?
 
Toisaalta kuinka paha valelääkäri on oikein kyseessä jos kukaan ei kerran huomaa mitään 10 vuodessa. Ei siinä jotkut tiedostot oikein auta, muuta kuin ehkä jälkeenpäin.

Hieman ehkä off-topic -menen mutta, eikö tämä valelääkäri jäänyt kiinni juuri sen takia kun "oikeasti kuunteli asiakkaidensa huolia". Ns. aito lääkäri ei tietenkään millään tavoin kuuntele asiakkaitaan, kaataa vain lääketeollisuuden tuotteita maksimimäärän kurkusta alas ja kuittaa kys. lääkefirmalta bonukset yms. lahjukset. Tämä on sitä suomalaista ns. terveydenhoitoa.

Ja takaisin aiheeseen.
 
Miten todennäköisenä pidätte tuota vain kahta tietomurtoa jos root:rootilla on päässyt sisään?

Toki jos roottina pääsee sisään niin luulisi että automaattisesti poistetaan logeista jäljetkin?

Jos nyt huhut pitävät paikkaansa sinne on päästy applikaatiotasolla sisälle, ei suoraan ssh:lla. Eli todennäköisesti tyyliin phpmyadmin ollut julkisesti esillä ja kannan tunnarit sitten olleet mitä olleet.

Josain näin myös juttua että olisi jotain infradokumentteja ollut luettavissa. Voisiko olla että tuo potilasrekisteri.vastaamo.fi/files olisi vuotanut tiedostolistauksen ja sieltä löytynyt jotain. En nyt muista miten tuon ajan Apachet defaulttaa tiedostolistausten kanssa.
 

Kohta (14.00) alkaa KRP:n livelähetys. Saas nähdä mitä kertovat... luulisi että tutkinnallisista syistä eivät voi mitään kommentoida :think:
 
Onko maaliskuussa 2019 huomattu tietoturvaongelmat tai tehty muita muutoksia?

Jos nuo versiotnumerot aimmin pitää paikkaansa, niin ei, tietoturvapäivitykset vuodelta 2015.

Tätä nimenomaista keissiä tuntematta se versionvaihto ei ei nyt aina mene ihan sillä, että lataa uuden version sisään.

Tosin Microsoftilta saisi yhteensopivan PHP version, johon backportattu tietoturvakorjaukset.
Ja 5 vuotta on aika paljon aikaa korjata (tai siirtää vpn-taakse, joka nyt muutenkin olisi ihan suotavaa kaikelle mikä ei ole julkista).
 
Hieman ehkä off-topic -menen mutta, eikö tämä valelääkäri jäänyt kiinni juuri sen takia kun "oikeasti kuunteli asiakkaidensa huolia". Ns. aito lääkäri ei tietenkään millään tavoin kuuntele asiakkaitaan, kaataa vain lääketeollisuuden tuotteita maksimimäärän kurkusta alas ja kuittaa kys. lääkefirmalta bonukset yms. lahjukset. Tämä on sitä suomalaista ns. terveydenhoitoa.

Ja takaisin aiheeseen.

No ei se ainakaan kovin paska lääkäri voinut olla jos ketään ei kiinnostanut 10 vuoteen sen touhut. Tosin onhan Vaasassakin ollut ylilääkäreitä jotka ovat tehtailleet feikkilaskuja 10 vuotta, joten ei ketään tunnu kiinnostavan mikään seuranta.
 
HS.fi:ssä tänään: Psykoterapiakeskus Vastaamon mukaan sen asiakkaiden tietoja on voinut kadota ainakin kahden eri tietomurron yhteydessä vuosina 2018–2019.

Miten todennäköisenä pidätte tuota vain kahta tietomurtoa jos root:rootilla on päässyt sisään?

Pelkästään omaan raspiin tulee tunnin aikana näin monta yritystä kirjautua roottina sisään. Jos tuonne on vuosina 2018-2019 päässyt sillä sisään niin tunkeutujia lienisi kymmeniätuhansia. Toki en tiedä kuinka moni näistä on scriptattu kopioimaan tiedostoja (esim koko / talteen) ja kuinka suurta osaa käytetään ihan vaan dossaukseen tai muuhun spedeilyyn.

1603624391949.png
Skriptattujahan nuo ovat yleensä, mutta sitten kun skripti piippaa, että löytyi avoin palvelin, niin sen jälkeen vaihdetaan manuaalitoimiin.

Toki jos roottina pääsee sisään niin luulisi että automaattisesti poistetaan logeista jäljetkin?
Sen vuoksi ne logit pitääkin kirjoittaa jonnekin muualle. Tuskin on Vastaamossa huomioitu sitäkään.
 
Tätä nimenomaista keissiä tuntematta se versionvaihto ei ei nyt aina mene ihan sillä, että lataa uuden version sisään.

Tämähän se on luutavasti kaiken perseilyn juurisyy. Päivitys ei noin vai onnistukkaan versioita vaihtamalla vaan lähes kaikki pitää koodata uusiksi. Ja koska johto on keskittynyt vain kasvuun ja kasvuu kaikki tietoturvaan, järjestelmäuudistuksiin ja tietoarkkitehtuuriin liittyvät asiat on jääneet retuperälle.
Asiakkaita on tullut ikkunoista ja ovista sellaista tahtia ettei muuhun ole ollut aikaa. Tommonen 6-12kk johdon sitouttava järjestelmäprojekti on sula mahdottomuus tuollaista vauhtia kasvalle yritykselle.
 
Vastaamon potilasrekisterin tietosuojaselosteesta (korostukset mun), Kaikki viittaa siihen, että mitään palomuureja ei ole ollut, enkä ymmärrä, mistä auditoinnista nuo ovat voineet päästä läpi.

Onkohan tässä ihan vaan kylmästi valehdeltu?

Jos palvelimet on auditoitu, niin olisi oikein hyödyllistä tietää, kenen toimesta. Vastaamon toiminta loppuu tähän, auditointifirman saisi myös.
Tuohan tarkoittaa vain että hostauspalvelun tarjoajan tilat ja infra on auditoitu, kuten käytännössä kaikilla vähänkään uskottavilla palveluntarjojilla täytyy olla. Se miten asiakkat sitä infraa käyttää, ei kuulu auditoinnin piiriin.
 
  • Tykkää
Reactions: drs
Kuitenkin vaikuttaa tämänkin keskustelun pohjalta siltä että psykiatristen tietojen poistoa vaativat ne ihmiset jotka eivät tee töitä näiden asioiden kanssa.

Moni asia helpottuu merkittävästi, mikäli kohteelle voidaan suorittaa tahdonvastaisia toimenpiteitä (vaikka ne olisivatkin kohteen etujen mukaista). Ei se siitä sen hyväksyttävämpää tee. Etenkin digitalisaatio ja nyt todistettavasti tapahtuneet tietomurrot osoittavat, että täysivaltaiella yksilöllä on oltava oikeus poistattaa hoitohistoriansa vähintäänkin sähköisistä tietokannoista.

Jos potilas on niin pahassa jamassa, ettei pysty ymmärtämään poistovaatimuksen aiheuttamia seurauksia, niin sekin vähän asia erikseen, mutta silloinhan kaikki pakkohoitopykälät tms. astuvat kuvioon myöskin ja potilas ei ole enää täysivaltainen.
 
ihan höpö juttuja. Mitään järkeä ole poistaa niitä aikaisempia hoitotietoja. Hoito pitää aloittaa muuten ihan alusta ja pahimmillaan potilas kuolee sen takia.
Moni asia helpottuu merkittävästi, mikäli kohteelle voidaan suorittaa tahdonvastaisia toimenpiteitä (vaikka ne olisivatkin kohteen etujen mukaista). Ei se siitä sen hyväksyttävämpää tee. Etenkin digitalisaatio ja nyt todistettavasti tapahtuneet tietomurrot osoittavat, että täysivaltaiella yksilöllä on oltava oikeus poistattaa hoitohistoriansa vähintäänkin sähköisistä tietokannoista.

Jos potilas on niin pahassa jamassa, ettei pysty ymmärtämään poistovaatimuksen aiheuttamia seurauksia, niin sekin vähän asia erikseen, mutta silloinhan kaikki pakkohoitopykälät tms. astuvat kuvioon myöskin ja potilas ei ole enää täysivaltainen.
 
ihan höpö juttuja. Mitään järkeä ole poistaa niitä aikaisempia hoitotietoja. Hoito pitää aloittaa muuten ihan alusta ja pahimmillaan potilas kuolee sen takia.

No sitten kannattaa pitää niistä tiedoista huolta. Ei se niinkään voi mennä, että aina kun perseillään, niin sanotaan vaan "no sori nyt kauheesti" ja jatketaan samaa paskaa. Tätähän se on Suomessa.
 
Kohta (14.00) alkaa KRP:n livelähetys. Saas nähdä mitä kertovat... luulisi että tutkinnallisista syistä eivät voi mitään kommentoida :think:
Eipä tosiaan jäänyt käteen juuri mitään tuosta tiedotustilaisuudesta, mutta se nyt oli odotettavissakin.

Sellainen tuossa tarkentui, että Vastaamo on tehnyt rikosilmoituksen tietomurrosta Poliisille jo 29.9.2020. Kiristysviestien myötä yksittäisiä rikosilmoituksia on tehty jo nyt tuhansia.

Lisäksi tutkinnanjohtaja totesi, että vuodettujen tietojen katsominen voi olla rikos itsessään. Kuulostaa epämääräiseltä ja kyseenalaiselta. Tuohon olisi hyvä saada vahvistus, kun siitä on kuitenkin liikkeellä hyvin ristiriitaista tietoa, tässä yksi sellainen. Noita tietojahan on jaettu eri foorumeilla myös muiden viestien joukossa, joten niitä on moni nähnyt varmasti vahingossakin, eikä minun oikeustajuun mahdu että siitä voisi tulla rikos. Se on selvää, että tietojen levittäminen edelleen on rikos.
 
Viimeksi muokattu:
Eipä tosiaan jäänyt käteen juuri mitään tuosta tiedotustilaisuudesta, mutta se nyt oli odotettavissakin.

Sellainen tuossa tarkentui, että Vastaamo on tehnyt rikosilmoituksen tietomurrosta Poliisille jo 29.9.2020.
Jep, eli kuukausi ollut aikaa saada tekijä kiinni. Toivottavasti olen väärässä, mutta veikkaan että ei tule jäämään. Saas nähdä myös mitä sanktioita Vastaamolle tulee. Oma veikkaus on että ei mitään sanktioita, sen verran monia tietomurtoja ollut Suomessa eikä mistään ole tullut mitään.
 
Viimeksi muokattu:
ihan höpö juttuja. Mitään järkeä ole poistaa niitä aikaisempia hoitotietoja. Hoito pitää aloittaa muuten ihan alusta ja pahimmillaan potilas kuolee sen takia.
Höpö itsellesi. Tässä tapauksessa ei ole kaukaa haettua, että pahimmillaan potilas kuolee niiden tietojen takia.
 
Jep, eli kuukausi ollut aikaa saada tekijä kiinni. Toivottavasti olen väärässä, mutta veikkaan että ei tule jäämään.
Tietovarkauden uhrien kannalta ei alkuperäisen varkaan kiinnijäämisellä ole enää edes juurikaan merkitystä, koska kaikki varastettu data on jo mitä todennäköisimmin vuodettu eteenpäin, ja nyt niitä jahdattavia on vaikka kuinka paljon lisää.
 
Jep, eli kuukausi ollut aikaa saada tekijä kiinni. Toivottavasti olen väärässä, mutta veikkaan että ei tule jäämään. Saas nähdä myös mitä sanktioita Vastaamolle tulee. Oma veikkaus on että ei mitään sanktioita, sen verran monia tietomurtoja ollut Suomessa eikä mistään ole tullut mitään.

Eikös näissä kuitenkin EU käy päälle, ettei voi ihan vaan nimismiehen hyväveliratkaisuun jättää
 
MTV3:n sivuilta tämä sitaatti tilaisuudesta:

"14.28: Verkkoon vuodetun tiedon lukemisesta voi Leposen mukaan syyllistyä rikokseen. Käytännössä julkisuuteen vuodetusta tiedosta ei tule missään vaiheessa julkista, joten se on kyllä rikos."

Että taas tällaista infoa poliisin suunnalta, oikeustieteen proffat oli ihan eri linjoilla.

Kevennyksenä, joku jossain heitti, että kyllä Vastaamon tietosuojavastaava on kova koodaamaan, kun alle vuorokaudessa koodasi itselleen uuden tittelin. :wtf:
 
MTV3:n sivuilta tämä sitaatti tilaisuudesta:

"14.28: Verkkoon vuodetun tiedon lukemisesta voi Leposen mukaan syyllistyä rikokseen. Käytännössä julkisuuteen vuodetusta tiedosta ei tule missään vaiheessa julkista, joten se on kyllä rikos."

Että taas tällaista infoa poliisin suunnalta, oikeustieteen proffat oli ihan eri linjoilla.

Kevennyksenä, joku jossain heitti, että kyllä Vastaamon tietosuojavastaava on kova koodaamaan, kun alle vuorokaudessa koodasi itselleen uuden tittelin. :wtf:
Saman noteerasin kun kysyttiin tuosta tietojen katsomisesta. Tavallaan ymmärrettävää. Eihän poliisi nyt voi julkisessa tiedotustilaisuudessa julistaa että "lukekaa vaan kunhan että kerro muille mitä luitte". Ja onhan tuossa se, että eittämättä osa jumalaa pelkäävistä välttelee tuon lausunnon jälkeen näitä tietoja kaikin keinoin, ettei vaan joudu linnaan.
 
MTV3:n sivuilta tämä sitaatti tilaisuudesta:

"14.28: Verkkoon vuodetun tiedon lukemisesta voi Leposen mukaan syyllistyä rikokseen. Käytännössä julkisuuteen vuodetusta tiedosta ei tule missään vaiheessa julkista, joten se on kyllä rikos."

Että taas tällaista infoa poliisin suunnalta, oikeustieteen proffat oli ihan eri linjoilla.

Kevennyksenä, joku jossain heitti, että kyllä Vastaamon tietosuojavastaava on kova koodaamaan, kun alle vuorokaudessa koodasi itselleen uuden tittelin. :wtf:

Varmaam Costa Concordian kapteenina olisi koodannut titteliksi pursimies. Aika hienoa vastuunkantoa.
 
Hyvä puoli koko hommassa on, että nyt on vähän pakko muidenkin terveydenhoitopalveluita tuottavien pakko tehdä muutoksia tietoturvaansa, jos eivät halua samanlaista juttua tulevaisuudessa

Voiko verkossa oleva tieto olla koskaan turvassa? Ainahan hakkerit on olleet askeleen edellä. Eiköhän joku päivä meidän kaikkien potilastiedot oo verkossa kaikkien nähtävillä.
 
Tätä nimenomaista keissiä tuntematta se versionvaihto ei ei nyt aina mene ihan sillä, että lataa uuden version sisään.
Niin ja myöhästä se on nyt enää päivitellä, kun kakka on roiskunut jo!
Ja siks toisekseen eikait tässä nyt php oo porsinu, jos adminin salsana on ollu helposti arvattava?
Ja kyllä tossa ois jo aika koko servun käyttis (Ubuntu 16.04) päivitellä kun alkaa päivittelee, kun tuki loppuu ens huhtikuussa... :smoke:
 
Voiko verkossa oleva tieto olla koskaan turvassa? Ainahan hakkerit on olleet askeleen edellä. Eiköhän joku päivä meidän kaikkien potilastiedot oo verkossa kaikkien nähtävillä.

Niin kauan kun ihmiset näistä vastaa niin ei. Aina joku töppäilee ja jättää salasanat rootiksi tai muuta yhtä fiksua.
 
Lisäksi tutkinnanjohtaja totesi, että vuodettujen tietojen katsominen voi olla rikos itsessään. Kuulostaa epämääräiseltä ja kyseenalaiselta. Tuohon olisi hyvä saada vahvistus, kun siitä on kuitenkin liikkeellä hyvin ristiriitaista tietoa, tässä yksi sellainen. Noita tietojahan on jaettu eri foorumeilla myös muiden viestien joukossa, joten niitä on moni nähnyt varmasti vahingossakin, eikä minun oikeustajuun mahdu että siitä voisi tulla rikos. Se on selvää, että tietojen levittäminen edelleen on rikos.

Tälle itsekin naureskelin. Vähän sama kuin postilaatikosta tulisi kirje jonka lukemisesta syyllistyisi rikokseen. Joku jonne printtaa tiedot ja laittaa postilaatikosta sisään, niin kyllähän se Jonne siitä rikokseen syyllistyy mutta kirjeen vastaanottaja myös kun lukee sen? Eihän kukaan normaali ihminen edes voi tietää milloin mikäkin tieto on oikeaa salassapidettävää ja mikä tieto on jonkun Yliksen jonnen keksimä potilastarina. Mistä siis tietää lukeeko nyt jotain oikeaa salassa pidettävää tekstitiedostoa vai trollia? Eihän sitä voikaan tietää ellei lue omia tietojaan :D
 
Varmaam Costa Concordian kapteenina olisi koodannut titteliksi pursimies. Aika hienoa vastuunkantoa.
Mahtaako tuokaan mennä ihan pykälien mukaan Vastaamolla. 22.10 asti tietosuojavastaavana oli firman oma mies Sami Keskinen. Nyt tietosuojavastaavaksi on nimetty Fondia.

Tietosuojavastaava on organisaation sisäinen asiantuntija, joka seuraa henkilötietojen käsittelyä ja auttaa tietosuojasäännösten noudattamisessa.
Mahtaneeko riittää että tietosuojavastaavaksi ilmoitetaan ulkopuolinen oikeushenkilö?
 
Tälle itsekin naureskelin. Vähän sama kuin postilaatikosta tulisi kirje jonka lukemisesta syyllistyisi rikokseen. Joku jonne printtaa tiedot ja laittaa postilaatikosta sisään, niin kyllähän se Jonne siitä rikokseen syyllistyy mutta kirjeen vastaanottaja myös kun lukee sen? Eihän kukaan normaali ihminen edes voi tietää milloin mikäkin tieto on oikeaa salassapidettävää ja mikä tieto on jonkun Yliksen jonnen keksimä potilas tarina. Mistä siis tietää lukeeko nyt jotain oikeaa salassa pidettävää tekstitiedostoa vai trollia? Eihän sitä voikaan tietää ellei ole itsestään kyse :D

Koitetaan vaan pelotella lainkuuliaisia ihmisiä. Joku joka oikeesti haluaa noita lukea, niin ei sellanen piittaa onko se laillista vai saako siitä mahdollisesti 5€ sakon. :lol:
 
Yksittäisellä (henkilöllä) yksityisellä terveydenhuollon toimijalla on lain puolesta mahdollisuus kirjata tiedot vaikkapa siihen ruutuvihkoon, mutta lain mukaan niitä tulee säilyttää vielä 12v pot kuoleman jälkeen. Näin sanoo laki. Jos lakiin haluaa muutoksia niin siitä vain ajamaan asiaa eteenpäin, kuitenkin terveydenhuolto toimii tällä hetkellä näiden lakien ja säädösten mukaisesti. Tästä taustasta on helppo ymmärtää miksi yrityksen tarjoama potilastietojärjestelmä on tuntunut isolta plussalta ja varmaan ollut yksi syy siihen miksi yksityisenä toimijana haluaisi mennä tuonne työskentelemään.


Onkohan asia ihan noin mitä annat ymmärtää? Kertomasi on ristiriidassa itse löytämieni tietojen kanssa. Katso esimerkiksi alta.


HENKILÖTIETOJEN KÄSITTELYN TARKOITUS
Kasvun kausia tallentaa ja käsittelee henkilötietoja EU:n yleisen tietosuoja-asetuksen (GDPR 2016/679) sekä nykyisen Henkilötietolain (523/1999) mukaisesti. Asiakkaan kanssa käytyjä keskusteluja ei ole tarpeellista tallentaa tai referoida yksityiskohtaisesti.

REKISTERIN SUOJAUKSEN PERIAATTEET

MANUAALINEN AINEISTO

Manuaaliset tiedot säilytetään lukon takana olevissa tiloissa. Terapiassa kerätyt tiedot voidaan asiakkaan toiveen mukaan tuhota heti terapian päätyttyä tai ne voidaan säilyttää enintään vuoden ajan terapeutin hallussa, mikäli asiakas haluaa palata terapiaan uudelleen.

SÄHKÖINEN AINEISTO

Rekisterin käsittelyssä noudatetaan huolellisuutta ja tietojärjestelmien avulla käsiteltävät tiedot suojataan asianmukaisesti. Rekisterinpitäjä huolehtii siitä, että tallennettuja tietoja sekä palvelimien käyttöoikeuksia ja muita henkilötietojen turvallisuuden kannalta kriittisiä tietoja käsitellään luottamuksellisesti ja vain niiden työntekijöiden toimesta, joiden työnkuvaan se kuuluu. Asiakkaiden yhteystietoja tallentuu kotisivuille, mikäli asiakas lähettää yhteydenottopyynnön. Lisäksi asiakkaan nimi ja sähköposti ovat Ukko pro palvelun asiakasrekisterissä, jota kautta hoidetaan laskutus. Ukko prolla on oma henkilötietoselosteensa.


Eli oman käsitykseni mukaan laki ei edellytä tarkkojen keskusteluiden kirjaamista vuosikausiksi. Toki tuntimerkintä jokaisesta käynnistä tulee säilyttää pidempään. Tuntimerkintä voi olla typistetympi eikä sen tarvitse sisältää arkaluontoisia yksityiskohta.

Harvemmin sitä kirjaamista mietitään siltä kantilta, että entäs jos nämä tiedot vuotaa, eikä tarvitsekaan miettiä mielestäni. Jos jätän lausunnosta oleellista tietoa pois koska pelkään tietojen vuotavan, ei potilas välttämättä saa vastaanottavalla taholla asianmukaista hoitoa.

Kannattaisi alkaa ajattelemaan. Ihan selvästi GDPR:n ajatus on se, että ylimääräistä tietoa ei tule tallentaa. Mikään järjestelmä ei ole 100% varma ja tämä pitää ottaa aina huomioon toiminnassa. Nyt nähdään mitä tapahtuu, kun ei ole otettu. Hoidon antaminen ei poista velvollisuutta pyrkiä kaikessa toiminnassa varmistamaan asiakkaan tietosuoja parhaalla mahdollisella tavalla, kuten laki edellyttää.
 
Viimeksi muokattu:
Jos nuo versiotnumerot aimmin pitää paikkaansa, niin ei, tietoturvapäivitykset vuodelta 2015.
Ja tämähän ei välttämättä pidä paikkaansa. Esim. Ubuntu 16.04 LTS on tarjonnut korjauksia PHP haavoittuvuuksiin ainakin vielä tänä keväänä. Vaikka virallisesti PHP 5.x on jo aikaa sitten kuopattu. Muistaakseni Ubuntun LTS versioihin tarjotaan tietoturvapäivityksiä vähintään 5 vuotta.

Mutta toisaalta ei ole tullut vastan mitään mikä todistaisi, että näihin palvelimiin olisi päivityksiä asenneltu. Ja mikäli pitää paikkansa, että läpi on menty sen omavalmistetta olevan häkkyrän paskasta koodista johtuen, niin ei siinä mitkään versiopäivitykset auta.
 
Viimeksi muokattu:
Koitetaan vaan pelotella lainkuuliaisia ihmisiä. Joku joka oikeesti haluaa noita lukea, niin ei sellanen piittaa onko se laillista vai saako siitä mahdollisesti 5€ sakon. :lol:
Se on selvää, mutta ei oikein mahdu tähän kuvioon sekään, jos poliisimies valehtelee tiedotustilaisuudessa toimittajalle ja yleisölle tällaisessa kysymyksessä. Kai tuolla on jotain totuuspohjaa oltava, tai sitten herra tutkinnanjohtaja kämmäsi.
 
Se on selvää, mutta ei oikein mahdu tähän kuvioon sekään, jos Poliisi valehtelee tiedotustilaisuudessa toimittajalle. Kai tuolla on jotain totuuspohjaa oltava, tai sitten herra tutkinnanjohtaja kämmäsi.

Kai siinä totuuspohjaa on. Toki hieman erikoista kohkata siitä tässä vaiheessa. Toki unohtuu koodarit tässä kun ruvetaan jotain lukijoita metsästämään. Se kai tarkoitus onkin.
 

Statistiikka

Viestiketjuista
259 337
Viestejä
4 504 900
Jäsenet
74 383
Uusin jäsen
pskrn

Hinta.fi

Back
Ylös Bottom