Varoitus! Kanta-palveluiden logoa käyttäviä huijauksia liikkeellä.

Tietoomme on tullut, että nyt huijarit ovat tällä hetkellä erittäin aktiivisia kalastelemaan pankkitunnuksia Kanta-palveluiden nimissä esitetyillä huijausviesteillä. Myös palveluntarjoajille on tullut kysymyksiä aiheesta.

Viimeisin nähty huijausviesti on näyttänyt seuraavanlaiselta:

Älkää missään nimessä klikatko tällaisen viestin yhteydessä olevaa linkkiä tai jos klikkaatte, niin älkää ainakaan syöttäkö sen jälkeen pankkitunnuksia tai antako muutakaan tietoa, jollaista ei normaalisti kysytä.

Monessa tapauksessa on paljon apua jos muistaa vilkaista palveluita käyttäessään sivun osoiteriviä. Jos sivun osoiterivin loppuosa on jotain muuta kuin olet tottunut näkemään, pitäisi ”hälytyskellojen soida” ja olla varuillaan. Esimerkiksi kanta.fi -sivustolla tärkeää on että viimeisen pisteen ympärillä oleva teksti on tarkalleen kanta.fi, jolloin tiedät että verkkotunnus on kanta.fi -palveluiden alainen.

Alla oleva verkkotunnus on oikea osoite, jollaisen voi löytää selaimen ylälaidasta vieraillessaan Omakanta-palveluiden kirjautumiseen johtavalla sivulla.

Jos tämän sijaan esimerkiksi sivuston osoite on ”kanta.fi.luotettava.com”, tai s-pankki.fi.luotettava.com, niin tällöin et ole menossa kanta.fi tai s-pankki.fi -palveluihin vaan verkkotunnukseen ”luotettava.com”, joka voi todellisuudessa olla kaikkea muuta kuin luotettava.

Vastaavasti osoite ”kirjautuminen-s-pankki.fi” voi olla kenen tahansa rekisteröimä osoite, kun taas ”kirjautuminen.s-pankki.fi” on s-pankki.fi verkkotunnuksen alainen alidomain.

Seuraa siis kahta viimeistä pisteen erottamaa sanaa. Niiden täytyy olla oikeassa verkkotunnuksessa. Ei ole pahitteeksi opetella muistamaan mitä sivustoja normaalisti käyttää, jolloin muiden turvallisuusohjeiden lisäksi on yksi mahdollinen pykälä enemmän havaita väärinkäytöksen riskejä.

Palveluntarjoajille voi tulla myös vastaan tilanteita, joissa juuri käynyt potilas on saanut tällaisen viestin. He saattavat kysyä teiltä esimerkiksi: ”Miksi Omakanta sanoo että tili on poistettu käytöstä?” Silloin on syytä epäillä huijausta ja varoittaa asiakasta.

Kanta-palvelut tai Ajas eivät lähetä tällaisia linkkejä.

Jos saat vastaavan viestin, ilmoita asiasta kyberturvallisuuskeskukselle osoitteessa:
https://www.kyberturvallisuuskeskus.fi/fi/ilmoita

Tarvitseeko koulutetun hierojan tai hierojan liittyä Kantaan?

Meille tulee toistuvasti esille tämä kysymys, että milloin hierojan tarvitsee liittyä Kanta-järjestelmään tai tarvitseeko lainkaan.

Vastaus (vuoden 2024 tilanne)

Lain mukaan Valviran rekisteriin merkityn, ”koulutettu hieroja” -nimikkeellä toimivan palveluntarjoajan, tulee muutamaa laissa sallittua poikkeustilannetta lukuunottamatta, liittyä Kanta-palveluihin. Siinä tapauksessa onkin varminta liittyä ja käyttää sertifioituja ja tietoturvallisia potilastietojärjestelmiä. Näin ei tarvitse turhaan stressata sitä, noudattaako varmasti lakia.

Toisaalta tavallisen hierojan tai muunkaan palveluntarjoajan, joka ei ole Valviran rekisterissä ja siten terveydenhuoltoalan sääntelyn piirissä, ei tarvitse liittyä Kantaan. Yritys voi tällöin täysin huoletta käyttää ajanvarauksiin sekä muihin toimiin sertifioitua ja turvallista A1-luokan järjestelmää ilman Kantaan liittymisvelvoitetta.

Milloin hierojan ei siis tarvitse liittyä Kantaan?

  • Jos ei toimi nimikkeellä koulutettu hieroja
  • On koulutettu hieroja, mutta poistaa yrityksensä rekisteristä

Milloin rekisteröidyn, koulutetun hierojan ei esimerkiksi tarvitse liittyä Kantaan?

  • Toiminta on pienimuotoista
  • Kirjaukset ja potilastiedoksi luokiteltavat asiat hoidetaan paperilla, ei sähköisillä järjestelmillä.
  • Ajanvaraus hoidetaan paperilla tai siihen ei tallenneta tietoja. Ajanvarausmerkintä on katsottu terveystiedoksi (tietosuojavaltuutetun toimiston ratkaisu)

Miksi kaikki koulutetut hierojat eivät suosiolla poista itseään Valviran rekisteristä, Kanta-velvoitteen välttämiseksi?

  • Vain terveydenhuoltoalan sääntelyn piirissä olevat ammattilaiset ovat vapautettu arvonlisäverosta. Sen jälkeen kun yritys poistuu Valviran rekisteristä, yrittäjällä ei ole oikeutta myydä esimerkiksi hierontapalveluita ilman arvonlisäveroa toimialan perustella. (Pienimuotoisen toiminnan alv-velvoitteesta vapautuksen alaraja on asia erikseen.)
  • Koulutettu hieroja -nimike tuo palvelusta selkeästi korkeamman laatuvaikutelman.
  • Potilasvakuutusta ei saa kuin nimikesuojattu, rekisteröity palveluntarjoaja. Jos rekisteröimättömän yrityksen toiminnassa tulisi hoitovirhe, niin vakuutus ei korvaa.

Koska nykyään tietosuojavaatimukset jatkuvasti tiukentuvat, on suositeltavaa joka tapauksessa käyttää hoitotietojen käsittelyyn sertifioitua järjestelmää. Samoin helpoimmalla pääsee myös liittymällä Kanta-palveluiden piiriin, mikäli kyseinen velvoite koskee yritystäsi. Tällöin ei tarvitse myöskään stressata siitä, onko järjestelmä lain mukainen.

Suosittelemme vilpittömästi käyttämään kaikessa terveydenhoitoon liittyvässä työssä ja liiketoiminnassa A-luokkaan rekisteröityjä järjestelmiä, kuten Ajas.

Onko terveydenhoitoalan ajanvarausmerkintä potilastietoa? Tarvitaanko vahva tunnistautuminen?

Terveydenhuollon sähköisen ajanvarauksen luokittelu potilastiedoksi ja sen mukanaan tuomat vahvan tunnistautumisen vaatimukset ovat herättäneet laajaa keskustelua. Joulukuussa 2023 apulaistietosuojavaltuutetun päätös korosti, että terveydenhuollon sähköisissä ajanvarauksissa on käytettävä luotettavaa tunnistautumista. Tämän päätöksen perustelut osaltaan vahvistavat, että terveydenhuollon ajanvaraustiedot kuuluvat potilaslainsäädännön piiriin. Tarkastelemme artikkelissa, miten tämä vaikuttaa terveydenhuoltopalveluiden tarjoajiin, erityisesti niiden käyttäessä sähköisiä ajanvarausjärjestelmiä, jotka eivät tue vahvaa tunnistautumista, ja miten se vaikuttaa potilaiden tietosuojaan.

Viime aikoina on muutamilla asiakkaillamme ilmennyt epäselvyyttä siitä, että onko sähköinen ajanvaraus potilastietoa ja tulisiko niissä käyttää vahvaa tunnistautumista.

Tämä kysymys on liittynyt osittain myös aiheeseen, jossa on pohdittu onko yrityksellä velvoitetta liittyä Kantaan, jos kirjaa varsinaiset potilastietomerkinnät paperiarkistoon ja ajanvarauksen hoitaa Kanta-yhteensopimattomalla sähköisellä järjestelmällä.

Apulaistietosuojavaltuutettu on joulukuussa 2023 antamassaan päätöksessään määrännyt, että henkilö on tunnistettava terveydenhuollon sähköisessä ajanvarauksessa luotettavasti. Luotettavana tunnistamismenetelmänä pidetään ainakin vahvaa sähköistä tunnistautumista. Hän katsoo, että esimerkiksi pelkästään henkilötunnuksen sekä etu- ja sukunimen kysyminen verkkoajanvarauksen yhteydessä ei todenna henkilöllisyyttä sähköisessä asioinnissa. Lisää aiheesta täältä.

Tapauksessa lopputulos oli, että vahva tunnistautuminen on aina tehtävä etävastaanoton palveluissa. Käsittelyn yhteydessä ilmenee, että itse asiassa kaikissa terveydenhuollon varauksissa olisi syytä olla vähintään jonkin tasoinen tunnistautuminen, mutta vahva tunnistautuminen katsotaan varmimmaksi keinoksi.

Ajas-järjestelmä tukee vahvaa tunnistautumista ja sen saa käyttöön helposti pyytämällä asiakaspalvelusta. Sen jälkeen varaajan henkilöllisyys on tiedossa.

Samassa yhteydessä on tulkittu, onko ajanvarausmerkintä potilastietoa. Finlex-sivuston päätöksessä asiaan liittyen löytyy maininta ”Terveydenhuollon ajanvaraustiedot ovat laissa potilaan asemasta ja oikeuksista 1992/785, (potilaslaki) tarkoitettuja potilasasiakirjoja, ja laissa sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (2021/784, asiakastietolaki) tarkoitettuja potilastietoja. Terveydenhuollon ajanvaraustiedot sisältyvät yleisen tietosuoja-asetuksen (EU) 2016/679 9 artiklan mukaisiin erityisiin henkilötietoryhmiin.”

Jos käyttää ylipäätään sähköistä ajanvarausta terveydenhuollon palveluihin, on todennäköistä että käsittelee potilastietoja sähköisesti. Toisaalta silloin jos katsotaan potilastietoja käsiteltävän sähköisesti, ajanvarausjärjestelmän tulisi olla Valviran rekisterissä, jotta sitä voi käyttää terveydenhuollon toimialan ajanvaraukseen. Tällöin pitäisi myös liittyä Kantaan.

Terveydenhuollon ajanvarausmerkinnät voidaan katsoa siis uusimpien, artikkelissa viitattujen lainausten mukaan potilastiedoksi. Terveydenhuollon ajanvarauksessa tulisi myös käyttää tunnistautumista.

Asiakastietolain muutoksista

Laki asiakastietojen sähköisestä käsittelystä muuttui vuosi sitten, marraskuussa 2021 https://finlex.fi/fi/laki/ajantasa/2021/20210784. Kiteytettynä: A-luokan järjestelmän käyttö on pakollinen, jos käyttää sähköisiä järjestelmiä missä tahansa hoitoketjun vaiheessa tai asiakastietojen tallentamisessa. Poikkeuksena: Jos ajanvarauksen, asiakasrekisterin ja hoitokirjaukset tekee paperilla, silloin tämä Kanta-yhteensopivuus ei ole pakollinen vaan toimintaa voi jatkaa kuten ennenkin.

Ajas on hankkinut sertifikaatin A1-luokan potilastietojärjestelmäksi syyskuussa 2022. Ajas-järjestelmä täyttää siis kaikki sille asetetut vaatimukset hyvissä ajoin ennen siirtymäajan päättymistä 1.1.2024.

Muutamat käyttäjät ovat ymmärtäneet asian väärin sillä tavoin, että Kanta-liitynnältä voisi välttyä vaihtamalla ajanvarauksen ja asiakasrekisterin järjestelmään, joka ei ole potilastietojen käsittelyyn sertifioitu A-luokan järjestelmä. Tämä käsitys ei kuitenkaan pidä paikkansa. Sillä ei ole merkitystä mitä sähköistä järjestelmää käyttää, jos käyttää ylipäätään asiakastietojen käsittelyyn jotain digitaalista järjestelmää. Näin ollen on varmempi valita A-luokan järjestelmä aina jos tekee mitä tahansa hoitotyötä.

Se ei ole lopulta edes paljoa B-luokan järjestelmää kalliimpi. Esimerkiksi Ajas-Asiakashallinta + Kanta-liityntä maksaa alkaen vain 45 €/kk.

Ajas täyttää nyt A1-luokan potilastietojärjestelmän vaatimukset

Olemme suorittaneet ulkoisen auditoinnin, jossa varmistettiin että järjestelmän tietoturva täyttää sille laissa asetetut vaatimukset. Auditoinnin myötä saimme sertifikaatin A1 -luokan järjestelmäksi.

Sertifioinnin myötä Ajas täyttää uudistetun asiakastietolain vaatimukset Kantaan liittyvien järjestelmien osalta jo hyvissä ajoin ennen siirtymäajan päättymistä.

Nettivarauksen versiopäivitys 27.6.2022

Nettivaraukseen on tehty versiopäivitys maanantaina 27.6.

Uusia ominaisuuksia:

  • Infopainikkeita on lisätty eri puolille nettivarausta:
    • Suppea-näkymän valitsimiin.
    • Lisäpalveluille varauslomakkeella.
    • Lisäpalveluille onnistuneen varauksen jälkeen.
  • Asiakkaiden tietoturvaa on parannettu entisestään. Tästä johtuen jotkut asiakkaat saattavat joutua syöttämään osan tiedoistaan uudelleen varauslomakkeella.
  • Alussa näkyvän latausikonin toimintaa on paranneltu. Tähän on nyt myös mahdollista saada oma logo Ajas-logon tilalle. Jos olet kiinnostunut tästä, otathan yhteyttä asiakaspalveluumme.
  • Perinteinen-, Ruudukko- ja Lista-näkymissä haetaan lisää vapaita aikoja seuraavan 6 kuukauden ajalta aiemman 4 viikon sijaan.