Tulostusversio

2/2015

Lokit esiin harkiten

Teksti: Kirsi Castrén
Kuvat: Plugi

TS_22015_Lokit.jpgSosiaali- ja terveydenhuollossa asiakkaalla on oikeus saada ilman erityistä syytä tietää, ketkä työntekijät ja mihin tarkoituksiin ovat käsitelleet hänen tietojaan viimeisen kahden vuoden aikana. Asiakastietojen käsittelyssä ja sen lainmukaisuuden valvonnassa voidaan joutua tulkintavaikeuksiin, kun halutaan suojata sekä asiakkaan että työntekijän yksityisyyttä.

Sairaalan osastosihteeri selaa potilasasiakirjoja tarkistaakseen laskutusta. Tieto selailusta menee potilastietojärjestelmän ns. lokiin, johon järjestelmä kerää tiedot potilastietojen käytöstä. Tähän työrupeamaan hän joutuu palaamaan muistikuvissaan vielä monta kertaa, sillä myöhemmin sairaalan tietoturvaryhmä pyytää häneltä vastinetta potilaan tekemän lokien tarkistuspyynnön vuoksi. Osastosihteeri kertoo joutuneensa tarkistamaan potilaiden diagnooseja laskutuksen vuoksi. Vastine ei tyydytä tietoturvaryhmää, ja asiasta tiedotetaan sekä potilaalle että osastosihteerin uudelle työnantajalle. Osastosihteeri hankkii ATK-palveluntuottajalta laadunvarmistuslistan, joka osoittaa hänen käsitelleen tietoja määräysten mukaisesti, ja liittää sen vastineeseensa. Hänet vapautetaan epäilyistä, mutta hän katsoo maineensa tahriintuneen ja kantelee eduskunnan oikeusasiamiehelle. Oikeusasiamies toteaa tietoturvaryhmän selvittäneen asiaa puutteellisesti ja pyytää kuntayhtymää tarkistamaan menettelynsä lokitietojen selvittämisessä.

Tositapaus vuodelta 2009 osoittaa, kuinka sosiaali- ja terveydenhuollon asiakastietojen käsittelijät ja tietojen käytön lainmukaisuuden valvojat joutuvat usein tekemään työtään kieli keskellä suuta.

Vastaava on usein yksin

Ylitarkastaja Arto Ylipartanen tietosuojavaltuutetun toimistosta näkee käytönvalvonnan suurimmaksi ongelmaksi tietosuojavastaavien niukat resurssit. Vastaava joutuu myös usein ratkaisemaan vaikeatkin tulkintaongelmat yksin.

"Tietosuojavastaavan olisi hyvä toimia ryhmässä arkistovastaavan, potilasasiamiehen, tietoturvapäällikön ja mahdollisen lakimiehen kanssa”, hän sanoo.

Terveydenhuollon organisaatiot, joissa on varaa päätoimiseen tietosuojavastaavaan, voi laskea yhden käden sormilla. Valtaosa tietosuojavastaavista tekee työtään oman toimensa ohella.

"Monissa kunnissa tietosuojavaltuutetuilla ei ole riittävästi ajallisia resursseja eikä kunnollisia työvälineitä", Ylipartanen toteaa.

Hän muistuttaa EU:n valmisteilla olevasta tietosuoja-asetuksesta, joka antanee kansalliselle viranomaiselle oikeuden sakottaa organisaatioita, joiden tietosuoja-asiat eivät ole kunnossa.

Käyttötieto on myös henkilötieto 

Asiakastietojen käsittelyn selvittäminen vie lähes kolmanneksen Tampereen kaupungin tietosuojavastaavan Ari Andreassonin työajasta. Tietopyynnön tuottamien käyttö- eli lokitietojen määrä saattaa olla valtava:

"Esimerkiksi tällä viikolla eräs henkilö vaati lokitietoja seitsemän vuoden ajalta", Andreasson kuvaa.

"Pelkästään kahden kuukauden ajalta tulostetuista lokeista kertyi 90 sivua."

Vastaavien tilanteiden välttämiseksi tietojen saatavuutta on rajattu. Sosiaali- ja terveydenhuollon asiakastietolain mukaan käyttötiedot on luovutettava asiakkaalle ilman erityistä perustetta kahdelta vuodelta ja vain poikkeuksellisesti myös pitemmältä ajalta. Lokitietoja pitää säilyttää sosiaali- ja terveydenhuollossa 12 vuotta.

Lokeja ei saa selata kuka tahansa, sillä ne ovat asiakastietoja käsitelleen työntekijän henkilötietoja. Ari Andreassonin mukaan Tampereella käytössä olevaan Pegasos-tietojärjestelmään tehtiin hiljattain parannus, jossa nyt myös lokien katsomisesta jää lokitiedot.

Nimet annettava pyydettäessä

Sosiaali- ja terveydenhuollon asiakastietolain mukaan potilaalla on oikeus saada tietää, ketkä hänen tietojaan ovat käsitelleet. Yksiköt voivat kieltäytyä antamasta näitä tietoja vain, jos siitä katsotaan olevan vakavaa vaaraa henkilölle itselleen, hänen hoidolleen tai jonkun muun oikeuksille.

Ari Andreasson muistaa Tampereelta vain yhden tapauksen, jossa tietojen antamisesta on kieltäydytty. Perusteena oli henkilön vakava vainoharhainen psykoositausta. Seminaareissa Andreasson kertoo kuitenkin kuulleensa eri kunnista sellaisiakin käytäntöjä, ettei tietoja käsitelleiden työntekijöiden nimiä luovuteta.

"Silloin todetaan vain, että lokit on tarkastettu, eikä asiatonta käyttöä ole havaittu. Tai jos on havaittu, saatetaan antaa jatko-ohjeita", Andreasson kuvaa.

Arto Ylipartanen tietosuojavaltuutetun toimistosta sanoo, että kieltäytyminen käyttötietojen antamisesta on aina harkittava erikseen.

"Yksikön johto ei esimerkiksi voi tehdä kategorisesti päätöstä, ettei työntekijöiden nimitietoja anneta sillä perusteella, että siitä ehkä aiheutuu vaaraa. Pääsääntöisesti vaaraa ei ole, ja kieltäytymisen tulee olla poikkeus."

Oppimista vai uteliaisuutta?

Tietosuojavaltuutettu antoi vuonna 2011 lausunnon tapauksesta, jossa lääkärit ja hoitajat olivat katsoneet potilaan tietoja hoitosuhteen päätyttyä. Tietosuojavaltuutetun mukaan hoidosta vastanneilla oli oikeus katsoa tietoja ammatillisen oppimisen tarkoituksessa, vaikka terveydenhuollon potilaslaki ei tällaista oikeutta tunnekaan. Koska lain määritelmä potilasrekisterin käyttötarkoituksesta kattaa myös hoidon seurannan, ei tietojen katselu rikkonut henkilötietolakia.

Arto Ylipartanen varoittaa yleistämästä liikaa ratkaisun perusteella:

"Kun potilaan tietoja katsotaan ammatillisen oppimisen vuoksi, tarvitaan aina tapauskohtaista harkintaa."

Ari Andreasson ehdottaa, että ammatillisesta kehittymisestä huolehdittaisiin esimerkiksi entisten ja nykyisten hoidosta vastaavien tapaamisilla. Niihin pyydettäisiin potilaan suostumus.

"Muuten tilanne riistäytyy käsistä ja kuka tahansa voi ammatillisen kehittymisen nimissä mennä käytännöllisesti katsoen kenen tietoihin tahansa.”

Tietosuojavastaava Helena Eronen Pohjois-Savon sairaanhoitopiiristä on samaa mieltä:

"Raja uteliaisuuden ja ammatillisen kehittymisen välillä on häilyvä."

Hoidosta vastannut voi Erosen mukaan saada tietoa potilaan voinnista potilasrekisteriä avaamattakin:

"Melko yleinen käytäntö lienee, että kysytään potilaan vointia tämän siirryttyä toiselle osastolle. Näin pystytään kartoittamaan, tuliko tehdyksi oikeat hoitoratkaisut."

Ajatus luvan kysymisestä potilaalta seurantaa varten on Erosen mielestä pohtimisen arvoinen. 

"Luvan dokumentoimiseksi ei kuitenkaan toistaiseksi ole käytäntöä eikä esimerkiksi lomaketta, johon suostumus kirjattaisiin.”

Lue myös

Käytönvalvonta: Työntekijät kaipaavat neuvoja »
Käytönvalvonnan viisi vinkkiä »

Bookmark and Share
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi
Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.