Terveyspalveluiden tietosuoja GDPR:n lähestyessä

Tietoturvan ja tietosuojan hallintajärjestelmiin on tulossa toukokuussa 2018 merkittävä muutos Euroopan unionin uuden tietosuoja-asetuksen (GDPR) myötä. GDPR on tuomassa uusia ja merkittävästi tiukempia toimintamalleja kaikkeen henkilötietojen käsittelyyn. Jo nyt hakusana GDPR antaa googlessa yli 10 miljoonaa osumaa ja luku tulee kasvamaan kevään edetessä.

Terveydenhuollon alalla muutokset eivät lopulta ole niin merkittäviä kuin on pelätty. Merkittävä osa asetuksen tuomista käytännöistä on ollut olemassa Suomen terveydenhuollossa jo vuosia ja GDPR tuo tervetulleena uudistuksena joukon uusia käytäntöjä, kuten 72 tunnin ilmoitusvelvollisuus sekä asiakkaiden informointivelvollisuus tietyissä tilanteissa. Suomalainen terveydenhuolto toimii jo pitkälti ohjeiden mukaisesti ja on avoimesti myös tiedottanut tietoturvaongelmista julkisesti. Uskon, että sama linja leviää GDPR:n myötä myös yksityiselle terveyspalvelualalle. GDPR:n keskeisin hyöty tulee yhtenäisten ja tehokkaiden dokumentoitujen toimintamallien myötä. GDPR:n myötä korostuu myös aktiivisen valvonnan tarve, koska poikkeamiin pitää puuttua välittömästi. Tämä tulee edellyttämään IT-ratkaisujen kehittämistä automaattisemmaksi. Erityisesti käytönseurannan automatisointia tullaan selvittämään.

Viime aikoina julkisuudessa on ollut lukuisia kirjoituksia Kelan Kanta-palveluiden tietosuojasta. Kirjoitukset ovat henkineet huolta siitä, että ’tietoja voi tutkia vapaasti’ ja ’ilman valvontaa’. Lisäksi on kyseenalaistettu sitä, että onko yleensä järkevää keskittää tietoja yhteen suureen tietovarastoon. Olen ollut työni puitteissa tekemisissä Kelan Kanta-palveluiden kanssa jo vuosia ja kokemuksesta voin sanoa, että huoli on monelta osin tarpeeton.

Julkisuudessa esitetyt kommentit ovat keskittyneet siihen, että Kelan Kanta-palveluita voi käyttää kuka tahansa terveydenhuollon ammattihenkilö, ilman mitään valvontaa. Käytännössä tilanne ei ole tällainen. Jotta ammattilainen yleensä voi käyttää Kanta-palveluita tulee hänellä olla voimassa oleva Terveydenhuollon ammattilaisen kirjautumistunnus sekä siihen liittyvä varmennekortti. Lisäksi kaikki kirjautumiset kirjataan järjestelmään ja niistä jää jälki. On totta, että lääkäri voi tarkastella sellaistenkin potilaiden tietoja joihin hänellä ei ole aiempaa hoitosuhdetta, mutta tähän on syynsä. Hätätilanteessa ajantasaisten tietojen käyttäminen parantaa hoidon laatua merkittävästi ja mikäli tietojen käyttäminen olisi estetty tai todella vaikeaa, ei niitä käytettäisi. Kriittisessä tilanteessa ei ole käytännössä mahdollista kysyä suostumusta kadulta löytyneeltä tajuttomalta potilaalta. Kelan Kanta-palvelu toimii siis sille asetettujen vaatimusten mukaisesti.

Toinen kysymys on sitten se, että onko yleensäkään perusteltua keskittää tietoja maanlaajuiseen tietokantaan. Tähän on helppo vastata. Keskittämisellä saavutetaan todella merkittäviä hyötyjä hoidon laadun kehittämisessä sekä tuotetaan merkittäviä säästöjä ja tehostetaan toimintaa. Kaikki tämä johtaa aikaa myöten tehokkaampaan terveydenhuoltoon ja siten palvelee meitä kaikkia. Koko maailman laajuudessa Kelan Kanta-palvelu on merkittävä tietovarasto mutta on olemassa paljon isompiakin potilastietovarantoja. On myös selvää, että maanlaajuinen potilastietokanta lisää turvaa tilanteessa jossa kansalaiset matkustavat entistä enemmän. Paikalliset tietokannat eivät yksinkertaisesti toimi nykyaikana.

Potilastietojen tietoturva on laajempi asia kuin kysymys Kelan Kanta-palveluista. Tietoturvan voi jakaa kolmeen ulottuvuuteen. Näistä ensimmäisenä käyttäjien toiminta palvelussa. Tarkoittaen palvelujen loppukäyttäjiä, kansalaisia. Sekä tietysti tietoja tuottavia ja niitä työssään hyödyntäviä terveydenhuollon ammattilaisia. Meidän pitää yhdessä asiakkaittemme kanssa varmistaa tietoturvallisten toimintatapojen noudattaminen jatkuvalla valistuksella ja kehittämisellä. Toinen tärkeä ulottuvuus on tekninen tietoturva. Eli sähköiset ratkaisut jotka pyrkivät tekemään murtautumisen mahdollisimman vaikeaksi. Kolmas ulottuvuus on tietoturvan hallintajärjestelmä. Se tarkoittaa niitä hallinnollisia prosesseja joilla tietoturvaa pyritään varmistamaan sekä huolehtimaan siitä, että tietoturvaongelmien sattuessa niihin reagoidaan tehokkaasti sekä asiasta tiedotetaan asiallisesti.

On kuitenkin täysin selvää, että palveluita tulee kehittää niin, että ne paremmin vastaavat asiakkaiden tarpeita. Julkisuudessa esitetyt huolet kertovat siitä, että työtä riittää ja palvelujen käyttäjien tulee voida luottaa siihen, että palveluita tuotetaan turvallisesti ja tietoja hyödynnetään vain niitä tarvittaessa. Tietoja työssään hyödyntävien terveydenhuollon ammattilaisten osalta olemme Suomessa tottuneet luottamaan palveluita tuottaviin lääkäreihin ja hoitajiin. Heidän työtään me 2M-IT:ssä tuemme ja heitä varten teemme työtämme. Koko terveydenhuolto nojaa luottamukseen ja uskon, että ammattilaiset ovat luottamuksen arvoisia.

Tuomas Otala
Johtava strategia-asiantuntija
2M-IT Oy

Kirjoittaja toimii johtavana strategia-asiantuntijana 2M-IT Oy:ssä ja on aiemmin toiminut mm. Pihlajalinna- ja Terveystalo -konsernien CIO:na ja konsernitietohallintojohtajana.