Blogit / Kolumnit

Kolumni: Kanta-palvelut ja yksityisyyden suoja

Keskiviikko 10.1.2018 klo 18:13 - Helena Raula, STM, Digitalisaation ja tiedonhallinnan ryhmä / Maritta Korhonen, Kela, Kanta-palvelut

KanTa

Viime päivien aikana mediassa on käyty keskustelua yksityiselämän suojasta Kanta-palveluissa. Onko Kanta-palveluiden kehittämisessä ja käytössä varmasti varmistettu, että arkaluonteiset tiedot pysyvät suojassa? Miten terveydenhuollossa on huolehdittava tietosuojasta ja tietoturvasta?

Tärkein sääntö on se, että potilastiedot ovat salassa pidettäviä ja arkaluonteisia. Niitä on oikeus käsitellä ja luovuttaa vain siten kuin muitakin arkaluonteisia tietoja - potilaan suostumuksella tai lakiin perustuen. Jo tieto siitä, että joku on potilaana, on salassa pidettävä. Terveydenhuollossa työskentelevä rikkoo siis salassapitovelvollisuutta jo silloin, jos hän kertoo, että Matti Meikäläinen on ollut potilaana, vaikka hän ei kertoisi sen syytäkään.

Terveydenhuollossa työskentelevä saa käsitellä vain niitä tietoja, jotka ovat tarpeen potilaan hoitoon liittyvissä työtehtävissä. Toimintayksikössä jokaiselle sähköisiä potilastietoja käsittelevälle on annettava henkilökohtaiset käyttäjätunnukset ja määriteltävä työtehtävien perusteella, mihin potilastietoihin hänen on tehtäviensä vuoksi mahdollista päästä.

Lääkärin ammattitaitoon ja etiikkaan kuuluu se, että hän osaa arvioida potilastietojen merkityksen tarkastustilanteessa.

Jos joku käsittelee potilastietoja, joihin hänellä ei ole oikeutta, on teko tietosuojarikkomus tai tietosuojarikos. Niistä voidaan tuomita rikosoikeudelliseen rangaistukseen ja korvausvastuuseen. Seuraamuksena voidaan myös päättää työ- tai virkasuhde.

Kaikki väärinkäyttöepäilyt pitää tutkia ja todennetuissa tilanteissa myös saattaa tekijät asianmukaiseen vastuuseen. Käytännössä sanktioita on - valitettavasti - myös jouduttu käyttämään. Oletettavaa on, että kiusaus urkintaan vähenee sitä mukaa kun tietoisuus kiinnijäämisriskistä ja odotettavissa olevista sanktioista kasvaa.

Edellä esitetyn pohjalta voidaan arvioida esimerkkiä, joka mediassa on nostettu esiin. Siinä opiskelija juo itsensä humalaan, kaatuu, lyö päänsä ja tiedot kirjataan sairaalassa potilastietojärjestelmään, josta ne siirretään Kanta-palveluihin. Jos tapahtunut tulisi myöhemmin esille työhöntulotarkastuksessa, herättäisikö se epäilyksiä alkoholiongelmasta ja voisi vaikuttaa henkilön työsuhteeseen?

Työhöntulotarkastuksen tekevällä lääkärillä on oikeus käsitellä vain niitä potilastietoja, jotka ovat tarkastuksen kannalta tarpeellisia. Opiskeluaikana sattunut yksittäinen kaatuminen saattaa olla tarpeellinen tieto, jos kaatumisesta seuraa aivovamma, joka vaikuttaa pitkäaikaisesti henkilön työkykyyn. Itsessään yksittäinen humalatila ei voisi edes periaatteessa olla osoitus henkilön alkoholiongelmasta. Lääkärin ammattitaitoon ja etiikkaan kuuluu se, että hän osaa arvioida potilastietojen merkityksen tarkastustilanteessa.

Salassapitovelvollisuuden takia lääkärillä ei ole oikeutta ylipäätään antaa potilastietoja työnantajalle. Työhöntulotarkastuksen perusteella lääkäri voi lausua työnantajalle vain siitä, onko henkilö sopiva tiettyyn työtehtävään, johon hänet on palkattu, vai ei. Lausunnon voi antaa työnantajalle ilman työntekijän suostumusta vain, jos työtehtävä aiheuttaa erityistä sairastumisen vaaraa.

Potilastietojärjestelmät ja Kanta-palvelut tukevat terveydenhuollossa toimivia teknisesti siten, että kullakin on mahdollisuus nähdä vain työnsä kannalta tarpeellisia tietoja. Terveydenhuollon ammattihenkilöt saavat käsitellä tietoja vain tunnistauduttuaan henkilökohtaisella varmennekortilla. Se, mitkä tiedot ovat tarpeellisia hoidon kannalta, vaihtelee tilannekohtaisesti. Osaan tiedoista pääsee vasta erillisen vahvistuksen jälkeen.

Isoimpia riskejä Kanta-palveluille aiheuttaa ihmisen toiminta eli se, että joku rikkoo salassapitovelvollisuuttaan tai käsittelee tietoja, jotka eivät ole potilaan hoidon kannalta merkityksellisiä. Tämä riski on kuitenkin olemassa Kanta-palveluista riippumatta – sekä potilastietojärjestelmissä että erityisesti paperilla olevien asiakirjojen osalta. Kantaan on siksi rakennettu tarkat kriteerit, jotka määrittävät, miten ja millä perusteilla tietoja on oikeus käyttää.

Kanta-palveluissa tietojen käyttöä seurataan reaaliaikaisesti muun muassa lokivalvonnan avulla. Kantaan kerättävään luovutuslokiin tallentuvat tiedot käyttäjästä aina, kun joku käsittelee muita kuin oman toimintayksikkönsä potilastietoja. Lisäksi potilastietojärjestelmän on tallennettava käyttölokiin tiedot siitä, kuka on käsitellyt potilaiden tietoja ja milloin. 

Kanta-palvelut ovat parantaneet merkittävästi potilasasiakirjojen selkeyttä ja lisänneet potilastietojen käsittelyn läpinäkyvyyttä.

Omakanta antaa potilaille itselleen aiempaa paremmat mahdollisuudet havaita potilastiedoissaan virheitä ja puutteita ja huolehtia oikeuksiensa toteutumisesta. Potilaalla on oikeus tarkastaa, mitä tietoja hänestä on tallennettu potilastietojärjestelmiin ja Kanta-palveluihin ja pyytää tarvittaessa niiden korjaamista.

Omakantaan tallentuvista luovutuslokin tiedoista potilas myös näkee, mihin organisaatioihin häntä koskevia tietoja on luovutettu. Niiden perusteella hän voi pyytää tarvittaessa selvittämään, kuka tietoja on käsitellyt ja onko käsittely ollut lainmukaista. Tarkemmat tiedot siitä, kuka tietoja on käyttänyt, saa pyydettäessä suoraan terveydenhuollon toimintayksiköstä. Kaikissa terveydenhuollon yksiköissä on tietosuojavastaava, joka auttaa tarvittaessa selvityksissä ja ohjeistaa myös käytännön toimenpiteissä.

Kaiken kaikkiaan voidaan todeta, että Kanta-palvelut ovat parantaneet merkittävästi potilasasiakirjojen selkeyttä ja lisänneet potilastietojen käsittelyn läpinäkyvyyttä. Ne antavat meille kaikille aiempaa paremmat mahdollisuudet seurata omien tietojemme oikeellisuutta ja käyttöä. Merkintöjen sisällöstä vastaavat niiden tekijät, terveydenhuollon ammattihenkilöt, ja siksi on aina mahdollisuus inhimillisiin virheisiin. Tästä syystä sekä terveydenhuollon ammattilaisten osaaminen että tietojärjestelmien käytettävyyden kehittäminen on tärkeää jatkossakin.

Helena Raula, STM, Digitalisaation ja tiedonhallinnan ryhmä, etunimi.sukunimi@stm.fi


Maritta Korhonen, Kela, Kanta-palvelut, etunimi.sukunimi@kela.fi



Kanta on laajassa käytössä valtakunnallisesti. Potilastiedon arkistoon on talletettu yli miljardi asiakirjaa. Suostumuksia asiakirjojen käyttöön oli marraskuun loppuun mennessä annettu yli 2,8 miljoonaa ja kieltoja oli tehty 66 700.
www.kanta.fi

1 kommentti . Avainsanat: kantapalvelu, yksityisyydensuoja

Yritysvastuu ja ihmisoikeudet -check list

Perjantai 3.11.2017 klo 22:37 - Merja Pentikäinen

Kuluvan syksyn aikana FIBS järjesti vuonna 2014 pilotoidun ja nyt neljännen kerran toteutetun yleisen ihmisoikeusvalmennuksen, joka on rakennettu YK:n yritystoimintaa ja ihmisoikeuksia koskeville ohjaaville periaatteille. Roolini valmennusten pääkouluttajana on tarjonnut mahdollisuuden nähdä miten ihmisoikeuskysymykset osana yritysvastuuta etenevät Suomessa. Ymmärrys ihmisoikeuksien merkityksestä yritystoiminnassa on selvästi vahvistunut erityisesti suuremmissa yrityksissä. Pienemmät yritykset tarvitsevat vielä herättelyä asiassa.

Tiivistän seuraavaan keskeisiä FIBSin ihmisoikeusvalmennuksessa esiin nostettuja huomioita ihmisoikeuksiin liittyvän yritysvastuun konkretisoimiseksi yrityksissä:

  • Yrityksen arvojen ja yritysjohdon merkitys: Yritysvastuu näkyy vastuullisen yrityksen julkisesti viestitetyissä arvoissa ja yrityksen konkreettisessa toiminnassa. Yritysvastuu ei ole uskottavaa ilman yritysjohdon selkeää ja aitoa sitoutumista yritysvastuuseen ja sen eri osa-alueisiin. Yritysvastuu on keskeinen osa vastuullisen yrityksen johdon agendaa, jotta yritysjohto voi varmistaa yritysvastuun integroitumisen osaksi yrityksen ydinliiketoimintaa. Yritysjohto ohjaa riittävät resurssit yrityksen yritysvastuutyöhön.

  • Ihmisoikeudet ovat merkityksellisiä myös Suomessa: Suomessa on tavattu yleisemminkin ajatella, että ihmisoikeudet koskevat lähinnä ihmisiä Suomen ulkopuolella, varsinkin kehitys- ja kehittyvissä maissa. Ihmisoikeudet antavat suojaa kaikille meille Suomessakin asuville ihmisille. Suomi on sitoutunut suureen määrään kansainvälisiä ihmisoikeusnormeja, jotka on muunnettu osaksi Suomen oikeusjärjestelmää. Tässä muuntoprosessissa ihmisoikeuskieli ’katoaa’, emmekä kansallisesti enää puhu ihmisoikeuksista, vaan esimerkiksi perusoikeuksista ja työelämää sääntelevistä ja syrjinnän kieltävistä laeista.

  • Ihmisoikeuskysymykset liittyvät yritysten arkeen: Yritysten oikeusnormatiivinen toimintakenttä määrittyy jokaisessa maassa kyseisen maan kansallisten lakien mukaan. Yritystoimintaa sääntelevillä kansallisilla laeilla ja yritysten arkisilla asioilla on yhteyksiä ihmisoikeuskysymyksiin. Työpaikan työturvallisuuskysymykset liittyvät oikeus elämään ja oikeus terveyteen -tyyppisiin ihmisoikeusnormeihin. Syrjimättömyys työhönotossa, työpaikalla ja asiakaspalvelussa linkittyy ihmisoikeuksia läpileikkaaviin tasavertaisuuden ja syrjintäkiellon periaatteisiin. Häirinnän kitkeminen liittyy ihmisoikeuskysymyksiin. Keväällä 2018 voimaan tulevan EU:n tietosuojasääntelyn ytimessä on ihmisoikeutenakin turvattu yksityisyyden suoja. Ja niin edelleen.

  • YK:n yritystoimintaa ja ihmisoikeuksia koskevat ohjaavat periaatteet välineenä: YK:n ohjaavat periaatteet ovat paras väline ihmisoikeuksiin liittyvän yritysvastuun konkretisoimiseksi. Periaatteet toimivat välineenä kaikenlaisille ja -kokoisille yrityksille kaikkialla ja määrittelevät yritysten ihmisoikeusvastuun globaalin standardin. ”Do no harm” on yrityksiltä edellytetty minimi.

  • Ihmisoikeusosaamisen varmistaminen: Ihmisoikeudet ovat kansainvälisen oikeuden normeja, joiden avulla arvioidaan yritysten ihmisoikeuksiin liittyvää vastuullisuutta (”benchmarks”). Siksi on ymmärrettävä ko. normien sisältö ja normien yhteydet konkreettiseen yritystoimintaan, myös yritystoimintaa sääntelevään kansalliseen lainsäädäntöön. Tässä oikeustieteen osaaminen on valttia. Sen vuoksi yrityksen omat tai käyttämät juristit on tärkeä osallistaa yritysvastuutyöhön. Jos heillä ei ole ihmisoikeusnormien osaamista, tukea ko. osaamisen vahvistamiseen kannattaa hankkia ihmisoikeusjuridiikkaa osaavilta tahoilta.

  • Yritysvastuun osa-alueiden yhteydet ja linkit kestävään kehitykseen: Yritysvastuutyössä on nähtävä yritysvastuun eri osa-alueiden (taloudellinen, ympäristö- ja sosiaalinen vastuu) väliset yhteydet ja yritysvastuun liittyminen kestävän kehityksen teemoihin. Keskeinen yritysvastuuta laajasti määrittävä globaali työkalusetti rakentuu kolmesta toisiinsa liittyvästä YK:n instrumentista: Global Compact -aloitteesta, yritystoimintaa ja ihmisoikeuksia koskevista ohjaavista periaatteista ja kestävän kehityksen tavoitteista (SDGs, Agenda 2030). YK:n ohjaavat periaatteet ovat väline sekä Global Compactin että Agenda 2030:n ihmisoikeusulottuvuuksien konkretisoimiseksi.

  • Yritysvastuun toteuttaminen on prosessi: Monet kokevat ihmisoikeuksiin liittyvän yritysvastuun haastavaksi mm. ihmisoikeuksien yleisen metakielen ja mittaamiseen liittyvien haasteiden vuoksi. Avain ihmisoikeuksiin liittyvään yritysvastuutyöhön on oppia katsomaan yrityksen toimintaa ”ihmisoikeussilmälasien” läpi, eli näkemään yrityksen eri toimintojen ja tuotteiden yhteydet ihmisoikeusteemoihin. ”Ihmisoikeussilmälasien” avulla on mahdollista nähdä miten monet yrityksen arkiset asiat liittyvät ihmisoikeuskysymyksiin, missä ovat ihmisoikeusriskit ja miten monet jo olemassa olevat käytännöt tukevat ihmisoikeuksien toteutumista. Tärkeää on aloittaa prosessi ja pala palalta edistää ihmisoikeusvastuuagendaa. Kyseessä on jatkuva prosessi, johon saadaan tärkeää tukea valjastamalla yrityksen sidosryhmät aktiiviseen yhteistyöhön.

MERJA PENTIKÄINEN
OTT, DES, yritysvastuuasiantuntija, Opinio Juris

Kommentoi kirjoitusta. Avainsanat: ihmisoikeudet, syrjimättömyys, yritysvastuu, yksityisyydensuoja