Blogi

19.2.2018 - 08:57

Systemaattista tietosuojan seurantaa Siun sotessa

Siun sotessa on panostettu järjestelmällisesti tietosuojan ja tietoturvan kehittämiseen Kanta-palvelujen käyttöönotosta lähtien. Miten tietosuojaa valvotaan?

Valtakunnalliset Kanta-palvelut ovat keskeinen perusta potilaan tietojen sujuvalle ja turvalliselle liikkumiselle läpi koko hoitoketjun. Terveydenhuollon palvelujen tietosuojaa suunnitellaan, kehitetään ja valvotaan monin eri tavoin. Siun sotessa, eli Pohjois-Karjalan 14 kunnan sosiaali- ja terveyspalvelujen kuntayhtymässä, noudetaan tarkkoja toimintatapoja, joilla varmistetaan tietoturva ja valvotaan asiakkaiden tietosuojan toteutumista.

”Tietoturvan osalta meillä on Siun soten valtuuston hyväksymä tietoturvapolitiikka, joka ohjaa tietojen käyttöä. Siitä ilmenevät tietoturvaan liittyvät keskeiset periaatteet, vastuut ja velvollisuudet sekä millä keinoin tietoturvaa käytännössä tehdään”, summaa Pekka Nevalainen, Siun soten turvallisuuspäällikkö.

Lokivalvontapyynnöt selvitetään perusteellisesti

Yksinkertaistettuna tietoturvalla tarkoitetaan organisaation teknisiä ratkaisuja ja käytänteitä ja tietosuojalla eli yksityisyyden suojalla puolestaan asiakkaiden tietojen suojattua ja valvottua käyttöä. Siun sotessa tietosuojaa seurataan ja valvotaan systemaattisesti määritellyn prosessin mukaisesti.

”Meillä on tarkat kuvaukset siitä, millä tavalla tietosuojaa seurataan, valvotaan ja minkälaisia seuraamuksia tai käytäntöjä on, jos jotakin virheitä löydetään tietojen käytöstä”, kertoo Siun soten tietosuoja-asiantuntija Mirja Vilpponen.

Asiakkaat voivat tehdä lokivalvontapyynnön, jos epäilevät, että heidän potilastietojaan on urkittu. Tällöin noudatetaan karkeasti seuraavaa prosessia:

  1. Jos tiedoissa ei huomata mitään epäilyttävää, asiakkaalle kerrotaan, että tietoja on käytetty asianmukaisesti. Asiakas saa halutessaan lokitiedot itselleen nähtäväksi. Tarvittaessa annetaan lisätietoja, esimerkiksi mistä syystä joku henkilö on käynyt hänen tiedoissaan.
  2. Jos herää epäilys, että asiakkaan tietoja on käyty katsomassa väärin perustein, kyseinen työntekijä antaa selvityksen miksi ja millä perusteella hän on käynyt tiedoissa. Jos kyseessä on perusteltu käynti, asiakas saa siitä selvityksen.
  3. Jos kuitenkin epäillään tietojen väärinkäytöstä, epäiltyä kuullaan kirjallisesti ja päätetään jatkotoimista. Tarvittaessa pyydetään poliisin mielipidettä asiaan.
  4. Jos päädytään siihen, että tietoja on käsitelty väärin, työntekijä saa sanktion. Sanktio määräytyy rikkomuksen mukaan; se voi olla muun muassa kirjallinen huomautus, varoitus tai työsuhteen päättäminen. Tarvittaessa tehdään ilmoitus poliisille.
  5. Urkintaepäilyn selvittämisessä tärkeintä on tapauskohtainen kuuleminen, joka määrittää mahdolliset jatkotoimenpiteet sekä sanktion.

Tietojen väärinkäyttö on harvinaista

Pekka Nevalainen ja Mirja Vilpponen korostavat, että tietojen väärinkäyttöä ilmenee todella vähän. Viime vuonna Siun sotelle tehtiin vajaa sata lokivalvontapyyntöä; yhdessä tapauksessa tehtiin ilmoitus poliisille ja kahdessa työntekijä sai sanktion.

Lokivalvontapyyntöjen lisäksi tietosuojan toteutumista valvotaan satunnaisotannoilla, eli tietty määrä asiakirjoja käydään läpi satunnaisesti valikoiden. Joskus myös esimiesten pyynnöstä tarkastetaan tietojen käyttöä. Siun sotessa valvonta tehdään täysin manuaalisesti.

”Meillä ei ole käytössä automatisoitua lokivalvontaa, mutta se lienee seuraava kehitysaskel. Meidänkin pitää miettiä, olisiko meitä valvonnassa auttava lokivalvontajärjestelmä tulevaisuudessa tarpeellinen”, Nevalainen pohtii.

Tietosuojan seurannassa olennaista on ennen kaikkea tietoisuuden lisääminen. Uusi työntekijä saa tullessaan tietosuojaohjeistuksen, johon sitoudutaan allekirjoittamalla se. Henkilökunnalle järjestetään myös koulutuksia, ja tietyin väliajoin heidän tulee suorittaa koulutuspaketteja tietoisuuden osoittamiseksi. Lisäksi pidetään huolta siitä, että tietosuojaa koskevat ohjeet ovat ajantasaisia. Tärkeää on, että ihmiset myös tietävät, mitä virheestä seuraa.

Tietojen katsominen vaatii vahvan tunnistautumisen

Digitaalisessa järjestelmässä kaikesta jää jälki, mikä osaltaan tekee tietosuojan valvomisesta helpompaa. Terveydenhuollon ammattihenkilöt pääsevät Kanta-palvelujen tietoihin ainoastaan vahvalla tunnistautumisella, eli käytännössä vain omalla toimikortillaan. Ilman sitä tietoihin ei ole pääsyä.

Nevalainen haluaa myös oikoa käsitystä, että terveydenhuollon ammattihenkilöt pääsisivät katsomaan kaikkia Kannan Potilastiedon arkistossa olevia tietoja.

”He pääsevät arkistoon ainoastaan oman rekisterinpitäjänsä potilasjärjestelmän läpi. Kyseessä ei siis ole mikään tietopankki, missä voi helposti käydä katsomassa tietoja.”

Tietoturva ja tietosuoja ovat Kanta-palvelujen käyttöönotosta saakka olleet ehdottoman tärkeässä asemassa, ja niiden seurantaan panostetaan jatkuvasti. Terveydenhuollossa on käytössä selkeät toimintamallit, ja myös henkilökunta on tietoinen velvollisuuksistaan. Vilpponen ja Nevalainen suosittavat, että tietojen käyttöön annettaisiin tarvittavat suostumukset. Näin hoito on mahdollisimman hyvää, joustavaa ja nopeaa.

”Kannan tietoja ei saa käyttää muussa kuin hoidon tarkoituksessa. Siellä ei saa käydä katsomassa uteliaisuuttaan. Jos asiakas epäilee, että tietoja on urkittu tai käytetty väärin, hän voi lähestyä omaa terveyskeskustaan tai sairaalaansa ja tarkistaa tietojen käytön. Tätä oikeutta saa ja kannattaa käyttää.”

Lisätietoja