*

LasseLehtonen Syteen tai soteen

Hyva:/paha.Kanta_arkisto

Kansainvälisessä mediassa levisi 15.1.2018 tieto, että noin 2,8 miljoonan norjalaisen potilastiedot olivat joutuneet jonkun ulkopuolisen tahon haltuun. Hakkeroinnin kohteeksi joutuneen Norjan kaakkoisen terveydenhoitoalueen (Region South-East) toimitusjohtaja totesi, että hakkerointi on ollut ammattimaista ja hyödyntänyt erittäin kehittynyttä teknologiaa. Hakkeroidut potilastiedot sisältävät tietoja myös henkilöistä, jotka työskentelevät hallinnossa tai puolustusvoimissa sekä poliittisista päättäjistä.

Norjaa koskeva uutinen toi mieleeni kaikuja menneisyydestä. Toimin vuosina 2006-2009 Suomen Lääkintäoikeuden ja -etiikan seuran puheenjohtajana. Kirjoitin syksyllä 2006 yhdistyksen lausuntoa Kanta-arkiston perustana olevaan hallituksen esitykseen laiksi sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä. Olin lausunnossa huolissani mm. Kanta-arkiston käyttöoikeuksien hallinnasta todeten, että terveydenhuollossa käytetään enenevässä määrin myös ulkomaista keikkatyövoimaa. Epäilin silloin, että hallituksen esityksessä ehdotetut tietoturvajärjestelyt eivät poista riskiä, etteivätkö esim. ulkomaiset tiedustelupalvelut taikka yritykset voisi suhteellisin pienin ponnistuksin kerätä järjestelmän kautta arkaluonteisia tietoja suomalaisista vaikuttajista.

Kanta-arkisto on rakennettu ajatuksella, että kaikkien suomalaisten terveydenhuollon toimintayksiköiden tulee viedä sinne potilaidensa tiedot. Jotta arkisto toteuttaisi tarkoituksensa, on eri toimintayksiköissä työskentelevien henkilöiden myös päästävä toisten toimintayksiköiden potilastietoihin. Terveydenhuollon ammattihenkilöitä on Suomessa yli 200 000. Yksittäisen henkilön terveydentilasta kiinnostuneen tahon ei siis tarvitse Suomessa hakkeroida potilastietojärjestelmää, vaan riittää, että löytää yhden sellaisen ammattihenkilön, joka on nuo tiedot (vaikka pientä korvausta vasta) valmis hänelle kertomaan. En tämän vuoksi olisi ollenkaan hämmästynyt, jos valtakunnan ensimmäisen vauvan sukupuoli olisi jo ennen syntymää jonkun nimeämättömän valtion tiedustelupalvelun profiloijien tiedossa. Toki julkisuudessa esiintyvät henkilöt voivat hoidattaa itseään valeidentiteetin takaa, mutta jos politiikan vaikuttajat käyttävät valeidentiteettiä terveyspalveluissa, on se selvä merkki järjestelmäongelmasta ja epäluottamuksesta hoitosuhteen yksityisyyden suojan suhteen.

Tiedon katselusta jää toki jälki lokitietoihin. Esimerkiksi HUS:n 23 000 työntekijää tuottavat kuitenkin satoja miljoonia lokitietomerkintöjä vuodessa, joten tietojen käytön valvonta vaatisi melkoisesti resursseja. Yksittäinen käynti potilastiedoissa on myös helppo kuitata jollain työtehtäviin liittyvällä syyllä, jonka todenperäisyyttä on käytännössä hyvin vaikea osoittaa vääräksi. Tietosuojavaltuutetun selvitettäväksi näitä epäilyjä luvattomista käynneistä potilastiedoissa päätyy muutama sata vuodessa. Tietosuojavaltuutetun toimistossa yhden tapauksen selvittely kestää muutamista kuukausista pariin vuoteen, mitä ennen tietourkintaan syyllistynyt henkilö on usein jo vaihtanut työpaikkaa taikka joskus kotimaatakin.

Kanta-arkiston tietosuojasta vastaa Kansaneläkelaitos. Kela valvoo tai sen tulisi valvoa, että arkistoon liittyvien terveydenhuollon toimintayksiköiden tietoturva on lainsäädännön vaatimalla tasolla. Liittyminen Kanta-arkistoon edellyttää, että kukin terveydenhuollon toimintayksikkö tekee Kelan edellyttämän itseauditoinnin ja vakuuttaa Kelalle asioiden olevan kunnossa. Kela ei erityisesti seuraa Kanta-arkiston käyttäjiä taikka terveydenhuollon varmennekorttien myöntämistä. Varmennekortit myöntää Väestörekisterikeskus (VRK) ammattihenkilön hakemuksesta. Väestörekisterikeskusta ollaan yhdistämässä vuoden 2020 alusta uuteen hallinnon digitalisaatiota edistävään keskusvirastoon, joten sote-henkilöstön käyttöoikeushallinta ei varmaankaan ole VRK:n kehittämisen keskiössä, vaikka sote-uudistus monimutkaistaa toimintakenttää entisestään.

Kanta-arkisto on hyvä sijoittaa yleiseurooppalaiseen viitekehykseen. Eurooppalainen tietosuoja on suhteellisen tiukkaa ja kieltää lähtökohtaisesti arkaluonteisten henkilötietojen (terveydentilatiedot, sukupuolinen käyttäytyminen, poliittinen vakaumus yms.) käsittelyn. Tiukan sääntelyn taustalla on monien kansojen historiallinen kokemus valtion harjoittamasta urkinnasta ja tietojen käytöstä kontrollikoneiston osana (Itä-Saksan Stasin tapaan). EU:n yleinen tietosuoja-asetus astuu voimaan toukokuussa 2018. Se edellyttää, että jokaisen organisaation on jatkuvasti kyettävä osoittamaan, että sen hallussa olevia henkilötietoja käsitellään vain yleisen tietosuoja-asetuksen sallimalla tavalla. Voikin oikeutetusti herättää kysymyksen siitä, vastaako Kanta-arkiston 10 vuotta sitten luotu toimintamalli yleisen tietosuoja-asetuksen vaatimuksia. Tietoa arkistoon luovuttavan terveydenhuollon toimintayksikön kun olisi nyt voitava koko ajan varmistua siitä, että se toinen terveydenhuollon toimintayksikkö, joka tietoja Kanta-arkiston kautta hyödyntää, on valvonut tehokkaasti sekä omien työtekijöidensä käyttöoikeuksia että potilastietojen käsittelyä.

Kanta-arkiston käyttöönottoa perusteltiin aikanaan sen tuomilla hyödyillä potilasturvallisuudelle ja kustannussäästöillä, vaikka arkiston kehittäminen on lopulta ollut kallista. On selvää, että esimerkiksi päivystystilanteessa on tarpeen saada tietoja potilaan aiemmista sairauksista. Jotta hyödyt realisoituisivat, olisi tietojen kuitenkin oltava sellaisessa muodossa, että niitä on helppo käyttää. Valitettavasti näytöt Kanta-arkiston tuomista terveyshyödyistä ovat vähäiset, eikä Kela ole missään vaiheessa ollut kiinnostunut selvittämään, mitkä Kanta-arkiston ominaisuudet ovat hyödyllisiä ja missä tilanteissa tiedonkeruun riskit potilaiden yksityisyyden suojalle ovat suuremmat kuin arkiston tuomat hyödyt. Nuo riskit, kuten Norjan tapaus osoittaa, ovat kuitenkin hyvin todellisia.

 

Piditkö tästä kirjoituksesta? Näytä se!

3Suosittele

3 käyttäjää suosittelee tätä kirjoitusta. - Näytä suosittelijat

NäytäPiilota kommentit (11 kommenttia)

Käyttäjän jormanordlin kuva
Jorma Nordlin

"Tiedon katselusta jää toki jälki lokitietoihin. Esimerkiksi HUS:n 23 000 työntekijää tuottavat kuitenkin satoja miljoonia lokitietomerkintöjä vuodessa, joten tietojen käytön valvonta vaatisi melkoisesti resursseja."

Potilaat voivat uuden EU.n tietosuoja-asetuksen perusteella vaatia selvityksen miten heidän tietojaan on käytetty. Silloin pitää käydä kyseisen potilaan kohdalla tietojärjestelmien lokit läpi ja antaa niistä selvitys, minkälaista tietojen käyttöä on ollut.

Lokitietojen analysoinnin automatisoinnissa on hyviä mahdollisuuksia.

Käyttäjän LasseLehtonen kuva
Lasse Lehtonen

Lokitietojen seurantaa on HUS:ssa automatisoitu, mutta se taitaa olla ainoa terveydenhuollon toimintayksikkö joka on näin tehnyt. Automatiikan löytämät lukuisat epäilyttävät tapaukset joudutaan sitten käymään käsin läpi jatkoselvityksiä varten.

Käyttäjän aveollila1 kuva
Antero Ollila

Kun luin ohjeen omien terveystietojen lokitietojen tarkastuksesta, niin totesin, että kovin on tehty vaikeaksi ja monimutkaiseksi ilmeisenä tarkoituksena, että kansalainen ei turhaan rupeaisi kyselemään lokitietojaan.

Mutta kaksi kysymystä Lehtoselle, joka on näihin asioihin perehtynyt. Voiko valtio salata osan potilaan tiedoista potilaalta itseltään. Toinen kysymys, jonka tiedän olevan totta ja jota en heti todeksi uskonut, että alaikäisen potilaan tietoja voidaan julistaa salaisiksi ja niitä ei näytetä vanhemmille. Mihin etiikkaan tämä perustuu? Kuulostaa minusta mahdolliselta Natsi-Saksassa tai DDR:ssä.

Käyttäjän LasseLehtonen kuva
Lasse Lehtonen

Henkilötietojen tarkastusoikeutta voidaan terveydenhuollossa rajoittaa, jos tarkastusoikeudesta on vaaraa henkilön omalle terveydelle eli käytännössä itsemurhavaarassa olevan psykiatrisen potilaan osalta näin voidaan joskus harvoin tehdä. Asianosaisjulkisuus on kuitenkin Suomessa hyvin vahva, joten käytännössä potilas lopulta aina omat tietonsa saa. Alaikäisellä on oikeus kieltää tietojen antaminen huoltajille, jos kykenee itse päättämään hoidostaan. Tämä teinityttöjen aborttimahdollisuutta suojaava pykälä on ollut lainsäädännössä vuodesta 1992 lähtien. Lapsen tietoja voidaan salata vanhemmilta myös lapsen edun takia hoidon turvaamiseksi. Näin tehdään erityisesti lastenpsykiatriassa. Siellä hoidetaan esim. insestin uhreja.

Käyttäjän topira kuva
Topi Rantakivi

Mitenkä tämä GDPR, ei Kanta-sivusto sovi tuohon ja sehän joutuu tuhotuksi?

http://www.tietosuoja.fi/fi/index/euntietosuojauud... Samoin kaikki nämä bonuskorttien käyttäjien tiedot hävitetään.

Käyttäjän NikoKaistakorpi kuva
Niko Kaistakorpi

Todella tärkeän asian hyvää pohdintaa, kiitos.

ICT-alan ammattilaisena olen kyllä ihmetellyt tuota Kanta-ratkaisua omiakin tietoja katsellessani. Sinne syötetty tieto ei ole kovin järkevässä ja rakenteellisessa muodossa hyödyntämistä varten ja saattaa sisältää suoranaisia virheitä. Niiden korjaamiseenkaan ei itse asiakkaalla ole oikein järkeviä ja helppoja keinoja. Tarvinnee joko käydä lääkärillä tai sitten soittaa ja yrittää saaada joku korjaamaan asia - todella hankalaa.

On toki olemassa järjestelmiä, joilla tehokas seuranta tiedon käytöstä voidaan toteuttaa ja erilaisilla fraud detection -ohjelmistoilla voidaan epäasiallista käyttöä jäljittää. Tämä on kuitenkin kallista ja nielisi suuren osan budjetista.

Ja se suurin tietoturvariski - se on aina lopulta ihminen. En tiedä oliko tuossa kahdessasadassatuhannessa mukana myös kaikki yksityisen puolen ja mm työterveyshuollon työntekijät. Toivottvasti sote-ratkaisuissa palveluntarjoajien pääsy rajataan vain sen omiin asiakkasiin eikä avata koko eKantaan. Tämä nyt olisi minimi - muutoin riski kasvaa entisestään.

Tuossa joku aika sitten oli artikkeli siitä, kuinka työhönottoon liittyvässä tulotarkastuksessa saattaa olla melkoinen vaikutus sillä, että lääkärillä on käytössään koko asiakkaan historia muualla. Pääpaino pitäisi olla sen hetken työkyvyn arvioinnissa, mutta voiko jollain kaukana menneisyydessäkin olevalla asialla merkitystä. Toimiiko lääkäri kuin vakuutusyhtiöiden lääkärit yhtiön etua ajaen yksilöä vastaan. Vaikeita kysymyksiä.

PS. Olen pari vuotta katsonut, kun kantaan liittyvä sähköinen resepti on surkea käytettävyydeltään. Sain varmaan kerran hammaslääkäriltä reseptin vuosia sitten ja vaikka mitä tekisi niin tuo hammaslääkäriasema on aina ainoa mahdollinen pikavalinta, joka tulee esiin vaikka muutoin aina olen saanut reseptit lääkäriasemalta. Joka kerta joudun käymään valintapolun läpi erikseen. Tämä tarkoittaa ehkä 2 min lisäaikaa, joka toki on pieni mutta ärsyttävä. Tämä kuitenkin kertautuu miljoonille ihmisille, jolloin heillä saattaa kulua sama aika operaatioon. Paljon muutakin on palvelussa mukaan lukien omakannan tietojen katselu, joka kaipaisi käytettävyyden radikaalia parantamista. Vaikuttaa siltä, että eivät lääkäritkään sieltä kerkeä tuosta sekamelskasta tutustumaan kaikkeen oleelliseen.

Käyttäjän VeijoPaasonen kuva
Veijo Paasonen

Tähän voisi ottaa käyttöön saman vastakommentin, kuin tiedustelulaissa käsittelyssä., jos ei tee rikoksia tai rupea terroristiksi, niin eihän se haittaa jos joku näkisi tiedot.

Käyttäjän NikoKaistakorpi kuva
Niko Kaistakorpi

En tiedä oliko tämä sarkasmia vai tosissaan, mutta kyllä terveystiedot sisältävät aika lailla tietoja, joita nyt et vaikka koko naapurostosi retosteltavaksi haluaisi. Yksityisyys tällaisissa on jo perustuslaista lähtöisin ja sen toteutumisesta tulee pitää huolta.

Käyttäjän emailjuuso kuva
Juha Hämäläinen

Turhaan huolehdit. Suomalaisten tietosuojaa ei kaivata.

Tavallinen tahvo sanoo, ettei ole mitään väärin tehnyt eli ei mitään peiteltävää. Hänen mielestään on vaan hyvä, että kaikki ihmisten tiedot ovat vapaasti saatavilla kenelle vain virkamiehelle eikä ole tahvolla mitään tarvetta edes tietää mitä hänestä rekisteröity. Mitä välii on aina tahvon kommentti.

Pirjo Oravuo

Epäilen vahvasti, että kanta-arkistoon kirjoitetaan syntymättömän lapsen sukupuoli.

Käyttäjän LasseLehtonen kuva
Lasse Lehtonen

Raskauden aikaisen ultraäänitutkimuksen tulokset kirjataan potilaskertomukseen. Mikään pakko ei sikiön sukupuolta sairauskertomukseen ole sinänsä kirjata (jos asialla ei ole hoidollista merkitystä), mutta usein se tehdään (varsinkin jos sukupuoli on kerrottu lapsen äidille UÄ-tutkimuksen yhteydessä).

Toimituksen poiminnat

Tämän blogin suosituimmat kirjoitukset