Soten tietosuojahaasteet

Tein kohta 20 vuotta sitten oikeustieteellisen väitöskirjani henkilötietojen käsittelystä terveydenhuollossa. Suomi liittyi v. 1995 Euroopan unioniin ja samana vuonna voimaan astunut henkilötietodirektiivi pakotti harmonisoimaan silloisen henkilörekisterilain yhteisöoikeuden kanssa. Suomen liittyminen Euroopan neuvoston ihmisoikeussopimukseen velvoitti toisaalta Suomen valtiota ylläpitämään sellaista salassapitovelvoitetta potilaan ja häntä hoitavien henkilöiden välisessä tiedonvaihdossa kuin mitä länsimaisissa demokraattisissa valtioissa edellytetään. Perusoikeusuudistuksen yhteydessä perusoikeuksiin vahvistettiin kuuluvan yksityiselämän suojan (nykyisen perustuslain 10 §), jonka ydinalueeseen osoitin omassa tutkimuksessani kuuluvan hoitosuhteen luottamuksellisuuden.

Terveydenhuollon tietosuoja-asiat ovat jälleen nousseet vahvasti esille, kun perustuslakivaliokunta havaitsi Sipilän hallituksen sote-esityksessä merkittäviä ongelmia terveydenhuollon ja sosiaalitoimen asiakkaan yksityiselämän suojan suhteen. Ongelmat ovat sitä luokkaa, että sosiaali- ja terveysvaliokunnan puheenjohtaja Kristiina Kiuru ehti jo julkisuudessa epäilemään, ettei hallituksen täydennettykään sote-esitys tältä osin täytä perustuslain vaatimuksia. Tästä asiasta valiokunta tuskin kuitenkaan on yksimielinen.

Sosiaali- ja terveysvaliokunta halusi heinäkuun alussa kuulla tietosuoja-asiantuntijoita, mutta valtaosa asiantuntijoista (kuten allekirjoittanutkin) oli viettämässä lomaansa kaukana Arkadianmäen kabineteista. Heinäkuun lopussa kävin lopulta läpi hallituksen sote-vastineen, hallituksen täydennetyn sote-vastineen sekä hallituksen täydennetyn sote-vastineen korjauksen, ja aloin kirjoittaa valiokunnalle lausuntoani soten tietosuojahaasteista. Tosin hallituksen täydennetyn sote-vastineen korjauksen lisäys on tulossa valiokunnalle mediatietojen mukaan vasta 20.8., joten antaessaan lausuntojaan valiokunnalle 17.8.2018 mennessä eivät tietosuoja-asiantuntijat vielä varmasti tiedä, millaisia viime hetken korjauksia Sipilän hallitus valinnanvapauslakiesitykseensä on esittämässä.

Sote-uudistuksen tietohallinto rakentuu keskeisiltä osiltaan ns. valtakunnallisten palvelujen varaan. Käytännössä ajatuksena on, että potilaiden ja asiakkaiden tiedot imuroidaan terveydenhuollon ammattihenkilöiltä ja sosiaalihuollon palvelutuottajilta ensin maakuntien tietojärjestelmiin ja sitten Kelan tai perustettavien sote-yhtiöiden tietokantoihin. Rusinana pullassa on esitetty mahdollisuus näiden tietojen toissijaiseen käyttöön, jossa Terveyden- ja hyvinvoinnin laitos voisi maksua vastaan luovuttaa tietoja niin tutkimusta kuin yritysten tuotekehitystoimintoja varten. Ehdotetussa sote-mallissa valtakunnallisten palvelujen perustana oleva potilastiedon Kanta-arkisto sekä sosiaalihuollon asiakastietoja varten perustettava Kansa-arkisto otetaan itsestään selvyytenä.

Laki sosiaali- ja terveydenhuollon sähköisestä käsittelystä (asiakastietolaki), johon Kanta-arkisto perustuu, säädettiin alun perin vuonna 2007. Silloisessa ajatusmallissa lähtökohtana oli, että terveydenhuollon toimintayksikkö tallentaa potilastiedot kansalliseen arkistoon ja että potilas siirtyessään toisen toimintayksikön potilaaksi antaa luvan katsoa vanhoja tietojaan kansallisesta arkistosta. Näin vältetään tietojen siirtely eri terveydenhuollon toimintayksiköiden välillä, mikä tuntuu sinänsä hyvin järkevälle. Vaikka sosiaali- ja terveysvaliokunta oli jo vuonna 2006 huolissaan potilastietojen luottamuksellisuudesta, ei asiakastietolakia koskaan arvioitu perustuslain kannalta. Lakia on vuoden 2007 jälkeen muutettu 9 kertaan ilman, että yhtään ao. muutoksista olisi viety perustuslakivaliokuntaan. Asiakastietolaki nykymuodossaan onkin kokonaistavoitteiltaan varsin erilainen kuin se säädös, joka v. 2006 valmisteltiin.

Kukin terveydenhuollon toimintayksikkö on oman potilasrekisterinsä rekisterinpitäjä. Kanta-palvelujen rekisterinpitäjänä taas on Kansaneläkelaitos. Rekisterinpitäjän vastuisiin kuuluu huolehtia siitä, ettei kukaan ulkopuolinen pääse tietoihin käsiksi. Potilaan asemasta ja oikeuksista annetussa laissa kielletään antamasta tietoja sellaisille henkilöille, jotka eivät osallistu potilaan hoitoon. Tuohon salassapitoon on kuitenkin säädetty paljon poikkeuksia ja esim. poliisin tiedonsaantioikeus potilastiedoista on Suomessa poikkeuksellisen laaja. Perustuslain 10 §:n turvaaman yksityiselämän suojan kannalta poikkeukset sen ydinalueeseen kuluvasta hoitosuhteen salassapidosta ovat hyvin ongelmallisia ja sote-lakeihin ehdotetaan nyt uusia hyvin laajoja poikkeuksia.

Ongelmia lisää se, että Euroopan unionin yleinen tietosuoja-asetus (GDPR) edellyttää rekisterinpitäjän minimoivan henkilötietojen käsittelyn (eikä suinkaan keräävän kaikki potilastiedot kaikkien tarvitsijoiden käyttöön). Rekisterinpitäjän on GDPR 5 artiklan mukaan jatkuvasti voitava osoittaa, että henkilötietoja käsitellään tietosuojaperiaatteiden mukaisesti (mm. tietojen käyttötarkoitusta kunnioittaen ja huolellisuusvelvoitetta noudattaen). Keskeinen osa rekisterinpitäjän huolellisuusvelvoitetta on arkaluonteisten tietojen käyttöoikeuksien hallinta. Potilastietoja rekisteriinsä vievän terveydenhuollon toimintayksikön on jatkuvasti voitava varmistautua, että vain potilaan hoitoon osallistuvat pääsevät noihin tietoihin. Soten valtakunnallisissa palveluissa tämä on ongelmallista, koska terveydenhuollon toimintayksikkö ei lopulta voi käyttöoikeushallinnallaan määrittää, kuka sen kokoamia henkilötietoja käsittelee. Tilanne on analoginen sen suhteen, että finanssialalla yhden pankin asiakkaan kaikki tili- ja luottotiedot olisivat ilman asiakkaan omaa suostumusta kaikkien Suomen pankkien kaikkien virkailijoiden nähtävillä ja vielä myytävissä kauppaketjuille. Jos näin tapahtuisi, rikkoisivat ao. finanssilaitokset raskaasti eurooppalaisia tietosuojavelvoitteita ja saisivat tuntuvat sanktiot. Sipilän sote-uudistuksessa terveydenhuoltoon ehdotettu vastaava järjestelmä ei sen sijaan tunnu juurikaan huolestuttavan sote-esitystä valmistelleita ministeriöitä.

LasseLehtonen
Kokoomus Espoo

Toimin Helsingin ja Uudenmaan sairaanhoitopiirin diagnostiikkajohtajana ja Helsingin yliopiston terveysoikeuden professorina. Olen osallistunut terveydenhuollon kehittämiseen mm. Sosiaali- ja terveysministeriön asettamassa sote-uudistuksen valmistelun ja toimeenpanon tuen asiantuntijaryhmässä sekä Euroopan unionin komission eurooppalaisen terveydenhuollon kehittämisen asiantuntijaryhmässä (EXPH). Jaan tässä blogissa tietoa ja omia ajatuksiani suomalaisen terveydenhuollon tilanteesta ja tulevaisuuden näkymistä.

Ilmoita asiaton viesti

Kiitos!

Ilmoitus asiattomasta sisällöstä on vastaanotettu