Laittomaan tiedonhankintaan kiihottaa uteliaisuus. Urkkia halutaan vaikkapa julkisuuden henkilöiden tai naapurin arkoja asioita. Lakitupaan saakka joutuneissa on niin poliiseja kuin lääkäreitä, hoitajia ja muuta henkilökuntaa.
Lääkäri Antti Lähteenmäki on havainnut Helsingin jättimäisen potilastietojärjestelmän Pegasoksen tarjoilevan uteliaalle mahdollisuuden tehokkaaseen urkintaan. Urkinta-aukkoja hän on havainnut työssään Helsingissä lääkärinä sekä tietojärjestelmäkouluttajana. Lähteenmäki kertoo pyytäneensä korjauksia urkintamahdollisuuksia tarjoavaan potilastietojärjestelmään muun muassa Valviralta ja Terveyden ja hyvinvoinnin laitokselta. Turhaan.
Lääkäri: Urkintamahdollisuus jopa ilman hoitokontaktia
Lähteenmäki kertoo, että Helsingin Pegasos-järjestelmästä on mahdollista kurkistella tietoja niin, ettei siitä jää merkintää uteliaan käynnistä.
– Helsingin potilastietojärjestelmässä jää näkyviin potilaalle arkaluontoisia tietoja. Varsin suuri joukko pystyy selaamaan niitä ns. selailunäytöltä ilman lokitietoja. Siis niin, ettei kurkistelusta jää jälkiä. Kun pyydetään lääkitystä uusittavaksi, reseptilistat nimineen ja sotuineen ovat näkyvillä. Vaikkei haluaisikaan tietoja tonkia, tarjoaa järjestelmä vaikkapa julkisuuden henkilöiden tai naapureiden lääkityksen nähtäväksi.
Sama pätee diagnoositietoihin, sanoo Lähteenmäki. Hän kertoo myös, että potilastietojärjestelmän työkalulla voi hakea nopeasti esimerkiksi tietyltä aikaväliltä potilaalle kirjatut diagnoosit.
– Sillä on hyvä käyttötarkoitus, mutta se on suunniteltu huonoksi tietosuojan kannalta. Voi olla mahdollista tonkia esiin sellaisenkin potilaan tiedot, johon ei ole mitään hoitokontaktia – lokittomasti. Sellaisen ei pitäisi olla mahdollista kenellekään.
Antti Lähteenmäki antaa esimerkin siitä, ketkä arkaluontoisia tietoja Pegasos-tietojärjestelmässä näkevät.
– Toimistohenkilökunnalla on laajin on näkyvyys lääkitystietoihin. Diagnoosin selausmahdollisuuteen näkyvyys on hiukan rajatumpi. Mutta olipa lääkäri, hoitaja, ylilääkäri tai pomo, niin ei voi olla luvallista, että tietyn ihmisen diagnoositiedot voi katsoa hyvin tehokkaasti ilman, että jää lokia eli jälkiä katselusta.
Helsingin sote-virasto vastaa: Kuka tahansa ei pääse kurkkimaan
Lääkäri Antti Lähteenmäki on ottanut yhteyttä THL:ään ja Valviraan, jotta asiat saataisiin tolalleen. Myös Helsingin kaupungin sosiaali- ja terveysvirasto lupasi viime kesänä asian tultua ilmi pohtia, onko diagnoositietojen näkyminen perusterveydenhuollon selailunäytöllä välttämätöntä.
Lähteenmäkeä huolettaa myös se, että kukaan ei tunnu kantavan kokonaisvastuuta. Hän ei ole havainnut tietosuojauhkan korjaantuneen millään lailla. Lääke- ja diagnoositietoja voi hänen mukaansa yhä katsella jopa ilman hoitosuhdetta potilaaseen.
Helsingin sosiaali- ja terveysviraston osastopäällikkö Helena Ylisipola taas sanoo, että Helsinki noudattaa lakia. Henkilökuntaa sitoo vaitiolovelvollisuus. Hänen mukaansa kaikilla ei ole pääsyä kaikkiin tietoihin. Hän myöntää kuitenkin, että perusterveydenhuollon ns. tietojen selailunäyttö ei jätä jälkiä selailijasta.
– Selailunäytöltä ei jää asiakaskohtaista lokia. Mutta kun selailunäytöltä edetään yksittäisen potilaan tarkempiin tietoihin, asiasta jää sitten lokitiedot, osastopäällikkö Ylisipola selittää.
Kun Ylisipolalta kysyy, onko ongelman esiintuonnin jälkeen järjestelmiin tehty muutoksia, hän kertoo, että terveyskeskuslääkäreiden oikeuksia on rajattu.
– Meillä on tarkoitus käydä läpi eri ammattilaisten pääsy lokittomalle selailunäytölle. Jos tarpeen on, aiomme rajata oikeuksia nykyistä tiukemmin. Pyrimme kaikin keinoin siihen, ettei vahingossa tai joskus jopa tarkoituksella pääse käsiksi tietoihin, joihin ei kuulukaan päästä.
Lokiton on laiton
Tietojen lokittoman katselun mahdollistavat rekisterit eivät ole pelkästään Helsingin vitsaus. Näin kertovat sekä Itä-Suomen yliopiston julkisoikeuden professori Tomi Voutilainen että lääkäri Antti Lähteenmäki.
– Rekisteritieto-ongelma on yleinen ongelma koko maassa. Mutta Helsingissä ongelmat korostuvat, koska rekisteri on poikkeavan suuri, tietää Lähteenmäki.
Terveydenhuollon tietojärjestelmiin perehtynyt julkisoikeuden professori Tomi Voutilainen vahvistaa myös, että koko maassa kipuillaan kirjavien potilastietojärjestelmien ja urkinnan kera. Osassa järjestelmistä lokitieto-ominaisuuksia on jouduttu parantamaan, kun on liitytty ns. Kanta-arkistopalveluun. Mutta on myös Kannasta irrallaan olevia järjestelmiä sekä röntgen- ja laboratoriosysteemeitä, joita riivaavat lokipuutteet.
– Potilastietojärjestelmiä voi olla kymmeniä yhdessä terveydenhuollon toimintayksikössä. Kaikissa ei välttämättä kerätä lokitietoja, joten vierailu jälkiä jättämättä on mahdollista, sanoo professori Tomi Voutilainen.
– Laki terveydenhuollon osalta on kuitenkin selkeä: vuodesta 2014 lähtien jokaisessa potilastietojärjestelmässä on pitänyt olla ominaisuudet, jolla lokitiedot kerätään. Jos järjestelmät eivät ole lainmukaisia, on Terveydenhuollon valvontaviraston eli Valviran ryhdyttävä toimiin vaikka uhkasakoin. Lokittomuus vaarantaa tietosuojan, jyrähtää Voutilainen.
Myös tietolouhinnan turvatakuut pohdituttavat
Lääkäri Antti Lähteenmäki suhtautuu varovasti myös jatkuvasti lisääntyvään tietojen louhintaan. Esimerkiksi THL:ää varten kerätään valtava määrä tietoja potilaista ja lääkäreiden toimista.
– Tietoja louhitaan ihmisten käynneistä kellonaikoineen ja lääkityksineen. Tieto paloitellaan ja ajatellaan, ettei niitä voida palauttaa yhden ihmisen tiedoiksi.
Lähteenmäki kertoo havahtuneensa, kun työskenteli asiaan liittyvässä kehitysprojektissa.
– Kysyin, että miten on mahdollista, että ihmisen sairaudet ja laboratoriotulokset näkyvät. Eikö tästä pitäisi tulla lokitieto? Vastaus oli kutakuinkin: kyllä, ehkä, joo.
Lähteenmäki antaa esimerkin siitä, miten tiedot olisivat palautettavissa yksittäisen ihmisen tiedoiksi. Lähteenmäki kuitenkin korostaa, ettei missään nimessä väitä, että THL-tietoja käytettäisiin väärin.
– Kun luokseni tulee vaikkapa 24.10.2016 potilas, rekisteriin kirjataan esimerkiksi: keskivaikeaa masennusta sairastava potilas. Tähän ns. Hilmo-rekisteriiin menevään tietoon ei tule henkilötietoja. Mutta potilaan anonyymiteetin voisi murtaa, jos pääsee käsiksi toiseen listaan. Lista kertoo kolmannen potilaan olleen Matti Meikäläinen, sotu se-ja-se.
Soten myötä soppa sakenee – "Täysin levällään"
Sotekaan ei tarjoa apua kirjavien tietojärjestelmien sekamelskaan. Sotessa kuitenkin odotetaan kertyvän säästöjä mm. sähköisten järjestelmien avulla. Julkisoikeuden professori Tomi Voutilainen sanoo, että sote-suunnitelmien lakiviidakko on potilastietojärjestelmien osalta täysin perkaamatta.
– Potilastietojärjestelmien osalta ei tällä hetkellä ota selvää, millainen tulevaisuus meillä on. On näkemyksiä yhdestä potilastietojärjestelmästä, joka turvaa tiedon liikkuvuuden. Mutta meillä on jo Kanta-arkisto ja satoja miljoonia maksava Apotti. Ei ole tiedossa, millaiseen toimintaympäristöön Apotti tulee eikä myöskään se, kuka sitä käyttää. Käyttävätkö yksityisen puolen palveluita tarjovat samaa järjestelmää? Asiat ovat täysin levällään sotessa.
Professori Voutilainen miettii myös sitä, miksi julkisella puolella urkintaa tulee ilmi huomattavasti enemmän kuin yksityisellä.
– Julkisella puolella urkintaan puututaan ja tehdään rikosilmoituksia. Potilaalla on mahdollisuus saada pieni kärsimyskorvaus. Mutta on silmiinpistävää, että yksityisellä sektorilla näitä painetaan villaisella. Käräjäjien henkilörekisteriasioissa vain harva tapaus on sellainen, jossa yksityisen palveluksessa oleva henkilö olisi urkkinut tietoja. En millään usko, että meillä on uteliaita ihmisiä vain julkishallinnossa.
Professori Tomi Voutilainen kertoo, että tietosuojaan on luvassa parannus. EU:n uusi tietosuoja-asetus astuu voimaan vuonna 2018.
– Se edellyttää tietoturvaloukkauksen ilmoittamista valvovalle viranomaiselle. Tällaisessa tilanteessa myös yksityinen sektori joutuu tekemään asiasta ilmoituksen valvontaviranomaiselle.
Ilmitulleista urkkijoista syyteharkintaan saakka päätyy vuosittain jopa kolmesataa. Käräjillä puidaan noin sataa urkintatapausta vuosittain. Uhrien määrä voi olla monikymmenkertainen, sillä urkkija ei useinkaan tyydy kalastelemaan tietoja vain yhdestä ihmisestä.