Yksityisyyden suoja – onko sitä sotessa?

Soten tietoturva puhuttaa. HUSin hallintoylilääkäri Lasse Lehtonen näkee uhkakuvan, että ihminen ei itse voi vaikuttaa hänestä syntyvään henkilöprofiiliin. STM:n ylijohtaja Kirsi Varhila on häntä luottavaisempi säädösten mahdollisuuteen turvata riittävä tietoturva.

STM:n Kirsi Varhila ja HUSin Lasse Lehtonen näkevät nykyisessä tietohallinnassa ongelmia.

Varhilan mukaan kokonaisnäkemyksen luominen on haasteellista, koska yksilön tietosuojaa koskevat ohjeet ovat pirstaleina eri puolilla.

– Tieto ei kulje tarpeeksi hyvin. Mitä enemmän ihminen liikkuu hakemassa palveluja eri puolilta, sitä hankalampaa se on, Varhila sanoo.

Hän pitää kuitenkin tietosuojaa ”melko hyvänä”.

Lehtosen mukaan länsimaisessa yhteiskunnassa hoitosuhteen luottamuksellisuus kuuluu yksityiselämän suojan ydinalueeseen.

– Mutta meillä on poikkeuksellisen paljon poikkeuksia, kuten asianosaisjulkisuus. Myös poliisin tiedonsaantioikeus on poikkeuksellisen laaja.

Lehtonen muistuttaa, että tiedolla johtamisella perustellaan myös usein tiedon liikkumista eri viranomaisten välillä.

– Ei ole tehty arvonmääritystä siitä, mikä tieto on tarpeellista. Tietoa on järjetön määrä, ja seasta on vaikea löytää se tarpeellinen tieto.

Hänen mukaansa myös käyttäjähallinta on puutteellista.

– Systemaattinen kontrolli puuttuu. Sanktiot tulevat myöhässä, rikkomukset ehtivät vanheta.

Valinnanvapaus

– Turva pysyy entisellä tasolla, Varhila arvioi sote-uudistuksen vaikutusta tietoturvaan.

– Ja digitalisointi tulee joka tapauksessa, se ei ole kiinni tästä uudistuksesta. Sen mukana kasvaa riski kyber-hyökkäyksistä, hän lisää.

Varhilan mukaan valinnanvapauslaki ja eduskunnassa käsittelyä odottava laki terveystietojen toissijaisesta käytöstä eli toisiolaki on yritetty kirjoittaa EU:n uusien säädösten mukaan.

– Tietoturvassa ei ole niinkään poliittisia intressejä, mutta vaikea asia se on pykäläteknisesti.

Lehtonen näkee tietosuojassa aika isoja riskejä.

– Tietojen pitää olla potilaan itsensä hallinnassa. Potilastieto on koottu tiettyä tarkoitusta varten. Potilaalla tulisi olla mahdollisuus päättää sen käytöstä – ja myös salata.

Hän myöntää, että potilas voi haluta salata myös hoidon kannalta oleellista tietoa.

– Ammattilaisen pitää sitten vain osata arvioida tilanne.

Hän nostaa esiin tiedon arvon määrittelyn.

– Jos ihminen sairastaa 50-vuotiaana hengitystieinfektiota, miten tieto 20-vuotiaana tehdystä abortista vaikuttaa asiaan, hän kysyy.

– Jos minä olen vastuussa HUSin tietoturvasta, miten voin kontrolloida sitä, jos Kuopiossa hammaslääkäriaseman vastaanottoavustaja käy asianomaisen hammaslääkärin tunnuksilla katsomassa HUSin tietoja?

Ammattiryhmät

Varhila huomauttaa, että laissa säädetään, että ammattihenkilö saa välttämättömät tiedot.

– Mutta miten se rajaaminen käytännössä tapahtuu? Arvokeskustelua käydään, mutta kriteeristöstä ei ole käyty keskustelua.

– Tullaan yhä enemmän siihen, mikä tieto näkyy, kuka näkee mitäkin. Lokijärjestelmästä näkee, kuka on tietoja katsonut. Palvelun ylläpitäjät ovat vastuussa siitä, että tietojen katsomista seurataan, Varhila sanoo.

Hän korostaa omavalvonnan merkitystä.

Lehtosen mukaan eri ammattiryhmien etiikka on erilainen.

– Lääkärit ja sairaanhoitajat on koulutettu hyvin salassapitoon, mutta it-ammattilaisilla on tietoon erilainen tarkastelutapa.

Hän ei luota siihen, että lokitapahtumien kirjautuminen ratkaisee tietoturvariskejä.

– Satojen miljoonien lokitapahtumien seurantaan on tuotu automatiikkaa. Käsipelillä se on ihan sattumanvaraista. Joskus asia nousee esiin, kun joku potilas huolestuu, että joku on hänen tietojaan katsellut.

Luvattomasta tietojen katselusta jää Suomessa vuosittain kiinni satoja ihmisiä. Seurauksena on vähintään varoitus, mutta sanktiot vaihtelevat.

– Jos sairaanhoitajaäiti katsoo lapsensa laboratoriotutkimusten tulokset, ei siitä vielä potkuja seuraa. Mutta on eri asia, jos joku katsoo entisen puolisonsa nykyisen kumppanin psykiatrista sairaskertomusta, Lehtonen sanoo.

Profilointi

Lehtonen on huolissaan profiloinnista.

– Ei se sinänsä ole pahasta. Mutta on eri asia, kun vakuutusyhtiöt, yksityiset työnvälittäjät ja muut alkavat käyttää tietoja muuhun tarkoitukseen kuin mihin ne on alun perin kerätty.

Hän toivoo, että samalla kun profiloidaan, luodaan periaatteet siitä, miten profilointia saa käyttää.

– Nyt on edetty teknologia edellä. Periaatteista on vasta alettu käydä keskustelua. Arvokeskustelu on myöhäistä, jos tiedot ovat jo ehtineet karata.

– Kyllähän keskustelua tosiaan käydään, ja nyt säädetään sosiaali- ja terveydenhuollon tietosuojasta, sanoo Varhila.

– Toissijaisen käytön pitää olla hallinnassa. Olennaista on, onko tutkimustyössä käytössä olevissa tiedoissa yksilöintitiedot mukana, hän jatkaa.

Varhila muistuttaa, että mitä enemmän mennään kohti tiedolla johtamista, sitä enemmän käytetään ryhmäkohtaista tietoa.

– Se liittyy riskien ennakointiin.

Kapitaatiomalli

Kapitaatiokorvausten määrittelyperusteista on noussut vilkas keskustelu johtuen tietoturvasta ja profiloinnista.

Tarkoitus on, että kustakin asiakkaasta maksettava korvaus vastaisi mahdollisimman hyvin hänestä aiheutuvia kustannuksia, mutta kuitenkin niin, että palveluntuottaja ei tiedä, minkä korvauksen saa kustakin asiakkaasta.

Valmisteilla olevassa mallissa viranomaiset määrittelevät tiettyjen muuttujien mukaan ryhmitellyt yksilökohtaiset korvaukset, ja maksut tilitetään palvelun tuottajalle könttäsummana.

Varhila ei näe tietoturvaongelmaa ja pitää järjestelmää hyvänä.

– Pyritään ryhmätasolla siihen, että palvelun tuottaja saa oikean korvauksen. Mitä enemmän on tietoa käytettävissä, sitä paremmin korvaukset vastaavat tarvittavaa hoitoa.

Lehtonen näkee riskejä siinä, jos tietoja käytetään muuhun tarkoitukseen kuin mihin ne on kerätty. Esimerkiksi suhde työmarkkinoihin ja perhetilanne ovat tulossa mukaan korvauksen kriteeristöön.

– Riskit kasvavat, kun tietoa kootaan eri puolilta. Tuskin ihminen työkkäriin mennessään ajattelee, että se vaikuttaa siihen, millainen korvaus hänestä maksetaan yksityiselle terveysyritykselle.

– Jos työllisyystietoja käytetään terveydenhuollossa, käytetäänkö seuraavaksi terveystietoja työllistymisprofiloinnissa, kuten on jo esitetty, Lehtonen kysyy.

Varhila painottaa, että nyt tehdään vain mallia kapitaatiokorvauksen määrittelemiseksi ryhmä-, ei yksilötasolla.

– Ja työllisyydellä on merkitys hyvinvoinnille ja sitä kautta terveydenhuollossa.

Hän huomauttaa myös, että nykyisinkin ihmisiä hinnoitellaan.

– Erityisen tuen oppilaat on hinnoiteltu jopa yksilötasolla, eikä kukaan pidä sitä ongelmana.

Lehtonen kertoo törmänneensä kysymykseen siitä, kannattaako geenitestejä käyttää erityisopetuksen tarpeen määrittelyssä.

Hän näkee selviä uhkakuvia.

– Jos ihmiset luokitellaan kategorioihin, ollaan helposti kastiyhteiskunnassa, jossa ihminen ei enää hallitse omaa minäkuvaansa eikä voi vaikuttaa siihen. Siksi kaipaisin kovasti säädöksiin periaatteita tietojen hyväksyttävistä käyttötarkoituksista.

Varhilan mukaan lakiesityksiä on muokattu tietoturvasta saadun palautteen mukaan. Rekisterien käyttötarkoitusta koskevat säädökset ovat edelleen voimassa.

– Kyllä me nöyrästi suhtaudumme tietoturvaan ja kunnioitamme yksityisyyttä, hän toteaa.

Tutkimuskäyttö

Varhila tähdentää, että tietojen tutkimuskäyttöön tarvitaan tutkimuslupa ja eettisen toimikunnan hyväksyntä.

Toisiolakiesityksessä eli terveystietojen toissijaisessa käytössä lupa ja valvonta keskitetään yhteen paikkaan. Varhilan mukaan käsittelyn keskittäminen lisää tietoturvaa.

– Käytännössä kuitenkin aina tehdään rajanvetoa siitä, mikä tukee terveydenhuollon palvelutuotantoa eikä tietoja käytetä mihin sattuu. Emme altista tietoja epäeettiseen käyttöön.

Lehtonen kehuu EU:n tietoturvasäädöksiä.

– Meidän pitää muuttaa lainsäädäntöämme sen mukaan. Työ on pahasti kesken.

Hän on samaa mieltä siitä, että yksi asiantuntijaviranomainen tietoturva-asioissa on hyvä muutos.

– Kysymys on sitten resursseista. Meillä puhutaan joustavuudesta ja prosessien yksinkertaistamisesta, mutta ei anneta tarpeeksi resursseja. Hakkerit ovat aina liikkeellä. Tietoturvan pitäminen ajan tasalla on todella haasteellista ja tulee kalliiksi.

Lehtosenkin mukaan toisiolakiesitys on teknisesti melko hyvä.

STM:ssä on tavoitteena, että asiakkaita koskevat tietosuojapykälät kootaan yhteen lakiin, Varhila kertoo.

– Siinä tulee sitten selvitettäväksi se iso ero, pyydetäänkö erikseen suostumus vai onko potilaalla vain mahdollisuus olla aktiivinen ja itse kieltää tietojen käyttö, hän sanoo.

Lehtosen mukaan potilaan tietoturva ansaitsisi oman lainsäädäntönsä.

Vireillä on laki potilaan itsemääräämisoikeudesta.

– Siihen on koottu nykyisen lainsäädännön pykäliä, ei kovin uutta ajattelua, ei kovin onnistunut, arvioi Lehtonen.

– Siksi se onkin lausunnolla, huomauttaa Varhila.

HUS

1. HUS on 24 kunnan muodostama kuntayhtymä. Sen tehtävänä on tuottaa jäsenkunnille ja niiden asukkaille tarpeellisia erikoissairaanhoidon palveluja.

2. HUS:n osana toimiva yliopistosairaala HYKS vastaa lisäksi hoidon tuottamisesta harvinaisia sairauksia ja muuten vaativaa hoitoa tarvitseville potilaille omaa sairaanhoitopiiriä laajemman erityisvastuualueen (erva) väestölle ja joissakin sairauksissa myös koko maan väestölle.

3. Hyksin ervaan kuuluvat Uudenmaan sairaanhoitopiirin lisäksi Etelä-Karjalan sosiaali- ja terveyspiiri Eksote, Kymenlaakson sairaanhoito- ja sosiaalipalvelujen kuntayhtymä Carea ja Päijät-Hämeen hyvinvointikuntayhtymä.

Artikkeli on julkaistu Kuntalehdessä 10/2018.