Tulostusversio

4/2008

Tietosuoja: Vastaava toimii tietosuojan tulkkina

Teksti: Päivi Männikkö

Tietosuojavastaavilla riittää töitä, kun terveyskeskukset, sairaalat ja apteekit siirtyvät käyttämään terveydenhuollon valtakunnallisia tietojärjestelmiä. Kiire tulee etenkin niille yksiköille, jotka eivät vielä ole nimenneet vastaavaansa.

Julkisen terveydenhuollon ja osan yksityistä terveydenhuoltoa sekä apteekkien tietojärjestelmät liittyvät lähivuosina valtakunnallisiin terveydenhuollon sähköisiin tietojärjestelmiin. Niihin kuuluvat potilastietojen eArkisto ja resepti- ja lääketietojärjestelmien eResepti. Hankkeen on määrä edetä asteittain siten, että ensimmäiset terveydenhuollon yksiköt ja apteekit siirtynevät järjestelmiin ensi vuonna ja viimeiset vuoden 2011 alussa.

Kun kaikki yksiköt ovat järjestelmässä mukana, siinä on tiedot kaikista käyttöönoton jälkeen annetuista resepteistä sekä valtaosasta lääkäri- ja sairaalakäynneistä. Terveydenhuollon yksiköt ja apteekit vastaavat tallentamiensa tietojen sisällöstä ja tietojen käsittelyn lainmukaisuudesta.

Lainsäädäntö edellyttääkin kaikkia terveydenhuollon yksiköitä ja apteekkeja nimeämään tietosuojavastaavan, joka neuvoo muita työntekijöitä henkilötietojen käsittelyssä.

Järjestelmän rakentamisesta ja ylläpidosta vastaavan Kelan kehittämispäällikkö Erkki Aaltonen luonnehtii tietosuojavastaavien roolia hankkeessa tärkeäksi.

”Tietojärjestelmähanke on aika iso uudistus terveydenhuollon toimijoille ja apteekkiväelle, ja sitä on toteuttamassa terveydenhuollon ja tietotekniikan asiantuntijoita. Voi olla, että tietosuojakysymyksiä ei hoidettaisi niin hyvin, ellei mukana olisi tällaisia tietosuojan tulkkeja.”

Vastaavan nimeämisellä kiire

Tietosuojavastaavan tehtäviin kuuluu erilaisia asioita tietojen käytön tarkoituksen määrittelystä ohjeistukseen ja koulutukseen sekä tietojen käytön seurantaan ja valvontaan. Rekisteröityjen informoinnin ja tiedonsaantioikeuksien toteuttamisessa tietosuojavastaava toimii johdon ja muiden työntekijöiden apuna.

”Tietosuojavastaava toimii erityisasiantuntijana tietosuoja-asioissa, jotta organisaatio ja sen johto osaisi toimia oikein ja lainmukaisesti”, toteaa Kelan lakimies Henna Koli, joka toimii Kelassa valtakunnallisten järjestelmien tietosuojavastaavana.

Vaikka järjestelmän käyttöönotto on vielä edessä, tietosuojavastaavien tulisi jo perehtyä lainsäädäntöön ja tietojärjestelmiin osatakseen neuvoa muuta henkilökuntaa sitten, kun siirtyminen on ajankohtaista.

”Käytännössä niille, jotka eivät vielä ole valinneet tietosuojavastaavaa, tulee kiire”, Erkki Aaltonen hoputtaa niitä yksiköitä, joissa vastaavaa ei vielä ole valittu.

Käyttöoikeuksista sovitaan paikallisesti

Järjestelmän oikeaoppinen käyttäminen on paikallisten työntekijöiden vastuulla. Ennen paikallisten järjestelmien liittämistä valtakunnallisiin järjestelmiin niiden on täytettävä liittämisprosessin sertifioinnin vaatimukset.

Sertifiointi on sosiaali- ja terveysministeriön vastuulla ja se perustuu tietojärjestelmistä laadittuun lainsäädäntöön. Siinä kiinnitetään huomiota muun muassa tietosuojavastaavan nimeämiseen, työntekijöiden ohjeistukseen ja koulutukseen sekä siihen, että käyttäjäroolien ja käyttöoikeuksien määrittelyssä on noudatettu tietosuojalainsäädäntöä.

Tietojärjestelmien käyttöön vaaditaan henkilökohtainen varmennekortti. Sen myöntää Terveydenhuollon oikeusturvakeskus TEO, mutta yksiköiden tehtäväksi jää määrittää kunkin työntekijän työroolit ja rooleihin kuuluvat käyttöoikeudet. 

”Jokaiselle käyttäjälle ei siis anneta kaikkia oikeuksia erikseen, vaan roolien kautta, koska se on liian monimutkaista ja virhealtista. Vastuu roolipohjaisen käyttäjähallinnan toteuttamisesta on jokaisella organisaatiolla itsellään”, Kelan pääsuunnittelija Antti Sulosaari huomauttaa.

Roolien ja niihin liittyvien käyttöoikeuksien suunnittelussa tarvitaan myös tietosuojavastaavaa, joka ymmärtää potilastietojen käsittelyn lakisääteiset vastuut ja rajoitukset.

Potilastietojen käyttöä rajoitetaan siten, että aiemman hoitohistorian selvittämiseen vaaditaan potilaan lupa. Potilaskohtaisiin hakutietoihin eli tietoihin siitä, missä potilasta on hoidettu, riittää potilaan suullinen suostumus. Toisen yksikön laatimien asiakirjojen avaamiseen tarvitaan kirjallinen suostumus. Lisäksi yksiköiden tulee luokitella erityistä suojausta edellyttävät potilasasiakirjat ja -tiedot.

Sähköisiä reseptejä 2009 alussa

Resepti- ja lääketietojärjestelmän kokeilun piti alun perin alkaa Turussa ja Kotkassa tänä syksynä, mutta nyt ensimmäisten sähköisten reseptien kirjoittaminen siirtyy ensi vuoden puolelle.

Kun kokeilu osoittautuu onnistuneeksi, Turun ja Kotkan sairaanhoitopiireissä olevat apteekit ja terveydenhuollon yksiköt voivat alkaa liittyä eReseptiin.

Järjestelmän toiminnan kannalta on tärkeää, että siihen liityttäisiin sairaanhoitopiireittäin eikä kunnittain, koska potilaat voivat käydä lääkärillä tai apteekissa myös naapurikunnassa. Apteekkien on liityttävä järjestelmään ennen terveydenhuoltoa, koska muuten farmaseutti ei pystyisi toimittamaan potilaan saamaa sähköistä reseptiä.

Lähes joka terveyskeskuksessa ja sairaalassa on jo käytössä sähköinen potilaskertomus, ja sairaanhoitopiireillä on alueellisia potilastietojärjestelmiä. Liittyjien on muutettava omat tietojärjestelmänsä vastaamaan valtakunnallisten järjestelmien vaatimuksia sekä koulutettava omat työntekijänsä. Erkki Aaltonen arvioi tämän vievän muutamia kuukausia.

Potilastietojen eArkistoa kokeiltaneen Kuopiossa ensi vuonna, jonka jälkeen se voidaan ottaa alueittain käyttöön eReseptin tapaan. Ennen kokeilua on kuitenkin saatava valmiiksi potilasasiakirjojen sisältöä ja säilytystä säätelevä asetus. Eriäviä käsityksiä on vielä ainakin siitä, kuinka kauan erilaisia potilasasiakirjoja saisi säilyttää.

Varmennekiistasta ei haittaa

Valtiontalouden tarkastusviraston taannoisessa tunnistamispalveluja koskevassa raportissa Terveydenhuollon oikeusturvakeskusta moitittiin siitä, ettei se kilpailuttanut terveydenhuollon ammattilaisten varmennepalvelua. Oikeuskanslerin virasto käsittelee parhaillaan sitä, toimiko TEO lainvastaisesti.

Erkki Aaltonen ei usko, että varmennekiista vaikuttaisi hankkeen etenemiseen. Jos varmentaminen kuitenkin määrätään kilpailutettavaksi, huhtikuuhun 2011 asetettu määräaika järjestelmien käyttöönotosta voidaan hänen mukaansa unohtaa. Apteekeille ja terveydenhuollon yksiköille halutaan jättää kaksi vuotta aikaa liittyä valmiiseen järjestelmään, joten järjestelmien kokeilut pitäisi saada tehtyä ensi vuoden alussa.

Lue myös

Tietosuoja: Sähköiseen tietoon 2011 mennessä »
Tietosuoja: Joko teillä on tietosuojavastaava? »
Tietosuoja: Vastaava on henkilökunnan tukena »
Tietosuoja: Tietosuojavaltuutetun selvitys »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.