Julkaistu numerossa 2/2018
Teemat

Tietosuojan keskiössä on oltava potilas

EU:n uudistettua tietosuoja-asetusta alettiin soveltaa kaikissa EU:n jäsenmaissa 28.5.2018 alkaen. Käytännössä kansallisen lainsäädännön liikkuma-ala kaventui, koska EU:n lainsäädännön mukaan asetukset ovat sitovia kaikilta osiltaan kaikkialla EU:ssa.

Sic!-lehti sai napattua nopeaan haastatteluun tietosuojavaltuutettu Reijo Aarnion. Mitä tietosuoja-asetus muutti yksittäisen potilaan kannalta?

– Potilaiden oikeudet parantuivat olennaisesti asetuksen myötä. Digitaaliseen toimintaympäristöön liittyen keskeinen uudistus on, että asetuksen myötä entistä selvemmin vastuu tietoturvan toteutumisesta kuuluu rekisterinpitäjille. Rekisterinpitäjien tulee myös osoittaa, että he noudattavat lakia. Kansalaisten on siis mahdollisimman helposti kyettävä tunnistamaan, asioivatko he luotettavan toimijan kanssa. Tähän liittyy myös rekisteröityjen oikeus saada tietää, jos tapahtuu tietoturvaloukkauksia. Eli toimijoiden ja asiakkaiden välinen läpinäkyvyys lisääntyy.

Aarnio korostaa, että hänen mielestään erityisesti potilaan kannalta uudistuksen keskiössä on rekisterinpitäjille tullut lain noudattamisen periaate eli niin sanottu tilintekokykyisyys (accountability).

– Kun ollaan esimerkiksi terveys- tai lääkitystietojen kanssa tekemisissä, rekisterinpitäjän velvoite on tehdä ennakollinen arvio siitä, miten järjestelmä rakennetaan, jotta se toimii hyvin ja turvallisesti. Kyse on vaikutusten arvioinnista.

Asetus edellyttää myös, että jos rekisterinpitäjä ostaa esimerkiksi IT-palveluja oman organisaationsa ulkopuolelta on rekisterin pitäjän ja tietojen käsittelijän solmittava kirjalliset sopimukset.

Yksilön kannalta hyvää on myös se, että asetusta noudattamattomille organisaatioille on mahdollista antaa hallinnollinen sanktio.

– Esimerkiksi tietosuojavaltuutetulle tulee joko väliaikaisesti tai jopa pysyvästi oikeus keskeyttää rekisterinpito, jos sen ylläpitäjä ei täytä asetuksen vaatimuksia.

Jo ennen uuden asetuksen voimaantuloa rekisteröidyillä on ollut oikeus päästä itseään koskeviin tietoihin tarkastusoikeuden nojalla. Lisäksi ennestään on ollut oikeus tulla informoiduksi siitä, kuka tietoja käsittelee, mihin tarkoitukseen niitä käytetään sekä miten kauan ja miten suojattuna niitä säilytetään. Tähän liittyen uuden asetuksen myötä astui voimaan myös oikeus siirtää tiedot järjestelmästä toiseen.

My data - sovellukset saavat tietosuojavaltuutetun siunauksen

Terveystietojen kerätään yhä enemmän myös erilaisissa my data -palveluissa. Tietosuojavaltuutettu Aarnio suhtautuu my datan hyödyntämiseen positiivisesti, mutta haluaa muistuttaa muutamasta asiasta.

– My data -idean varjolla keltään ei saisi edelleenkään kerätä tarpeetonta tai virheellistä tietoa. My data -palveluita tarjoavien sovellusten, erityisesti terveyteen liittyvien, täytyisi olla yhteensopivia kansallisen tietoarkkitehtuurin kanssa. Eli myös sovelluksille on asetettava jonkinlaisia vaatimustasoja ennen kuin niitä voidaan hyödyntää vaikkapa lääkkeisiin liittyvissä asioissa tai muussa terveydenhuollon toiminnassa.

Tietosuoja-asetus saattaa rajata toisiolain käyttötarkoituksia

Sosiaali- ja terveystietojen toissijainen käyttö (niin sanottu toisiolaki) on mittava lakiesitys. Mitä uhkia tai mahdollisuuksia siihen sisältyy?

– Lakiesitystä on tarkasteltava useasta näkökulmasta. Tässä on kyse ikään kuin nelikulmiosta, jonka yhdessä kulmassa on potilaslaki, toisessa tietosuojasääntely, kolmannessa perustuslaki ja yhteen nurkkaan on sijoitettava toisiolaki. Moni toisiolaissa esitetyistä terveystietojen käyttötarkoituksista on olemassa tietosuoja-asetuksen määritelmissä. Hallituksen esityksessä on kuitenkin myös käyttötarkoituksia, joita ei ole mainittu tietosuoja-asetuksessa hyväksytyiksi käyttötarkoituksiksi. Tällainen osa-alue on esimerkiksi terveystietojen hyödyntäminen tuotekehitys- ja innovaatiotoiminnassa. Olemme siis uudessa tilanteessa – tietosuoja-asetus osoittaa kansallisen liikkumavaran, jota pitää tarkastella erittäin huolellisesti, kun toisiolakia arvioidaan.

Tietojen salassapito on eri asia kuin tietosuoja

Yleisesti Suomessa ajatellaan, että olemme tietosuoja-asioissa vahva maa, mutta tietosuojavaltuutettu kiistää olettamuksen paikkansapitävyyden.

– Kansainvälisen vertailun mukaan Suomi ei ole 1. luokassa vaan 2. luokassa. Sellainen kuva, että meillä olisi tiukempi tietosuoja kuin jossain muualla, ei pidä paikkaansa. Sen sijaan meillä on paljon salassapitosääntelyä, joka ei ole sama asia kuin tietosuoja. Usein nämä asiat menevät julkisessa keskustelussa sekaisin, ja tietosuojasta on tullut väärällä tavalla kaikenlaista tiedon käsittelyä kuvaava yleiskäsite.

Esimerkiksi terveydenhuoltoalalla keskustellaan potilaiden oikeudesta kieltää lääkitystietojensa näkyminen, joka saattaa vaikuttaa lääkehoitojen kokonaisuuden hallittuun ja turvalliseen toteuttamiseen.

– Tämä on esimerkki luottamuksesta  ja sivulliseen liittyvästä tietosuojakysymyksestä. Potilastiedot näkyvät juuri sen verran kuin ne on lain kautta haluttu ja määritetty näkyvän. Uskon, että potilaslaista tuleva idea, että potilas hoidetaan yhteisymmärryksessä terveydenhuollon henkilöstön ja itse potilaan kanssa poistaa pitkälti ongelmat lääkitystietojen kieltämisen ympäriltä. Toisaalta kuitenkin uuden asetuksen seurauksena esimerkiksi apteekkipuolen sääntelyä voidaan joutua kansallisesti tarkastelemaan esimerkiksi Kanta-järjestelmän lääkitystietojen suhteen.

Lääkealalla pohditaan parhaillaan kiivaasti, kuinka potilaiden tuottamaa terveysdataa voisi paremmin hyödyntää sekä väestötason että yksittäisten potilaiden lääkehoitojen järkevöittämiseksi. Mitkä ovat tietosuojavaltuutetun terveiset alalle?

– Ideani on, että tietosuoja sekä lääkeala ja terveydenhuolto olemme aina olleet samassa veneessä. Veneen nimi voisi olla luottamus. Potilaan tai tutkimushenkilön luottamus pitää ansaita eikä sitä saa menettää. Keino, jolla luottamus ansaitaan tai menetetään, on nimeltään tietosuoja. Valitettavasti aika usein vaikuttaa siltä, että toimijat eivät ole oikein itsekään jaksaneet paneutua lainsäädännön tarkoitukseen. Terveydenhuollossa on paljon sisälle rakennettuja byrokratioita, mutta täytyy muistaa, että yksittäisen ihmisen tulee olla keskiössä, kun häntä koskevia asioita käsitellään.

Petra Nylund

Petra Nylund

FM
Viestintäasiantuntija, Fimea