Kysymys apulaiskaupunginjohtajalle 16.11.2011
Viime aikoina on Suomessa tullut esille joitakin ikäviä potilastietojen luvattomia katselutapauksia. Näissä on katseltu potilasrekisteristä myös sellaisten potilaiden terveystietoja, joihin asianomaisilla ei ole ollut hoitosuhdetta.
Ongelmalliseksi asian tekee se, että potilastietojen laaja katseluoikeus tukee esteetöntä tiedonkulkua potilaan parhaaksi, mutta samalla se lisää riskiä henkilökohtaisten tietojen salassapidon vaarantumiselle.
Kysynkin, olisiko Helsingin sosiaali- ja terveystoimessa tarpeen kehittää potilasrekisterin katselun seurantaa asiakkaiden/potilaiden tietojen salassa pysymisen varmistamiseksi, ja olisiko siihen käytännössä mahdollisuuksia?
Vastaus K49, Seija Muurisen kysymys potilasrekisterin katselun seurannan kehittämisestä
HEL 2011-007268 T 06 00 02
Valtuutettu Seija Muurinen kysyy, olisiko Helsingin sosiaali- ja terveystoimessa tarpeen kehittää potilasrekisterin katselun seurantaa asiakkaiden/potilaiden tietojen salassa pysymisen varmistamiseksi, ja olisiko siihen käytännössä mahdollisuuksia.
Potilasrekisterin käyttöä eli potilastietojen katselua seurataan terveyskeskuksen tietohallintolääkärin ja tietosuojapäällikön tekemin lokitietotarkastuksin. Tarkastuksia tehdään potilaiden pyynnöstä heidän epäillessään tietojensa luvatonta käyttöä ja tietosuojan loukkauksia. Tietohallintolääkäri tekee myös kohdennettuja lokitietotarkastuksia esimerkiksi potilaana olleiden julkisuuden henkilöiden potilasasiakirjojen käsittelytapahtumista sekä pistokokeen luonteisia satunnaistarkastuksia. Lokitietotarkastuksia tehdään viikoittain.
Lokitietotarkastusten tekeminen on erittäin työllistävää, koska nykyiseen potilastietojärjestelmään ei tallennu katselutapahtuman syy eli onko kyseessä ollut hoitosuhteeseen tai muuhun työtehtäviin liittyvään asialliseen yhteyteen perustuva oikeus käsitellä potilastietoja. Väärinkäytösepäilyjen yhteydessä joudutaan pyytämään esimiehen lausunto, miksi työntekijä on kunkin käsittelytapahtuman kohdalla katsellut potilastietoja ja onko siihen ollut asiallinen syy.
Terveyskeskus on panostanut ennalta ehkäisevässä mielessä paljon potilasrekisterin katselun seurantaan ja potilaiden tietojen salassa pysymisen varmistamiseen. Terveyskeskuksen tietosuojapäällikön tehtävään on palkattu juristi, joka tietosuojarikkomusselvitysten lisäksi valmistelee ja päivittää tietosuojaa koskevia pysyväisohjeita, kouluttaa esimiehiä ja henkilökuntaa, pitää terveyskeskuksen tietosuojaa koskevia verkkosivuja ajan tasalla sekä toimii lakisääteisenä terveydenhuollon toimintayksikön tietosuojavastaavana.
Terveyskeskuksen potilastietojärjestelmän lokitietoihin kirjautuu päivittäin tuhansia potilastietojen katselutapahtumia. Lokitietojen säännönmukainen seuranta on käytännössä mahdotonta.
Terveyskeskus toteuttaa potilastietojen luvattoman käsittelyn valvontaa jo tulokaskurssilla alkavan tietoiskun, tietojärjestelmän käyttöoikeuksien myöntämisen yhteydessä allekirjoitettavan sitoumuksen ja esimiehille suunnatun valvontavastuuta korostavan koulutuksen avulla.