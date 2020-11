Suomalaisen terveydenhuollon asiakastietoja on yritetty vuodesta 2007 saakka saada yhtenäisesti Kantaan.

Hallituksen esittelemän asiakastietolain muutos on haasteellinen, sanoo informaatio-oikeuteen erikoistunut professori.

Hallitus kertoi tänään tiedotustilaisuudessaan uudesta asiakastietolaista, joka velvoittaisi kaikki asiakas- ja potilastietojärjestelmät liittymään Kanta-palveluun. Kanta-palvelun ulkopuolella olevia, niin sanottuja B-luokan tietojärjestelmiä on noin 260.

Kannan ulkopuolella olevien järjestelmien tietosuojaa ei nykyisin valvota käytännössä lainkaan.

Lakimuutoksen kerrotaan parantavan tietoturvaa ja tietosuojaa. Vuosikausia tekeillä ollut laki tulisi voimaan huhtikuun alusta.

”Muutos on merkittävä. Siitä on vuosikymmen keskusteltu, ja nyt tämä iso uudistus saadaan tehtyä ja olen siitä tosi iloinen”, sanoi perhe- ja peruspalveluministeri Krista Kiuru (sd) tiedotustilaisuudessa.

Keskustelu potilastietojärjestelmistä liittyy esimerkiksi Psykoterapiakeskus Vastaamon tietomurtoon, mutta lakimuutos on ollut tekeillä jo Juha Sipilän (kesk) hallituksen aikana.

Informaatio-oikeuden ja sähköisen hallinnon professorin Tomi Voutilaisen mielestä hallituksen esittelemä muutos on kunnianhimoisuudessaan epärealistinen. Ainakin siinä tapauksessa, jos kaiken on tarkoitus olla valmista lain astuessa voimaan ensi vuoden huhtikuussa.

Mikäli hallituksen tiedotustilaisuudessa kertoma suunnitelma pitää paikkaansa, pitäisi kaikki B-luokan asiakas- ja potilastietojärjestelmät viedä Kantaan alle puolessa vuodessa. Sosiaalialalle aikaa tosin annettiin vuoteen 2026 asti.

”On todettu ettei kaikkea tietoa voi Kantaan laittaa. Tämä tarkoittaisi sitä, että Kannassa pitäisi olla valmius vetää sisäänsä sen kaiken aineiston. Se ei ainakaan tähän mennessä ole ollut mahdollista”, Voutilainen jatkaa.

Suomalaisen terveydenhuollon asiakastietoja on yritetty vuodesta 2007 saakka saada yhtenäisesti Kantaan. Asiakastietolakiin kirjattuja tavoitteita on kuitenkin jouduttu lykkäämään useaan otteeseen.

Aikataulu on haasteellinen esimerkiksi tietoturva-auditointien kannalta. Suomessa on vain muutamia arviointilaitoksia, joilla on mahdollisuuksia tehdä niitä, Voutilainen sanoo.

Perhe- ja peruspalveluministeri Kiurun mukaan B-tasojen järjestelmien poistaminen parantaa potilaiden tietoturvaa ja tietosuojaa.

Tämäkään ei Voutilaisen mukaan ole yksiselitteistä.

”Tietoturva-auditointi ei takaa tietosuojaongelmien puuttumista.”

Esimerkkinä Voutilainen nostaa esiin Apotti-potilastietojärjestelmän. Se on Kanta-auditoitu järjestelmä tietoturvaltaan, mutta järjestelmässä on tullut auditoinnin jälkeen ilmi monia tietosuojan kannalta ongelmallisia piirteitä. Apotissa on esimerkiksi todettu huomattavia viiveitä siinä, kuinka nopeasti tiedot siirtyvät Kanta-palveluun, Voutilainen kertoo.

Tietoturva-auditoinnin tuleminen pakolliseksi kaikille potilastietojärjestelmille on Voutilaisen mukaan liike oikeaan suuntaan.

Se, onko kaikki järjestelmät tarpeen viedä Kantaan, on monimutkaisempi asia. Ongelmaksi muodostuu Voutilaisen mukaan se, jos potilastietoja voidaan käsitellä Kanta-palvelun lisäksi myös paikallisesti. Se saattaa aiheuttaa myös potilasturvan kannalta riskialttiita tilanteita, mikäli kaikki ajankohtainen tieto ei olekaan saatavilla yhteisesti.

”Niin pitkään kun on annetaan olla tällainen toimintakulttuuri, että tietoja voidaan tallentaa myös paikallisesti, ovat tiedot levällään ympäriinsä”, Voutilainen sanoo.

Tietoturvallisuuden kannalta paras ratkaisu olisi keskittää kaikki järjestelmät Kantaan. Se kuitenkin toisi riskin sellaisessa tilanteessa, jos palveluun ei saada yhteyttä.

”Tätä pitää arvioida riskiperustaisesti.”

Hallituksen torstaina pitämän tiedotustilaisuuden mukaan asiakastietolaki astuisi terveystoimijoiden osalta voimaan heti huhtikuun alussa ilman siirtymäaikaa. Sosiaalihuollon palveluille siirtymäaikaa olisi vuoteen 2026 asti.

Valviran yli-insinööri Antti Härkönen kertoo, että heidän järjestelmissään ei ole määritelty sitä, käsitelläänkö näissä noin 260 tietokannassa sosiaali- vai terveysalan yritysten tietoja.

”En ole tuota edes miettinyt.”

Härkösen mukaan tietojärjestelmien valmius siirtyä Kanta-järjestelmään vaihtelee paljon. Osa valmistajista tekee molempiin luokkiin kuuluvia järjestelmiä. Härkösen mukaan on todennäköistä, että pienempiä valmistajia poistuu muutoksen myötä markkinoilta.

”On niitä isoja toimijoita, joilla on jo niitä A-luokan järjestelmiä ja he tuntevat ne toimintatavat jo hyvin perusteellisesti. Toisessa ääripäässä on varmasti myös sellaisia pieniä, hyvin pienillä resursseilla valmistettuja järjestelmiä, jotka vaatisivat kyllä teknisesti aika laajojakin muutostöitä, että ne Kantaan voitaisiin siirtää.”

Samalla sosiaali- tai terveysalan yrityksellä voi olla käytössään sekä Kantaan kuuluvia A-luokan järjestelmiä että siihen kuulumattomia B-luokan järjestelmiä.

Hallitus lupasi samalla lakimuutoksen yhteydessä lisätä Valviran ja Terveyden ja hyvinvoinnin laitoksen resursseja. Härkösen mukaan Valvirassa on keskusteltu yhden tai kahden henkilön lisäämisestä.