Potilastietojen lokien kansallinen sääntely on pahasti levällään, eivätkä lokitietojen sielunelämää ymmärrä kansalaiset tai kaikki organisaatiotkaan
Terveydenhuollon potilastietojärjestelmien lokitiedoissa on pahoja puutteita. Kysyimme Tampereella tietosuojavastaavana toistakymmentä vuotta työskennelleeltä Ari Andreassonilta, mikä ihme lokitiedoissa mättää. Saimme vastauksen, että niissä mättää varsin moni asia.
Lokiraportti voi näyttää erilaiselta, jos se otetaan järjestelmästä eri tavalla.
Terveydenhuollon lokitietojen pitäisi olla sekä asiakkaan että terveydenhuollon takuu siitä, että tietoja käsitellään lain ja ammattietiikan vaatimalla tavalla.
Kerroimme Seurassa sysmäläisestä Jorma Tannerista, jonka lokitiedot olivat pahasti levällään, eikä kukaan tuntunut saavat lopullista selvyyttä, onko tietoja käsitelty asiallisesti ja mikä kaikki hänen lokiraporteissaan on pielessä.
Lokitietoja jää kaikesta mahdollisesta: kun asioimme terveydenhuollossa millä tahansa lääkäriasemalla, julkisella tai yksityisellä, kun varaamme tai tarkastamme aikaa puhelimitse, kun nuorempi lääkäri konsultoi kokeneempaa lääkäriä, kun osastosihteeri tai hoitaja kirjaa lääkärin saneluita tai soitamme ja kysymme jonotuspaikkaa polvileikkaukseen.
”Omakannan luovutuslokiterminologia on liian vaikeaselkoista ihmisille. Siellä pitäisi kuvata tarkemmin, mistä kaikesta näitä lokimerkintöjä syntyy”, kuvaa Ari Andreasson, Tampereen kaupungin tietosuojavastaava.
”Lokirivillä voi esimerkiksi lukea, että tietoja luovutettu yksityiselle henkilölle, jos henkilö on pyytänyt itse omia tietojaan. Mitä ihmiset pitäisi tällaisten lokitietojen perustella päätellä?”
Andreasson on palvellut toistakymmentä vuotta tehtävässään ja on hyvin verkostoituneena nähnyt ja kuullut kaikki mahdolliset ongelmat, joita eri organisaatioissa voi lokitietojen kanssa olla.
Aika on ajanut paperisten potilasarkistojen ohi. Digitaalisesta tietojenkäsittelystä syntyy valtavia määriä lokitietoa, jolla tietojenkäsittelyä valvontaan. © iStock
Andreassonin kokemuksen mukaan tavalliset kansalaiset eivät ymmärrä, että jokainen potilasasiakirjojen avaaminen jättää jäljen. Siitä kertyy valtava määrä lokitietoa, joka usein hämmästyttää niitä pyytäviä ihmisiä.
Jos ihminen on soittanut kaksi vuotta sitten keskussairaalaan tiedustellakseen, millä paikalla hän on leikkausjonossa, siitä jää merkintä.
”Merkitseekö se työntekijä sinne potilastietoihin, että henkilö soitti ja kyseli leikkausjonosta? Moni ei merkitse, koska se ei ole hoidon kannalta keskeinen tieto. Sitten jos kansalainen katselee näitä lokitietoja kaksi vuotta myöhemmin, voi näyttää siltä, että tietoja on katseltu, vaikka käyntejä ei kyseisenä ajankohtana ollutkaan.”
Hallinnollinen sekoilu hämmentää lokiraportteja, jos ohjeet ja käytännöt eivät ole selviä
Monet lokitietojen vääristä merkinnöistä johtuvat puhtaasta sekoilusta organisaatioissa. Lokitietojen ottaminen voi olla hajautettu yllättävän monille ihmisille organisaation sisällä.
Andreassonin mielestä niihin pitäisi päästä käsiksi vain muutaman ihmisen, jotka osaavat ottaa lokit oikein ja aina samalla tavalla. Tampereella lokiasiat on Andreassonin oppien mukaan keskitetty.
Syy tähän on yksinkertainen. Jo yhden sairaanhoitopiirin sisällä voi olla satoja järjestelmiä, jotka muodostavat sellaisen tietojärjestelmäviidakon, jota voi olla vaikea hallita, jos ei tiedä todella hyvin, mitä on tekemässä.
”Jos lokeja ottava työntekijä vaihtuu ja ottaa lokiraportit eri reittiä tai eri hakuehdoilla kuin edellinen, sieltä voi tulla ihan eri näköistä raporttia ulos. Lisäksi ohjelmistoyritykset kehittävät lokitoiminnallisuuksiaan, mikä saattaa muuttaa raportin ulkonäköä tai sisältöä.”
Myös se, millaiset käyttöoikeudet lokeja ottavalla henkilöllä on, vaikuttaa Andreassonin mukaan siihen, mitä raportille tulostuu.
Tampereen kaupungin tietosuojavastaava Ari Andreasson pitää lokitietojen ja -raporttien eheyttä keskeisenä asiana tietosuojan kannalta. © Ari Andreasson
Käytännössä lokiraportteja joudutaan joissain organisaatioissa kokoamaan niin, että niihin yhdistetään henkilöstöhallinnon tietoja jälkikäteen, koska järjestelmä ei pysty tuottamaan sitä valmiiksi luettavassa muodossa.
Tai kuten Sysmän tapauksessa, lokiraportille tulostuu väärän henkilön nimi, koska kahdessa erillisessä järjestelmässä on samoja käyttäjätunnuksia.
Vaikka samojen käyttäjätunnusten takana olevat työntekijät voitaisiinkin tunnistaa henkilötunnuksen perusteella, ei lokiraportin aitoutta tarkastanut Sysmässä kukaan ennen kuin se toimitettiin eteenpäin.
Sotku oli valmis.
Vaarantavatko epäselvät lokiraportit työntekijöiden oikeusturvan? Vaikeutuuko hoito?
Yksi asia huolettaa Andreassonia erityisen paljon. Nimittäin työntekijöiden oikeusturva.
”Jos lokitiedot eivät ole eheitä, voi kysyä myös hyvällä syyllä, että mikä niiden painoarvo on oikeudessa, jos henkilö lähtee viemään asiaa rikostutkintaan? Tästä voi seurata oikeusmurhia työntekijöille.”
Jos taas itse lokien kirjaukset ovat kunnossa, mutta lokiraportille tulostuu vääriä tietoja, kansalaisen on mahdotonta tietää, mitä on todella tapahtunut. Potilaan ja henkilökunnan välinen luottamus joutuu koetukselle.
”Pahin skenaario on, että työntekijät eivät enää uskalla mennä käsittelemään näitä asiakastietoja, jos heitä syytellään suotta, vaikka he ovat hoitaneet vain työtehtäviään. Se voisi vaarantaa potilasturvallisuuden.”
Potilaan tietoihin ei kaikissa tavanomaisissakaan hoitotilanteissa mene ainoastaan se lääkäri, jolla on suora hoitokontakti potilaaseen.
On tavallinen käytäntö, että nuorempi lääkäri konsultoi kokeneempaa lääkäriä potilasta koskevissa asioissa. Jos syntyy tilanne, ettei kokeneempi lääkäri uskalla mennä potilastietoihin, koska työskentelee eri osastolla, voi potilasturvallisuus olla Andreassonin mukaan vaarassa.
Potilasturvallisuus voi vaarantua, jos hoitava henkilökunta ei uskalla käsitellä potilastietoja. © iStock
Tampereellakin käydään keskustelua enenevässä määrin, että lokitietopyyntöjen määrä lisääntyy koko ajan. Samalla myös väärinkäsitysten riski lisääntyy.
Suomessa tietojärjestelmien ja rekistereiden kokoa kasvatetaan ja käyttöoikeuksia on valtavalla määrällä sosiaali- ja terveyspalveluiden henkilöstöä. Siksi on keskeistä varmistaa, että organisaatio valvoo itse asiakastietojen käyttöä suunnitelmallisesti.
”Vastuuta valvonnasta ei pidä ulkoistaa asiakkaalle.”
Kansallinen sääntely on Suomessa vielä keskeneräistä
Laissa on määritelty, että potilastietojen käsittelystä täytyy pitää lokirekisteriä. Henkilöllä on myös oikeus saada tietoa omien potilastietojensa käsittelystä ja katselusta.
Kaikki on kunnossa, eikö?
Paitsi, että ei ole.
Suomesta puuttuu käytännössä kokonaan tarkempi kansallinen määrittely sille, millainen lokirekisterin pitää olla ja mitä sen pitäisi pitää sisällään.
Asiakastietolain mukaan lokirekisteriin kerätään tiedot siitä, mitä asiakastietoja käsiteltiin, minkä palveluntarjoajan tiedoista on kyse, kuka niitä käytti, mihin tarkoitukseen ja milloin tämä tapahtui.
Mitä se tarkoittaa tarkemmalla tasolla, on tulkittu eri organisaatioissa monenkirjavalla tavalla.
”Meillä on Suomessa edelleen käytössä järjestelmiä, joista et saa esimerkiksi työntekijän tehtävänimikettä tai yksikköä lokiraportille. Tai toinen ääripää on se, että sille lokiraportille tulostuu sellaista tietoa, mitä ei missään nimessä saisi joutua tavallisen kansalaisen käsiin.”
Andreasson on nähnyt urallaan tilanteita, joissa lokiraportille on tulostunut esimerkiksi työtekijöiden henkilötunnuksia, käyttäjätunnuksia tai laitetunnuksia.
”Nämä ovat riski tietoturvalle ja tietosuojalle, jos niitä joutuu ulkopuolisten käsiin.”
Sosiaali- ja terveysministeriö on siirtänyt vastuun terveydenhuollon järjestelmien lokitoiminnallisuuksista Terveyden ja hyvinvoinninlaitokselle. Ohjeita on lupailtu sieltä useita vuosia, mutta lokiasiat seisovat yhä.
”Olisi suotavaa, että edes julkisella puolella olisi yhtenäiset käytännöt koko maassa, mielellään myös yksityisellä. Vai pitääkö Suomen 2000 terveydenhuollon yksikön oikeasti sopia itsenäisesti näiden ohjelmistotoimittajien kanssa, millaista lokia sieltä pitäisi tulla ulos”, Andreasson ihmettelee.
Asiakastietolaki on uudistumassa: lakiesitys on sosiaali- ja terveysministeriössä valmistelussa, ja sen kohtalosta päättää eduskunta. Lokitietojen pelisäännöistä vastaa Terveyden ja hyvinvoinnin laitos. © OM arkisto
Ilman selkeää sääntelyä yritykset voivat puuhata lokitoimintoja järjestelmiin melko vapaasti
Koska yhtenäinen kansallinen ohjeistus puuttuu, mutta järjestelmästä on silti lainsäädännön mukaan saatava lokia ulos, ovat ohjelmistotoimittajat tarttuneet toimeen.
”Kun nämä lokiasiat kirjattiin lakiin 2007, yritykset alkoivat rakentamaan satoihin eri vuosikymmenillä syntyneisiin terveydenhuollon järjestelmiin lokitoimintoja jälkikäteen, kukin oman subjektiivisen näkemyksensä mukaan. ”
Järjestelmät on auditoinut sairaanhoidon yksiköistä riippumaton osapuoli ennen kuin ne ovat liittyneet Kelan Kanta-palveluun. Mutta onko auditointi riittävä toimenpide vai onko auditointi itsessään ollut löperöä, jos lopputuloksena järjestelmästä tulee virheellistä lokia?
”Me testaamme Tampereella näitä lokitoiminnallisuuksia jokaisen version vaihdon jälkeen systemaattisesti, jotta saadaan varmuus, että se todella lokittaa sitä mitä sen pitäisi. Jos otetaan jokaisen pienenkin yksikön järjestelmät mukaan, niin voin kuvitella, että testaamisen taso on hyvin vaihteleva.”
Lokiraportin lähtökohtana pitäisi olla autenttisuus. Järjestelmän pitäisi pystyä tuottamaan lokiraportti sellaisessa muodossa, jossa sen voi antaa kansalaiselle. Juuri tähän tarvittaisiin yhtenäistä kansallista ohjetta.
”Ei niitä lokiraportteja pidä kenenkään joutua peukaloimaan leikkaa-liimaa-tekniikalla, jotta niihin saadaan edes tietoja käsitelleiden ihmisten nimet, tehtävänimikkeet ja työyksiköt”, Andreasson päivittelee.