Asiakastietolaki muuttui ja tietoturva paranee – Näin potilasasiakirjoja ja terapiatietoja säilytetään jatkossa
Potilasasiakirjoja koskeva tietoturva paranee uuden lakiuudistuksen myötä. Mutta jos haluaa tietojaan poistettavaksi, se on vaikeaa.
Moni terapeutti säilyttää muistiinpanojaan paperiarkistossa. Tietoturvan kannalta se voi olla hyvä vaihtoehto.
Marraskuun alussa voimaan astunut uusi asiakastietolaki parantaa terveyden- ja sosiaalihuollon asiakkaiden tietoturvaa. Uuden lain mukaan yksityisten palveluntarjoajien tulee ottaa Kanta-palvelut käyttöön, jos heillä on käytössä asiakas- tai potilastietojärjestelmä.
”Yksityisten palveluntarjoajien piti aikaisemminkin liittyä Kantaan, mikäli he arkistoivat potilastietoja sähköisesti. Mutta siellä oli porsaanreikä, joka mahdollisti sen, että saattoi kirjoittaa potilastietoja sähköisesti ja tulostaa ne paperiarkistoon. Uudessa laissa paperiarkistopoikkeusta ei ole enää annettu”, sanoo Kanta-palvelun palvelutoiminnan päällikkö Outi Lehtokari
Psykoterapeuttien on kuitenkin edelleen luvallista säilyttää paperiarkistoa, joka on kirjoitettu käsin. Näin moni yksityinen psykoterapeutti toimiikin ja säilyttää muistiinpanoja asiakkaan terapiakäynnistä esimerkiksi lukitussa kaapissa.
Toinen parannus laissa koskee terveyden- ja sosiaalihuollon sähköisten järjestelmien lokitietoja. Lokitiedoista näkee, kuka tietoja on katsonut ja milloin.
”Terveyden- ja sosiaalihuollon asiakkailla on ollut aikaisemminkin oikeus pyytää itseään koskevat lokitiedot. Muutos on nyt siinä, että jos palveluntarjoaja ei jostain syystä antaisi lokitietoja, niin asian voi antaa tietosuojavaltuutetun käsiteltäväksi”, sanoo apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa.
Kuinka kauan terapiatietoja säilytetään?
Kaikkia terveydenalan potilasasiakirjoja säilytetään enintään 120 vuotta potilaan syntymästä tai 12 vuotta tämän kuolemasta. Potilasasiakirjoihin merkitään potilaan hoidon järjestämisen, suunnittelun, toteuttamisen ja seurannan turvaamiseksi tarpeelliset tiedot.
Jos hakee terapiaa varten kuntoutustukea Kelasta, tarvitsee psykiatrilta B-lausunnon, jossa kerrotaan, millaisiin mielenterveydellisiin ongelmiin potilas hakee apua. B-lausuntoa säilytetään Kelassa kymmenen vuotta terapian päättymisen jälkeen.
Psykiatri tekee käynnistä myös potilasasiakirjan, jonka säilytysaika on tuo yllä mainittu, enintään 120 vuotta.
Voiko asiakas pyytää tietojaan poistettavaksi?
Asiakkaalla on oikeus nähdä, mitä tietoja hänestä säilytetään. Jos potilastiedoissa on virhe, voi pyytää virheen korjaamista. Myös tiedon poistamista voi pyytää. Terveydenhuollon ammattihenkilön tekemää potilasmerkintä voidaan kuitenkin käytännössä hyvin harvoin määrätä korjattavaksi tai poistettavaksi.
”Tietojen dokumentoiminen ja säilytysajat on säädetty laissa turvaamaan sekä asiakkaan että palveluntarjoajan oikeusturvaa”, Heljä-Tuulia Pihamaa sanoo.
Lisäksi tietojen säilyttäminen on tärkeää hoidon kannalta, Pihamaa lisää.
”Esimerkiksi ammattihenkilö voi vaihtua kesken hoidon, ja on tärkeää, ettei seuraava joudu aloittamaan hoitoa nollasta, vaan jatkaa hoitoa kerääntyneen tiedon perusteella.”
Kanta-palvelun tietoturva on korkealla tasolla, koska järjestelmää testataan säännöllisesti.
Ovatko tiedot turvassa Kanta-palvelussa?
Kyllä ovat, Outi Lehtokari vakuuttaa.
”Kanta on kansallinen palvelu, jonka tietoturvaan kiinnitetään erittäin suurta huomiota. Tiedot on suojattu monin eri tavoin, ja ulkopuolinen tietoturvallisuuden arviointilaitos tarkastaa palvelun säännöllisin väliajoin”, Lehtokari sanoo.
Vuosi sitten Vastaamon tietovuodon yhteydessä moni tietoturva-alan ammattilainen kuitenkin muistutti, että sataprosenttisesti turvallista järjestelmää ei ole olemassa. Näin teki esimerkiksi tekoälytutkija Ella Peltonen:
”Mikään ei elämässä ole täysin riskitöntä. Paperiarkistokaan ei ole sataprosenttisen varma.”
”Vastaamo oli poikkeuksellinen ja raadollinen esimerkki. Se sai toivottavasti kaikki toimijat arvioimaan tietoturvansa tasoa ja panemaan asiat sellaiselle tasolle, jolla niiden kuuluisikin olla”, Ella Peltonen sanoo.
Vastaamon tietovuoto opetti viranomaisia.
”Sen jälkeen on luotu paljon ohjeita siitä, miten tulee toimia tietovuodon jälkeen. Viranomaisilla on myös parempi valmius siihen, miten tietoja saadaan julkisesta verkosta pois”, Lehtokari sanoo.
THL on julkaisemassa marras-joulukuussa lisää täsmennyksiä uuteen lakiin. Niissä määritellään tarkemmin, mitä sähköisiltä potilastietojärjestelmiltä vaaditaan.
”On tulossa korkeampia tietoturvavaatimuksia. Sellaista tietojärjestelmää, joka oli Vastaamossa käytössä, ei tietyn siirtymäajan jälkeen saa olla enää käytössä”, Outi Lehtokari sanoo.