Miten virheellisen lokiraportin perusteella voi tietää, että potilaan tietosuoja on turvattu? – Tietojärjestelmien häiriöt syövät kansalaisen luottamusta terveydenhuoltoon

Jaa artikkeliTilaa Seura
Jorma Tanner on yrittänyt selvittää yli kolme vuotta, kuka hänen tietojaan on katsellut paikallisessa terveyskeskuksessa. Osa kysymyksistä on yhä avoimina.
Jorma Tanner on yrittänyt selvittää yli kolme vuotta, kuka hänen tietojaan on katsellut paikallisessa terveyskeskuksessa. Osa kysymyksistä on yhä avoimina. © Jussi Jääskeläinen
Sysmäläisen Jorma Tannerin terveydenhuollon lokitiedoissa on useita kummallisuuksia: lokitiedot muuttuvat ja niissä on virheellisiä tietoja. Ainakin osa epäselvyyksistä näyttäisi johtuvan Effica-järjestelmässä olevista puutteista. Miten yksittäinen kansalainen voi tietää, urkitaanko hänen tietojaan?

Vuoden 2016 lopulla sysmäläinen Jorma Tanner huomasi, että hänen terveystietojensa lokitiedoissa on omituisuuksia. Heräsi kysymys, onko kunnan tietosuoja kunnossa.

Tanner on kieltänyt tietojensa luovuttamisen eri yksiköiden välillä, eikä hänellä ole palvelusuhdetta kaikkiin niihin henkilöihin, jotka ovat lokitietojen perusteella katselleet hänen tietojaan.

Tästä havainnosta alkoi vuosia kestänyt rumba, jossa hän on pyrkinyt selvittämään, onko hänen potilastietojaan katseltu luvatta.

”Tämä on vienyt todella paljon aikaani ja luottamus terveydenhuoltoon ja viranomaisiin on mennyt täysin. Saan vastauksia vain osaan kysymyksistäni, mutta moneen selvityspyyntööni ei ole vastattu vieläkään. En voi mitenkään tietää, kuka tietojani on katsellut.”

Lokitiedot päivittyvät kulloisenkin työtehtävän mukaan – Kuka tiedoissa kävi silloin, kun joku katseli niitä?

Kummallisia lokimerkintöjä on sekä Tannerin että hänen puolisonsa tiedoissa. Samat lokitiedot näyttävät erilaisilta, kun ne on tulostettu eri ajankohtina: vaikka tiedot pysyvät muuten samoina, tietoja katselleen henkilön nimi muuttuu.

Seurantaraporttiin myös ilmestyy lokitietoja, joita siellä ei ole ollut aiemmin. Tannerin tietoja näyttävät myös katselleen henkilöt, joihin hänellä ei ole hoitosuhdetta.

Sekavat lokiraportit hämärtävät sitä, onko potilastiedoissa käyty asiattomasti ja onko tietosuoja kunnossa..

Sekavat lokiraportit hämärtävät sitä, onko potilastietoja katsottu asiattomasti ja onko tietosuoja kunnossa. © Jussi Jääskeläinen

Tanner on selvittänyt asiaa Päijät-Hämeen hyvinvointikuntayhtymän kanssa. PHHYKY:n tietosuojatiimin vastauksessa todetaan, että tietojärjestelmä on päivittänyt lokitietoihin henkilöiden nimiä ja ammattinimikkeitä kulloisenkin työtehtävät mukaan.

Tanner oli tiedosta hämillään: miten hän voi tietää, kuka hänen tietojaan katselee, jos lokitiedot muuttuvat riippuen siitä, milloin ne toimitetaan? Epäilykset tietosuojan rikkomisesta eivät tällä tavalla hälvene.

Soitimme vielä Päijät-Hämeen hyvinvointikuntayhtymän toimialajohtaja Juhani Sandille. Sand on yksi Tannerille selvityksiä antaneista henkilöistä.

Miksi lokitiedoissa näkyy käyntejä, vaikka Tanner sanoo, ettei ole käynyt kyseisenä ajankohtana hoidossa? Ja miksi lokitiedoissa näkyy tietojenluovutuksia paikkoihin, joihin hänellä on luovutuskielto?

”Silloin tällöin tapahtuu myös inhimillisiä virheitä ja tietoja luovutetaan paikkoihin, joihin niitä ei pitäisi luovuttaa, mutta yleensä näissä on kyse siitä, että henkilön tietoja käsitellään teknisesti esimerkiksi ajanvaruksen yhteydessä, vaikka henkilö ei ole käynyt hoidettavana. Kaikkiin teknisiin yksityiskohtiin en voi ottaa kantaa. En voi myöskään kommentoida yksittäisen potilaan tapausta.”

Lue myös: Tietosuojavaltuutettu: ”Ihmisellä on oikeus tietää kuka hänen tiedoissaan kävi ja millä perusteella”

Samoja käyttäjätunnuksia useilla eri henkilöillä

Tanner on pyytänyt vastausta tietojensa katseluun myös Attendolta, koska yrityksen työntekijöitä näkyy hänen lokitiedoissaan, vaikka hän on kieltänyt tietojensa luovuttamisen terveyskeskukseen, jota Attendo tuolloin pyöritti.

Attendo ilmoitti, että hänen tietojaan ei ole katseltu terveyskeskuksesta, vaan tietoja on katsonut Sysmän kunnalla työskentelevä perusterveydenhuollon tai erikoissairaanhoidon henkilö. Syynä sekaannukselle on se, että näissä kahdessa paikassa on käytössä samoja käyttäjätunnuksia eri henkilöillä.

Laki sosiaali- ja terveydenhuollon potilastietojen sähköisestä käsittelystä määrää, että potilasasiakirjoja käyttävä työntekijä on tunnistettava yksiselitteisesti. Tiedot potilasasiakirjojen käytöstä merkitään lain mukaan lokirekisteriin.

Juuri lokirekisteri on viimeinen perälauta, jonka avulla tietosuojan rikkomisesta pitäisi jäädä kiinni terveydenhuollon yksikön itse suorittaman valvonnan avulla.

Jokaista tietojenkäsittelyä ei tietenkään tarkasteta, mutta pistokokeita ja tietoteknistä valvontaa pitäisi tehdä terveydenhuollossa omatoimisesti.

Kaikesta jää jälki terveydenhuollon lokeihin: ajanvarauksesta, jonotustilanteen kysymisestä ja käynnistä hoitajalla tai lääkärillä.

© iStock

Ei ihme, että Tanner on tästä ymmällään. Hänellä on kyllä oikeus nähdä omien potilastietojen käsittelystä syntyneet lokit, mutta lokiraportit ovat tyhjänpäiväisiä, koska niissä on vääriä tietoja.

Tanner toimitti Seuralle nipun asiakirjoja, joissa näitä eri ongelmia on vuosien 2017–2019 välillä. Ongelmat eivät ole selvityspyyntöjen ja annettujen vastausten jälkeen kadonneet mihinkään, vaan kummallisuudet jatkuvat.

Pyysimme vastausta asiaa lääkäri Vesa Savanderilta, joka työskenteli tuolloin Attendolla. Hän selvitti asiaa Tannerin kanssa vuonna 2017. Hän ei muistanut tapahtumaa, eikä halunnut kommentoida asiaa.

Sysmä ja PHHYKY myöntävät virheet

Lokitiedot voivat näyttää kansalaisen silmissä varsinaiselta merkintäviidakolta. Jokainen asiointi jättää jäljen terveydenhuollon lokeihin, oli sitten kyse lääkärikäynnistä tai ajanvarauksen perumisesta puhelimessa.

Ja jokaisen sairaalan tai terveysasema lokitiedot täytyy pyytää suoraan kyseisestä terveydenhuollon yksiköstä.

Tanner on pyytänyt. Ja saanut merkillisiä lokiraportteja, ja selityksiä, useammasta paikasta: virheitä on ainakin PHHYKY:n ja Sysmän kunnan lokeissa.

Pyysimme selitystä kummallisiin lokitietoihin Sysmän tietosuojavastavaa Pasi Laaksolta ja PHHYKY:n hallintojohtaja Veli Penttilältä. Kumpikin suostui kommentoimaan lokitietojen ongelmia yleisellä tasolla.

Pasi Laakso, Sysmän kunnan tietosuojavastaava, Sysmä on toiminut juridisena rekisterinpitäjänä siitä lähtien, kun ulkoistitte perusterveydenhuollon Attendolle 2017 (myöhemmin Terveystalo). Mikä Sysmän lokeissa mättää?

”Kun aloitimme rekisterinpitäjänä 2017, ensimmäiset asiakkaille toimitetut lokit olivat virheellisiä. Meillä oli väärät taustatiedot lokityökalun käytössä, ja niihin tulostui vääriä käyttäjänimiä, vaikka käyttäjätunnukset olivat oikein.

Virhe korjattiin ja asiakkaille toimitettiin oikeat lokitiedot myöhemmin.

Sama yritys, 2M-IT, ottaa lokitiedot Sysmästä ja PHHYKY:n järjestelmistä samalla ohjelmalla. Työkalu ei ole toiminut täysin loogisesti ympäristössä, jossa on useita järjestelmiä ja tietokantoja. ”

Saman selityksen antaa Veli Penttilä. Itse lokitiedot olivat oikein, mutta lokiraportille tulostui vääriä nimiä. Penttilän mukaan myös PHHYKY:n tapauksessa lokeja on otettu väärillä taustatiedoilla, ja siksi raportit ovat olleet virheellisiä.

Hallinnollinen sekoilu sekoittaa lokiraportteja, kun tieto organisaatiomuutoksista ei kulje ja lokiraportteja otetaan väärin.

Hallinnollinen sekoilu sekoittaa lokiraportteja, kun tieto organisaatiomuutoksista ei kulje ja lokiraportteja otetaan väärin. Epäselväksi jää, onko potilaan tietosuoja turvattu.

Miksi näitä erikoisia lokimerkintöjä on vielä vuonna 2019, jos virhe kerran korjattiin, Pasi Laakso?

”Huomasimme vuonna 2019 toisen ongelman. PHHYKY:n lokiin jää merkintöjä, vaikka asiakastietoja katsellaan tai käsitellään Sysmän järjestelmässä. Meillä on aavistus, mistä tämä johtuu, mutta emme voi antaa siitä vielä lisätietoa. Selvitämme asiaa sovellustoimittajan ja pääkäyttäjän kanssa.”

Ongelma näkyy myös PHHYKY:n puolella. Veli Penttilä sanoo, että heidän lokiraporteilleen on tulostunut Sysmän käyntejä, koska heillä tehtiin organisaatiomuutos, eikä tieto siitä kulkenut lokiraportteja ottaneeseen yritykseen.

Sysmässä käytetään AavaEffica-järjestelmää, johon myös PHHYKY:llä on omien potilastietojensa osalta käyttöoikeus. Myös tässä tapauksessa on Penttilän mukaan kyse siitä, että lokeja on ajettu väärillä hakuehdoilla.

Ongelmia myös Omakanta-palvelussa

Omat käyntinsä terveydenhuollon eri yksiköissä voi tarkistaa Kelan Kanta-palvelusta. Käynnistä jää merkintä, jonka takaa pitäisi löytyä potilaskertomus. Tannerin Kannassa näkyy käyntejä, mutta tiedot siitä, mitä hänen tiedoissaan on tehty, puuttuvat.

”Omakannassakin on vielä kehitettävää. Olisi suotavaa, että siellä ei näkyisi tyhjiä rivejä, jotka herättävät ihmisissä kysymyksiä”, sanoo Juhani Sand, Päijät-Hämeen hyvinvointikuntayhtymän toimialajohtaja.

Omakannassa näkyy myös tietojen luovutuksia Päijät-Hämeen hyvinvointikuntayhtymältä Sysmän terveyskeskukseen, jota hoiti tuohon aikaan yksityinen terveyspalveluyritys Attendo, nykyään Terveystalo.

Tanner on kieltänyt tietojensa luovuttamisen Sysmän terveyskeskukseen.

PHHYKY:n tietoturvatiimi on antanut Tannerille vastauksen, jonka mukaan Omakanta tulkitsee tietoja virheellisesti. Sysmässä on heidän mukaansa katseltu tietoja vanhasta Effica-järjestelmästä, joka eriytettiin kunnan omaan käyttöön yksityistämisen yhteydessä.

Juhani Sand, miten tällaiset virheet vaikuttavat ihmisten luottamukseen terveydenhuoltoa kohtaan?

”Se vaikuttaa tietenkin haitallisesti, ja siksi me vastaamme näihin selvityspyyntöihin. Ihmisille näyttää silti jäävän epäilyksiä.”

Tällaisia ongelmia löysimme Tannerin lokiraporteista

Tannerin tietoja näyttää katsoneen farmaseutti X Sysmän osastolta käsin. Tanner sanoo, ettei ole ollut hoidettavana Sysmän vuodeosastolla.
Farmaseutin tunnukset ovat PHHYKY:n järjestelmässä, mutta katselupaikka on Sysmässä.
Samalla käyttäjätunnuksella työskentelee sihteeri Sysmässä.
Myös yhdeksän muuta henkilöä on käynyt Tannerin tiedoissa samalta osastolta.

Tanner on pyytänyt samat lokitiedot marraskuussa 2018 ja maaliskuussa 2019.
Jälkimmäisessä lokiraportissa näkyy katseluita, joita ensimmäisessä ei näy, vaikka lokiraportit osuvat samalle ajanjaksolle.
Lokiraportit on otettu eri hakuehdoilla: aloitus- ja lopetuspäivämäärät ovat eri.

Lokiraportilla tietojen käyttäjän paikalla lukee Tietoenator (Effican järjestelmätoimittaja)
Raportilla ei lue käyttäjän nimeä, eikä Tanner ole saanut selvitystä, mitä merkinnät tarkoittavat.

Tannerin tietoja on katseltu Attendon pyörittämästä Sysmän terveyskeskuksesta. Tanner ei ole käynyt Attendolla hoidettavana.
Samassa lokilistassa sama lääkäri on käynyt hänen tiedoissaan erikoissairaanhoidon poliklinikalta.
Kyse näyttäisi olevan yhdestä potilastietojen käsittelystä yhden tunnin sisällä, mutta tietojen suorituspaikka muuttuu yhtäkkiä.

Lokiraportissa näkyy, että sairaanhoitaja on katsellut Tannerin tietoja ajanvarauksen yhteydessä. Suorituspaikka puuttuu.

Tannerin tiedoissa on käynyt henkilö, joka työskenteli Attendolla ja johon hänellä ei ole hoitosuhdetta.
Attendon selvityksen mukaan lokiraportti ei pidä paikkaansa, vaan siihen on tullut väärien henkilöiden nimiä. Todellisuudessa Tannerin tietoja käsiteltiin erikoissairaanhoidon puolella.

Kahtena eri ajankohtana otetuissa lokiraporteissa on muuten identtiset tiedot, mutta tietoja on katsellut eri henkilö.
PHHYKY:n tietosuojatiimin mukaan syy nimien vaihtumiselle on Neotide LogMonitor -järjestelmän virhe.

Terveydenhuollon toiminnan pitää olla lainmukaista, mutta sen pitää myös näyttää luotettavalta

Luottamuspula yhteen viranomaiseen tai terveydenhuollon toimijaan voi johtaa myös yleiseen luottamuspulaan koko järjestelmää kohtaan.

”Sillä on suuri vaikutus, miltä viranomaisten toiminta näyttää. Siitä on paljon tutkimustietoa, että ihmisten kokemukset yksittäisistä viranomaisista vaikuttavat laajasti luottamukseen muihin instituutioihin”, sanoo Maria Bäck, valtio-opin lehtori Helsingin yliopistosta.

Jorma Tanner on yrittänyt selvittää yli kolme vuotta, kuka hänen tietojaan on katsellut paikallisessa terveyskeskuksessa. Hän ei vieläkään tiedä, onko Sysmän tietosuoja kunnossa.

Tietosuoja on herkkä kysymys, koska luottamuspula yksittäisiä terveydenhuollon henkilöitä kohtaan voi heijastua epäuskona koko yhteiskuntaa kohtaan.  © Jussi Jääskeläinen

Tanner on tästä hyvä esimerkki. Hän kertoo menettäneensä luottamuksensa kaikkiin viranomaisiin, koska ei voi olla varma, onko hänen terveystietojaan urkittu.

Ja koska Tanner ei voi luottaa, että tietosuoja on terveydenhuollossa kunnossa, lääkäriin ei huvita enää mennä minkään pikkuasian vuoksi.

Järjestelmässä näyttäisi olevan suunnitteluvirhe

Järjestelmä, jota Päijät-Hämeessä ja Sysmässä tuolloin käytettiin, on nimeltään Effica.

Tai tarkemmin ottaen kyse on tuoteperheestä: on siis useita Efficaksi nimettyjä järjestelmiä, esimerkiksi perusterveydenhuollossa ja erikoissairaanhoidossa omansa.

Lisäksi lokitietojen hakuun on oma järjestelmänsä, Neotide LogMonitor.

Sittemmin Efficat on vaihdettu Lifecare-tuoteperheen järjestelmiin, jotka ovat tulleet surullisen kuuluisiksi siitä, että niiden Lääkitys-sovellus sotki hoitajien lääkelistoja.

Suurimmat ongelmat Lifecaren kanssa osuivat nekin Päijät-Hämeeseen.

Pyysimme tietojärjestelmätieteen professori Valtteri Niemeä Helsingin yliopistosta arvioimaan, vaikuttavatko potilasjärjestelmä Effican lokitiedot asianmukaiselta.

”Jos lokitietoja kerätään siksi, että voidaan varmentaa, kuka arkaluontoisiin tietoihin pääsee käsiksi, järjestelmän pitäisi tietenkin hakea se tieto, kuka kyseistä käyttäjätunnusta on käyttänyt silloin, kun potilastietoja katseltiin”, Valtteri Niemi sanoo.

Jos se sen sijaan hakee tiedon, kuka sitä käyttäjätunnusta käyttää nyt, järjestelmä ei toimi niin kuin sen pitäisi. Kyseessä vaikuttaisi olevan suunnitteluvirhe.”

Koska tietojärjestelmä kirjaa lokiin käyttäjätunnusta vastaavan numerosarjan ja hakee sitä vastaavan henkilön toisesta paikkaa järjestelmää, voivat lokitiedot näyttää kummallisilta, mikäli järjestelmässä on suunnitteluvirheitä.

”Tietokone näkee viime kädessä vain ykkösiä ja nollia. Jos ihminen on suunnitellut järjestelmän hakemaan tiedot listasta, jossa on käyttäjätunnuksen nykyinen haltija, kone tietenkin tekee niin.”

Kansalaiset eivät aina ymmärrä, mistä kaikesta jää jälki heidän lokitietoihinsa. Lokitietoja kerääntyy valtava määrä, ja se hämmästyttää usein lokitietojen pyytäjää.

Kansalaiset eivät aina ymmärrä, mistä kaikesta jää jälki heidän lokitietoihinsa. Lokitietoja kerääntyy valtava määrä, ja se hämmästyttää usein lokitietojen pyytäjää. © iStock

Pyysimme Effican järjestelmätoimittajalta, Tiedolta, haastattelua lokitietojen virheistä.

Yrityksestä ei haluttu kommentoida asiaa: ”Emme voi kommentoida yksittäiseen käyttäjään liittyviä tapahtumia, mutta käymme kaikki järjestelmän ongelmat läpi Päijät-Hämeen Hyvinvointikuntayhtymän kanssa. Noudatamme lainsäädäntöä ja tuotteemme ovat CE-merkittyjä.”

Lue myös: Potilastietojen lokien kansallinen sääntely on pahasti levällään, eivätkä lokien sielunelämää ymmärrä kansalaiset tai kaikki organisaatiotkaan

Epävarmuus siitä, missä potilastiedot seilaavat, on vienyt vähätkin mahdollisuudet sosiaaliseen kanssakäymiseen

Tanner ei halua mennä Sysmän terveyskeskukseen hoidettavaksi näiden epäselvyyksien vuoksi. Samoin ajattelee hänen vaimonsa, jonka lokeissa on myös epäselvyyksiä.

Suomessa hoitopaikkansa saa valita vapaasti, mutta valitsemisen mahdollisuudet ovat pienessä kunnassa rajalliset.

”Tämä rumba on maksanut minulle paljon. Olen käynyt toisella yksityisellä lääkäriasemalla. Tietosuoja on minulle tärkeä asia. Olen käyttänyt paljon aikaa siihen, että skannaan näitä papereita ja lähetän ympäriinsä, että saisin selville, kuka tietojani oikein katsoo.”

Tannerin mahdollisuudet liikkua ja tavata muita ihmisiä ovat rajalliset, koska hän kärsii hoitovirheen vuoksi syntyneestä selkäydinvauriosta. Kipuja on paljon ja voimavaroja vähän.

Aiemmin hän kävi istumassa paikallisella huoltoasemalla, kun jaksoi, jotta hän tapaisi muita ihmisiä.

Arkaluortoisia potilastietoja käsitellään luottamuksellisessa hoitosuhteessa. Potilaalla on oikeus tietää, kuka hänen arkaluotoisia tietojaan katselee ja luottaa siihen, että tietosuoja on kunnossa.

Arkaluortoisia potilastietoja käsitellään luottamuksellisessa hoitosuhteessa. Potilaan täytyy voida luottaa siihen, että tietosuoja on kunnossa, eikä potilasasiakirjoja katsella asiattomasti. © iStock

Epävarmuus siitä, missä potilastiedot seilaavat, on vienyt Tannerilta vähätkin mahdollisuudet sosiaaliseen kanssakäymiseen.

”En halua enää nähdä muita ihmisiä. Tämä on pieni kylä ja ihmiset puhuvat. Voimavarani eivät enää riitä itseni kuntouttamiseen, koska tämä vie niin paljon aikaa ja voimia.”

Lue myös: Turvaako tietosuoja yksityisyyttäni, kun olen kuollut?

X