Luonnos hallituksen esitykseksi eduskunnalle laiksi sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä sekä eräiksi siihen liittyviksi laeiksi

SAK:n lausunto sosiaali- ja terveysministeriölle
Yhteiskunta Sairastaminen
14.01.2020 12:43

Sosiaali- ja terveysministeriö
www.lausuntopalvelu.fi

Lausuntopyyntönne 15.11.2019
VN/12603/2019 STM/2554/2019 STM066:00/2019

1. Asiakas- ja potilastietojen käsittely ja luovuttaminen

Onko asiakas- ja potilastietojen käsittelystä ja luovuttamisesta säädetty riittävän selkeästi ja tarkasti? Jos ei ole, miten säännöstä pitäisi muuttaa?

Potilas- tai asiakassuhde ja palvelun piiriin hakeutuminen edellyttää asioiden hoidon kannalta tarpeellisten tietojen saamista ja potilaan/asiakkaan hakeutuessa palvelujen piiriin tähän on helppo saada suostumus. Lakiehdotuksessa lähtökohtana on, että rekistereihin tallennettuja olevia asiakas- tai potilastietoja saisi katsella asiakas- tai hoitosuhteen perusteella eikä tähän tarvitsisi erillistä suostumusta. Vaikka lähtökohtana on vain tarpeellisten tietojen käyttö, ongelmaksi tulee muodostumaan se, että suostumuksen tarpeettomuutta tulkitaan laveasti eikä tietojen käyttöä rajata asiakas-/hoitotapahtuman kannalta tarpeelliseen tietoon. Lakiehdotuksen mukaan asiakkaalla tai potilaalla olisi mahdollisuus kieltää tietojen luovutus. On kuitenkin eri asia kieltää tietojen käsittely ja luovutus kuin antaa tietoinen suostumus. Jatkossakin lähtökohtana pitää olla asiakkaan tai potilaan tietoinen, rajattu suostumus häntä koskevien tietojen käyttöön ja luovuttamiseen.

Palvelunjärjestäjän järjestäessä sekä sosiaali- että terveyspalveluja on kyseinen palvelunjärjestäjä molemmissa palveluissa syntyvien tietojen rekisterinpitäjä. 17 §:n perusteella henkilö voi kieltää rekisterinpitäjää luovuttamasta itseään koskevia tietoja toiselle rekisterinpitäjälle valtakunnallisten tietojärjestelmäpalvelujen kautta. Pykälän perusteluissa todetaan, että sen sijaan rekisterinpitäjän sisällä tällaista kielto-oikeutta ei olisi. Henkilöllä pitäisi olla mahdollisuus kieltää tiettyjen, yksilöityjen tietojen luovuttaminen/näkyminen rekisterinpitäjän sisällä koskevatpa ne sitten sosiaalihuollossa tai terveydenhuollossa syntyneitä tietoja.

Samaisessa 17 §:ssä käsitellään asiakkaan tai potilaan oikeutta kieltää tietojensa luovuttamista. Pykälän toisessa momentissa todetaan, että kiellon voi kohdentaa julkisen sosiaali- ja terveydenhuollon palvelunantajaan ja sen rekisteriin sekä työterveyshuollon rekisteriin. Perusteluissa todetaan kyseisessä kohdassa, että kieltoa ei voisi kohdentaa yksityisessä sosiaali- ja terveydenhuollossa rekisteriin tai palvelunantajaan. Lähtökohtana pitäisi olla, että kiellon voi kohdentaa myös yksityisessä sosiaali- ja terveydenhuollossa rekisteriin tai palvelunantajaan.

2. Tahdonilmaukset

Tiedonhallintapalvelua koskevaan 11 §:ään on lisätty uusi kohta liittyen muihin asiakkaan sosiaali- ja terveydenhuoltoon kytkeytyviin palveluihin ja asiakastietojen käsittelyyn liittyvistä tahdonilmauksista. Tiedonhallintapalveluun voisi tallentaa esimerkiksi henkilön vastustuksen hänen tietojensa käytöstä biopankkitoiminnassa. Onko tahdonilmauksista käsittelystä ja luovuttamisesta säädetty riittävän selkeästi ja tarkasti? Jos ei ole, miten säännöstä pitäisi muuttaa?

Käytännön kannalta on tarpeellista, että tiedonhallintapalvelussa näkyvät henkilön tekemät tahdonilmaukset. On kuitenkin tarpeen painottaa perusteluissa esiintuotua toteamusta, että elinluovutuskiellon tai hoitotahdon voi ilmaista muutoinkin pätevällä tavalla kuin tallentamalla tiedon siitä tiedonhallintapalveluun.

3. Erityissuojattavat asiakirjat

Lain 9 §:stä poistettaisiin sosiaali- ja terveysministeriön asetuksenantovaltuus siitä, mitkä asiakasasiakirjat on luokiteltava erityistä suojausta edellyttäviksi. Lain mukaan Terveyden ja hyvinvoinnin laitos antaisi määräykset valtakunnallisten tietojärjestelmäpalvelujen toteutuksen edellyttämistä tietojärjestelmien olennaisista vaatimuksista ja määrittää asiakasasiakirjojen tietosisällöt ja tietorakenteet sekä tietorakenteissa valtakunnallisesti hyödynnettävät koodistot. Pitäisikö erityissuojattavista asiakirjoista säätää asiakastietolaissa ja potilasasiakirja-asetuksessa? Onko erityissuojattavista asiakirjoista säädetty riittävän selkeästi ja tarkasti? Jos ei ole, miten säännöstä pitäisi muuttaa?

Lain 9 § on kirjoitettu lyhyesti ja siitä puuttuu viittaus erityistä suojausta edellyttäviin asiakirjoihin. Perusteluissa tämä mainitaan. Terveyden ja hyvinvoinnin laitos voi antaa 9 §:n mukaan määräyksiä tietojärjestelmien vaatimuksista ja tietorakenteista sekä käytettävistä koodistoista. Tämä ei ole kuitenkaan erityistä suojausta koskevien asiakirjojen määrittämiseksi riittävää. Kaiken kaikkiaan erityissuojattavien asiakirjojen käsite on toiminnallisesti hankala. Erityissuojattavista asiakirjoista olisi säädettävä asiakastietolaissa tai sosiaali- ja terveysministeriön potilasasiakirja-asetuksella.

4. Omatietovaranto

Lain 12 §:ssä säädettäisiin, että henkilö voi antaa suostumuksensa siihen, että palvelunantajalle voidaan luovuttaa omatietovarannossa olevia hyvinvointitietoja sosiaali- ja terveyspalvelujen toteuttamiseksi. Onko hyvinvointitietojen luovuttamisesta säädetty riittävän selkeästi ja tarkasti? Jos ei ole, miten säännöstä pitäisi muuttaa?

Kyseistä 12 §:ä voisi selvyyden vuoksi täydentää perusteluissa olevalla lauseella ”Omatietokannan ylläpitäjänä ja rekisterinpitäjänä Kansaneläkelaitos vastaa suostumusmenettelyn teknisestä toteuttamisesta”.

5. Omatietovaranto

Lain 19 ja 21 §:ssä säädettäisiin, että henkilöllä on oikeus saada omat asiakas- ja potilastietonsa omatietovarantoon ja edelleen hyvinvointisovelluksiin hyödynnettäviksi. Onko asiakas- ja potilastietojen luovuttamisesta omatietovarantoon säädetty riittävän selkeästi ja tarkasti? Jos ei ole, miten säännöstä pitäisi muuttaa? Pitäisikö omatietovarantoon liittyvät hyvinvointisovellukset sertifioida?

19 ja 20 §:ssä on säädetty, millä keinoin potilas- ja asiakastietoja voidaan luovuttaa henkilölle itselleen. Ongelmaksi voi muodostua hyvinvointisovelluksen ominaisuudet ja mahdollisuudet vastaanottaa/välittää tietoa. Tämän vuoksi olisi määriteltävä kriteerit tietoturvalle ja muille ominaisuuksille, joita hyvinvointisovellukselta edellytetään.

Kyseisissä pykälissä todetaan, että potilastiedot ja asiakastiedot voidaan luovuttaa potilaalle tai asiakkaalle. Sanamuodon voi tulkita tarkoittavan kaiken tiedon luovuttamista. Kaiken kertyneen tiedon luovuttaminen ei varmaankaan ole aina tarkoituksenmukaista tai tarpeellista. Lisäksi olisi varmistettava, ettei potilaalle tai asiakkaalle itselleen tavalla tai toisella haitallista tietoa luovuteta. Tältä osin teksti voisi noudattaa pitkälti samaa muotoilua kuin 25 §:ssä, joka koskee lokitietojen luovuttamista henkilölle.

Pykäläteksteissä tai niiden perusteluissa ei käy ilmi, miten asiakas/potilas pyytää tietojen luovuttamista itselleen ja miten rekisterinpitäjä tarkistaa, että tiedot vastaavat pyydettyjä tietoja.

6. Valtakunnallisten tietojärjestelmäpalvelujen käytöstä perittävät maksut

Esityksen 47 §:ssä esitetään muutettavaksi valtakunnallisten tietojärjestelmäpalveluiden käytöstä perittävien maksujen perusteita siten, että Kansaneläkelaitoksen tulisi toimittaa arvio seuraavien neljän vuoden kustannuksista yhden vuoden sijasta. Muutoksella tavoitellaan sitä, että merkittävien, valtakunnallisten tietojärjestelmäpalveluiden hoidon edellyttämien investointien kustannukset voidaan huomioida useamman vuoden jaksotuksella niin, etteivät kustannukset kasaannu yksittäiselle vuodelle. Onko maksuihin liittyvistä menettelyistä säädetty riittävän selkeästi ja tarkasti? Jos ei ole, miten säännöstä pitäisi muuttaa?

Maksuja koskevaan pykälään ei SAK:lla ole tarvetta ottaa kantaa.

7. Rekisteröidyn oikeus rajoittaa käsittelyä

Olisiko asiakastietolaissa säädettävä siitä, että rekisteröidyn oikeutta käsittelyn rajoittamiseen voitaisiin rajoittaa silloin, kun rekisteröity kiistää henkilötietojen paikkansapitävyyden (EU:n yleinen tietosuoja-asetus 18 art 1 kohta a alakohta)?

SAK:n mielestä ei ole tässä syytä poiketa EU:n yleisestä tietosuoja-asetuksesta.

8. Muut huomiot

Voitte kirjoittaa muut huomionne tähän

Sosiaali- ja terveydenhuollon valtakunnallinen tietopalvelujärjestelmä voi parhaimmillaan parantaa moniongelmaisten henkilöiden palvelujen laatua joustavalla tiedon kululla. Jotta tietoa pystyy hyödyntämään, on myös ymmärrettävä, mitä käytettävissä oleva tieto merkitsee. Mikäli sinällään oikeaa, toisen tahon kirjaamaa tietoa tulkitaan väärin tai ei ymmärretä sen merkitystä, seurauksena voi olla potilaan/asiakkaan kannalta haitallinen lopputulos.

Lakimuutosten tavoite tietoturvallisuuden lisäämisestä on kannatettavaa tavoite ja on tarvetta säätää yhtenäisistä ja yleisistä periaatteista. Säädökset eivät kuitenkaan poista järjestelmään liittyvää haavoittuvuutta ja mahdollista häiriöalttiutta. Mahdollisten tietojärjestelmähäiriöiden tai esimerkiksi sähkökatkosten aikana on turvattava palvelujen saatavuus mahdollisuuksien mukaan huolimatta sähköisen käsittelyn estymisestä. Tietojen luvattoman katselun osalta kyseessä on jälkikäteisvalvonta ja todettavissa lähinnä, mikäli lokitietojen tarkastusta tehdään.

SAK pitää perusteltuna, että sosiaalihuollon asiakastiedot ovat katsottavissa terveydenhuollon puolella vain suostumuksen perusteella ja vastaavasti terveydenhuollon potilastiedot vain suostumuksen perusteella sosiaalihuollon puolella.

Omatietovarannossa olevat tiedot kuuluvat henkilön omaan päätäntävaltaan. On mahdollista, että omatietovarantoon tallentuu myös virheellistä tietoa. Omatietovarannossa olevan tiedon hyödyntämisessä sosiaali- ja terveydenhuollon palvelujärjestelmässä on tarpeen aina arvioida tiedon luotettavuus.

Sosiaali- ja terveydenhuollon henkilöstöä koskee salassapitovelvollisuus. Sosiaali- ja terveydenhuollon potilas- ja/tai asiakassuhteessa korostuu luottamuksellisuus ja luottamuksen välttämättömyys hoitosuhteen kannalta. Pienikin epäily arkaluonteisten asioiden paljastumisesta ja tietosuojan puutteellisuudesta voi muodostaa esteen hoitoon tai palveluun hakeutumiselle. Sen vuoksi lähtökohtana pitäisi olla asiakkaan tai potilaan tietoinen, kapea-alainen suostumus aktiivisen kielto-oikeuden lisäksi. Tarvitaan vähintään nykyisen tasoisen tietosuojan ja potilaiden tiedollisen itsemääräämisoikeuden säilyttämistä.

Lopuksi SAK haluaa nostaa esille tietoteknisten ratkaisujen osalta esteettömyyden vaatimuksen, jolla mahdollistetaan vammaisten henkilöiden erityistarpeiden huomioiminen.

Suomen Ammattiliittojen Keskusjärjestö SAK ry