Millaisia tietosuojakysymyksiä sairaanhoitopiirien ja sote-toimijoiden toiminnassa yleensä esiintyy ja mitä erityislainsäädäntöä toimintaan liittyy?
Aiheesta keskustelemassa Varsinais-Suomen sairaanhoitopiirin tietosuojapäällikkö Kristiina Hovi ja entinen sairaalalakimies Nina Lyly KPMG:ltä.
Terveydenhuollon tietosuojaa -podcast -jakso on tuotettu yhteistyössä Sairaalalakimiehet ry:n kanssa ja se on osa Sote-akatemian valinnaista Sosiaalioikeus -opintojaksoa (tulossa syksyllä 2021).
Terveydenhuollon tietosuojaa -podcast, tekstivastine
Yhteinen ääni on Turun yliopiston podcast, jossa keskustellaan ajankohtaisista aiheista monialaisesti. Tämän jakson tuotti Sote-akatemia.
Nina: Tervetuloa sote-juridiikan luento- ja podcast-sarjan pariin. Tämä opintokokonaisuus on tuotettu Turun yliopiston ja Sairaalalakimiehet ry:n yhteistyössä. Sairaalalakimiehet ry on Suomen erikoissairaanhoidossa toimivien juristien yhteinen vuorovaikutuskanava ja edunvalvoja. Tämän opintojakson idea on lähtenyt innostuksesta tuoda teille opiskelijoille käytännön näkökulmia siitä, millaisten juridisten kysymysten parissa sote-kentällä ja erityisesti erikoissairaanhoidossa toimitaan, ja luoda ylätason käsitys siitä juridisesta viitekehyksestä ja lainsäädännöstä, mitä terveydenhuollon toimintaan liittyy. Ja ehkäpä jopa sytyttämään juuri sinussa sote-kipinän. Ei muuta kuin antoisia oppimis- ja kuunteluhetkiä.
-Yhteinen ääni.-
Nina: Tänään meillä on vuorossa terveydenhuollon tietosuojaa -podcast, ja lähtöasetelma on sinänsä hyvinkin jännittävä, sillä olemme molemmat keskustelijat tekemässä ensimmäistä podcastia ikinä. Eli tälläkin puolella jännitetään, että mitä tästä oikein tulee. Täällä linjoilla kanssani on tänään Varsinais-Suomen sairaanhoitopiirin tietosuojapäällikkö Kristiina Hovi. Tervetuloa Kristiina, ja kiva kun pääsit viettämään lauantaita tietosuojan parissa.
Kristiina: Kiitos kutsusta, ja mikäs sen mukavampaa, kuin keskustella tietosuoja-asioista.
Nina: Niinpä, lempiaiheitamme (naurahdus). Tänään tavoitteena on siis puhua terveydenhuollon tietosuojasta ja antaa teille kuulijoille ylätason käsitys siitä, että millaisia tietosuojakysymyksiä sairaanhoitopiirien ja ehkä yleensäkin sote-toimijoiden toiminnassa esiintyy, ja millaista henkilötietoa siellä sairaanhoitopiirissä liikkuu, ja mahdollisesti minkälaista erityislainsäädäntöä toiminnassa joudutaan ottamaan huomioon. Mutta ennen kuin sukelletaan tietosuojan syvään päätyyn, niin käydään vähän läpi, keitä täällä linjoilla on, sillä yhtenä tavoitteena toki tällä luento- ja podcast-sarjalla on, että tuomme teille hieman esiin, että millaisia työtehtäviä soten parissa on, ja ehkäpä jopa innostaa joku teistä sote-toimialan työtehtäviin. Kristiina, aloitatko vaikka sä, ja kerrotko vähän, että kuka olet?
Kristiina: Joo, no oma tausta on sellainen, että mä oon toiminut kymmenisen vuotta sairaanhoitopiirien maailmassa, ja tehnyt erilaisia asiakirjahallintaan, tiedon hallintaan ja tietosuojaan liittyviä työtehtäviä, mutta että tämän päivän aiheeseen liittyen mä oon kahdeksan vuotta toiminut Varsinais-Suomen sairaanhoitopiirissä tietosuojavastaavana, ja päätoimisesti tehnyt sitä tehtävää viime vuodet. Että terveydenhuollon tietosuojaa oon katsellut tässä jo monta vuotta.
Nina: Joo, pitkän linjan sote-tietosuojakonkari siellä päässä linjaa. Lyhyesti itsestäni, olen valmistunut Turun oikeustieteellisestä 2019 syksyllä ja sinänsä siis urapolun alkupäässä, mutta yllättävän monta vuotta on jo sote-sektorilla tullut viihdyttyä, eli fuksivuonna alunperin päädyin Etelä-Pohjanmaan sairaanhoitopiirille hallintojohtajan harjoittelijaksi, ja sen jälkeen tein useammankin lakimiesharjoittelijan pätkän Varsinais-Suomen sairaanhoitopiirillä, ja ollaan Kristiinan kanssa yhdessä valmistauduttu aikoinaan GDPR:n voimaantuloon. Eli sinänsä olemme siis tuttuja ja entisiä työkavereita. Ja sen jälkeen sitten olin nyt reilun vuoden lakimiehenä UNA Oy:llä, mikä on tämmöinen sote-it kehitysyhtiö, jonka omistaa siis sairaanhoitopiirit ja heidän inhouse-yhtiöt. Ja nyttemmin sitten olen ottanut loikan tuonne yksityisen puolelle, ja tällä hetkellä konsulttihommissa KPMG:llä julkishallinnon parissa, ja ihan mahtavaa sielläkin, jatkan totta kai sote-juridiikan koukeroita selvitellen. Eli monenlaisia tehtäviä voi sotenkin parissa löytää. Jos nyt sit siirrytään päivän asiaan, niin tietosuojasääntelyhän on sinänsä hyvinkin ajankohtainen teema, ja työtä tietosuojan ja laajemminkin tietoturvan eteen tehdään kyllä sektorilla kuin sektorilla, mutta kerrotko Kristiina hieman, että miltä se tietosuojasääntely sieltä sairaanhoitopiirin näkökulmasta näyttäytyy?
Kristiina: No voisi sanoa, että tossa 2018, kun EU:n yleinen tietosuoja-asetus tai GDPR ruvettiin soveltamaan, niin siinä kohtaa tietosuoja-asiat alkoivat olla tosi voimakkaasti tapetilla joka sektorilla, ja niihin törmäsi niinkun joka käänteessä, töiden lisäksi myös ihan yksityiselämässä. Mut että jos mietitään tällaisesta terveydenhuollon näkökulmasta, niin meillä sairaanhoitopiireissä, terveydenhuollon toimintayksiköissä, niin on pitkä kokemus tietosuojatyöstä, et meillähän jos miettii terveydenhuoltoa toimintasektorina, niin sellainen luottamus ja yksityisyyden ylläpitäminen, niin ne on ihan potilastyön tämmöisiä perinteisiä kulmakiviä. Ja sit voi sanoa, et meillä on jo entisestään ollut, et ennen kuin tuli EU:n tietosuoja-asetuksen sääntely, niin meillä on ennestään ollut sairaanhoitopiirin toimintaa ja sitä potilastietojen käsittelyä sääteleviä lakeja aiemminkin, ja ne on ohjannut voimakkaasti sitä tietosuojaa ja huolehtimaan organisaatioita tietosuojasta. Et esimerkiksi tietosuoja-asetuksen myötä tuli tietosuojavastaavien nimeämisen velvoite laajemmin, mutta terveydenhuollon sektorilla se on jo pitkään ollut vaatimus, et itsekin oon tehnyt sitä lakisääteistä tietosuojavastaavan tehtävää sen takia jo paljon ennen tietosuoja-asetusta.
Nina: Niin se oli ikään kuin siinä vaiheessa tuttua kauraa tää tietosuojavastaavan rooli, kun moni aloitti vasta pohtimaan, että mitä siihen sisältyy, ja miten se nimetään, niin siinä mielessä.
Kristiina: No nimenomaan, ja sit voi sanoa, että kuten ihan varmasti kaikilla sektoreilla, niin se lainsäädäntö uudistuu ja toimintaympäristö uudistuu jatkuvasti. Et jos miettii sitä, et mistä näkökulmasta tietosuojaa nyt tällä hetkellä katselee, niin kyl se on toi digitalisaatio, kaikki potilastietojen käsittelymenetelmien kehittyminen ja käyttötarkoitukset, ja koko se kuvio, niin kyllähän se niinkun muuttuu ja kehittyy jatkuvasti. Sit se tietomäärä, tietomassat kasvaa, ja tää terveydenhuollon digitalisoituminen, niin sit toisaalta, et kun se luo mahdollisuuksia, kaikkea uutta, niin sielt tulee myös sit niitä riskejä, ja esimerkiks kyberuhkia, ja niihin täytyy ja on ihan välttämätön varautua. Ei me muuten pystytä sitä tietosuojaa ylläpitämään. Ja sitä kokonaisuutta meidän täytyy sit hallita suunnitelmallisesti, ja se on se omankin työn lähtökohta.
Nina: Kyllä. Jos mennään vähän tuonne konkretian puolelle, niin millaista henkilötietoa siinä sotessa tai ehkä enemmänkin sairaanhoitopiirin toiminnassa liikkuu? Jos ihan lyhyesti vähän kuvataan sitä laaja-alaista kenttää, mikä siinäkin on kuitenkin.
Kristiina: Oma näkökulma on sairaanhoitopiiri ja yliopistollisen sairaanhoitopiirin, eli tämmönen sairaanhoitopiiri, jossa on yliopistollinen sairaala, niin mä sanoisin, että meillä tietenkin, meidän tehtävä on järjestää erikoissairaanhoito, joten se potilashoito ja sitä kautta potilastieto on se kaikkein suurin ja ehdottomasti isoin henkilötietoryhmä, mitä meillä käsitellään, mutta et meillä myös tehdään paljon tieteellistä tutkimusta, ja sitä kautta sitten käsitellään potilastietoa ja muuta tutkimustietoa. Sit toisaalta isossa organisaatiossa on paljon henkilöstöä, niin meillä on pelkästään henkilöstöä koskevaa henkilötietoa paljon, ja sit me ollaan kunnallinen viranomainen, kuntayhtymä, niin sitä kautta tulee nää kaikki velvoitteet, miten me organisoidaan tää meidän toiminta, niin sitä kautta voi tulla tämmösiä, hallinnollisissa toiminnoissa käsitellään erilaisia henkilötietoryhmiä. Eli sanotaan näin, et se tietosuojatyö ei ole vain potilastietoon kohdistuvaa, vaan ihan kaikkeen henkilötietoja, se pitää kaikessa meidän tietosuojatyössäkin sitten huomioida.
Nina: Kyllä, juurikin näin. Jos me nyt otetaan tää potilastieto tässä hieman tarkemmin tarkasteluun. Jollekin potilastieto on ehkä tuttu sana, mutta käydään jotenkin läpi sitä, että mitä se tarkemmin sisältää? Mitä kaikkea potilaan hoitosuhteen aikana kerätään? Minkälaista tietoa siihen sisältyy?
Kristiina: Lainsäädäntö, esimerkiksi potilaslaki, niin säätelee siitä, että ylipäänsä sitä potilastietoa täytyy kerätä. Eli sieltä tulee velvoite terveydenhuollon ammattihenkilöille, meille sairaanhoitopiirille, et meidän täytyy kerätä ja dokumentoida se potilaan hoito, se on meidän velvollisuus, ja se on meidän oikeus. Se on myös terveydenhuollon ammattihenkilön oikeus, että hän voi dokumentoida hoitopäätökset, ja miten potilasta on hoidettu. Ja sit taas jos toisesta suunnasta miettii, niin se on potilaan oikeus, että hänestä tehdään ne merkinnät, et on dokumentoitu, miten häntä on hoidettu, ja miten hoitopäätöksiin on päädytty ja niin edelleen, mitkä ne tiedot on, minkä nojalla häntä on hoidettu, ja sit jos mietitään tietosuojan näkökulmasta, niin tietosuojalainsäädännössä rekisteröidyn oikeudet on tärkeitä, ja potilastiedoissa erityisesti rekisteröidyllä on oikeuksia, hän voi pyytää saada pääsyn omiin tietoihinsa ja hän voi pyytää oikaisemaan virheellisiä tietoja, niin sit toisaalta potilaalla on myös tämmösiä itsemääräämisoikeutta niihin tietoihin nähden, ja hänellä on myös oikeutta niinkun käyttää sitä itsemääräämisoikeutta esimerkiksi sitä kautta, että miten sitä tietoa, mihin sitä luovutetaan, ja niin edelleen.
Nina: Kyllä, se on laaja-alainen kenttä siinä mielessä, ja toisaalta ehkä tietosuojan näkökulmasta keskeinen huomioitava, ja toisaalta myös sit julkisuuslain kannalta, että potilastieto on aina salassa pidettävää tietoa. Ja sitten vielä se, että GDPR:n näkökulmasta se kuuluu erityisiin henkilötietoryhmiin, eli todella säännellystä kentästä on kyse.
Kristiina: Juuri näin, et se, että me puhutaan salassa pidettävästä tiedosta, sitä saa käsitellä siihen käyttötarkoitukseen lähtökohtaisesti, mihin se on kerätty, eli potilaan hoitoon, hoidon järjestämiseen, ja kaikki muut on tällaisessa asetelmassa niinkun sivullisia suhteessa siihen hoitoon. Ja sit jos miettii, että miten sitä sit saa muuten käsitellä, niin kyllä se on hyvin säädelty, ja meillä on huolellisuusvelvoite näissä. Jotenkin vielä haluan sitä potilastietoa, et se et mitä se käytännössä sitten on, niin se voi olla esimerkiksi lääkärin sanelema teksti potilaan hoitokäynnistä, mut ihan yhtä lailla potilastietoa, tai potilasasiakirja voi olla laboratoriotulos, tai potilasta on havainnoitu, hänestä on otettu valokuva tai videokuvaa, tai hänestä on lääkinnällisellä laitteella otettu jotain mittausta, puhutaan vaikka näistä käyristä, hänestä voidaan tehdä erilaisia mittauksia. Kaikki tää kokonaisuus, nää erilaiset niinkun muodot, et se potilastieto voi olla myös sähköisessä muodossa, se voi olla paperimuodossa, se on semmonen kokonaisuus. Ja sit jos mietitään tästä niinku sairaanhoitopiirin velvoitteiden ja siitä tällaisesta tietosuojalainsäädännön velvoitteista, niin mehän ollaan rekisterinpitäjä, eli rekisterinpitäjä tälle kaikelle potilastiedolle, potilasasiakirjoille, mitä meidän toiminnassa kertyy. Niin potilasrekisteri on ihan siitä formaatista riippumatta niin se kokonaisuus, minkä tää kaikki tiedot muodostaa. Ja aina, kun mietitään niitä meidän velvoitteita ja koko meidän tietosuojan toteutumista meidän toiminnassa, niin täytyy aina lähtee siitä, että tätä kokonaisuutta me hallitaan, ja täytyy huomioida, et meillä on hyvin erilaisia tapoja käsitellä sitä potilastietoa, joten sitä tietosuojaa täytyy huomioida hyvin monenlaisissa tilanteissa.
Nina: Niin, joskus se hankalin paikka voi olla jo ihan vaan se, että ymmärtää, että kyseessä on henkilötieto, ja tähän sisältyy henkilötiedon käsittelyä, että tunnistetaan se käsittelytoimi, mikä siellä tapahtuu.
Kristiina: Nimenomaan, et se ei oo aina ihan yksiselitteistä potilastiedon kohdalla, et ehkä sellainen niinkun, se yksiselitteinen kirjaus tehdään ihmisestä potilastietojärjestelmään, niin se on monesti selkeä, mut sit, kun mennään niihin hyvinkin erilaisiin tapoihin, vaikka lääkinnällisellä laitteella kerätään mittaustuloksia, niin niissäkin voi tulla sellaisia tilanteita, että täytyy erikseen tunnistaa, et nyt oikeasti on kyse, et vaikka siellä ei vaikka olis sitä potilaan hetua mukana siinä, kun kerätään mittaustulosta, niin se voi silti olla henkilötieto ja liitettävissä yksittäiseen ihmiseen, ja silloin täytyy huolehtia kaikista näistä tietosuojalainsäädännön velvoitteista, kun mietitään, miten sitä tietoa saa siinä tilanteessa käsitellä.
Nina: Niin, jos mietitään niitä tietosuojalainsäädännön velvoitteita, niin tosiaan kuten sanoitkin, sairaanhoitopiiri on tällöin rekisterinpitäjä, joka tietyllä tavalla sit vastaa siitä käsittelyn lainmukaisuudesta ja määrittelee sen käsittelyn tarkoituksen ja keinot, ja siinä yhteydessä tulee erilaisia velvoitteita, juuri rekisteröidyn oikeuksien toteuttamiseen liittyvät velvoitteet, ja ihan jo vaan sen rekisteröidyn informointi. Ehkäpä semmoinen niinkun perustavanlaatuinen keskeinen velvoite, mikä jotenkin mun mielestä pitäis tässä korostaa on se, että silloin sairaanhoitopiirillä on se vastuu huolehtia, että niitä tietoja käsitellään niiden tietosuoja-asetuksen tietosuojan periaatteiden mukaisesti. Ei ehkä niihin tarvitse sen tarkemmin tässä lähteä luettelemaan, mutta haluatko jollain tavalla sanoa, et miten tää tietosuojaperiaatteiden huomiointi näkyy siinä sairaanhoitopiirin toiminnassa? Siellä on ne laillisuusperiaate, läpinäkyvyys, käyttötarkoitussidonnaisuus, se että tietoja kerätään juuri minimoinnin mukaisesti vain sen verran, kuin oikeasti on tarpeen, ja tieto on täsmällistä. Nää on aika perustavanlaatuisia seikkoja.
Kristiina: On, ja sit kun mennään vaikka sairaalan toimintaan, niin niitä käsittelytoimia on hyvin erilaisia, se voi olla niinku ihan välitöntä, jotain yksi työntekijä käsittelee yhden potilaan tietoja, tai itseasiassa puhutaan tutkimushankkeesta, niin siinä käsitellään sitä tutkimusrekisterin tietoa, ja niissä voi käsittelytoimet vaihdella. Mutta meillä lähtökohtana on se, että me varmistetaan, et nämä periaatteet toteutuu meidän toiminnassa sillä, että meidän täytyy olla ennakoivia ja suunnitelmallisia. Eli kun lähdetään käsittelee henkilötietoja, esimerkiksi otetaan vaikka uusi, meillä on joku hanke tai kehittämishanke, me halutaan ottaa käyttöön uutta teknologiaa, ja siihen sisältyy potilastietojen käsittelyä, niin tärkeetä et just tietosuoja-asetuskin lähtee siitä, sen lähtökohtana on se, että ennen kuin siihen käsittelyyn ryhdytään, me jo mietitään näitä asioita. Minkälaisia riskejä siitä tietojenkäsittelystä sillä menetelmällä, käsittelytoimella voi olla sille rekisteröidylle, sille potilaalle, ja sitten mietitään, et minkälaisia toimenpiteitä voidaan tehdä, että vähennetään niitä riskejä. Et se on semmonen huolellisen ennakkosuunnittelun, se on kaiken a ja o. Ja sit se tehdään jo ensin, koska voi sanoa, että jos ensin mietitään, että mitä tehdään ja millä keinoin, ja sit viimeisenä vasta mietitään, et mites toi muuten tietosuoja, et onks tää niinkun lain mukaista, niin siinä kohtaa se on aina vaikeampaa puuttua niihin riskeihin ja pienentää niitä, tai sitten niihin voi puuttua, mut se voi tuoda kustannuksia ja niin edelleen.
Nina: Niin, ehkä tässäkin palaa siihen, et se on todella keskeistä riittävän ajoissa tunnistaa, mihin sisältyy henkilötietoja, henkilötietojen käsittelyä, ja ottaa huomioon ne tietosuojan näkökohdat.
Kristiina: Joo ja sit mä itse kans nostan tän osoitusvelvollisuuden sieltä, eli se, että on osa, ja hyvin keskeinen osa sitä tietosuojatyötä ja sen tietosuojan toteuttamista se, että me voidaan todentaa, et me ollaan myös näitä tietosuoja-asioita huomioitu toiminnassa, suunnittelussa ja me pystytään osoittamaan, että miten me niitä henkilötietoja käsitellään. Ja nää dokumentointivelvoite ja tää osoitusvelvollisuus, niin se on myös sellainen niinkun oman työn näkökulmasta sellainen tärkeä työkalu ja väline siihen, että tiedetään, missä mennään henkilötietojen käsittelyssä omassa organisaatiossa.
Nina: Kyllä.
-Yhteinen ääni-
Nina: Jos vielä vähän palataan tähän potilastiedon maailmaan, niin ehkä semmonen ajankohtainenkin aihe ja termi, mikä on ollut paljon nyt keskusteluissa, on toi toisiolaki, ja paljon puhutaan siitä, että käytetäänkö potilastietoja ikään kuin, onko kyseessä ensisijaista vai toissijaista käyttöä. Ehkä meidän pitää vähän sukeltaa tähänkin maailmaan siinä mielessä, et miten tää esimerkiksi nyt erityisesti yliopistosairaanhoitopiirissä näkyy tämä toisiolaki?
Kristiina: Kuten tossa aiemmin jo viittasinkin, niin meidän sairaalan toiminta, sairaanhoitopiirin toiminta, niin sehän on sitä potilaan hoitoa. Eli kaikki tieto, mitä siinä tuotetaan ja kertyy, niin on sen potilaan hoitoa varten ja hoidon tarkoituksia varten. Mutta sitten, kun mennään kaikkiin muihin käyttötarkoituksiin, mitä sille tiedolle voi olla, niin meille tuli tossa 2019 tosiaan toisiolaki voimaan, ja siinä kohtaa oli tunnistettu, että sote-sektorilla syntyy paljon tietoa, ja sitä pitää pystyä käsittelemään tehokkaasti, mutta myös tietoturvallisesti. Ja sillä voi olla tosiaan näitä muita käyttötarkoituksia, kuin mihin se alun perin on kerätty. Ja toisiolaissa annetaan niitä reunaehtoja, että miten potilastietoa voi käsitellä esimerkiksi tieteellisessä tutkimuksessa, tilastointiin, opetukseen, kehittämis- ja innovaatiotoimintaan tai tietojohtamiseen. Ja se on myös sellainen tärkeä asia, et se on lainsäädännön näkökulmasta tunnistettu, että on näitä toissijaisia käyttötarkoituksia myös, ja myös sit annetaan ne reunaehdot, että miten se käsittely saadaan sitten lainmukaiseksi. Et jos miettii ihan käytännössä, niin omassa sairaanhoitopiirissä, meillähän tosiaan yliopistollisena sairaalana niin tehdään paljon tutkimusta, tai me ollaan opetussairaala, meillä käy, meillä opetetaan tulevia terveydenhuollon ammattihenkilöitä, ja tämä työ sosiaali- ja terveydenhuollossa on sellaista, et se edellyttää harjoittelua, sitä ei voi teoriassa pelkästään harjoitella. Ja se edellyttää sit taas puolestaan henkilötietojen käsittelyä, ja kyl se niinkun omassakin työssä on tärkeetä, että nää toissijaiset käyttötarkoitukset tunnistetaan, ja sitten toisaalta, kun meidän aina pitää tietosuojalainsäädännön näkökulmasta löytää ne perusteet, miksi niitä tietoja saa käsitellä, niin tällainen sääntely on tärkeetä, mut et toisaalta näistä puhutaan paljon, sen soveltaminen niin se on ihan oma maailmansa myös, ja siinä on niinkun paljon meneillään parhaillaan.
Nina: Kyllä, se on ihan totta, että jos haluaisimme, niin tästä toisiolaistakin pystyttäis puhumaan kyllä koko podcastin ajan, että kyllä siinä on myös tulkinnanvaraisuutta, ja ei ole aina helppo tunnistaa, että mikä on käyttötarkoitus, tai mikä se käsittelytoimi oikeasti on. Mut ehkä tässä vaiheessa voitais vaihtaa vähän näkökulmaa. Me ollaan nyt keskusteltu paljon tästä roolista, kun sairaanhoitopiiri tuottaa palveluja ja toimii itsenäisenä rekisterinpitäjänä, mutta faktahan on se, että kaikkea ei sairaanhoitopiiri voi itse tuottaa, ja vaikka järjestämisvelvollisuus on, niin tehdään myös ostopalvelua ja ostetaan palveluita muiltakin sektorilla toimivilta tahoilta, ja tähänhän liittyy sit tietosuojaoikeudellisesti todella mielenkiintoinen asetelma ja roolitus, sillä näissä tilanteissahan, mikäli on jonkin näköinen esimerkiksi fysioterapiapalvelun osto, niin tällöin taho, joka tätä palvelua tuottaa, toimii tietosuojaoikeudellisesti henkilötietojen käsittelijänä usein sitten sairaanhoitopiirin lukuun. Ja sieltähän nousee esimerkiksi tietosuoja-asetuksen 28. artiklan mukainen velvoite sopia tästä kirjallisesti ja varmistaa se, että käsittelijä tuottaa palvelua tietosuojavelvoitteet huomioiden. Mitä sulla tähän tulisi, puretaan ehkä vähän tätä näkökulmaa siitä näkökulmasta, miten tää näkyy teidän toiminnassa siinä vaiheessa, kun esimerkiksi tämmösiä palveluita ostetaan toisilta toimijoilta?
Kristiina: Tässä kohtaa, kun tosiaan kuten sanoit, niin kaikkea palvelua emme itse tuota, vaan meillä on tota ostopalvelutoimintaa, niin tässä kohtaa tää erityislainsäädäntö, mitä esimerkiksi potilasasiakirjojen käsittely koskee, niin tää tuo mielenkiintoisia tilanteita, eli tärkeintähän on sit siinä kohtaa, kun päädytään siihen, et jotain terveydenhuollon palvelua pitää ostaa ulkopuoliselta tuottajalta, niin on jo mietitty siinä kohtaa hankintavaiheessa määritelty nää käsittelyn ehdot, ja ihan samalla tavalla, kun ostettais vaikka jotain muita palveluita, mihin sisältyy esimerkiksi tietojärjestelmäpalvelua, mihin sisältyy henkilötietojen käsittelyä, niin siinä täytyy sopimusvaiheessa sopia näistä rekisterinpitäjän ja käsittelijän välisistä vastuista ja velvoitteista, mut et kun sitä terveydenhuollon palvelua tuotetaan, niin erityistä huomiota pitää kiinnittää tähän rekisterinpitäjyyteen, eli jos joku tuottaa meille palvelua, niin me ollaan silti edelleen rekisterinpitäjä, jos se on vaikka sitä terapiapalvelua, niin se terapiapalvelun tuottaja, niin ne kaikki tieto, mikä siellä kertyy, niin on tavallaan osa meidän potilasrekisteriä, vaikka ne olisi palveluntuottajalla. Ja meillä täytyy sitten olla sopimuksilla ja ohjeistuksilla huolehdittu ja mietitty, että miten ne tiedot on käytettävissä, miten ne tiedot siirretään esimerkiksi meille sairaanhoitopiirin rekisterin osaksi ja niin edelleen. Eli tavallaan tällaisissa hankinnoissa niin se pitää olla niinkun sisäänrakennettu sinne jo siitä hankintaprosessista lähtien, että tunnistetaan, että mitä palvelua hankitaan, ja miten siellä aiotaan nyt niitä henkilötietoja käsitellä, ja mitä siellä ylipäänsä käsitellään, ja siitä huolehtia, että sopimukset on kunnossa. Mut et sit tässä on sellainen, että kun monesti palveluntuottajat, vaikka terapiapalveluntuottaja saattaa tehdä sitä toimintaa myös sitten niinkun omana toimintanaan, niin näillä palveluntuottajilla on vahva velvoite, et he pystyy erottamaan, jos he pitää vaikka omassa järjestelmässä tietoa tai omassa rekisterissä, ne omassa toiminnassa syntyneet tiedot sit näistä ostopalvelutoimintana tuotetuista tiedoista. Ja se on sellainen tähän, että tätä on jo ennen EU:n tietosuoja-asetusta säädelty, mutta et sieltä tuli ihan niinkun mihin Ninakin viittasi artiklaan, niin pitää tehdä kirjallinen sopimus, niin jo ennestään näit sopimuksessa sovittu, mut et nyt sitten meillä on rekisterinpitäjä esimerkiks sairaanhoitopiirillä, niin meillä on enemmän välineitä ohjata, mut että toisaalta myös velvollisuus miettiä se elinkaari, eli jos se palvelu hankitaan nyt, niin mitä sitten, kun palvelusopimus päättyy, että on mietitty alusta loppuun, ja hoituu hallitusti.
Nina: Kyllä, joo, ja jos jotenkin miettii pähkinän muodossa tän kokonaisuuden vielä, niin kyllä jotenkin korostaisin juurikin näitä kahta, että siinä palveluoston tai hankinnan tai kilpailutuksen alkuvaiheilla pitää pystyä tunnistamaan se käsittelyasetelma ja ne roolit, mitkä siellä mahdollisesti henkilötietojen käsittelyn osalta muodostuu, mutta sitten sen lisäksi sitten tämä jälkimmäinen, minkä juuri mainitsit, sisällyttää siihen ajatteluun mukaan, eli tää elinkaaripuoli. Eli ei riitä, että ajatellaan sitä nykytilannetta, vaan todellakin mietitään koko sen tiedon liikkuminen kahden tai useammankin eri toimijan välillä. Et se, että ostetaan yhdeltä taholta, mutta paljonhan on erilaisia yhteistyö- tai muita konklaaveja, missä saattaa olla, että tieto liikkuu useammankin eri tahon kautta. Ja nää saattaa olla kyllä todella mielenkiintoisia ja jopa haastaviakin caseja välillä, että pohtia sitä tietosuoja-asetelmaa siellä palvelutuotannon takana.
Kristiina: Nimenomaan, ja se, että itse aina ajattelen, että kaikki lähtee siitä, että ennen kuin siihen toimintaan, käsittelyyn ryhdytään, niin on hyvä, kuten tietosuoja-asetuskin edellyttää, niin suunnitella, kuvata, mitä ollaan tekemässä, kuka on tekemässä ja mitä, niin sitten pystytään myös ohjaamaan ja varmistamaan, että se käsittely on lain mukaista.
Nina: Juurikin näin. No pitäisikö sitten siirtyä vielä, me ollaan aika hyvin tässä jo puolisen tuntia pystytty puheskelemaan, mehän pystyttäis, kuulijat ei varmaan tahdo sitä, mutta sun kanssa varmaan pystyttäis tästä aiheesta puhua parikin päivää putkeen, jos vaan jaksaisi hereillä pysyä (naurua). Mä ajattelin, et jos otettais tähän vielä ennen kun tiivistetään podcast, niin nostettais vähän noita erilaisia haasteita, mitä ehkä nyt tällä hetkellä voidaan tunnistaa siellä sote-tietosuojakentässä, ja erityisesti terveydenhuollon puolella. Tuleeko sulle nyt heti tähän mainita joitain tiettyjä tämmösiä, mitkä ehkä lainsäädännönkin tasolla vaikuttaa selkeiltä, mutta sitten kun viedään sinne käytäntöön ja jokapäiväiseen arkeen, niin onkin hieman tulkinnanvaraisempia tilanteita?
Kristiina: Täytyy sanoa, että kun on paljon uutta lainsäädäntöä, niin ihan jatkuvasti tulee vastaan käytännön työssä se, että ei vielä tiedetä, miten lainsäädäntöä pitäisi soveltaa, tulkita. Ja sitten toisaalta ohjeistusta tulee pikkuhiljaa, ja tulee ratkaisuja, joita voidaan käyttää sit omassa toiminnassa tukena, niin paljon opittavaa on, ja paljon linjattavaa. Ja se on sellaista, ettei ole tiedossa vielä oikeeta vastausta, et mikä on oikea tapa sopia tai määritellä esimerkiksi rekisterinpitäjyyttä jossain tietyssä tilanteessa, ja milloin pitäisi valita vaikka yhteisrekisterinpitäjyys, jos tehdään jonkun yhteistyösidosryhmän kumppanin kanssa jotain yhteistoimintaa, että miten sitä henkilötietojen käsittelystä pitäis linjata. Kaikkee tämmösiä, niinkun että paljon on tilanteita, niitä voisin tässä luetella paljonkin.
Nina: Niin ja ehkä jotenkin siinä vaiheessa korostuu mun mielestä juuri, kun on oikeasti todella tulkinnanvaraista jopa välillä, niin silloinhan se keskeinen velvoite, mikä sieltä tietosuoja-asetuksessakin on, että kun punnitaan ja kun tehdään, niin kunhan se dokumentoidaan ja löydetään ne perusteet ja tunnistetaan ne toimet, niin ollaan jo tosi pitkällä siinä ajatustyössä.
Kristiina: Sanotaan näin, että yhtenä esimerkkinä voisi tuoda esimerkiksi tällaiset käsitteet, jotka on meillä ensisijaisessa käytössä, mut myös potilastiedon toissijaisessa käytössä semmonen keskeinen asia, esimerkiksi puhuttiin aiemminkin tästä henkilötietojen määritelmästä. Ja sit kun me puhutaan, meillä on myös tämmöiset käsitteet, kuin anonyymi tieto, ja sitten pseudonyymi henkilötieto. Eli anonyymi on täysin, ei voi palauttaa tunnistettavaan henkilöön tietoa enää takaisin, mut sit meillä voi olla tietoa, joka on pseudonyymiä, eli joillain toimenpiteillä sen pystyy palauttamaan sen tiedon vielä todelliseen henkilöön. Tämän tulkinta, että milloin esimerkiksi tieto on pseudonyymiä, ja milloin se on riittävän anonyymiä, niin sen ratkaiseminen on, tai siihen tällaisia menetelmiä, niin se on mielenkiintoinen kenttä, et miten varmistetaan, kun teknologia kehittyy, että miten voi olla varma, ettei tulevaisuudessa pystytä, kuitenkin on käytettävissä semmosta dataa, millä sitä anonyymia tietoa voidaan vielä palauttaa niihin oikeisiin henkilötietoihin. Ja sit tässä on myös ehkä kentällä välillä vähän semmosta epäselvyyttä, että sanotaan näin, että aikaisemmin ehkä pseudonyymiksi tiedoksi katsottiin, että riittää, että esimerkiksi poistetaan jostain potilasasiakirjasta henkilötunnus, ja peitetään nimi, ja niin edelleen. Otetaan ihan semmosia ilmeisiä henkilötunnisteita pois. Mut nykyisen tietosuojalainsäädännön näkökulmasta se tieto voidaan tulkita hyvinkin niinkun erilaisista asioista, että siitä voidaan tunnistaa vaikka jostain asiakirjasta henkilö, niin tää on semmonen ihan tietoisuuden lisäämistä, eli että jos lähdetään käsittelemään pseudonyymiä tietoa, tai koodataan ne henkilötunnukset koodeksi, ja sit vaan puhutaan koodeilla, niin silti puhutaan edelleen henkilötiedoista, ja silloin täytyy soveltaa näitä ihan kaikkia samoja tietosuojaperiaatteita ja lainsäädännön vaatimuksia tähän pseudonyymiin tietoon. Ja sit kun mennään oman organisaation ulkopuolelle, niin se on silloin ihan pseudonyymin datan, jos sitä käsitellään, vaikka jonkun yhteistyökumppanin palveluntuottaja käsittelee, niin silloin täytyy tunnistaa, et siinä liikkuu henkilötieto, ja silloin meidän täytyy huolehtia esimerkiksi sopimuksissa ihan yhtä lailla, kuin se olisi niinkun tunnisteellista henkilötietoa, että kaikki vaatimukset on täytetty.
Nina: Joo, hyvä nosto kyllä. Tuleeko sulla vielä jotain muuta esimerkkiä?
Kristiina: No mä viittasin tähän lainsäädännön linjausten, et meillä ei oo vielä linjauksia, tai tulkintalinjaukset muuttuu. En mene nyt, kuten tässä ollaan jo pari kertaa sanottu, että jostain asiasta voisi puhua vaikka kuinka kauan (naurahdus), niin esimerkiksi meillä ne edellytykset, et kun se meidän toimintaympäristö on niin radikaalisti muuttunut, että kun ennen, jos se tieto oli paperilla, niin sen fyysinen liikuttaminen on ihan eri asia. Ja sit meidän säätely lähtee aika paljon sellaisesta, me puhutaan EU:n tietosuoja-asetuksessa, säädellään niinkun maantieteellisten rajojen mukaan tätä henkilötietojen käsittelyä. Mutta et sitten kuitenkin se tapahtuu globaalissa ympäristössä se tietojenkäsittely tosiasiallisesti, niin sit tulee tämmösiä tilanteita, että nyt kun tuli Schrems II -ratkaisu, ja mietitään, et millä edellytyksillä voidaan kolmansiin maihin siirtää henkilötietoja, ja mitä siinä täytyy huomioida, niin me ollaan voitu aikaisemmin noudattaa aiempia linjauksia, niin yhtäkkiä me ollaan taas tilanteessa, että me ollaan tässä globaalissa maailmassa, ja väistämättä meidän henkilötietoja esimerkiksi tietojärjestelmien yhteydessä tai lääkintälaitteiden yhteydessä, niin siellä on erilaisia tapoja, vaikka joku huolto, tai tän tyyppisissä tilanteissa joudutaan käsittelemään tietoa, niin meidän täytyy ymmärtää, et se on globaali ympäristö. Ja sit meidän täytyy ymmärtää, et meidän esimerkiksi sopimukset on ajan tasalla, ja me tunnistetaan, milloin missäkin tilanteessa henkilötietoja käsitellään, ja kuka sitä käsittelee, et me voidaan myös sitten varmistua, että esimerkiksi puhutaan vaikka siitä, että tietojärjestelmä, et jos sitä tietoa käsitellään pilvipalvelussa, niin missä se pilvipalvelu sijaitsee, ja tämmösiä asioita. Et se toimintaympäristö on niin monimutkaista, ja sitten tää maantieteellinen aspekti siinä, niin ne tuo kyllä haasteita monessa tilanteessa.
Nina: Kyllä, kyllä, ja miettii, että pilvipalveluiden käyttö on kuitenkin nyt yleistynyt, ja ehkä vielä terveystietojen näkökulmasta siihen liittyy vielä enemmän sitä omaa tematiikkaa, että miten terveystietoja, ja millaisessa pilvessä, ja juurikin vielä maantieteelliset rajat siihen mukaan, et siinä kyllä on erityinen velvoite tehdä sitä arviointia jatkuvasti ja seurata koko ajan sitä toimintaympäristön muutosta, mitä säkin tässä nostat esiin.
Kristiina: On, ja sitten sellaisen mä haluun vielä tuoda esille, että kun on tää digitalisaatio, niin osa tietosuojaa on myös se, että tämmönen niinkun tietoturva ja tietojen käytettävyys, että se ei oo pelkästään se, että me turvataan sitä, että henkilötiedot ei vuoda vaikka sivulliselle. Osa tietosuojaa on myös se, että se tieto on käytettävissä oikeaan aikaan oikeassa paikassa. Ja sit kun me puhutaan tämmösestä digitaalisesta toimintaympäristöstä, niin kyllähän siellä täytyy huolehtia ihan uudella tavalla tämmösestä jatkuvuudesta ja häiriöiden hallinnasta, ja niin edelleen.
Nina: Kyllä, käyttöoikeushallinta on tosi isossa merkityksessä varsinkin, kun puhutaan taas siitä, että potilastieto pitää olla näkyvillä vain sille, kenelle se asiayhteydessä sitä edellyttää.
Kristiina: Mutta sen pitää myös olla siellä saatavilla, kenelle kuuluu, eli tavallaan meidän täytyy myös edistää sitä, että se on myös saatavilla niille, kenelle se sit kuuluis olla.
Nina: Kyllä, päästään taas tähän myös molempien lempi mottoihin tai aiheisiin, että tietosuoja on mahdollistaja, eikä toisinpäin.
Kristiina: Nimenomaan, et se on sitä, et siihen liittyy paljon esimerkiksi siinä mennään vaikka tietoturvan alueellekin, mutta että se tietojen saatavilla olo, niin ihan yhtä lailla me huolehditaan myös siitä puolesta, kun mietitään tietosuojaa, ja vaikka elinkaaren hallintaa tiedon, ettei se esimerkiks häviä ennen aikojaan ja niin edelleen.
Nina: Kyllä, juurikin näin. Ehkä tästä saa todella loivan sillan mutta jonkin näköisen sillan, kun puhutaan oikea-aikaisesta tiedon saamisesta, niin otetaan tähän vielä loppuun lyhyesti asiakastiedon näkökulma. Me ollaan nyt tosi paljon puhuttu potilastiedosta, ja sehän on podcastin aiheenakin, mut ehkä välttämätöntä pikkasen kurkistaa tohon koko sote-kentän rooliin, koska se on kuitenkin tällä hetkellä myös isossa, ei nyt murroksessa, mutta ainakin paljon keskustelujen aiheena, ja siihen nähden ehkä, jos mietitään vaikka potilaan näkökulmasta, et välillä on hoitotilanteita, missä so ja te, eli sosiaalihuollon ja terveydenhuollon tieto, vaikka se on eroteltavaa, niin ei oo sinänsä sen potilaan hoidon kannalta ehkä eroteltavaa, eli tarvitaan potilaan kokonaisvaltaisen hoidon järjestämiseksi molempien sektoreiden tietoa. Ja siihen nähden keskusteluissa on valtavasti eri sektoreilla ollut paljon puhetta siitä, että miten turvataan se tiedon liikkuminen eri toimijoiden välillä, ja tähän liittyen on myös käynnissä lainsäädäntövalmistelua uuden asiakastietolain näkökulmasta. Ja ehkä siihen vois vielä sit vähän lisätä, että onhan sairaanhoitopiirit jo lähtenyt tätä myös vähän itsekin taklaamaan siitä näkökulmasta, että paljon tehdään kansallista yhteistyötä asiakas- ja potilastiedon integraation mahdollistamiseksi, on UNA- ja Apotti- ja Aster-hankkeet, kansalliset asiakas- ja potilastietojärjestelmiin liittyvät kehityshankkeet, ja sen lisäksi ehkä vielä viimeisenä sote-uudistus hyvinvointialueen tullessa niin tilanne muuttuu taas, kun mahdollisesti tulee hyvinvointialueen yhteinen toiminta.
Kristiina: Joo, ja tässä päästään just siihen, että viittaat siihen tietosuojaan mahdollistajana, niin ennen kaikkea täytyy tässä kohtaa miettiä, että tää kaikki rakenneuudistus, miten sosiaali- ja terveydenhuollon palveluja yleensä on tarkoituksenmukaista tuottaa, miten se tehdään mahdollisimman tehokkaalla tavalla, ja se on laadukasta, niin sitten nykytoimintaympäristö on se, että siellä sen tiedon täytyy myös kulkea. Ja sitten toisaalta siellä sosiaalihuollon asiakastyössä ja sitten terveydenhuollon potilastyössä se toiminta on usein moniammatillista yhteistyötä, ja sen tiedon pitää kulkea, ja taas edelleen niille ihmisille, keiden kuuluu päästä siihen tietoon käsiksi, ja sitä esimerkiksi tämä uusi asiakastietolaki tulee säätelemään, näitä edellytyksiä, miten sosiaalihuollon ja terveydenhuollon välillä esimerkiksi tieto kulkee. Mutta toisaalta, kun samaan aikaan tulee näitä rakenneuudistuksia ja organisaatiotkin muuttuu, rekisterinpidon rajat voi muuttua, niin on hyvin tärkeää, että mietitään näitä edellytyksiä, että täytyyhän meidän joka tapauksessa samaan aikaan myös miettiä niitä rekisteröityjen asiakkaiden, potilaiden oikeuksia. Eli tässä on monta näkökulmaa, mitkä pitää yhteensovittaa, kun mennään kehittämään tätä toimintaa ihan rakenteidenkin tasolla. Ja siinä on ehkä, nyt koetaankin, että välillä puhutaan just siitä, että kun se tieto ei kulje, koska kuitenkin salassa pidettävien tietojen liikuttaminen edellyttää aika paljon, se on tiukasti säädeltyä. Sitten se, että kun ruvetaan sit kuitenkin hiomaan näitä prosesseja ja miettimään, että milloin se tieto kuitenkin voisi liikkua, ja milloin sen kuuluu ja pitääkin liikkua, jotta voidaan sitä sosiaali- ja terveydenhuollon toimintaa pyörittää, niin kyllä siinä on paljon asioita, mitkä täytyy ottaa huomioon.
Nina: Niinpä, juurikin näin, että siitä ei varmasti ole montaakaan ihmistä eri mieltä kokonaisvaltaisen hoidon ja oikea-aikaisen hoidon mahdollistamisesta sote-sektorilla, vaan sitten kun päästään näihin nyansseihin ja siihen todella tiukasti säänneltyyn kenttään kiinni, niin päästäänkin mielenkiintoiseen tulkintaan taas kerran, tästä aiheesta voisi varmasti puhua vielä toisen podcastin perään, jos haluaisi, mutta me olemme kovasti pysytelleet terveydenhuollon tietosuojan parissa tänään.
-Yhteinen ääni.-
Nina: Joo, mielenkiintoinen kenttä, ei voi ehkä muuta sanoa. Jollain tavalla varmaan pitäisi vähän kerrata vielä, että mitä ollaan poristu 45 minuutin ajan tässä. Jos ei vielä oo kaikki meidän kuulijat tipahtaneet linjoilta (naurua). Jos ehkä niinkun jotenkin, jos yksi semmonen keskeinen asia pitäisi tästä korostaa, niin mitä sä sanoisit? Tuleeko vaikea kysymys tähän paikkaan? Mä heitin tän ihan hatusta.
Kristiina: Joo, yhdellä lauseella ei ehkä pysty tiivistämään, mut että mä sanoisin, että tää sosiaali- ja terveydenhuollon kenttä, se on hyvin laaja-alainen. Siellä tapahtuu, siellä tehdään hyvin erityyppistä toimintaa. Se voi olla perusterveydenhuollossa, se voi olla tämmönen terveyskeskuskäynti, se voi olla kotisairaanhoitoa, se voi olla sosiaalihuollossa asiakastyötä, tai sitten se on sairaalan leikkaustoimintaa vaikka. Mut sit samaan aikaan siellä taustalla se kaikki, mikä pyörittää, et missä sitten sitä tän perustoiminnan yhteydessä syntyvää tietoa kertyy, mihin sitä tallennetaan, miten sitä käsitellään, ja miten me sitä sit hallinnoidaan ja suitsitaan tai mahdollistetaan, niin sanoisin näin, että tässä on tärkeetä tunnistaa se erityislainsäädäntö, että mikä sitä säätelee. Et kun puhutaan tietosuojasta terveydenhuollossa, niin me ei voida ikinä ohittaa kaikkea sitä säätelyä, mikä liittyy esimerkiksi potilastietojen käsittelyyn, et sillä on niinkun vahva asema, ja se täytyy tunnistaa, se ohjaa tosi paljon monesti sitä, että miten me saadaan tehdä, miten me potilastietoa kerätään, tai mihin sitä saa käyttää, oli se sitten niitä ensisijaisia tai toissijaisia käyttötarkoituksia. Mut kaikessa ehkä ite nostais keskiöön sen, mikä meillä tietosuojatyössä pitää huomioida on just se, että se etukäteisarviointi, että mietitään, mitä ollaan tekemässä, mitkä lait vaikuttaa nimenomaan tähän toimintaan. Ja sitten lähdetään miettimään niitä tietosuojaperiaatteiden toteutumista, riskejä ja puuttumaan riskeihin.
Nina: Niinpä, ja toisaalta se, että on ne prosessit sisäänrakennettu sinne organisaatioon, joilla ne erilaiset tilanteet tai uudet käsittelytoimet, tai mikä tahansa siellä on tulossa, niin tunnistetaan ja saadaan ikään kuin kiinni. Siitähän se lähtee, et jo jotenkin sitä korostaisin, että tietosuoja on tosi vahvasti punnintaa, ja siis siinä korostuu sit se, että se on dokumentoitu ja pystytään osoittamaan, että mikä ajatus on mihinkäkin tulkintaan tai toimenpiteeseen sitten johtanut.
Kristiina: Juuri näin.
Nina: Kyllä. Ehkä jotenkin loppukaneettiin, täydennä itse, mutta ehkä me ollaan tällaisia tietosuojan mahdollistajien lähettiläitä (naurua). Voiko näin sanoa? Että jotenkin tietosuojan ei kuuluisi olla se, joka heti tyrmää toiminnan, vaan sitä kautta voidaan mahdollistaa, kunhan tietyt reunaehdot osataan huomioida riittävän ajoissa. Nyt en saa kyllä omasta ajatuksestanikaan kiinni (naurua) riittävällä tavalla, mutta jatka sinä.
Kristiina: Joo, mun mielestä mahdollistaja-sana on erinomainen siinä mielessä, että monesti tietosuoja tuodaan esille, että tietosuoja rajoittaa tietojenkäsittelyä, mutta siihen on ihan syynsä. Tietosuojalla turvataan ihmisten yksityisyyttä esimerkiksi, ja meillä siihen on ihan tarkoituksensa, et miksi täytyy se huomioida. Mut että mahdollistajana mä nään sen, että kun esimerkiksi on ne rakenteet kunnossa, et kun keksitään, ideoidaan uutta, lähdetään johonkin uuteen, digitalisaatio, uudet kaikki käsittelytavat, teknologia, ne luo hirveästi uusia mahdollisuuksia, ja ne myös kehittää sitä toimintaa. Niin sitten täältä tietosuojalainsäädännöstä tulee niitä työkaluja, millä me voidaan sitten miettiä oikea-aikaisesti jo etukäteen, että miten tää tehtäis niin, että turvataan yksityisyys, huolehditaan, ettei esimerkiksi kyberuhkat toteudu ja niin edelleen. Ja mahdollistajan roolissa täytyy osata tuoda esille niitä asioita, mitkä täytyy huomioida, ja myös miettiä, et miten toteuttaa, mut sit tottakai kaikki ei oo mahdollista.
Nina: Kaikki ei oo mahdollista, juurikin näin, se riskiperusteinen lähestymistapa, että hyvä ja ennakoitu tietosuojatyö yleensä johtaa siinä mielessä sit myös hyviin lopputuloksiin.
Kristiina: Niin on, ja sit just se, että sit täytyy tunnistaa ne riskit, et se riskienhallinta etukäteen onkin hirveen tärkeetä, et jos havaitaan, että tässä on korkeariskistä toimintaa, ja nyt ei oo ihan varma, että pystytäänkö nää riskit taklaamaan ja pienentämään, niin sitten rekisterinpitäjällä on aina se vastuu sitten päättää, että mitä se tekee, ja se päätös voi olla se, että ei edetäkään siihen käsittelytoimeen, ja sitäkin pitää sitten niinkun pystyä tekemään. Mut et usein siinä riskien punnitsemisessa etukäteen on se hyvä puoli, että niihin voidaan puuttua ja miettiä, miten niitä vähennetään. Ja se on mun mielestä ihan äärimmäisen tärkeetä tietosuojan toteutumisen näkökulmasta.
Nina: Kyllä, juurikin näin, että sote-sektorilla tää tietosuojatyö on tärkeässä roolissa. Se on kuitenkin sen potilas-lääkärisuhteen perustaa, et potilas voi luottaa omien tietojensa suojaan, että kyllä ollaan niinkun todella keskeisen teeman parissa oltu tässä podcastissa.
Kristiina: Kyllä, että voidaan mennä sinne antiikin aikoihin ja Hippokrateen valaan ja siihen, että lähtökohtana on, että potilaan pitää voida luottaa, että kun hän hakeutuu terveydenhuollon palveluihin, niin ne hänen arkaluontoiset salassa pidettävät tietonsa pysyy salassa, ja niitä käytetään vaan siihen, mihin se on mahdollista. Ja sitten toisaalta se on, et jos mietitään osa tätä meidän terveydenhuollon toimintaa, niin mä itse nään tietosuojan, se on yksi osa esimerkiks potilasturvallisuutta ihan siitäkin näkökulmasta, että kun potilas voi luottaa, että se terveydenhuollon yksikkö, mihin hän hakeutuu hoitoon, että siellä käsitellään asianmukaisesti tietoja, niin hän kertoo, hän uskaltaa antaa riittävät tiedot omaa hoitoa varten, ja sit tehdään kattavien tietojen varassa hoitopäätöksiä, et se on se luottamus, ja sitähän tällä kaikella tietosuojatoiminnalla, siihen se tähtää. Me suojellaan ihmisten yksityisyyttä ja heidän arkaluonteisia tietojaan.
Nina: Siihen on varmaan hyvä päättää, sanaan luottamus, tämä tietosuoja-podcast tältä erää. Ihan todella paljon kiitoksia Kristiina, että pääsit mukaan tänään.
Kristiina: Kiitos.
-Yhteinen ääni.-
Seuraa meitä:
Jaa julkaisu:
