Terveystietojen keskittäminen tekee järjestelmästä haavoittuvan

TERVEYDENHUOLTO potilastietoineen on verkkorikollisten kärkikohteita. Tietoturva-asiantuntijat ovat sitä mieltä, että terveystietojen tietoturva ei vastaa tämän päivän vaatimuksia. Näiden riskien lisäksi tietosuojaa vaarantaa vuonna 2019 voimaan tullut toisiolaki, jolla sallitaan potilastietojen käyttö muussakin kuin ensisijaisessa käyttötarkoituksessa.

Sivuutan kuitenkin nyt sinänsä tärkeän terveystietojen hyötykäytön, kuten esimerkiksi tehokkaampien syöpähoitojen kehittämisen ja keskityn pelkästään tietoturvahaasteisiin.

Terveydenhuollon ammattihenkilöillä on velvollisuus laatia potilasasiakirjamerkinnät kaikista potilaan palvelutapahtumista. Potilaalla ei kuitenkaan ole käytännössä mahdollisuutta jättäytyä järjestelmän ulkopuolelle. Terveydenhuolto hallinnoi sitä, kenellä on oikeudet potilastietojen käsittelyyn. Kun tietoja katsellaan, niistä jää aina jälki eli lokitiedoista nähdään periaatteessa, kuka tietoja on käsitellyt.

Kuitenkin mitä enemmän tietoa digitalisoidaan ja keskitetään helposti käsiteltävään muotoon, sen haavoittuvammaksi järjestelmä muodostuu. Meidän tietomme ovat siis työntekijöiden ammattietiikan ja huolellisuuden varassa. Lisäksi ohjelmistoissa voi olla virheitä.

AINA LÖYTYY myös tahoja, jotka haluavat hyötyä tiedoillamme. Terveystiedoista voi pahimmassa tapauksessa tulla kauppatavaraa työnantajille ja vakuutusyhtiöille sekä terveysyrityksille, joilla on taloudellinen intressi valikoida asiakkaita. Entä onko terveystietoja mahdollista hakkeroida ja muuttaa tarkoitushakuisesti?

Näistä on hyvä keskustella tilanteessa, jossa hyvinvointialueiden tietojärjestelmiä kehitetään ja tietoa keskitetään valtaviin yksiköihin.

Toisiolaki mahdollistaa, että terveystietomme luovutetaan ensin yhden tahon hallintaan ja tämä taho voi sitten luovuttaa näitä tietoja ”tietoturvallisesti” yritysten käyttöön. Pyritäänkö kansainvälisten yritysten toimintaedellytyksiä parantamaan suomalaisten terveystiedoilla?

Suomessa on maailmanlaajuisesti erittäin laaja ja kattava terveys- ja geenitietojen arkisto. Ulkomaiset lääkefirmat ja yksityiset terveysbisnekset ovatkin jo tiedostaneet tietojemme korkean markkina-arvon. Kohdennettu mainonta verkossa on yksi esimerkki tietojemme käytöstä profilointiin. Vakuutusyhtiöitä ja työnantajia ei myöskään haittaisi, jos terveystietomme olisivat ”hyötykäytössä”.

VASTAAMON tapauksen jälkeen terveystietoihimme voi kohdistua yhä enenevästi tietomurtoyrityksiä. Potilastiedot ovat haluttuja pimeillä markkinoilla. Esimerkiksi terapiatiedoissa voi olla yksityiskohtaista tietoa myös potilaan läheisistä, joten tietojen vuotamisella voi olla valtaisat seuraukset.

Lainlaatijan näkökulmasta valtion on suojeltava heikompaa osapuolta, yksityistä kansalaista arkaluonteisten henkilötietojen asiattomalta keräämiseltä ja käytöltä. Tämä tehdään vahvistamalla kansalaisten yksityisyyttä ja itsemääräämisoikeutta omiin henkilötietoihinsa. Mutta mikä on yksityistä, kuka sen määrittelee?

Kuka itse asiassa omistaa minun terveystietoni ja voi käydä tiedoillani vaikka kauppaa?

Tulevilla lainlaatijoilla on vastuullinen tehtävä. Miten varmistetaan potilaiden luottamus siihen, että heidän tietojaan käytetään vain lainmukaisiin tarkoituksiin?

Riitta Kuismanen
sotealan opettaja, eduskuntavaaliehdokas (kd)
Pirkkala