Ladataan
Pääaiheet 100 tuoreinta Koronavirus Live Uutiset Urheilu Hyvä elämä Kulttuuri Näköislehti Moro Mielipiteet Tähtijutut

Aamulehti selvitti: Taysissa on tallennettu tietoja laittomiin potilasrekistereihin vuosien ajan

Taysin lastenpsykiatrisella työskentelevä sairaanhoitaja huomasi 20. marraskuuta vuonna 2014, että sairaalan p-verkkolevyaseman kansioon tallennettuja potilastietoja on muokattu. Kansiossa oli useiden asiakasperheiden arkaluontoisia potilastietoja. Muokkauksia oli tehty kahden perheen tietoihin. Potilastietojen katselu ja muokkaaminen edellyttää hoitosuhdetta potilaaseen. Sairaanhoitaja oli vastannut perheistä tehdyistä kirjauksista yhdessä työparinsa kanssa. Kumpikaan heistä ei ollut tehnyt muutoksia tietoihin. Sairaanhoitaja päätti selvittää, kuka oli muokannut potilastietoja. Hän pyysi asiasta selvitystä muokkausta seuraavana päivänä. Loki- eli tapahtumatietojen avulla voidaan selvittää, kuka on käsitellyt potilastietoja. Vaatimus lokitietojen tallentamisesta potilasrekistereissä on kirjattu lakiin vuonna 2007. Loki puuttuu Pian Taysin käyttötuesta vastaava Fujitsu vastasi sairaanhoitajalle. Perheiden tietoja sisältävään kansioon pääsikin kahden sijasta 35 lastenpsykiatrian työntekijää. Pelkästä kansion katselusta ei jäänyt lokimerkintää. Tiedostoa pystyi myös muokkaamaan ilman, että asiasta jäi merkintää. –P-aseman kansiot eivät ole lokitettu, joten kansioon tehdystä muutoksesta ei jää muokkaajan nimeä minnekään, käyttötuki viestitti. Lokitus oli jäänyt rakentamatta Taysin p-asemalle. Käytäntö on lainvastainen ja ongelmallinen potilaiden ja henkilöstön oikeusturvan kannalta. Tietoturva-aukosta huolimatta lastenpsykiatrisella on tallennettu esimerkiksi lapsipotilaiden perheenjäsenistä tehtyjä havaintoja p-asemalle. Näistä tiedoista oli kyse myös sairaanhoitajan tapauksessa. Aamulehden tietojen mukaan p-asemalle on tallennettu vuosien kuluessa laajasti eri potilasrekistereitä. Asemalla on säilytetty tietoa esimerkiksi hiv-potilaista, lastenpsykiatrian potilaista, ihokeliakiapotilaista, plastiikkakirurgian valokuvarekisteristä, mielentilalausunnoista, elvytyskäynneistä ja selkäydinvammoista. Levyllä on myös viralliseen potilaskertomusjärjestelmään Mirandaan viittaavia Miranda-varatallennus-nimisiä tiedostoja. Perheille ei kerrottu Työntekijöitä on vaadittu vaikenemaan tietoturvaongelmista. Taysin hallintojohtaja Vuokko Ylinen linjasi maaliskuussa 2016, että lastenpsykiatrian asiakasperheille ei saa kertoa tietojen muokkauksista. –Asiassa ei ole kysymys varsinaisen potilasrekisterin kirjauksista tai niiden virheellisestä käsittelystä. Tämän vuoksi tämä yksikön sisäinen asia ei ole asiakasperheille informoitava asia, Ylinen toteaa sisäisessä muistiossa. Muistiossa todetaan myös, että lokivalvonnan käsittely sairaanhoitopiirissä päättyy kyseiseen palaveriin. Kesäkuussa 2016 Taysin työsuojelu teki p-asemasta ilmoituksen Sosiaali- ja terveysalan lupavirastolle Valviralle. Työsuojelu halusi tietää, onko asema laillinen. Valvirasta tapaus siirtyi lokakuussa Länsi- ja Sisä-Suomen aluehallintovirastoon (Aviin). "Ei varsinaista potilasrekisteriä" Taysin potilasrekistereistä vastaava johtajaylilääkäri Kari-Matti Hiltunen selosti vastauksessaan Aville, että p-asemalla on potilastietoja. Hiltunen totesi, että kyseessä on henkilörekisteri. Avi antoi huhtikuun lopussa asiassa päätöksen, jonka mukaan p-asemalla on henkilörekistereitä, mutta ei potilasrekistereitä. Avi ei käynyt selvityksessään lainkaan läpi p-aseman virallisia rekisteriselosteita. Valvontapäätöksen perusteella p-aseman käyttö pitää lopettaa Taysissa vuoden loppuun mennessä. Avin mukaan asia ei anna aihetta enempiin toimenpiteisiin. Valvontapäätös tehtiin Taysista saatujen selvitysten perusteella. –Niiden suhteen ei ole havaittavissa mitään vilpillisyyttä, sanoo Avin aluehallintoylilääkäri Seppo Miilunpalo . Johtajaylilääkäri Hiltunen sanoo puhelinhaastattelussa myös Aamulehdelle , että p-asemalla ei ole ollut ”varsinaista potilasrekisteriä tai potilaskertomusta”. Rekisterien täsmällisellä määrittelyllä on merkitystä laillisuuden näkökulmasta. Potilasrekisteri on arkaluontoista tietoa sisältävä henkilörekisteri, jonka käyttöä on lain mukaan seurattava lokitietojen avulla. P-asemaa koskevien henkilörekisteriselosteiden mukaan johtajaylilääkäri Hiltunen on päättänyt vuosina 2011-2012 useiden p-aseman potilasrekistereiden perustamisesta. Hiltunen ei halua kommentoida tietoa puhelimessa. Hän ilmoittaa myöhemmin sähköpostitse, että p-asemalla on sittenkin potilasrekistereitä, yhteensä noin 450 kappaletta. –P-aseman loki säilyy tällä hetkellä enimmillään 5 viikkoa, Hiltunen viestittää. Johtajat tiesivät asiasta Aamulehden tietojen mukaan Taysin esimiestasolla p-aseman ongelmista on tiedetty vuosien ajan. Johtaja Rauno Ihalainen ja johtajaylilääkäri Kari-Matti Hiltunen ovat tienneet p-aseman tietoturvaongelmista ainakin vuoden 2016 alusta lähtien. Asiaan ei ole kuitenkaan puututtu. Potilailla on potilasrekistereiden suhteen paljon oikeuksia. Jokaisella on oikeus tarkistaa omat potilastietonsa. Potilaalla on oikeus saada myös lokitiedot, joista selviää esimerkiksi tietojen katselija tai muokkaaja. Potilaalla on myös oikeus tietää tietojen käytön ja luovutuksen perusteet. P-aseman kohdalla meno on ollut villiä. Lokitietoja ei ole tallennettu ja p-asemalla olevista tiedostoista ei ole aina edes kerrottu potilaille. Aamulehden selvittämät tiedot p-aseman tietoturvapuutteista yllättivät Taysin työsuojeluvaltuutetut Mervi Hissan ja Iikka Jäntin . He pitävät p-aseman tilannetta ongelmallisena potilaiden ja työntekijöiden oikeusturvan kannalta. –Näyttää siltä, että Avi on uskonut työnantajan vastauksia ja p-asema on jäänyt tutkimatta Jäntti sanoo. Työsuojeluvaltuutettujen mukaan asia pitäisi tutkia perusteellisesti. Potilaalla on oikeus saada tieto siitä, kuka on käyttänyt tai kenelle on luovutettu häntä koskevia tietoja viimeisen kahden vuoden aikana sekä mikä on ollut käytön tai luovutuksen peruste. Lokitietojen tarkistuspyynnön voi esittää esimerkiksi tietosuoja-asioita hoitavalle Jaana Riikoselle p. 03-311 69090 tai jaana.riikonen@pshp.fi Lokitietojen tallentaminen on kirjattu vuonna 2007 lakiin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä.