KIRJALLINEN KYSYMYS 944/2002 vp Yksityishenkilöiden tietoturvan parantaminen Eduskunnan puhemiehelle Soneran viimeaikaiset poliisitutkintaan johtaneet tapahtumat osoittavat, että yksityishenkilön puhelinsalaisuutta voidaan loukata vakavasti. ATK-palveluja on monissa yrityksissä ulkoistettu, ja samaa politiikkaa ovat ryhtyneet harrastamaan myös kunnat. Erityisen ongelmallinen on tilanne silloin, kun sosiaali- ja terveystoimen potilastietojärjestelmät ulkoistetaan ulkopuoliselle hoidettaviksi. Miten yksityisten henkilöiden tietosuoja voidaan turvata, jos edelleen siirretään tehtäviä uusille yrityksille, kuten nyt erityisesti rakennusalalla tapahtuu? Sairaalat ovat myös siirtäneet tietojenkäsittelytoimintojaan yksityisille yrityksille, mikä voi aiheuttaa potilastietojen joutumisen ulkopuolisille henkilöille. Edellä olevan perusteella ja eduskunnan työjärjestyksen 27 :ään viitaten esitän kunnioittavasti valtioneuvoston asianomaisen jäsenen vastattavaksi seuraavan kysymyksen: Mihin toimenpiteisiin hallitus aikoo ryhtyä varmistuakseen, ettei atk-toimintojen ulkoistaminen johda sosiaali- ja terveystoimen yksityishenkilöiden asiakastietojen joutumista asiattomien käsiin? Helsingissä 7 päivänä marraskuuta 2002 Mikko Kuoppa /vas Versio 2.0
Ministerin vastaus Eduskunnan puhemiehelle Eduskunnan työjärjestyksen 27 :ssä mainitussa tarkoituksessa Te, Rouva puhemies, olette toimittanut valtioneuvoston asianomaisen jäsenen vastattavaksi kansanedustaja Mikko Kuopan /vas näin kuuluvan kirjallisen kysymyksen KK 944/2002 vp: Mihin toimenpiteisiin hallitus aikoo ryhtyä varmistuakseen, ettei atk-toimintojen ulkoistaminen johda sosiaali- ja terveystoimen yksityishenkilöiden asiakastietojen joutumiseen asiattomien käsiin? Vastauksena kysymykseen esitän kunnioittavasti seuraavaa: Sosiaali- ja terveydenhuollon asiakastiedot on säädetty lailla salassa pidettäviksi. Potilasasiakirjatietojen osalta tämä on todettu potilaan asemasta ja oikeuksista annetun lain, potilaslain (785/1992) 13 :ssä ja sosiaalihuollon asiakasasiakirjatietojen osalta sosiaalihuollon asiakkaan asemasta ja oikeuksista annetun lain (812/2000) 14 :ssä. Potilaslain 13 :n 2 momentin mukaan terveydenhuollon ammattihenkilö tai muu terveydenhuollon toimintayksikössä työskentelevä taikka sen tehtäviä suorittava henkilö ei saa ilman potilaan kirjallista suostumusta antaa sivulliselle potilasasiakirjoihin sisältyviä tietoja. Sivullisella tarkoitetaan muita kuin asianomaisessa toimintayksikössä tai sen toimeksiannosta potilaan hoitoon tai siihen liittyviin tehtäviin osallistuvia henkilöitä. Sosiaali- ja terveydenhuollon asiakastiedot muodostavat henkilörekisterin ja niiden käsittelyssä on siten otettava huomioon myös henkilötietolaista (523/1999) johtuvat vaatimukset. Potilastietojen rekisterinpitäjänä toimii terveydenhuollon toimintayksikkö tai itsenäisesti ammattiaan harjoittava terveydenhuollon ammattihenkilö. Potilasasiakirjojen pitämistä koskeva tarkempi sääntely on uudistettu vuonna 2001 annetulla sosiaali- ja terveysministeriön asetuksella (Sosiaali- ja terveysministeriön asetus potilasasiakirjojen laatimisesta sekä niiden ja muun hoitoon liittyvän materiaalin säilyttämisestä, 99/2001). Asetuksessa on käsitelty potilasasiakirjojen laatimiseen ja pitämiseen liittyviä kysymyksiä asiasta aikaisemmin annettuja määräyksiä laajemmin ja yksityiskohtaisemmin ja siinä on myös otettu huomioon viime vuosina tapahtunut palvelujen järjestämistapojen ja potilasasiakirjojen pitämismenetelmien muuttuminen. Sosiaali- ja terveysministeriö on julkaissut asiasta lisäksi terveydenhuollon henkilöstölle tarkoitetun oppaan (Potilasasiakirjojen laatiminen sekä niiden ja muun hoitoon liittyvän materiaalin säilyttäminen, Sosiaali- ja terveysministeriön oppaita 2001:3). Potilasasiakirjoihin (mukaan lukien atk:lla ylläpidetty potilastietojärjestelmä) saavat edellä mainitun asetuksen 6 :n mukaan tehdä merkintöjä vain potilaan hoitoon osallistuvat terveydenhuollon ammattihenkilöt ja heidän ohjeidensa mukaisesti muut hoitoon osallistuvat henkilöt siltä osin kuin he osallistuvat hoitoon. Merkintöjä on kuitenkin mahdollista tehdä myös hoitaneen henkilön sanelun perusteella, jolloin merkinnät kirjoittaa esimerkiksi terveydenhuollon toimintayksikössä toimiva tekstinkäsittelijä. Periaatteessa tällainen tekninen työ voidaan myös ulkoistaa, toisin sanoen antaa toimeksiannon perusteella muun kuin terveydenhuollon toimintayksikön palveluksessa olevan tehtäväksi. Sosiaali- ja terveysministeriön asetuksen 6 :ssä todetaan sanelutilannetta silmällä pitäen, että terveydenhuollon ammattihenkilö vastaa sanelunsa 2
Ministerin vastaus KK 944/2002 vp Mikko Kuoppa /vas perusteella tehdyistä potilasasiakirjamerkinnöistä. Näin ollen potilasta hoitanut ammattihenkilö ei voi siirtää vastuuta merkinnöistä osaksikaan muille. Edellä selostettu potilaslain 13 :n salassapitosäännös velvoittaa kaikkia terveydenhuollon toimintayksikössä työskenteleviä ja myös sen tehtäviä toimeksiannon perusteella suorittavia henkilöitä. Tietojärjestelmiä hankkivat sosiaali- ja terveydenhuollon toimintayksiköt joutuvat järjestelmien hankinnan ja niiden ylläpidon yhteydessä luonnollisesti käyttämään järjestelmätoimittajien palveluksia. Kunnallisen terveydenhuollon tietojärjestelmien hankkiminen kuuluu kunnallisen itsehallinnon mukaisesti kyseisen kunnan tai kuntayhtymän päätösvaltaan ja valvontaan. Järjestelmiä suunniteltaessa, rakennettaessa ja ylläpidettäessä on kuitenkin, kuten edellä on todettu, otettava huomioon henkilötietolaista, potilaslaista ja sosiaali- ja terveysministeriön potilasasiakirjojen laatimista ja säilyttämistä koskevasta asetuksesta johtuvat vaatimukset. Sosiaali- ja terveysministeriön asetuksessa terveydenhuollon toimintayksikkö velvoitetaan rekisterinpitäjänä muun muassa suunnittelemaan ja toteuttamaan potilasasiakirjajärjestelmänsä siten, että sen rakenne ja tietosisältö vastaavat potilasasiakirjojen käyttötarkoitusta sekä hoitoon tai siihen liittyviin tehtäviin osallistuvien henkilöiden tehtäviä ja vastuita. Asetuksessa on todettu, että potilaan hoitoon tai siihen liittyviin tehtäviin osallistuvat saavat käsitellä potilasasiakirjoja vain siinä laajuudessa kuin heidän työtehtävänsä ja vastuunsa sitä edellyttävät, ja että terveydenhuollon toimintayksikössä työskentelevien käyttöoikeudet potilasasiakirjoihin sisältyviin tietoihin tulee määritellä yksityiskohtaisesti. Potilasasiakirjojen käsittelyssä on velvoitettu noudattamaan huolellisuusvelvoitetta siten, että potilassuhteen luottamuksellisuus ja potilaan yksityisyyden suoja turvataan. Sosiaali- ja terveysministeriön asetuksen 5 :ään on lisäksi otettu erillinen säännös, joka koskee palvelujen hankkimista muilta. Terveydenhuollon toimintayksikön on sen mukaan hankkiessaan palveluita toiselta palvelujen tuottajalta sovittava tämän kanssa tehtävällä sopimuksella potilasasiakirjatietojen rekisterinpitoon ja tietojen käsittelyyn liittyvistä tehtävistä ja vastuusta sekä varmistuttava siitä, että potilasasiakirjoihin sisältyvien tietojen salassapitoa ja vaitiolovelvollisuutta koskevia säännöksiä noudatetaan. Ministeriö on lisäksi laatinut yhdessä Tietosuojavaltuutetun toimiston kanssa kunnallista sosiaali- ja terveydenhuoltoa silmällä pitäen sopimusmallit muun muassa tietojenkäsittelypalvelujen hankkimista varten, joissa kiinnitetään erityistä huomiota juuri tietosuojakysymyksiin. Helsingissä 2 päivänä joulukuuta 2002 Peruspalveluministeri Eva Biaudet 3
Ministerns svar Till riksdagens talman I det syfte 27 riksdagens arbetsordning anger har Ni, Fru talman, till behöriga medlem av statsrådet översänt följande av riksdagsledamot Mikko Kuoppa /vänst undertecknade skriftliga spörsmål SS 944/2002 rd: Vilka åtgärder ämnar regeringen vidta för att försäkra sig om att externalisering av adb-funktioner inte leder till att social- och hälsovårdsförvaltningens klientuppgifter om privatpersoner faller i obehöriga händer? Som svar på detta spörsmål får jag vördsamt anföra följande: Klientuppgifterna inom social- och hälsovården är genom lag sekretessbelagda. För journalhandlingarna har detta fastställts i 13 i den s.k. patientlagen, lagen om patientens ställning och rättigheter (785/1992), och för socialvårdshandlingarna i 14 lagen om klientens ställning och rättigheter inom socialvården (812/2000). Enligt 13 2 mom. patientlagen får en yrkesutbildad person inom hälso- och sjukvården eller någon annan som arbetar vid en verksamhetsenhet för hälso- och sjukvård eller utför uppdrag för den, inte utan patientens skriftliga samtycke till utomstående lämna sådana uppgifter som ingår i journalhandlingarna. Med utomstående avses personer som inte vid ifrågavarande verksamhetsenhet eller på uppdrag av den deltar i vården av patienten eller i andra uppgifter i samband med vården. Klientuppgifterna inom social- och hälsovården utgör ett personregister och i hanteringen av dem bör därmed också de krav som följer av personuppgiftslagen (523/1999) beaktas. Registeransvarig för patientuppgifterna är en verksamhetsenhet för hälso- och sjukvård eller en yrkesutbildad person inom hälso- och sjukvården som självständigt utövar sitt yrke. Den noggrannare regleringen av förandet av journalhandlingar har förnyats genom en förordning som social- och hälsovårdsministeriet gav år 2001 (Social- och hälsovårdsministeriets förordning om upprättande av journalhandlingar samt om förvaring av dem och annat material som hänför sig till vård, 99/2001). I förordningen behandlas frågor i anslutning till upprättande och förande av journalhandlingar på ett mera omfattande och detaljerat sätt än i de föreskrifter som tidigare har meddelats i frågan, och i förordningen har också beaktats de förändringar i sätten att ordna service och i metoderna att föra journalhandlingar som har skett under de senaste åren. Social- och hälsovårdsministeriet har dessutom publicerat en handbok i frågan, avsedd för personalen inom hälso- och sjukvården (Upprättande av journalhandlingar samt förvaring av dem och annat material som hänför sig till vård (Social- och hälsovårdsministeriets handböcker 2001:3). I enlighet med 6 i ovan nämnda förordning får anteckningar göras i journalhandlingarna (inklusive det system för patientuppgifter som upprätthålls med hjälp av adb) endast av yrkesutbildade personer inom hälso- och sjukvården och i enlighet med deras anvisningar annan personal som deltar i vården, till den del de deltar i vården av patienten. Det är också möjligt att göra anteckningar på basis av diktering av en person som vårdat patienten, varvid anteckningarna görs av t.ex. en textbehandlare som verkar inom en verksamhetsenhet för hälso- och sjukvård. I princip kan ett sådant tekniskt arbete externaliseras, med andra ord på basis av ett uppdragsavtal ges i uppdrag till någon annan än en person anställd vid en verksamhetsenhet för hälso- och sjukvård. I 6 i 4
Ministerns svar KK 944/2002 vp Mikko Kuoppa /vas social- och hälsovårdsministeriets förordning fastslås med tanke på en dikteringssituation att en yrkesutbildad person inom hälso- och sjukvården ansvarar för de anteckningar i journalhandlingarna som han eller hon har dikterat. En yrkesutbildad person som har vårdat patienten kan således inte ens delvis överföra ansvaret för anteckningarna på någon annan. Den ovan refererade sekretessbestämmelsen i 13 patientlagen förpliktar alla som arbetar inom en verksamhetsenhet för hälso- och sjukvård och som utför uppdrag för den på basis av ett uppdragsavtal. Verksamhetsenheter för hälso- och sjukvård som anskaffar datasystem är naturligtvis tvungna att använda sig av systemleverantörernas tjänster i samband med anskaffandet och underhållet av systemen. Anskaffandet av datasystem för den kommunala hälso- och sjukvården faller i enlighet med den kommunala självstyrelsen under kommunens eller samkommunens beslutanderätt och tillsyn. När systemen planeras, byggs upp och upprätthålls skall ändå, som ovan konstaterats, de krav beaktas som följer av personuppgiftslagen, patientlagen och social- och hälsovårdsministeriets förordning om upprättande och förvaring av journalhandlingar. I social- och hälsovårdsministeriets förordning åläggs en verksamhetsenhet för hälso- och sjukvård som registeransvarig bland annat att planera och verkställa sitt system för journalhandlingar så att dess struktur och datainnehåll motsvarar ändamålet med journalhandlingarna samt de personers åligganden och ansvar som deltar i vården eller i anslutande uppgifter. I förordningen fastslås att de som deltar i vården av en patient eller i anslutande uppgifter får hantera journalhandlingar endast i den omfattning som deras arbetsuppgifter och ansvar förutsätter, och att rätten för dem som arbetar vid en verksamhetsenhet för hälso- och sjukvård att använda uppgifterna i journalhandlingar skall anges detaljerat. Vid hanteringen av journalhandlingarna skall aktsamhetsplikten iakttas så att förtroligheten i patientförhållandet och patientens integritetsskydd tryggas. I 5 i social- och hälsovårdsministeriets förordning har dessutom intagits en separat bestämmelse som gäller anskaffning av service från någon annan. Enligt den skall en verksamhetsenhet för hälso- och sjukvård när den anskaffar service från någon annan serviceproducent, i ett avtal med denne komma överens om de åligganden och det ansvar som sammanhänger med registerföringen av uppgifterna i journalhandlingarna och hanteringen av uppgifterna, samt försäkra sig om att bestämmelserna gällande sekretess och tystnadsplikt iakttas i fråga om uppgifterna i journalhandlingarna. Ministeriet har därtill tillsammans med Dataombudsmannens byrå med tanke på den kommunala social- och hälsovården utarbetat avtalsmodeller, bland annat för anskaffning av databehandlingsservice, i vilka särskild vikt uttryckligen läggs vid datasekretessfrågor. Helsingfors den 2 december 2002 Omsorgsminister Eva Biaudet 5