”Mikäli parannustyössäni tai sen ulkopuolella ihmisten keskuudessa näen tai kuulen sellaista, mitä ei pidä levitettämän, vaikenen ja pidän sitä salaisuutena.”
Hippokrates kirjoitti sosiaali- ja terveydenhuollon tietosuojan peruslausekkeita lähes 2 500 vuotta sitten. Edelleenkin lääkärinvalassa toistetaan luottamuksellisten tietojen salassa pitämistä, ja samoja periaatteita koulutetaan muillekin sote-ammattilaisille.
Sote-palvelut ovat kuitenkin muuttuneet ja sähköistyneet vauhdikkaasti antiikin Kreikan ajoista. Tietojen sähköinen jakaminen järjestelmien ja organisaatioiden välillä lisääntyy, ja esimerkiksi sähköisiä lääkemääräyksiä toimitetaan kuukausittain useita miljoonia. Terveydenhuollon lisäksi myös sosiaalipalveluissa siirrytään vähitellen yhä laajempaan sähköisten järjestelmien käyttöön ja tietojen saatavuuteen.
Tietoturvallisuuden sähköinen kilpajuoksu
Uudessa sähköisessä ympäristössä yksityisyyteen ja tietojen luottamuksellisuuteen kohdistuu myös uudenlaisia uhkia. Yksikään tietoturva-asiantuntija ei tunne kaikkien erilaisten tietoturvariskien yksityiskohtia. Olisiko viisainta heittää pyyhe kehään ja todeta, että tietoja on turha yrittää suojata, tai että olisi viisainta kieltää kaikki tiedon jakaminen tai luovutus?
Onneksi myös tietosuojan ja tietoturvan toteuttamisen keinot ovat monipuolistuneet. Nykyisten sote-tietojärjestelmiin kohdistuvien vaatimusten ja valvontakeinojen kautta pystytään estämään ennalta suurin osa asiattomasta tietojen käytöstä ja katselusta. Lisäksi kaikesta asiakas- ja potilastietojen käytöstä ja luovuttamisesta jää jäljet lokimerkintöihin, ja esimerkiksi naapurin tietojen asiattomasta katselusta kiinni jääminen on todennäköisempää kuin koskaan. Tietoja suojataan salauksilla, sähköisillä allekirjoituksilla ja kohdistamalla järjestelmien tuottamiseen vaatimuksia, joilla tärkeät perusasiat tietosuojasta turvataan. Esimerkiksi Kanta-palveluihin liittyvien järjestelmien on läpäistävä tietoturva-auditointi osana sertifiointiprosessia, ennen kuin ne voidaan ottaa tuotantokäyttöön.
Jokapäiväinen tietosuojamme
Tärkein tietosuojatyö tehdään kuitenkin sote-palveluntuottajien päivittäisessä toiminnassa.
Hienoimmatkaan salausalgoritmit tai ohjelmistotuotannon laadunvarmistukset eivät auta, jos päivittäistä asiakas- tai potilastyötä tekevät sote-ammattilaiset eivät osaa tai halua toimia siten, että tiedot pysyvät suojassa.
Tästä syystä sote-palvelunantajien vastuusta ja heiltä vaadittavista tiedon suojaamisen toimenpiteistä on olemassa tarkempia säädöksiä.
Yksi keskeinen tietoturvan toteutuksen keino sote-palvelujen tuottajille on tietosuojan ja tietoturvallisuuden omavalvonta. Omavalvonta perustuu tietoturvasuunnitelmaan, jollaista edellytetään kaikilta asiakas- tai potilastietoja käsitteleviltä palvelujen tuottajilta ja järjestäjiltä. Suunnitelmassa on kuvattava tietosuoja- ja tietoturvatoimenpiteet sekä niiden roolit ja vastuut sote-palvelunantajan omassa toiminnassa.
Keskeinen osa suunnitelmaa ovat myös tietojärjestelmien käyttöympäristön tietoturvallisuuden varmistamisen toimenpiteet. Suunnitelman laadinnasta ja käytännön toteuttamisesta vastaa toimintayksikön vastaava johtaja. Suunnitelman toteuttamisessa on huolehdittava siitä, että henkilöstö tuntee tietosuojaan ja tietoturvaan liittyvät menettelyt ja noudattaa niitä asiakas- ja potilastietojen käsittelyssä. Arkaluonteisten tietojen salassapidon merkitys ja myös väärinkäytösten seuraamukset on ymmärrettävä. Kun palvelujen tuottamisessa toimivien henkilöiden tietoturvallinen toiminta varmistetaan käytännön tasolla, sekä asiakkaiden että ammattilaisten oikeusturva toteutuu ja työhyvinvointi paranee.
Tietoturvallisuustyö on osa päivittäistä johtamista
Tietosuojavastaavat tekevät tärkeää paikallista tietoturvallisuuden perustyötä tietosuojan etulinjassa tukien päivittäistä asiakas- tai potilastyötä tekeviä kanssatyöntekijöitään. Tätä perustyötä tukevat myös viranomaisten määräykset, ohjeet ja mallit sekä viranomaisvalvonta.
Tärkein tietosuojatyön tuki on kuitenkin se, että organisaation johto sisäistää tietosuojan ja tietoturvallisuuden merkityksen.
Tämä tarkoittaa ennen kaikkea sitä, että omassa toiminnassa piilevät riskit tunnistetaan, niihin osataan varautua ja että tietoturvallisuustyö on kiinteä osa päivittäistä johtamista ja toimintaa. Tätä asiaa ei standardin tai viranomaismääräyksen kirjoittaja tai tietojärjestelmäpalvelujen tekninen toteuttaja pysty sote-palveluntuottajan tai -järjestäjän puolesta varmistamaan.
Tietosuojan ja tietoturvallisuuden omavalvonta ja tietojärjestelmiin kohdistettavat vaatimukset muodostavat jatkumon, jonka kautta sekä teknisissä ratkaisuissa että päivittäisessä toiminnassa turvataan luottamus tietojen asianmukaiseen käsittelyyn. Tällöin päästään myös kehitystyössä keskittymään sähköistämisen suuriin hyötyihin palvelujen sujuvoittamisessa ja tietojen jalostamisessa tutkimusta tai päätöksentekoa varten.
Onneksi Hippokrateen ja lääkärinvalan tietosuojalauseiden toteuttamiseen on nykyisin keinoja, joilla pystytään varautumaan sekä vanhoihin että uusiin riskeihin myös nykyisissä verkostoissa. Tietosuoja- ja tietoturvallisuustyö ulottuu säädöksistä ja standardeista arkisiin valintoihin ja työskentelytapoihin tietojen käsittelytehtävissä. Omavalvonta sekä yhteiset ohjeet ja määrittelyt ovat tätä varten luotuja tietosuojan toteuttamisen työkaluja, joiden arkeen juurruttamista ja edelleen kehittämistä on jatkettava tiiviissä eri toimijoiden yhteistyössä.
Tärkeää asiaa.