Vakuutusyhtiöiden korvausasioita varten ei tule kerätä tai luovuttaa liikaa tietoja
Tietosuojavaltuutetun toimisto on selvittänyt Potilasvakuutuskeskuksen ja Liikennevakuutuskeskuksen toimintatapaa niiden hankkiessa tietoja terveydenhuollolta korvauskäsittelyä varten. Tietosuojavaltuutetun toimisto on myös tarkastellut kahden terveydenhuollon toimijan toimintatapaa niiden luovuttaessa potilastietoja vakuutusyhtiöille. Selvityksen mukaan vakuutusyhtiöt ovat pyytäneet potilastietoja liian laajasti. Myös terveydenhuollon toimijat ovat luovuttaneet tietoja seulomatta niitä.
Tietosuojavaltuutetun toimistolle kannelleet henkilöt ovat katsoneet, että Potilasvakuutuskeskus ja Liikennevakuutuskeskus ovat pyytäneet heitä koskevia potilasasiakirjoja terveydenhuollosta laajemmin kuin vahingon selvittämisen kannalta on ollut tarpeellista. Kantelijat olivat myös katsoneet terveydenhuollon toimijoiden luovuttaneen potilastietoja ylimitoitetusti. Esimerkiksi psykoterapiaa koskevia potilaskertomuksia oli pyydetty ja luovutettu sellaisenaan liikennevahinkoasiassa.
Tietojen minimoinnin periaatetta on noudatettava, kun tietoja pyydetään ja luovutetaan
Tietoja luovuttavan ja vastaanottavan tahon on huolehdittava, ettei henkilötietoja kerätä tai luovuteta tarpeettoman laajasti. Vakuutusyhtiöiden tiedonsaantioikeutta rajoittaa vakuutussääntelyssä tarpeellisuusvaatimus, jonka mukaan vakuutusyhtiöillä on oikeus saada sellaisia potilastietoja, jotka ovat tarpeellisia korvausasian ratkaisemiseksi. Samankaltainen vaatimus tietojen rajaamiseen sisältyy myös tietosuojalainsäädäntöön.
Yleisen tietosuoja-asetuksen tietojen minimointiperiaatteen mukaan käsiteltävien henkilötietojen on oltava olennaisia ja rajattuja tiettyyn tarpeeseen. Oletusarvoisen ja sisäänrakennetun tietosuojan vaatimuksen mukaisesti vakuutusyhtiön on varmistettava, että se käsittelee vain korvausasian kannalta tarpeellisia tietoja.
Näiden vaatimusten noudattamiseksi terveydenhuollolle toimitetun tietopyynnön on oltava tapauskohtaisesti rajattu ja pyyntö saa koskea vain tarpeellisia tietoja. Terveydenhuollon toimijoiden on myös arvioitava vakuutusyhtiön tekemän pyynnön perusteella, mitkä tiedot ovat asian kannalta tarpeellisia.
Tietosuojavaltuutettu ottaa ratkaisuissaan kantaa myös tietojen luovutustapaan. Tietosuojavaltuutettu katsoo, että potilaan terveydentilaa koskevat tiedot tulisi luovuttaa ensisijaisesti lausunnon muodossa Suomen Lääkäriliiton suosituksen mukaisesti. Jos tiedot on perustellusta syystä toimitettava potilasasiakirjajäljennöksinä, tulee vain tarpeellisten tietojen luovuttamisesta huolehtia esimerkiksi peittämällä tarpeettomat tiedot. Tietosuojavaltuutettu korostaa, että kun luovutetaan potilasasiakirjojen jäljennöksiä, on tietojen tarpeellisuutta arvioitava erityisen huolellisesti.
Tietosuojavaltuutettu antoi huomautukset tietosuoja-asetuksen vastaisesta käsittelystä
Tietosuojavaltuutettu antoi Potilasvakuutuskeskukselle huomautuksen yleisen tietosuoja-asetuksen vastaisesta henkilötietojen käsittelystä. Toiselle terveydenhuollon toimijalle annettiin huomautus sekä määräys muuttaa vakuutusyhtiöille tehtävien potilastietojen luovutusten menettelytavat tietosuojalainsäädännön vaatimusten mukaisiksi.
Muiden kokonaisuuteen liittyvien tapausten selvittäminen jatkuu tietosuojavaltuutetun toimistossa.
Tietosuojavaltuutetun päätös koskien Potilasvakuutuskeskusta Finlexissä
Tietosuojavaltuutetun päätös koskien terveydenhuollon toimijaa Finlexissä
Tietosuojavaltuutetun kannanotto koskien Liikennevakuutuskeskusta Finlexissä
Lisätietoja:
Tietosuojavaltuutettu Anu Talus, anu.talus(at)om.fi, puh. 029 566 6766