Usein kysyttyä terveydenhuollosta
Potilastietojen oikaiseminen
Jos potilastiedoissasi on virheitä, voit pyytää niiden oikaisemista. Oikaisupyyntö esitetään siihen terveydenhuollon toimintayksikköön, jonka toiminnassa kirjatuista tiedoista on kysymys. Tarvittaessa voit pyytää neuvoja kyseessä olevan yksikön tietosuojavastaavalta tai potilasasiamieheltä.
Voit pyytää virheellisten tietojen oikaisemista. Pyyntö esitetään sille terveydenhuollon palvelujen tarjoajalle, jonka toiminnassa kirjatuista tiedoista on kysymys. Kela ei voi oikaista Omakannan kautta näkyviä kirjauksia.
Lue lisää Omakannasta Kanta-palvelun verkkosivuilla. Katso palvelun sivuilta myös Kanta-palveluja koskevat usein kysytyt kysymykset.
Ei voi, jos se vastaa sinua hoitaneen lääkärin tekemää arviota tilanteestasi.
Jos potilasasiakirjoihin merkitty diagnoosi vastaa lääkärin arviota, ei tietoa ole tarpeen oikaista, koska se kuvaa lääkärin näkemystä potilaan terveydentilasta kirjaamishetkellä. Oikaisua ei tällöin voida tehdä myöskään muualta saadun lääkärinlausunnon perusteella.
Vaikka potilaan diagnoosi myöhemmin muuttuisi, se ei tarkoita, että tieto alkuperäisestä diagnoosista pitäisi oikaista. Potilasasiakirjoista on tärkeä löytyä tieto myös potilaan aiemmista diagnooseista, jotta tiedetään, millaisten tietojen perusteella häntä on hoidettu.
Sen sijaan, jos lääkäri on esimerkiksi vahingossa kirjannut potilaan diagnoosin väärin tai diagnoosi on kirjattu väärälle potilaalle, pitää tällainen virheellinen kirjaus poistaa tai oikaista.
Tietosuojavaltuutetun toimivaltaan ei kuulu arvioida, onko lääkäri tehnyt oikean arvioinnin potilaan terveydentilasta tai diagnoosista. Jos potilas on tyytymätön saamaansa hoitoon tai terveydenhuollon ammattihenkilön toimintaan, hän voi tehdä potilaslain mukaisen muistutuksen kyseisen terveydenhuoltoyksikön johtajalle. Potilas voi myös kannella lääkärin ammattitoiminnasta alueen aluehallintovirastolle tai Valviralle.
Voit pyytää merkinnän täydentämistä omalla käsitykselläsi tapahtumien kulusta tai siitä, mitä olet kertonut. Useimmiten merkintään kirjattua tietoa ei tällaisessa tilanteessa kuitenkaan voida poistaa tai muuttaa. Näin on, jos kirjaus vastaa sitä käsitystä, mikä merkinnän laatineelle henkilölle on tapahtumahetkellä syntynyt. Tällaista tietoa ei lähtökohtaisesti pidetä potilastietojen käyttötarkoituksen kannalta virheellisenä, koska terveydenhuollon ammattihenkilöllä on nimenomaan velvollisuus kirjata potilasasiakirjoihin omat havaintonsa.
Tietosuojavaltuutettu on suositellut merkinnän täydentämistä potilaan käsityksellä tapahtumien kulusta tai potilaan kertomista asioista erityisesti silloin, jos potilaan näkemyksen mukainen kuvaus olisi voinut tai voisi jatkossa vaikuttaa potilaan hoitoa koskeviin ratkaisuihin. Merkintään täydennettävän tiedon tulee olla potilastietojen käyttötarkoituksen kannalta tarpeellista.
Potilasasiakirjoihin on kirjattava kaikkien potilastietojen eri käyttötarkoitusten kannalta tarpeelliset ja riittävät tiedot. Potilastietoja käytetään potilaan hoidon järjestämiseen, suunnitteluun, toteuttamiseen, seurantaan ja valvontaan. Näistä käyttötarkoituksista sekä tietojen säilytysajoista säädetään laissa sosiaali- ja terveydenhuollon asiakastietojen käsittelystä (asiakastietolaki, 703/2023).
Potilastietojen tulee olla käytettävissä, kun niitä tarvitaan näihin käyttötarkoituksiin. Potilaan hoidon järjestämiseen ja valvontaan voidaan myös tarvita eri tietoja. Lähtökohtaisesti myös alkuperäisen merkinnän on oltava käytettävissä ainakin hoidon valvontaa varten. Käytännössä alkuperäinen merkintä voidaan säilyttää esimerkiksi niin, että se ei ole käytettävissä potilaan hoitotilanteessa.
Tietosuojavaltuutetun toimisto tarvitsee asian arviointia varten seuraavat tiedot:
- Tieto ajankohdasta, jolloin olet esittänyt pyynnön tietojen oikaisusta terveydenhuollon toimijalle
- Kerro sanatarkasti:
- minkä tietojen muuttamista olet pyytänyt
- mitä muutoksia olet pyytänyt tietoihin
- mitä tietoja olet pyytänyt täydentämään asiakirjoihin
- Perustelut, miksi kyseiset tiedot ovat mielestäsi virheellisiä tai puutteellisia hoitosi järjestämisen, suunnittelun, toteuttamisen, seurannan tai valvonnan kannalta
- Terveydenhuollon toimijalle esittämäsi pyyntö sekä siihen saamasi vastaus, jos ne ovat tallella
Potilastietojen poistaminen
Yleisen tietosuoja-asetuksen 17 artiklassa säädetään oikeudesta pyytää rekisterinpitäjää poistamaan rekisteröityä koskevia henkilötietoja. Myös potilas voi käyttää tätä oikeutta. Poistopyynnön hyväksyminen ei kuitenkaan usein ole mahdollista, koska potilastietoja on lain mukaan säilytettävä vähintään tietyn määräajan.
Et voi. Kaikkia sinua koskevia potilastietoja ei voida poistaa, sillä velvollisuudesta säilyttää potilastietoja säädetään laissa. Terveydenhuollon ammattihenkilöillä on velvollisuus laatia potilasasiakirjamerkinnät kaikista potilaan palvelutapahtumista. Nämä merkinnät on säilytettävä niin kauan kuin laissa säädetään. Säilytysajasta säädetään tarkemmin laissa sosiaali- ja terveydenhuollon asiakastietojen käsittelystä (asiakastietolaki).
Myöskään merkintää yksittäisestä lääkärikäynnistä tai muusta palvelutapahtumasta ei voida poistaa kokonaan. Yksittäiset virheelliset tiedot voidaan kuitenkin korjata. Puutteelliset tiedot voidaan myös täydentää ja tarpeettomat tiedot poistaa.
Potilastiedoista voi poistaa tarpeettomat tiedot. Tarpeettomia ovat sellaiset tiedot, joita ei tarvita potilaan hoidon järjestämiseen, suunnitteluun, toteuttamiseen, seurantaan ja valvontaan. Nämä ovat potilastietojen laissa säädettyjä käyttötarkoituksia, joita varten potilastietoja pitää säilyttää.
Tarpeellisuutta arvioidaan sen perusteella, onko tieto ollut tarpeellinen sillä hetkellä, kun se on merkitty potilaan tietoihin. Jotta tieto voidaan poistaa, sen on pitänyt olla tarpeeton jo laatimishetkellä. Jos potilastietoihin on merkitty sellaisia seikkoja, joiden tarpeellisuutta ei voida perustella potilastietojen käyttötarkoituksella, pitää nämä tiedot poistaa. Tällaisia tietoja ovat esimerkiksi potilasta asiattomasti leimaavat tiedot tai muulla tavalla asiattomat merkinnät.
Sellaiset tiedot, jotka terveydenhuollon ammattihenkilö on arvioinut liittyvän potilaan terveydentilaan tai muuten hoidon järjestämiseen, suunnitteluun, toteuttamiseen tai seurantaan, eivät lähtökohtaisesti ole tarpeettomia. Tällaisia tietoja ei pääsääntöisesti voida poistaa potilastiedoista, vaikka myöhemmin ne osoittautuisivat myöhemmin paikkansa pitämättömiksi (esimerkiksi muuttunut diagnoosi).
Esitä pyyntö potilastietojen rekisterinpitäjälle eli terveydenhuollon toimijalle niin, että pyynnöstä käy sanatarkasti ilmi, minkä kohdan potilastiedoistasi haluat poistettavan. Perustele pyyntösi.
Voit pyytää tarkempia ohjeita poistamisoikeuden käyttämisestä organisaation tietosuojavastaavalta.
Tietosuojavaltuutetun toimisto tarvitsee asian arviointia varten seuraavat tiedot:
- Tieto ajankohdasta, jolloin olet pyytänyt tietojen poistamista terveydenhuollon toimijalta
- Kerro sanatarkasti ne merkinnät ja merkintöjen kohdat, joiden poistamista olet pyytänyt
- Perustelut, miksi kyseiset tiedot ovat mielestäsi tarpeettomia hoitosi järjestämiseen, suunnitteluun, toteuttamiseen, seurantaan tai valvontaan
- Terveydenhuollon toimijalle esittämäsi pyyntö sekä siihen saamasi vastaus, jos ne ovat tallella
Tarkastusoikeus omiin potilastietoihin
Tietosuoja-asetuksen mukaisesta tarkastusoikeuden käyttämisestä ei lähtökohtaisesti saa periä maksua, vaan potilas saa tutustua potilastietoihinsa ilmaiseksi. Näihin tietoihin kuuluvat myös magneettikuvat ja muut kuvantamistutkimusten jäljennökset.
Potilaalla tulee olla mahdollisuus käyttää tarkastusoikeuttaan omiin tietoihinsa kohtuullisin väliajoin, jotta hän voi pysyä perillä tietojensa käsittelystä ja tarkistaa sen lainmukaisuuden.
Jos potilaan pyyntö tutustua kuvantamistutkimuksen tietoihin on ilmeisen kohtuuton tai perusteeton, terveydenhuollon toimija voi periä pyynnön toteuttamisesta kohtuullisen maksun, joka perustuu hallinnollisiin kustannuksiin, kuten työpanokseen, materiaaleihin ja postikuluihin. Maksusta pitää ilmoittaa pyynnön esittäneelle asiakkaalle etukäteen. Myös maksun suuruutta pitää kuvata mahdollisimman tarkasti.
Pyyntöä voidaan pitää perusteettomana tai kohtuuttomana erityisesti, jos potilas pyytää toistuvasti samoja tietoja, eivätkä tiedot ole muuttuneet sen jälkeen, kun ne on viimeksi hänelle toimitettu. Pyyntö voi olla perusteeton myös esimerkiksi silloin, jos rekisterinpitäjä ei käsittele pyydettyjä tietoja. Rekisterinpitäjä voi kieltäytyä kohtuuttoman tai perusteettoman pyynnön toteuttamisesta, mutta tämä on viimesijainen vaihtoehto. Tällaisessa tilanteessa rekisterinpitäjän tulee kertoa potilaalle kieltäytymisestä ja perustella, miksi pyyntö on perusteeton tai kohtuuton.
Tietojen luovuttaminen
Potilastietojen luovuttamisesta on kyse silloin, kun tietoja annetaan toisen ulkopuolisen tahon eli sivullisen käyttöön. Tietojen luovuttamista ei ole se, että potilastietoja käytetään potilaan terveyspalvelujen järjestämiseen ja toteuttamiseen tai niihin liittyviin tehtäviin saman terveydenhuollon toimijan sisällä tai sen toimeksiannosta.
Luovuttamisesta on sen sijaan kyse esimerkiksi silloin, jos saman toimijan sisällä luovutetaan tietoja eri käyttötarkoituksiin, eli esimerkiksi hyvinvointialueella sosiaalihuollon tietoja luovutetaan terveydenhuoltoon tai potilastietoja aiotaan käyttää johonkin muuhun tarkoitukseen kuin terveyspalvelujen järjestämiseen tai toteuttamiseen liittyviin tehtäviin.
Tietojen luovuttamisen täytyy perustua lakiin tai potilaan antamaan suostumukseen. Tiedot luovuttava taho on vastuussa siitä, että luovuttaminen tapahtuu lainmukaisesti. Tietoja pyytävältä on tarvittaessa syytä tiedustella, mihin tarkoitukseen ja millä perusteella tietoja pyydetään.
Laissa sosiaali- ja terveydenhuollon asiakastietojen käsittelystä (asiakastietolaki) on säädetty tarkemmin tietojen luovuttamisesta terveydenhuollossa. Asiakastietolain mukaan terveydenhuollon palvelunantaja voi luovuttaa potilastietoja toiselle terveydenhuollon palvelunantajalle, jos se tarvitsee tietoja terveyspalvelun järjestämiseksi ja toteuttamiseksi. Tietojen vastaanottajalla on oltava oikeus käyttää luovutettua tietoa. Tietojen käsittelyn on siis perustuttava terveydenhuollon ammattihenkilön tai muun tietoja käsittelevän henkilön työtehtävään ja potilaalle annettavaan palveluun. Tällöinkin ainoastaan työtehtävien kannalta välttämättömiä tietoja on sallittua käsitellä.
Tyypillisessä luovutustilanteessa potilastietoja tarvitaan potilaan hoitamiseksi vastaanottavassa yksikössä. Käytännössä tiedot luovutetaan usein niin, että terveydenhuollon ammattihenkilö saa Kanta-palvelujen kautta näkymän muiden terveydenhuollon toimijoiden tietoihin. Asiakastietolaissa edellytetään, että tiedot tulee luovuttaa ensisijaisesti Kanta-palvelujen välityksellä. Tarvittaessa tietoja voidaan kuitenkin luovuttaa myös muulla tavoin, kuten paperilla tai sähköisesti tietojärjestelmien kautta.
Lisäksi edellytyksenä potilastietojen luovuttamiselle on potilaan antama luovutuslupa. Se on tahdonilmaisu, jolla potilas hyväksyy tietojensa luovuttamisen. Luvan voi antaa esimerkiksi Kanta-palvelussa.
Ennen luovutusluvan antamista potilaalle on kerrottava, kuinka hänen henkilötietojaan käsitellään sosiaali- ja terveydenhuollossa ja kuinka hän voi vaikuttaa tietojensa luovuttamiseen. Potilas voi yhdellä luovutusluvalla sallia kaikkien potilastietojensa liikkumisen häntä hoitavien eri terveydenhuollon palvelunantajien välillä. Luovutuslupa on voimassa toistaiseksi, mutta sen voi milloin tahansa peruuttaa. Halutessaan luvan voi myös antaa uudestaan.
Jos potilas ei halua, että tietyn palvelunantajan tietoja luovutetaan, hän voi rajoittaa luovutuslupaa eri laajuisilla luovutuskielloilla. Laajalla luovutuskiellolla potilas voi kieltää kaikkien häntä koskevien potilastietojen liikkumisen. Julkisessa terveydenhuollossa ja työterveyshuollossa potilas voi kieltää palvelunantajan kaikkien tietojen tai yksittäisen palvelutapahtuman tietojen luovuttamisen. Yksityisessä terveydenhuollossa tietojen luovuttamisen voi kieltää vain palvelutapahtumakohtaisesti.
Potilaan luovutuslupaa ei kuitenkaan tarvita esimerkiksi, jos henkilö ei muistisairauden tai kehitysvammaisuuden vuoksi kykene ymmärtämään luovutusluvan merkitystä, eikä hänellä ole laillista edustajaa, joka voisi antaa luovutusluvan hänen puolestaan. Luovutuslupaa ei myöskään edellytetä tilanteissa, joissa hoitovastuu siirretään. Tällöin hoidon järjestämiseksi välttämättömät potilastiedot on sallittua luovuttaa hoitoa jatkavalle palvelunantajalle lähetteellä tai hoitoyhteenvedossa. Myös hoitopalautteen voi luovuttaa lähetteen tehneelle palvelunantajalle.
Oma poikkeuksensa on myös potilastietojen luovuttaminen Uudenmaan alueiden hyvinvointialueiden, Helsingin kaupungin ja HUS-yhtymän välillä, jossa tietojen luovuttaminen on mahdollista suoraan lain nojalla ilman luovutuslupaa. Luovutus voidaan tehdä sen jälkeen, kun potilaalle on kerrottu hänen tietojensa käsittelystä sosiaali- ja terveydenhuollossa ja mahdollisuudesta vaikuttaa tietojensa luovuttamiseen. Myös Uudellamaalla potilaalla on kuitenkin oikeus kieltää potilastietojensa luovutus.
Asiakastietolain lisäksi potilastietoja voi olla mahdollista luovuttaa myös muun lainsäädännön nojalla, joka oikeuttaa tietojen saamiseen. Potilas ei voi rajata luovutuskielloilla esimerkiksi viranomaisten lakiin perustuvaa tiedonsaantioikeutta.
Lue lisää luovutusluvan antamisesta, luovutuskiellon tekemisestä, tietojen luovuttamisesta ilman luovutuslupaa sekä poikkeustilanteista:
Kanta-palvelujen verkkosivut: Miten tietoni liikkuvat hyvinvointialueilla?
Kanta-palvelujen verkkosivut: Terveydenhuollon potilastietojen luovutuslupa
Kanta-palvelujen verkkosivut: Potilastietojen luovutuskielto
Asiakastietolakia koskeva soveltamisopas (THL:n yhteistyötilat.fi -sivustolla)
Potilastiedot ovat pysyvästi salassa pidettäviä, eikä niitä voi lähtökohtaisesti luovuttaa sivullisille. Terveydenhuollossa sivullisella tarkoitetaan sellaisia henkilöitä, jotka eivät osallistu millään tavalla potilaan terveyspalveluihin liittyviin tehtäviin palvelunjärjestäjän tai apteekin palveluksessa, sen lukuun tai toimeksiannosta. Sivullisia ovat siis esimerkiksi samallakin hyvinvointialueella työskentelevät työntekijät, jotka eivät osallistu kyseisen potilaan terveyspalvelujen järjestämiseen tai toteuttamiseen. Heillä ei ole oikeutta käsitellä potilaan tietoja.
Esimerkiksi hyvinvointialueella potilasta hoitava sairaanhoitaja tai lääkäri ei ole sivullinen, vaan hänellä on oikeus käsitellä potilaan hoidon toteuttamisen kannalta välttämättömiä potilastietoja.
Palvelun järjestäminen ja toteuttaminen eivät rajoitu vain potilaan hoitoon, vaan terveyspalveluihin liittyviä tehtäviä voivat suorittaa muutkin kuin sosiaali- ja terveydenhuollon ammattilaiset. Tällaisia voivat olla esimerkiksi hallinnolliset tehtävät, kuten laskutus. Hallinnollisia tehtäviä varten voidaan luovuttaa potilaan tietoja, jotka ovat välttämättömiä tehtävän toteuttamiseksi.
Potilastiedot ovat salassa pidettäviä, eikä niitä saa luovuttaa sivulliselle ilman potilaan suostumusta tai luovuttamiseen oikeuttavaa lain säännöstä. Myös potilaan omaiset ovat sivullisia, eikä heillekään yleensä voida luovuttaa potilastietoja ilman potilaan suostumusta.
Jos täysi-ikäinen potilas ei pysty päättämään hoidostaan esimerkiksi mielenterveyden häiriön, kehitysvammaisuuden tai muun syyn vuoksi, ennen tärkeän hoitopäätöksen tekemistä on kuultava potilaan laillista edustajaa, lähiomaista tai muuta läheistä sen selvittämiseksi, millainen hoito parhaiten vastaisi potilaan tahtoa. Hoitoon on tällöin saatava potilaan laillisen edustajan, lähiomaisen tai muun läheisen suostumus. Jotta tällainen henkilö kykenee arvioimaan suostumuksen antamista, hänellä on oikeus saada kuulemista ja suostumuksen antamista varten tarpeelliset tiedot potilaan terveydentilasta.
Jos alaikäinen potilas ei kykene itse päättämään hoidostaan, häntä on hoidettava yhteisymmärryksessä hänen huoltajansa tai muun laillisen edustajansa kanssa. Tällä on silloin oikeus saada selvitys alaikäisen lapsensa terveydentilasta, hoidon merkityksestä, eri hoitovaihtoehdoista ja niiden vaikutuksista sekä muista hänen hoitoonsa liittyvistä seikoista, joilla on merkitystä päätettäessä lapsen hoidosta.
Jos alaikäinen potilas ikänsä ja kehitystasonsa perusteella kykenee päättämään hoidostaan, häntä on hoidettava yhteisymmärryksessä hänen itsensä kanssa. Alaikäinen potilas voi tällöin kieltää terveydentilaansa ja hoitoansa koskevien tietojen antamisen huoltajalleen tai muulle lailliselle edustajalleen.
Kuolleen potilaan terveyden- ja sairaanhoitoa koskevia tietoja voidaan luovuttaa henkilölle, joka tarvitsee niitä tärkeiden etujensa tai oikeuksiensa selvittämiseen tai toteuttamiseen. Tietoja voidaan luovuttaa siltä osin kuin ne ovat välttämättömiä näiden etujen tai oikeuksien selvittämiseksi tai toteuttamiseksi.
Tietopyyntö tulee esittää kirjallisesti ja perusteltuna asianomaiselle terveydenhuollon toimintayksikölle tai ammattihenkilölle. Tässä tapauksessa tietoja voi saada myös muu henkilö kuin omainen.
Laissa kuolemansyyn selvittämisestä säädetään erikseen omaisen oikeudesta saada tietoja asiakirjoista, jotka koskevat kuolinsyyn selvittämistä.
Voit saada terveydenhuollon palvelunantajalta, Kansaneläkelaitokselta tai apteekilta tiedon siitä, kuka on käyttänyt tai kenelle on luovutettu sinua koskevia potilastietoja sekä siitä, mikä on ollut niiden käytön tai luovutuksen syy (ns. lokitiedot). Sinun on esitettävä pyyntö kirjallisesti. Saamiesi lokitietojen perusteella sinun on mahdollista arvioida, onko potilastietojasi käsitelty laillisesti ja asianmukaisesti.
Jos epäilet lokitietojen perusteella, että sinua koskevia potilastietoja on käytetty tai luovutettu ilman riittäviä perusteita, voit pyytää tietoja käyttäneeltä tai tietoja saaneelta taholta selvitystä tietojen käytön tai luovuttamisen perusteista. Lisäksi sen on esitettävä perusteltu käsitys siitä, onko tietojen käyttö tai luovuttaminen ollut lain mukaista. Jos se arvioi tietojen käsittelyn olleen lainvastaista, sen on myös oma-aloitteisesti ryhdyttävä välttämättömiin toimenpiteisiin.
Jos yksittäinen terveydenhuollon ammattihenkilö on toiminut vastoin lakia ja työnantajansa ohjeita, on kyse rikoksesta, joka kuuluu poliisin selvitettäväksi. Tietosuojavaltuutetun toimisto valvoo organisaation toiminnan lainmukaisuutta ja voi kohdistaa seuraamuksia vain organisaatioon. Sen vuoksi tietosuojavaltuutetun toimistossa ei lähtökohtaisesti selvitetä yksittäisten ammattihenkilöiden virheellistä toimintaa. Tietosuojavaltuutettu voi alkaa selvittää asiaa, jos organisaation käytössä olevat suojatoimet ovat olleet puutteellisia. Näin voi olla esimerkiksi silloin, jos työnantaja ei ole ohjeistanut työntekijöitään asianmukaisesti potilastietojen käsittelystä.
Potilasvahinkolain mukaan Potilasvakuutuskeskuksella on oikeus saada sellaiset tiedot, joita tarvitaan korvauksen perusteen ja korvausvelvollisuuden laajuuden määrittämiseen. Oikeuteen ei vaikuta se, mitä salassapitovelvollisuudesta tai henkilörekisteritietojen luovuttamisesta muualla säädetään.
Potilasvakuutuskeskukselle ei saa luovuttaa tietoja, jotka ovat potilasvahinkoasian käsittelemisen kannalta tarpeettomia. Esimerkiksi potilaan koko sairauskertomuksen saa luovuttaa Potilasvakuutuskeskukselle vain poikkeustapauksessa.
Turvakiellon kohteena olevan kotikunta, asuinpaikka, osoite ja muut yhteystiedot saadaan luovuttaa väestötietojärjestelmästä vain viranomaiselle, jolla on oikeus käsitellä näitä tietoja lakisääteisiä tehtäviä tai toimenpiteitä varten tai kiellon kohteena olevan henkilön oikeuksien tai velvollisuuksien hoitamiseen. Turvakiellosta ja turvakiellon kohteena olevien henkilötietojen käsittelystä säädetään laissa väestötietojärjestelmästä ja Digi- ja väestötietoviraston varmennepalveluista.
Viranomainen, jolle turvakiellon alaisia tietoja on luovutettu väestötietojärjestelmästä, ei saa luovuttaa tietoja edelleen eikä antaa niitä sivullisen nähtäväksi tai käsiteltäväksi, jollei laissa toisin säädetä.
Turvakielto koskee turvakiellon alaisten henkilötietojen luovuttamista väestötietojärjestelmästä sekä nämä tiedot saaneiden viranomaisten mahdollisuuksia luovuttaa tiedot eteenpäin. Turvakielto ei koske tietojen luovuttamista muissa tilanteissa. Turvakielto ei myöskään vaikuta niiden tietojen käsittelyyn, jotka on luovutettu väestötietojärjestelmästä ennen turvakiellon asettamista, tai jotka joku muu taho on jo tallentanut.
Turvakielto koskee myös henkilön omistuksessa tai hallinnassa olevan kiinteistön, rakennuksen ja huoneiston yksilöinti- ja sijaintitietojen luovuttamista väestötietojärjestelmästä, jos niitä ei voida käsitellä erillään turvakiellon kohteena olevista tiedoista.
Tietosuojavaltuutettu ei voi asettaa turvakieltoa. Turvakieltoa koskevissa asioissa toimivaltainen viranomainen on Digi- ja väestötietovirasto.
Lue lisää turvakiellosta Digi- ja väestötietoviraston verkkosivuilta (dvv.fi)
Terveydenhuollossa syntyneitä tietoja voidaan käyttää tieteellisen tutkimuksen tekemiseen eli niin sanottuun toissijaiseen tarkoitukseen.
Tietojen käyttö tutkimustarkoituksiin tapahtuu lähtökohtaisesti niin, ettei tutkija pysty suoraan tunnistamaan henkilöitä, joiden tietoja tutkimusaineistossa on. Jos tieteellisessä tutkimuksessa saadaan selville merkittävä löydös, jonka perusteella olisi mahdollista ehkäistä tietyn ihmisen terveyteen kohdistuvaa riskiä tai parantaa merkittävästi hoidon laatua, voidaan kyseisen potilaan henkilöllisyys selvittää ja häneen voidaan olla yhteydessä terveydenhuollosta.
Potilaalla on oikeus kieltää tällaisen kliinisesti merkittävän löydöksen perusteella tehtävät yhteydenotot. Kiellon voi tehdä Omakannassa sekä julkisessa terveydenhuollossa. Tarkempaa tietoa yhteydenottokiellon tekemisestä Kanta-palvelujen verkkosivulla:
Rekisteritutkimusten löydöksiä koskeva yhteydenottokielto (kanta.fi)
Tietojen käyttämisestä tähän tarkoitukseen sekä yhteydenottokiellosta säädetään sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain eli toisiolain 55 §:ssä.
Tietoturvaloukkaukset
Rekisterinpitäjällä on tietyissä tilanteissa velvollisuus ilmoittaa tietoturvaloukkauksesta valvontaviranomaiselle ja tietoturvaloukkauksen kohteena oleville henkilöille. Rekisterinpitäjän täytyy arvioida, minkä tasoinen riski tietoturvaloukkauksesta aiheutuu sen kohteeksi joutuneille. Riskin taso määrittää, tuleeko rekisterinpitäjän ilmoittaa tietoturvaloukkauksesta tietosuojavaltuutetun toimistolle ja rekisteröidyille. Rekisterinpitäjän on dokumentoitava sisäisesti kaikki tietoturvaloukkaukset.
Tietoturvaloukkauksesta täytyy ilmoittaa tietosuojavaltuutetun toimistolle, kun loukkaus todennäköisesti aiheuttaa riskin rekisteröidyille. Jos tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin loukkauksen kohteena oleville, tulee rekisterinpitäjän ilmoittaa tietoturvaloukkauksesta myös heille.
Lue lisää tietoturvaloukkauksista, riskin arvioinnista ja ilmoitusvelvollisuudesta
Esimerkkejä terveydenhuollon tilanteista, joissa tietoturvaloukkauksesta tulee ilmoittaa sekä tietosuojavaltuutetun toimistolle että kohteeksi joutuneille henkilöille:
- Työntekijä on lähettänyt sähköpostitse tai kirjeitse väärään osoitteeseen asiakkaan / potilaan terveydentilatietoja (esimerkiksi päihdekuntoutussuunnitelma tai sairauslomatodistus). Tiedot ovat päätyneet sivulliselle.
- Kokouksessa äänilaitteen kaiutin oli ollut Bluetoothin kautta yhteydessä viereisen huoneen laitteisiin. Tämä johti siihen, että puhelun kuuli sivullinen. Kokouksessa käsiteltiin potilaan tietoja. Ei tiedetä, kuinka kauan sivullinen oli ollut mukana puhelussa.
- Sairaalan potilastiedot ovat poissa käytöstä 30 tunnin ajan verkkohyökkäyksen vuoksi.
- Rekisterinpitäjä on käytönvalvonnan yhteydessä havainnut, että yksikön työntekijä on sivullisen asemassa käsitellyt (ns. urkkinut) yksittäisen potilaan tietoja omiin tarkoituksiinsa.
- Työntekijä on ladannut sosiaaliseen mediaan valokuvan, jossa näkyy myös erään potilaan tiedot. Kuvankäsittelyohjelmalla voi tarkentaa potilaan tietoja, vaikka kuva on epätarkka. Ei ole tietoa, onko sivullinen ladannut kuvan.
- Työntekijä on hukannut parkkipaikalle asiakaslistan, joka sisältää tietoja asiakkaiden terveydentilasta. Työntekijä huomasi virheen, mutta hän ei löytänyt listaa. Ei ole tietoa, onko asiakaslista päätynyt sivulliselle.
- Osa järjestelmässä olevista potilastiedoista tuhoutui lopullisesti inhimillisen virheen vuoksi. Varmuuskopioita ei ole, eikä tietoja voida palauttaa.
- Lääkärin vastaanotolta tullut asiakas ilmoitti vastaanotossa saaneensa toiselle henkilölle kuuluneen sairauspäivärahalomakkeen.
- Työterveyshuollon laskun erittelyssä oli kirjattu työntekijän käynnin syy, joka paljasti tarpeettomasti terveydentilatietoja. Laskun vastaanottaja oli työnantajan edustaja.
- Kotihoidon työntekijä oli vahingossa jättänyt asiakkaan (A) kotiin toisen asiakkaan (B) tietolomakkeen. Asiakkaan (A) omainen oli löytänyt tiedot omaisensa papereiden joukosta.
- Terveydenhuollon ammattilainen merkitsi potilaan A tiedon lääkeallergiasta vahingossa potilaan B tietoihin. Potilaan A tietoihin ei merkitty lainkaan allergiatietoja. Potilaalla B ei ole allergiaa. Toinen terveydenhuollon ammattilainen (tietämättä A:n allergiasta) antaa sairaanhoidossa potilas A:lle lääkettä, jolle A on allerginen. A:lle aiheutuu terveydellistä haittaa.
- On herännyt epäily siitä, että henkilö A on esiintynyt henkilö B:nä (identiteettivarkaus), tehnyt hänen nimissään ajanvarauksen ja saapunut lääkärin vastaanotolle. Lääkäri on hoitanut asiakasta ilmoitetuilla henkilötiedoilla ja tehnyt kirjauksen B:n potilastietoihin. Henkilö B on ottanut itse yhteyttä rekisterinpitäjään huomattuaan Omakannassa merkintöjä, jotka eivät ole hänen. Rekisterinpitäjä on poistanut virheelliset tiedot B:n tiedoista.
- Terveydenhuollon organisaatiossa tehdään potilasasiakirjamerkintöjä paperiseen vihkoon. Vihko on varastettu murron yhteydessä.
Rekisterinpitäjän täytyy arvioida, minkä tasoinen riski tietoturvaloukkauksesta aiheutuu sen kohteeksi joutuneille. Riskin taso määrittää, tuleeko rekisterinpitäjän ilmoittaa tietoturvaloukkauksesta tietosuojavaltuutetun toimistolle ja rekisteröidyille. Rekisterinpitäjän on dokumentoitava sisäisesti kaikki tietoturvaloukkaukset.
Tietoturvaloukkauksesta täytyy ilmoittaa tietosuojavaltuutetun toimistolle, kun loukkaus todennäköisesti aiheuttaa riskin rekisteröidyille. Jos loukkaus ei kuitenkaan todennäköisesti aiheuta korkeaa riskiä, siitä ei tarvitse ilmoittaa henkilöille, joiden tiedot ovat joutuneet tietoturvaloukkauksen kohteeksi.
Ilmoitusta rekisteröidyille ei vaadita esimerkiksi silloin, jos rekisterinpitäjä on toteuttanut asianmukaiset suojaustoimenpiteet tai jatkotoimenpiteitä, joilla varmistetaan, että korkea riski ei enää todennäköisesti toteudu.
Lue lisää tietoturvaloukkauksista, riskin arvioinnista ja ilmoitusvelvollisuudesta
Esimerkkejä terveydenhuollon tilanteista, joissa tietoturvaloukkauksesta tulee ilmoittaa tietosuojavaltuutetun toimistolle, mutta joissa ilmoitusta kohteeksi joutuneille henkilöille ei vaadita:
- Siivooja tyhjensi väärään astiaan jäteastian, jota osaston työntekijät käyttivät tuhottavan salassapidettävän paperiaineiston väliaikaiseen säilytykseen. Astia vietiin valvomattomaan tilaan. Rekisterinpitäjällä ei ole tietoa siitä, kenen potilaiden tiedoista on kysymys. Rekisterinpitäjä varmistui yhteistyössä jätehuollon kanssa, että tiedot tuhottiin ja että tiedot eivät päässeet sivullisen haltuun.
- Terveydenhuollon toimintayksikkö (A) lähetti useiden potilaiden leikkaushoitoa koskevia tietoja toiseen toimintayksikköön (B). Tiedot lähetettiin tieteellistä tutkimusta varten. Yksiköiden välillä ei ollut vielä laadittu sopimusta. Osa potilaista oli mahdollista tunnistaa yhdistelemällä tietoja. Tiedot päätyivät vain tutkimusta suorittaville terveydenhuollon ammattilaisille, jotka ovat salassapitovelvollisia. Vastaanottaja tuhosi tiedot. Potilailta ei ollut hankittu suostumusta tutkimukseen osallistumiseksi, mikä vaikuttaa erityisesti riskin tason arvioon.
- Apteekista toimitettiin organisaatioon A tarkoitettu useiden potilaiden lääkkeitä sisältänyt tilaus organisaatioon B. Apteekki tekee yhteistyötä kummankin organisaation kanssa, mutta organisaatioiden välisissä sopimuksissa ei ole sovittu asianmukaisista toimintatavoista tällaisen tilanteen varalle. Lääkkeet saatiin toimitettua ajoissa oikeille potilaille.
- Jos apteekki on sopinut B:n kanssa asianmukaisista toimintatavoista tällaisen tilanteen varalle ja B vahvistaa toimineensa toimintatapojen mukaisesti, on apteekin sisäinen dokumentointi tietoturvaloukkauksesta todennäköisesti riittävää. Toimintatavat voivat sisältää esimerkiksi velvollisuuden ilmoittaa tapahtumasta apteekille, palauttaa tai poistaa tiedot turvallisesti sekä antaa kirjallinen vahvistus näistä toimenpiteistä.
Jos tietoturvaloukkaukseen ei todennäköisesti liity riskiä, siitä ei tarvitse ilmoittaa valvontaviranomaiselle tai loukkauksen kohteeksi joutuneille. Muut tilanteet, joissa ilmoitusta rekisteröidyille ei vaadita, on määritelty tietosuoja-asetuksen 34 artiklan 3 kohdassa. Tietosuoja-asetuksen mukaan tietoturvaloukkauksesta ei tarvitse ilmoittaa rekisteröidyille henkilökohtaisesti, jos rekisterinpitäjä on esimerkiksi tehnyt asianmukaisia suojaustoimenpiteitä ja jatkotoimenpiteitä, joilla se pystyy varmistamaan, että korkea riski ei todennäköisesti toteudu. Rekisterinpitäjän on dokumentoitava sisäisesti kaikki tietoturvaloukkaukset.
Lue lisää tietoturvaloukkauksista, riskin arvioinnista ja ilmoitusvelvollisuudesta
Esimerkiksi seuraavissa terveydenhuollon tilanteissa ilmoitusta ei tarvitse tehdä:
- Luotettavalle vastaanottajalle, jonka kanssa on yhteistyösuhde, on jaettu potilastietoa samalla osastolla. Vastaanottajalla on lakisääteinen salassapitovelvollisuus ja hän käsittelee tietoa työtehtävissään. Tilanteessa ei ole syytä epäillä, että tietoja on käytetty tai tullaan käsittelemään lainsäädännön tai rekisterinpitäjän ohjeiden vastaisesti.
- Järjestelmävian takia potilaan (A) lähete toimenpiteeseen oli tallentunut hetkellisesti väärän potilaan (B) tietoihin. Vika oli paikallinen, eikä väärä tieto kulkeutunut Kantaan. Lähetteen vastaanottava laboratorio oli tietoinen viasta. Vika sekä tietojen eheys korjattiin nopeasti. Potilaille ei aiheutunut haittaa.
-
Rekisterinpitäjän työntekijä lähettää suojaamattomassa sähköpostissa henkilötietoja. Ei ole syytä epäillä, että tiedot olisivat päätyneet sivulliselle.
-
Tietoturvaloukkaus on kohdistunut ainoastaan kuollutta henkilöä koskeviin tietoihin.
-
Järjestelmätoiminnon vuoksi pääkäyttäjällä on ollut mahdollisuus nostaa käyttöoikeustasonsa liian laajaksi, jolloin hän olisi voinut saada pääsyn tehtäviensä kannalta tarpeettomiin tietoihin. Rekisterinpitäjä pystyi teknisin toimin varmistumaan siitä, että pääkäyttäjä ei ollut nostanut käyttöoikeustasoaan.
-
Rekisterinpitäjä on tallentanut salatun varmuuskopion asiakastietoja sisältävästä arkistosta USB-muistitikulle. Muistitikku varastetaan tiloihin tehdyssä murrossa. Tiedot on salattu uusimman tekniikan mukaisella algoritmilla, tiedoista on varmuuskopiot, yksilöllinen salausavain ei vaarannu ja tiedot voidaan palauttaa ajoissa.
-
Tekstiviesti ajanvarauksesta on mennyt väärään puhelinnumeroon. Viesti ei sisältänyt tunnisteellisia henkilötietoja, eikä myöskään terveyttä koskevia tietoja.
-
Apteekin työntekijä antoi asiakkaalle B asiakirjan, jossa oli nähtävillä asiakkaan A nimi ja henkilötunnus. Asiakas B huomasi tapahtuneen heti, ja palautti asiakirjan välittömästi apteekin työntekijälle.
-
Potilas A ilmoitti terveydenhuoltoon, että hänen potilastietoihinsa oli kirjattu toisen henkilön (B) potilastietoja. A ei pysty kirjattujen tietojen perusteella päättelemään, kuka B on. Kun asia varmistui, B:n tiedot poistettiin A:n potilastiedoista ja kirjattiin tiedot B:n omiin potilastietoihin. A:n hoitoon liittyviä ratkaisuja ei ehditty tehdä henkilöä B koskevien tietojen perusteella, eikä tapahtuneella ollut vaikutusta B:n hoitoon.
-
Potilastietoja sisältänyt kirje on rikkoutunut lajittelukeskuksessa. Posti on toimittanut lähettäneelle organisaatiolle tiedon rikkoutuneesta kirjeestä sekä palauttanut kirjeen. Potilastietoja on voinut päätyä Postin työntekijöiden nähtäville.
-
Kysymyksessä on todennäköisesti niin sanottu luotettava vastaanottaja. Rekisterinpitäjä voi kohtuudella odottaa, ettei osapuoli lue tai käytä mahdollisesti paljastuneita tietoja, vaan noudattaa olemassa olevia ohjeita palauttaa ne. Jos tapauksella on mahdollisen luottamuksellisuuden menettämisen ohella muita vaikutuksia rekisteröidylle, huomioidaan nämä kaikki riskiarvion tekemisessä. Jos tapahtuma esimerkiksi vaikuttaa haitallisesti rekisteröidyn hoidon toteutumiseen, on riski rekisteröidylle todennäköisesti korkea.
-
Työterveyshuolto
Laskun maksajan eli työnantajan tulee voida varmistua siitä, että työterveyshuollon palveluita on käyttänyt työnantajan työntekijä ja että annetut palvelut kuuluvat työterveyshuoltosopimuksen piiriin. Potilastiedot ovat kuitenkin salassa pidettäviä. Työterveyspalveluja koskevassa sopimuksessa on syytä riittävän yksiselitteisesti määritellä, miten laskutusmenettelyissä huomioidaan salassapitovaatimukset.
Tietosuojavaltuutettu suosittelee, että laskutuksen oikeellisuuden varmistamiseksi työterveyshuolto liittää laskuun erillisen nimilistan niistä työntekijöistä, jotka ovat laskutusjaksolla käyttäneet työterveyshuoltopalveluja, ja erillisen lukumääräisen listauksen niistä toimenpiteistä, joita on tehty (esim. 5 kpl verenpaineen mittauksia tai tyyppitietoina lääkärikäynti- tai laboratoriokäyntilukumäärät). Toimenpidetietojen ei tulisi olla yhdistettävissä tiettyyn työntekijään. Laskutuskauden pidentäminen on perusteltua, jos vain yksi tai muutama työntekijä on käyttänyt työterveyshuoltopalveluja laskutuskaudella ja tiettyä henkilöä koskevat tiedot ovat yhdistettävissä toimenpiteisiin.
Vaihtoehtoisesti työterveyshuolto voi luovuttaa työntekijää koskevat tiedot siten, että laskusta ilmenee vain suoritteen tyyppitieto (esim. lääkärikäynti, laboratoriokäynti) siten, että se ei paljasta sairauden tai ongelman laatua. Myös vastaanottokäynnin päivämäärä voidaan merkitä, jos se on laskutuksen oikeellisuuden varmistamiseksi sekä työsuhteen oikeuksien ja velvollisuuksien kannalta tarpeellinen tieto.
Jos työnantaja luovuttaa lääkärintodistuksen henkilöstöhallinnon rekisteristä työterveyshuoltoon, kyseessä on tietojen käyttötarkoituksen muutos ja tietojen luovuttaminen rekisterinpitäjältä toiselle rekisterinpitäjälle. Työnantaja saa luovuttaa työterveyshuoltoon työntekijän luovuttaman, tämän omaa työkykyä koskevan lääkärintodistuksen tai -lausunnon, jollei työntekijä ole kieltänyt luovuttamista. Muuten salassa pidettäviä tietoja voidaan luovuttaa vain rekisteröidyn yksilöidyn suostumuksen perusteella. Työntekijää täytyy informoida etukäteen oikeudesta vastustaa tietojen käsittelyä.
Keskustelut hoidon yhteydessä
Tietosuojalainsäädäntö ei rajoita potilaan ja terveydenhuollon henkilöstön välisiä suullisia keskusteluja. Keskusteluihin sovelletaan vaitiolovelvollisuutta koskevia sääntöjä. Salassapidettäviä potilastietoja käsittelevät henkilöt ovat vaitiolovelvollisia, eivätkä he saa paljastaa potilastietoja sivullisille.
Potilaan hoitaminen terveyskeskuksessa, sairaalassa tai muussa sairaanhoidon toimintayksikössä asettaa tiettyjä rajoituksia potilaan yksityiselämälle. Toimintayksikön yleisen järjestyksen ja turvallisuuden ylläpitäminen tai esimerkiksi muiden henkilöiden vaatimukset eivät kuitenkaan saa johtaa potilaan yksityisyyden suojan unohtamiseen. Potilaan yksityiselämän tarpeet tulisi pyrkiä ottamaan huomioon esimerkiksi erilaisin järjestelyin vierailijoiden vastaanottoa varten ja järjestämällä mahdollisuus yksityiseen keskusteluun.
Tietosuojavaltuutetun toimisto ei ota kantaa siihen, minkälaisia resursseja tai esimerkiksi tilajärjestelyjä edellytetään, jotta luottamukselliset keskustelut ovat mahdollisia. Voit olla yhteydessä terveydenhuollon organisaation potilasasiamieheen tai tietosuojavastaavaan, jos yksityisyyden suojasta ei mielestäsi ole huolehdittu riittävästi.