Husin käyttämässä Apotti-potilastietojärjestelmässä on käyty läpi tietojenkäsittelytapahtumia ja selvitetty, mitkä niistä ovat henkilön työhön kuuluvia ja mitkä perusteettomia.
”Henkilöiden käyttöoikeudet ovat olleet työn edellyttämät, mutta he ovat käyttäneet oikeuksiaan väärin”, sanoo Husin hallintoylilääkäri Teppo Heikkilä.
Luvattomat katselut ovat tapahtuneet vuosina 2021–2023. Osa näistä työntekijöistä ei ole enää Husin palveluksessa.
Hus kertoo toimivansa tietoturvaloukkaustilanteissa Euroopan unionin tietosuoja-asetuksen eli GDPR:n ja tietosuojavaltuutetun toimiston ohjeiden mukaisesti. Hus tekee aina ilmoituksen tietosuojavaltuutetun toimistoon, tekee työnjohdolliset toimenpiteet tapauksen vakavuudesta ja laajuudesta riippuen sekä informoi tietoturvaloukkauksen kohteeksi joutuneita kirjeitse sitä mukaa kun tapausten yksityiskohtia saadaan selvitettyä.
”Kirjeessä kerromme asianomistajille mahdollisuudesta tehdä tutkintapyyntö poliisille. Tapauskohtaista harkintaa käytämme siinä, teemmekö Husissa tutkintapyynnön poliisille tai tiedotammeko tapahtuneesta julkisuuteen.”
Näin laajat tietoturvaloukkaukset ovat Husissa harvinaisia.
”On valitettavasti mahdotonta sanoa, tuleeko vastaavia jatkossa ilmi. Alkuvuodesta julkisuudessa olleen tapauksen jälkeen on ollut havaittavissa, että tietosuojaan liittyvät asiat ovat aikaisempaa enemmän sekä potilaiden että henkilöstön mielessä, mikä on ehdottomasti hyvä asia. Sähköisten järjestelmien etuna on, että tapahtumia voidaan tarvittaessa selvittää jopa vuosien päästä, kuten osassa näistä tapauksista.”
Hallintoylilääkäri Teppo Heikkilä korostaa, että jokainen tietoturvaloukkaus on todella valitettava ja on niistä pahoillaan. Hän on tyytyväinen siitä, että omavalvonta toimii.
”Mutta samalla tapauksissa on myös elementtejä, joista meidän on syytä ottaa opiksemme ja kehittää sekä tietosuojaan liittyviä käytäntöjämme että henkilöstön koulutusta.”
Lue lisää
Salassapito- ja vaitiolovelvollisuus terveydenhuollossa
Saako potilastietoja lukea mielenkiinnosta?
