1.7.2010

ASIA
Tietosuojavaltuutetun toimistolta pyydettiin kannanottoa kysymykseen koskien sähköpostin ja tekstiviestien käyttämistä perusterveydenhuollossa ja sosiaalipalveluissa, lähinnä asiakkaan/potilaan ja työntekijän välisessä kommunikoinnissa, sekä tietojen siirrossa.

TIETOSUOJAVALTUUTETUN OHJAUS
Henkilötietolain 32 §:n 1 mom. suojaamisvelvoitteen mukaisesti rekisterinpitäjän tulee toteuttaa tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä. Toimenpiteiden toteuttamisessa on otettava huomioon käytettävissä olevat tekniset mahdollisuudet, toimenpiteiden aiheuttamat kustannukset, käsiteltävien tietojen laatu, määrä ja ikä sekä käsittelyn merkitys yksityisyyden suojan kannalta. Sen, joka itsenäisenä elinkeinonharjoittajana toimii rekisterinpitäjän lukuun tai jolle rekisterinpitäjä luovuttaa tietoja teknisen käyttöyhteyden avulla, on ennen tietojen käsittelyyn ryhtymistä annettava rekisterinpitäjälle asianmukaiset selvitykset ja sitoumukset sekä muutoin riittävät takeet henkilötietojen suojaamisesta 1 momentissa tarkoitetulla tavalla.

Tietosuojavaltuutettu on aikaisemmassa ohjauskäytännössään todennut, että käsiteltäessä henkilörekisteriin kuuluvia henkilötietoja automaattisen tietojenkäsittelyn avulla, esim. lähettämällä sähköpostitse henkilötietoja, tulee edellä mainitut huolellisuus- ja suojaamisvelvoitteet sekä tietoturva ottaa riittävällä tavalla huomioon. Ohjauskäytännössä on todettu myös, että esim. arkaluonteisia tai lain mukaan salassa pidettäviä (esim. potilastiedot ja sosiaalihuollon tiedot) henkilötietoja ei tulisi lähettää suojaamattomassa sähköpostiyhteydessä. Jo tieto potilassuhteesta voidaan katsoa arkaluonteiseksi tiedoksi. Näin ollen suojaamattoman sähköpostin käyttö potilastietojen lähettämiseen ei lähtökohtaisesti voida pitää tietosuojavaatimukset täyttävänä.

Suojaamattoman sähköpostiyhteyden kautta voidaan kysyä yleistä neuvontaa esim. siitä, millä edellytyksillä ja miten jotain etuutta tai palvelua voi hakea. Tällaiseen yleiseen tiedusteluun voi myös vastata sähköpostitse. Asiakkaan ei ole suositeltavaa lähettää Internet-sähköpostin kautta arkaluonteisia henkilötietoja. Jos asiakas lähettää esimerkiksi aikavarauksen sähköpostilla, siihen tulee vastata puhelimella tai kirjallisesti. Sama koskee myös muita tiedusteluja, joihin ei voida vastata yleisellä neuvolla paljastamatta asiakkaan nimeä tai muita asiakastietoja. Viranomainen tai muu terveydenhuollon järjestäjä ei saa myöskään oma-aloitteisesti lähettää tavallisessa suojaamattomassa sähköpostissa asiakkaan nimeä tai muita terveydenhuollon asiakkuuden paljastavia tietoja asiakkaalle itselleen tai muille tahoille.

Eduskunnan oikeusasiamiehen ratkaisun 12.11.2009 Dnro 704/4/08 mukaan henkilötietolain 32 §:ssä on rekisterinpitäjälle säädetty velvollisuus muun muassa riittävin teknisin toimenpitein suojata henkilötiedot sivullisilta. Tämä velvollisuus koskee myös asiakastietojen lähettämistä sähköpostitse. Tietosuojadirektiivin 17 artiklassa on jäsenvaltioille asetettu velvollisuus säätää henkilötietojen suojaamisesta erityisesti, jos käsittely muodostuu tietojen siirtämisestä verkossa. Henkilötietolakia koskevassa hallituksen esityksen perusteluissa (HE 96/1998 S.66) on kyseisen säännöksen osalta todettu muun muassa, että tietojen siirto on varmistettava erityisin toimenpitein, esimerkiksi siten, että siirto ei aiheuta muutoksia tietojen sisällössä ja että tietoja ei häviä siirron yhteydessä. Rekisterinpitäjä ei voi poiketa henkilötietojen suojaamisvelvollisuudestaan rekisteröidyn suostumuksella. Tietojen suojaamisvelvollisuudesta ja salassapitovelvollisuudesta seuraa, että terveydenhuollon viranomainen voi lähettää asiakkaalle viestejä vain, mikäli sillä on käytössään sähköposti, jossa on riittävän vahva salaus ja osapuolet voidaan tunnistaa. Salassapitosäännökset ja henkilötietolain mukainen suojaamisvelvoite eivät mahdollista salassa pidettävien päätös- ja muiden tietojen lähettämistä tavallisessa suojaamattomassa Internet-sähköpostissa siitäkään huolimatta, että siihen olisi potilaan suostumus.

Sosiaali- ja terveysministeriön 10.5.2010 "Sähköpostin käytöstä terveydenhuollossa" s. 3 ohjeen mukaan terveydenhuollossa (ja erityisesti käsiteltäessä tunnisteellisia potilastietoja) turvallisuusvaatimukset korostuvat. Käsiteltävä tieto on arkaluonteista, sen oikeellisuus ja muuttumattomuus ovat tärkeitä ja lisäksi myös tieto saattaa olla aikakriittistä. Tämän takia turvallisuusvaatimukset on otettava erityisesti huomioon. Keskeisiä ratkaistavia ongelmia ovat:

• luottamuksellisuuden turvaaminen: esim. viestin välitys vain luotettavassa verkossa, salaus

• muuttumattomuuden turvaaminen: esim. kuittaukset, uudelleenlähetykset

• palvelutason turvaaminen: esim. viesti lähetetään välitysjärjestelmään, joka ohjaa sen paikalla olevalle henkilölle käsiteltäväksi

• tiedonvaihdon dokumentointi: esim. lähetys ja vastaanotto potilastietojärjestelmän kautta

Sähköpostin käyttö terveydenhuollon toimijoiden kesken taikka potilaalle suunnatussa viestinnässä ei ole suositeltavaa silloin kun viesti sisältää arkaluonteista salassa pidettävää potilas- ja hoitotietoa. Ammattihenkilöiden keskinäisessä tiedonvaihdossa tunnisteellista terveystietoa voidaan käsitellä, mikäli edellä mainitut ongelmat on ratkaistu. Lähtökohtaisesti salassa pidettävää luottamuksellista tietoa ei saa välittää sähköpostilla edes potilaan nimenomaisella suostumuksella.

Suojaamattomaan sähköpostiin verrattuna matkapuhelimen tekstiviestiä voidaan tietosuojavaltuutetun käsityksen mukaan pitää teknisesti turvallisempana vaihtoehtona. Arvioitaessa tekstiviestin turvallisuusominaisuuksia lainsäännösten valossa tulee ottaa huomioon ainakin seuraavat riskit ja seikat:

• tekstiviestin lähettäjäpään tietosuojariskit,

• tekstiviestin välittämisen tietosuojariskit ja

• tekstiviestin vastaanottajapään tietosuojariskit

Tekstiviestin lähettäjäpäässä matkapuhelinnumeroiden hallinnointi on oltava suunnitelmallista, asiallisesti perusteltua ja huolellista eli tekstiviestit on kohdennettava potilaan kanssa sovittuun matkapuhelinnumeroon. Numeron valinta- ja näppäilyvirhe on lähettäjän vastuulla. Potilasta on informoitava tekstiviestin välityksellä tapahtuvasta ajanvaraukseen liittyvien tietojen ilmoitusmenettelystä. Potilaan ja lääkärin välinen tekstiviestivaihto on yhtä luottamuksellista tietoa kuin muukin lääkärin ammatissaan saama tieto, ja lääkäri on osaltaan vastuussa tiedon pysymisestä luottamuksellisena.

Tietosuojavaltuutetun käsityksen mukaan viestin välitys lähettäjältä vastaanottajan/potilaan matkapuhelimeen on henkilötietolain 32 §:n mukaisesti riittävästi sivullisilta suojattu ja lisäksi mm. teleoperaattorin työntekijöitä koskevat sähköisen viestinnän tietosuojalain (516/2004) mukaisesti vaitiolovelvollisuussäännökset. Lisäksi menettelyn kokonaisarviointiin vaikuttaa, että viestin vastaanottaja/potilas on käyttänyt itsemääräämisoikeuttaan pyytäessään ajanvaraukseen liittyvistä tiedoista ilmoitusta tekstiviestillä matkapuhelimeensa. Tekstiviestipalvelun käyttäminen terveydenhuollossa edellyttää potilaan suostumusta.

Tietosuojavaltuutetun käsityksen mukaan, kun tekstiviesti on tullut vastaanottajalle/potilaalle, ei tekstiviestin hallinnointi ja suojaaminen ole enää lähettäjän eikä viestin välittäjän eli teleoperaattorin vastuulla, vaan lähinnä potilaan vastuulla, miten hän matkapuhelintaan ja siihen tulleita tekstiviestejä hallinnoi ja säilyttää sivullisilta suojassa. Potilaan ja lääkärin välinen tekstiviestivaihto on kuitenkin yhtä luottamuksellista tietoa kuin muukin lääkärin ammatissaan saama tieto, ja lääkäri on näin ollen osaltaan vastuussa tiedon pysymisestä luottamuksellisena.

Henkilötietolain 32 §:n mukaisesti ja yleisen tietosuojaperiaatteen "suostumus ei syrjäytä tarpeellisuusvaatimusta" perusteella lähetettäessä tekstiviestiä tulisi lähettäjäpäässä kiinnittää huomiota tekstiviestin laatuun eli sisällön virheettömyyteen ja tarpeellisuuteen. Tekstiviestin ei tule sisältää käsittelyn tarkoituksen (ajanvaraukseen liittyvän tiedon) kannalta tarpeettomia tietoja, koska käsittelyn tarkoituksen kannalta tarpeettomia tietoja ei ole laillista käsitellä ei edes rekisteröidyn/potilaan suostumuksella. Näin ollen tekstiviestin sisältö tulisi rajoittaa, potilasturvallisuus huomioon ottaen, käsittelyn tarkoituksen kannalta välttämättömiin tietoihin. Kuten edellä olevista seikoista käy imi, pelkästään tekstiviestin kustannustehokkuus ei voi olla perusteluna henkilötietojen käsittelyn laillisuuden arvioinnissa.