Pitäisikö olla huolissaan

Henkilöiden profilointi heidän terveydentilatietojensa perusteella nousi hetkessä valtakunnalliseksi keskustelunaiheeksi, kun Helsingin Sanomat uutisoi 10.4. THL:n suunnitelmista jokaisen sote-asiakkaan yksilöllisen riskikertoimen laskemisesta. Sote-valmistelun vastuuministeri kiirehti pari päivää myöhemmin kiistämään henkilöiden pisteyttämisen, vaikka juuri tällaiseen kokeiluun THL oli saanut tutkimusluvan. Hän myös kertoi eduskunnalle, ettei yksittäisten henkilöiden profilointitietoja ole tarkoitus luovuttaa terveyspalvelujen tuottajille.

Mielenkiintoiseksi asian tekee se, että eduskunnan käsiteltävänä on parhaillaan myös laki sosiaali- ja terveydenhuollon asiakastietojen toissijaisesta käytöstä (ns. toisiolaki). Olin tuosta esityksestä ensin perustuslakivaliokunnassa asiantuntijana sekä sitten sosiaali- ja terveysvaliokunnassa maaliskuun alussa kuultavana perustuslakivaliokunnan lakiesitykseen edellyttämistä muutoksista. Toisiolaki antaisi terveyspalvelujen tuottajalle mahdollisuuden myös palvelun käyttäjien profiloimiseen. Toin ongelman esiin sekä perustuslakivaliokunnassa että sosiaali- ja terveysvaliokunnassa.

Lausuntooni sosiaali- ja terveysvaliokunnalle kirjoitin asiasta seuraavasti: Toisiolakia koskevan hallituksen esityksen 41 § koskee tietojohtamista. Säännösehdotuksen mukaan sosiaali- ja terveydenhuollon palveluntuottajalla on oikeus käsitellä ja yhdistellä tunnisteellisesti asiakastietoja, jotka ovat syntyneet sen omassa toiminnassa tai ovat sen omiin rekistereihin tallennettuja, jos se on välttämätöntä palvelunantajan vastuulla toteutettavan palvelutoiminnan tuottamista, seurantaa, arviointia, suunnittelua, kehittämistä, johtamista ja valvontaa varten. EU:n tietosuoja-asetuksessa on runsaasti määräyksiä koskien henkilön profilointia häntä koskevien tietojen perusteella. Tietosuoja-asetus takaa rekisteröidylle oikeuden olla joutumatta automaattisen päätöksenteon kohteeksi arkaluonteisia tietoja sisältävän profiloinnin perusteella ja oikeuden vastustaa profiloinnin perusteella tehtävää suoramarkkinointia. Toisiolain tietojohtamista koskeva määrittely on hyvin laaja. Toisiolaki ei kuitenkaan toista EU:n tietosuoja-asetuksen profilointia koskevia rajoituksia, vaan tavallaan asettuu näiden rajoitusten yläpuolelle, vaikka tältä osin tietosuoja-asetus ei anna kansallista liikkumavaraa.

Oma suositukseni lainsäätäjälle oli, että jos terveyspalvelujen järjestäjälle tai tuottajalle annetaan oikeus profiloida potilaita, tulee lainsäädännössä tarkasti määritellä, mitkä ovat tällaisen profiloinnin periaatteet ja rajoitukset ja millainen oikeusturva profiloinnin kohteeksi joutuneelle henkilölle annetaan.

Toisiolaki sekä suunnitelmat henkilötason riskikertoimien laskemisesta arkaluonteisten henkilötietojen perustella ovat uusia esimerkkejä hoitosuhteen luottamuksellisuuden murenemisesta Suomessa. On varmasti syytä sanoa jo ääneen, että potilastietojen salassapito Suomessa on heikolla tasolla eurooppalaiseen standardiin verrattuna ja ehkä jo heikointa koko Euroopassa.

Esimerkiksi poliisin mahdollisuus saada potilastietoja on Suomessa poikkeuksellisen laaja. Ammattihenkilöllä on velvollisuus jo esitutkinnassa kertoa potilastietoja, jos poliisi tutkii ns. ylitörkeää rikosta. Aiemmin tietojen kertomiseen tarvittiin tuomioistuimen päätös. Lakisääteisiä vakuutuksia myöntävällä vakuutusyhtiöllä on tiedonsaantioikeus potilastiedoista. Vakuutusyhtiö arvioi itse, mitkä tiedot ovat välttämättömiä vakuutusasian käsittelyn kannalta. Lastensuojeluilmoituksen ilmoituskynnys on hyvin alhainen. Terveydenhuollon ammattihenkilöllä on ilmoitusvelvollisuus, jos hän esim. arvioi, että lapsen sairauden hoito ei vanhempien toimesta tapahdu asianmukaisesti. Kanta-arkiston käyttö on pakollista kaikille terveydenhuollon toimijoille. Vaikka potilas antaa käyttöönottovaiheessa suostumuksensa sähköisen arkiston käyttöön, hajaantuvat tiedot kuin lehdet tuulessa eri terveydenhuollon toimijoille, jos potilas ei tietojen levitystä ennakolta kiellä. Soten monituottajamalli vielä moninkertaistaa arkaluonteisten tietojen liikuttelun eri toimijoiden välillä. Sokerina pohjalla ovat hallituksen esitykset toisiolaiksi taikka biopankkilaiksi. Uuden biopankkilakiesityksen mukaan käynti laboratoriotutkimuksessa antaa oikeuden käyttää näytettä ja tietoja tutkimustarkoituksissa, jos potilas ei huomaa tätä kieltää. Vaikka yksittäiset säännökset potilastietojen luovutuksesta voivat sinänsä olla perusteltuja, ei tietojen käytön kokonaisuus enää turvaa luottamuksellisten tietojen salassapitoa.

Euroopan unionin yleisen tietosuoja-asetuksen määräykset arkaluonteisten henkilötietojen käsittelystä ovat tiukempia, kuin nykyiset kansalliset säännöksemme. Sipilän hallitus on lainvalmistelussaan etsinyt eurooppalaisesta sääntelystä porsaanreikiä, joilla se voisi kiertää tietosuoja-asetuksessa säädettyä henkilötietojen käyttötarkoitussidonnaisuutta ja arkaluonteisten henkilötietojen käsittelykieltoa. Lisäksi esityksessä tietosuoja-asetusta täydentäväksi lainsäädännöksi esitetään, että julkisen sektorin toimijaan ei ollenkaan kohdistettaisi tietosuoja-asetuksen mukaisia sanktiomaksuja. Ymmärrettävästi tietosuojavaltuutettu ei ole ollut tästä ehdotuksesta samaa mieltä.

Facebookin osakekurssi on Yhdysvalloissa laskenut 18 % eli yhtiön arvosta katosi 80 mrd USD, kun tiedot käyttäjien henkilötietojen käyttämisestä poliittiseen profilointiin tulivat julki. Sijoittajat ennakoivat joukkokanteita, joilla haetaan miljardiluokan vahingonkorvauksia yksityisyyden loukkaukseen syyllistyneeltä yhtiöltä. Vaikka Facebook-käyttäjät ovat antaneet suostumuksensa tietojensa luovuttamiseen mainostajille, eivät he sentään ole antaneet suostumustaan poliittiseen profilointiin. Suomessa potilastietojen luovuttamiseen ei Sipilän hallituksen esitysten perusteella kohta ollenkaan pyydetä suostumusta, vaan henkilölle vain jätetään mahdollisuus kieltää luovutus joissain tapauksissa. Kuinka moni kielto-oikeutta osaa käyttää on sitten toinen juttu. Ehkä potilaan tietosuojan murenemisesta pitäisi jonkun jo olla huolissaan. 

0
LasseLehtonen
Sitoutumaton Espoo

Toimin Helsingin ja Uudenmaan sairaanhoitopiirin diagnostiikkajohtajana ja Helsingin yliopiston terveysoikeuden professorina. Olen osallistunut terveydenhuollon kehittämiseen mm. Sosiaali- ja terveysministeriön asettamassa sote-uudistuksen valmistelun ja toimeenpanon tuen asiantuntijaryhmässä sekä Euroopan unionin komission eurooppalaisen terveydenhuollon kehittämisen asiantuntijaryhmässä (EXPH). Kuulun myös Eroon koronasta -tutkijaryhmään. Jaan tässä blogissa tietoa ja omia ajatuksiani suomalaisen terveydenhuollon kehitysnäkymistä.

Ilmoita asiaton viesti

Kiitos!

Ilmoitus asiattomasta sisällöstä on vastaanotettu