16 kesäkuun, 2023 |

Kesäkuun lopussa voimaan astuva potilastietojen käyttöoikeusasetus

 

Potilastietojen käyttöoikeusasetus astuu voimaan 30.6.2023

Kesäkuun lopussa astuu voimaan sosiaali- ja terveysministeriön asetus käyttöoikeudesta asiakastietoihin. Asetuksen vaikutukset kuntoutusalan yritysten käytännön toimiin on vielä toistaiseksi jäsentymättä. Vaikutukset ovat suurimpia yrityksiin, joissa on myös kuntoutustoiminnan lisäksi yleislääketieteen palveluita. Jokaiselle työntekijälle on silti määriteltävä uuden lain mukainen käyttäjäryhmä kun se on järjestelmän puolesta mahdollista.

Vaikutukset eivät sinänsä kuntoutusalalla ole maalta merelle vieviä, kun käyttäjäryhmiä on pääsääntöisesti kaksi: kuntoutusta tuottavat terapeutit ja potilashallintoa hoitavat vastaanottosihteerit. Käyttöoikeusmäärityksillä voi kuitenkin olla vaikutusta siihen, mitä tietoa kuntoutusyritykset saavat potilastiedon arkistosta itselleen näkyviin.

Käyttöoikeuasetuksesta on julkaistu myös viralliset soveltamisohjeet. Ohjeista on hyvä nostaa esille erityisesti kysymykset- ja vastaukset -osio (16). Asetusta ja ohjeistusta tullaan vielä täsmennyksillä päivittämään vuoden 2024 alussa voimaan tulevaan asiakastietolainsäädätöön liittyen.

Jokaisella käyttäjäryhmällä on hieman erilaisia asetuksen mukaisia rajauksia sen suhteen, mitä tietoja he saavat potilaista käsitellä. Näistä alla lisää.

Itse asetuksen voi lukea tästä linkistä.

Asetuksen suurin muutos on jako eri tehtäväalueisiin

Näitä eri tehtäviä ovat:

1) laaja-alaiset potilaan terveyspalvelujen järjestämisen ja toteuttamisen työtehtävät, joita ovat potilaan terveydentilan, toimintakyvyn ja hoidon tarpeen arviointi, diagnostiikka, potilaan terveyspalvelujen järjestäminen sekä hoito ja kuntoutus, konsultaatio sekä terveydenhuollon todistusten ja viranomaispäätösten antaminen;

2) rajatut potilaan terveyspalvelujen toteuttamisen työtehtävät, joita ovat potilaan terveydentilaan tai terveysongelmaan liittyvät hoito-, kuntoutus- ja tutkimustehtävät tai muut potilaalle laaditun suunnitelman mukaiset toimenpiteet;

3) terveyspalvelujen toteuttamisen tuen työtehtävät;

4) lääkkeiden käytön arviointiin, toimittamiseen ja käytön opastukseen liittyvät työtehtävät; sekä

5) potilashallinnon tehtävät.

Näillä on merkitystä ennen kaikkea moniammatillisessa organisaatiossa, joissa on sekä laaja-alaisesti potilaan terveyspalveluita järjestäviä ammattilaisia kuten lääkäreitä ja sairaanhoitajia, sekä myös ”rajatusti” potilaalle terveyspalveluja antavia työtehtäviä, kuten terapeutteja.

Kuntoutuspalveluiden tietojen käyttöoikeus rinnastuu ”rajatun terveyspalvelun” eli kohdan 2) mukaisiin tehtäviin. Kuntoutuksessa ja ”rajatuissa tehtävissä” voidaan siis käsitellä seuraavia potilastietoja:

Rajatussa terveyspalvelun toteuttamisen työtehtävässä ja 3 §:n 11 kohdan tarkoittamissa kuntoutuspalveluissa ammattihenkilöillä ja muilla asiakastietoja käsittelevillä henkilöillä on käyttöoikeus seuraaviin tietoihin:

1) potilaan perustiedot;

2) omaa tehtävää koskevat pyynnöt, lähetteet sekä palvelua koskevat tilaukset tai vastaavat;

3) terveys- ja hoitosuunnitelma ja ammattiryhmää, erikoisalaa tai antamaansa palvelua koskevat hoito- ja kuntoutussuunnitelmat;

4) omaa ammattiryhmää, erikoisalaa tai palvelua koskevat ajanvaraus- ja käyntitiedot;

5) omaa ammattiryhmää, erikoisalaa tai palvelua koskevat potilastiedot; sekä

6) potilasyhteenveto sisältäen keskeiset terveystiedot (diagnoosit, riskitiedot, lääkitys, kuvantaminen, laboratoriotulokset, toimenpiteet, rokotukset, mittaukset, toimintakyky).

Koska suurin osa Kuntoutusyrittäjien jäsenistöstä antaa vain kuntoutuspalveluita ja työntekijöiden tehtävät ovat (potilashallintoa lukuun ottamatta) pääosin samat, on asetuksen vaikutus jäsenkentälle jäämässä näillä näkymin suhteellisen vähäiseksi. Jokaiselle työntekijälle on silti määriteltävä uuden lain mukainen käyttäjäryhmä kun se on järjestelmän puolesta mahdollista. Kuntoutusyrittäjät suosittaa seuraamaan oman potilastietojärjestelmätuottajan viestintää aiheesta.

Uusi tehtävänkuva: potilashallinto

Potilashallinto tarkoittaa esimerkiksi ajanvaraussihteereitä ja muita tahoja, jotka eivät hoida asiakkaita, mutta jotka hoitavat vaikkapa laskutusta ja ajanvarausta. Näitä tietoja potilashallinnon työntekijät ovat voineet käsitellä tehtävänsä edellyttämässä laajuudessa jo ennen asetuksen voimaantuloakin. Nyt potilashallinnon tehtävät on säädelty, eli ajanvaraus- ja laskutustyötä tekeville täytyy avata tämän uuden luokittelun mukaiset käyttäjätunnukset. Käyttöoikeudet potilashallintoon ovat asetuksen mukaan seuraavat:

Potilashallinnon tehtävässä kaikissa tämän asetuksen 3 §:n mukaisissa palveluissa ammattihenkilöillä ja muilla asiakastietoja käsittelevillä henkilöillä on käyttöoikeus seuraaviin tietoihin:

1) potilaan perustiedot, hoitotahto ja elinluovutustahto;

2) palvelunantajan omat ajanvaraus- ja käyntitiedot;

3) palvelunantajan omat pyynnöt, lähetteet, palvelua koskevat tilaukset ja vastaavat;

4) laskutukseen liittyvissä tehtävissä laskutusperusteena käytettävät palvelunantajan omat potilastiedot; sekä

5) muissa potilashallinnon tehtävissä tehtävän edellyttämät palvelunantajan omat potilastiedot.

Muut työtehtävät ja opiskelijat

Asetuksen 18 §:ssä on säädetty myös opiskelijoiden, IT-tuen henkilöstön, arkistotoimen ja muistutusten kanteluiden laadunvalvonnan ja asiakaspalautteiden käsittelyyn liittyvistä tehtävistä. Näille kullekin annetaan myös tarpeitaan vastaavat käyttäjätunnukset, joiden käyttöoikeuksia on asetuksen lopun 19 – 22 §:ssä säädetty.

Opiskelijoille voidaan harjoittelujakson ajaksi antaa heidän työtehtävää ja toteutettavaa palvelua vastaavat käyttöoikeudet heidän toimiessaan sosiaali- tai terveydenhuollon ammattihenkilön ohjauksessa.

Tarpeettoman laajoja käyttöoikeuksia ei ole saanut ennenkään olla, mutta nyt asetus määrittää täsmällisempiä rajoja organisaatioiden puolesta

Sinänsä käyttöoikeuksien minimointi on tietojenkäsittelyn minimoinnin periaatteen kautta  kuulunut EU:n yleisen tietosuoja-asetuksen velvoitteisiin jo monta vuotta. Käytännössä tämä tarkoittaa sitä, että henkilöille ei jaeta sellaisia käyttöoikeuksia, joita he eivät työssään tarvitse.

Tämä on voinut tarkoittaa esimerkiksi sitä, että toisen toimipisteen asiakkaisiin ei työntekijällä ole käyttöoikeutta, ellei hänen työskentelynsä nimenomaisesti edellytä pääsyä niihin tietoihin. Tämä on rekisterinpitäjältä ja henkilötietojen käsittelijältä jatkuvaa tasapainottelua ja hienosäätöä. Myös käyttöoikeuksien ylläpito on tärkeää, jotta yhdelle työntekijälle ei esimerkiksi toimipisteiden siirron myötä jää tarpeettoman laajoja käsittelyoikeuksia.

Ensisjainen este henkilötietojen asiattomalle käsittelylle on kuitenkin aina ammattihenkilön saama perehdytys ja koulutus. Tiukinkaan käyttöoikeuksien rajaaminen ei auta, jos ammattihenkilö ei itse rajaa avaamiaan potilastietoja vain työssään tarvitsemiin tietoihin. Laillisen potilastietojen käsittelyn äärimmäisenä vastinparina on henkilötietojen tirkistely, joka on rikoslain 38 luvun 9 §:ssä rangaistavaksi säädetty tietosuojarikos. Näiden suorittaminen on terveydenhuollossa suhteellisen harvinaista, sillä lokitietoja keräävässä potilastietojärjestelmässä niistä jää lähes aina kiinni.

Kantava periaate on ollut ja on edelleen se, että kaikkea työssä tarvittavaa potilastietoa saa ja myös pitää käsitellä. Tämä on läheisessä yhteydessä henkilötietojen käyttötarkoitussidonnaisuuteen, joka suomeksi tarkoittaa sitä, että potilastietoja käytetään vain suoraan potilaiden hoitoa palvelevien tehtävien suorittamiseen, ja jonka rikkominen on säädetty rangaistavaksi yllä linkatulla tietosuojarikoksella.

Potilastietojen lokivalvonnan yleisiä periaatteita

Asiakastietolain 5 §:n mukaan palveluntuottaja vastaa omassa organisaatiossaan henkilötietojen käsittelyn aktiivisesta ohjauksesta ja valvonnasta. Lokivalvonta on yksi työkalu henkilötietojen käsittelyn valvontaan. Sillä varmistetaan, että potilastietoja on käsitelty vain siihen tarkoitukseen mihin ne on kerätty, eli asiakirjojen avaamiseen on ollut hoitoon liittyvä syy ja henkilötietojen käsittely on ollut alkuperäisen käyttötarkoituksen mukaista (käyttötarkoitussidonnaisuusvalvonta).

Lain 25 §:ssä on säädetty tarkemmin lokitietojen valvonnasta ja 28 §:ssä on annettu vastaavalle johtajalle oikeus selvittää tietoja tarvittaessa myös Kelan Kanta-palveluista.

Käytännössä lokivalvontaa voidaan toteuttaa riskiperusteisesti, esimerkiksi kun:

  • Asiakas epäilee henkilötietojensa väärinkäyttöä
  • Muun epäilyttävän käytöksen tai epäillyn väärinkäytön selvittelyn yhteydessä selvitetään (myös) epäilyyn osallisten lokitietoja
  • jos joku henkilökunnasta sitä pyytää
  • Pienemmässä määrin lokivalvontaa voidaan tehdä satunnaisotannalla tai tarkasteltaessa/auditoitaessa yksikön tai työntekijän toimintaa muuten, esimerkiksi työsuhteen alussa tai vastuualueiden muuttuessa