syyskuu 12, 2022 |

Whatsapp ja kuntoutus – vaikea yhdistelmä

Whatsapp ja kuntoutus ovat resepti ongelmiin

Kuntoutusyrittäjien toimistolle tulee aika ajoin tiedusteluja Whatsapp -sovelluksen käyttömahdollisuuksista esimerkiksi ajanvaraukseen tai kuntoutukseen liittyvien tietojen vaihtoon asiakkaan ja yrityksen työntekijöiden välille. Yrittäjillä on usein jo arvaus oikeasta vastauksesta, kun kysymys koskee nimenomaisesti sitä, onko WhatsApp tähän käyttöön riittävän tietoturvallinen. Lyhyt vastaus tähän on, ettei se ole. Alle on asia on kerätty kysymysten ja vastausten muotoon.

Kysymys: täyttääkö WhatsApp EU:n yleisen tietosuoja-asetuksen vaatimukset henkilötietojen käsittelijästä?

Vastaus: Ei täytä. WhatsApp toimii pääosin yksityishenkilöiden ja WhatsApp Ireland Limited -nimisen yhtiön välisillä sopimuksilla, joissa ei sovita henkilötietojen käsittelystä EU:n yleisen tietosuoja-asetuksen 28 artiklan edellyttämällä tavalla.

Rekisterinpitäjänä olevalla kuntoutusyrityksellä ei ole mitään mahdollisuutta hallinnoida WhatsAppille tällä tavoin luovutettua informaatiota. Näin ollen WhatsAppin käyttö ei täytä henkilötietojen käsittelijöille asetettuja vaatimuksia, eikä WhatsApp itsessään väitä edes olevansa sellainen. Tämä yksistään estää WhatsAppin käytön terveydenhuollon työkaluna, koska WhatsAppin käyttö edellyttää tietojen luovuttamista WhatsAppin haltuun.

WhatsApp prosessoi eli käsittelee kaikkea siihen syötettyä dataa omien käyttäjäehtojensa mukaisesti. Kaikkea siihen syötettyä tietoa voidaan käyttää esimerkiksi yhtiön tai tämän yhteistyötahojen markkinointitarkoituksiin ja myös myydä eteenpäin. Juridisesti tilanne on siis lähempänä henkilötietojen luovutusta toisen käyttöön kuin toimeksiantoa. WhatsAppia voidaan pitää potilaslain tarkoittamana sivullisena, eli kyseessä voi olla jopa potilaslain mukainen salassapitorikkomus. On hyvä muistaa, että maksuttomissa tuotteissa, kuten WhatsAppissa myytävä tuote on yleensä käyttäjä itse tämän järjestelmään syöttämien henkilötietojen muodossa. Tämä ei sovi yhteen terveydenhuollon salassapitovelvollisuuden kanssa.

Kysymys: Mitä käytännön ongelmia siitä voi seurata, jos minä tai yritykseni työntekijät viestivät asiakkaille WhatsAppilla?

Vastaus: Käytännössä yleisimmät juristin pöydälle ilmestyvät ongelmat ovat johtuneet siitä, ettei työnantajalla tai toimeksiantajalla ole mitään välineitä hallinnoida käytyä keskustelua tai edes poistaa työntekijöiltä käytöstä kerran käyttöön otettua WhatsApp -yhteyttä. Koska WhatsAppin hallinnointiin riittää pelkän puhelinnumeron hetkellinenkin käyttö, voi työntekijä käyttää WhatsAppiin syötettyjä tietoja vielä työsuhteen jälkeenkin. Edes puhelinnumeron katkaiseminen ei estä WhatsAppin käytön jatkamista. Työntekijä saattaa käyttää WhatAppia myös henkilökohtaisessa laitteessaan.

Toinen käytännön riski on seuraamusmaksun, kansankielessä eräänlaisen euromääräisen sakon, saaminen tietosuojaviranomaisilta. Toimivaltainen viranomainen Suomessa on Tietosuojavaltuutetun toimisto, jonka seuraamuskollegio on tähän mennessä antanut huomautuksen WhatsAppin käytöstä siivousalan yritykselle. Samaisessa päätöksessä todetaan myös aiempaan päätökseen viitaten, että WhatsAppin käyttö terveydenhuollossa johtaa henkilötietojen luovuttamiseen EU:n ulkopuolelle. Arkaluontoisten terveystietojen siirtämisestä Euroopan Unionin ulkopuolelle ilman asiaankuuluvia sopimuksia ei selviä pelkällä huomautuksella. Päätöksessä huomautetaan myös, että pelkästään tieto terveydenhuollon asiakkuudesta on suojattava terveystieto. Näin ollen pelkän ajanvaraustiedon syöttäminen WhatsAppiin voi johtaa seuraamusmaksuun.

Kysymys: miten kuntoutusyritys voi suojautua näiltä ongelmilta?

Vastaus: Kuntoutusyrittäjien lakimiehen suositus on, että WhatsApp poistetaan kaikista yrityksen hallinnoimista laitteista. Henkilökuntaa on myös ohjeistettava, ettei asiakasviestintää tehtäisi henkilökohtaisilla laitteilla. Asiakkaita on nimittäin todella vaikea estää viestimästä WhatsAppilla, jos se on yrityksen käyttämiin laitteisiin edes asennettu. Työntekijät eivät saisi tietosuojavaltuutetun suosituksen mukaan myöskään käyttää asiakasviestintään omia välineitään.

Katkelma tietosuojavaltuutetun toimiston yllä viitatusta päätöksestä:

WhatsApp Messenger on puhelimen internetyhteyttä käyttävä pikaviestinpalvelu äly-
puhelimille. Palvelua käytetään tyypillisesti tekstiviestien tapaan. Tietosuojavaltuutettu
on katsonut aiemmassa, terveydenhuollon toimintaa koskevassa kannanotossaan
(dnro 3013/183/18), että WhatsAppsovelluksen käyttö johtaa asiakkaan henkilötieto-
jen tietojen siirtoon kolmansiin maihin, eikä tietosuojavaltuutettu suosittele sovelluksen
käyttöä ajanvaraukseen liittyvässä asiakasviestinnässä terveydenhuollon toimin-
nassa. Aiemmassa ratkaisukäytännössään tietosuojavaltuutettu on lisäksi katsonut,
ettei työntekijöitä tulisi tietoturvasyistä velvoittaa omien välineiden käyttöön (dnro
2290/41/12).

Jatkokysymys: miten asiakasviestintä tulisi sitten toteuttaa?

Vastaus: kysymys on perusteltu, mutta suoria vastauksia siihen on valitettavan vähän. Vakiintuneita asiakasviestinnän välineitä ovat lähinnä tavallisen puhelut. Toinen tyypillinen viestintätapa on erillinen suojattu sähköposti. Suojatun sähköpostin saa monesti integroitua myös yrityksen käyttämiin sähköpostijärjestelmiin.

Tyypillisesti kaikki tekstimuotoiset palvelut, jotka säilyttävät tietoa myöhemää lukua varten edellyttävät korkeampaa tietosuojan tasoa ja käytännössä myös käyttäjien kirjautumista. Tällaisiin palveluihin voidaan kirjautua esimerkiksi mobiilivarmenteilla, verkkopankkitunnuksilla, käyttäjätunnuksella ja salasanalla, kertakäyttölinkillä tai vaikkapa sormenjäljellä.

Teknisesti hieman heikompaa tietosuojan tasoa edellytetään usein sellaisilta palveluilta, joissa viestintä tapahtuu reaaliajassa, eikä keskustelu tallennu mihinkään myöhempää lukua tai katselua varten. Tyypiesimerkki tästä on yllä mainittu tavallinen puhelinsoitto. Toinen nykyaikainen esimerkki on videopuhelu yleisillä toimistosovelluksilla (yleisimpänä esimerkkinä ehkäpä Microsoft Officen Teams).  Kaikkein paras järjestelmä on terveydenhuollon asiakasviestintään suunnattu Valviran luokittelema potilastietojärjestelmä. Nämä ovat usein maksullisia.

Jopa tekstiviestit ovat WhatsAppia parempia tapoja ilmoittaa esimerkiksi ajan peruuntumisesta, mutta tekstiviesteillä viestimisellekin tavataan nykyään pyytää erikseen asiakkaan suostumus. Mistä päästäänkin viimeiseen kysymykseen.

Kysymys: Voinko pyytää asiakkaalta kirjallisen suostumuksen, jolla asiakas sitoutuu ja hyväksyy ne riskit joita WhatsAppin käyttöön liittyy?

Vastaus: Et voi, sillä EU:n tietosuoja-asetuksen mukaista rekisterinpitäjän tai henkilötietojen käsittelijän vastuuta ei voi ulkoistaa asiakkaalle itselleen. Asiakkaan tietojen julkaisemiseen voidaan pyytää suostumus, mutta huonoon tietosuojaan tai tietoturvaan ei voida ikinä pyytää etukäteistä suostumusta. Vastuu on ja säilyy henkilötietojen rekisterinpitäjällä eli hoidosta vastuussa olevalla yrityksellä. WhatsApp ja rekisterinpito ovat tällä hetkellä yksinkertaisesti liian vaikea yhtälö terveydenhuollossa.