Johdon asenne näkyy terveydenhuollon tietosuojatyön toteutumisessa; kyselyn 2016 tulokset

Julkaistu 17.5.2016

Kelan Kanta-palvelut ja Tietosuojavaltuutetun toimisto tekivät yhteistyössä sähköisen reseptin tietosuojakyselyn Resepti-palveluun liittyneille sosiaali- ja terveydenhuollon toimintayksiköille ja apteekeille tammi- ja helmikuun 2016 aikana. Vastauksia kertyi 762 kappaletta ja vastausprosentti on 73. Kyselyn tulosten julkistamisessa sosiaalihuollon ja itsenäisten ammatinharjoittajien vastaukset on jätetty pois vastausten vähäisen määrän ja mahdollisen tunnistettavuuden vuoksi

Apteekkien sektorikohtaiset tulokset
Julkisen terveydenhuollon sektorikohtaiset tulokset
Yksityisen terveydenhuollon sektorikohtaiset tulokset

Johdon asenne näkyy tietosuojatyön toteutumisessa

Tietosuojakyselyn 2016 tulokset osoittavat, että tietosuoja-asioiden suurimmat puutteet ovat samat kuin vuosi sitten. Tietosuojavastaavan toimenkuvan määrittely on osin vaillinaista, henkilökuntaa ei ole ohjeistettu tai koulutettu riittävästi asiakas- ja potilastietojen käsittelyyn eikä tietojen käsittelyn valvonta ole lain edellyttämällä tasolla. Kehitystä on tapahtunut, mutta nyt alkaa olla kiire saattaa lakisääteiset vaatimukset kuntoon. Huonosti toteutettu tietosuojan johtaminen aiheuttaa epätietoisuutta työpaikoilla, mikä heikentää henkilöstön työviihtyvyyttä ja näin myös koko organisaation tuottavuutta ja tehokkuutta.

Tietosuoja ja tietoturva koetaan edelleen tärkeäksi tai erittäin tärkeäksi kaikkien vastaajien keskuudessa sektoriin katsomatta. Tulosten perusteella julkinen terveydenhuolto ja apteekkisektori ovat hoitaneet tietosuoja-asiat parhaiten ja siellä on hyvä asenne tietosuojaan. Yksityisellä terveydenhuollolla on vielä eniten kehitettävää tietosuoja-asioiden toteutuksessa siitä huolimatta, että lähes kaikki kokevat tietosuojan tärkeäksi tai erittäin tärkeäksi.

Kysely osoittaa, että yli 80 % organisaatioista on sitä mieltä, että tietosuojaongelmat saattavat vaarantaa potilasturvallisuuden. Konkreettisena esimerkkinä tietoturvan ja -suojan tärkeydestä on, että tänä vuonna jokaisella sektorilla työnantajat varmistavat henkilökuntansa tietosuojaosaamista enemmän kuin viime vuonna. Varmistuksia tehdään tyypillisesti työsuhteen alussa ja perehdytysvaiheessa. Tietosuojaosaamisen mittaaminen on erityisen hyvin hoidossa julkisessa terveydenhuollossa.

Johtajan asenne ratkaisee

Lain hengen mukaan tietosuojavastaavan tulisi olla organisaation lisäresurssi ja johdon tuki. Kuitenkin yli 99 % tietosuojavastaavista tekee työtä oman toimensa ohella. Ylimmän johdon osuus tietosuojavastaavista apteekeissa ja yksityisessä terveydenhuollossa on noin kolmasosa, julkisessa terveydenhuollossa vain 9 %. Kuitenkin ylimmän ja muun johdon yhteenlaskettu edustus tietosuojavastaavista on huomattava kaikilla sektoreilla.

Huomiota herättävä tulos on myös se, että valtaosa tietosuojavastaavista apteekeissa ja yksityisessä terveydenhuollossa käyttää työajastaan alle 10 % tietosuojavastaavan tehtävän hoitamiseen. Se vaikuttaa melko vähäiselle tehtävien laatuun nähden. Tästä huolimatta 70–75 % vastaajista kokee, että tietosuojavastaavalla on riittävästi aikaa hoitaa tietosuojavastaavan tehtävää. Kun huomioidaan, miten tietosuojavastaavan työtä käytännössä tehdään, vaikuttaa vastaajien arvio työajan riittävyydestä kovin optimistiselle.

Julkisessa terveydenhuollossa lähes puolet tietosuojavastaavista käyttää työajastaan alle 10 % ja valtaosa korkeintaan 30 % tietosuojavastaavan tehtävän hoitamiseen. Myös tämä vaikuttaa vähäiselle tehtävien laatuun nähden. Siitä huolimatta, että julkisessa terveydenhuollossa käytetään enemmän aikaa tietosuojatyöhön kuin muilla sektoreilla, pidetään käytettyä aikaa riittämättömänä tehtävän laajuuteen nähden.

Tietosuojavastaavan toimenkuva selkeäksi

Lain mukaan johdon tulee huolehtia koko henkilökunnan riittävästä tietosuojaosaamisesta. Sitä varten tietosuojavastaavan tehtävänkuva pitää määritellä selkeästi ja henkilöstölle tulee antaa kirjalliset ohjeet asiakas- ja potilastietojen käsittelystä. Ohjeet pitää myös jalkauttaa henkilöstölle. Suositeltavaa on nimittää tietosuojavastaavalle varahenkilö. Kuvaavaa on, että kyselyn tulosten mukaan 10–25 % tietosuojavastaavista ei ole perehtynyt tietojen käytön seurantaan ja valvontaan, vaikka se on hänen nimenomainen lakisääteinen tehtävänsä.

Tietojen käytön seuranta ja valvonta käyttöön

Kyselyn tulosten mukaan Reseptikeskuksen tietojen käyttöä ei riittävästi valvota lokitietojen avulla, ei edes pistokokein. Sekä julkisessa että yksityisessä terveydenhuollossa lokivalvonnan tilanne on tänä vuonna huonompi kuin viime vuonna. Tämä on huolestuttavaa, sillä kyseessä on ollut auditointivaatimus ja nykyään tietoturvan ja tietosuojan omavalvontasuunnitelman vaatimus.

Apteekeissa lokivalvonta sen sijaan on paremmin hoidossa kuin viime vuonna.

Positiivista on se, että kaikilla sektoreilla asiakkaiden yksittäiset asiakas- ja potilastietojen väärinkäyttöepäilyt selvitetään kuitenkin lähes poikkeuksetta.

EU:n tietosuoja-asetuksen vaikutukset

Uutta tietosuoja-asetusta aletaan soveltaa kesällä 2018. Sen tavoitteena on lisätä organisaation tuottavuutta ja tehokkuutta tietosuojatyön tekemisen keinoin. Asetus sisältää ajatuksen tilitekokykyisyydestä ja se vahvistaa johdon vastuuta entisestään. Asetuksen mukaan organisaation tulee voida osoittaa, että tietosuojatyön toimenpiteet on tehty tietosuojatyön organisoinnissa, tietosuojatyön tekemisessä ja dokumentoinnissa. Laiminlyönnit voivat johtaa tuntuviin sakkoihin.

Tiedote ja kyselyn tulokset myös Kanta-palveluiden sivuilla