Johdanto
Terveyden- ja sairaanhoidon toimintayksiköissä tapahtuu jatkuvasti erilaisia tietomurtoja. Niitä tapahtuu nykyään niin paljon ja ne koskettavat jo niin suurta määrää ihmisiä, että yksittäinen potilas ei oikeastaan koskaan voi kokea olevansa niiltä täysin turvassa. Tulen tässä artikkelissa avaamaan melko hirveän näkymän näiden tietosuojamurtajien toimintatapoihin ja tavoitteisiin.
Tietomurtojen eri tasot
Jaan seuraavassa tietojen väärin käyttämisen kolmeen eri tasoon: yksilötason tietomurtoihin, ammattilaistason tietomurtoihin ja lopulta myös institutionaalisen tason tietomurtoihin. Institutionaalisella tasolla toimijoita on sekä sisäisiä että ulkoisia. On selvää että näistä kaikki toimivat täysin erilaisilla menetelmillä, osaamisella ja niillä on kaikilla erilaiset motiivit ja tavoitteet.
Yksilötason tietomurrot
Pienimmät tietomurrot ovat yksilökeskeisiä. Esimerkiksi sairaalassa työskentelevä henkilö avaa naapurinsa tietokansion ilman muuta syytä kuin uteliaisuutensa ja tekee näin ollen pienimuotoisen tietosuojarikkomuksen. Osa suomalaisesta terveyden- ja sairaanhoidon henkilökunnasta ammattinimikkeistä riippumatta on siis niin sivistymätöntä että käyttää tilaisuutta hyväkseen potilaan tietosuojasta välittämättä. Nämä yksilötason tietosuojarikkomukset koskettavat tyypillisesti yksittäisiä potilastietoja ja pitkään jatkuessaan lukumäärä voi nousta tyypillisesti kymmeniin tai satoihin.
Yksilötason tietomurroissa motiivina on ilmeisesti uteliaisuus ja joissakin tapauksissa saadun tiedon hyväksikäyttö itsekeskeisellä tavalla. Tiedossani ei ole sellaista tapausta jossa henkilöä olisi pyritty kiristämään rahallisesti tai muulla tavalla yksilötason tietomurron tietojen perusteella, mutta toki tällainenkin voi olla mahdollista. Joka tapauksessa tyypillinen tietomurtaja on terveyden- ja sairaanhoidon järjestelmiä työssään käyttävä henkilö, jolla on päivittäin hyvin helppo pääsy tietokantaan. Tällöin raja oikean ja väärän välillä ilmeisesti hämärtyy joidenkin yksilöiden kohdalla.
Näistä tietomurroista on uutisoitu jatkuvasti suomalaisessa mediassa ja on täysin selvää, että nämä uutiskynnyksen ylittäneet ovat vain jäävuoren huippuja ongelmassa, joka tuntuu olevan terveyden- ja sairaanhoidon ikuinen riesa. Tämäntyyppinen toiminta jatkuu myös tulevaisuudessa koska kaikkien terveyden- ja sairaanhoidon työntekijöiden valvominen ei ole käytännössä mahdollista.
Rangaistuksia näissä tapauksissa on tullut lehtitietojen mukaan lähinnä pienten sakkojen muodossa. Mikäli rangaistuksia kovennettaisiin olennaisesti, voi olla että tällainen tietojen urkkimisen kulttuuri saataisiin paremmin kuriin. Toki täytyy huomioida myös vahinkojen tapahtuminen eli joskus järjestelmään kirjautuessa voi lyödä henkilötunnuksen väärin tai jotakin muuta sellaista, jolloin kyseessä ei ole väärinkäytös. Mielestäni jokaisen kenen tietoja on tahallisesti ja väärin perustein tutkittu, tulisi olla oikeutettu myös rahallisiin korvauksiin. Lisäksi kouluttamalla henkilökuntaa säännöllisesti saatettaisiin saada tällaisia yksilötason tietovuotoja kuriin.
Esimerkkejä tällaisista yksilötason tietomurroista on hyvin runsaasti.
Ilta-Sanomat 18.5.2009: ”HUSin potilastietoja on selattu pelkkää uteliaisuutta”
Turun Sanomat 15.8.2015: ”Työntekijän epäillään katsoneen luvatta yli 500 potilaan tietoja”
Tehy-lehti 14.10.2015: ”Työnantaja urkki potilastietoja”
Talouselämä 14.11.2016: ”Helsingin kaupungin potilastietojärjestelmä Pegasoksesta voi urkkia potilastietoja ilman että siitä jää jälkiä”
MTV 9.5.2018: ”Sairaalan työntekijä katseli salaa 150 potilaan tietoja”
Kalvea 6.7.2018: ”Kainuun keskussairaalassa rikosepäily – syyttäjän mukaan epäilty katsoi luvatta yli 250 ihmisen tietoja”
Yle 29.11.2018: ”Työntekijä katsoi luvatta lukuisia potilastietoja”
Satakunnan Kansa 15.10.2019: ”Anoppi urkki miniänsä potilastietoja vuosien ajan Porissa”
Iltalehti 11.2.2020: ”Utelias sairaanhoitaja luki luvatta naapurinsa intiimit terveystiedot”
Iltalehti 17.2.2020: ”Helenan poika kuoli traagisesti – järkyttävä totuus urkkivista hoitajista paljastui vieraiden ihmisten puheista ”Siellä on tongittu ja paljon””
MTV 15.4.2021: ”Sairaanhoitaja urkki kollegansa potilastietoja lähes 1½ vuotta Kuopiossa – tuomittiin sakkoihin ja tonnien korvauksiin”
Keskisuomalainen 15.12.2021: ”Työntekijä katsoi luvatta 220 terveyspalvelun asiakkaan tietoja”
Ilta-Sanomat 27.10.2022: ”Työntekijän epäillään käsitelleen luvatta 200 potilaan tietoja Turun seudulla”
Ammattilaistason tietomurrot
Ammattilaistasolla tietomurto tapahtuu suunnitelmallisemmin ja sen uhriksi joutuu tyypillisesti tuhansia tai kymmeniä tai satoja tuhansia potilastietoja, joissakin tapauksissa jopa miljoonien ihmisten tietoja. Murron toteuttajalla on sellaista informaatioteknologista osaamista, että hän pystyy murtautumaan tehokkaasti tietokantoihin ja saamaan suuria määriä dataa haltuunsa. Tyypillisesti pyritään saamaan koko tietokanta tai tietokannan osa haltuun, jolloin sieltä voidaan sitten tarvittaessa hakea myös yksittäisten, ehkäpä erityisen kiinnostavien yksilöiden tietoja. Ammattilaistason tietomurtojen motivaattorina on pääsääntöisesti taloudellinen hyöty. Tiedoillahan tyypillisesti voidaan kiristää joko terveyden- ja sairaanhoidon toimintayksikköä tai itse potilaita ja pakottaa heidät maksamaan siitä, että arkaluonteisia tietoja ei vuodeta esimerkiksi julkisuuteen.
Hyvänä esimerkkinä tällaisesta ammattilaistason tietomurrosta on Suomessa Psykoterapiakeskus Vastaamon tietomurto vuosilta 2018-2019, joka tuli julkisuuteen 2020. Tietosuojarikoksen uhreja oli yhteensä yli 30 000. Tekijäksi julkistettiin 28.10.2022 suomalainen hakkeri. (lähde: Wikipedia) (1)
Pidän selvänä, että tämän tyyppisiä tietomurtoja tulee tapahtumaan myös tulevaisuudessa pienemmässä ja suuremmassa mittakaavassa eivätkä kaikki Suomessa aiemmin tapahtuneet murrot ole edes tulleet julkisuuteen.
Ammattilaistason tietomurtojen ehkäiseminen on mahdollista mutta inhimillisistäkin syistä voi tapahtua virheitä ja tietojenkalastelulle voi aina syntyä erilaisia mahdollisuuksia. Mielestäni tällaisista rikoksista tulisi lähtökohtaisesti antaa kovia rangaistuksia jotta kynnys lähteä terveyden- ja sairaanhoidon tietojen hakkerointiin olisi mahdollisimman korkealla.
Iltalehti 12.9.2022: ”Vastaamon tietomurto – kolmea epäillään törkeistä rikoksista”
Talouselämä 28.10.2022: ”Vastaamo-tietomurron epäilty on tunnettu teinihakkeri: usutti erikoisjoukot yhdysvaltalaisen perheen kotiin”
Institutionaalisen tason tiedonkeruu
Institutionaalinen tarkoittaa laajempaa, organisaatiotason tietojenkalastelua kaikilla mahdollisilla tavoilla ja tasoilla. Tällaista organisoitua tietosuojarikollisuutta voivat ylläpitää esimerkiksi valtiotason toimijat, vaikkapa tiedustelupalvelut ja toisaalta myös organisoitunut muu rikollisuus, joka myy saamiaan tietoja esimerkiksi tiedoista kiinnostuneille tiedustelupalveluille. Myös yksittäinen henkilö kenellä on pääsy tietokantoihin voi alkaa vakoilla taloudellista hyötyä tavoitellessaan jollekin ulkolaiselle organisaatiolle. Institutionaalisen tiedonkeruun pääasiallisena motivaattorina lähtökohtaisesti ei kuitenkaan ole raha vaan tietojen kerääminen ja hyödyntäminen operatiivisessa toiminnassa. Tässä laajassa tietojen keräämisessä haluan erottaa vielä alatyypit ulkoinen ja sisäinen, joissa ensinmainittu tarkoittaa siis ulkovaltojen tiedustelupalveluiden tietojenkalastelua ja sisäinen valtion omien sisäisten organisaatioiden tietojenkalastelua, joka voi tapahtua lain hyväksymällä tavalla.
Suurvaltojen tiedustelupalveluiden yleinen tiedonkeruu
Suurvaltojen tiedustelupalveluiden tiedonkeruussa on tyypillisesti kyse miljoonien tai jopa miljardien ihmisten tietojen laaja-alaisesta keräämisestä ja toiminta tyypillisesti jatkuu vuosia tai on pysyvä tietojenkeruutapa. Esimerkki tällaisesta laaja-alaisesta tietojen keräämisestä on esimerkiksi sähköposti- tai tekstiviestitietojen kerääminen maailmanlaajuisesti osana USA:n Kansallisen turvallisuusviranomaisen eli NSA:n (National Security Agency) toimintamallia. Osana tätä laajaa tiedonkeruuta kulkevat myös siinä sivussa myös terveyden- ja sairaanhoidon näissä kerätyissä medioissa liikkuvat tiedot, johtuen siitä että ihmiset kommunikoivat terveydenhuollon toimintayksiköihin tekstiviestien tai sähköpostien välityksellä tai sitten jopa sosiaalisen median kautta ajanvarauksia tehdessään. On sanomattakin selvää, että myös meidän suomalaisten tietoja on talletettuna tiedustelupalveluiden tiedonkeruun seurauksena.
The Guardian 16.1.2014: ”NSA collects millions of text messages daily in ´untargeted´global sweep”
NPR 17.6.2013: ”Snowden: NSA Collects ´Everything´ Including Content of Emails”
Ylläkuvatussa institutionaalisessa laaja-alaisessa tiedonkeruussa yksittäisen tavallisen potilaan tiedoista ei kukaan ole kuitenkaan kiinnostunut sillä tasolla kuin kuvatuissa yksilötason tai ammattitason tietomurroissa. Tiedot vain säilötään ja niihin voidaan toki palata myöhemmin, mikäli tämä yksilö tulee jotenkin mielenkiinnon kohteeksi esimerkiksi ollessaan yhteydessä seurattavaan henkilöön. Muutoin niistä ei ole todellisuudessa kukaan kiinnostunut, eikä tarvitse pelätä niiden väärinkäyttöä.
Julkisuudessa toistuvasti puitu NSA:n tietojenkeruu on siis Yhdysvaltojen tiedustelutoimintaa. On itsestään selvää, että myös muut valtiot harrastavat samanlaisella röyhkeydellä tietojenkeruuta mutta tässä katsauksessa en lähde vertailemaan eri valtioiden toimintaa keskenään.
Hiljakkoin USA:ssa tuomittiin lääkäripariskunta joka oli valmis luovuttamaan terveyden- ja sairaanhoidon arkistotietoja venäläiselle tiedustelupalvelulle. Heidät saatiin kiinni FBI:n suorittamassa operaatiossa ja lehtitietojen mukaan mitään tietoja ei päätynyt venäläisten käsiin. On järkyttävää että korkeimmin koulutetussakin henkilökunnassa eli lääkäreissä on ilmeisesti oman hyödyn tavoittelussaan näinkin pitkälle meneviä henkilöitä. Tämän esimerkin valossa on teoriassa mahdollista että myös suomalaiset lääkärit tai muu hoitohenkilökunta saattaa taloudellista hyötyä tavoitellessaan luovuttaa kiinnostavien henkilöiden terveystietoja jopa ulkovalloille.
The New York Times 29.9.2022: ”Army Doctor and Spouse Plotted to Give Russia Medical Records, U.S. says”
Onko jokin ulkomainen tiedusteluinstituutio kiinnostunut Kanta-arkistosta?
Varmasti on. Suomalaisessa terveyden- ja sairaanhoidossa luotu keskitetty Kanta-arkisto olisi erinomainen paikka kerätä tietoja mikäli jokin tiedustelupalvelu pääsisi murtautumaan siihen sisään. Murto voi tapahtua sisäpiiriläisen eli suomalaisen Kanta-arkiston datan kanssa toimivan henkilön luovuttaessa tietoja ansaintatarkoituksessa ulkomaiselle tiedustelupalvelulle tai sitten hakkeriorganisaation tietomurtona suoraan arkistoon.
Toistaiseksi tiedossani ei ole sellaista tapahtumaa, jossa Kanta-arkistoon olisi murtauduttu tai tietoja luovutettu suurissa määrin eteenpäin jollekin taholle. Pidän kuitenkin selvänä että niin tulee tapahtumaan ennemmin tai myöhemmin, ellei ole jo tapahtunut.
Reuters 5.6.2015: ”Medical data, cybercriminals´holy grail, now espionage target”
Sisäinen tietojen käyttö vääriin tarkoituksiin
Ja viimeisimpänä – mutta ei vähäisimpänä – haluan tuoda esille riskin josta puhutaan hyvin vähän ja silloinkin asiasta puhuvaa ihmistä usein pidetään paranoidisena eli vainoharhaisena. Terveyden- ja sairaanhoidon tietojahan voidaan teoriassa käyttää myös oman valtion tiedusteluelimissä poliittisista tai muista syistä potilasta vastaan ja näin on todistetusti myös tapahtunut.
Tästä on erinomaisena historiallisena esimerkkinä itäsaksalaisen Stasin kehittämä Zersetzung-ohjelma, jossa tyypillisenä tietolähteenä ennen operatiivisen toiminnan aloittamista olivat terveyden- ja sairaanhoidon tietoarkistot. Tarkoituksena oli siis sairaskertomuksista löytää ihmisen heikkoja kohtia ja hyödyntää niitä siten, että kohdehenkilöllä ei olisi enää voimia vallitsevan järjestelmän vastustamiseen tai vaikkapa maasta pakenemiseen. On järkyttävää todeta, että sairas sosialistinen järjestelmä käytti siis näitä hyvin luottamuksellisia tietoja omia kansalaisiaan vastaan ja toisaalta että terveyden- ja sairaanhoidon henkilöstö niitä eteenpäin luovuttivat. (2) (3)
En yhtään epäile, etteikö jossakin päin maailmaa tänäkin päivänä näin toimittaisi. Uskon että suomalaisessa järjestelmässä näin ei säännönmukaisesti toimita mutta se ei takaa sitä, etteikö tällainen olisi mahdollista ja etteikö niin voitaisi toimia tulevaisuudessa. Siten kaikkien tietojen kerääminen yhteen koriin eli Kanta-arkistoon on käsitettävä yhdeksi suomalaisen terveyden- ja sairaanhoidon tietosuojariskeistä institutionaalisella tasolla. Ja tähän Kanta-palveluiden keskusarkistomalliin sisältyvä riski on niin sisäinen kuin ulkoinenkin.
Vakuutusyhtiöiden oikeudesta sairaskertomustietoihin
Suomalaisessa lainsäädännössä on mainittu vakuutusyhtiöiden oikeus saada sairaskertomustietoja ja niitä tietoja voidaan tilata lain suomalla oikeudella potilaan siitä tietämättä. Tällaista oikeutta vakuutusyhtiö käyttääkin muun muassa vakuutustapahtumien yhteydessä ja on selvää, että ei tämäkään aivan kitkatonta ole. Arkaluontoisten ja hyvin henkilökohtaisten tietojen siirtäminen paikasta toiseen kun tekee aina riskin tietojen väärinkäytölle. Lisäksi voidaan perustellusti kysyä miksi vakuutusyhtiölle ei riitä hoidon maksajan rooli ja mitä se loppujen lopuksi tavoittelee kaikkia yksityiskohtaisia tietoja kerätessään. On aina olemassa esimerkiksi sellainen riski, että näitä kerättyjä tietoja hyödynnetään vakuutusyhtiön muissa prosesseissa myöhemmin.
Vuonna 2021 Tietosuojavaltuutettu otti kantaa vakuutusyhtiölle tapahtuneen ylenmääräisen tietojenluovutuksen asiassa. Tietosuojavaltuutettu velvoitti kannanotossaan rekisterinpitäjän ensisijaisesti luovuttamaan tiedot lausunnon muodossa vakuutusyhtiölle ja poistamaan tiedoista vakuutusoikeudellisen asian kannalta ylenmääräiset tiedot. Rekisterinpitäjälle voidaan määrätä myös suuri hallinnollinen seuraamusmaksu mikäli se rikkoo tietosuoja-asetusta. (4)
”Kun kyse on henkilötietojen käsittelyä koskevien periaatteiden rikkomisesta (yleisen tietosuoja-asetuksen 5 artikla), hallinnollinen seuraamusmaksu voi olla enimmillään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.”
Seuraavaksi tullaan kuitenkin siihen jota sivusin jo ylempänä, eli vakuutusyhtiöllä on samaan aikaan lainmukainen oikeus suoraan kerätä tietoja ilman mitään lausuntoprosessia. Alla on esimerkkinä kaksi lakia jossa tämä erityisoikeus mainitaan:
Työtapaturma- ja ammattitautilain 264 §: Tekninen käyttöyhteys
Vakuutuslaitoksella on sen lisäksi, mitä julkisuuslain 29 §:n 3 momentissa säädetään, oikeus avata tekninen käyttöyhteys: 1) lakisääteistä vakuutusta toimeenpanevalle yhteisölle tai laitokselle henkilörekisterinsä sellaisiin tietoihin, jotka sillä on tämän tai muun lain perusteella oikeus saada tehtäviensä toimeenpanoa varten; 2) 255 §:n 1 momentin 1 kohdassa tarkoitetuille viranomaisille ja toimielimille kohdassa tarkoitettujen tietojen antamista varten.
Tämän pykälän perusteella avatun teknisen käyttöyhteyden avulla saa hakea myös salassa pidettäviä tietoja ilman sen suostumusta, jonka etujen suojaamiseksi salassapitovelvollisuus on säädetty.
Liikennevakuutuslain 83 §: Tekninen käyttöyhteys
Vakuutusyhtiöllä on oikeus avata tekninen käyttöyhteys lakisääteistä vakuutusta toimeenpanevalle yhteisölle henkilörekisterinsä sellaisiin tietoihin, jotka mainitulla yhteisöllä on lain perusteella oikeus saada tehtäviensä toimeenpanoa varten.
Tämän pykälän perusteella avatun teknisen käyttöyhteyden avulla saa hakea myös salassa pidettäviä tietoja ilman sen suostumusta, jonka etujen suojaamiseksi salassapitovelvollisuus on säädetty.
Näin ollen vakuutusyhtiöllä on lain nojalla hyvin paljon oikeuksia ja rekisterinpitäjällä eli terveyden- ja sairaanhoidon palveluntuottajalla tietojen luovuttamiseen liittyviä laajoja velvollisuuksia, joista sen tulisikin olla hyvin tietoinen. Tuota valtavaa 20 miljoonan euron uhkasakkoa unohtamatta. Vakuutetulta ei taas tarvitse edes kysyä mitään. On selvää että vakuutusyhtiö on ollut vaikuttamassa lain sisältöön ja sitäkin selvempää että se käyttää tätä tiedonkeruuoikeuttaan aktiivisesti.
Kaikki tällainen institutionaalisen tason valtionrajojen sisäinen tietojenluovutus tapahtuu siis potilaan selän takana lakisääteisesti. Pidän todennäköisenä että myös Suomessa toimivilla erilaisilla turvallisuusviranomaisilla on halutessaan suora pääsy Kanta-arkistoon, mutta sellaisesta ei tietääkseni julkisuudessa ole puhuttu mitään.
The Guardian 26.1.2020: ”Australian government secretly releasing sensitive medical records to police”
Mielestäni potilaan tulisikin aina ja kaikissa tapauksissa olla tietoinen minkä tahansa terveyden- ja sairaanhoidon tietojen luovutuksesta ja paras tapa tietojen luovutuksessa olisikin minusta se, että tiedot luovutetaan potilaalle joka sitten puolestaan luovuttaa ne vakuutusyhtiölle tai tehdään kyseessä olevasta asiasta erillinen lääkärinlausunto potilaalle, joka luovuttaa sen vakuutusyhtiölle. Tällöin ei toimita asianosaisen selän takana, eikä institutionaalinen tietojenkeruu kohdistu yksilön kannalta arkaluonteisiin tietoihin, ellei hän itse niitä halua luovuttaa.
Tietosuojatilastoja maailmalta
USA:ssa julkaistun artikkelin (HIPAA Journal: Healthcare Data Breach Statistics) (5) mukaan siellä on viimeisten 15 vuoden aikana tapahtunut tuhansia tietosuojarikkomuksia ja ne ovat koskettaneet kymmenien miljoonien ihmisten terveystietoja. Tämä on siis hyvin laaja-alainen ongelma maailmalla ja koskettaa väkisinkin myös meitä suomalaisia. Huomionarvoisaa on se, että kansalaisen terveyden- ja sairaanhoidon data on arvotettu rahallisesti hyvin korkealle. Ja tämä näkyy tietysti lisääntyneinä tietomurtoyrityksinä ja tietomurtoina.
Terveyden- ja sairaanhoidon tietosuojamurtojen määrä onkin lisääntynyt USA:ssa nopeaa vauhtia ja esimerkiksi viime vuonna 2021 oli tämän julkaisun mukaan tehty 714 sellaista tietomurtoa joissa kohteena oli yli 500 potilaan tiedot. Hakkeritietomurtoja oli 528. (5)
HIPAA Journal: ”Hacking / IT incidents” (5)
Suurin tietomurto tehtiin vuonna 2015 ja silloin olivat kyseessä yli 78 miljoonan ihmisen terveystiedot. Kymmenen suurinta tietomurtoa vuosina 2009-2022 koskettivat yhteensä noin 150 miljoonan ihmisen terveystietoja. On sanomattakin selvää että terveyden- ja sairaanhoitojärjestelmä on epäonnistunut tietojen suojaamisessa kun lukemat ovat tällaisia.
HIPAA Journal: ”Largest health care data breaches 2009-2022” (5)
”Minulla ei ole mitään salattavaa”
Moni voi ihmetellä miksi joku taho olisi kiinnostunut yksilön terveystiedoista ylipäätään, tavallisella ihmisellä kun ei oikeastaan ole mitään salattavaa. On kuitenkin selvää että esimerkiksi valtionpäämiesten tai vaikkapa sotilasjohtajien sairashistoria tai muu henkilökohtainen tieto saattaa olla sellaista jolla heitä voidaan arvioida tai manipuloida. Siten on äärimmäisen tärkeää pystyä pitämään ne salaisina ja luottamuksellisina. Yhtä lailla tavallisen ihmisen henkilökohtaiset asiat ovat ja niiden pitää olla henkilökohtaisia, eikä niiden vuotamisen merkitystä pidä aliarvioida.
Potilas-lääkäri-suhde on hyvin henkilökohtainen ja aina 100% luottamuksellinen, eli useinkin on tilanteita joissa potilas kertoo historiastaan sellaisia asioita, joita ei ehkä kertoisi kenellekään muulle. On hälyttävää jos tätä luottamuksellista suhdetta horjuttaa luottamuspula yleiseen tietosuojaan. Lääkärien ja sairaanhoitajien tekemät sairaskertomusmerkinnät ovat usein hyvin yksityiskohtaisia ja kuvailevat hyvin tarkkaan senhetkisen tilanteen ja mukana on usein hyvin henkilökohtaisia tietoja. Näistä tiedoista kokoamalla voi maalata hyvin tarkan kuvan kohdehenkilöstä ja ymmärtää miten hän ajattelee tai sieltä voi paljastua erilaisia pakko-oireita, alkoholismi tai arkaluonteisia tietoja tai diagnooseja tai yksilöllisiä fyysisiä tuntomerkkejä. Etenkin psykologien ja psykiatrien merkinnät korostuvat henkilökohtaisuudessaan mutta myös muiden erikoisalojen ammattilaisten merkinnät ovat usein detaljoituja ja kokonaisvaltaisesti laadittuja. Näin ollen on aina olemassa riski tietojen väärinkäytöstä, mikäli ne päätyisivät jollekulle muulle kuin hoitavalle lääkärille. Edellä kuvattujen näkökohtien vuoksi meidän tulee aktiivisesti toimia korkean tietosuojan puolesta ja pyrkiä vastustamaan sellaisia lakeja, joiden perusteella tietojamme voidaan jakaa vaikkapa vakuutusyhtiöille ja tiedustelupalveluille ja niin edelleen ilman että itse olisimme edes sellaisesta tietoluovutuksesta tietoisia.
Yhteenveto
Tietosuoja terveyden- ja sairaanhoidossa koskettaa nykypäivänä jokaista ja jokaisen tulisikin olla tietoinen sen yleisimmistä riskeistä. Tietoturvallisuuden lisääminen vaatii paljon ajatus- ja jalkatyötä niin terveyden- ja sairaanhoidon organisaatioissa, julkishallinnossa kuin päättäjiltäkin. Tärkeintä olisi ymmärtää, että ilman tietosuojaa ei ole potilas-lääkärisuhteen luottamusta sellaisena kuin me sen parhaimmillaan käsitämme. Tietosuoja onkin erottamaton osa korkealaatuista terveyden- ja sairaanhoitoa.
We’re losing our way as a society. If we don’t stand up, if we don’t say what we think those rights should be, and if we don’t protect them, we will very soon find out that we do not have them.
Yhteisömme on ajautumassa harhaan. Jos emme nouse ylös ja jos emme sano, minkälaisia mielestämme näiden oikeuksien pitäisi olla ja jos emme suojele niitä, huomaamme hyvin pian, ettei meillä ole niitä.
Edward Snowden
Kirjallisuutta:
- https://fi.wikipedia.org/wiki/Vastaamon_tietomurto
- Klaus Behnke and Jürgen Fuchs, Eds. Zersetzung der Seele: Psychologie und Psychiatrie im Dienste der Stasi. Hamburg: Rotbuch Verlag, 1995. 347 pp. DM 24, 90 (paper) ISBN 3-88022-365-3.
- https://en.wikipedia.org/wiki/Zersetzung
-
Tietosuojavaltuutetun päätös tietojen minimointia ja sisäänrakennettua ja oletusarvoista tietosuojaa koskevassa asiassa https://finlex.fi/fi/viranomaiset/tsv/2021/20210904
-
https://www.hipaajournal.com/healthcare-data-breach-statistics/