Uutiset

Potilastietoja säilytettiin vastoin lakia HUSissa – Ylilääkärin mukaan kyse arviolta tuhansista kuvista, joista osa on arkaluontoisia

Potilaista otettuja kuvia säilytettiin vuosien ajan lainvastaisesti Helsingin ja Uudenmaan sairaanhoitopiirissä. Kuvien käyttöä ei seurattu lokivalvonnan avulla. Kyse on arviolta tuhansista kuvista.
HUSin hallintoylilääkäri vahvistaa, että potilastietojärjestelmien ulkopuolelle oli tallennettu laajasti kuvia. Kuvassa ovat sairaanhoitopiirin toimitilat Meilahdessa Helsingissä. Kuva: Joel Maisalmi
HUSin hallintoylilääkäri vahvistaa, että potilastietojärjestelmien ulkopuolelle oli tallennettu laajasti kuvia. Kuvassa ovat sairaanhoitopiirin toimitilat Meilahdessa Helsingissä. Kuva: Joel Maisalmi

Arkaluontoisia potilastietoja on säilytetty vuosien ajan lainvastaisesti Helsingin- ja Uudenmaan sairaanhoitopiirin (HUS) sairaaloissa.

Lännen Median HUSista saamien tietojen mukaan kyse on arviolta useista tuhansista kuvista. Esimerkiksi plastiikkakirurgian potilaista otettuja valokuvia oli säilytetty potilastietojärjestelmien ulkopuolella.

Kuvatiedostoja on voinut katsoa tai käsitellä jälkiä jättämättä, koska niiden käyttöä ei ollut seurattu loki- eli tapahtumaseurannan avulla.

Vaatimus lokitietojen tallentamisesta potilasrekistereissä on kirjattu lakiin vuonna 2007. Potilailla on ollut viimeistään vuodesta 2014 lähtien oikeus saada lokitiedot omien potilastietojensa käytöstä.

HUSin hallintoylilääkäri Lasse Lehtonen myöntää, että HUSissa lokiseurantaa ei saatu käyttöön lain mukaisessa määräajassa eli vuoteen 2014 mennessä. Kyse oli Lehtosen mukaan lokiseurannan osalta 3-4 vuoden ajanjaksosta lakisääteisen siirtymäajan jälkeen. Kuvat luokitellaan potilastiedoiksi.

– Voi olla, että vielä vuonna 2017 oli joitain kuvia siellä (potilastietojärjestelmien) ulkopuolella.

HUSin mukaan kuvat tallennetaan nykyään arkistoon, jossa on lokiseuranta.

Laaja käytäntö

Potilastietojen katselu ja muokkaaminen edellyttää hoitosuhdetta potilaaseen. Lokien avulla voidaan selvittää, kuka on katsonut tai muokannut tietoja. Jokaisella on oikeus tarkistaa omat potilastietonsa.

Sairaaloiden tietosuoja on noussut esiin viime vuosina potilastietojen urkinnan takia. Tavallisesti luvaton tietojen käyttö paljastuu loki- eli tapahtumaseurannasta, jonne jää jälki tietojen katselusta tai muokkaamisesta. Jos lokia ei tallenneta, on urkintaepäilyjen selvittäminen käytännössä mahdotonta.

Lehtonen vahvistaa, että potilastietojärjestelmien ulkopuolelle oli tallennettu kuvia HUSissa. Valokuvien lisäksi kyse oli myös lääkinnällisten laitteiden tuottamista kuvista. Kuvia oli säilytetty verkkolevyasemalla, josta on puuttunut lokiseuranta. Lehtosen arvion mukaan kyse on tuhansista kuvista.

Osa kuvista oli plastiikkakirurgian arkaluontoisia potilaskuvia.

– Ne (kuvat) ovat pieni osa, mutta tietysti herkkiä siinä mielessä, kun siellä on intiimialueiden kuvia ja muuta tämmöistä mukana, Lehtonen sanoo.

“Valokuvia on ollut muualla”

Kahden miljardin euron liikevaihdollaan HUS on Suomen suurin terveydenhuoltoalan toimija. HUSin plastiikkakirurgian ylilääkäri Hannu Kuokkanen kertoo puhelimitse, että virallisten järjestelmien ulkopuolella säilytetyissä tiedoissa on ollut kyse potilaista otetuista valokuvista.

– Valokuvia on ollut muualla kuin potilastietojärjestelmässä, Kuokkanen sanoo.

Olivatko valokuvat lokijärjestelmän piirissä?

– Aikaisemmin eivät ole olleet, mutta nykyään ovat, Kuokkanen vakuuttaa mutta katkaisee yllättäen puhelun.

Hallintoylilääkäri Lehtosen mukaan nykyisin kuvat tallennetaan niille tarkoitettuun XDS-arkistoon, jossa on asianmukainen lokiseuranta.

– En vieläkään pysty ihan takuuvarmasti lupaamaan, etteikö joltain klinikalta löydy jotain kameraa, jota joku käyttää johonkin tarkoitukseen, eikä kaikkia kuvia viedä XDS-arkistoon, hän sanoo.

Hänen mukaansa työntekijät saattavat rakentaa työyksikköön “jonkun systeemin”, josta on helppo katsoa potilastietoja, vaikka se ei ole sallittua

– Se, että siitä ei jää heti kiinni, on fakta, hän sanoo.

HUSin tapauksessa ei ole epäilty rikoksia.

Toinenkin tapaus

Vuonna 2017 lainvastainen potilastietojen säilyttäminen paljastui Pirkanmaan sairaanhoitopiirissä Tampereen yliopistollisessa sairaalassa (TAYS). Sairaalassa oli säilytetty tietoja lainvastaisissa rekistereissä, joista ei tallennettu tapahtuma- eli lokitietoja. Sosiaali- ja terveysalan valvontavirasto Valvira sai ilmoituksen lokiongelmista TAYSin työsuojeluvaltuutetulta Iikka Jäntiltä jo kesällä 2016.

Tapauksen käsittely siirrettiin Valvirasta saman vuoden lokakuussa Aluehallintovirastoon. TAYSia koskeva rikostutkinta alkoi keväällä 2017, kun asia tuli julkisuuteen.

Tutkinta lopetettiin helmikuussa 2018. Syyttäjän mukaan tutkinta olisi aiheuttanut huomattavia kustannuksia ja oli todennäköistä, että asiassa ei saataisi riittävää näyttöä.

“Tärkeä yleinen tai yksityinen etu ei vaadi asiassa esitutkinnan toimittamista”, syyttäjä kirjoittaa.

Päätöksessä ei mainittu Euroopan Ihmisoikeustuomioistuimen (EIT:n) ratkaisua vuodelta 2008. Siinä valtio tuomittiin maksamaan valittajalle 30 000 euroa korvauksia. EIT:n ratkaisussa oli kyse erään sairaalan työntekijästä, jonka potilastietojen epäiltiin vuotaneen hänen työtovereilleen 1990-luvun alkupuolella. EIT katsoi näytetyksi, että asianomaiseen aikaan ei ollut järjestetty riittäviä takeita siitä, että luvattomat pääsyt potilasrekisteriin estettäisiin. Tuomion mukaan potilastietojen suojaaminen oli tärkeää, koska siten säilytettiin luottamus sairaanhoitoon.

TAYSin työsuojeluvaltuutettu Mervi Hissa kanteli esitutkinnan päättämisestä valtakunnansyyttäjälle. Ratkaisu tuli lokakuussa 2018. Asiaa ei otettu uuteen syyteharkintaan. Ratkaisua perusteltiin muun muassa johtajaylilääkärin tietämättömyydellä.

”..on otettava huomioon, että hän on ammatiltaan lääkäri ja hän on myöntänyt lokitusasian olevan osaamisalueensa ulkopuolella. Ilmeisesti hän ei ole edes mieltänyt asian olevan hänen vastuullaan, vaikka johtosäännössä on näin määrätty.”, apulaisvaltakunnansyyttäjä Jukka Rappe perusteli.