Ilmoitus arkaluontoisten tietojen postittamisesta olisi pitänyt tehdä aiemmin – Husin hallintoylilääkäri potilaskirjeiden vaikutuksista: "Alkaa tulla niin paljon haittaa ja riskiä ihan potilasturvallisuuteen"

STT raportoi sunnuntaina Husin lähettäneen useiden kuukausien ajan Postin palvelujen kautta potilastietoja kirjekuorissa, joista ainakin osasta on pystynyt lukemaan läpinäkyvän osoiteikkunan kautta kirjeen sisältöä.

Lue myös: Hus lähettää arkaluonteisia tietoja sisältäviä potilaskirjeitä kuorissa, joista pystyy lukemaan läpi: "Tiedot ovat paljaalla silmällä luettavissa"

Postin kanssa tehdyn sopimuksen mukaisen jakelun keskeyttäminen tarkoittaisi Heikkilän mukaan käytännössä sitä, että täysin automatisoitu kirjeiden postittaminen pitäisi ottaa sairaanhoitopiirin tehtäväksi.

Hän sanoo, että vastuuta manuaalisesta postituksesta ei voi tietosuojasyistä antaa talon ulkopuolelle.

– Kirjemäärä on niin iso, että se olisi pois muusta resurssista, jos näitä kirjeitä pitäisi äkillisesti lähteä postittamaan manuaalisesti, Heikkilä kertoo.

– Sen lisäksi manuaaliseen postittamiseen sisältyy huomattavan paljon isommat virhepostituksen riskit.

Päivässä lähtee yli 5 000 kirjettä

Jos kirjeitä ei lähetettäisi ollenkaan, potilaille voisi Heikkilän mukaan aiheutua huomattavia ongelmia. Husilta lähtee sopimuksen alaisia kirjeitä vuodessa noin 1,3 miljoonaa, eli keskimäärin yli 5 000 kirjettä päivässä. Joukossa on ainakin kutsuja ja loppulausuntotekstejä.

Jos potilas ei saa tietoja, häneltä voi mennä ohitse esimerkiksi kiireellisiä ajanvarausaikoja tai jatkohoito-ohjeita. Samoin saamatta voi jäädä lausunto, jota Kela edellyttää etuuksien saamiseen.

– Postitusten keskeyttäminen ei oikeastaan ole vaihtoehto, koska siinä alkaa tulla niin paljon haittaa ja riskiä ihan potilasturvallisuuteen ja potilaan hoitoon liittyviin asioihin, Heikkilä sanoo.

Posti on ehdottanut ratkaisuksi kirjelähetysten ensimmäisen liuskan takasivun rasterointia, jolloin takasivu käytännössä tummennettaisiin. Posti on ilmoittanut Husille, että rasterointi saataisiin käyttöön marraskuussa.

– Yritämme tätä kiirehtiä parhaamme mukaan, Heikkilä kertoo.

Posti on Heikkilän mukaan kertonut rasteroinnin olevan kaikista tietoturvallisin tapa ongelman ratkaisemiseksi. Rasteroinnin pitäisi varmistaa se, ettei kirjeestä pystyisi läpivalaistunakaan lukemaan läpi.

– Jos väliin lisäisi ylimääräisen sivun, minun käsitykseni on, että silloin periaatteessa saattaisi pystyä edelleenkin läpivalaisemalla saamaan selville, mitä siinä on, Heikkilä kertoo.

Aiempi palveluntarjoaja meni vaihtoon ongelmien vuoksi

Postille ilmoitettiin kirjeiden läpinäkyvyydestä syyskuussa, kun Husiin tuli samoihin aikoihin kaksi erillistä ilmoitusta ongelmasta.

– Siihen en pysty ottamaan kantaa, miksi tässä prosessissa kestää heidän puoleltaan näin pitkään. Olemme toki yrittäneet Husin puolesta kiirehtiä, että tämä pitäisi saada kuntoon.

Heikkilän mukaan Husilla on kuitenkin käsitys, että Postillakin on suhtauduttu ongelmaan vakavasti.

– Meidän käsityksemme mukaan mitkä tahansa muutokset tähän automatisoituun prosessiin vaativat jonkinnäköisen valmistelun, eikä niitä pystytä heti ottamaan käyttöön.

Heikkilä sanoo, että Husissa suhtaudutaan vakavasti potilastietoturvallisuuteen ja tietosuoja-asioihin. Postin kanssa tehdyissä sopimuksissa on myös edellytetty vahvasti tietosuojan toteutumista.

Sopimus Postin kanssa on tehty viime vuoden lopulla ja sopimuksen mukainen toiminta alkoi maaliskuussa. Heikkilän mukaan yksi syy siihen, että sopimukseen päädyttiin juuri Postin kanssa, oli se, ettei vastaavia toimittajia ole Suomessa kovin montaa.

Taustalla olivat myös edellisen palvelun toimittajan kanssa kohdatut ongelmat. Heikkilä kertoo, että kirjeiden lähettämisessä oli ollut epävarmuuksia: kirjeet lähtivät muun muassa vääriin osoitteisiin ja postituksissa oli viiveitä.

Ilmoitus olisi pitänyt tehdä aiemmin

Sairaanhoitopiiri teki ilmoituksen ongelmasta tietosuojavaltuutetulle viime viikon lopulla. Heikkilä myöntää, että Husin olisi pitänyt tehdä ilmoitus hieman herkemmällä kynnyksellä. Hän kertoo, että EU:n yleinen tietosuoja-asetus GDPR ja nykyinen järjestelmä, jossa ilmoituksia tehdään, on ollut vähän yli vuoden voimassa ja siten vielä suhteellisen tuore.

– Ensin meidän piti tietenkin selvittää, kuinka vakavasta asiasta tässä tosiasiallisesti on kyse. Vähän meillä vielä haetaan sitäkin, minkälaisissa tilanteissa ylittyy se kynnys, että tietosuojavaltuutetulle tehdään ilmoitus.

Heikkilän mielestä pitäisi olla niin, että ilmoitus tehtäisiin ennemmin liian herkästi kuin että sitä ei tehtäisi ollenkaan. Hän uskoo, että Husilla otetaan opiksi ja tehdään ilmoituksia jatkossa herkemmin.

Heikkilän mukaan se, että tietosuojavaltuutettu lähtee selvittämään asiaa, on joka tapauksessa hyvä asia.

– Haluan korostaa, että olemme ottaneet asian vakavasti ja pahoillamme potilaiden puolesta, joita tämä on koskenut. Yritämme tehdä kaikkemme, että asia saadaan mahdollisimman nopeasti kuntoon. 

Lue myös: Posti ei ole saanut uusia yhteydenottoja tietosuojaongelmien vuoksi – Kaj Kulp Husin kirjekohusta: "Samanlaisia kirjeitä on vuosien aikana lähetetty satoja miljoonia kappaleita"