Näin potilastietoja ei pidä käsitellä

In­hi­mil­li­sen ereh­dyk­sen ta­kia kym­me­nen ke­ra­va­lai­sen po­ti­las­tie­dot pää­tyi­vät tie­do­tus­vä­li­neil­le. En sal­li­si tuol­lai­sen ole­van mah­dol­lis­ta edes va­hin­gos­sa. Ku­van val­ko­tak­ki ei lii­ty käm­miin.
Kuva: World Bank Photo Col­lec­tion: DK-RU003 World Bank. c bnd 2.0. Ku­vaa on pa­ran­nel­tu.

Iltalehti.fi uutisoi tänään Keravan terveyskeskuksen lähettäneen vahingossa kymmenen ihmisen potilastietoja tiedotusvälineille:

Terveydenhuollon johtajan Minna Heleniuksen mukaan kyse oli inhimillisestä erehdyksestä. Sähköpostin osoitekenttään oli tullut vääriä jakeluryhmiä.

— Potilastiedot
käsitellään potilastietojärjestelmässä. Sähköpostilla potilastietoja ei
yleensä lähetetä, mutta tässä tilanteessa mukana on toinen hoitava
yksikkö, joka ei käytä samaa potilastietojärjestelmää.

Ensimmäinen ajatukseni oli ”Miten tämä edes on mahdollista?!”. Lähdetäänpä siis käymään tapahtumankulkua siten kuin minä, näiden tietojen valossa, arvelen asian tapahtuneen1.

  1. Lääkärillä2 on potilastietoja, jotka pitäisi lähettää hoitopaikkaan B.
  2. Lääkäri toteaa, ettei B:ssä ole käytössä samaa järjestelmää, ja päätyy maalaisjärjellään keksimäänsä ensimmäiseen ratkaisuun: tietojen lähettämiseen sähköpostitse.
  3. Lääkäri lataa potilastietojärjestelmästä potilastiedot työasemalleen.
  4. Lääkäri kirjoittaa sähköpostin, johon laittaa liitteeksi lataamansa potilastiedot.
  5. Lääkäri kirjoittaa sähköpostiosoitekenttään ensimmäisen kirjaimen osoitteesta kohde@hoitopaikka.example, mutta virhepainalluksen seurauksena sähköpostiohjelma valitseekin tarjoamistaan täydennysvaihtoehdoista osoitteen kaikki-tiedotusvalineet@lists.kerava.fi . Hän klikkaa Lähetä-painiketta ennen kuin tajuaa virhettään.
  6. Viesti lähtee, ja uutistoimituksissa hihitellään.
  7. ”Voi vittu”, huokaa lääkäri.

Mikä sitten meni pieleen? Rehellisesti sanottuna aivan kaikki.

Potilastietoihin ja sähköpostiin pääsee samalta tietokoneelta. On ymmärrettävää, että yksinkertaisuuden vuoksi kaikilla työasemilla on asennettuna samat ohjelmistot. Kuitenkin tällainen konfiguraatio helpottaa monenlaisten ”inhimillisten virheiden” tekemistä – tietoturvaongelmista puhumattakaan. Pitäisinkin järkevimpänä pitää työasemat, joilla arkaluonteisia tietoja käsitellään, mahdollisimman lukittuina, vaikka se sitten tarkoittaisikin sitä, että lääkärillä olisi kaksi tietokonetta työpöydällään.

Lääkäri ylipäätään ajatteli lähettää potilastietoja sähköpostitse. IT-alan ammattilaiset tietävät hyvin, että sähköposti viestikanavana on varsin turvaton: viestejä pystyy yleensä lukemaan lähettäjän ja vastaanottajan lisäksi myös jokainen ”kaapelin välissä” oleva. Keravan kaupungin tietohallinnon tulisikin teknisten rajoitteiden ja ennen kaikkea koulutusten kautta tehdä henkilöstölle selväksi, että sähköposti on yleensä huono idea salassapidettävien tietojen lähettämiseksi.

Potilastietoja ei ollut (oletettavasti) salattu mitenkään. Kuka tahansa näistä vääristä vastaanottajista siis pystyy lukemaan lähetettyjen tiedostojen sisällön. Pitäisi olla itsestäänselvää, että siirrettiinpä potilastietoja miten tahansa – vaikka fyysisestikin – tulee niiden olla aina vahvasti salattuja. Täydellisessä maailmassa potilastietojärjestelmissä vietävien tietojen salaus on vakiotoiminto, mutta tarjoamalla sairaanhoitohenkilökunnalle tarpeeksi koulutusta ja kunnolliset työvälineet salaamiseen päästään jo pitkälle.

Huomaamattomalla toimintavirheellä on mahdollista lähettää sähköpostia huomattavan väärään osoitteeseen. En ole varma, miten lääkäri onnistui lähettämään viestin näinkin väärin – Iltalehden uutinen puhuu nimenomaan monikossa tiedotusvälineistä, joten oletettavasti viesti on lähtenyt useaankin paikkaan. Mieleen tulee lähinnä jokin valmis postituslista, joka jakelee kaupungin mediatiedotteet pitkin-poikin. Jos asia on näin, on selvää, että listan oikeuksissa on pahasti korjattavaa.

* * *

Kokonaisuutena puhutaan tilanteesta, jota ei olisi koskaan pitänyt päästä tapahtumaan. Vaikka tämä lääkäri tekikin kämmin, josta hän saa kuulla noin seuraavat tuhat vuotta3, pitäisin pääsyyllisenä Keravan kaupungin tietohallintoa ja sen selvästi puutteellisia käytäntöjä. Tällainen vahinko laittaa miettimään, miten leväperäisesti Kerava – ja mahdollisesti muutkin Suomen kunnat – potilastietojaan käsittelevät.


1) Puhtaasti spekulatiivinen tapahtumainkulku, en ole saanut Iltalehden uutista kummempaa informaatiota asiasta.
2) Käytän läpi tämän kirjoituksen viestin lähettäneestä henkilöstä nimitystä lääkäri. En ole varma, minkätittelinen henkilö asialla oli, mutta mielikuvissani kyseessä oli nimenomaan lääkäri.
3) Joo. Tuhat vuotta – kirjaimellisesti.