Etelä-Karjalan hyvinvointialue epäilee, että joitakin sen asiakas- ja potilastietoja saattaa olla luvattomasti hallussa asiaankuulumattomalla henkilöllä. Hyvinvointialue on ollut yhteydessä poliisiin ja tekee asiasta tutkintapyynnön.

Etelä-Karjalan sosiaali- ja terveyspiiri Eksote sai kesällä 2022 aluehallintovirastolta tiedon, että Eksoten asiakkaana olleiden noin 30 henkilön asiakas- ja potilastietoja on väärissä käsissä. Asiakirjat ovat päätyneet ulkopuolisen henkilön haltuun työntekijämme yksityiselämään liittyvässä tilanteessa.

Asiakirjat pyydetty heti hävitettäväksi

Eksote pyysi heti tiedon saatuaan asiakirjat itselleen hävitettäväksi. Oikeudettomasti haltuunsa saanut ja asiakirjoja hallussa pitänyt henkilö ilmoitti tuolloin itse hävittäneensä asiakirjat. Henkilölle täsmennettiin Eksotelta, että asiakas- ja potilastietojen hallussapito ja levittäminen on rikos. Eksote on tehnyt asiakirjojen haltuunsa saamiseksi sekä hävittämiseksi ne toimenpiteet, jotka ovat lain mukaan mahdollisia.

– Iltalehden toimittajan 8.6.2023 tekemän yhteydenoton perusteella meillä on vahva syy epäillä, että näitä viime kesänä väärissä käsissä olleita potilasasiakirjoja on edelleen saman henkilön hallussa. Lisäksi on herännyt epäily, että joitakin potilastietoja on vuodettu oman työntekijämme toimesta myös suullisesti. Tässä vaiheessa näillä tiedoilla emme ole vielä saaneet tarkempaa kuvaa siitä, keitä suullinen tietovuoto mahdollisesti koskee ja millä laajuudella, kertoo Etelä-Karjalan hyvinvointialuejohtaja Sally Leskinen.

– Olemme alustavasti tiedottaneet asiasta poliisia ja asiasta tehdään uusi tutkintapyyntö. Tavoitteemme on varmistaa eri tavoilla dokumentoitujen potilasasiakirjojen todennettu hävittäminen ulkopuolisen henkilön hallusta sekä selvittää mahdollisesti suullisesti vuodettujen tietojen kokonaisuutta. Näkemyksemme mukaan oikeudeton tietojen hallussapito ja levittäminen joka tapauksessa täyttää rikoksen tunnusmerkistön, eikä meillä itsellämme ole oikeuksia sellaisiin toimenpiteisiin, joilla voisimme varmistaa asiakirjojen hävittämisen, jatkaa Leskinen.

Asianosaiset asiakkaat kontaktoidaan aina

Eksote on ottanut kesällä 2022 yhteyttä niihin asiakkaisiin, joiden tietoja tiedettiin joutuneen vääriin käsiin. Hyvinvointialue on ottanut nyt viiveettä uudelleen yhteyttä näihin samoihin asiakkaisiin, joiden osalta on syytä epäillä heidän tietojaan yhä olevan oikeudettomasti organisaation ulkopuolisen henkilön hallussa. Suurin osa heistä on tavoitettu jo 9.6.2023. Asiasta on ilmoitettu viipymättä myös tietosuojavaltuutetun toimistoon.

Mahdollisesti suullisesti vuodettuihin tietoihin liittyvän kokonaiskuvan selkeytyessä hyvinvointialueelta otetaan yhteyttä myös niihin asiakkaisiin, joita tämä mahdollinen tietovuoto koskee.

Samaan tapahtumakokonaisuuteen liittyen Kaakkois-Suomen poliisilla on käynnissä esitutkinta, joka liittyy Eksoten lokitiedoista todennettuun oikeudettomaan asiakas- ja potilastietojen katseluun. Myös tässä tapauksessa asianosaisiin on oltu jo yhteydessä viime syksynä asian tullessa ilmi. Lokitietojen tarkastelusta on voitu päätellä, että kyseessä on ollut yksittäisiin, alle kymmeneen tapaukseen rajautunut tietoturvaloukkaus. Asiassa on tuolloin ryhdytty myös tilanteen vaatimiin työnjohdollisiin toimiin poliisille tehdyn tutkintapyynnön lisäksi.

– Pyydämme anteeksi kaikilta asiakkailtamme, joita tilanne koskee. Asia on erittäin kuormittava ja ikävä, eikä tällaista tilannetta saa syntyä. Asiakkaiden ja potilaiden pitää kaikissa olosuhteissa pystyä luottamaan, ettei heidän tietojaan potilasasiakirjoina tai suullisesti päädy milloinkaan ulkopuolisten tietoon. Asiakas- ja potilastietoja saavat käsitellä vain asiakas- tai hoitosuhteessa määritellyt ammattilaiset, sanoo Leskinen.

Sosiaali- ja terveydenhuollon asiakastietojan käsittely ja salassapito on alan ammattilaisille lakisääteisesti määritelty täysin yksiselitteisesti. EU:n yleisen tietosuoja-asetuksen ohella potilastietojen hallinnassa ja käsittelyssä sovelletaan muun muassa tietosuojalakia, potilaan asemasta ja oikeuksista annetun lain ja sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain säännöksiä. Lisäksi organisaation ohjeistuksella pyritään varmistamaan, ettei väärinkäytöksiä pääse tapahtumaan.

Etelä-Karjalan hyvinvointialueella tietosuojasta tarkat ohjeet

Tapauksissa, joissa hyvinvointialueen työntekijän epäillään katselleen asiakas- ja potilastietoja ilman asianmukaista perustetta tai mahdollisesti luovuttaneen tietoja missään muodossa eteenpäin, toimitaan aina organisaation työnjohdollisten ohjeiden mukaisesti. Työnjohdolliset toimet pitävät sisällään huomautuksen, varoituksen tai työsuhteen päättämisen. Työnjohdollisia toimia arvioidaan tapauskohtaisesti. Rikoksen tunnusmerkistön täyttävät tapaukset annetaan poliisin tutkittavaksi.

Tällaisissa tilanteissa hyvinvointialue ottaa viipymättä yhteyttä niihin asiakkaisiin ja potilaisiin, joita tietovuoto tai oikeudeton asiakas- tai potilastietojen katselu koskee. Tietoturvaloukkauksista ilmoitetaan aina lain edellyttämällä tavalla tietosuojavaltuutetun toimistoon.