Hallitus antoi viime viikon torstaina lakiesityksen sosiaali- ja terveystietojen toissijaisesta käytöstä. Toissijaista on käyttö muuhun kuin potilaan palvelemiseen. Tutkimukseen, kehittämiseen, tilastointiin, valvontaan. Ja niin edelleen.
Tiedot Kannasta, biopankeista, geenipankeista sekä kansallisista sote-rekistereistä keräisi THL:n yhteyteen perustettava lupaviranomainen. Se antaisi yhdeltä luukulta luvat tiedon käyttöön.
Ajatus on kannatettava. Rekisteripohjainen tieteellinen tutkimus on Suomen vahvuuksia, ja uusi käytäntö saattaisi houkutella Suomeen uutta yritystoimintaa tutkimuksen ympärille. Potilaat saavat tiedon pohjalta uusia hoitoja. Malmikasasta jalostuisi kansallinen aarre, kuten sosiaali- ja terveysministeriö visioi.
Tiedot saisi siirtää vain lupaviranomaisen hyväksymään tietoturvalliseen järjestelmään. Tämä estäisi tietojen pääsyn vahingossa vääriin käsiin, STM vakuuttaa.
Lääkäriliitto kiinnitti lausunnossaan silti huomiota datan vaaroihin. Tietoturvallisen ympäristön vaatimuksia ja valvontaa onkin lausuntokierroksen jälkeen tiukennettu. Erityisen huolissaan Lääkäriliitto oli tiedostomuotoisesta datasta. Ehdotuksessa tietoa voi erikoistapauksissa saada tiedostoina, kunhan se on anonymisoitu eikä yksilötietoja voi palauttaa. Mitä tämä tieto voi olla, on määritetty nyt aiempaa tarkemmin.
Ehdotus on siis muuttunut parempaan suuntaan. Kokemus kuitenkin kertoo tietoturvan haavoittuvuudesta. Vuotaa voi vahingossa, kuten THL:stä äskettäin. Tai tarkoituksella. Kysykää Yhdysvaltain viranomaisilta.
Hallintoylilääkäri ja terveysoikeuden professori Lasse Lehtonen kertoi elokuussa Uuden Suomen blogissa HUS:n tietoturva-auditoinnista. Osana sitä selvitettiin potilastietorikoksia.
Tulokset ovat roisia luettavaa. Anonyymistä Tor-verkosta saattoi esimerkiksi ostaa Yhdysvaltain länsirannikon sairaaloiden potilaskertomuksia 20 000 dollarilla kappale. HUS:n miljoonan potilaan tietojen arvo olisi tällä perusteella 20 miljardia dollaria.
Käsittämätön summa. Potilastietoihin kohdistuu rikollista kiinnostusta väistämättä myös Suomessa.
Tiedetoimittaja Jani Kaaro selvitti äsken Rapport-sivustolla, minkälaisia muita haasteita uusi viranomainen on kohtaamassa.
Ihmisten tunnistaminen nimettömästä geenidatasta on osoittautunut helpoksi. Vuonna 2013 Harvardin yliopisto kokeili sitä niin, että tiesi geenien lisäksi sukupuolen, syntymäajan ja postinumeron. 579 ihmisestä tunnistettiin 271.
Pelkkä hakukone saattaa riittää. Koska sukulaiset identifioituvat yhtenevistä geenijaksoista, julkisiin tietoihin vertaaminen voi paljastaa henkilöllisyyden.
Tietoturva on pohjimmiltaan ihmisten käsissä, joten lääkärien on syytä tiedostaa vastuunsa. Esimerkiksi sairautta ennakoivien tietojen kanssa tulee olla erityisen varovainen. Silti käytännöt vaihtelevat ja vakuutusyhtiöön saattaa lähteä koko sairauskertomus geenitesteineen.
Potilastietojen jatkojalostaminen on kaikin puolin kannatettavaa – myös kaupallisiin tarkoituksiin. Uusia lääkkeitä, hoitoja harvinaissairauksiin, parempaa johtamista, verotuloja. Paljon hyvää on luvassa.
On silti syytä olla tuudittautumatta viranomaisten lupaaman tietoturvan taakse.
Tietoturva on jokaisen työntekijän asia. Erityisesti lääkärin.
Kirjoittaja:
Pekka Nykänen
vastaava päätoimittaja
Lääkärilehti
Kirjoitus on julkaistu Lääkärilehdessä 44/2017.