Digitaalisten hyvinvointituotteiden kehittyessä olen monesti miettinyt, miten tuotteiden tuottama terveystieto on mahdollista suojata henkilötietojen tietosuoja-asetusten ja lakien vaatimalla tavalla. Tätä olen usein kysäissyt mm. terveydenhuollon ammattilaisilta. Kysymys on herättänyt hämmästystä. Jos olen saanut jonkinlaisen vastuksen, niin se ollut kommentti tähän tyyliin ” jokainen omistaa omat tietonsa ja on jokaisen oma asia, minne tietonsa antaa”. Lähempi tarkastelu osoittaa, että tilanne ei olekaan huono. Vastuulliset laitevalmistajat ovat huolehtineet turvallisesta henkilötietojen käsittelystä. Tosin ostohetkeen asti tietoisuus tietosuoja-asioista ei ole vielä laajalti jalkautunut. Parasta on, että Kela tarjoaa Omakannan yhteydessä kaikille mahdollisuuden säilyttää ja käsitellä omia hyvinvointitietojaan Omatietovarannossa. Tosin se on vielä kehitysvaiheessa, mutta osittainen käyttöönotto on jo aloitettu.

Kelan Omakannan Omavaranto

Kelan Omakannan Omavarannossa tiedot voivat olla henkilön itsensä syöttämiä tai mittauslaitteen tuottamia. Mittalaitteiden tuottamat tiedot tuodaan järjestelmään siihen integroitavalla internet- tai mobiilisovelluksella. Sovelluksen tulee täyttää kansalliset hyväksymistestit ja läpäistä Kanta-palvelujen hyväksymistestaus. Henkilö itse antaa sovellukselle käyttöoikeuden ja hänen tulee olla yli 16-vuotias.

Omavarannon palvelut

Omavarantoon on liitetty sovellusluettelo käytettävissä olevista sovelluksista. Luettelosta henkilö voi valita ne, joille on antanut käyttöoikeudet omaan Omavarantoonsa. Tässä vaiheessa omatietovarannossa näkyy tietoja vain niille Omakannan käyttäjille, jotka käyttävät Virtuaalisairaalan Terveyskylpylä-palveluja ja tallentavat tietoja Omatietovarantoon.

Omakannan Omatietovarannon toiminnat ovat: Henkilö voi tallentaa omat tietonsa ja Mittauslaite tuottaa tiedot ja tallentaa ne. Henkilö voi tehdä kyselyjä tallennettuihin tietoihinsa. Omakannassa voi selata ja poistaa

  • kaikkia tallennettuja omia hyvinvointitietoja
  • omia kyselyjä
  • mittauslaitteiden mittaustuloksia
  • itse tallennettuja suunnitelmia
  • kaikkia sovelluksia, joille olet antanut käyttöoikeudet

Omakannassa voit selata myös Sovellusluetteloa niistä sovelluksista, joille on mahdollista antaa käyttöoikeus omiin tietoihin.

Omavarannon tietojen käyttömahdollisuudet

Nyt tuotteita on markkinoilla pilvin pimein ja uusia tulee rytinällä. Miten itse edes muistaa missä laitteessa on mitäkin tietoa ja miltä ajalta?
Kaikki terveyteen liittyvä mittaustieto on hyödyllistä sairauden ilmaantuessa. Lääkäri voi nähdä historian ja tehdä parempia hoitosuunnitelmia. Myös yhteistyössä liikunnanohjaajien, fysioterapeuttien jne. kanssa tiedot ovat hyödyllisiä ja helpoin tapa pitää tiedot turvallisesti kasassa on Kelan Omavaranto. Sen kyselytoiminto antaa mahdollisuuden lista tietoja tässä kehitysvaiheessa ainakin tietyltä aikaväliltä

EU:n tietosuoja-asetus (GDPR) ja hyvinvointitiedot

EU:n tietosuoja-asetuksen tavoitteena on mahdollistaa tiedon vapaa liikkuvuus EU:n alueella, mikä voi toteutua vasta kun kaikilla EU-mailla on samat pelisäännöt eli samanlaiset lait. Asetus määrittelee myös käsittelyn vaatimukset henkilötietojen turvalliseen käsittelyyn sekä henkilön oikeudet omiin tietoihinsa. Hyvinvointitietoihin lukeutuu usein tietoja, jotka luokitellaan arkaluontoisiksi terveystiedoiksi. Niistä asetuksessa on erityisen tarkat turvallisuusmääräykset.

Tunnetut valmistajat kuten Polar ja Oura kertovat tietosuojaselosteissaan, miten heillä henkilötietoja käsitellään. Selosteessa tai informointiasiakirjassa käydään läpi henkilön oikeudet tietoihinsa, minne tietoja luovutetaan, missä niitä käytetään ja missä niitä säilytetään.

Asetuksen mukaiset oikeudet ovat:

  1. Oikeus tarkastaa omat tietonsa.
  2. Oikeus pyytää korjausta tietoihinsa.
  3. Oikeus vaatia tietojensa poistamista ts. vaatimus tulla unohdetuksi.
  4. Oikeus siirtää tiedot johonkin toiseen järjestelmään, silloin kun tiedot ovat rekisteröidyn itsensä toimittamia ja tietojen käsittely perustuu suostumukseen tai sopimukseen.
  5. Oikeus kieltää suoramarkkinointi tai rajoittaa kiistanalaisten tietojen käsittelyä, kunnes asia saadaan ratkaistua.
  6. Oikeus vastustaa henkilötietojensa käsittelyä, jos on sitä mieltä, että tietoja on käsitelty lain vastaisesti tai rekisterinpitäjällä ei ole oikeutta käsitellä niitä.
  7. Oikeus tehdä valitus henkilötietojensa käsittelystä valvontaviranomaiselle.

Kuluttajana olet EU:n tietosuoja-asetuksen sanaston mukaan ”rekisteröity” ja sinulla on yllä luetellut oikeudet tietoihisi. Jos olet ostamassa laitetta, joka tallentaa terveyttä koskevia mittaustuloksia ko. laitteen ulkopuolelle, niin silloin on aiheellista kysyä, miten tietosuoja-asiat on hoidettu. On hyvä käydä edellä esitetyt kysymykset läpi. Monesti tuntuu, että eihän sillä ole väliä, kuka minun treenitietojani katselee. Niinpä! Mutta suojaamattomat tiedot voivat olla mahdollisuus helposti tehtävään identiteettivarkauteen! Olen huomannut, että verkkokauppojen sivuilla ei pääsääntöisesti ole mitään linkkiä tai mahdollisuutta tarkistaa tietosuoja-asioita. Toivottavasti tilanne paranee jatkossa.

Kysyin tätä kirjoittaessani tunnetulta suomalaiselta operaattorilta verkkokaupan Chatissa, että mistä saan tietoa tietyn älykellon tietosuoja-asioista. Vastaus oli, että pitää kysyä valmistajalta (tunnettu suomalainen merkki). Tosiasiassa tietoa tarvitaan nimenomaan ostopäätöstä tehdessä. Asiakaspalvelija Chatissä kiitti ja lupasi viedä verkkokaupan kehitysidean eteenpäin. Tämä vinkkinä myös kaikille muille verkkokaupoille ja tietysti ”livekauppiaille”! Sovellusten rakentajien ja omistajien kannattaa miettiä ihan tuotekehityksen alkumetreillä myös nämä tietosuojavaatimukset ja kansainväliset standardit.

Kansainvälinen yhteistyö

EU:n tietosuoja-asetus yhtenäisti henkilötietojen käsittelyn pelisäännöt tiedon vapaata liikkumista varten. Lisäksi tarvitaan standardoidut profiilit tietojärjestelmien integrointiin. Tätä varten on kansainvälinen yhteisö IHE (Integrating the Healthcare Enterprise), jonka tehtävänä on kansainvälisten ratkaisujen määrittely ja kansallisten käyttöönottojen tukeminen. Suomessa IHE Finland on sen jäsen. Hyvinvointiin liittyvien sovellusten rakentajien on hyvä huomioida IHE:n toiminta, sillä hankinnoissa jatkossa yhä enemmän vaaditaan IHE-profiileja. IHE:n toimintaa kannattaa seurata, sillä heidän tekemät profiilit ja selvitykset ovat saatavilla veloituksetta arviointiin ja käyttöön.

Täältä löytyy tarkempaa tietoa http://www.hl7.fi/sig-toiminta/ihe-sig/.

Paula Miinalainen on pitkän linjan ICT-ammattilainen. Hänellä on vuosikymmenten aikana syntynyt ammattitaito järjestelmien rakentamisesta erityisesti taloushallinnon ja vakuutustenhoidon alueella. Paulasta on tärkeää se, että nyt yhdenmukaistetaan EU:n määräämänä henkilötietojen käsittelyä.

Hyvinvointi, Tietoturva ja tietosuoja

, ,