Helsingin ja Uudenmaan sairaanhoitopiiri Hus ilmoitti tietoturvaloukkauksesta, joka liittyy potilastietojen käsittelyyn ja tietojen luovutuskieltoon.
IS Digitoday näki helsinkiläisen opettajan saaman kirjeen, jossa Hus kertoo hänen tietojaan päätyneen toisen rekisterinpitäjän rekisteriin siitä huolimatta, että opettaja on nimenomaan kieltänyt tietojen luovuttamisen.
– Luovutuskielto on, mutta siitä huolimatta tiedot ovat levinneet sellaisille tahoille, jotka niitä eivät ole kaivanneet. Ja nyt ei edes tiedetä, mihin ne tiedot ovat menneet, ja minulle ei sitä kerrota, opettaja ihmettelee.
– Minusta tämä on suorastaan skandaali.
Kirjeen mukaan Husin potilastietojärjestelmän toimittaja Oy Apotti Ab havaitsi häiriöilmoituksen selvityksen yhteydessä virheitä luovutuskiellon tehneiden potilaiden potilastiedoissa.
Oletus oli, että potilaan tietoja on päätynyt muualle kunnalliseen terveydenhuoltoon, mutta ei kuitenkaan Apotin ulkopuolelle. Kirjeen allekirjoittanut Husin vs. hallintoylilääkäri Veli-Matti Ulander kuitenkin kertoo uudesta käänteestä.
– Odotamme vielä virallista vahvistusta, mutta saamamme tiedon mukaan selvittelyissä on käynyt ilmi, että näistä tiedoista on muodostunut Apottiin oma rekisterinsä, jonne ei ole ollut pääsyä minkään Apotti-organisaation käyttäjillä, vaan ainoastaan Apotin admin-käyttäjillä, Ulander sanoo.
– Eli kukaan ei-asiaankuuluva ei ole päässyt tietoihin mitenkään käsiksi. Näyttäisi siis, että tietoturvaloukkausta ei ole tapahtunut, Ulander jatkaa.
”Kukaan ei-asiaankuuluva ei ole päässyt tietoihin mitenkään käsiksi.
Ilmeisesti väärää tietoa sisältänyt kirje lähti noin 500 Husin potilaalle, jotka ovat tehneet tietojen luovutuskiellon. Saatuaan asiasta vahvistuksen, Hus lähettää asianosaisille uuden kirjeen, jonka mukaan tiedot eivät sittenkään tallentuneet toisen organisaation työntekijöiden nähtäville.
Apotti ilmoitti asiasta jo 17. kesäkuuta, ja Hus raportoi asiasta tietosuojavaltuutetun toimistolle 28. kesäkuuta. Potilaille kirje lähti vasta 18. elokuuta. Ulanderin mukaan tässä välissä Apotissa koostettiin listaa niistä potilaista, joita asia koskee.
Alkuperäisessä kirjeessä sanottiin myös, että HUSissa kirjattu potilastieto ei ole enää välttämättä ollut HUSin henkilökunnan saatavilla. Pitääkö tämä edelleen paikkansa ja voiko se vaikuttaa potilasturvallisuuteen?
– Käsittääkseni tämä pitää edelleen paikkaansa. Meillä ei ole tiedossa, että tästä olisi aiheutunut konkreettista haittaa potilaille, mutta on mahdollista, että tällaisia tilanteita tulee esille nyt kun potilaita on informoitu tapahtuneesta. Nämä potilaat ovat saaneet ohjeet, kuinka he voivat olla meihin yhteydessä, Ulander vastaa.
Ulanderilla ei ole tietoa, onko virhe jo korjattu.
– Olemme omalta osaltamme hyvin pahoillamme tapahtuneesta, ja tulemme seuraamaan, että Apotti ja järjestelmätoimittaja Epic tekevät tarvittavat korjaukset Apotti-järjestelmään.
”Olemme hyvin pahoillamme tapahtuneesta.
Apotti on Uudenmaan ja erityisesti pääkaupunkiseudun kuntien sekä Husin yhteinen tieto- ja toiminnanohjausjärjestelmä. Sitä on arvosteltu kovin sanoin.
Käyttäjät ovat pitäneet järjestelmää vaikeana, sekavana, monimutkaisena ja potilasturvallisuuden kannalta jopa vaarallisena.
