Arvoisa rouva puhemies! Käsittelyssä on siis Tietosuojavaltuutetun toimiston toimintakertomus vuodelta 2022. Tietosuojavaltuutetun toimisto on itsenäinen ja riippumaton viranomainen. Se valvoo tietosuojalainsäädännön ja muiden henkilötietojen käsittelyä koskevien lakien noudattamista. 

Haluan nostaa esille tästä kertomuksesta apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaan mainitsemasta lasten tietosuojasta ja potilas- ja asiakastietojen käsittelystä seuraavia näkökulmia: 

Potilastiedothan ovat salassa pidettäviä tietoja, ja niitä voi luovuttaa sivulliselle eli muulle kuin samassa terveydenhuollon toimintayksikössä potilaan hoitoon tai siihen liittyviin tehtäviin osallistuvalle henkilölle joko potilaan suostumuksella tai silloin, jos oikeudesta tietojen luovuttamiseen tai saamiseen säädetään lainsäädännöllä. On kuitenkin erittäin huolestuttavaa, että hyvin usein saamme kuulla siitä, että potilaiden henkilö- ja yhteystietoja on katsottu luvatta. Tässä kertomuksessa kerrotaan, että terveydenhuolto muodostaa Tietosuojavaltuutetun toimiston suurimman toimialan vireille tulleiden asioiden määrässä mitattuna. Vuonna 22 Tietosuojavaltuutetun toimistossa vireille tulleista asioista noin 22 prosenttia koski terveydenhuollon toimialaa, ja asioista noin 80 prosenttia on juurikin henkilötietojen tietoturvaloukkauksia koskevia ilmoituksia. 

Arvoisa puhemies! Me kaikki muistamme varmasti Psykoterapiakeskus Vastaamon tietomurtoon liittyvät kysymykset ja sen, kuinka ne koskettivat meitä kaikkia, erityisesti terveydenhuoltoalaa mutta myös heitä, jotka olivat olleet Vastaamon asiakkaina. 

Ihmettelen sitä toimintatapaa, mikä näihin tietosuojaloukkauksiin ja henkilötietojen väärin katsomiseen usein liittyy. HUS-yhtymä eli Helsingin ja Uudenmaan sairaanhoitopiirihän kertoi, että vuonna 21 potilaiden henkilö- ja yhteystietoja oli katsottu väärin. Arviolta noin 1 350 asiakasta oli joutunut luvattoman tietomurron kohteeksi, ja nyt siitä vasta infottiin, elikkä potilaille ja asiakkaille on lähetetty kyllä siitä tietoa, mutta mikä on heidän oikeusturvansa tässä asiassa? Jokaisella potilaallahan on oikeus tehdä tutkintapyyntö, mikäli näin kokee, mutta monesti potilaat ja asiakkaat eivät välttämättä näin suureen prosessiin osaa itse lähteä ja tarvitsevat siinä suuresti apua. Elikkä tässä olisi paljon korjattavaa Suomen lainsäädännössä. — Tulen sinne puhujapönttöön jatkamaan vielä toisesta tärkeästä asiasta. [Puhuja siirtyy puhujakorokkeelle] 

Arvoisa rouva puhemies! Tämän haluan ehdottomasti mainita: Suomessa tehdään paljon yrityskauppoja myös liittyen terveydenhuoltoalaan. Sairaustietojen kauppaaminen on kielletty, mutta yritykset saavat yrityskauppojen yhteydessä laajoja terveysrekistereitä käyttöönsä, mistä asiakkaille ei valitettavasti useinkaan ilmoiteta. GDPR-artikla 9 kieltää terveystietojen käsittelyn mukaan lukien luovutus ilman asiakkaan suostumusta tai oikeudellista perustetta. On huolestuttavaa se, pysyvätkö kaikki potilastiedot salassa ja varmasti turvassa erilaisten yrityskauppojen myötä. Olen ymmärtänyt näin, että kieltoa potilastietojen myymiseen ei varsinaisesti lainsäädännöstä löydy, ja tämäkin herättää kysymyksiä siitä, pysyvätkö kaikki potilas- ja asiakastiedot varmasti varmassa tallessa. Se on varmasti yksi asia, mistä on syytä myös täällä eduskunnassa, esimerkiksi tämän kertomuksen käsittelyn aikaan, keskustella ja pohtia, olisiko lainsäädännössä jotakin tehtävää. 

Mutta erityisesti tärkeää on se, että niiden henkilöiden, joiden potilas- ja asiakastietoja katsotaan luvatta, tapaukset selvitetään ja nämä henkilöt saavat siitä tiedon, että heidän tietojaan on katsottu. Toivoisin, kun tuossa kertomuksessa on listattu asioita, joita selvitellään ja tarkkaillaan, että sinne lisättäisiin myös se, miten tärkeää on potilas- ja asiakastietorekistereiden turvallisuuden ja varmuuden ylläpito. Se olisi semmoinen päivän sana, mitä pitäisi pitää erittäin tärkeänä ja korkeasti yllä. — Kiitos. 

Arvoisa puhemies! Tietosuojahan on tosiaankin jokaisen perusoikeus. Siitä täytyy lähteä, ja sellaista yhteiskuntaa meidän täytyy yhdessä rakentaa, jossa kaikkien tietosuoja toteutuu ja se voidaan varmistaa. 

Näin kuntapäättäjänä ja kansanedustajana olen välillä vähän huolestuneena seurannut sitä keskustelua, jota uudesta tietosuojalainsäädännöstä ja erilaisista velvoitteista meillä yhteiskunnassa käydään. Jos mainitaan esimerkiksi tämä GDPR-asetus, joka Euroopan unionin kautta tuli, niin sen ympärillä on käyty aika paljon sellaista keskustelua, että siinä olisi hallinnon tasoilla kyse esimerkiksi turhasta byrokratiasta, joka lisää vain työmäärää, vaikeuttaa asioiden hoitoa, kun näitä erilaisia tietosuojakursseja ja ‑kokeita ja ‑asioita pitää järjestää. 

On syytä muistuttaa, että tietosuoja on kyllä niin tärkeä asia, että sen eteen pitää myöskin nähdä vaivaa eri hallinnon tasoilla. Tietysti sitä voidaan pohtia, miten erilaiset tietosuojamääräykset voidaan laatia niin, että ne ovat mahdollisimman sujuvia ja yksinkertaisia eivätkä myöskään tuota sitä turhaa työtä, mitä varmasti voi yhteiskunnassa myöskin esiintyä. 

Omassa kotikunnassani oli tällainen eräs esimerkki, jota aika moni valtuutettu kummasteli, ja se oli se, kun valtuustoaloitteita kunnassa tehtiin, ja nehän perinteisesti, kuten kuntapäättäjäkollegat tässä salissa tietävät, allekirjoitetaan. Näiden uusien tietosuojasäännösten perusteella nämä allekirjoitukset piti sitten poistaa, kun aloitteet vietiin kirjaamoon ja sitä kautta kunnan nettisivuille, jotta siellä ei allekirjoitusta ole kopioitavissa valtuustoaloitteen pohjasta. Sitä voi pohtia, onko tällainen allekirjoituksen poistaminen sieltä valtuustoaloitteesta välttämätön toimenpide tietosuojan kannalta, vaarantuuko siinä jotakin, voiko aloitteen allekirjoittaja siinä altistua jonkinlaiselle tietoturvaloukkaukselle, jos tätä allekirjoitusta aletaan jollain tavalla väärin käyttämään. 

Ehkä tämä pieni esimerkki, anekdootti, johdattelee siihen teemaan, että pidetään lainsäädäntö tehokkaana mutta kuitenkin niin yksinkertaisena, että siitä ei esimerkiksi kunnissa turhaa byrokratiaa ja sitä kautta kustannuksia aiheudu, niin että tietosuoja pystytään kuitenkin kaikkien osalta varmistamaan.