Tietosuojavaltuutettu HUSin kirjesekaannuksesta: Toukokuussa nähdään, kuinka paljon tietovuotoja oikeasti tapahtuu

Tietosuojavaltuutettu Reijo Aarnio muistuttaa, että toukokuussa voimaan astuva EU:n tietosuoja-asetus edellyttää riskianalyysin tekemistä potilastietojen käsittelystä.

tietovuoto
Reijo Aarnio
Tietosuojavaltuutettu Reijo Aarnio on pyytänyt Digilta Mindsia tekemään selvityksen tavastaan tehdä persoonallisuusanalyysejä työnhakijoista.Matti Hämäläinen / Yle

Tiistain uutinen HUSin kirjesekaannuksesta saa lomalta tavoitetun tietosuojavaltuutetun Reijo Aarnion pohtimaan toukokuussa voimaan astuvaa EU:n tietosuoja-asetusta uudesta näkökulmasta.

HUS tiedotti tiistaina lähettäneensä vahingossa satojen potilaiden tietoja ulkopuolisille henkilöille. Viisi ihmistä on saanut käsiinsä yhteensä yli 500:n HUSin potilaan sairaskertomus-tietoja virheellisen kirje-lähetyksen takia.

Tuleva tietosuoja-asetus mahdollistaa sanktioiden määräämisen tietosuojalainsäädännön vastaisesta toiminnasta. Sakon suuruus voisi olla esimerkiksi joko 10 tai 20 miljoonaa euroa tai 2–4 prosenttia yrityksen liikevaihdosta.

Eduskunta pui sanktiojärjestelmää parhaillaan.

– Hallitus esittää, että julkisen puolen toimijoille ei määrättäisi hallinnollisia sanktioita mahdollisista väärinkäytöksistä, mutta yksityiselle sektorille sellainen tulisi. HUS on julkinen toimija ja postitusfirma yksityinen toimija, joten tämä tapaus saa kyllä pohtimaan tulevaa sanktiojärjestelmää uudessa valossa, tietosuojavaltuutettu Reijo Aarnio pohtii.

HUSin mukaan virhe on tässä tapauksessa täysin palveluntarjoajan vastuulla.

Tietosuojavaltuutettu odottaa lisää ilmoituksia tietovuodoista

HUS on tehnyt ilmoituksen kirjesekaannuksesta sekä tietosuojavaltuutetulle että Valviralle. Reijo Aarnio ennakoi, että ilmoitusten määrä kasvaa tietosuoja-asetuksen voimaantulon jälkeen.

– Jatkossa tietovuodoista on pääsääntöisesti pakko tehdä ilmoitus tietosuojavaltuutetulle. Tällä hetkellä tällaista pakkoa ei tarkkaan ottaen vielä ole. Odotan mielenkiinnolla, että millä aloilla ja kuinka laajoja tietovuotoja kaikkiaan tapahtuu.

Yksi viime aikojen laajimmista tietovuodoista on viime vuonna ilmennyt THL:n tietovuoto, joka koski 6 000 ihmistä.

Tietosuojavaltuutettu Reijo Aarnio korostaa, että tietovuoto on vakava asia mittakaavasta riippumatta ja niistä on otettava oppia. Esimerkiksi potilastietojen käsittelystä on jatkossa tehtävä riskianalyysi.

– Nykyään ei oikein edes ymmärretä sitä, että missä kaikkialla vuodetut tiedot voivat myöhemmin tulla vastaan.

HUSin palveluntarjoaja Ropo Capital pahoittelee tapahtunutta, ja on jo ilmoittanut muuttaneensa toimintatapojaan. Esimerkiksi HUSin potilastietojen kaltaista materiaalia käsitellään jatkossa aina useamman ihmisen voimin, eikä vastaavaa virhettä pitäisi enää tapahtua.

– Ehkä heidän kannattaisi kuitenkin vielä hiukan syvemmin katsoa, että saisiko inhimillisen erheen mahdollisuuden poistettua kokonaan, Reijo Aarnio miettii.