Hyppää sisältöön

Hylättyihin sairaaloihin unohtui tuhansien henkilöiden salaisia papereita Pirkanmaalla, kertoo Ylen selvitys

Helsingin yliopiston terveysoikeuden professori Lasse Lehtonen sanoo, että tapaukset täyttävät salassapitorikoksen tunnusmerkit.

Salaisiksi tarkoitettuja papereita löytyi elokuussa 2021 myös Ylisen suljetun kuntoutuskeskuksen alueelta Ylöjärvellä. Ylisen alueen rakennuksiin oli murtauduttu. Kuva: Marko Melto / Yle

Tyhjillään oleviin pirkanmaalaisiin sairaaloihin unohtuneet salaiset paperit koskevat suurempaa joukkoa ihmisiä kuin aiemmin on kerrottu.

Pirkanmaan sairaanhoitopiirin tekemien tietoturvaloukkausilmoitusten mukaan hävittämättä jääneissä asiakirjoissa oli arviolta tuhansien henkilöiden tietoja. Mukana oli myös alaikäisten papereita.

Ilmoituksissa on kuvattu aiemmin uutisoitua tarkemmin se, mitä papereita tyhjillään olevista rakennuksista löytyi ja mistä ne löydettiin.

Yle sai tietoturvaloukkausilmoitukset tietopyynnöllä tietosuojavaltuutetun toimistosta.

Helsingin yliopiston terveysoikeuden professori Lasse Lehtonen sanoo, että tapaukset täyttävät rikoksen tunnusmerkit. Lehtonen tietää useita vastaavanlaisia tapauksia parin viime vuosikymmenen ajalta.

– Tyypillistä näissä salassapitorikoksissa on ollut se, että ei ole huolehdittu vanhojen papereiden arkistoimisesta tai hävittämisestä asianmukaisesti.

Työntekijä löysi papereista oman nimensä

Elokuussa 2021 kävi ilmi, että Pirkanmaan sairaanhoitopiirin omistamaan Ylisen entiseen kuntoutuskeskukseen oli jäänyt arkaluontoisia papereita. Pitkin pihoja oli muun muassa keskuksen entisten asukkaiden yksityisiä tietoja sisältäviä asiakirjoja.

Kehitysvammaisten henkilöiden kuntoutuskeskuksen entinen työntekijä löysi alueella lojuneista papereista myös oman nimensä.

Myöhemmin elokuussa 2021 Mänttä-Vilppulan kaupunki tiedotti, että tyhjillään olevasta Mäntän sairaalasta oli tarkastuksessa löydetty asiakirjoja, jotka oli tarkoitettu hävitettäviksi.

Syyskuussa 2021 Pirkanmaan sairaanhoitopiiri kertoi, että oli tehnyt uusia tarkastuksia kolmeen tilaan ja myös niistä löytyi salaiseksi tarkoitettua materiaalia. Tuolloin sairaanhoitopiiri ei halunnut yksilöidä tiloja, jotta niihin ei murtauduttaisi.

Esimerkiksi Kaivannon sairaalaa sairaanhoitopiiri ei maininnut lainkaan, eikä sitä, miten monia henkilöitä tietoturvaloukkaukset yhteensä koskivat.

– Emme ole yrittäneet vältellä tai vähätellä tehtyjen tietosuojatarkastusten tuloksia. Toimimme asiassa oma-aloitteisesti, ja kun olimme saaneet tarkastukset ja viranomaisilmoitukset tehtyä, teimme asiasta erillisen tiedotteen, sanoo nyt sairaanhoitopiirin tietohallintojohtaja Pasi Lehmus Ylelle sähköpostiviestissä.

Ylen saamat ilmoitukset tietoturvaloukkauksista koskevat Ylisen entistä kuntoutuskeskusta Ylöjärvellä, Mäntän sairaalaa Mänttä-Vilppulassa ja Kaivannon sairaalaa Kangasalla. Sairaanhoitopiiri on tehnyt ilmoitukset 4.8.2021, 27.8.2021 ja 2.9.2021.

Asioiden käsittely on kesken tietosuojavaltuutetun toimistossa.

Papereita kerätty kasoihin sieltä täältä

Mäntän sairaalaa koskevassa ilmoituksessa sairaanhoitopiiri kirjoittaa, että tyhjillään olevasta rakennuksesta löytyi suuria määriä henkilötietoja sisältäviä asiakirjoja. Asiakirjat sisälsivät tietoja sekä potilaista että henkilökunnasta.

Sairaanhoitopiiri arvioi tietosuojavaltuutetulle, että Mäntän sairaalassa tietoturvaloukkauksen kohteena olevia henkilöitä oli 5 000, mukana myös alaikäisiä. Tätäkään sairaanhoitopiiri tai Mänttä-Vilppulan kaupunki eivät kertoneet elokuussa.

– Arvioimme riskin potilaiden henkilötietojen väärinkäytöstä pieneksi, tietohallintojohtaja Pasi Lehmus sanoo.

Papereita löytyi kellarista kolmesta kasasta, ensiapu- ja röntgentiloista, arkistosta, henkilöstön pukutiloista, apteekista ja apteekin yläpuolella sijaitsevasta asuntolasta.

Todennäköistä on, että materiaalia oli siirretty ja keräilty sieltä täältä kasoihin. Myös yksittäisiä asiakirjoja oli sieltä täältä.

Pirkanmaan sairaanhoitopiirin tietoturvaloukkausilmoitus

Aineistot sisälsivät muun muassa henkilökunnan työvuoro- ja lomalistoja, tyhjiä potilaskansioita, laboratoriolähetteitä ja -vastauksia, potilaan tutkimustuloksia, luottamusmiehen aineistoja, kuten jäsenluetteloita ja maksutietoja, potilaslaskutusta, kouluterveydenhoitajan kirjoittamia potilastekstejä ja poliisin myöntämiä kaasusumutinlupia.

Apteekin yläpuolella sijaitseva asuntola on ollut täysin avoin ja jäljistä päätellen ulkopuolisia henkilöitä on käynyt murtautumisen yhteydessä tiloissa jo aiemmin. Henkilötiedot ovat olleet löydettävissä huoneesta ilman esteitä.

Pirkanmaan sairaanhoitopiirin tietoturvaloukkausilmoitus

Sairaanhoitopiirin mukaan aineistot on aikanaan toimitettu välivarastoihin, joissa ne piti hävittää, mutta jostain syystä hävitys oli jäänyt tekemättä. Osasta papereista löytyi hiiren jätöksiä ja osa oli syötyjä.

Ruutuvihkoissa kuvailtiin potilaiden käytöstä

Myös Kaivannon sairaalaan oli unohtunut monenlaisia, salassa pidettäviä tietoja sisältäviä asiakirjoja.

Yhden rakennuksen tiloissa oli vihkoja ja papereita, jotka sisälsivät Pirkanmaan sairaanhoitopiirin potilastietoja kuntoutukseen osallistujista. Nämä olivat muun muassa nimiä, henkilötunnuksia ja diagnoositietoja.

Tilaan on murtauduttu jo useaan kertaan; ovessa selvät murtojäljet ja ikkunalasi korvattu levyllä. Tiedot olivat helposti saatavilla, mutta eivät heti nähtävillä.

Pirkanmaan sairaanhoitopiirin tietoturvaloukkausilmoitus

Toisen rakennuksen tiloista löytyi SPR:n vastaanottokeskuksen jäljiltä muutamia asukkaiden tietoja, joissa näkyi nimet ja tunnistetiedot, työntekijöiden työvuorolistoja nimineen, vastaanottorahapäätöksiä sekä työntekijöiden sähköpostiosoitteita ja salasanoja.

Kaivannon sairaalassa toimi vastaanottokeskus vuosina 2015–2016 sen jälkeen, kun sairaalakäyttö oli loppunut.

Kolmannesta rakennuksesta löytyi CP-yhdistyksen asiakirjoja, yhteensä noin neljä mapillista.

Asiakirjoissa oli kursseille osallistuneiden henkilöiden nimiä, osoitteita ja puhelinnumeroita. Lisäksi löytyi ruutuvihkoja, joihin oli kirjoitettu leirille osallistuneiden henkilöiden potilastietoja sekä kuvailtu muun muassa potilaiden käytöstä.

Lisäksi Kaivannon sairaala-alueen muista rakennuksista ja rivitaloasunnoista löytyi sekä työntekijöiden että asukkaiden itse jälkeensä jättämiä papereita. Kyse oli esimerkiksi koulu- ja työtodistuksista, laskuista, oikeuslaitoksen kirjeistä ja lääkemääräyksistä.

Sairaanhoitopiiri arvioi, että Kaivannossa tietoturvaloukkauksen kohteena olevien henkilöiden määrä oli 500. Tietoturvaloukkauksen kohteiksi sairaanhoitopiiri on nimennyt työntekijät, potilaat ja alaikäiset.

Murtautumisen syynä lienee enemmän ollut seikkailunhalu, kuin minkään anastaminen saati henkilötietojen kerääminen.

Pirkanmaan sairaanhoitopiirin tietoturvaloukkausilmoitus

Tarkastuskierrokset eivät auttaneet Ylöjärvellä

Ylisen kuntoutuskeskuksen alueella asiakirjoja oli levitelty ympäriinsä. Paperit liittyivät sekä asiakkaisiin että henkilökuntaan.

Asiakirjoista löytyi yhdeksän henkilön nimi ja henkilötunnus. Henkilötietoja oli muun muassa hoitokertomuksessa ja -suunnitelmassa sekä yhteystietoluettelossa.

Muissa asiakirjoissa oli näkyvillä etunimi tai etunimi ja sukunimi. Nämä olivat päivittäisraportteja ja henkilöstön avainten seurantalistoja.

Sairaanhoitopiirin mukaan Ylisen muuton yhteydessä asiakas- ja henkilötietoja sisältävät asiakirjat seulottiin ja siirrettiin TAYSin arkistoihin, mutta pieni määrä papereita oli jäänyt inhimillisen virheen vuoksi alueelle. Muuton jälkeen alueella tehtiin useita tarkastuskierroksia, mutta silti dokumentit jäivät huomaamatta.

Suljetun Ylisen kuntoutuskeskuksen ikkunoita on paikkailtu vanerilevyillä. Kuva: Antti Eintola / Yle

Poliisi voi tulla mukaan kuvaan

Helsingin yliopiston terveysoikeuden professori Lasse Lehtonenpitää tapahtunutta vakavana.

– Kun suhteellisen iso määrä potilasasiakirjoja joutuu asiattomien nähtäväksi, niin onhan se aina vakava asia.

Lehtonen sanoo, että Pirkanmaan sairaanhoitopiirin tapaukset eivät ole ainutlaatuisia. Hän muistaa tapauksia, joissa esimerkiksi purkujen tai muuttojen yhteydessä on papereita löytynyt roskalavoilta tai joku kaappi on jäänyt tyhjentämättä.

– Kyllä nämä salassapitorikoksen tekomuodon täyttävät, Lehtonen sanoo.

Jos kyseessä on viranomainen, rikosnimike voi olla myös virkavelvollisuuden rikkominen.

– Mitä isommasta määrästä papereita on kyse, sitä vakavampi asia on, Lehtonen sanoo.

Helsingin yliopiston terveysoikeuden professori Lasse Lehtonen. Kuva: Mohamed El Bouari / Yle

Tietosuojavaltuutetun toimiston lisäksi asia voi siis päätyä poliisin tutkittavaksi.

– Jos poliisille joku tekee tutkintapyynnön, niin varmaan näin käy, Lehtonen sanoo.

Asianomistajia ovat ne henkilöt, joiden tiedot ovat paljastuneet.

Henkilötietojen tietoturvaloukkaukset perustuvat usein inhimilliseen virheeseen.

– Parhaiten tällaisilta tapauksilta vältytään, jos on riittävän tarkat ohjeet siitä, kuka vastaa tyhjilleen jäävän tilan asiakirjojen arkistoinnista tai hävittämisestä, Lehtonen sanoo.

Tärkeää on myös tietosuojakoulutus, joka on Lehtosen mukaan yleensä hyvää terveydenhuollossa.

Identiteettivarkaus mahdollinen

Sisä-Suomen poliisi kertoo Ylelle, että sille ei ole ole tehty ilmoituksia siitä, että ulkopuolinen olisi päässyt käsiksi henkilötietoihin Ylisen kuntoutuskeskuksessa, Kaivannon sairaalassa tai Mäntän sairaalassa.

Poliisin mukaan sairaanhoitopiiri ilmoitti poliisille 19.8.2021, että Ylisen suljettuun kuntoutuskeskukseen oli murtauduttu ja lukitusta kaapista oli levitelty joitain asiakirjoja tilan lattialle.

– Epäiltyä ei tuolloin saatu selville ja jutun tutkinta on keskeytetty, kertoo rikosylikomisario Pasi Nieminen sähköpostiviestissä.

Pirkanmaan sairaanhoitopiiri arvioi tietosuojavaltuutetulle, että sekä Kaivannon ja Mäntän sairaalan että Ylisen kuntoutuskeskuksen tietoturvaloukkauksella voi olla kohtalaisen vakavia vaikutuksia. Näitä voivat olla muun muassa henkilötietojen leviäminen, identiteettivarkaus ja salassapitovelvollisuuden suojaamien tietojen paljastuminen.

Muun muassa graffitit seinässä paljastavat, että Ylisen kuntoutuskeskus ei ole ollut vähään aikaan käytössä. Kuva: Marko Melto / Yle

Sairaanhoitopiiri keräsi Ylisen alueelta löytyneet paperit pois elokuussa sen jälkeen, kun oli saanut niistä ilmoituksen. Ylisen tietoturvaloukkauksen kohteena olleille henkilöille sairaanhoitopiiri ilmoitti asiasta 13.08.2021.

Kaivannon ja Mäntän sairaalassa tapahtuneista tietoturvaloukkauksista sairaanhoitopiiri ei aio ilmoittaa niiden kohteena oleville henkilöille. Tätä sairaanhoitopiiri perustelee sillä, että kaikki aineistot kerättiin tarkastusten jälkeen pois ja tuhottiin tietoturvallisesti.

– Koska kohdehenkilöitä oli paljon ja löytyneet tiedot olivat isolta osin erittäin vaikealukuisia, päädyimme kontaktoimaan tietosuojavaltuutetun toimistoa. Lisäksi teimme tarkastuksista yleisen tiedotteen, tietohallintojohtaja Pasi Lehmus sanoo.

Lehmus myöntää, että sairaanhoitopiiriltä on puuttunut toimintatapa sille, miten tyhjilleen jäävien rakennusten asiakirjat hoidetaan.

– Tämä pitää valitettavasti paikkansa. Tietoja löytyi sairaala-alueilta hajanaisesti, eikä yksittäisiä tiloja ole tarkastettu riittävän huolellisesti. Varsinaiset potilasarkistot on luonnollisesti käsitelty asianmukaisesti.

Sairaanhoitopiiri lakkautti näiden aluesairaaloiden toiminnan asteittain vuosina 2010–2015. Organisaation vastuunjaot ovat tämän jälkeen muuttuneet.

Nykyään vastuu potilasasiakirjojen tietosuojasta kuuluu toiminnan osalta johtajaylilääkärille ja teknisen toteutuksen osalta tietohallintojohtajalle. Toimitilojen turvallisuudesta vastaa turvallisuuspäällikkö.

Vastaavien tapausten estämiseksi sairaanhoitopiiri on ohjeistanut, että kaikkien tulevien muuttojen yhteydessä tehdään pakollinen tietosuojatarkistus.

Mitä ajatuksia juttu herätti? Voit keskustella keskiviikkoon kello 23:een asti.

Lue lisää:

.
.