Patientdatasystem övervakas inte utan anmälan om fel
Psykoterapicentret Vastaamo granskas nu av Tillstånds- och tillsynsverket för social- och hälsovården. Enhetschef Kaisa Riala vill se fallet som en lärdom för att något liknande inte ska kunna ske igen. Men bara en anställd ska sköta övervakningen, och för mindre aktörer räcker det med enbart en anmälan – ingen kontroll av systemen görs.
– Det här är ett grovt brott som riktar sig mot patienter som också i övrigt har haft sådana sårbarheter som har fått dem att söka sig till psykoterapeutisk vård, säger Kaisa Riala, enhetschef vid Tillstånds- och tillsynsverket för social- och hälsovården Valvira.
Uppgifter om dataintrånget hos psykoterapicentret Vastaamo blev offentliga förra veckan. En eller flera gärningspersoner har kommit åt tiotusentals patientjournaler, och både företaget och privatpersoner är utsatta för utpressning.
Då fallets omfattning klarnade under helgen och också regeringen sammanträtt om fallet, meddelade Tillstånds- och tillsynsverket på måndagen att man inleder vad man kallar ett brådskande övervakningsförfarande av Vastaamo.
Enligt Kaisa Riala handlar det om att säkerställa att Vastaamos patienter får trygg och ändamålsenlig vård och att den fortsätter trots allt – samt att patientdatasystemet nu är säkert så att nya läckor inte kan inträffa.
Verket har aldrig hittills behövt ta till ett sådant förfarande i frågor som gäller datasäkerhet, uppger Riala. Fallet är exceptionellt.
Kan det finnas liknande sårbarheter hos privata eller offentliga aktörer? – Jag skulle inte vara oroad över patientdatasystem på den offentliga sidan där kraven på systemen och kriterierna på vad de måste klara av är av en helt annan klass är hos de små privata aktörerna, säger Riala.
Riala vill att Valvira ska ta lärdom av fallet Vastaamo för att säkerställa att något liknande inte ska kunna ske en gång till.
På tillsynsverket är överingenjör Antti Härkönen ändå den enda anställda med ansvar för att övervaka systemen. Både lagstiftningen och resurserna utgör enligt honom hinder för en mer förebyggande verksamhet.
Som det är i dag behöver alla aktörer meddela verket när ett patientdatasystem börjar användas. Systemen delas sedan in i en A- och en Bkategori. Som A räknas alla dem som finns inom det så kallade kanta-systemet, som exempelvis Apotti.
Innan de kan börja användas krävs en kontroll gjord av Folkpensionsanstalten och också en utomstående validering.
För B-systemens del räcker det däremot med anmälan. Sedan är det på tillverkarens ansvar att allt fungerar.
Aktörerna är skyldiga att rapportera till Valvira om det uppstår avvikelser. Det här har gällt exempelvis Vastaamo.
– Efter det kan vi be om utredningar över vad som har inträffat och vilka korrigeringar som har gjorts för att det inte ska upprepa sig.
Han medger att fallet Vastaamo gör att man kan fråga sig om det är tillräckligt.
Efterfrågan på övervakning
Antti Härkönen säger att det finns efterfrågan från både tillverkare och sjukvårdspersonal på guidning och också övervakning av datasystemen.
– Inte borde det ju vara så att något ska vara fel för att vi ska gå in och granska.
Härkönen kastar bollen till beslutsfattarna. Han hoppas på en lagändring som skulle göra det möjligt för Valvira att göra mer preventivt arbete eller någon form av certifieringen av patientdatasystem. Likaså efterlyser han mer personal till övervakningen.
Vastaamo meddelade på måndagen att psykoterapicentrets patientdatasystem nu är i skick.
Härkönen säger att han under pågående utredning inte kan uttala sig om den saken, förutom att det är något som verket söker bekräftelse på.
Därför görs journalanteckningar
Kaisa Riala anser att finländare trots allt inte ska behöva oroa sig över att patientjournaler skulle läcka ut från andra instanser. Hon säger att hon ser fallet som ett exceptionellt enskilt brott som riktar sig mot Vastaamo och Vastaamos patienter.
Jag skulle inte vara oroad över patientdatasystem på den offentliga sidan där kraven på systemen och kriterierna på vad de måste klara av är av en helt annan klass är hos de små privata aktörerna. Kaisa Riala, enhetschef vid Tillstånds- och tillsynsverket för social- och hälsovården Valvira
Finns det en risk för att folk efter det här inte vågar söka hjälp eller funderar på vad man vågar berätta till den som vårdar en? – Jag anser att det gör det. Därför måste det här fallet utredas grundligt.
– I vården arbetar med den egna psykiska hälsan. Om man börjar grubbla över vad terapeuten antecknar och var informationen kan hamna fungerar inte vården som tänkt.
Vastaamo-fallet har också väckt frågor om vad som antecknas i patientjournaler.
Anteckningarna behövs enligt Riala på samma sätt som sjukvården journalför exempelvis ett kirurgiskt ingrepp.
– Psykoterapi är en medicinsk vårdform som har visat sig vara mycket effektiv. Alltid då man ger vård behöver man följa med patientens läge. Man måste komma ihåg vilka symtomen är, hur de har förändrats, vad som är vårdplanen och hur den kanske ska ändras. Att blir en logisk berättelse om vad som sker under vården.
När sjukvårdsdistrikten eller Folkpensionsantalten betalar för terapin måste terapeuten dessutom med jämna mellanrum ge utlåtanden om vården av patienten och hur den har framskridit.
Inte tredje part
Riala säger att psykoterapeuten har ett ansvar över vad som är sakligt att anteckna i patientjournalen. Klart är ändå att tredje parters namn eller personuppgifter inte ska framgå och att fokus ska vara på sådant som är relevant för patientens hälsa.
Hon ger ett exempel: Om en patient berättar om ett tärande äktenskapligt bråk ska inte terapeuten anteckna att en part sade detta och den andra det här, utan kort att patienten har grälat med sin partner, har sovit dåligt och gråter.
– Alltså hur grälet påverkar patienten, inte innehållet i det.
Enligt Riala har tillsynsverket i högre grad haft problem med för kortfattade anteckningar än tvärtom.