Hyppää sisältöön
Hyppää sisältöön
Etusivulle
63Lue kommentteja (63)
Turvallisuus

Väärä potilas kutsuttiin sydän­operaa­tioon Varsinais-Suomessa – Ylen selvitys näyttää koko maan ongelmat

Yle selvitti, kuinka usein potilaiden tiedot vaarantuvat eri hyvin­vointi­alueilla. Varsinais-Suomessa korostuvat ongelmat postituksessa.

Vääriin osoitteisiin on päätynyt Varsinais-Suomessa esimerkiksi potilaskertomuksia, kutsu sydänoperaatioon ja lastensuojeluilmoitus. Video: Kalle Mäkelä / Yle

Varsinais-Suomessa asuvan henkilön postilaatikkoon tipahti runsas vuosi sitten täysin odottamatta kutsu sydänoperaatioon.

Tarkemmin katsottuaan hän huomasi, että ajanvarauskirjeessä olikin vieraan ihmisen nimi ja henkilöturvatunnus. Varsinais-Suomen hyvinvointialue (Varha) oli lähettänyt epähuomiossa kutsun toimenpiteeseen väärälle potilaalle.

Kyseessä ei ole ainutlaatuinen tapaus.

Arkaluontoisia potilas- ja sosiaalihuollon asiakirjoja päätyi postitusvirheiden takia väärille ihmisille yli 40 kertaa Varhan alueella vuosina 2024–2025.

– Yksiköissä on kiirettä, ja potilasasiakirjoja tulee laitettua vääriin kuoriin. Tällaisia inhimillisiä virheitä on vaikea estää, tietoturvapäällikkö Jouni Satopää selittää.

Varhassa on keskusteltu automaattiseen postitusjärjestelmään siirtymisestä postitusvirheiden vähentämiseksi. Postitusrobotiikkaa on jo otettu käyttöön TYKSissä.

Yle kävi tätä juttua varten läpi lähes sata Varhaa koskevaa tietoturvaloukkausilmoitusta. Tietosuojavaltuutetun toimistoon tehdyissä ilmoituksissa toistuu potilastietojen päätyminen vääriin käsiin juuri inhimillisen erheen vuoksi.

Eniten ilmoituksia Pohjois-Savossa

Varsinais-Suomen hyvinvointialue ei paini yksin tietoturvaongelmien kanssa. Tuhansien suomalaisten terveystiedot vaarantuvat vuosittain eri puolilla Suomea.

Hyvinvointialueet tekivät tietosuojavaltuutetulle yhteensä lähes 5 200 ilmoitusta aiheuttamistaan tietoturvaloukkauksista vuosina 2023–2025. Lisäksi Helsingin kaupunki ilmoitti yli 800 tietoturvaloukkauksesta sosiaali- ja terveyssektorilla. Asia selviää Ylen tekemästä tietopyynnöstä.

Hyvinvointialueista eniten tietoturva­loukkaus­ilmoituksia on tehnyt Pohjois-Savon hyvinvointialue – yhteensä 785 kappaletta. Vähiten ilmoituksia ovat lähettäneet Lappi, kymmenen kappaletta, ja Kainuu kuusi.

Pohjois-Savon hyvinvointialueen tietosuojavastaava Auli Mikkonen sanoo, että runsas tietoturvaloukkausilmoitusten määrä ei välttämättä ole huono asia.

– Se ei missään nimessä ole pelkästään negatiivinen asia. Pidän erittäin positiivisena, että henkilöstö tunnistaa tilanteet ja osaa ilmoittaa niistä.

Mikkosen mukaan ilmoitusten määrä kertoo siitä, että Pohjois-Savossa tietoturvaloukkauksiin suhtaudutaan vakavasti.

– Ei niitä voi peitellä, inhimillisiä vahinkoja sattuu. Ne pitää tuoda näkyväksi ja käsitellä tietosuoja-asetuksen edellyttämällä tavalla.

Mikkonen arvelee, että suuret erot ilmoitusten määrässä hyvinvointialueiden välillä johtuvat siitä, kuinka tiukasti tapauksiin suhtaudutaan.

– Kun ollaan kiikun kaakun tilanteessa, aiheutuuko tietoturvariskiä vai ei, asetumme rekisteröidyn puolelle. Mieluummin tehdään ilmoitus, kuin jätetään tekemättä.

Inhimillinen virhe suurin tekijä

Apulaistietosuojavaltuutettu Annina Hautala pitää hyvin­vointi­alueiden tekemien tieto­turva­loukkaus­ilmoitusten määrää merkittävänä.

– Näkisin, että sote-sektorin toimijoilla on työtä tehtävänään tietosuojan kehittämiseksi. En kuitenkaan olisi liian huolissani tilanteesta. Suurimmassa osassa kyse on yksittäistapauksista.

Nainen nojaa seinää vasten.
Apulaistietosuojavaltuutettu Annina Hautalan mukaan myös tietoturvaloukkausilmoitusten alhainen määrä voi herättää epäilyn. Kuva: Tietosuojavaltuutetun toimisto

Hautalan mukaan tietoturvaloukkaukset johtuvat pääosin inhimillisestä virheestä. Tietoja on lähetetty postitse tai sähköpostilla väärälle henkilölle, tai potilastietoja on kirjattu väärän ihmisen tietoihin.

Tietoturvaloukkauksia voi aiheutua myös urkintatapauksista, kuten Kymenlaaksossa.

Viime viikolla Yle kertoi Pirkanmaan hyvinvointialueen irtisanoneen lääkärin, joka tulosti kymmenien potilaiden tietoja. Pohjois-Pohjanmaan hyvinvointialue sai puolestaan apulais­tieto­suoja­valtuutetulta huomautuksen työntekijöiden urkittua toisten työntekijöiden potilastietoja.

– Tyypillisiä ovat urkinnat, joissa on katsottu tuttujen, kuten entisen puolison tai työkavereiden tietoja, Hautala kertoo urkintatapauksista.

Lisää: Näin selvität, onko potilas­tietojasi urkittu salaa – Kymenlaaksossa paljastui jo toinen tieto­turva­loukkaus

Haminan terveysaseman aula.

Hautalan mukaan organisaation pitäisi huolehtia siitä, että perusasiat ovat kunnossa ja työntekijät käsittelevät tietoja huolellisesti.

– Pelkästään se, että ohjeistuksesta ja koulutuksesta huolehditaan, veisi asioita paremmalle tolalle.

Tietosuojavaltuutetun toimistossa seurataan tarkasti ilmoitusten määriä. Sen perusteella voidaan päättää, selvitetäänkö asioita tarkemmin.

– Joissain tapauksissa on päätetty ryhtyä toimenpiteisiin, jos jostain organisaatiosta on tullut poikkeuksellisen vähäinen määrä tieto­turva­loukkaus­ilmoituksia, Annina Hautala sanoo.

Varhan ylilääkäri Pirjo Mustonen kertoo videolla, millaisissa tilanteissa asiakkaiden tietoja vaarantuu.

Video: Markku Pitkänen / Yle, Kalle Mäkelä / Yle

Tietoturva-asioista vastaava ylilääkäri Pirjo Mustonen Varsinais-Suomen hyvinvointialueelta ihmettelee suuria eroja eri hyvinvointialueiden ilmoitusmäärissä. Hän arvelee, etteivät kaikki organisaatiot ilmoita tapauksista yhtä herkästi kuin Varhassa tehdään.

– Kukaan meistä ei halua, että omat tiedot menevät väärälle ihmiselle. Virheitä yritetään kaikin keinoin estää esimerkiksi kouluttamalla henkilöstöä, mutta niitä on todella vaikea saada kokonaan pois, hän toteaa.