Vakuutusyhtiöt - Tietojen minimointi - Potilastiedot

Säädösperusta:	EU:n yleisen tietosuoja-asetuksen mukainen päätös
Antopäivä:	08.07.2021
Diaarinumero:	3141/182/21

Tietosuojavaltuutetun päätös tietojen minimointia ja sisäistä ja oletusarvoista tietosuojaa koskevassa asiassa

Asia

Potilasvakuutuskeskuksen oikeus saada potilastietoja

Rekisterinpitäjä

Potilasvakuutuskeskus

Asian taustaa

Tietosuojavaltuutetun toimistolla on kesällä 2018 saatettu vireille asia, jossa vireillesaattaja on kertonut, että rekisterinpitäjälle on hänen näkemyksensä mukaan luovutettu sairaalasta enemmän potilastietoja, kuin on ollut vahingon selvittämisen kannalta tarpeellista (dnro 2677/182/18). Tämän yksittäistapauksen käsittelyn yhteydessä tietosuojavaltuutetun toimisto on selvittänyt myös rekisterinpitäjän järjestelmällistä toimintatapaa sen pyytäessä korvausasian käsittelyä varten potilastietoja terveydenhuollolta.

Tämä päätös koskee rekisterinpitäjän järjestelmällistä toimintatapaa.

Rekisterinpitäjältä saatu selvitys

Rekisterinpitäjä on kertonut toimintatavastaan seuraavaa:

Sen jälkeen, kun asia on rekisteröity, Potilasvakuutuskeskus pyytää selvitystä niistä hoitolaitoksista, jotka korvauksenhakija on vahinkoilmoituksessaan ilmoittanut. Selvityspyyntöä laadittaessa rekisterinpitäjällä on lähtötietoina käytössään ainoastaan korvausta vaativan tahon itse tekemä vahinkoilmoitus mahdollisine liitteineen. Tämä vahinkoilmoitus liitetään aina selvityspyyntöön, koska hakijan siinä antama valtuutus muodostaa oikeuden asiakirjojen saamiselle. Vahinkoilmoitus auttaa lisäksi hoitolaitosta arvioimaan, mitkä asiakirjat ovat tarpeen vahingon selvittämiseksi. Rekisterinpitäjä korostaa, että pelkän vahinkoilmoituksen perusteella ei vielä ole mahdollista tarkasti määrittää vahinkohetkeä tai vahingon laajuutta, koska kyse on monesti vaikeista lääketieteellisistä tilanteista, jotka edellyttävät potilasasiakirjamerkintöjen ja muun saattavan selvityksen pohjalta tehtävää lääketieteellisen asiantuntijan arviota.

Selvityspyyntöjen yksilöiminen ei rekisterinpitäjän mukaan ole mahdollista pyyntöjen suuren määrän ja suppeiden lähtötietojen vuoksi. Rekisterinpitäjä on kuitenkin vuoden 2019 alkupuolella selvittänyt asiaa, ja päätynyt lisäämään selvityspyyntöihin seuraavan tekstin: ”Käsittelyssämme olevan vahinkoasian selvittelyä varten pyydämme ystävällisesti lähettämään oheiseen vahinkoilmoitukseen liittyen”. Lisäyksellä on pyritty kiinnittämään hoitolaitosten huomiota siihen, että pyyntö kohdistuu ainoastaan liitteenä olevan vahinkoilmoituksen kannalta tarpeellisiin selvityksiin.

Rekisterinpitäjä katsoo, että epäselvissä tapauksissa hoitolaitosten tulisi ennen asiakirjojen toimittamista pyrkiä selvittämään, miltä osin potilasasiakirjamerkinnät ovat tarpeen korvauksen perusteen sekä korvausvelvollisuuden laajuuden selvittämiseksi. Rekisterinpitäjä toteaa, että hoitolaitoksista löytyy myös lääketieteellinen asiantuntemus sen arvioimiseksi, miltä osin vahingonkärsijää koskevat potilasasiakirjamerkinnät ovat tarpeen vahingon selvittämiseksi. Hoitolaitoksen on sillä käytössään olevien potilasasiakirjamerkintöjen, potilaan vahinkoilmoituksen ja lääketieteellisen tietämyksen perusteella voitava arvioida, miltä osin potilasasiakirjamerkintöjen toimittaminen Potilasvakuutuskeskukselle on tarpeen. Rekisterinpitäjä toteaa, että tilanteessa, jossa hoitolaitos ei selvityspyynnön perusteella tiedä, mitä selvityksiä asiassa on tarpeellista lähettää, sen ei tulisi lähettää asiakirjoja ainakaan liian laajasti, vaan mahdollisesti pyytää Potilasvakuutuskeskusta täsmentämään pyyntöään.

Kysymykseen siitä, pyytääkö rekisterinpitäjä terveydenhuollon toimintayksiköltä lähtökohtaisesti vain hoitavan lääkärin lausunnon, rekisterinpitäjä on vastannut toteamalla, että ilman potilasasiakirjamerkintöjä on mahdotonta selvittää, onko kysymyksessä joiltain osin potilasvahinko, ja jos on, millaisia korvauksia sen perusteella tulee suorittaa. Tarpeelliset potilasasiakirjamerkinnät ja esimerkiksi kuvantamistutkimukset pyydetään tämän vuoksi aina.

Sovellettavasta lainsäädännöstä

Potilasvahinkolain (585/1986) 5 d §:ssä on säädetty nimenomaisesti Potilasvakuutuskeskuksen tiedonsaantioikeudesta. Potilasvahinkolaki on kumottu potilasvakuutuslailla 948/2019, joka on tullut voimaan 1.1.2021. Potilasvakuutuslaissa Potilasvakuutuskeskuksen tiedonsaantioikeudesta on säädetty nimenomaisesti 54 §:ssä. Tietojen luovuttamisen lainmukaisuutta arvioitaessa on lisäksi huomioitava henkilötietojen käsittelyä sääntelevä yleislainsäädäntö, joka on muuttunut tietojen luovutusajankohdan jälkeen.

Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (tietosuoja-asetus) on sovellettu 25.5.2018 alkaen. Säädös on asetuksena jäsenvaltioissa välittömästi sovellettavaa oikeutta. Tietosuoja-asetus sisältää kansallista liikkumavaraa, minkä perusteella kansallisella lainsäädännöllä voidaan täydentää ja täsmentää asetuksessa nimenomaan määriteltyjä seikkoja. Yleistä tietosuoja-asetusta täsmentää kansallinen tietosuojalaki (1050/2018), jota on sovellettu 1.1.2019 alkaen. Tietosuojalailla kumottiin aiemmin voimassa ollut henkilötietolaki (523/1999).

Rekisterinpitäjän yleisen menettelytavan arvioinnissa oikeudellisesti relevantti toiminta on jatkunut samanlaisena yleisen tietosuoja-asetuksen soveltamisen alkamisen jälkeen. Koska arvioinnin kohteena on rekisterinpitäjän tavanomainen ja edelleen käytössä oleva toimintatapa, sovelletaan asiaan yleistä tietosuoja-asetusta, eikä yleisen tietosuoja-asetuksen taannehtivan soveltamisen edellytysten arvioiminen ole tarpeellista. Tietojen minimointiperiaatteesta säädetään yleisen tietosuoja-asetuksen 5(1)(c) artiklassa. Sisäänrakennetusta ja oletusarvoisesta tietosuojasta säädetään yleisen tietosuoja-asetuksen 25 artiklassa.

Oikeudellinen kysymys

Tietosuojavaltuutettu arvioi ja ratkaisee soveltaen yleistä tietosuoja-asetusta (EU) 2016/679 ja tietosuojalakia (1050/2018), onko rekisterinpitäjä noudattanut potilastietoja hankkiessaan yleisen tietosuoja-asetuksen 25 artiklan 2 kohtaa ja 5 artiklan 1 kohdan c alakohtaa. Tietosuojavaltuutetun on myös arvioitava, tuleeko asiassa käyttää yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan mukaisia korjaavia toimivaltuuksia.

Tietosuojavaltuutetun päätös

Päätös

Rekisterinpitäjälle annetaan yleisen tietosuoja-asetuksen 58(2)(b) artiklan mukainen huomautus yleisen tietosuoja-asetuksen säännösten vastaisista käsittelytoimista.

Perustelut

Potilasvakuutuskeskuksen tiedonsaantioikeus potilasvakuutussääntelyn mukaan

Potilasvakuutuskeskuksen oikeus saada potilasasiakirjoja on perustunut 1.1.2021 saakka potilasvahinkolain (585/1986) 5 d §:ään, jonka mukaan:

”Potilasvakuutuskeskuksella on oikeus saada maksutta korvauksen perusteen ja korvausvelvollisuuden laajuuden määrittämiseksi tarpeelliset tiedot viranomaiselta, terveyden- ja sairaanhoitotoimintaa harjoittavalta, vahingonkärsineen tai muun korvauksen hakijan työnantajalta, eläke- tai vakuutuslaitokselta, eläkesäätiöltä sekä työttömyyskassalta sen estämättä, mitä salassapitovelvollisuudesta tai henkilörekisteritietojen luovuttamisesta muualla säädetään”.

Tällä hetkellä Potilasvakuutuskeskuksen tiedonsaantioikeudesta säädetään potilasvakuutuslain (948/2019) 54 §:ssä, jonka 1 momentin 3 kohdan mukaan Potilasvakuutuskeskuksella on oikeus saada salassapitosäännösten estämättä:

”3) lääkäriltä ja muulta terveydenhuollon ammattihenkilöltä, terveydenhuollon toimintayksiköltä sekä vahinkoa kärsineen kuntoutusta toimeenpanevalta taholta ja muulta terveydenhuollon toimintayksiköltä sekä sosiaalipalveluiden tuottajalta tai hoitolaitokselta tämän laatima lausunto ja muita tietoja potilasasiakirjoista, terveydentilasta, työkyvystä, hoidosta ja kuntoutuksesta.”

Tietojen hankkiminen korvausasian ratkaisemista varten ja yleinen tietosuoja-asetus

Potilasvakuutussääntelyyn sisältyvän tarpeellisuusedellytyksen kanssa samankaltainen, henkilötietojen käsittelyyn yleisesti sovellettava rajoitus tulee tietosuoja-asetuksen 5(1)(c) artiklasta (tietojen minimointi), jonka mukaan henkilötietojen on oltava asianmukaisia, olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään.

Yleisen tietosuoja-asetuksen 25(2) artiklassa säädetään puolestaan sisäänrakennetusta ja oletusarvoisesta tietosuojasta, jonka mukaan rekisterinpitäjällä on velvollisuus toteuttaa tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa.

Noudattaakseen 25(2) artiklan mukaista velvoitettaan, rekisterinpitäjän on valittava oletusarvoiset käsittelyasetukset ja -vaihtoehdot ja vastattava niiden täytäntöönpanosta siten, että oletusarvoisesti toteutetaan vain asetetun lainmukaisen tavoitteen saavuttamiseksi ehdottoman välttämätön henkilötietojen käsittely. Tämä tarkoittaa muun muassa sitä, että perusvaatimuksena on tietosuojan sisällyttäminen henkilötietojen käsittelyyn oletusarvoisesti, eikä rekisterinpitäjä esimerkiksi oletusarvoisesti kerää enempää henkilötietoja kuin on välttämätöntä. Toimenpiteillä on voitava oletusarvoisesti varmistaa, että vain sellaisia henkilötietoja käsitellään, jotka ovat tarpeen kunkin nimenomaisen käsittelytarkoituksen kannalta.

Edellä esitetyt, yleisen tietosuoja-asetuksen mukaiset velvoitteet edellyttävät korvausasian ratkaisemiseksi hankittavien tietojen rajaamista ainoastaan käsittelytarkoituksen kannalta tarpeellisiin tietoihin. Henkilötietoja vastaanottavan tahon on minimointiperiaatetta ja sisäänrakennettua ja oletusarvoista tietosuojaa koskevia velvoitteita noudattaakseen pyrittävä rajaamaan pyydettävät tiedot asianmukaisesti, poistettava tarpeettomat tiedot, jos tällaisia sille luovutetaan, sekä huolehdittava, että kyseessä olevaan henkilötietojen käsittelyyn liittyvät toimenpiteet on rakennettu sellaisiksi, että ainoastaan käsittelytarkoituksen kannalta tarpeellisia henkilötietoja käsiteltäisiin.

Korvausasian ratkaisemista varten hankittavien tietojen rajaaminen

Käytännössä tarpeellisuusharkinta edellyttää, että potilastietojen rekisterinpitäjän tulee seuloa tiedoista tarpeelliset, jotka annetaan vakuutusyhtiölle lausunnon muodossa, tai toissijaisesti, silloin kun on olemassa selkeitä perusteita luovuttaa asiakirjajäljennöksiä, merkintöjä luovutetaan vain perustelluilta osin esimerkiksi peittämällä tarpeettomat tiedot. Vain poikkeustapauksissa vakuutusyhtiölle voidaan luovuttaa kaikki potilasasiakirjat tietyn ajanjakson ajalta. Tarpeellisuusharkinnan merkitys korostuu, kun vakuutusyhtiölle luovutetaan tietoja lausunnon sijasta suoraan potilasasiakirjajäljennöksinä. Näissä tilanteissa potilastiedot on käytävä yksityiskohtaisesti läpi ennen niiden luovuttamista, jotta tietojen luovuttamisen välttämättömyydestä voidaan varmistua.

Tietojen antotavan osalta esimerkiksi Suomen Lääkäriliiton suosituksessa potilastietojen luovuttamisesta vakuutusyhtiölle on todettu, että potilaan terveydentilaa koskevat tiedot tulisi luovuttaa lausunnon muodossa, ellei erityislainsäädännössä erikseen ole menettelystä toisin säädetty. Myös tietosuojavaltuutettu katsoo, että tiedot tulee pyytää ja luovuttaa ensisijaisesti lausunnon muodossa. Tällainen toimintatapa on henkilötietojen minimointiperiaatteen mukainen ja suojaa potilaan yksityisyyttä esimerkiksi tilanteessa, jossa käyntikirjauksiin sisältyy muitakin kuin selkeästi korvausasian käsittelyn kannalta tarpeellisia tietoja.

”[…] näyttöaineiston luotettavuuden ja välittömyyden kannalta on potilasvahinkoasioissa tärkeää saada käytettäväksi jäljennökset hoitotapahtumassa syntyneistä potilasasiakirjoista sellaisenaan, sen sijaan että tietoja annettaisiin sitä varten erikseen laadituilla lausunnoilla. Oikeus hoitoa koskevien tietojen saantiin maksutta on potilasvakuutuksessa näiden syiden vuoksi perusteltua. Mikäli asianomainen terveyden- tai sairaanhoitotoiminnan harjoittaja niin haluaa, on tällä luonnollisestikin oikeus antaa omasta puolestaan erillinen lausunto tai selvitys. Maksun tai muun korvauksen suorittamista myöskään omasta puolesta annetusta lausunnosta ei kuitenkaan voida pitää aiheellisena.”

Potilasvahinkolakiin tehtyihin muutoksiin liittyvän hallituksen esityksen perusteluihin on näin ollen sisällytetty informaatiota siitä, minkä tyyppisiä tietoja Potilasvakuutuskeskuksen on tarpeellista saada. Huomioitakoon, että tämän tyyppinen määrittely tulisi perustuslakivaliokunnan vakiintuneen linjan mukaisesti tehdä lain tasolla, ja lakiesityksen perusteluissa säännöksessä todettua voidaan täsmentää, mutta ei laajentaa. Lakiesityksen perusteluissa kuvattujen asioiden tulisi ilmetä myös itse pykälätekstistä, ja selkeänä lähtökohtana on pidettävä sitä, että ainoastaan lakiin kirjoitetulla on lainkäytössä sitova vaikutus.

Tietosuojavaltuutettu toteaa, etteivät potilasvahinkolain muuttamista koskevan lakiesityksen perustelut ole esitetyiltä osin yhteensovitettavissa yleisen tietosuoja-asetuksen sääntelyn kanssa, eikä niissä huomioida asianmukaisella tavalla henkilötietojen käsittelylle asetettua tarpeellisuusvaatimusta. Koska lainsäädännöstä seurannut tila on edellä kuvatulla tavalla ollut epäselvä, ei rekisterinpitäjän toimintaa voida arvioida samalla tavoin moitittavaksi, kuin jos kyse olisi selkeästi rekisterinpitäjää koskevan lainsäädännön huomiotta jättämisestä.

Uuden, 1.1.2021 lähtien voimassa olleen potilasvakuutuslain esitöissä vastaavaa lausuntoja koskevaa mainintaa ei ole, ja hallituksen esityksen yksityiskohtaisissa perusteluissa (HE 298/2018) todetaan seuraavasti:

”Potilasvakuutuskeskuksen olisi pyrittävä mahdollisuuksien mukaan yksilöimään tarvitsemansa tiedot. Korvattavuuden ratkaisemista ja korvauksen suuruuden määrittämistä varten tarvitaan tarkat tiedot esimerkiksi vahinkoa kärsineelle aiheutuneista vammoista, niiden aiheuttamista hoitotoimenpiteistä ja työkyvyn rajoituksista.”

Jo ennen kyseistä lakimuutosta Potilasvakuutuskeskus on pyrkinyt tehostamaan tietojen tarpeellisuusedellytyksen toteutumista lisäämällä vuonna 2019 selvityspyyntöön maininnan siitä, että tietoja pyydetään nimenomaan selvityspyynnön ohessa olevaan vahinkoilmoitukseen liittyen. Tietosuojavaltuutettu toteaa, että muutosta edeltänyt rekisterinpitäjän järjestelmällinen toimintatapa ei ole täyttänyt yleisen tietosuoja-asetuksen 5(1)(c) artiklan ja 25(2) artiklan mukaisia edellytyksiä, ja selvityspyyntöjen rajaus on tuolloin jäänyt puutteelliseksi.

Selvityspyyntöjen rajaamisen osalta voidaan myös todeta, ettei rekisterinpitäjän vuonna 2019 käyttöönottama uusi toimintatapa varmista automaattisesti ja aukottomasti tietojen minimointiperiaatteen toteutumista. Tietosuojavaltuutettu korostaa, että rekisterinpitäjän tulee kiinnittää edelleen huomiota siihen, että pyyntö on aina tapauskohtaisesti asianmukaisesti rajattu. Yllä mainittuja yleisen tietosuoja-asetuksen velvoitteita noudattaakseen rekisterinpitäjän tulee lisäksi varmistaa selvityspyyntöä terveydenhuollolle lähettäessään, ettei selvityspyynnön ohessa toimitettavaan vahinkoilmoitukseen sisälly sellaisia vastaanottajan kannalta tarpeettomia henkilötietoja, joita ei vastaanottajalle tulisi toimittaa. Lisäksi Potilasvakuutuskeskuksen olisi tullut ja tulee myös jatkossa käydä terveydenhuollolta saadut tiedot huolellisesti läpi ja hävittää niistä tarpeettomat. Minimointiperiaatteen edellyttämä arviointi on näin ollen tehtävä niin selvityspyyntöä tehtäessä kuin sen nojalla saatuja tietoja käsiteltäessäkin.

Edellä esitetyillä perusteilla tietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58(2)(b) artiklan mukaisen huomautuksen. Asiassa on lisäksi arvioitu perusteita määrätä rekisterinpitäjää muuttamaan sen käsittelytoimet asetuksen säännösten mukaisiksi, mutta asian käsittelyn aikana tapahtuneista lainsäädäntömuutoksista johtuen tätä ei ole katsottu perustelluksi. Asiassa ei ole erikseen arvioitu, onko rekisterinpitäjä muuttanut toimintatapaansa potilasvakuutuslain (948/2019) tultua voimaan 1.1.2021.

Koska määräyksen antamiselle ei asiassa ole perusteita, tietosuojavaltuutettu ohjaa rekisterinpitäjää huomioimaan edellä avatut, yleisen tietosuoja-asetuksen 5(1)(c) artiklan ja 25(2) artiklan mukaiset velvoitteet sen kerätessä henkilötietoja korvausasian ratkaisemista varten, ja huolehtimaan näin siitä, että sen käsittelytoimet ovat yleisen tietosuoja-asetuksen säännösten mukaisia.

Asiassa on arvioitu myös perusteita määrätä rekisterinpitäjälle yleisen tietosuoja-asetuksen 83 artiklan mukainen hallinnollinen seuraamusmaksu. Tällaista ei kuitenkaan ole katsottu perustelluksi johtuen epäselvästä oikeustilasta, joka on aiheutunut Potilasvakuutuskeskuksen tiedonsaantioikeutta koskevan säännöksen yksityiskohtaisista, pykälätekstiä laajentaneista perusteluista.

Sovelletut lainkohdat

Perusteluissa mainitut.

Muutoksenhaku

Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään hallinto-oikeuteen.

Tiedoksianto

Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.

Lisätietoja tästä päätöksestä antaa asian esittelijä

Ylitarkastaja Niina Miettinen, puh. 029 566 6774

Päätös on lainvoimainen.