Ennakoiva terveydenhuolto - Potilastiedot

Säädösperusta:	EU:n yleisen tietosuoja-asetuksen mukainen päätös
Antopäivä:	23.06.2022
Diaarinumero:	3895/83/22

Apulaistietosuojavaltuutetun päätös varoituksen antamisesta sekä kirjalliset neuvot ennakkokuulemispyynnön perusteella

Asia

Rekisterinpitäjä on saattanut tietosuojavaltuutetun toimistossa vireille ennakkokuulemispyynnön 2.5.2022. Pyyntö koskee potilastietojen käsittelyä ennaltaehkäisyn ja ennakoinnin tarkoituksissa. Terveytensä puolesta riskissä olevat potilaat tunnistettaisiin ja saatettaisiin hoidon piiriin terveydenhuoltojärjestelmästä tulevan yhteydenoton kautta. Potilasmassaa sekä potilastietoja käytäisiin läpi tietokoneavusteisesti terveytensä puolesta riskissä olevien potilaiden löytämiseksi. Toimintamallin tavoitteina olisi lisätä yksilön terveyttä ja hyvinvointia, ennaltaehkäistä sairauksien puhkeamista ja etenemistä sekä kehittää terveydenhuoltojärjestelmän tasapuolisuutta.

Rekisterinpitäjän laatimaan riskiarvioon keskittyvän ennakkokuulemispyynnön käsittelyn lisäksi asiassa on tarpeen tarkastella henkilötietojen käsittelyn lainmukaisuutta. Lainmukaisuuden arviointi (kohta 3) rajoittuu kohdissa 3.1.1 ja 3.2.1 todettuihin oikeudellisiin kysymyksiin, eikä apulaistietosuojavaltuutettu ole muutoin arvioinut sitä, täyttäisikö suunniteltu henkilötietojen käsittely yleisen tietosuoja-asetuksen (TSA, (EU) 2016/679) sekä toimintaan sovellettavan muun lainsäädännön vaatimukset.

Kohdassa 4 tarkastellaan rekisterinpitäjän tunnistamia korkeita riskejä sekä annetaan tietosuojavaltuutetun toimiston kirjalliset neuvot ennakkokuulemispyynnön perusteella.

Apulaistietosuojavaltuutetun päätös

Automaattisten yksittäispäätösten muodostuminen

Ratkaistavat oikeudelliset kysymykset

Apulaistietosuojavaltuutettu arvioi, muodostuisiko suunnitellussa henkilötietojen käsittelyssä TSA 22 artiklassa tarkoitettuja automatisoituja yksittäispäätöksiä

a) niiden potilaiden kohdalla, jotka poimittaisiin tarkempaan tarkasteluun riskiarvion perusteella, tai

b) niiden potilaiden kohdalla, joita ei poimittaisi tarkempaan tarkasteluun riskiarvion perusteella

Lisäksi apulaistietosuojavaltuutettu arvioi, onko asiassa tarpeen käyttää TSA 58 artiklan 2 kohdan mukaisia korjaavia toimivaltuuksia.

Sovellettava lainsäädäntö

Yleistä tietosuoja-asetusta sovelletaan henkilötietojen käsittelyyn yleissäädöksenä.

TSA 4 artiklan 4 kohdan mukaan profiloinnilla tarkoitetaan mitä tahansa henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia, erityisesti analysoidaan tai ennakoidaan piirteitä, jotka liittyvät kyseisen luonnollisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin.

TSA 22 artiklan 1 kohdan mukaan rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi.

TSA 22 artiklan 2 kohdan mukaan 1 kohtaa ei sovelleta, jos päätös a) on välttämätön rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten; b) perustuu rekisterinpitäjään sovellettavaan unionin oikeuteen tai jäsenvaltion lainsäädäntöön, jossa vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi; tai c) perustuu rekisteröidyn nimenomaiseen suostumukseen.

TSA 22 artiklan 4 kohdan mukaan edellä 2 kohdassa tarkoitetut päätökset eivät saa perustua TSA 9 artiklan 1 kohdassa tarkoitettuihin erityisiin henkilötietoryhmiin, paitsi jos sovelletaan 9 artiklan 2 kohdan a tai g alakohtaa ja asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi on toteutettu.

Tietosuojaviranomaisen korjaavista toimivaltuuksista säädetään TSA 58 artiklan 2 kohdassa. Kohdan a) alakohdan mukaan valvontaviranomainen voi varoittaa rekisterinpitäjää tai henkilötietojen käsittelijää siitä, että aiotut käsittelytoimet ovat todennäköisesti TSA:n säännösten vastaisia.

Ratkaisu

Automatisoituja yksittäispäätöksiä ei muodostuisi niiden potilaiden kohdalla, jotka poimittaisiin tarkempaan tarkasteluun riskiarvion perusteella.

Automatisoituja yksittäispäätöksiä todennäköisesti muodostuisi niiden potilaiden kohdalla, joita ei poimittaisi tarkempaan tarkasteluun riskiarvion perusteella.

Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle TSA 58 artiklan 2 kohdan a alakohdan mukaisen varoituksen. Suunnitellut käsittelytoimet ovat todennäköisesti TSA:n säännösten vastaisia, koska rekisterinpitäjä ei ole tunnistanut automatisoitujen yksittäispäätösten todennäköistä muodostumista, eikä ole ottanut huomioon TSA 22 artiklassa säädettyä.

Perustelut

Rekisterinpitäjän kuvaus suunnitellusta käsittelystä

Rekisterinpitäjä on kuvaillut tietosuojavaltuutetun toimistolle toimittamassaan materiaalissa suunniteltua henkilötietojen käsittelyä. Rekisterinpitäjä toteaa, että terveydenhuollon ennaltaehkäisevän toiminnan kannalta on tarpeen käydä läpi tietokoneavusteisesti potilasmassaa ja potilastietoja. Rekisterinpitäjä katsoo, että sairauksien ennaltaehkäisy on osa sairaanhoitopalveluiden järjestämistä. Ennaltaehkäisy ja ennakointi vaativat, että terveytensä puolesta riskissä olevat potilaat voidaan tunnistaa ja pyrkiä saattamaan hoidon piiriin proaktiivisen terveydenhuoltojärjestelmästä tulevan yhteydenoton kautta. Tällöin potilaille voidaan tarjota erilaisia varhaisen tuen palveluita ja ohjeistuksia vielä, kun ennaltaehkäisevät palvelut ovat potilaalle oikea-aikaisia.

Rekisterinpitäjän kuvauksen mukaan ammattilaisille nostettaisiin tietokoneavusteisen analyysin perusteella indikaattori riskistä niiden potilaiden kohdalla, joiden terveydentilaan olisi syytä puuttua ja jotka ovat antaneet suostumuksensa tähän.

Rekisterinpitäjä toteaa toimittamassaan aineistossa, että potilaiden riskitietojen yhdistäminen suostumuksen antaneeseen yksilöön ei johda automaattiseen päätöksentekoon tai hoitopäätöksiin. Asiakkailta ei rekisterinpitäjän mukaan voida evätä tai poistaa palveluita tietokoneavusteisen riskitiedon analysoinnin perusteella, vaan käsittelyn tarkoituksena on tarjota terveydellistä lisähyötyä ja toteuttaa aina kansallisten hoitokäytäntöjen mukaista hoitoa ja potilasvalintaa. Rekisterinpitäjä toteaa edelleen, että riskitietojen käsittely vaatii profilointia ja on potilaan nimenomaiseen suostumukseen perustuvaa palvelua.

Rekisterinpitäjä toteaa, että suostumuksen antaneiden potilaiden kohdalla voidaan yksittäiselle potilaalle laskea riskimallien mukaisia riskipistemääriä. Riskipistemääriä verrataan määriteltyihin raja-arvoihin riskimallissa. Tällöin voidaan saada selville pseudonyymit henkilöt, joilla riskimallinnuksen mukaan on kohonnut riski terveyspalvelujen käytön tarpeen kasvusta ja sairastumisriskistä. Riskin olemassaolo ilmaistaan riskitiedolla, joka liitetään henkilön pseudonyymiin dataan, ja näkyy ammattilaisille toimien indikaattorina riskipisteiden ja raja-arvojen vertailun tuloksesta.

Riskitietojen varmentamisen jälkeen potilas kontaktoidaan esimerkiksi hyvinvointikyselyllä tai suoraan hoitavan ammattihenkilön yhteydenotolla. Terveydenhuollon ammattilainen arvioi potilaan terveydentilan sekä tekee päätökset hoidosta yhteistyössä potilaan kanssa. Riskimalli, riskipisteet tai riskitieto eivät rekisterinpitäjän mukaan vaikuta hoitopäätöksiin, vaan ne toimivat indikaattorina terveydentilan arvioinnin tarvetta varten.

Automatisoitujen yksittäispäätösten käsite

TSA 22 artiklassa säädetään automatisoiduista yksittäispäätöksistä. Säännöksen mukaan rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi. Automatisoituja yksittäispäätöksiä on mahdollista tehdä TSA 22 artiklassa määritellyissä tilanteissa.

Apulaistietosuojavaltuutettu toteaa, että TSA 4 artiklan 4 kohdassa määritelty profilointi ei yksinään aikaansaa TSA 22 artiklan soveltumista henkilötietojen käsittelyyn. TSA 22 artiklaa sovelletaan profiloinnin yhteydessä, kun profiloinnin perusteella tehdään päätöksiä, joilla on oikeusvaikutuksia rekisteröityyn tai jotka vaikuttavat häneen vastaavalla tavalla.

Pelkästään automaattiseen käsittelyyn perustuvalla päätöksellä tarkoitetaan tilannetta, jossa päätöksentekoprosessiin ei osallistu ihmistä. Jos esimerkiksi automatisoitu prosessi tuottaa rekisteröityä koskevan suosituksen, jonka ihminen ottaa huomioon muiden tekijöiden kanssa lopullista päätöstä tehtäessä, ei kysymyksessä ole pelkästään automaattiseen käsittelyyn perustuva päätös.

Oikeusvaikutuksien syntymisellä tarkoitetaan sitä, että päätös vaikuttaa henkilön laillisiin oikeuksiin, tämän oikeudelliseen asemaan tai sopimusperusteisiin oikeuksiin. Myös muut rekisteröidyille koituvat vaikutukset aikaansaavat TSA 22 artiklan mukaisen automatisoitua päätöksentekoa koskevan sääntelyn soveltamisen, jos ne ovat vastaavalla tavalla merkittäviä.

Merkittävinä vaikutuksina voidaan pitää sellaisia, jotka ovat riittävän suuria tai huomattavia ollakseen huomionarvioisia. Tällaisia voivat olla esimerkiksi päätökset, jotka vaikuttavat merkittävästi henkilön olosuhteisiin, käyttäytymiseen tai valintoihin taikka vaikuttavat rekisteröityyn pitkäaikaisesti tai pysyvästi. Esimerkiksi päätöksellä, joka vaikuttaa henkilön mahdollisuuksiin saada terveydenhuoltopalveluja, on rekisteröidylle tällaisia merkittäviä vaikutuksia.

Automatisoitujen yksittäispäätösten muodostuminen niiden potilaiden kohdalla, jotka poimittaisiin tarkempaan tarkasteluun riskiarvion perusteella

Rekisterinpitäjän toimittaman kuvauksen mukaan ammattilaisille nostetaan tietokoneavusteisen analyysin perusteella indikaattori riskistä niiden potilaiden kohdalla, jotka ovat antaneet suostumuksensa profiloinnin tekemiselle, ja joiden terveydentilaan olisi riskiarvion perusteella syytä puuttua. Riskitiedot varmennetaan ennen potilaan mahdollista kontaktointia. Tarkoituksena on, että vain ammattilaisten varmentamassa riskissä olevat potilaat kontaktoidaan riskitiedon perusteella.

Rekisterinpitäjän mukaan potilaiden riskitietoja varmentaa koulutettu ja rajattu lääketieteen ammattilaisjoukko, joka on potilaan antaman suostumuksen perusteella oikeutettu pääsemään potilaan potilastietoihin. Näiden tietojen perusteella ammattihenkilöt varmistavat profiloinnin avulla ennustetun palveluiden käytön tarpeen kasvun ja sairastumisen riskin. Jos todellista riskiä ei ole, ei ole tarvetta ottaa potilaaseen yhteyttä.

Kuten kohdassa 22 on todettu, pelkästään automaattiseen käsittelyyn perustuvana päätöksenä ei pidetä sitä, jos automatisoitu prosessi tuottaa rekisteröityä koskevan suosituksen, jonka ihminen ottaa huomioon muiden tekijöiden kanssa lopullista päätöstä tehtäessä. Rekisterinpitäjän toimittaman kuvauksen mukaan niiden potilaiden kohdalla, jotka poimitaan riskiarvion perusteella tarkempaan tarkasteluun, profiloinnin tulos otetaan huomioon yhtenä seikkana potilastietojen ohella. Lopullisen päätöksen kontaktoinnin tarpeellisuudesta tekee asiaan koulutettu ihminen.

Edellä esitetyillä perusteilla apulaistietosuojavaltuutettu yhtyy tarkempaan tarkasteluun poimittavien potilaiden kohdalla rekisterinpitäjän arvioon siitä, että TSA 22 artiklassa tarkoitettuja automatisoituja yksittäispäätöksiä ei syntyisi. Tämä edellyttäen, että ammattihenkilöllä olisi aito mahdollisuus, kyky ja valtuudet tarvittaessa poiketa riskitietojen indikoimasta suosituksesta.

Automatisoitujen yksittäispäätösten muodostuminen niiden potilaiden kohdalla, joita ei poimittaisi tarkempaan tarkasteluun riskiarvion perusteella

TSA 22 artiklan soveltuminen edellyttää ensinnäkin, että päätökset syntyvät pelkästään automaattisen henkilötietojen käsittelyn perusteella. Rekisterinpitäjän toimittamien tietojen mukaan profiloinnin tulosta ei saatettaisi enää ihmisen arvioitavaksi niiden potilaiden kohdalla, jotka ovat antaneet suostumuksensa profiloinnin tekemiseen, mutta joita ei poimittaisi tarkempaan tarkasteluun riskiarvion perusteella. Ihmisen osallistuminen ei olisi rekisterinpitäjän mukaan käytännössä mahdollista. Tältä osin rekisterinpitäjä toteaa seuraavaa: ”Jotta riskissä olevat potilaat voidaan tehokkaasti tunnistaa, pitää pystyä käymään läpi tietokoneavusteisesti potilasmassaa ja potilastietoja. Yksittäinen ammattilainen ei pysty analysointia tekemään yksilön rajallisen laskentakapasiteetin takia.”. Näin ollen profiloinnin tulos jäisi lopulliseksi. Apulaistietosuojavaltuutettu katsoo, että kysymyksessä olisi pelkästään automaattiseen henkilötietojen käsittelyyn perustuva päätös.

TSA 22 artiklan soveltuminen edellyttää toiseksi, että automatisoiduilla yksittäispäätöksillä on rekisteröityä koskevia oikeusvaikutuksia tai ne vaikuttavat häneen vastaavalla tavalla merkittävästi.

Varsinaisten oikeusvaikutusten olemassaolo edellyttäisi, että pelkästään automaattiseen käsittelyyn perustuva päätös vaikuttaisi henkilön laillisiin oikeuksiin, tämän oikeudelliseen asemaan tai sopimusperusteisiin oikeuksiin. Tällaisia voisivat olla esimerkiksi tietyn lakisääteisen etuuden tai oikeuden epäämistä koskevat päätökset. Rekisterinpitäjä on todennut, että asiakkailta ei voida evätä tai poistaa palveluita tietokoneavusteisen riskitiedon analysoinnin perusteella. Apulaistietosuojavaltuutetun näkemyksen mukaan rekisterinpitäjän suunnittelemalla profiloinnilla ei todennäköisesti olisi varsinaisia oikeusvaikutuksia rekisteröidyille.

TSA 22 artikla tulee sovellettavaksi myös, jos päätöksellä on oikeusvaikutuksia vastaavalla tavalla merkittäviä vaikutuksia rekisteröidylle. Apulaistietosuojavaltuutettu hyödyntää vaikutusten merkittävyyden arvioinnissa Euroopan tietosuojaneuvoston määrittelemiä kriteerejä . Näiden kriteerien mukaan rekisteröityyn kohdistuvien vaikutusten on oltava riittävän suuria tai huomattavia ollakseen huomionarvoisia. Päätöksen on voitava mahdollisesti joko vaikuttaa merkittävästi kyseisten henkilöiden olosuhteisiin, käyttäytymiseen tai valintoihin, vaikuttaa rekisteröityyn pitkäaikaisesti tai pysyvästi tai ääritapauksessa johtaa henkilöiden syrjäytymiseen tai syrjintään. Vaikutusten merkittävyyden arvioinnissa on lisäksi tarpeen ottaa huomioon tapauskohtaiset erityispiirteet, kuten yksityisyyteen puuttumisen aste profilointiprosessissa sekä rekisteröityjen odotukset ja toiveet.

Ennakkokuulemispyyntö sekä sen pohjana oleva tietosuojaa koskeva vaikutustenarviointi on laadittu ennakoivaan toimintatapaan liittyvästä henkilötietojen käsittelystä kokonaisuudessaan. Pyynnössä ei ole tarkemmin yksilöity esimerkiksi sitä, minkälaisten terveysriskien havaitsemiseen henkilötietoja käsiteltäisiin. Koska ennakkokuulemispyyntö on koskenut ennakoivaa toimintatapaa kokonaisuutena, arvioi apulaistietosuojavaltuutettu myös mahdollisia vaikutuksia vastaavasti. On mahdollista, että kaikissa ennakoivaan terveydenhuoltoon sisältyvissä tilanteissa vaikutukset eivät ole toisiaan vastaavia. Vaikutukset sekä niiden merkittävyys on todennäköisesti erilaista riippuen esimerkiksi siitä, minkälaisia terveysriskejä pyritään havaitsemaan sekä siitä, minkälaisiin toimenpiteisiin profiloinnin jälkeen on tarkoitus ryhtyä. Täsmällisempi arvio edellyttäisi yksityiskohtaisempaa kuvausta menettelyn yksityiskohdista.

Vaikutusten merkittävyyteen vaikuttaa se, millä tavalla ennakoivan toimintatavan omaksuminen näkyy terveydenhuoltopalvelujen toteuttamisessa. Vaikutukset ovat todennäköisesti erilaisia lyhyellä ja pitkällä aikavälillä. Jos esimerkiksi algoritmi auttaa tehokkaasti havaitsemaan terveysriskissä olevia henkilöitä, on mahdollista, että profiloinnin tulos alkaa merkittävästi vaikuttaa hoitoon pääsemiseen. Samankaltainen vaikutus voi olla esimerkiksi, jos terveydenhuollon käytössä olevat resurssit pakottavat painottamaan terveyspalveluja selkeästi profiloinnin perusteella valituille potilaille.

Kuten edellä kohdassa 24 on todettu, merkittävinä vaikutuksina pidetään esimerkiksi sitä, että päätös vaikuttaa henkilön mahdollisuuksiin saada terveydenhuoltopalveluja. Rekisterinpitäjä on todennut, että palveluita ei voida evätä tai poistaa tietokoneavusteisen riskitiedon analysoinnin perusteella, vaan käsittelyn tarkoituksena on tarjota terveydellistä lisähyötyä ja toteuttaa aina kansallisten hoitokäytäntöjen mukaista hoitoa ja potilasvalintaa. Apulaistietosuojavaltuutettu katsoo, että merkittävien vaikutusten syntymisen kannalta ei ole välttämätöntä, että potilaalta aktiivisesti evättäisiin pääsy hoidon piiriin. Riittävää on, että profilointi tosiasiallisesti vaikuttaa potilaan mahdollisuuksiin saada terveydenhuoltopalveluja. Rekisterinpitäjän kuvauksen perusteella potilas rajautuisi profiloinnin perusteella syntyvän riskiluokittelun mukaisesti erityisten ennakoivan terveydenhuollon toimenpiteiden ulkopuolelle. Näin ollen apulaistietosuojavaltuutettu katsoo, että profiloinnin vaikutukset rekisteröidyille olisivat todennäköisesti vähintään joissakin ennakoivan terveydenhuollon tilanteissa merkittäviä.

Vaikka profilointi ei tämänhetkisten toimintatapojen mukaan jossakin tilanteessa johtaisi merkittäviin vaikutuksiin rekisteröidylle, on mahdollista, että myöhemmin palveluiden muutoksen sekä algoritmien kehittymisen myötä näin olisi. Siksi rekisterinpitäjän on syytä jatkuvasti seurata sitä, millä eri tavoilla profilointi tosiasiassa vaikuttaa rekisteröityihin.

Merkityksellisyyden arvioinnissa on tarpeen ottaa huomioon myös yksityisyyteen puuttumisen aste. Käsiteltävät potilastiedot kuvaavat rekisteröidyn terveydentilaa. Lisäksi profiloinnissa voitaisiin hyödyntää sovellusten avulla kerättyjä hyvinvointitietoja. Profilointia tehtäisiin siten hyvinkin intiimien sekä yksityiskohtaisten terveydentilaa sekä käyttäytymistä kuvaavien tietojen perusteella. Tämä korostaa merkityksellisyyttä. Mahdollisuus tarkemman riskiarvion saamiseen voisi lisäksi kannustaa rekisteröityjä antamaan rekisterinpitäjän käyttöön jatkuvasti laajemmin hyvinvointitietoa, millä olisi vaikutusta rekisteröidyn yksityisyyden suojaan.

Apulaistietosuojavaltuutettu katsoo, että profiloinnin myötä syntyvillä päätöksillä olisi hyvin todennäköisesti merkittävä vaikutus rekisteröidyn käyttäytymiseen ja olosuhteisiin, koska niiden perusteella valikoituisi rekisteröidylle aktiivisesti tarjottavia ennakoivia terveydenhuollon toimenpiteitä. Merkitystä rekisteröidyn käyttäytymisen, olosuhteiden ja valintojen kannalta olisi todennäköisesti myös sillä, että rekisteröity tulisi tietoiseksi siitä, että jotakin riskiä ei ole tunnistettu häntä koskevien tietojen perusteella. Vaikutukset rekisteröidyn terveydentilaan voivat todennäköisesti ainakin joissakin tilanteissa olla pitkäaikaisia tai pysyviä.

Edellä esitetyillä perusteilla apulaistietosuojavaltuutettu katsoo, että TSA 22 artiklassa tarkoitettuja automatisoituja yksittäispäätöksiä voi todennäköisesti muodostua niiden potilaiden kohdalla, joita koskevia potilastietoja käsitellään riskin tunnistamiseksi, mutta joiden kohdalla ei synny profiloinnin perusteella tarvetta tarkemmalle terveydenhuollon ammattihenkilön suorittamalle tarkastelulle.

TSA 22 artiklan soveltumisesta

Apulaistietosuojavaltuutettu korostaa, että automatisoitujen yksittäispäätösten tekeminen ei ole mahdotonta, vaan TSA 22 artiklassa 2 ja 4 kohdissa on säädetty niistä edellytyksistä, joilla automatisoituja yksittäispäätöksiä voidaan tehdä. Apulaistietosuojavaltuutettu tunnistaa profiloinnin ja sen perusteella tehtävien ratkaisujen hyötypotentiaalin terveydenhuollon toiminnassa. On kuitenkin keskeistä huolehtia siitä, että menettelytavat rakennetaan ottamalla tasapainoisesti huomioon myös tietosuojasääntelystä sekä potilaiden yksityisyyden suojasta johtuvat näkökohdat.

Apulaistietosuojavaltuutetun varoitus

Rekisterinpitäjä on katsonut, että suunniteltu henkilötietojen käsittely ei johda automatisoitujen yksittäispäätösten muodostumiseen. Apulaistietosuojavaltuutettu on edellä kuvatuilla perusteilla katsonut, että automatisoituja yksittäispäätöksiä voi todennäköisesti muodostua sellaisten potilaiden kohdalla, joita ei poimita profiloinnin perusteella terveydenhuollon ammattihenkilön tarkempaan tarkasteluun.

Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle TSA 58 artiklan 2 kohdan a alakohdan mukaisen varoituksen. Suunnitellut käsittelytoimet olisivat todennäköisesti TSA:n säännösten vastaisia, koska rekisterinpitäjä ei ole tunnistanut automatisoitujen yksittäispäätösten todennäköistä muodostumista, eikä siten ole ottanut huomioon TSA 22 artiklassa säädettyä.

Rekisterinpitäjän on tarpeen ennen mahdollista käsittelytoimiin ryhtymistä varmistaa, että TSA 22 artiklan 2 ja 4 kohtien mukainen peruste automatisoitujen yksittäispäätösten tekemiselle on olemassa aina, kun profiloinnin perusteella määräytyvillä ratkaisuilla on oikeusvaikutuksia vastaavia merkittäviä vaikutuksia rekisteröityihin. Rekisterinpitäjä voi tällaisissa tilanteissa esimerkiksi päivittää rekisteröidyltä ennen prosessin vaihetta 2 pyydettävää suostumusta siten, että se kattaa rekisteröidyn nimenomaisen suostumuksen automatisoitujen yksittäispäätösten tekemiseen.

Potilastietojen käsittely riskimallin rakentamiseen ja kehittämiseen

Arvioitavat oikeudelliset kysymykset

Apulaistietosuojavaltuutettu arvioi, onko potilastietojen käsittelylle riskimallin rakentamiseen ja kehittämiseen siten kuin rekisterinpitäjä on suunnitellut (prosessin vaihe 1) TSA 6 ja 9 artiklojen mukaiset perusteet.

Lisäksi apulaistietosuojavaltuutettu arvioi, onko asiassa tarpeen käyttää TSA 58 artiklan 2 kohdan mukaisia korjaavia toimivaltuuksia.

Sovellettava lainsäädäntö

TSA 5 artiklan 1 kohdan a alakohdan mukaan henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi.

TSA 6 artiklassa säädetään henkilötietojen käsittelyn lainmukaisuudesta sekä määritellään ne tilanteet, joissa käsittely on lainmukaista. Käsittely on lainmukaista esimerkiksi artiklan 2 kohdan a alakohdan mukaan, kun rekisteröity on antanut suostumuksensa henkilötietojen käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten tai c alakohdan mukaan, kun käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi.

TSA 9 artiklan 1 kohdan mukaan terveyttä koskevien tietojen käsittely on kiellettyä. Artiklan 2 kohdassa määritellään ne tilanteet, joissa kiellosta on mahdollista poiketa. Esimerkiksi 2 kohdan a alakohdan mukaan käsittely on mahdollista, kun rekisteröity on antanut nimenomaisen suostumuksensa kyseisten henkilötietojen käsittelyyn yhtä tai useampaa tiettyä tarkoitusta varten, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä säädetään, että 1 kohdassa tarkoitettua kieltoa ei voida kumota rekisteröidyn suostumuksella; 2 kohdan g alakohdan mukaan, kun käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi; h alakohdan mukaan, kun käsittely on tarpeen ennalta ehkäisevää tai työterveydenhuoltoa koskevia tarkoituksia varten, työntekijän työkyvyn arvioimiseksi, lääketieteellisiä diagnooseja varten, terveys- tai sosiaalihuollollisen hoidon tai käsittelyn suorittamiseksi taikka terveys- tai sosiaalihuollon palvelujen ja järjestelmien hallintoa varten unionin oikeuden tai jäsenvaltion lainsäädännön perusteella tai terveydenhuollon ammattilaisen kanssa tehdyn sopimuksen mukaisesti ja noudattaen 3 kohdassa esitettyjä edellytyksiä ja suojatoimia.

TSA 9 artiklan 3 kohdan mukaan 1 kohdassa tarkoitettuja henkilötietoja voidaan käsitellä 2 kohdan h alakohdassa esitettyihin tarkoituksiin, kun kyseisiä tietoja käsittelee tai niiden käsittelystä vastaa ammattilainen, jolla on lakisääteinen salassapitovelvollisuus unionin oikeuden tai jäsenvaltion lainsäädännön perusteella tai kansallisten toimivaltaisten elinten vahvistamien sääntöjen perusteella, taikka toinen henkilö, jota niin ikään sitoo lakisääteinen salassapitovelvollisuus unionin oikeuden tai jäsenvaltion lainsäädännön tai kansallisten toimivaltaisten elinten vahvistamien sääntöjen perusteella

Potilaan asemasta ja oikeuksista annetun lain (potilaslaki; 785/1992 vp.) 12 § 1 momentin mukaan terveydenhuollon ammattihenkilön tulee merkitä potilasasiakirjoihin potilaan hoidon järjestämisen, suunnittelun, toteuttamisen ja seurannan turvaamiseksi tarpeelliset tiedot.

Potilaslain 13 §:n mukaan potilasasiakirjoihin sisältyvät tiedot ovat salassa pidettäviä. Terveydenhuollon ammattihenkilö tai muu terveydenhuollon toimintayksikössä työskentelevä taikka sen tehtäviä suorittava henkilö ei saa ilman potilaan kirjallista suostumusta antaa sivulliselle potilasasiakirjoihin sisältyviä tietoja. Jos potilaalla ei ole edellytyksiä arvioida annettavan suostumuksen merkitystä, tietoja saa antaa hänen laillisen edustajansa kirjallisella suostumuksella. Sivullisella tarkoitetaan tässä laissa muita kuin asianomaisessa toimintayksikössä tai sen toimeksiannosta potilaan hoitoon tai siihen liittyviin tehtäviin osallistuvia henkilöitä. Potilastietoja on mahdollista luovuttaa pykälän 3 momentissa määritellyissä tilanteissa

Sosiaali- ja terveysministeriön potilasasiakirjoista antaman asetuksen (STM:n potilasasiakirja-asetus, 94/2022) 4 §:n mukaan potilaan hoitoon tai siihen liittyviin tehtäviin osallistuvat saavat käsitellä potilasasiakirjoja vain siinä laajuudessa kuin heidän työtehtävänsä ja vastuunsa sitä edellyttävät.

Tietosuojaviranomaisen korjaavista toimivaltuuksista säädetään TSA 58 artiklan 2 kohdassa. Kohdan a) alakohdan mukaan valvontaviranomainen voi varoittaa rekisterinpitäjää tai henkilötietojen käsittelijää siitä, että aiotut käsittelytoimet ovat todennäköisesti TSA:n säännösten vastaisia.

Ratkaisu

Potilastietojen käsittelylle riskimallin rakentamiseen ja kehittämiseen (prosessin vaihe 1) ei vaikuttaisi olevan TSA 6 ja 9 artiklojen mukaista perustetta.

Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle TSA 58 artiklan 2 kohdan a alakohdan mukaisen varoituksen, koska suunnitellut henkilötietojen käsittelytoimet ovat todennäköisesti TSA:n säännösten vastaisia.

Perustelut

Rekisterinpitäjän kuvaus käsiteltävistä tiedoista

Rekisterinpitäjän toimittaman kuvauksen mukaan potilaiden riskitietojen käsittely voidaan jakaa viiteen ylätason prosessin osaan, joista ensimmäinen on riskimallin rakentaminen. Tässä vaiheessa hyödynnetään potilastietojärjestelmästä pseudonymisoitua potilastietoa noin vuosilta 2006 – mallin tekohetki, sekä satunnaisia olemassa olevia kirjauksia vuosilta 1966–2005. Suostumuksen antaneilta hyödynnetään lisäksi sovelluksesta tuotavia hyvinvointi- ja terveystietoja.

Rekisterinpitäjän mukaan riskimallissa tarkastellaan rakenteisia tietoja ja mahdollisuuksien mukaan tekstimuotoista tietoa (potilasasiakirjamerkintöjä). Tällä tietojoukon rajauksella varmistetaan, että riskimalli kehittyy mahdollisimman tarkaksi ja tuottaa tietokoneavusteisen analyysin perusteella mahdollisimman tarkkaa riskitietoa suostumuksen antaneille henkilöille.

Suunniteltu henkilötietojen käyttötarkoitus

Rekisterinpitäjän mukaan henkilötietojen käyttötarkoituksena olisi a) ennustaa terveyspalveluiden käytön tarpeen kasvua ja sairastumista yksilötasolla ja b) ennustaa populaatiotasolla terveyspalveluiden käytön tarpeen kehitystä ja sairastavuutta.

Rekisterinpitäjä toteaa, että riskimallinnuksella tarkoitetaan populaatiotasolla riskimallien kehittämistä, mitä hyödyntämällä voidaan populaatio- tai yksilötasolla seurata ja ennustaa terveyspalveluiden käytön ja sairastavuuden kehitystä. Rekisterinpitäjän mukaan riskimalli on jatkuvasti kehittyvä matemaattinen malli / algoritmi, jonka tarkoitus on kehittyessään tuottaa laadukkaampia ja validimpia ennusteita.

Pseudonymisointi

Rekisterinpitäjä on tuonut esille, että käsiteltävät henkilötiedot ovat prosessin ensimmäisessä vaiheessa pseudonymisoituja. Apulaistietosuojavaltuutettu toteaa selvyyden vuoksi, että pseudonymisointi on perusteltu suojatoimi esimerkiksi tietojen minimoinnin näkökulmasta. Pseudonymisoitu tieto on kuitenkin edelleen henkilötietoa, eli tunnistettavissa olevaan luonnolliseen henkilöön liittyvää tietoa. Henkilötietojen sekä potilastietojen käsittelyä koskevaa sääntelyä sovelletaan silloinkin, kun käsitellään pseudonymisoituja potilastietoja.

Potilastietojen ensisijainen käyttöala

Potilastietojen käyttötarkoitus on potilaslain 12 § 1 momentista johdettuna potilaan hoidon järjestämisen, suunnittelun, toteuttamisen ja seurannan turvaaminen. Potilaan (terveyden- ja sairaan) hoidolla tarkoitetaan potilaslain 2 § 2 kohdan mukaan potilaan terveydentilan määrittämiseksi taikka hänen terveytensä palauttamiseksi tai ylläpitämiseksi tehtäviä toimenpiteitä, joita suorittavat terveydenhuollon ammattihenkilöt tai joita suoritetaan terveydenhuollon toimintayksikössä.

Käyttötarkoituksen rajauksen lisäksi potilastietojen käyttöalaa rajaa edelleen potilaslain 13 §:ssä sekä potilasasiakirja-asetuksen 4 §:ssä säädetty. Näiden lainkohtien perusteella potilasasiakirjoja voivat käsitellä vain ao. toimintayksikössä tai sen toimeksiannosta potilaan hoitoon tai siihen liittyviin tehtäviin osallistuvat henkilöt siinä laajuudessa kuin hänen tehtävänsä ja vastuunsa sitä edellyttävät.

Potilastietoja voidaan antaa muille henkilöille tai muihin tarkoituksiin silloin, kun luovutukseen on potilaan suostumus tai muu laissa säädetty peruste.

Apulaistietosuojavaltuutetun käsityksen mukaan potilastietojen käsittelystä potilastietojen ns. ensisijaiseen käyttötarkoitukseen on kysymys silloin, kun potilastietoja käsitellään potilaan itsensä hoidosta tai siihen liittyvistä tehtävistä johtuviin tarpeisiin. Näin ollen potilastietoja ei ole mahdollista käsitellä rekisterinpitäjän suunnittelemiin tarkoituksiin ilman eri perustetta silloin, kun käsittely ei liity potilaan itsensä hoitoon.

Toisin sanoen potilastietojen käsittelylle muiden potilaiden yksilötason terveyspalvelujen käytön tarpeen ennustamiseen sekä populaatiotason terveyspalvelujen käytön tarpeen ennustamiseen on löydettävä erillinen lainmukainen peruste. Tällainen peruste voi olla potilaan suostumus tai muu laissa säädetty peruste.

Rekisterinpitäjän tunnistama peruste henkilötietojen käsittelylle,

Tietosuojavaltuutetun toimistolle toimitetussa materiaalissa rekisterinpitäjä ilmoittaa henkilötietojen käsittelyperusteeksi potilasasiakirjalainsäädännön, tietosuoja-asetuksen 6 ja 9 artiklat, potilaslain, terveydenhuoltolain (1326/2010), STM:n potilasasiakirja-asetuksen, asiakasmaksulain (734/1992), lain lääketieteellisestä tutkimuksesta (488/1999) sekä lain viranomaisen toiminnan julkisuudesta (621/1999). TSA 9 artiklan mukaiseksi poikkeusperusteeksi rekisterinpitäjä ilmoittaa vastaavat säädökset.

Apulaistietosuojavaltuutettu toteaa, että käsittelyperustetta ei toimitetun materiaalin perusteella vaikuttaisi olevan tunnistettu riittävällä tarkkuudella. Säädösten nimeäminen ei tässä yhteydessä anna riittävää kuvaa siitä, mikä sääntely toimisi lainmukaisena perusteena käsitellä potilastietoa suunnitellulla tavalla.

Ylempänä on kuvattu apulaistietosuojavaltuutetun arvio siitä, että potilastietojen käsittely suunniteltuun tarkoitukseen ei ole mahdollista potilaslain 12–13 §:n perusteella. Rekisterinpitäjä ei ole toimittanut sellaista informaatiota, jonka perusteella voisi arvioida kysymyksessä olevan lääketieteellinen tutkimus, vaikka laki lääketieteellisestä tutkimuksesta on mainittu materiaalissa. Rekisterinpitäjä ei ole myöskään tuonut esille, että henkilötietojen käsittely perustuisi esimerkiksi sosiaali- ja terveystietojen käsittelystä annetussa laissa (toisiolaki) säädettyihin perusteisiin tai muuhunkaan nimenomaisesti laissa säädettyyn perusteeseen.

Rekisterinpitäjän toimittamassa materiaalissa tuodaan esille, että käsittelyn on suunniteltu perustuvan rekisteröidyn antamaan suostumukseen . Näin ollen apulaistietosuojavaltuutetun käsityksen mukaan tarkoituksena on, että käsittely perustuisi rekisteröidyn suostumukseen.

Rekisterinpitäjän kuvaus suostumuksen pyytämisestä

Rekisterinpitäjä toteaa, että prosessin ensimmäisessä vaiheessa (vaihe 1: riskimallin teko) rakennettua riskimallia ei sovelleta yksilötasolle. Ennen yksilöön kohdistettavaa riskimallinnusta kerätään henkilöiltä suostumus a) hyödyntää rekisterinpitäjän potilasrekisteriin tallennettuja tietoja profilointitarkoituksessa hoidon laadun ja vaikuttavuuden parantamiseksi sekä yhteydenottoon, jos terveysriskejä tai poikkeamia huomataan sekä b) luovuttaa valittuja hyvinvointitietoja sekä potilastietoja reisterinpitäjälle hoidon parantamiseksi. Yksilötasoinen riskimallinnus aloitetaan, jos kumpikin suostumus annetaan.

Rekisterinpitäjän toimittaman materiaalin perusteella suostumus pyydettäisiin ennen prosessin toista vaihetta (vaihe 2: riskin tunnistaminen). Apulaistietosuojavaltuutetun käsitys on, että suostumusta ei olisi suunniteltu pyydettävän ennen prosessin ensimmäistä vaihetta (vaihe 1: riskimallin teko).

Koska rekisterinpitäjä ei ole tuonut esille myöskään muuta lainmukaista perustetta käsitellä potilastietoja prosessin vaiheessa 1 (riskimallin teko), ei suunnitellulle potilastietojen käsittelylle prosessin vaiheessa 1 apulaistietosuojavaltuutetun käsityksen mukaan ole lainmukaista perustetta.

Apulaistietosuojavaltuutetun varoitus

Terveydentilatietojen käsittely on mahdollista vain silloin, kun käsillä on sekä TSA 6 artiklan että 9 artiklan mukainen peruste käsitellä tietoja. Koska suunnitellun mukaiselle potilastietojen käsittelylle ei vaikuttaisi olevan lainmukaista perustetta riskimallin rakentamisen ja kehittämisen vaiheessa (prosessin vaihe 1), apulaistietosuojavaltuutettu antaa rekisterinpitäjälle TSA 58 artiklan 2 kohdan a alakohdan mukaisen varoituksen. Jos käsittelyperustetta ei ole, ovat suunnitellut käsittelytoimet todennäköisesti yleisen tietosuoja-asetuksen vastaisia.

Rekisterinpitäjän on syytä ennen käsittelytoimiin ryhtymistä varmistaa, että sillä on peruste käsitellä potilastietoja suunnitellulla tavalla myös prosessin vaiheessa 1. Rekisterinpitäjä voi esimerkiksi kerätä potilailta nimenomaisen suostumuksen heitä koskevien potilastietojen käsittelyyn ennen vaiheeseen 1 ryhtymistä. Vaihtoehtoisesti rekisterinpitäjä voi arvioida, mahdollistaako potilastietojen käsittelyä koskeva sääntely suunnitellut käsittelytoimet. Rekisterinpitäjä voi arvioida esimerkiksi sosiaali- ja terveystietojen toissijaisesta käsittelystä annetun lain 37 §:n soveltuvuutta tähän tarkoitukseen.

Muutoksenhaku

Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään hallinto-oikeuteen.

Tiedoksianto

Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.

Päätös on lainvoimainen.