14 syytä miksi sinun ei tulisi käyttää Whatsappia asiakastiedoista viestiessä sote-alalla
Sote-ammattilaisten pitää viestiä päivittäin niin keskenään kollegoiden välillä kuin asiakkaille ja usein myös asiakkaiden omaisille ja läheisille (esimerkiksi vanhemmille lastensuojelussa ja vammaispalveluissa tai läheisille vanhuspalveluissa).
Useimmissa kunnissa, hyvinvointialueilla ja sote-yrityksissä on käytetty Whatsappia tai Signalia pikaviestintään, vaikkakin se on kielletty monin paikoin eikä suositella käytettäväksi etenkään asiakastietojen välittämiseen.
Mutta miksi Whatsappia, Signalia, Telegramia tai vastaavia viestisovelluksia ei saa käyttää sote-viestinnässä? Kerromme seuraavaksi 14 syytä.
Syyt miksi Whatsappia ei tule käyttää sosiaali- ja terveydenhuollon viestinnässä
- GDPR-vaatimukset: WhatsApp ei täytä EU:n tietosuoja-asetuksen (GDPR) vaatimuksia, jotka koskevat henkilötietojen käsittelyä ja suojaamista. Tämä voi aiheuttaa vakavia seuraamuksia ja sakkoja yrityksille, jotka käyttävät WhatsAppia henkilötietojen käsittelyyn. Esimerkiksi tietoja ei saa luovuttaa EU:n ulkopuolelle.
- Tietoturva: Vaikka WhatsApp tarjoaa päästä-päähän -salausta, sen tietoturvaominaisuudet eivät välttämättä ole riittävät arkaluonteisen asiakas- ja potilastiedon suojaamiseen. Voit tutustua tästä esimerkiksi THL:n määräyksiin ja vaatimuksiin sote-tietojärjestelmistä ja niiden toiminnallisuuksista
- Tietosuoja: WhatsAppin omistaa Meta (Facebook), joka on tunnettu keräämään ja hyödyntämään käyttäjätietoja markkinointi- ja mainostarkoituksiin. Käyttämällä Whatsappia asiakastietojen viestimiseen (huom: pelkkä asiakkaan puhelinnumero/IP-osoite on asiakastietoa), asetat asiakkaan vaaraan ja tiedot voivat siirtyä 3. osapuolelle mainostarkoituksiin.
- Tietojen lokitus ja jäljitettävyys: WhatsApp/Signal ei tarjoa kattavaa lokitusta tai jäljitettävyyttä, mikä on vaatimuksena sote-sektorilla asiakastietojen käsittelyssä. Hyvinvointialueen pitää pystyä tarvittaessa selvittämään kuka on kirjautunut järjestelmään milloinkin ja kuka on lukenut asiakastietoja.
- Poistettavuus: WhatsAppissa ei ole helppoa tapaa poistaa vanhoja viestejä tai tietoja järjestelmästä pysyvästi. Jos esimerkiksi yhdellä keskusteluun osallistuvalla henkilöllä on varmuuskopiointi päällä, koko viestihistoria tallentuu pilvipalveluun eikä voida taata asiakastietojen poistamista vaikka asiakas tai palvelutuottaja näin toivoisi. Tämä on iso ongelma, kun kyseessä ovat arkaluonteiset tiedot, joiden säilytysaika on rajoitettu tai joiden poistamista asiakas vaatii.
- Sovelluksen virallinen käyttötarkoitus: WhatsApp ja Signal ovat suunniteltu ensisijaisesti yksityiseen ja henkilökohtaiseen käyttöön, ei yritysten tai ammatillisen viestinnän tarpeisiin. Tämän vuoksi sovelluksessa ei ole erityisominaisuuksia, jotka on suunniteltu juuri sosiaali- ja terveydenhuollon vaatimuksiin.
- Potilastietojärjestelmien tai käyttäjähallinnan integraatio: WhatsApp ei tarjoa mahdollisuutta integroitua olemassa oleviin potilastietojärjestelmiin tai muihin terveydenhuollon tietojärjestelmiin tai esimerkiksi käyttäjähallintajärjestelmään (esim. Active directory). Tämä voi vaikeuttaa tietojen siirtoa ja käyttöä eri järjestelmien välillä eikä mahdollista keskitettyä käyttäjähallintaa.
- Käyttäjien tunnistaminen ja valvonta: WhatsAppissa ja Signalissa ei ole tehokkaita keinoja varmistaa käyttäjien identiteettiä tai valvoa heidän toimintaansa. Tämä voi johtaa väärinkäytöksiin ja pahimmassa tapauksessa ulkopuoliset henkilöt voivat liittyä keskusteluihin.
- Vastuun selvittäminen: WhatsApp-viestien ja keskustelujen jäljitettävyys, lokitus ja arkistointi voi olla puutteellista, mikä vaikeuttaa vastuun selvittämistä ja mahdollisten ongelmien ratkaisemista viestinnässä.
- Henkilötietojen käsittelyn dokumentointi: WhatsApp ei tarjoa kattavaa dokumentaatiota ja raportointia henkilötietojen käsittelystä, mitä GDPR taas vaatii.
- Viestien säilytysaika: joissain tapauksissa sote-tietoja pitää säilyttää useamman vuoden ajan. Meillä ei ole mitään takeita, että Signaliin tai Whatsappiin kirjatut tiedot säilyvät vaaditun ajanjakson.
- Käyttäjähallinta: WhatsAppissa ja Signalissa ei ole tehokasta käyttäjähallintaa, mikä voi aiheuttaa haasteita henkilökunnan vaihtuessa tai organisaatiorakenteen muuttuessa. Tämä voi vaikeuttaa viestinnän hallintaa ja valvontaa.
- Tietojen siirto EU:n ulkopuolelle: Koska WhatsAppin palvelimet voivat sijaita EU:n ulkopuolella, tietojen siirto voi aiheuttaa tietosuojaan liittyviä haasteita ja rikkoa GDPR:n vaatimuksia.
- Ei mahdollista tehdä sopimusta henkilötietojen käsittelystä ja vastuista: Kun hyvinvointialue, kunta tai sote-yritys ottaa käyttöön tietojärjestelmän tai viestisovelluksen, tulee sen tehdä sopimus henkilötietojen käsittelystä. Siinä määritellään vastuut ja velvollisuudet henkilötietojen käsittelyyn liittyen ja viestisovelluksen toimittaja sitoutuu noudattamaan riittävää tietoturvaa ja -suojaa.
Whatsappin / Meta-yhtiön kanssa neuvottelu- ja sopimusmahdollisuus on olematon ja käyttöehdot tulevat annettuna heidän puolelta.
Tässä oli muutamia esimerkkejä tietosuojavaatimuksista, jotka tulevat tietosuojalaista ja yleisestä EU:n tietosuoja-asetuksesta eli GDPR:stä. Näitä asioita käydään läpi tietosuojavaikutusten arvioinnissa (DPIA) kun hyvinvointialue tai sote-palveluyritys hankkii sovelluksia ja teknologiaa käyttöönsä.
Valitettavan usein tosin globaalien kuluttajasovellusten tapauksessa tietosuojavaikutusten arvioinnista laistetaan ja jätetään tekemättä tyystin. Jolloin asetetaan sekä asiakastiedot vaaraan mutta samalla pakotetaan henkilökunta käyttämään sovelluksia joilla syyllistyvät tietosuojarikkomuksiin. Tämä on huonoa johtamista johon tulisi hyvinvointialueilla puuttua jämäkästi.