Onervahoiva

Avainsana: GDPR

  • Päivittäinen pikaviestintä on välttämätöntä sote-sektorilla – onko teillä tarjota siihen tietoturvallinen työväline?

    Päivittäinen pikaviestintä on välttämätöntä sote-sektorilla – onko teillä tarjota siihen tietoturvallinen työväline?

    Päivittäinen pikaviestintä on työn tekemisen kannalta elintärkeää ja välttämätöntä kaikilla sote-palvelualoilla.

    Työtä ei voi suorittaa jos esihenkilö ei pysty viestimään reaaliajassa tiimille, henkilöstö viestimään keskenään, työntekijät asiakkaille ja joissain tapauksissa asiakkaiden omaisille ja läheisille (esimerkiksi lastensuojelussa vanhemmille tai vanhuspalveluissa omaisille).

    Viestintä eri palvelualoilla on usein päivittäistä ja sen pitää tavoittaa useita eri sidosryhmiä ja osapuolia, jotka ovat usein sote-organisaation ulkopuolisia. Viestintä pitää olla myös helppoa ja nopeaa eli ns. pikaviestintää (vrt. Whatsapp).

    Ja koska viestintä on lähes aina asiakasviestintää (huomioithan myös, että sisäinen viestintä työntekijöiden kesken on useimmiten asiakasviestintää), koskee sitä aina GDPR-säädökset ja tietosuojalaki. Jos viestit työvälineellä x, tulee organisaation tehdä tietosuojan vaikutustenarviointi ja sopimus henkilötietojen käsittelystä sovelluksen palvelutarjoajan kanssa.

    Toisin sanoen kuluttajille suunnatut sovellukset kuten Whatsapp, Signal tai sisäiseen käyttöön tarkoitettu Teams eivät sovellu tähän tarpeeseen. Ei myöskään asiakkaalle tarkoitetut asiointiportaalit kuten Maisa.

    Miksi ei?

    Joko näihin sovelluksiin ei ole pääsyä organisaation ulkopuolisilla, nämä eivät täytä GDPR ja tietosuojavaatimuksia tai nämä ei ole tarkoitettu reaaliaikaiseen pikaviestintään. Usein nämä kaikki yhdessä.

    Mutta edelleen viestintä on välttämätöntä. Kuten sanottu, sote-palvelualoilla työtä ei voi tehdä laadukkaasti ilman, että mahdollistetaan toimiva viestintä.

    Mitä siis käy jos työntekijöillä, asiakkailla ja muilla sidosryhmillä ei ole tähän soveltuvaa viestikanavaa?

    Työntekijät päätyvät käyttämään kiellettyjä sovelluksia jos hyvinvointialue ei tarjoa heille tietoturvallista viestisovellusta

    Kaikilla hyvinvointialueilla mitä olemme haastatelleet (lähes kaikkia), ovat työntekijät päätyneet käyttämään Whatsappia, Signalia tai muita GDPR:ää ja tietosuojaa rikkovia sovelluksia. Kielloista tai linjauksista huolimatta. 

    Emmekä voi syyttää heitä, kuten jo todettu, työtä ei voi hoitaa ilman viestintää eri toimijoiden kesken. Tällöin vain rikotaan räikeästi GDPR ja tietosuojasäädöksiä ja odotellaan uutta Vastaamoa.

    Keskitetty viestintä tietoturvallisella sovelluksella helpottaa työtä ja johtokin nukkuu yönsä hyvin

    Tästä syystä useat hyvinvointialueet ovat kääntyneet Onervan puoleen koska tarjoamme sote-pikaviestintään räätälöidyn tietoturvallisen tuotteen palvelualojen moninaisiin tietotarpeisiin.

    Onerva mahdollistaa yhtä nopean ja helpon viestinnän kuin whatsapp mutta tietoturvallisesti täyttäen GDPR ja tietosuojavaatimukset. Onervan kautta voi viestiä:

    • työntekijöiden välillä keskenään (sisäinen viestintä)
    • esihenkilöltä tiimille
    • työntekijöiltä asiakkaalle ja
    • asiakkaan useille omaisille/läheisille (tai vaikka henk. koht. avustajalle)


    Yksi ehdoton etu on se, että viestintä eri kanavista (kielletyt whatsapp, signal, teams + erinäiset muut kuten sms, puhelin, paperiset viestilaput) on voitu keskittää yhteen sovellukseen. Näin helpotetaan työntekijöiden työtä kun kaikki tietävät mitä kanavaa käyttää.

    Jos haluat kuulla miten Onervaa käytetään esimerkiksi Itä-Uudellamaalla, Satakunnassa, Keski-Suomessa ja Helsingistä Rovaniemellä, ota yhteyttä alla olevalla lomakkeella.

  • Sisäinen viestintä vanhuspalveluissa on lähes aina myös asiakasviestintää – tällöin siihen pätee GDPR ja tietosuojalaki

    Sisäinen viestintä vanhuspalveluissa on lähes aina myös asiakasviestintää – tällöin siihen pätee GDPR ja tietosuojalaki

    Käytetäänkö teidän hyvinvointialueella Whatsappia, Signalia tai Teamsia hoitajien väliseen sisäiseen viestintään? Tiedäthän, että suurin osa sisäisestä viestinnästä esimerkiksi vanhuspalveluissa (kotihoito, asumispalvelut) tai vaikka lastensuojelussa on itseasiassa viestintään asiakkaista ja heidän asioista.

    Tällöin viestintää koskee samat GDPR ja tietosuojalait kuin jos asiakas olisi osallisena viestinnässä. Tällöin myös palvelutarjoajan eli hyvinvointialueen tai yksityisen palvelutuottajan tulee tehdä tietosuojan vaikutustenarviointi sovelluksen käytöstä ja sopimus henkilötietojen käsittelystä. Sen pitää varmistaa, että tieto ei kulje EU:n ulkopuolelle, vaikka USA:n viranomaisilla olisi siihen oikeudenpäätöksellä pääsy (ns. Cloud act).

    Oletteko tehneet tämän esimerkiksi Microsoftin (Teams) tai Metan (Whatsapp) kanssa? Useimmat eivät.

    Viestinnän käyttötapaukset pitää tuntea kun määritellään mitä viestintäkanavia käytetään

    Olemme jutelleet lukuisten hyvinvointialueiden ja yksityisten palvelutuottajien kanssa viestinnästä sosiaalihuollon eri palvelualoilla. Moni hyvinvointialue hakee kiivaasti säästöjä ja toivoo, että viestintä voitaisiin järjestää olemassaolevilla maksuttomilla kaupallisilla sovelluksilla. Whatsapp, Signal, Telegram ja Microsoft Teams ovatkin monilla alueilla käytössä.

    Ajatus on, että koska viestintää ei käydä suoraan asiakkaitten tai esim. omaisten/läheisten kanssa, ei siihen päde tietosuojalaki, GDPR tai vastaavat.

    Valitettavasti asia ei ole näin.

    Lue blogista: 14 syytä miksi sinun ei tule käyttää Whatsappia sote-viestinnässä

    Jos tuntee yhtään esimerkiksi kotihoidon tai lastensuojelun työtä, tietää että viestinnästä valtaosa koskee asiakkaita. Heidän vointia, kuulumisia, arkisia menoja. Asiakastyötä tehdään lähes aina tiimeissä ja tiimin tai lastensuojelussa työparin pitää keskustella nimenomaan asiakkaan tiedoista. Muuten työtä ei ole oikein mahdollista suorittaa.

    Tällöin on jotakuinkin välttämätöntä myös mainita asiakas nimellä tai muuten tunnistettavasti. Tällöin kyse on asiakasviestinnästä ja tällöin ei voida käyttää edellä mainittuja viestisovelluksia, jollei ole varmistettu että ne noudattavat tietosuojalakia, GDPR:ää eli ennen kuin on tehty tietosuojan vaikutustenarviointi ja sopimukset henkilötietojen käsittelystä.

    Hyvinvointialue asettaakin työntekijät ikävään asemaan jos he pakottavat käyttämään sovelluksia, jotka rikkovat tietosuojaa. Vastaamon surullinen tapaus osoitti myös mitä voi käydä jos tietosuojarikkomusten edessä ummistetaan silmät ja mennään sieltä missä aita on matalin.

    Onervan tietoturvallinen pikaviestisovellus on tarkoitettu niin sisäiseen viestintään kuin myös asiakas- ja omaisviestintään

    Sote-alan sisäiseen kuten myös ulkoiseen viestintään (esim. asiakas- ja omais-/läheisviestintä) on tarjolla helppokäyttöisiä ja tietoturvallisia eli GDPR + tietosuojalain vaatimukset täyttäviä sovelluksia – kuten Onervan pikaviestisovellus.

    Lue blogista miten Onervaa käytetään sosiaalihuollossa sisäisessä viestinnässä ammattilaisten kesken

    Onervan viestisovellus on sote-alan ammattilaisten kanssa yhdessä kehitetty kotimainen pikaviestisovellus. Eräänlainen sote-alan whatsapp. Yhtä helppo käyttää mutta sen toiminnallisuudet on suunniteltu tukemaan sosiaalihuollon työtä, tuomaan ajansäästöä ja se on myös tietoturvallinen joten sitä voi käyttää myös asiakastietojen viestimiseen.

    Tietoturvallinen pikaviestintä voidaan järjestää kustannustehokkaasti ja siten, että helpotetaan samalla sosiaalihuollon työtä. Hyvinvointialueiden tuleekin järjestelmä-/ohjelmistohankinnoissa ymmärtää sekä sosiaalihuollon käytännön työtä, viestinnän käyttötapauksia kuten myös lain vaatimukset. Muuten ollaan vaarana mennä Vastaamon tielle jossa silmät ummistettiin tietoturvarikkomusten ja laiminlyöntien edessä ja seurauksena oli kärsimystä kymmenille tuhansille ihmisille, vankeustuomio ja yrityksen konkurssi.

    Toivottavasti tästä on otettu opiksi ja ollaan fiksumpia.

    Jos haluat lisätietoa Onervan viestisovelluksesta sote-alalle, lue tästä blogista (Onerva on vaihtoehto Whatsappille sote-alan viestitään) tai varaa oma 15min esittely laittamalla mailia info@onervahoiva.fi tai viestiä oheisella lomakkeella.

  • 14 syytä miksi sinun ei tulisi käyttää Whatsappia asiakastiedoista viestiessä sote-alalla

    14 syytä miksi sinun ei tulisi käyttää Whatsappia asiakastiedoista viestiessä sote-alalla

    Sote-ammattilaisten pitää viestiä päivittäin niin keskenään kollegoiden välillä kuin asiakkaille ja usein myös asiakkaiden omaisille ja läheisille (esimerkiksi vanhemmille lastensuojelussa ja vammaispalveluissa tai läheisille vanhuspalveluissa).

    Useimmissa kunnissa, hyvinvointialueilla ja sote-yrityksissä on käytetty Whatsappia tai Signalia pikaviestintään, vaikkakin se on kielletty monin paikoin eikä suositella käytettäväksi etenkään asiakastietojen välittämiseen.

    Mutta miksi Whatsappia, Signalia, Telegramia tai vastaavia viestisovelluksia ei saa käyttää sote-viestinnässä? Kerromme seuraavaksi 14 syytä.

    Syyt miksi Whatsappia ei tule käyttää sosiaali- ja terveydenhuollon viestinnässä

    1. GDPR-vaatimukset: WhatsApp ei täytä EU:n tietosuoja-asetuksen (GDPR) vaatimuksia, jotka koskevat henkilötietojen käsittelyä ja suojaamista. Tämä voi aiheuttaa vakavia seuraamuksia ja sakkoja yrityksille, jotka käyttävät WhatsAppia henkilötietojen käsittelyyn. Esimerkiksi tietoja ei saa luovuttaa EU:n ulkopuolelle.
    2. Tietoturva: Vaikka WhatsApp tarjoaa päästä-päähän -salausta, sen tietoturvaominaisuudet eivät välttämättä ole riittävät arkaluonteisen asiakas- ja potilastiedon suojaamiseen. Voit tutustua tästä esimerkiksi THL:n määräyksiin ja vaatimuksiin sote-tietojärjestelmistä ja niiden toiminnallisuuksista
    3. Tietosuoja: WhatsAppin omistaa Meta (Facebook), joka on tunnettu keräämään ja hyödyntämään käyttäjätietoja markkinointi- ja mainostarkoituksiin. Käyttämällä Whatsappia asiakastietojen viestimiseen (huom: pelkkä asiakkaan puhelinnumero/IP-osoite on asiakastietoa), asetat asiakkaan vaaraan ja tiedot voivat siirtyä 3. osapuolelle mainostarkoituksiin.
    4. Tietojen lokitus ja jäljitettävyys: WhatsApp/Signal ei tarjoa kattavaa lokitusta tai jäljitettävyyttä, mikä on vaatimuksena sote-sektorilla asiakastietojen käsittelyssä. Hyvinvointialueen pitää pystyä tarvittaessa selvittämään kuka on kirjautunut järjestelmään milloinkin ja kuka on lukenut asiakastietoja.
    5. Poistettavuus: WhatsAppissa ei ole helppoa tapaa poistaa vanhoja viestejä tai tietoja järjestelmästä pysyvästi. Jos esimerkiksi yhdellä keskusteluun osallistuvalla henkilöllä on varmuuskopiointi päällä, koko viestihistoria tallentuu pilvipalveluun eikä voida taata asiakastietojen poistamista vaikka asiakas tai palvelutuottaja näin toivoisi. Tämä on iso ongelma, kun kyseessä ovat arkaluonteiset tiedot, joiden säilytysaika on rajoitettu tai joiden poistamista asiakas vaatii.
    6. Sovelluksen virallinen käyttötarkoitus: WhatsApp ja Signal ovat suunniteltu ensisijaisesti yksityiseen ja henkilökohtaiseen käyttöön, ei yritysten tai ammatillisen viestinnän tarpeisiin. Tämän vuoksi sovelluksessa ei ole erityisominaisuuksia, jotka on suunniteltu juuri sosiaali- ja terveydenhuollon vaatimuksiin.
    7. Potilastietojärjestelmien tai käyttäjähallinnan integraatio: WhatsApp ei tarjoa mahdollisuutta integroitua olemassa oleviin potilastietojärjestelmiin tai muihin terveydenhuollon tietojärjestelmiin tai esimerkiksi käyttäjähallintajärjestelmään (esim. Active directory). Tämä voi vaikeuttaa tietojen siirtoa ja käyttöä eri järjestelmien välillä eikä mahdollista keskitettyä käyttäjähallintaa.
    8. Käyttäjien tunnistaminen ja valvonta: WhatsAppissa ja Signalissa ei ole tehokkaita keinoja varmistaa käyttäjien identiteettiä tai valvoa heidän toimintaansa. Tämä voi johtaa väärinkäytöksiin ja pahimmassa tapauksessa ulkopuoliset henkilöt voivat liittyä keskusteluihin.
    1. Vastuun selvittäminen: WhatsApp-viestien ja keskustelujen jäljitettävyys, lokitus ja arkistointi voi olla puutteellista, mikä vaikeuttaa vastuun selvittämistä ja mahdollisten ongelmien ratkaisemista viestinnässä.
    2. Henkilötietojen käsittelyn dokumentointi: WhatsApp ei tarjoa kattavaa dokumentaatiota ja raportointia henkilötietojen käsittelystä, mitä GDPR taas vaatii.
    3. Viestien säilytysaika: joissain tapauksissa sote-tietoja pitää säilyttää useamman vuoden ajan. Meillä ei ole mitään takeita, että Signaliin tai Whatsappiin kirjatut tiedot säilyvät vaaditun ajanjakson.
    4. Käyttäjähallinta: WhatsAppissa ja Signalissa ei ole tehokasta käyttäjähallintaa, mikä voi aiheuttaa haasteita henkilökunnan vaihtuessa tai organisaatiorakenteen muuttuessa. Tämä voi vaikeuttaa viestinnän hallintaa ja valvontaa.
    5. Tietojen siirto EU:n ulkopuolelle: Koska WhatsAppin palvelimet voivat sijaita EU:n ulkopuolella, tietojen siirto voi aiheuttaa tietosuojaan liittyviä haasteita ja rikkoa GDPR:n vaatimuksia.
    6. Ei mahdollista tehdä sopimusta henkilötietojen käsittelystä ja vastuista: Kun hyvinvointialue, kunta tai sote-yritys ottaa käyttöön tietojärjestelmän tai viestisovelluksen, tulee sen tehdä sopimus henkilötietojen käsittelystä. Siinä määritellään vastuut ja velvollisuudet henkilötietojen käsittelyyn liittyen ja viestisovelluksen toimittaja sitoutuu noudattamaan riittävää tietoturvaa ja -suojaa.

      Whatsappin / Meta-yhtiön kanssa neuvottelu- ja sopimusmahdollisuus on olematon ja käyttöehdot tulevat annettuna heidän puolelta.

      Tässä oli muutamia esimerkkejä tietosuojavaatimuksista, jotka tulevat tietosuojalaista ja yleisestä EU:n tietosuoja-asetuksesta eli GDPR:stä. Näitä asioita käydään läpi tietosuojavaikutusten arvioinnissa (DPIA) kun hyvinvointialue tai sote-palveluyritys hankkii sovelluksia ja teknologiaa käyttöönsä.

      Valitettavan usein tosin globaalien kuluttajasovellusten tapauksessa tietosuojavaikutusten arvioinnista laistetaan ja jätetään tekemättä tyystin. Jolloin asetetaan sekä asiakastiedot vaaraan mutta samalla pakotetaan henkilökunta käyttämään sovelluksia joilla syyllistyvät tietosuojarikkomuksiin. Tämä on huonoa johtamista johon tulisi hyvinvointialueilla puuttua jämäkästi.