Onervahoiva

Avainsana: Tietosuoja

  • Sisäinen viestintä vanhuspalveluissa on lähes aina myös asiakasviestintää – tällöin siihen pätee GDPR ja tietosuojalaki

    Sisäinen viestintä vanhuspalveluissa on lähes aina myös asiakasviestintää – tällöin siihen pätee GDPR ja tietosuojalaki

    Käytetäänkö teidän hyvinvointialueella Whatsappia, Signalia tai Teamsia hoitajien väliseen sisäiseen viestintään? Tiedäthän, että suurin osa sisäisestä viestinnästä esimerkiksi vanhuspalveluissa (kotihoito, asumispalvelut) tai vaikka lastensuojelussa on itseasiassa viestintään asiakkaista ja heidän asioista.

    Tällöin viestintää koskee samat GDPR ja tietosuojalait kuin jos asiakas olisi osallisena viestinnässä. Tällöin myös palvelutarjoajan eli hyvinvointialueen tai yksityisen palvelutuottajan tulee tehdä tietosuojan vaikutustenarviointi sovelluksen käytöstä ja sopimus henkilötietojen käsittelystä. Sen pitää varmistaa, että tieto ei kulje EU:n ulkopuolelle, vaikka USA:n viranomaisilla olisi siihen oikeudenpäätöksellä pääsy (ns. Cloud act).

    Oletteko tehneet tämän esimerkiksi Microsoftin (Teams) tai Metan (Whatsapp) kanssa? Useimmat eivät.

    Viestinnän käyttötapaukset pitää tuntea kun määritellään mitä viestintäkanavia käytetään

    Olemme jutelleet lukuisten hyvinvointialueiden ja yksityisten palvelutuottajien kanssa viestinnästä sosiaalihuollon eri palvelualoilla. Moni hyvinvointialue hakee kiivaasti säästöjä ja toivoo, että viestintä voitaisiin järjestää olemassaolevilla maksuttomilla kaupallisilla sovelluksilla. Whatsapp, Signal, Telegram ja Microsoft Teams ovatkin monilla alueilla käytössä.

    Ajatus on, että koska viestintää ei käydä suoraan asiakkaitten tai esim. omaisten/läheisten kanssa, ei siihen päde tietosuojalaki, GDPR tai vastaavat.

    Valitettavasti asia ei ole näin.

    Lue blogista: 14 syytä miksi sinun ei tule käyttää Whatsappia sote-viestinnässä

    Jos tuntee yhtään esimerkiksi kotihoidon tai lastensuojelun työtä, tietää että viestinnästä valtaosa koskee asiakkaita. Heidän vointia, kuulumisia, arkisia menoja. Asiakastyötä tehdään lähes aina tiimeissä ja tiimin tai lastensuojelussa työparin pitää keskustella nimenomaan asiakkaan tiedoista. Muuten työtä ei ole oikein mahdollista suorittaa.

    Tällöin on jotakuinkin välttämätöntä myös mainita asiakas nimellä tai muuten tunnistettavasti. Tällöin kyse on asiakasviestinnästä ja tällöin ei voida käyttää edellä mainittuja viestisovelluksia, jollei ole varmistettu että ne noudattavat tietosuojalakia, GDPR:ää eli ennen kuin on tehty tietosuojan vaikutustenarviointi ja sopimukset henkilötietojen käsittelystä.

    Hyvinvointialue asettaakin työntekijät ikävään asemaan jos he pakottavat käyttämään sovelluksia, jotka rikkovat tietosuojaa. Vastaamon surullinen tapaus osoitti myös mitä voi käydä jos tietosuojarikkomusten edessä ummistetaan silmät ja mennään sieltä missä aita on matalin.

    Onervan tietoturvallinen pikaviestisovellus on tarkoitettu niin sisäiseen viestintään kuin myös asiakas- ja omaisviestintään

    Sote-alan sisäiseen kuten myös ulkoiseen viestintään (esim. asiakas- ja omais-/läheisviestintä) on tarjolla helppokäyttöisiä ja tietoturvallisia eli GDPR + tietosuojalain vaatimukset täyttäviä sovelluksia – kuten Onervan pikaviestisovellus.

    Lue blogista miten Onervaa käytetään sosiaalihuollossa sisäisessä viestinnässä ammattilaisten kesken

    Onervan viestisovellus on sote-alan ammattilaisten kanssa yhdessä kehitetty kotimainen pikaviestisovellus. Eräänlainen sote-alan whatsapp. Yhtä helppo käyttää mutta sen toiminnallisuudet on suunniteltu tukemaan sosiaalihuollon työtä, tuomaan ajansäästöä ja se on myös tietoturvallinen joten sitä voi käyttää myös asiakastietojen viestimiseen.

    Tietoturvallinen pikaviestintä voidaan järjestää kustannustehokkaasti ja siten, että helpotetaan samalla sosiaalihuollon työtä. Hyvinvointialueiden tuleekin järjestelmä-/ohjelmistohankinnoissa ymmärtää sekä sosiaalihuollon käytännön työtä, viestinnän käyttötapauksia kuten myös lain vaatimukset. Muuten ollaan vaarana mennä Vastaamon tielle jossa silmät ummistettiin tietoturvarikkomusten ja laiminlyöntien edessä ja seurauksena oli kärsimystä kymmenille tuhansille ihmisille, vankeustuomio ja yrityksen konkurssi.

    Toivottavasti tästä on otettu opiksi ja ollaan fiksumpia.

    Jos haluat lisätietoa Onervan viestisovelluksesta sote-alalle, lue tästä blogista (Onerva on vaihtoehto Whatsappille sote-alan viestitään) tai varaa oma 15min esittely laittamalla mailia info@onervahoiva.fi tai viestiä oheisella lomakkeella.

  • 14 syytä miksi sinun ei tulisi käyttää Whatsappia asiakastiedoista viestiessä sote-alalla

    14 syytä miksi sinun ei tulisi käyttää Whatsappia asiakastiedoista viestiessä sote-alalla

    Sote-ammattilaisten pitää viestiä päivittäin niin keskenään kollegoiden välillä kuin asiakkaille ja usein myös asiakkaiden omaisille ja läheisille (esimerkiksi vanhemmille lastensuojelussa ja vammaispalveluissa tai läheisille vanhuspalveluissa).

    Useimmissa kunnissa, hyvinvointialueilla ja sote-yrityksissä on käytetty Whatsappia tai Signalia pikaviestintään, vaikkakin se on kielletty monin paikoin eikä suositella käytettäväksi etenkään asiakastietojen välittämiseen.

    Mutta miksi Whatsappia, Signalia, Telegramia tai vastaavia viestisovelluksia ei saa käyttää sote-viestinnässä? Kerromme seuraavaksi 14 syytä.

    Syyt miksi Whatsappia ei tule käyttää sosiaali- ja terveydenhuollon viestinnässä

    1. GDPR-vaatimukset: WhatsApp ei täytä EU:n tietosuoja-asetuksen (GDPR) vaatimuksia, jotka koskevat henkilötietojen käsittelyä ja suojaamista. Tämä voi aiheuttaa vakavia seuraamuksia ja sakkoja yrityksille, jotka käyttävät WhatsAppia henkilötietojen käsittelyyn. Esimerkiksi tietoja ei saa luovuttaa EU:n ulkopuolelle.
    2. Tietoturva: Vaikka WhatsApp tarjoaa päästä-päähän -salausta, sen tietoturvaominaisuudet eivät välttämättä ole riittävät arkaluonteisen asiakas- ja potilastiedon suojaamiseen. Voit tutustua tästä esimerkiksi THL:n määräyksiin ja vaatimuksiin sote-tietojärjestelmistä ja niiden toiminnallisuuksista
    3. Tietosuoja: WhatsAppin omistaa Meta (Facebook), joka on tunnettu keräämään ja hyödyntämään käyttäjätietoja markkinointi- ja mainostarkoituksiin. Käyttämällä Whatsappia asiakastietojen viestimiseen (huom: pelkkä asiakkaan puhelinnumero/IP-osoite on asiakastietoa), asetat asiakkaan vaaraan ja tiedot voivat siirtyä 3. osapuolelle mainostarkoituksiin.
    4. Tietojen lokitus ja jäljitettävyys: WhatsApp/Signal ei tarjoa kattavaa lokitusta tai jäljitettävyyttä, mikä on vaatimuksena sote-sektorilla asiakastietojen käsittelyssä. Hyvinvointialueen pitää pystyä tarvittaessa selvittämään kuka on kirjautunut järjestelmään milloinkin ja kuka on lukenut asiakastietoja.
    5. Poistettavuus: WhatsAppissa ei ole helppoa tapaa poistaa vanhoja viestejä tai tietoja järjestelmästä pysyvästi. Jos esimerkiksi yhdellä keskusteluun osallistuvalla henkilöllä on varmuuskopiointi päällä, koko viestihistoria tallentuu pilvipalveluun eikä voida taata asiakastietojen poistamista vaikka asiakas tai palvelutuottaja näin toivoisi. Tämä on iso ongelma, kun kyseessä ovat arkaluonteiset tiedot, joiden säilytysaika on rajoitettu tai joiden poistamista asiakas vaatii.
    6. Sovelluksen virallinen käyttötarkoitus: WhatsApp ja Signal ovat suunniteltu ensisijaisesti yksityiseen ja henkilökohtaiseen käyttöön, ei yritysten tai ammatillisen viestinnän tarpeisiin. Tämän vuoksi sovelluksessa ei ole erityisominaisuuksia, jotka on suunniteltu juuri sosiaali- ja terveydenhuollon vaatimuksiin.
    7. Potilastietojärjestelmien tai käyttäjähallinnan integraatio: WhatsApp ei tarjoa mahdollisuutta integroitua olemassa oleviin potilastietojärjestelmiin tai muihin terveydenhuollon tietojärjestelmiin tai esimerkiksi käyttäjähallintajärjestelmään (esim. Active directory). Tämä voi vaikeuttaa tietojen siirtoa ja käyttöä eri järjestelmien välillä eikä mahdollista keskitettyä käyttäjähallintaa.
    8. Käyttäjien tunnistaminen ja valvonta: WhatsAppissa ja Signalissa ei ole tehokkaita keinoja varmistaa käyttäjien identiteettiä tai valvoa heidän toimintaansa. Tämä voi johtaa väärinkäytöksiin ja pahimmassa tapauksessa ulkopuoliset henkilöt voivat liittyä keskusteluihin.
    1. Vastuun selvittäminen: WhatsApp-viestien ja keskustelujen jäljitettävyys, lokitus ja arkistointi voi olla puutteellista, mikä vaikeuttaa vastuun selvittämistä ja mahdollisten ongelmien ratkaisemista viestinnässä.
    2. Henkilötietojen käsittelyn dokumentointi: WhatsApp ei tarjoa kattavaa dokumentaatiota ja raportointia henkilötietojen käsittelystä, mitä GDPR taas vaatii.
    3. Viestien säilytysaika: joissain tapauksissa sote-tietoja pitää säilyttää useamman vuoden ajan. Meillä ei ole mitään takeita, että Signaliin tai Whatsappiin kirjatut tiedot säilyvät vaaditun ajanjakson.
    4. Käyttäjähallinta: WhatsAppissa ja Signalissa ei ole tehokasta käyttäjähallintaa, mikä voi aiheuttaa haasteita henkilökunnan vaihtuessa tai organisaatiorakenteen muuttuessa. Tämä voi vaikeuttaa viestinnän hallintaa ja valvontaa.
    5. Tietojen siirto EU:n ulkopuolelle: Koska WhatsAppin palvelimet voivat sijaita EU:n ulkopuolella, tietojen siirto voi aiheuttaa tietosuojaan liittyviä haasteita ja rikkoa GDPR:n vaatimuksia.
    6. Ei mahdollista tehdä sopimusta henkilötietojen käsittelystä ja vastuista: Kun hyvinvointialue, kunta tai sote-yritys ottaa käyttöön tietojärjestelmän tai viestisovelluksen, tulee sen tehdä sopimus henkilötietojen käsittelystä. Siinä määritellään vastuut ja velvollisuudet henkilötietojen käsittelyyn liittyen ja viestisovelluksen toimittaja sitoutuu noudattamaan riittävää tietoturvaa ja -suojaa.

      Whatsappin / Meta-yhtiön kanssa neuvottelu- ja sopimusmahdollisuus on olematon ja käyttöehdot tulevat annettuna heidän puolelta.

      Tässä oli muutamia esimerkkejä tietosuojavaatimuksista, jotka tulevat tietosuojalaista ja yleisestä EU:n tietosuoja-asetuksesta eli GDPR:stä. Näitä asioita käydään läpi tietosuojavaikutusten arvioinnissa (DPIA) kun hyvinvointialue tai sote-palveluyritys hankkii sovelluksia ja teknologiaa käyttöönsä.

      Valitettavan usein tosin globaalien kuluttajasovellusten tapauksessa tietosuojavaikutusten arvioinnista laistetaan ja jätetään tekemättä tyystin. Jolloin asetetaan sekä asiakastiedot vaaraan mutta samalla pakotetaan henkilökunta käyttämään sovelluksia joilla syyllistyvät tietosuojarikkomuksiin. Tämä on huonoa johtamista johon tulisi hyvinvointialueilla puuttua jämäkästi.

  • Tampereella kiellettiin viestivihkot kotihoidosta

    Aamulehdessä oli juttu Tampereelta. Kaupungin kotihoidolta oli kielletty paperisten viestivihkojen käyttäminen viestintään omaisten kanssa.

    Linkki artikkeliin on tässä.

    Juttu aiheutti aivan aiheesta paljon mielipahaa niin somessa kuin artikkelin kommenttikentässä. Ratkaisuvaihtoehtona tarjottu ajan varaaminen hoitajan kanssa tai tietosaantipyyntö kuulostaa kovin vaivalloiselta eikä ole ihan tätä päivää. (lisää…)