Selvityksen perusteella asiakas- ja potilastietojen käsittelyä koskeva sääntely on monin osin puutteellinen ja se tulisi uudistaa kokonaisuudessaan.
Itä-Suomen yliopiston tutkijat julkisoikeuden professori Tomi Voutilainen ja julkisoikeuden yliopistonlehtori Evgeniya Kurvinen selvittivät sosiaali- ja terveysministeriön toimeksiannosta hyvinvointialueiden, Helsingin kaupungin, HUS-yhtymän, Terveyden ja hyvinvoinnin laitoksen sekä Kansaneläkelaitoksen käyttämien tietoallasratkaisujen lainmukaisuutta. Potilastietojärjestelmistä kopioidaan laajasti potilastietoja tietoaltaisiin muuhun kuin potilaan hoidon tarkoituksiin, kuten tietojohtamisen ja tutkimuksen tarkoituksiin.
Selvityksen perusteella asiakas- ja potilastietojen käsittelyä koskeva sääntely on monin osin puutteellinen ja se tulisi uudistaa kokonaisuudessaan. Selvitystyössä ilmeni yli kymmenen terveystietoja sisältävää rekisteriä, joista ei ole säädetty lainsäädännössä mitään. Terveystiedot ovat arkaluonteisia tietoja ja niiden käsittelystä on säädettävä täsmällisesti, tarkkarajaisesti ja kattavasti laissa. Lisäksi selvityksen mukaan tiedonsaantioikeuksia koskevassa sääntelyssä on puutteita. Terveystietojen toissijaista käyttöä koskevia perusteita tulisi tarkentaa, koska sääntely on muodostunut tulkinnanvaraiseksi.
Selvityksessä todetaan, että yksityiselämän suojan ydinalueelle kuuluvia salassa pidettäviä asiakas- ja potilastietoja kopioidaan eri tietoallasratkaisuihin ilman riittävää sääntelyä ja tosiasiallista arkaluonteisten tietojen käsittelyn välttämättömyyskriteerin arviointia. Tietojen kopiointi ja siirrot ovat massamuotoisia.
Selvitystyön johtopäätöksissä todetaan, että tekoälyn käyttöön liittyvät mahdollisuudet ja odotukset sosiaali- ja terveydenhuollossa nostavat esille erityisen tarpeen huolehtia siitä, että tekoälyn toiminta perustuu laadukkaaseen, kattavaan ja ajantasaiseen tietoon, jos sitä käytetään asiakkaalle tai potilaalle tuottavien palvelujen tukena. Hajautunut ja pistemäinen asiakas- ja potilastietojen hallinta johtaa tekoälyn käytön riskeihin, jotka ovat merkityksellisiä asiakas- ja potilasturvallisuuden näkökulmista.
– Selvityksen perusteella lainsäädäntöä on uudistettava seuraavalla vaalikaudella perusteellisesti. Vaikka asiakas- ja potilastietoja tallennetaan keskitetysti, on niiden hallinta edelleen hajallaan, joka muodostaa uhkia niin tietosuojan, kyberturvallisuuden kuin asiakas- ja potilasturvallisuuden kannalta katsottuna, toteaa julkisoikeuden professori Tomi Voutilainen.
