Terveydenhuollon sähköisen ajanvarauksen luokittelu potilastiedoksi ja sen mukanaan tuomat vahvan tunnistautumisen vaatimukset ovat herättäneet laajaa keskustelua. Joulukuussa 2023 apulaistietosuojavaltuutetun päätös korosti, että terveydenhuollon sähköisissä ajanvarauksissa on käytettävä luotettavaa tunnistautumista. Tämän päätöksen perustelut osaltaan vahvistavat, että terveydenhuollon ajanvaraustiedot kuuluvat potilaslainsäädännön piiriin. Tarkastelemme artikkelissa, miten tämä vaikuttaa terveydenhuoltopalveluiden tarjoajiin, erityisesti niiden käyttäessä sähköisiä ajanvarausjärjestelmiä, jotka eivät tue vahvaa tunnistautumista, ja miten se vaikuttaa potilaiden tietosuojaan.

Viime aikoina on muutamilla asiakkaillamme ilmennyt epäselvyyttä siitä, että onko sähköinen ajanvaraus potilastietoa ja tulisiko niissä käyttää vahvaa tunnistautumista.

Tämä kysymys on liittynyt osittain myös aiheeseen, jossa on pohdittu onko yrityksellä velvoitetta liittyä Kantaan, jos kirjaa varsinaiset potilastietomerkinnät paperiarkistoon ja ajanvarauksen hoitaa Kanta-yhteensopimattomalla sähköisellä järjestelmällä.

Apulaistietosuojavaltuutettu on joulukuussa 2023 antamassaan päätöksessään määrännyt, että henkilö on tunnistettava terveydenhuollon sähköisessä ajanvarauksessa luotettavasti. Luotettavana tunnistamismenetelmänä pidetään ainakin vahvaa sähköistä tunnistautumista. Hän katsoo, että esimerkiksi pelkästään henkilötunnuksen sekä etu- ja sukunimen kysyminen verkkoajanvarauksen yhteydessä ei todenna henkilöllisyyttä sähköisessä asioinnissa. Lisää aiheesta täältä.

Tapauksessa lopputulos oli, että vahva tunnistautuminen on aina tehtävä etävastaanoton palveluissa. Käsittelyn yhteydessä ilmenee, että itse asiassa kaikissa terveydenhuollon varauksissa olisi syytä olla vähintään jonkin tasoinen tunnistautuminen, mutta vahva tunnistautuminen katsotaan varmimmaksi keinoksi.

Ajas-järjestelmä tukee vahvaa tunnistautumista ja sen saa käyttöön helposti pyytämällä asiakaspalvelusta. Sen jälkeen varaajan henkilöllisyys on tiedossa.

Samassa yhteydessä on tulkittu, onko ajanvarausmerkintä potilastietoa. Finlex-sivuston päätöksessä asiaan liittyen löytyy maininta ”Terveydenhuollon ajanvaraustiedot ovat laissa potilaan asemasta ja oikeuksista 1992/785, (potilaslaki) tarkoitettuja potilasasiakirjoja, ja laissa sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (2021/784, asiakastietolaki) tarkoitettuja potilastietoja. Terveydenhuollon ajanvaraustiedot sisältyvät yleisen tietosuoja-asetuksen (EU) 2016/679 9 artiklan mukaisiin erityisiin henkilötietoryhmiin.”

Jos käyttää ylipäätään sähköistä ajanvarausta terveydenhuollon palveluihin, on todennäköistä että käsittelee potilastietoja sähköisesti. Toisaalta silloin jos katsotaan potilastietoja käsiteltävän sähköisesti, ajanvarausjärjestelmän tulisi olla Valviran rekisterissä, jotta sitä voi käyttää terveydenhuollon toimialan ajanvaraukseen. Tällöin pitäisi myös liittyä Kantaan.

Terveydenhuollon ajanvarausmerkinnät voidaan katsoa siis uusimpien, artikkelissa viitattujen lainausten mukaan potilastiedoksi. Terveydenhuollon ajanvarauksessa tulisi myös käyttää tunnistautumista.