Potilasasiakirjojen hallinta ja käsittely on moninainen kokonaisuus. Vuoden 2024 alusta voimaan astuva uusi asiakastietolaki nivoo yhteen aiemmin melko pirstaleisena ollutta lakikokonaisuutta. Tässä oppaassa kuvataan potilasasiakirjojen hallinnan ja käsittelyn perusteet siten, kuin laki, asetukset ja määräykset ne tarkemmin määrittelevät.
Oppaassa paneudutaan potilasasiakirjojen hallintaan ja käsittelyyn. Kirjaamisen sisällöllisiä teemoja käsitellään toisaalla. Opas on luettavissa kokonaisuudessaan alta, saat osiot auki klikkaamalla otsikoita.
Suomen Fysioterapeuttien erityisasiantuntija Emmi Kivistö auttaa tarvittaessa jäseniä kirjaamiseen, tietoturvaan ja potilasasiakirjojen käsittelyyn liittyvien pulmien ratkaisemisessa. Olethan yhteydessä, kun kysymyksiä herää.
Fysioterapeutti on laillistettu terveydenhuollon ammattihenkilö (262/2015, 5 §), jonka tulee laatia ja säilyttää potilasasiakirjoja (HE 246/2022, 17 § & 703/2023, 23 §). Kirjaaminen ei siis ole valintakysymys, vaan osa terveydenhuollon ammattilaisen vastuuta.
Tässä oppaassa ei paneuduta kirjaamisen laatuun eikä sisältöön. Sosiaali- ja terveysministeriön asetuksessa potilasasiakirjoista (94/2022) on kuitenkin varsin täsmälliset määräykset siitä, mitä asiakirjoihin tulee kirjata. Lisäksi kokonaan oma pohdintansa on se, miten kirjaaminen tulee tehdä. Näitä teemoja käsitellään toisaalla.
Tässä oppaassa käytetään käsitteitä potilasasiakirja ja asiakasasiakirja synonyymeinä asiakastietolain (703/2023, 3 §) määritelmien mukaisesti. Käsitettä potilasasiakirja käytetään edelleen potilaslaissa (785/1992, 2 §) ja potilasasiakirja-asetuksessa (94/2022). Asiakasasiakirjalla taas on perinteisesti viitattu sosiaalihuoltoon, mutta nykyisin puhutaan sosiaalihuollon asiakasasiakirjoista (703/2023, 3 §).
Potilasasiakirjoja ovat potilaskertomus ja siihen liittyvät potilastiedot tai asiakirjat, sekä muut potilaan hoidon järjestämisen ja toteuttamisen yhteydessä syntyneet tai muualta saadut tiedot ja asiakirjat (94/2022, 2 §). Potilasasiakirjoiksi katsotaan siis kaikki potilaan kuntoutusjakson aikana syntyneet dokumentit, kuten muistiinpanot, testilomakkeet, kuvat ja videot. Kaikkia asiakirjoja ei tarvitse säilyttää, mutta kaikkiin pätevät samat tietoturvavaateet. Asiakastietojen säilyttämistä käsitellään tämän oppaan luvussa viisi.
Potilashallinnon asiakirjoja ovat esimerkiksi laskut ja potilaan tekemät kantelut sekä muistutukset (STM 2012, s. 15). Potilasasiakirjoista muodostuu potilasrekisteri, jonka käsittelyä säädellään lakien, asetusten ja EU:n tietosuoja-asetuksen (EU 2016/679) perusteella. Potilasrekistereitä käsitellään tämän oppaan luvussa neljä.
Potilasasiakirjat tulee laatia ja säilyttää sellaisia välineitä ja menetelmiä käyttäen, että asiakirjoihin sisältyvien tietojen eheys ja käytettävyys voidaan turvata tietojen säilytysaikana (94/2022, 3 §).
Fysioterapiayrittäjä voi edelleen kirjata paperille. Sähköisen potilastietojärjestelmän käyttö ja asiakirjojen sähköinen arkistointi ei ole toistaiseksi pakollista. Kantaan liittyminen on kuitenkin pakollista, jos käytetään sähköistä potilastietojärjestelmää (703/2023, 67 §).
Potilasasiakirjoihin liittyvät tiedot ovat salassa pidettäviä (703/2023, 4 §) ja niitä on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia (2016/679, 5. artikla, f). Vastuu tietoturvan säilymisestä on fysioterapiayrityksellä prosessin kaikissa vaiheissa (703/2023, 77-78 §).
Mikäli potilasasiakirjat laaditaan paperille, tulee huomioida myös niiden pitkäaikaisempi säilytys. Arkistolaki (831/1994) ja valtionarkiston tarkat määräykset koskevat vain pysyvästi säilytettäviä asiakirjoja, joten ne eivät sido fysioterapiayrittäjiä.
Sähköistä potilastietojärjestelmää käyttävät eivät voi arkistoida potilastietoja paperisena (703/2023, 67 §). Potilastietojen sähköinen arkistointi on luvallista vain Kannassa. Potilastietojen säilyttämistä käsitellään tarkemmin luvussa viisi.
Asiakastietojen sähköisessä käsittelyssä tulee turvata tietojen saatavuus ja käytettävyys. Asiakastietojen tulee säilyä eheinä ja muuttumattomina koko niiden säilytysajan (703/2023, 22 §). Salassapitovelvoite koskee myös potilasasiakirjojen sähköistä käsittelyä.
Potilastietojärjestelmän tulee täyttää yhteen toimivuutta, tietoturvaa ja tietosuojaa sekä toiminnallisuutta koskevat olennaiset vaatimukset. Potilastietojärjestelmä tulee toimia ja olla suunniteltu ja valmistettu tietoturvaa ja tietosuojaa koskevien lakien ja niiden nojalla annettujen säännösten sekä yhteen toimivuutta koskevien kansallisten määritysten mukaisesti (703/2023, 84 §).
THL vastaa potilastietojärjestelmien tarkemmista vaatimuksista. Potilasasiakirjoja ei voi käsitellä sähköisesti millä tahansa tietojärjestelmällä, eikä asiakirjoja tai niiden kopioita voi esimerkiksi säilyttää yleisissä pilvipalveluissa. Sähköisessä potilasasiakirjojen käsittelyssä ainoa oikea vaihtoehto on virallinen sertifioitu potilastietojärjestelmä.
Jos fysioterapiayrittäjä käyttää sähköistä potilastietojärjestelmää, hänen tulee liittyä valtakunnallisten tietojärjestelmäpalveluiden käyttäjäksi (703/2023, 67 §). Tällä tarkoitetaan Kelan ylläpitämää Kanta-arkistoa ja muita Kanta-palveluita (mm. hakemistopalvelu ja tiedonhallintapalvelu).
Kantaan tulee siirtää fysioterapiajaksoa edeltävä lähete ja kuntoutussuunnitelma, kaikki fysioterapiajakson aikana syntyneet potilaskertomusmerkinnät ja jakson aikana tehdyt terapiapalautteet (703/2023, 69 §; 94/2022, 17 §).
Kantaan ei tarvitse toistaiseksi siirtää valokuvia, videoita, äänitallenteita, mittalaitteiden tulosteita tai erikoisala- tai toimintokohtaisia rakenteisia asiakirjoja (703/2023, 102 §). Viimeksi mainittuja rakenteisia asiakirjoja ei ole määritelty tarkemmin, mutta niitä voivat olla esimerkiksi toimintakyvyn arvioinnissa käytetyt tutkimus- ja kyselylomakkeet tai asiakkaalle laaditut kirjalliset harjoitusohjelmat. Potilaskertomukseen tulee dokumentoida sellaisella tarkkuudella, että edellä mainittuja liitteitä ei tarvita.
Sähköisestä asiakasasiakirjasta tulee olla vain yksi alkuperäinen tunnisteella yksilöity kappale (703/2023, 69 §). Alkuperäisestä asiakirjasta voidaan palvelun toteuttamiseksi tai muusta perustellusta syystä ottaa jäljennös, josta tulee ilmetä asiakirjan olevan jäljennös (703/2023, 69 §).
Fysioterapiayrittäjän laatiessa potilaskertomuksen sähköiseen potilastietojärjestelmään, siirtyy tieto yleensä automaattisesti Kantaan. Osa potilastietojärjestelmistä tallentaa tiedot ainoastaan Kantaan, eikä paikallisia kopioita synny lainkaan. Kannassa oleva tieto tulkitaan alkuperäiseksi ja viralliseksi potilasasiakirjaksi ja palveluntuottajan järjestelmässä oleva tieto kopioksi. Fysioterapiayrityksen omassa järjestelmässä olevat tiedot tulee poistaa sen jälkeen, kun niille ei ole enää tarvetta (94/2022, 23 §). Tietojen poistamista käsitellään tarkemmin luvussa viisi.
Potilasrekisterin käyttötarkoitus on potilaiden terveyden ylläpito sekä hoidon suunnittelu, toteuttaminen ja seuranta (STM 2012, s. 29). Julkisessa sosiaali- ja terveydenhuollossa palvelun järjestämisestä vastaava palvelunantaja on asiakastietojen rekisterinpitäjä, jos ei muualla laissa toisin säädetä. Yksityisessä sosiaali- ja terveydenhuollossa asiakastietojen rekisterinpitäjä on se palvelunantaja, jonka kanssa asiakas on tehnyt sopimuksen palvelun toteuttamisesta. Työterveyshuollossa rekisterinpitäjä on se palvelunantaja, jonka kanssa työnantaja on tehnyt sopimuksen työterveyshuoltopalveluiden toteuttamisesta taikka työterveyshuoltolain 7 §:ssä tarkoitettu työnantaja, joka järjestää itse työterveyshuollon. (703/2023, 13 §).
Rekisterinpitäjä määräytyy aina lain perusteella. Vaikka potilasasiakirjojen säilytys voidaan sopia palveluntuottajan vastuulle, vastaa julkinen terveydenhuolto rekisterinpitäjänä potilasasiakirjojen eheydestä (STM 2012, s. 29).
Potilasasiakirjat on tallennettava potilaskohtaisesti palvelujen antajan omaan potilasrekisteriin, jos palvelujen antajalla on lakiin tai potilaan kanssa tehtyyn sopimukseen perustuva vastuu järjestää kuntoutus. Samaan rekisteriin kuuluvat kaikki rekisterinpitäjän järjestämän terveydenhuollon asiakirjat, joita käytetään samaan käyttötarkoitukseen, riippumatta tietojen tallentamistavasta, -ajankohdasta tai -paikasta taikka niiden fyysisestä sijainnista tai käytetyistä tietojärjestelmistä (STM 2012, s. 28-29).
Potilasasiakirjat tallennetaan erilliseen ostopalvelujen potilasrekisteriin, jos potilasta hoidetaan ostopalvelusopimuksen, palvelusetelin, maksusitoumuksen tai muun järjestelyn perusteella toisen lukuun (STM 2012, s. 29; 703/2023, 14 §). Tällöin vastuu kuntoutuksen järjestämisestä on edelleen julkisella terveydenhuollolla, mutta se täyttää järjestämisvelvoitteensa hankkimalla palvelun elinkeinonharjoittajalta (1326/2010, 54 §). Rekisterinpitäjän vastuu, velvoitteet ja oikeudet kuuluvat sille toimintayksikölle, jonka toimeksiannosta tai jonka lukuun potilasta hoidetaan (STM 2012, s. 29; 703/2023, 14 §). Ostopalveluissa vastuu on julkisella terveydenhuollolla.
Fysioterapiayrittäjän tulee tallentaa asiakkaidensa potilasasiakirjat aina oikeaan potilasrekisteriin. Fysioterapiayritys toimii rekisterinpitäjänä kaikkien omien asiakkaidensa osalta, eli niiden asiakkaiden, jotka maksavat kuntoutuksensa itse. Lisäksi fysioterapiayritys toimii rekisterinpitäjänä Kelan ja vakuutusyhtiön, sekä muiden ei-terveydenhuollon yksiköiden korvaaman kuntoutuksen osalta. Julkisen terveydenhuollon ostopalvelusopimuksella tuotetussa fysioterapiassa syntyneet potilasasiakirjat tulee tallentaa palvelua ostaneen yksikön potilasrekisteriin (STM 2012, s. 29–30; 703/2023, 14 §).
Ostopalvelun hankkijan, eli julkisen terveydenhuollon, ja fysioterapian elinkeinonharjoittajan tulee sopia rekisterinpitoon liittyvistä kysymyksistä (94/2022, 5 §; 703/2023, 14 §). Näitä kysymyksiä ovat esimerkiksi paperisten potilasasiakirjojen säilytys, eli säilyttääkö palvelun tuottaja alkuperäisiä asiakirjoja vai toimitetaanko ne palvelujen järjestäjän säilytettäviksi ja ylläpidettäviksi. Mikäli palveluntuottaja säilyttää asiakirjat, tulee osapuolten sopia, miten tiedot ovat rekisterinpitäjän käytettävissä niitä tarvittaessa. (STM 2012, s. 29). Potilasasiakirjojen sähköistä arkistointia ja ostopalveluita käsitellään luvussa kuusi.
Fysioterapiassa syntyviä potilasasiakirjoja tulee säilyttää 12 vuotta asiakkaan kuoleman jälkeen. Terapiasuhteen päätyttyä asiakkaan kuolemasta saadaan harvoin tietoa, jolloin säilytysaika on 120 vuotta asiakkaan syntymästä. (703/2023, liite) Säilytysvastuu on palvelun tuottaneella fysioterapiayrityksellä, jos yritys ei ole liittynyt Kantaan (703/2023, 23 §). Aiemmin mainitut tietoturvavelvoitteet koskevat myös potilasasiakirjojen pitkäaikaissäilytystä.
Potilasasiakirjat tulee arkistoida siten, että asianmukaisin teknisin ja organisatorisin keinoin varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta (EU 2016/679, 5. artikla, f). Paperisten potilasasiakirjojen säilytys edellä mainitut vaatimukset huomioiden on sähköiseen arkistointiin verrattuna kallista ja hankalaa.
Sähköisessä potilastietojärjestelmässä olevat potilastiedot voidaan arkistoida sähköisesti ainoastaan Kantaan. Sähköistä potilastietojärjestelmää käyttävät eivät voi arkistoida potilastietoja paperisena. (703/2023, 67 §).
Kela on arkistoinut vuodesta 2019 lähtien toimintansa lopettaneiden pienten toimijoiden potilastietoja maksuttomasti. Jos fysioterapiayrityksen toiminta loppuu 1.1.2024 tai sen jälkeen, yrityksen tulee toimittaa rekisterinpitoonsa kuuluneet sähköiset ja paperiset asiakirjat Kelaan (Kela 17.10.2023). Toimintansa lopettaneiden yritysten rekisterinpito siirtyy sen hyvinvointialueen (ml. Helsingin kaupunki) rekisterinpitoon, jonka alueella yrityksen kotipaikka on sijainnut (703/2023, 16 §).
Potilasasiakirjojen säilytysajat on määritelty valtioneuvoston asetuksella (94/2022, 23 §). Säilyttämisajan jälkeen palveluntuottajan tulee välittömästi hävittää potilasasiakirjat tietoturvallisella tavalla (94/2022, 23 §). Kansaneläkelaitos huolehtii Kannassa olevien tietojen hävittämisestä fysioterapiayrittäjän puolesta. Yritysten vastuulla on määritellä tiedolle säilytysaika. Kansaneläkelaitoksen on ennen tietojen hävittämistä informoitava asiasta palveluntuottajaa (94/2022, 23 §).
Fysioterapiayrityksen omassa sähköisessä potilastietojärjestelmässä olevat potilastiedot, joiden alkuperäiskappaleet on arkistoitu Kantaan, tulee poistaa yrityksen omasta järjestelmästä, kun niille ei ole enää tarvetta (653/2000, 12 §; 94/2022, 23 §). Poistamisaikaa ei ole määritelty tarkasti, mutta viimeistään tiedot tulisi poistaa kun mahdollisen hoitovirheen korvausvelvollisuus päättyy. Vahinkoilmoitus Potilasvakuutuskeskukseen tulee tehdä usein kolmen vuoden, mutta joissain tapauksissa kymmenen vuoden kuluttua vahingon syntymisestä (498/2019, 31 §). Palveluntuottaja vastaa tietojen poistamisesta, käytännössä yhteistyössä potilastietojärjestelmän toimittajan kanssa.
Tietojärjestelmissä voi olla mahdollisuus hakea asiakkaan tietoja suoraan Kannasta, jolloin fysioterapiayritys pääsee tietoihin käsiksi tarvittaessa myöhemminkin, esimerkiksi tilanteissa, joissa asiakas tulee uudelle kuntoutusjaksolle tauon jälkeen. Potilastietoja saavat käsitellä asiakkaan kuntoutukseen osallistuvat ammattilaiset siinä laajuudessa, jota työtehtävät ja vastuut edellyttävät (94/2022, 4 § & 1050/2018, 4 §).
Ostopalvelun hankkijan, eli julkisen terveydenhuollon, ja fysioterapiayrityksen tulee sopia rekisterinpitoon liittyvistä kysymyksistä (703/2022, 13 §; 94/2022, 5 §). Ostopalveluasiakkaiden potilasasiakirjat tulee tallentaa erilliseen ostopalveluasiakasrekisteriin, jotta tiedot on mahdollista erottaa jälkikäteen (STM 2012, s. 29). Potilasrekistereitä käsitellään tarkemmin luvussa neljä.
Ostopalveluasiakkaiden potilasasiakirjat tulee säilyttää palveluntuottajan omassa käytössä fysioterapian järjestämisen ja toteuttamisen sekä fysioterapiaan liittyvien mahdollisten korvausvaatimusten edellyttämän ajan (ks. tarkemmin edellinen luku), paitsi jos ostopalvelun tilaajan kanssa on sovittu tietojen pitkäaikaisestä säilyttämisestä. Paperisia potilasasiakirjojen kopioita ei voida hävittää ennen kuin on varmistettu, että ostopalvelun tilaaja on saanut alkuperäiset potilasasiakirjat itselleen. Potilasasiakirjojen kopiot tulee hävittää välittömästi sen jälkeen, kun niiden säilyttämiselle ei ole perusteita ()
Julkisen terveydenhuollolla on ollut velvoite tallentaa ostopalveluna hankituissa palveluissa syntyneet potilasasiakirjat Kanta-arkistoon vuoden 2018 alusta lähtien (1257/2015, liite), tai jo aiemmin, mikäli palveluntuottaja on liittynyt Kantaan. Sähköisten potilasasiakirjojen tulee muodostaa ehyt asiakirjakokonaisuus (94/2022, 2 §), joka tarkoittaa, että tietojen tulee kirjautua Kannassa hoidosta vastaavan tahon potilasrekisteriin. Rekisterin määräytymisestä kerrotaan luvussa neljä.
Kantaan liittyneen fysioterapiayrityksen potilasasiakirjat kirjautuvat lähtökohtaisesti yrityksen omaan potilasrekisteriin. Itse maksavien, Kelan ja vakuutusyhtiöiden asiakkaiden osalta rekisteri on oikea, mutta julkisen terveydenhuollon ostopalveluasiakkaiden tiedot eivät kuulu elinkeinonharjoittajan potilasrekisteriin, vaan ne tulee kirjata Kannassa julkisen terveydenhuollon potilasrekisteriin. (STM 2012, s. 29)
Potilasasiakirjat saadaan kirjattua Kanta-arkistossa oikeaan rekisteriin käyttämällä ostopalvelun valtuutusta. Ostopalvelun järjestäjä tallentaa Kantaan ostopalvelun valtuutuksen, jossa määritetään ostopalvelun tuottajan eli fysioterapiayrityksen käyttö- ja arkistointioikeudet järjestäjän potilasrekisteriin. Järjestäjän tallentaman ostopalvelun valtuutuksen nojalla tiedot on mahdollista tallentaa Kannassa suoraan oikeaan rekisteriin, jolloin tietoja ei tarvitse toimittaa järjestäjälle muulla tavoin.
Ostopalvelun valtuutuksen käyttö edellyttää, että järjestäjä ja tuottaja ovat Kannan käyttäjiä ja kummallakin on tietojärjestelmässään käytössä ostopalvelun valtuutukseen vaadittava ominaisuus. Ennen kuin toiminnallisuus otetaan käyttöön, tietojärjestelmien täytyy suorittaa Kelan määrittämä käyttöönottokoe. Eri tietojärjestelmien ajankohtaisen tilanteen toiminnallisuuksien osalta löydät täältä.
Palveluntuottajan tulee kirjata ostopalveluasiakkaiden tiedot erilliseen ostopalvelurekisteriin (STM 2012, s. 29) myös Kantaan liityttyään. Ostopalveluna tapahtuvassa fysioterapiassa syntyneistä potilasasiakirjoista tulee ilmetä palvelun hankinnan tapa sekä palvelun tilaaja, tuottaja ja toteuttaja (94/2022, 5 §).
Potilaalla on oikeus vaatia oikaistavaksi epätarkat ja virheelliset henkilötiedot ilman aiheetonta viivytystä (EU 2016/679, 16. artikla). Potilasasiakirjamerkintöjen korjaaminen tulee tehdä siten, että alkuperäinen ja korjattu merkintä ovat myöhemmin luettavissa ja korjauksen tekijän nimi, virka-asema, korjauksentekopäivä ja korjauksen peruste on merkitty potilasasiakirjoihin (94/2022, 20 §). Jos potilasasiakirjoista poistetaan potilaan hoidon kannalta tarpeeton tieto, potilasasiakirjoihin tulee tehdä merkintä tiedon poistamisesta, poistajasta sekä poistamisajankohdasta (94/2022, 20 §).
Potilaalla ei ole oikeutta vaatia potilastietoja kokonaan poistettaviksi (EU 2016/679, 17. artikla, 3. kohta, c alakohta), koska fysioterapeutilla on laillistettuna terveydenhuollon ammattihenkilönä toisaalta oikeus käsitellä potilasasiakirjoja (EU 2016/679, 9. artikla, 2. kohta, h alakohta) ja toisaalta velvollisuus laatia niitä (703/2023, 17 §). Asiakas ei myöskään voi kieltää tietojen viemistä Kantaan, mutta hän voi asettaa rajoituksia sille, kuka tietoja pääsee katsomaan (Kanta.fi 28.1.2021).
Tietosuojavaltuutetun linjauksen mukaan potilaan oikeus vaatia virheellisen tiedon korjaamista ei ulotu terveydenhuollon ammattihenkilön tekemiin arvioihin esimerkiksi potilaan terveydestä tai toimintakyvystä. Asiakas voi olla eri mieltä terveydenhuollon ammattilaisen kanssa, mutta ei voi vaatia ammattilaista muuttamaan potilasasiakirjoja mieleisekseen. Tietosuojavaltuutettu suosittelee erimielisyystilanteissa täydentämään potilasasiakirjoihin potilaan näkemyksen tilanteesta, jos se on merkityksellistä potilaan hoidon kannalta.
Potilaalla on oikeus saada välittömästi ja maksutta selvitys siitä, kuka hänen potilastietojaan on käsitellyt. Yli kaksi vuotta vanhojen tietojen osalta tietojen luovutukselle tulee olla perusteltu syy. Asiakkaalla ei kuitenkaan ole oikeutta saada lokitietoja, jos lokitietojen luovuttajan tiedossa on, että lokitietojen antamisesta saattaisi aiheutua vakavaa vaaraa asiakkaan terveydelle tai hoidolle taikka jonkun muun oikeuksille. (703/2023, 11 §).
Oikeutta tietojen saamiseen ei muodostu tietosuoja-asetuksen niin sanotun tarkastusoikeuden perusteella (EU 2016/679, 15. artikla), koska lokitiedot eivät koske potilasta itseään (Tietosuojavaltuutettu 18.10.23). Lokitietojen toimittamisessa noudatetaan siis kansallista lainsäädäntöä.
Voinko säilyttää potilasasiakirjoja ulkoisella kovalevyllä tai muistitikulla?
Et voi. Asiakastietolain (703/2023) 67 § mukaan yksityisen elinkeinonharjoittajan tulee liittyä Kantaan, jos käytössä on potilastietojärjestelmä. Potilasasiakirjojen säilyttäminen omassa sähköisessä arkistossa ei ole mahdollista. Kopioita potilasasiakirjoista ei saa myöskään säilyttää muutoin kuin kuntoutusjakson ajan.
Voinko kirjoittaa potilasasiakirjat tietokoneella ja tulostaa ne myöhemmin paperille?
Kyllä, mutta tietoturvasta huolehtiminen voi olla vaikeaa. Tavanomaiset tekstinkäsittelyohjelmat voivat tallentaa tietokoneelle tai pilvipalvelimelle varmuuskopioita asiakirjasta, jotka voivat jäädä huomaamatta. Tällöin asiakirjoista syntyy ylimääräisiä kopioita ja tiedot voivat siirtyä pilvipalveluiden kautta EU-alueen ulkopuolelle, jolloin toimitaan sekä kansallisen lainsäädännön että EU:n tietosuoja-asetuksen vastaisesti. Potilasasiakirjojen tulostamisessa verkkotulostimilla tulee niin ikään huomioida tietosuojan vaatimukset: tietojen siirto tulostimeen tulee tapahtua salatusti ja tietoja ei saa jäädä tulostimen muistiin (esim. tulosta viimeisin työ uudelleen -toiminto). Tietokoneella olevat kopiot tulisi lisäksi hävittää heti tulostuksen jälkeen, eikä esimerkiksi kuntoutuspalautteesta voi jättää omaan käyttöön sähköistä kopiota.
Voinko säilyttää sähköisesti omassa käytössä potilasasiakirjoja, joista henkilötiedot on poistettu?
Tiukasti lainsäädäntöä tulkiten tämä ei ole mahdollista. Potilasasiakirjassa tulee olla potilas-asiakirja-asetuksessa mainitut tiedot ja kopioita asiakirjoista ei tule säilyttää. Käytössämme ei ole yhtenäistä tulkintaa siitä, milloin asiakirja ei enää ole potilasasiakirja. Henkilötietojen hävittämisen lisäksi tulee varmistua siitä, että asiakas ei ole esimerkiksi pelkän tekstin perusteella tunnistettavissa. Tämä tarkoittaa, että asiakirjassa ei saisi olla tietoja esimerkiksi asiakkaan ammatista, käyntiajoista, kuntoutuksesta vastaavasta tahosta tai asuinympäristöstä. Käytännössä tunnistetietojen hävittäminen voi muuttaa asiakirjaa merkittävästi, ja luo riskin tietojen eheydelle.
Voinko säilyttää asiakkaasta otettuja valokuvia ja videoita myös kuntoutusjakson jälkeen?
Kyllä ja siihen on myös velvoite. Potilas-asiakirja-asetuksen liitteen mukaan videoita ja valokuvia tulee säilyttää Hoidon kannalta tarpeelliseksi arvioidut 12 vuotta aineiston tuottamisesta. Kanta-arkistoon ei toistaiseksi siirretä valokuvia, videoita tai äänitallenteita, joten tietojen säilyttäminen on fysioterapiayrittäjän vastuulla. Tietojen tulee säilyä eheinä ja käyttökelpoisina. Valokuvat voidaan arkistoida digitaalisena tai paperisena, videot digitaalisena. Arkistoinnissa ei voida käyttää sellaisia pilvipalveluita, joiden kautta tieto voi siirtyä EU-alueen ulkopuolelle. Käytännössä aineisto kannattaa säilyttää esimerkiksi erikseen salatulla ulkoisella muistiasemalla. Salasana tulee säilyttää huolellisesti ja muistiaseman mahdollisen rikkoutumisen vuoksi samat tiedot on järkevää säilyttää kahdella eri asemalla (fyysinen varmuuskopio).
Erityisasiantuntija
(yksityinen sektori, kirjaaminen)
p. 045 7884 3359
emmi.aalkivi@suomenfysioterapeutit.fi
