Valvira: tietomurron kohteeksi joutunut ja konkurssiin ajautunut Vastaamo laiminlöi useita velvollisuuksiaan
Sosiaali- ja terveydenhuollon lupa- ja valvontavirasto Valviran mukaan Psykoterapiakeskus Vastaamo laiminlöi useita yksityisestä terveydenhuollosta annetun lain mukaisia velvollisuuksiaan.
Valvira aloitti yrityksen toiminnan asianmukaisuuden ja turvallisuuden valvonnan lokakuussa, kun tieto yritykseen kohdistuneesta tietomurrosta tuli ilmi. Valvira teki Vastaamon toimitiloihin tarkastuksen marraskuussa.
Valvonnalla varmistettiin erityisesti potilasturvallisuuden toteutuminen ja potilasasiakirjojen asianmukainen siirto pitkäaikaissäilytykseen, kun Vastaamon toiminta päättyi. Yritys asetettiin konkurssiin maaliskuun alussa. Yrityksellä oli noin 300 työntekijää, joista valtaosa psykoterapeutteja.
Puutteita havaittiin erityisesti terveydenhuollon palveluista vastaavalle johtajalle säädettyjen tehtävien hoitamisessa ja toiminnan omavalvonnassa.
Vastaamon potilasasiakirjamerkinnät osoittautuivat tarkastuksen perusteella kirjaviksi ja osin puutteellisiksi. Myöskään henkilöstön perehdytys ja sisäinen koulutus eivät olleet riittäviä ohjaamaan työntekijöitä asianmukaiseen kirjaamiskäytäntöön.
Potilastietoihin oli myös liitetty sinne sisällöltään kuulumattomia asiakirjoja, kuten yksityisiä sähköposteja.
Potilaan hoidon ja kuntoutuksen suunnittelun, toteutuksen ja seurannan kannalta oleelliset tiedot olivat vain osassa potilasasiakirjoja. Myöskään potilasasiakirjojen tallennusratkaisu ei vastannut asiakastietolain mukaista pitkäaikaissäilytyksen vaatimusta. Vastaamo toimitti tarkastuksen jälkeen arkistointisuunnitelman ja päivitetyn tietoturvaa koskevan omavalvontasuunnitelman.
Nyt potilasasiakirjat on toimitettu Valviran valvonnassa asianmukaisesti Kelan arkistointipalveluun.
Myöskään palveluun tyytymättömiltä asiakkailta ennen tietomurtoa saapuneiden muistutusten käsittelyssä ja niistä annetuissa vastauksissa Vastaamo ei ollut kaikilta osin noudattanut Valviran ohjeistusta. Terveydenhuollon palveluista vastaavan johtajan olisi pitänyt havaita ja nostaa esiin henkilöstön lisäkoulutus- ja muita kehittämistarpeita.
Potilaiden tilan mahdollinen vaikeutuminen, hoidon tarpeen lisääntyminen ja keskeytyneiden hoitojen jatkuvuuden varmistaminen oli tietomurron jälkeisen valvonnan erityisenä huomion kohteena. Tarkastuskäynnillä ei havaittu välitöntä potilasturvallisuuden vaarantumista, mutta Valvira kehotti havaintojensa perusteella Vastaamoa täydentämään ohjeistustaan potilasturvallisuuden varmistamiseksi.
Vastaamo pyrki tietomurron ilmitulon jälkeen varmistamaan hoitojen jatkuvuutta monin eri keinoin ja tietomurron jälkeen yhteyttä ottaneille potilaille Vastaamo tarjosi välitöntä kriisiapua ja ohjasi heitä myös muihin kriisipalveluihin.