Hankinta, koronaelpymisprojektin käyttöönotto, sosiaali- ja terveystoimiala

Sosiaali- ja terveystoimialan toimialajohtaja päätti hyväksyä koronaelpymisprojektin toteuttaman ratkaisun käyttöönoton.

Koronaelpymisprojektin tuottamaa ratkaisua saa käyttää tietojohtamistarkoitukseen.

Sosiaali- ja terveystoimiala on käynnistänyt koronaelpymisprojektin, jonka tavoitteena on määritellä, pilotoida ja ottaa tuotantokäyttöön datavetoinen malli ennakoivien interventioiden tunnistamiseen haastavissa kohderyhmissä. Perinteiset palvelutuotantotavat eivät tavoita näissä kohderyhmissä olevia ihmisiä ja heille ei ole olemassa riskitekijäpohjaista hoitosuunnitelmaa. Näiden seurauksena nykyisten resurssiallokaatioiden niukkuuden vuoksi kohderyhmään kuuluvat eivät saa tarvitsemaansa apua ennen sairauksiensa kriisiytymistä. Koronaelpymisprojektin toteuttamisessa Apotti-järjestelmässä olevilla tiedoilla on keskeinen rooli, ja Apotti-tietojen integraatio on ensisijainen prioriteetti. Projektin mahdollistamiseksi on laadittu sovellusarkkitehtuuri (tietohallintopäällikkö 66 § 9.12.2021) sekä laadittu tarkempi määrittely (tietohallintopäällikkö 10 § 22.2.2022) projektin toteuttamista varten. Määrittelyn yhteydessä tunnistettiin tarve lisämäärittelylle ennen toteutuksen käynnistymistä (tietohallintopäällikkö 14 § 1.4.2022). Projektin toteuttamiseksi on hankittu palvelua, jotta projektin määrittelemä tekninen ympäristö, integraatiot ja loppukäyttäjien palveluita on toteutettu (sosiaali- ja terveystoimialan toimialajohtaja 88 § 19.5.2022). Tämän jälkeen projektissa on siirrytty ratkaisun käyttöönottamisen valmisteluun, jonka varmistamiseksi projektissa toteutetaan tarvittavat integraatiot ja testataan niiden toimivuus (hallintojohtaja 10 § 23.6.2022). Projektin käyttöönottamisen varmistamiseksi toteutustyö pitää sisällään ratkaisujen toteutuksen lisäksi niiden testaamisen ja yhteen toimivuuden varmistamisen sekä tuen käyttöönoton onnistumiseksi.

Terveyshyötyarvio tarjoaa sosiaali- ja terveydenhuollon ammattilaisille työvälineen ja toimintamallin, jonka avulla he voivat hyödyntää asiakas- ja potilastietojärjestelmää erilaisissa hoito- ja palveluvajeissa olevien asiakkaiden tunnistamisessa yhteydenottoja varten silloin, kun asiakas ei ole kieltänyt yhteydenottoja. Tässä projektissa toteutetaan teknisiä ratkaisuja ja tietoturvalliseen tietojen käsittelyyn liittyviä menetelmiä ja käytäntöjä, joita voidaan jatkossa suoraan hyödyntää sosiaali- ja terveystoimialalla tapahtuvassa asiakas- ja potilastietojen käsittelyssä tietojohtamista varten. Asukkaat hyötyvät siitä, että tietojärjestelmiin tehdyt panostukset näkyvät entistä enemmän nopeampina ja vaikuttavampina sosiaali- ja terveydenhuollon ennakoivina palveluina. Tässä vaiheessa Koronaelpymisprojektin tuottamasta ratkaisusta otetaan käyttöön vain tietojohtamisen osuus.

Koronaelpymisprojektissa on tehty tietosuojan vaikutusten arviointi, tuotettu käsittelytoimen kuvaus sekä ratkaisun määrittelydokumentti. Kaupungin tietosuojavastaava on antanut tietosuojan vaikutusten arvioinnista loppuraporttinsa, jossa arvioi, että koronaelpymisprojektin osalta ei ole tarvetta erilliseen tietosuojavaltuutetun ennakkokuulemiseen. Ratkaisun toteutuksessa on huomioitu pilvipalveluiden turvallisuuden arviointikriteeristö (PiTuKri) sekä THL:n määräys 3/2021 (THL/4309/4.09.00/2021). Ratkaisun suunnittelussa on huomioitu kansliapäällikkö 195 § 12.10.2022 -päätöksessä kuvatut edellytykset henkilötietojen ja salassa pidettävien tietojen maantieteellistä sijaintia ja siirtoa koskien. Ratkaisua varten on kuvattu ja toteutettu määrittelydokumentissa dokumentoidut henkilötietojen käsittelyn suojaamiseksi vaadittavat lisäsuojatoimenpiteet. Euroopan tietosuojaneuvoston suosituksen 1/2020 mukaisena lisäsuojatoimenpiteenä käytetään tietojen pseudonymisoimista ennen niiden siirtämistä alustatoimittajan järjestelmään. Lisäksi ratkaisun toteutus vastaa sosiaali- ja terveystoimialan voimassa olevassa tietoturvasuunnitelmassa kuvattuja tietoturvaan liittyviä periaatteita.

Ratkaisusta tehdyn määrittelydokumentin mukaisesti ratkaisu sisältää interventioprosessin hallinnan asiakas- ja potilastietojärjestelmässä sekä tiedon toissijaisen käytön Helsingin Soten tietoaltaassa ja PowerBI:lla. Ratkaisu noudattaa tietosuojan vaikutusten arvioinnissa, käsittelytoimen kuvauksessa ja ratkaisun määrittelydokumentissa kuvattuja määräyksiä.

Henkilötiedoksi luokitellaan tiedot, joiden perusteella henkilö voidaan tunnistaa suoraan tai välillisesti esimerkiksi yhdistämällä yksittäinen tieto johonkin toiseen tietoon, joka mahdollistaa henkilön tunnistamisen. Yksittäisiä tietoja, joiden pohjalta henkilö voidaan tunnistaa ovat muun muassa nimi, henkilötunniste, osoite tai jokin muu henkilöön kohdistuva tunnusomainen tekijä. Asiakastiedot ovat sosiaali- ja terveydenhuollossa salassa pidettäviä henkilötietoja. Asiakastieto pitää sisällään terveydenhuollon potilastiedot sekä sosiaalihuollon asiakastiedot. Asiakastieto on luottamuksellista ja sitä säätelee Asiakastietolaki (784/2021, Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä).

Toisiolain 41 §:n mukaan sosiaali- tai terveydenhuollon palvelunantajalla on oikeus salassapitovelvoitteiden estämättä sekä tietosuoja-asetuksen 9 artiklan 2 kohdan h alakohdan nojalla käsitellä ja yhdistellä tunnisteellisesti asiakastietoja, jotka ovat syntyneet sen omassa toiminnassa tai ovat sen omiin rekistereihin tallennettuja, jos se on välttämätöntä palvelunantajan vastuulla toteutettavan palvelutoiminnan tuottamista, seurantaa, arviointia, suunnittelua, kehittämistä, johtamista ja valvontaa varten. Koronaelpymisprojektin johdon PowerBI-näkymän tarkoituksena on visualisoida toimialan ja palvelujen johdolle mahdollisten hoitopudokkaiden palvelutarpeita kaupungin tasolla sekä heidän jakautumistaan peruspiireittäin resurssien kohdistamiseksi oikein sekä palvelujärjestelmän parantamiseksi. Tietojen käsittelyä tarkoitukseen on pidettävä välttämättömänä, sillä tietojen käsittelyn tarkoitusta ei ole muilla keinoin mahdollista saavuttaa.

Sosiaali- ja terveydenhuollon asiakastiedot ovat henkilötietoja. Euroopan unionin yleisen tietosuoja-asetuksen (GDPR) 44 artiklan mukaisesti eurooppalaisten henkilötietojen käsittely ja säilyttämisen tulee tapahtua joko EU/ ETA-alueella tai mikäli nämä tapahtuvat EU/ETA-alueen ulkopuolella, on kyseessä henkilötietojen siirto EU/ETA-alueen ulkopuolelle, ja tietosuojan ja tietoturvan riittävästä tasosta varmistuttava. Sote-ratkaisuissa on aina suositeltavaa käyttää EU/ETA-alueella tuotettua pilvipalvelua, mikäli vain mahdollista. Henkilötietojen siirto EU/ETA:n ulkopuolelle tarkoittaa myös tilanteita, joissa konesalit, joissa tiedot säilytetään, sijaitsevat EU/ETA-alueella, mutta niissä olevia henkilötietoja käsitellään alueen ulkopuolelta esim. etäyhteydellä.

Käyttöympäristön käyttö edellyttää tunnistautumista ja käyttö on rajoitettu erillisillä käyttöoikeuksilla. Helsingin Soten muilla käyttäjillä ei ole mahdollisuutta tarkastella ratkaisun tuottamaa tietoa. Ratkaisun pilottivaiheessa identiteetin tunnistaminen ei ole mahdollista noudatettaessa voimassa olevia tietosuojaa koskevia asetuksia ja lainsäädäntöä.

Ratkaisu ei tee automaattisia päätöksiä tai merkintöjä asiakas- ja potilastietojärjestelmään. Ratkaisu on koostettu Microsoft Azuren ja PowerBI:n komponenteista sekä niiden tietoturvallisista konfiguraatioista, joista on listaus teknisessä dokumentissa. Käsiteltävän tiedon mahdolliseksi siirto- ja säilytysalueeksi on määritelty EU/ETA-alue.