TIETOTILINPÄÄTÖS – SOTE-solmun avaaja?

Lauantain 25.11. Hesarissa oli juttua, kuinka Siikalatvan kunta ulkoistaa SOTE-palveluiden tuottamisen Mehiläiselle. Erikoiseksi tapauksen tekee se, että Siikalatvan terveyskeskuksen etäpiste tulee sijaitsemaan Oulun keskustassa – Mehiläisen operoimana ja Mehiläisen brändin alla. Samassa HS:n jutussa kerrotaan kuinka Varkaudessa Terveystalo ohjaa potilaita Varkauden aluesairaalaan, jonka leikkaukset on ulkoistettu Terveystalolle. Tässä asiakassuhde on ensin Terveystalon kanssa ja sitten asiakassuhde muodostuu myös Varkauden aluesairaalan kanssa.

Tässä kirjoituksessa en syvenny ansaintamalleihin tai erilaisiin poliittisiin näkemyksiin kuntien ja maakuntien roolista. Mielenkiintoisempaa on pohtia asiakassuhteen määritystä asiakaskokemuksen, data-arkkitehtuurin ja tietosuojan näkökulmasta: kenen kanssa oululaisella potilaalla muodostuu asiakassuhde, kun hän asioi Mehiläisen toimipisteessä, joka on Siikalatvan terveyskeskus? Kuka on reksiterinpitäjä (controller) ja kuka käsittelijä (processor) ja kuinka varmistetaan se, että eri roolien oikeudet, vastuut ja velvoitteet toteutetaan laadukkaasti.

Onko tällä merkitystä? Eihän se ole ongelma, jos asiakas luo asiakassuhteen, vaikka kymmenen eri toimijan kanssa – pääasia, että potilas hoidetaan. Juuri näin, mutta terveyden- ja erityisesti sairaudenhuollon alalla ”asiakas keskiössä” -ajattelu, potilastietojen siirrettävyys ja potilas – maksaja -suhteen hallinta tuo kokonaisuuteen erityispiirteitä. Sairaalakäynnin maksaja voi olla henkilö itse tai yritys tai vakuutusyhtiö tai kunta (palveluseteli). Ulkokehäläisen silmin katsottuna, SOTE -keskustelussa, on aistittavissa kommunikatiivisia haasteita ilman tätäkin mietintää, mutta vilkaisen (sohaisen) silti.

Millaista mietintää asiakasdatojen käsittelyn hallinnoimiseksi SOTE-sektorilla on harrastettu?
[Sparrasin kavereilta ja hieman googlasin avaintermeillä “SOTE Kunnat tietotilinpäätös”]

SITRAn sivustolla esitellään Isaacus -hanke, jonka perusidea on muodostaa eräänlainen palveluoperaattorimalli tiedonhallinnan koordinoimiseksi. Isaacus kuitenkin liittyy ensisijaisesti tutkimus- ja tuotekehitystyötä tukeviin potilastietovarastoihin. Itse olen kiinnostuneempi asiakassuhteiden hallinnasta ja kokonaisasiakaskokemuksien parantamisesta (tätä taisi myös Esko Aho juuri peräänkuuluttaa).

Tärkein hanke vaikuttaa olevan STM:n vetämä asiakastietolakiuudistus, jonka eräs pääteema on lupaviranomaisen roolin perustaminen. Lisäksi kun muistetaan toukokuussa voimaantuleva EU-tasoinen tietosuojalainsäädäntö, voidaankin todeta alan lainsäädäntötyön olevan varsin aktiivisessa tilassa.

Lainsäädännön virittämineen, palveluoperaattorin ja lupaviranomaismallin rakentaminen vaatii aikaa. Alan rakenneuudistus ei kuitenkaan odottele lainsäädäntötyön realisoitumista. Kaupalliset toimijat ovat kuin hait akvaariossa ja reviiritaisto käy verisenä. Hai kyllä ymmärtää olevansa akvaariossa ja myös kaupallisilla toimijoilla on intressi saada yhteiset pelisäännöt kuntoon, jotta epävarmuus ei haittaa liiketoimintaa.


Alan rakenneuudistus ei kuitenkaan odottele
lainsäädäntötyön realisoitumista.
Kaupalliset toimijat ovat kuin hait akvaariossa ja reviiritaisto käy verisenä.

 

Ketterille ideoille, yhteisten toimintamallien perustaksi, on tilausta.

TIETOTILINPÄÄTÖS – kolme kärpästä yhdellä iskulla.

Tietosuojavastaavan toimisto on jo usean vuoden ajan suositellut organisaatiota tekemään tietotilinpäätös -nimisen dokumentin.  Lyhyesti sanottuna tietotilinpäätös on dokumentti, jonka avulla rekisterinpitäjä kuvaa asiakastietojen hallinnan peruselementit (avainprosessit, tietovirrat, toimintamallit, periaatteet, jne.) eri toimijoiden ymmärrettävällä tavalla. Mieluiten dokumentista olisi saatavilla myös julkinen versio, joka vahvistaa asiakaskunnan luottamusta palvelutarjoajan luotettavuuteen (lue lisää TSV:n sivustolta). Parhaimmillaan tietotilinpäätös soveltuisi sekä sisäisen, että ulkoisen viestinnän työvälineeksi.

Kevytgooglauksella näkee, että asiasta on keskusteltu jonkin verran ja koulutuksiakin on järjestetty (mm. kuntaliiton toimesta). Oletettavasti SOTE -toimijoille dokumentin perusperiaate onkin tuttu ja useimmilla sellainen on olemassa, muodossa tai toisessa. Ehkä kuitenkin tekemätöntä työtä asian ympärillä riittää. Muutoksessa on mahdollisuus ja parhaimmillaan pakkopullasta on löydettävissä ratkaisun rusina.

 

Muutoksessa on mahdollisuus ja
parhaimmillaan pakkopullasta on löydettävissä
ratkaisun rusina.


Ehdotus.
Mitä jos SOTE-toimijat velvoitettaisiin tekemään (haluaisivat tehdä) omat julkiset tietotilinpäätös -dokumenttinsa yhteisen sapluunan mukaisesti?

Näin luotaisiin ensimmäisiä yhteisiä toimintamalleja toimijoiden välille. Parhaimmillaan tietotilinpäätöksestä voisi tulla monimutkaisen asian viestinnällinen perusdokumentti data-arkkitehtuurin, tietovirtojen, tietosuojan, tietoturvan ja näihin liittyvien terminologia-määritysten näkökulmasta. Yhtenäinen malli mahdollistaisi ymmärrettävän kokonaiskuvan luomisen.


Trafin tietotilinpäätös esimerkkinä.

Liikenneturvallisuusviranomainen Trafi on tehnyt laajamittaisen tietotilinpäätöksen jo kahtena vuotena ja työn julkinen versio kelpaa malliversioksi.

Trafin tietotilinpäätöksen perussisältö on pääpiirteiltään seuraava (konkretiaa):

  • Johdanto-osio, jossa linkitetään kasvavien datamäärien ja tiedon yhteys LVM:n ja Trafin strategisiin päämääriin.
  • Katsaus lainsäädännön viitekehykseen. Tietosuoja-asetuksen ja henkilötietolain lisäksi kaikilla aloilla on omaa erityislainsäädäntöä.
  • Tietojohtamisen lähtökohdat ja periaatteet
    • rekisterinpitäjän vastuut ja velvoitteet sekä
    • rekisteröidyn oikeudet.
  • Kuvataan tiedonhallinnan perusteet:
    • terminologia, arkkitehtuuri, tietoinventaario ja keskeiset tunnusluvut sekä
    • tiedon hyödyntämisen, toiminnallistamisen sekä hallinnoinnin tavat mahdollisimman asiakasystävällisellä tavalla.
  • Lisäksi erillinen kappale tietoturvasta.

Tällä perussisällöllä dokumentti on vuosittain päivittyvä asiakaskokemuksen, tietotyön ja tietosuojatyön peruskirja. Kolme kärpästä yhdellä iskulla.

Asiakaskokemuksen, tietotyön ja tietosuojatyön peruskirja.
Kolme kärpästä yhdellä iskulla.


TOIMEEN.

SOTE:n digi-mahdollisuuden ulosmittaaminen ei ole millään muotoa pelkästään tekninen harjoitus. Tehtävässä onnistuminen vaatii saumatonta yhteistyötä (kommunikaatiota) IT- ja lakiosaston sekä liiketoimintayksiköiden välillä sekä oikeanlaista avoimuutta asiakkaiden suuntaan.

SOTE:n digi-mahdollisuuden ulosmittaamista ei myöskään tule jättää jokaisen toimijan erikseen rakennettavaksi. Asiakokonaisuus vaatii asiallisen lainsäädännön ja julkisen toimijan vahvan roolin – joko palveluoperaattorina tai toimilupaseriffinä. Pelkkä akvaarion siivoojan rooli ei käy.

 

Asiakastietolakiuudistuksen esittämää lupaviranomaista odotellessa homma vaikuttaa villin lännen meiningiltä: hyvin harvaa tahoa kiinnostaa kenen kanssa se oululainen luo asiakassuhteen, kun hän asioi Mehiläisen toimipisteessä, joka on Siikalatvan terveyskeskus 😉 …tai toisin päin: kuka on rekisterinpitäjä ja kuinka hyvin rekisterinpitäjän velvoitteet toteutetaan.

Mutta hei, eiköhän kaikki ole hyvin kunnossa: lakiuudistus tulee, hommat hoituu ja potilaat hoidetaan.

Lopuksi haastan alan toimijoita kertomaan omaa tulokulmaansa keväällä voimaantulevan GDPR -asetuksen osoittamisvelvoitteen toteuttamisen menetelmistä. Toivon löytäväni mahdollisimman paljon upeita tietotilinpäätös -dokumentteja.


Mikäli asiassani tuntuu olevan “jutun juonta”, älä epäröi ottaa yhteyttä.
Arvotieto tarjoaa asiantuntemusta freelancer -pohjalta, yli 20v kokemuksella. Myös suuren organisaation tietosuojatoiminnan systemaattisen toimintamallin perustamisesta on käytännön kokemus.

 

Marko Kivelä
Arvotieto Oy

Top