Apteekin ohjelmistojen ja alustojen kautta liikkuu paljon apteekkiasiakkaiden henkilökohtaista tietoa. Yksityisten tietojen ei tulisi päätyä vääriin käsiin, ja niiden suojaamisesta tulisi varmistua kumppanitoimijoita ja alihankkijoita myöten. Yhteistyökumppaneiden tietoturvallisista toimintamalleista kannattaa varmistua jo sopimusvaiheessa, vinkkaa Receptumin tietoturvallisuustiimin vetäjä Helena Hoppeler.

Takaisin

Lue lisää Fimean apteekeille laatimasta ennakkokyselylomakkeesta.

Kysy Receptumin tietoturvallisesta toiminnasta:

  • helena.hoppeler@receptum.fi

Ihmisten apteekkiasiointitietoja käsitellään apteekeissa monella eri alustalla päivittäin. Digitaalinen ympäristö voi olla hyvinkin haavoittuva, jos tietoturvalliset toimintatavat eivät ole mukana apteekin arjessa. Tietoturvallinen toiminta koskee digitaalisten alustojen lisäksi myös apteekkiarjen tekoja sekä fyysistä apteekkitilaa. Myös kivijalka-apteekissa asiointi saattaa olla uhka tietoturvallisuudelle, jos vaikkapa liiketilan kalustus ei mahdollista tietoturvallista asiointia.

Apteekin tietoturvalliset toimintamallit ja apteekkiarjen käytännöt ovatkin avainasemassa henkilökohtaisia tietoja käsiteltäessä.

Tietoturvan hallinta kattaa koko apteekkitoiminnan, ja apteekin tulisi huolehtia, että se toteutuu myös mahdollisten kumppanitoimijoiden ja alihankkijoidenkin toiminnassa.

Apteekkiasioinnin tiedot kuuluvat korkean salausluokan piiriin

Verraten muihin yksityishenkilöitä koskeviin tietoihin erilaisilla alustoilla ja rekistereissä, kuinka arkaluontoisia apteekkiasiointitiedot ovat?

– Ne menevät ihan suoraan erityishenkilötietoryhmiin kuuluvien tietojen, eli toisin sanoen arkaluontoisten tietojen alle. Eli kyllä ne ovat hyvin arkaluonteisia, tietosuojavaltuutettu Anu Talus kertoo.

– Asetuksessa on erikseen säädetty korkeammasta suojan tasosta, mitä tulee näihin terveydentilaa koskeviin tietoihin. Apteekin käsittelemistä tiedoista on pääteltävissä ihmisen terveyteen liittyviä asioita.

Lääkereseptit ja apteekkiostokset saattavat kertoa paljon apteekkiasiakkaan tilanteesta.

– Nämä tiedothan ovat luonteeltaan sellaisia, että niiden paljastuminen ulkopuoliselle saattaa jo ihan itsessään loukata henkilön yksityisyydensuojaa – riippumatta siitä, miten niitä mahdollisesti käytettäisiin eteenpäin, tietosuojavaltuutettu Talus sanoo.

Apteekkari vastaa koko apteekkinsa tietoturvallisesta toiminnasta 

Tarkasti säädelty apteekkiala noudattaa lääkelakia, josta löytyy paljon tietoturvalliseen toimintaan liittyviä pykäliä. Apteekin tulee esimerkiksi järjestää tilansa niin, etteivät asiattomat pääse apteekin tiloihin. Myös salassapitovelvollisuudesta on säädetty erikseen, eikä apteekkiammattilainen saa luvattomasti ilmaista yksityishenkilön tai perheen salaisuutta, josta on työnsä kautta saanut tietää.

Erilaisten tietojärjestelmien yhä kasvava määrä asettaa paljon painoarvoa sille, miten asiakkaiden arkaluontoisia tietoja käsitellään apteekeissa. Samalla se nostaa tietoturvariskejä, uskoo apteekkitoimintaa Suomessa valvovan Fimean yliproviisori Juha Sinnemäki.

– Apteekeissa on käytössä erilaisia tietojärjestelmiä oman apteekkijärjestelmänsä lisäksi. Esimerkiksi verkkopalvelutoimintaan liittyviä järjestelmiä, hoitokotiasiakkaille tarkoitettuja tilausjärjestelmiä ja erilaisia kanta-asiakasjärjestelmiä. Kaikissa näissä järjestelmissä on liityntäpintoja toisiinsa, Sinnemäki kuvailee.

Apteekkarin vastuu ulottuu jokaiselle osa-alueelle apteekkinsa toiminnassa.

– Jos apteekkari vaikkapa hankkii apteekkinsa jonkun tietojärjestelmän, hänen tulee varmistua siitä, että se täyttää vaatimukset ja tiedot ovat turvallisesti järjestelmässä, yliproviisori Juha Sinnemäki linjaa.

Fimea on apteekkien apuna tietosuojasäädösten toteuttamisessa. Yliproviisori Juha Sinnemäki kertoo, että pyrkimyksenä on nimenomaan ohjata apteekkeja oikeaan suuntaan esimerkiksi omavalvonnan keinoin.

– Fimea on julkaissut etätarkastuksia varten laaditun ennakkokyselylomakkeen, joka on apteekkarin työkalu oman toiminnan kartoittamiseksi ja kehityskohtien löytämiseksi.

Ennakkokyselylomakkeessa ei ole erityisiä kohtia tietoturvallisuudelle tai tietosuojalle, mutta osa-alueet katetaan yleistä turvallisuutta koskevien kysymyksen kautta.

– Kyselylomake sisältää esimerkiksi apteekin tiloihin liittyviä asioita: kenellä on avaimet ja kulkuluvat apteekkiin, voiko hälytysjärjestelmästä eritellä, kuka on kytkenyt sen pois päältä, millainen murtosuoja apteekissa on ja millä tavalla yksityisyydensuoja toteutuu asiakaspalvelussa, Juha Sinnemäki luettelee.

Tietoturvallisuus tulisi toteutua teoissa, verkossa sekä apteekkitiloissa

Apteekkiasiakkaiden kokemuksia ja näkemyksiä apteekkitoiminnasta selvitettiin viime vuonna valtioneuvoston rahoittamalla tutkimuksella. Sen mukaan tietosuoja-asioissa oli kehitettävää.

– Tietoturvallisuus tulisi muistaa myös käytännön asiakaspalvelutilanteissa: naapuritiskillä asioiva ei saisi kuulla, mitä viereisellä tiskillä jutellaan, Fimean yliproviisori Juha Sinnemäki kuvaa ja jatkaa:

– Apteekin tilat tulisikin rakentaa niin, että salassapitosäännökset voidaan toteuttaa sekä apteekin tiloissa että asiakaspalvelussa.

Apteekkiarjen tietoturvalliset toimintatavat koskevat digiympäristöjen lisäksi myös fyysistä apteekkitilaa.
Apteekkiarjen tietoturvalliset toimintatavat koskevat digiympäristöjen lisäksi myös fyysistä apteekkitilaa.

Tietosuojan tulisi toteutua kaikilla osa-alueilla, myös esimerkiksi yhteistyökumppanin ajamissa lääkekuljetuksissa.

– Arkaluontoisia tietoja on saatettu luovuttaa ulkopuolisille tahoille ilman salassapitosopimuksia. Lääkkeiden kuljetuksissa tulisi huolehtia, ettei kuljettaja voi nähdä mitä asiakkaalle toimitettava paketti sisältää, Juha Sinnemäki kertoo.

Tietoturvalliset rutiinit apteekkiarjessa vähentävät tietoturvaloukkauksien mahdollisuutta, uskoo tietosuojavaltuutettu Anu Talus.

– Usein saattaa olla, että tietoturvaloukkaukset ovat lähteneet liikkeelle inhimillisistä virheistä, esimerkiksi tietokone on jäänyt auki ja asiakkaan tiedot näkyville tai tietoja on lähetetty väärälle henkilölle. Tiedot tulisi myös tuhota asianmukaisesti, eikä arkaluontoisia tietoja tulisi löytyä esimerkiksi jätelavoilta, tietosuojavaltuutettu Anu Talus kuvailee.

Receptum varmistaa yhteistyökumppaneidensa tietoturvalliset toimintatavat

Receptumin tietoturvapalveluiden tiiminvetäjä Helena Hoppeler kertoo tietoturvallisuuden olevan selviö yrityksen toiminnassa.

– Tietoturvatyö on ujutettu kaikkiin Receptumin prosesseihin ja kaikessa mitä teemme, on tietoturva-ajatus mukana. Esimerkiksi kun lähdemme miettimään kenen kanssa teemme yhteistyötä, selvitämme miten kumppani hoitaa tietoturvaansa ja millä tavoin heidän tuotteensa tai palvelunsa tietoturvallisuudesta ja sen jatkuvasta ylläpitämisestä on huolehdittu, Helena Hoppeler kuvailee.

Yhteistyökumppaneiden tietoturvallisuuden kartoitus on olennaista apteekin liiketoiminnan kannalta, apteekkari kun on aina vastuussa koko apteekkitoiminnastaan.

– On äärimmäisen tärkeää käydä tietoturvakeskustelu liiketoimintakeskustelun lisäksi. Yleensä keskitytään vain siihen, mitä liiketoimintahyötyä apteekki saa esimerkiksi uudella palvelulla. Tietoturvallisuuden kuittaaminen pelkillä vakuutteluilla ei yksin riitä, vaan yksityiskohdat tulisi esiintyä sopimuksessa. Tietoturvaa tulee osata vaatia, Hoppeler vinkkaa.

Apteekkari vastaa myös apteekin asiakastiedoista – myös siinä tapauksessa, jos jokin menee pieleen.

– Yhteistyökumppaneiden tietoturvallisista toimintatavoista varmistuminen on oman liiketoiminnan suojelua, Helena Hoppeler summaa.