Apulaistietosuojavaltuutettu on määrännyt terveydenhuollon toimijan korjaamaan sähköisen ajanvarausjärjestelmänsä tietosuojavaatimusten mukaiseksi. Terveydenhuollon toimija ei ollut todentanut ajan varaajan henkilöllisyyttä millään tavoin. Ajan varaaminen erilaisiin terveydenhuollon palveluihin, kuten gynekologiaan, psykiatriaan, syöpähoitoihin ja plastiikkakirurgiaan oli mahdollista pelkän nimen ja henkilötunnuksen perusteella.
Terveydenhuollon toimijan käytäntö ajan varaamisessa ei täyttänyt tietojen turvallisen käsittelyn vaatimuksia. Koska ajanvarauksen tekijää ei tunnistettu, ajan saattoi varata myös esimerkiksi toisen ihmisen tiedoilla huijaus- ja kiusantekotarkoituksissa.
”Henkilötunnusta ei ole tarkoitettu henkilön tunnistamiseen, vaan henkilöiden erottamiseen toisistaan”, apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa toteaa. ”Pelkästään henkilötunnuksen ja nimen kysyminen verkkoajanvarauksen yhteydessä ei todenna ihmisen henkilöllisyyttä.”
Sosiaali- ja terveydenhuollon asiakastietolain mukaan asiakas on tunnistettava luotettavasti sähköisessä asioinnissa. Luotettavana tunnistamismenetelmänä pidetään ainakin vahvaa sähköistä tunnistautumista.
Apulaistietosuojavaltuutettu korostaa, että terveydenhuollon ajanvaraustiedot ovat terveystietoja, joita on suojattava erityisen tarkasti. Terveydenhuollossa rekisterinpitäjän vastuu ja huolellisuus korostuvat, sillä terveydenhuollon palveluja käyttävät voivat olla haavoittuvassa asemassa.
Apulaistietosuojavaltuutettu määräsi terveydenhuollon toimijan korjaamaan käytäntönsä asiakkaan tunnistamisessa ajanvarausjärjestelmässään lainmukaiseksi. Terveydenhuollon toimijan on jatkossa tunnistettava verkkoajanvarausjärjestelmän käyttäjä luotettavalla tavalla.
Päätös ei ole vielä lainvoimainen ja siihen voi hakea muutosta valittamalla hallinto-oikeuteen.