Tietovuodot kolmansille osapuolille suomalaisissa terveydenhuollon verkkopalveluissa
Rauti, Sampsa (2025-05-02)
Tietovuodot kolmansille osapuolille suomalaisissa terveydenhuollon verkkopalveluissa
(02.05.2025)
Turun yliopisto
Julkaisun pysyvä osoite on:
https://urn.fi/URN:ISBN:978-952-02-0121-0
https://urn.fi/URN:ISBN:978-952-02-0121-0
Tiivistelmä
Verkkosivustot ovat nykyään tärkeä työkalu monien kriittisten ja välttämättömien arkipäivän palvelujen tarjoamiseen. Verkkopalvelujen määrän kasvaessa ja käytön lisääntyessä yksityisyyskysymyksistäkin tulee entistä olennaisempia. Moderneissa verkkopalveluissa suuri huolenaihe ovat niihin sisällytettävät kolmannen osapuolen palvelut, kuten erilaiset analytiikkatyökalut, ja näiden palvelujen käyttäjistä keräämät tiedot. Tässä väitöstutkimuksessa käsitellään suomalaisten verkkopohjaisia terveyspalvelujen yksityisyyttä keskittyen niissä esiintyviin kolmannen osapuolen palveluihin ja näille vuotaviin henkilötietoihin. Koska palveluissa käsitellään esimerkiksi asiakkaiden lääkityksiin, sairauksiin ja hoitotoimenpiteisiin liittyviä tietoja, niitä ei saisi päätyä kolmansien osapuolien haltuun.
Väitöstutkimus pohjautuu pitkälti lukuisissa terveysalan verkkopalveluissa - verkkoapteekeissa, terveydenhuollon verkkopalveluissa ja erilaisilla mielenterveysalan toimijoiden sivustoilla - tehtyyn verkkoliikenneanalyysiin, jonka avulla selvitetään näistä palveluista kolmansille osapuolille vuotavia henkilötietoja. Tämän ohella tarkastellaan myös, tuleeko käyttäjä asianmukaisesti informoiduksi henkilötietojensa käsittelystä ja suostutellaanko häntä hyväksymään tiedonkeruu harhaanjohtavin keinoin. Verkkoliikenneanalyysin lisäksi väitöstutkimuksessa haastateltiin web-kehittäjiä tietovuotojen syiden selvittämiseksi ja ehkäisevien toimien löytämiseksi.
Tutkimus osoittaa, että suomalaisilla terveysalan sivustoilla on ollut vakavia tietovuotoja. Kolmansien osapuolten keräämien tietojen joukossa on mm. reseptilääkkeiden nimiä ja terveydenhuollon ajanvarauksiin liittyviä tietoja yhdistettyinä käyttäjän yksilöiviin henkilötietoihin kuten IP-osoitteeseen. Esimerkiksi tarkastelluista 163 verkkoapteekista 57 (35,0 %) vuoti reseptilääkkeiden nimiä kolmansille osapuolille. Vaikka tilanne on julkisen sektorin terveyspalveluissa parempi kuin yksityisellä sektorilla, on molemmilla runsaasti parannettavaa henkilötietojen käsittelyssä. Palvelujen käyttäjä puolestaan ei useinkaan tiedonkeruun kieltämälläkään voi estää näitä tietovuotoja, ja käyttäjän informointi henkilötietojen siirtymisestä kolmansille osapuolille on myös tavallisesti riittämätöntä. Löydökset antavat aihetta tarkemmalle regulaation noudattamiselle, auditoinneille, lokaalien analytiikkaratkaisujen suosimiselle ja huolellisemmalle kolmansien osapuolien valinnalle erityisesti kriittisten terveysalan verkkopalvelujen osalta.
Väitöstutkimus pohjautuu pitkälti lukuisissa terveysalan verkkopalveluissa - verkkoapteekeissa, terveydenhuollon verkkopalveluissa ja erilaisilla mielenterveysalan toimijoiden sivustoilla - tehtyyn verkkoliikenneanalyysiin, jonka avulla selvitetään näistä palveluista kolmansille osapuolille vuotavia henkilötietoja. Tämän ohella tarkastellaan myös, tuleeko käyttäjä asianmukaisesti informoiduksi henkilötietojensa käsittelystä ja suostutellaanko häntä hyväksymään tiedonkeruu harhaanjohtavin keinoin. Verkkoliikenneanalyysin lisäksi väitöstutkimuksessa haastateltiin web-kehittäjiä tietovuotojen syiden selvittämiseksi ja ehkäisevien toimien löytämiseksi.
Tutkimus osoittaa, että suomalaisilla terveysalan sivustoilla on ollut vakavia tietovuotoja. Kolmansien osapuolten keräämien tietojen joukossa on mm. reseptilääkkeiden nimiä ja terveydenhuollon ajanvarauksiin liittyviä tietoja yhdistettyinä käyttäjän yksilöiviin henkilötietoihin kuten IP-osoitteeseen. Esimerkiksi tarkastelluista 163 verkkoapteekista 57 (35,0 %) vuoti reseptilääkkeiden nimiä kolmansille osapuolille. Vaikka tilanne on julkisen sektorin terveyspalveluissa parempi kuin yksityisellä sektorilla, on molemmilla runsaasti parannettavaa henkilötietojen käsittelyssä. Palvelujen käyttäjä puolestaan ei useinkaan tiedonkeruun kieltämälläkään voi estää näitä tietovuotoja, ja käyttäjän informointi henkilötietojen siirtymisestä kolmansille osapuolille on myös tavallisesti riittämätöntä. Löydökset antavat aihetta tarkemmalle regulaation noudattamiselle, auditoinneille, lokaalien analytiikkaratkaisujen suosimiselle ja huolellisemmalle kolmansien osapuolien valinnalle erityisesti kriittisten terveysalan verkkopalvelujen osalta.
Kokoelmat
- Väitöskirjat [2896]