Kuka korjaa rikkinäisen tietojärjestelmän? Ajatuksia Apotista, oikeudesta ja rikkoumista.

Jenni Hakkarainen

Terveydenhuollon Apotti-tietojärjestelmän osalta näyttää olevan meneillään köydenveto siitä, missä Apottiin liittyviä epätyytyväisyyksiä korjataan. Onko korjaajana järjestelmätoimittaja Epic tai Apotti Oy? Vai ovatko korjaajia ne hoitajat, lääkärit ja sairaaloiden hallintohenkilöstö, jotka jokapäiväisen työnsä ohella toimivat järjestelmäkehittäjinä? Vai olisiko korjaaja sittenkin Oikeus, joka lakikirjaa heilutellen hoitaisi tietojärjestelmät käyttökelpoisiksi? Epäselvyys siitä, kuka on vastuussa tietojärjestelmän korjaamisesta, on johtanut vastuutyhjiöön, jossa eri toimijat kääntävät selkänsä käyttäjien huolille.

Tietojärjestelmä Apotin tavoite on selkeyttää ja parantaa potilaiden hoitoa sekä vähentää potilaiden hoitamiseen liittyviä hallinnollisia tehtäviä. Tietojärjestelmiin on aina liitetty tehokkuusutopioita, sillä niiden sanotaan vapauttavan ihmisten aikaa ja voimia inhimillisiin kohtaamisiin. Tietojärjestelmät rullaavat taustalla, analysoiden ja tukien potilastyötä. Todellisuudessa toiveet teknologian vapauttavasta voimasta kuitenkaan harvoin toteutuvat.

Apotin ympärillä on kuohunut aina sen hankinnan alusta lähtien. Yksi kulminoitumispiste saavutettiin syksyllä 2023, kun yli 600 lääketieteen ja potilashoidon ammattilaista päätyi valittamaan Apottiin liittyvistä ongelmista valvontaviranomaiseen, Valviraan. Valituksessa he ilmaisivat huolensa potilasturvallisuuden heikkenemisestä. Valviran päätös saatiin keväällä 2024, jossa se totesi Apotin olevan lakien ja säädösten mukainen. Apotti ei Valviran mukaan vaaranna potilaiden tietoturvaa ja tietosuojaa. Valvonta kuitenkin jatkuu.

Valitus on poikkeuksellinen monestakin syystä, mutta ennen kaikkea yksi syy nousee etualalle. Tietojärjestelmiin ja niiden käyttöönottoihin liittyvät ongelmat pyritään usein ratkomaan tulkitsemalla hankintasopimusta ja työstämällä hankittua tuotetta. Toisin sanoen, teknologiaa parantamalla. Oikeus tai valitus toimivaltaiselle viranomaiselle on normaalisti yksi viimeisistä keinoista puuttua ongelmakohtiin.

Oikeuden, ja etenkin oikeusturvakeinojen, käyttöön ei usein tartuta ihan jo siksi, että niiden hyödyntäminen on hidasta, epävarmaa ja usein melko kankeaa. Toisaalta käyttöön ja tekniseen toteutukseen liittyvät seikat harvoin edes ovat oikeudellisia. Ovatko käyttöönotto ja heikko käytettävyys sellaisenaan oikeudellisia ongelmia? Jos olisivat, niin harvassa olisivat ne organisaatiot, jotka eivät joutuisi käräjille tai valitusrumbaan. Kysymys siis ehkä kuuluukin, missä määrin käytettävyyden kuuluisi olla oikeudellinen ongelma, ja onko oikeudella mitään annettavaa tietojärjestelmien käytettävyydelle?

Viime vuosina etenkin Suomen ylin laillisuusvalvoja, oikeuskansleri, on lausunnoissaan ja ratkaisukäytännössään korostanut tietojärjestelmien suunnittelemista hyvän hallinnon periaatteiden mukaisesti ja käytettävyyttä korostaen.[1] Hyvä digitaalinen hallinto ja käytettävyys tarjoavat astetta laajemman näkökulman tietojärjestelmien oikeudelliseen hahmottamiseen. Näkökulma mahdollistaa tietojärjestelmien käsitteellistämisen sosioteknisinä järjestelminä, joilla on vaikutuksia niin käyttäjien toimintaan kuin asiakkaiden oikeuksiin ja toimintaedellytyksiin. Vaikka tietosuoja saattaakin toteutua, ei se tarkoita, että kaikki on hyvin.

Kysymys siitä, kuka korjaa Apotin, on hetkellisesti umpikujassa, jopa niin, että Länsi-Uudenmaan hyvinvointialue päätti luopua Apotti Oy:n osakkuudesta. Laajemmin koko kuvio herättää kysymyksiä siitä, millä periaatteilla tietojärjestelmiä hankitaan, kuinka hankintavaiheessa varaudutaan järjestelmän korjaamiseen, ja kuinka oikeuden roolia järjestelmien rikkoumien paljastamisessa voisi kehittää. Itsestään selvää tulisi kai olla, että ne henkilöt, joiden avuksi järjestelmä alun perin hankittiin eivät ole päävastuussa muiden virheiden korjaamisesta.

[1] Katso esim. OKV/2041/70/2024