Contract
1 (4)
19.5.2021
Beslutssammanfattning av beslut V/36313/2020
Avgörande i tillsynsärende som gäller hälso- och sjukvården vid Psykoterapicentralen Vastaamo Oy
Tillstånds- och tillsynsverket för social- och hälsovården (Valvira) utredde på eget initiativ Psykoterapicentret Vastaamo Oy:s verksamhet efter att den 12 oktober 2020 ha fått kännedom om misstanke om dataintrång i företagets patientdatasystem.
1. Händelser
Valvira inspekterade 5.11.2020 Psykoterapicentret Vastaamo Oy:s (nedan Vastaamo) verksamhet med stöd av 17 § i lagen om privat hälso- och sjukvård (152/1990). Avgörandet i ärendet grundar sig förutom inspektionen även på den begärda skriftliga utredningen. En inspektion av patientdatasystemet enligt lagen om klientuppgifter har behandlats som ett separat ärende.
Den 10 februari 2021 ingicks ett föravtal med Verve Terapia Oy (0828611- 1) om försäljning av verksamheten inom psykoterapiverksamheten vid Vastaamo. Enligt avtalet upphörde verksamheten den 1 mars 2021.
2. Bedömning av
händelserna Vård- och rehabiliteringstjänsterna vid Vastaamo hade koncentrerat sig på lindriga och medelsvåra psykiska problem hos klienter i arbets- och studieåldern. Respondenten hade cirka 300 anställda, av vilka största delen var psykoterapeuter. Innan verksamheten upphörde fanns det 28 verksamhetsställen på olika håll i Finland. Sedan 2011 hade antalet klienter kumulativt varit över 49 000 och antalet besök cirka 600 000. Respondenten hade förutom terapi för självbetalande privatkunder även producerat FPA:s rehabiliteringspsykoterapi och krävande medicinsk rehabilitering, där även minderåriga har varit patienter. Vastaamo har dessutom producerat tjänster för kommuner, sjukvårdsdistrikt och företag. Utöver psykoterapeuterna arbetade bland annat psykiatrer, psykologer och fysioterapeuter på Vastaamo.
PB 43, 00521 Helsingfors | Xxxxxxxxxxxxx 0, 00000 Xxxxxxxxxxx | xxxxxxx.xx | |
Koskenranta 0, 00000 Xxxxxxxxx | Telefon 0000 000 000 | FO-nummer 1567057-6 |
3. Observationer
Vid inspektionen fästes uppmärksamhet vid marknadsföringen av företagets kärnaffärsverksamhet, psykoterapi, där man dock inte tillräckligt tydligt hade skiljt åt psykoterapitjänster och yrkesutbildade personer med skyddad yrkesbeteckning för psykoterapeut från yrkesutbildade personer som genomför övrig terapi.
I förhållande till verksamhetens omfattning var antalet anmärkningar som beskrevs som missnöje med servicen relativt måttligt före den responsvåg som dataintrånget orsakade, cirka 20-30 per år. Anmärkningarna gällde främst missnöje med terapi eller läkartjänster.
Xxxxxxx anser att man vid behandlingen av anmärkningarna och i svaren på dem inte till alla delar följt Valviras anvisningar. Chefen som ansvarar för hälso- och sjukvårdstjänsterna svarar bland annat på patienternas anmärkningar och begäran om utredning från myndigheterna.
Vid behandlingen av anmärkningar har den ansvariga föreståndaren också möjlighet att upptäcka och lyfta fram personalens behov av tilläggsutbildning och annan utveckling. Dessa hade behandlats mycket lite i de granskade svaren.
Personalens yrkesrättigheter granskades i samband med rekryteringen. Även om en yrkesutbildad person inom hälso- och sjukvården enligt lagen om yrkesutbildade personer är skyldig att upprätthålla och utveckla de kunskaper och färdigheter som yrkesverksamheten förutsätter samt att sätta sig in i bestämmelser och föreskrifter som gäller yrkesverksamheten, ska även arbetsgivaren följa upp den yrkesmässiga utvecklingen och skapa förutsättningar för att en yrkesutbildad person inom hälso- och sjukvården genom att delta i behövlig yrkesinriktad fortbildning och genom andra metoder för yrkesutveckling kan upprätthålla och utveckla sina kunskaper och färdigheter för att kunna utöva sitt yrke på ett säkert och ändamålsenligt sätt. Av inspektionerna och utredningarna framgick inte tillräckligt tydligt när Xxxxxxxx i praktiken uppfyllde sin lagstadgade skyldighet att erbjuda uppföljning och fortbildning i yrkesutveckling för ovan nämnda arbetsgivare.
Anteckningar i journalhandlingarna som gjorts om psykoterapin hade i sin helhet gjorts i ett elektroniskt datasystem i klass B, med undantag av elektroniska recept. Det har inte funnits några egna inskrivningsanvisningar vid Vastaamo och även om man enligt Xxxxxxxx borde följa gällande bestämmelser och myndighetsanvisningar i besöksanteckningarna visade det sig att registreringen var brokig och delvis bristfällig vid urvalsgranskningen. Patientdatasystemet styrde inte till en enhetlig, strukturerad dokumentation, och dessutom hade handlingar som till sitt innehåll inte hörde dit, såsom privata e-postmeddelanden, fogats till patientuppgifterna.
Valvira konstaterade att endast en del av patientens journalhandlingar innehöll uppgifter som var väsentliga för planeringen, genomförandet och uppföljningen av patientens vård och rehabilitering. På basis av inspektionen var personalens inskolning och interna utbildning inte tillräcklig för att hänvisa yrkesutbildade personer till ändamålsenlig registreringspraxis. Enligt Xxxxxxx räcker det inte med den anställdas skyldighet att följa bestämmelserna och anvisningarna för att ta hand om personalens kompetens och utvecklingen av den, eftersom det hade ordnats knappt om inskrivningsutbildning. Vid inspektionen konstaterades också inkonsekvens i de avtal som ingåtts mellan beställaren av tjänsterna och Xxxxxxxx i fråga om hur den registeransvarige för patientuppgifter och den tekniska administratören för registret hade definierats.
Valvira fäste särskild uppmärksamhet vid att tillståndet för patienter som eventuellt uppdagas efter ett dataintrång försvåras och att behovet av vård ökar samt att kontinuiteten i avbrutna behandlingar säkerställs. På Vastaamo hade man satsat på att omedelbart ge krishjälp till de patienter som tagit kontakt samt på att hänvisa dem till andra kristjänster. Under inspektionsbesöket framkom inga uppgifter eller observationer om att patientsäkerheten omedelbart äventyrats. Efter inspektionen konstaterades det att ungefär var tionde av patienternas tillstånd eller livssituation försämrats avsevärt efter en informationssäkerhetsincident.
På basis av inspektionen ansågs det motiverat att Xxxxxxxx kompletterar anvisningarna för att säkerställa patientsäkerheten i fråga om särskilt sårbara patienter samt för att på behörigt sätt behandla försämrat tillstånd hos patienter som avslutat sin vård eller orsakat avbrott i vården. Enligt den erhållna utredningen strävade man efter att säkerställa kontinuiteten i patienternas vård på många olika sätt efter att dataintrånget uppdagats.
4. Bedömning av ändamålsenligheten i Vastaamos verksamhet
Valvira konstaterade på basis av sin inspektion brister särskilt i skötseln av de uppgifter som föreskrivits för den föreståndare som ansvarar för hälso- och sjukvårdstjänsterna, såsom att introducera de anställda i upprättandet och behandlingen av journalhandlingar samt i egenkontrollen av arbetet. Xxxxxxx anser att Psykoterapicentret Vastaamo Oy har försummat sina skyldigheter enligt lagen om privat hälso- och sjukvård.
5. Avgörand
e Valvira övervägde på basis av de brister som konstaterades vid inspektionen att ge Psykoterapicentralen Vastaamo Oy en anmärkning för framtida verksamhet. Det fanns inga grunder för att ge administrativ styrning efter att verksamheten vid Vastaamo har gått i konkurs och psykoterapiverksamheten har överförts till Verve Terapia Oy.