Digipalvelujen riskien arviointi -työkalu
Tämän työkalun avulla voidaan arvioida asiakkaan ja potilaan näkökulmasta sosiaali- ja terveydenhuollon etä- ja digipalvelujen toiminnallisia riskejä. Työkalu perustuu Riskirusetti-riskienhallintamalliin (BowTie).
Digipalvelulla tarkoitetaan digitaalisen viestintäkanavan tai alustan tuella toteutettua palvelua (Sosiaali- ja terveydenhuollon digitaalisten palvelujen sanasto 2023). Digipalveluihin kuuluvat myös etäpalvelut, jotka ovat ihmisten väliseen vuorovaikutukseen perustuvaa reaaliaikaista palvelua.
Palveluprosesseihin liittyvät riskit tulee tunnistaa, ja riskeiltä suojaavat toimenpiteet tulee määritellä. Toiminnallisten riskien arvioinnin tulee olla jatkuvaa ja kestää koko palvelun elinkaaren ajan.
Riskirusetin rakenne
Riskirusetin avulla voidaan kuvata erilaisia tapahtumaketjuja. Malli on saanut nimensä kaavion rusettimaisesta muodosta (kuva 1).
Kaavion keskellä on avaintapahtuma, jossa tapahtuu kontrollin menetys, kuten vaaratapahtuma. Vasemmalla on uhkista lähteviä tapahtumaketjuja, jotka voivat johtaa avaintapahtumaan. Tapahtumaketjut voidaan katkaista avaintapahtuman estävillä suojauksilla. Oikealla on mahdollisia seurauksia, joita voidaan lieventää tai rajata reagoivilla suojauksilla.
Riskirusetin käyttö
Digipalvelussa asiointia uhkaavat yleisimmät vaarat on kuvattu taulukossa 1. Näille vaaroille altistavat tekijät on kuvattu taulukossa 2.
Taulukon 3 avulla lasketaan riskin suuruus arvioimalla kunkin vaaran toteutumisen todennäköisyys ja se, kuinka suuri toteutumisen vaikutus olisi. Taulukon 4 avulla arvioidaan tarvittavien toimenpiteiden tarve ja kiireellisyys. Asiakas- ja potilasturvallisuuskeskuksen laatima Excel-työkalu laskee automaattisesti riskin suuruuden.
Tämän jälkeen käydään läpi toimenpiteitä riskien pienentämiseksi. Jokaisen vaaran kohdalta kirjataan
- nykyiset riskinhallintakeinot eli kuvaus varautumisesta
- arvio riskin nykyisestä hallinnasta (riittävä, kehitettävää, riittämätön)
- ehdotukset riskinhallinnan parantamisesta ja päätetyt kehitystoimet.
Asiakkaan tai potilaan asiointi digipalvelussa ei onnistu ja tästä seuraa jokin seuraavista: |
– Palvelu keskeytyy |
– Palvelu toteutetaan virheellisillä tiedoilla |
– Palvelun saanti viivästyy |
– Asiakas tai potilas jää kokonaan vaille palveluja |
Tämän seurauksena asiakkaalle tai potilaalle voi aiheutua haittaa. |
Asiakas ei valitse digipalvelua | Asiakas ei pysty käyttämään digipalvelua | Asiakas ei saa asiaansa hoidettua |
Asiakas ei ole saanut tietoa palvelusta tai hän ei löydä digipalvelua | Asiakkaalla ei ole tarvittavia laitteita (tietokone, älypuhelin, internetyhteys) | Digipalvelua on vaikea käyttää tai palvelu ei ole ymmärrettävä |
Asiakkaalla on huoli tietoturvan tai yksityisyyden suojaamisesta | Asiakkaalla ei ole välineitä vahvaan tunnistautumiseen | Tekninen toimintahäiriö keskeyttää tai estää asioinnin |
Asiakas ei tiedä, voiko asian hoitaa digipalvelussa | Asiakkaalla on puutteelliset digitaidot | Asiaa ei ole mahdollista hoitaa digipalvelulla |
Digipalvelun hyöty on asiakkaalle epäselvä | Puolesta-asiointi ei ole mahdollista digipalvelussa | Asiakkaan tai henkilöstön etävuorovaikutustaitojen puutteet |
Asiakkaan toimintarajoite tai alentunut kognitio estää digipalvelun käytön | Kaikkia asiaan liittyviä seikkoja ei tunnisteta tai tarkisteta | |
Digipalvelua ei voi käyttää asiakkaan ymmärtämällä kielellä | Asiakkaan siirtyminen digipalvelusta tai sovelluksesta toiseen ei onnistu | |
Asiakas ei saa kirjallista toimintaohjetta digipalvelun päätteeksi |
On huomioitava, että tarkastelu tehdään aina asiakkaan ja potilaan näkökulmasta. Riskien tunnistusta voi tarvittaessa tarkentaa ja syventää esimerkiksi palvelukohtaisesti.
Riskirusettia voidaan käyttää myös jo tapahtuneen vaaratapahtuman tarkastelussa. Lähtötilanteena on tapahtuman seuraukset asiakkaalle tai potilaalle. Tapahtumaketju selvitetään etenemällä oikealta vasemmalle. Samalla arvioidaan, oliko suojauksia ollut olemassa ja oliko niitä käytetty.
Excel-työkalu
Kirjaaminen voidaan tehdä Asiakas- ja potilasturvallisuuskeskuksen laatiman Excel-työkalun avulla, johon on koottu tunnistetut vaaralle altistavat tekijät (kuva 2). Työkalun saa pyytämällä osoitteesta noharm(a)ovph.fi.
Työkalussa on myös tarkempi kuvaus Riskirusetista sosiaali- ja terveydenhuollon digipalvelujen näkökulmasta.
————-
Tämä dokumentti on laadittu Asiakas- ja potilasturvallisuusstrategian toimenpideohjelman strategiaryhmässä 3.2.
Lisätietoja: Asiakas- ja potilasturvallisuuskeskus (noharm(a)ovph.fi).
Julkaistu: 14.5.2024
Julkaisija: Asiakas- ja potilasturvallisuuskeskus
Työkalun päivitystarve tarkistetaan vuosittain.