Tietosuoja terveydenhuollossa Tietosuoja-asetuksen tuomat tarkennukset lääkärin työhön

Save this PDF as:
 WORD  PNG  TXT  JPG

Koko: px
Aloita esitys sivulta:

Download "Tietosuoja terveydenhuollossa Tietosuoja-asetuksen tuomat tarkennukset lääkärin työhön"

Transkriptio

1 Tietosuoja terveydenhuollossa Tietosuoja-asetuksen tuomat tarkennukset lääkärin työhön Erika Jääskeläinen Dos, Psyk. Erikoislääkäri, Lääkiksen tietosuojayhdyshenkilö Elinikäisen terveyden tutkimusyksikkö, Oulun yliopisto Terveydenhuollon hallinto ja sosiaaliturvajärjestelmä koulutus

2 Sisältö EU:n tietosuoja-asetus Tietosuoja-asetus ja terveydenhuolto Tietosuoja-asetus ja tietosuoja rivilääkärin työssä Tietosuoja-asetus ja tietosuoja johtajalääkärin työssä Tietosuoja-asetus ja tietosuoja ammatinharjoittajalääkärin työssä Tietosuoja-asetus ja tietosuoja tutkijalääkärin työssä

3 EU:n tietosuoja-asetus

4 EU:n tietosuoja-asetus eli GDPR GDPR = General Data Protection Regulation = yleinen tietosuoja-asetus EU:n tietosuojalainsäädännön uudistaminen lähti liikkeelle v 2012 Pyrkimyksenä turvata henkilötietojen suoja perusoikeutena, digitaalitalouden kehitys ja tehostaa rikollisuuden ja terrorismin torjuntaa Tulokseksi syntyivät yleinen tietosuoja-asetus ja tietosuojadirektiivi Yleinen tietosuoja-asetus korvaa vuoden 1995 henkilötietodirektiivin. Yleinen tietosuoja-asetus on yleissäädös, joka koskee lähtökohtaisesti kaikenlaista henkilötietojen käsittelyä ja sisältää säännökset rekisteröidyn oikeuksista sekä rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuuksista. Yleinen tietosuoja-asetus on tullut voimaan Sitä on alettu soveltaa jäsenvaltioissa EU:n yleinen tietosuoja-asetus edellyttää Suomessa henkilötietolainsäädännön tarkistamista tulossa on uusi tietosuojalaki joka toimii henkilötietojen käsittelyä koskevana yleislakina

5 Miksi GDPR ja tietosuoja? Tietosuoja-asetus yhtenäistää henkilötietojen käsittelyyn liittyvää lakisääteisten velvollisuuksien tulkintaa Tuo toiminnalle läpinäkyvyyttä ja lisää ihmisten luottamusta Jotta digitalisaatiota voidaan kehittää, tarvitaan tietosuojaa ja tietoturvaa GDPR:n noudattamisen kautta sanktioiden välttäminen Parantaa ihmisten, meidän kaikkien, yksityisyyden turvaa

6 Termit kuntoon Tietosuoja = yksityisyyden turvaaminen henkilötietoja käsitellessä, eli toimenpiteet, joiden tarkoituksena on suojata henkilön yksityisyys henkilötietojen käsittelyssä Tietoturva = hallinnollisin ja teknisin toimin varmistetaan tietojen luottamuksellisuuden, eheyden ja käytettävyyden säilyminen. Tietoturvalla suojataan tallennettua tietoa itsessään. Henkilötiedot = kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön. Henkilö on tunnistettavissa, kun hänet voidaan suoraan tai epäsuorasti tunnistaa kyseisten tietojen perusteella, erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnustietojen tai esim. hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, tai taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella. Henkilörekisteri tai rekisteri = henkilötietoja sisältävä, jäsennelty tietojoukko, josta tiedot ovat saatavilla tietyin perustein. Rekisterin pitäjä = luonnollinen henkilö, oikeushenkilö (esim. kunta, yhdistys), viranomainen, virasto tai muu elin, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot Rekisteröity = Tunnistettu tai tunnistettavissa oleva luonnollinen henkilö, johon henkilötiedot liittyvät.

7 GDPR käytännössä, mitä uutta? Rekisterin pitäjän velvollisuudet ovat kasvaneet, koska asetuksessa on tarkennettu henkilötietojen käsittelyn vaatimuksia Rekisteröidyille on tullut lisää oikeuksia omien tietojensa tarkistamiseen ja hallintaan Henkilötietojen kanssa toimivalla työntekijällä on yhä suurempi vastuu omaan tehtäväänsä liittyvän tietosuojan ja tietoturvan toteuttamisesta

8 Rekisterinpitäjän velvollisuudet Rekisterinpitäjällä on velvollisuus noudattaa tietosuoja-asetusta ja osoittaa asetuksen noudattaminen erilaisin menetelmin ja mekanismein, joita ovat mm.: Henkilötietojen käsittelytoimien suunnittelu ja dokumentointi Tietosuojaan keskittyvä henkilöstön koulutus ja informointi Osoitusvelvollisuus ja tietosuoja-arviointien (PIA) tekeminen Rekisterinpitäjän osoitusvelvollisuus Tarkoittaa kaikkea rekisterinpitäjän kykyä todistaa tietosuojan toteuttamiseksi tehdyt toimenpiteet. Rekisterinpitäjän on pystyttävä esittämään konkreettista näyttöä eli dokumentteja siitä, että tietosuojasta on organisaatiossa huolehdittu. Seloste käsittelytoimista: Rekisterinpitäjältä edellytetty dokumentti, josta selviävät muun muassa rekisterinpitäjän yhteystiedot, käsiteltävät henkilötiedot ja käsittelyn tarkoitus sekä henkilötietojen luovuttamisen ja suojaamisen periaatteet. PIA (Privacy Impact Assessment) eli tietosuoja-arviointi eli henkilötietojen käsittelyyn liittyvä riskien arviointi

9 Rekisteröidyn oikeudet Rekisteröidyllä on oikeus mm. saada tietoa henkilötietojensa käsittelystä saada pääsy tietoihin oikaista tietoja poistaa tiedot ja tulla unohdetuksi rajoittaa tietojen käsittelyä

10 Valvonta ja sanktiot GDPR:n myötä valvontaviranomaisen (tietosuojavaltuutettu) rooli ja oikeudet korostuvat. Henkilötietojen virheellisestä käsittelystä voidaan antaa: huomautus, varoitus tai käsittelykielto rekisterinpitäjä tai henkilötietojen käsittelijä voidaan jopa velvoittaa maksamaan vahingon- tai kärsimyskorvauksia rekisteröidylle, mikäli tämän tietoja on käsitelty turhaan, virheellisesti tai jos tiedot päätyvät asiattomien saataville Sakot enemmän uhkana ehkä yritysten kuin julkisen sektorin kohdalla, maksimissaan 20 miljoonaa euroa tai 4% yrityksen maailmanlaajuisesta liikevaihdosta Henkilötietojen tietoturvaloukkauksesta tulee pääsääntöisesti aina ilmoittaa tietosuojaviranomaisille ja tietyin edellytyksin myös rekisteröidylle itselleen. tietoturvaloukkauksesta ilmoitus valvontaviranomaiselle 72 tunnin kuluessa loukkauksen esiintulosta

11 Tietosuoja-asetus ja terveydenhuolto

12 Tietosuoja lääkärin työssä Terveydenhuollossa on jo pitkään noudatettu henkilötietolakia, joten EU:n tietosuoja-asetuksen tuomat velvoitteet eivät ole kovinkaan uusia Tietosuojalainsäädäntöä sovelletaan aina, kun käsitellään henkilötietoja. Tämä tarkoittaa esim. käytännön lääkärin työssä potilaiden henkilötietojen suojaamista työtehtävissä, esimieslääkäreiden työssä myös henkilöstön ja sidosryhmien henkilötietojen suojaamista, tutkijalääkärin työssä tutkittavien henkilötietojen suojaamista jne. Kuka valvoo paikanpäällä?: Talon/laitoksen johtaja, esimiehet, tietosuojavastaava. Hyvä keino tietosuojaiskut eli yllätystarkistukset työpisteisiin

13 Tietosuoja-asetus ja tietosuoja rivilääkärin työssä

14 Mitä uutta GDPR on tuonut rivilääkärin työhön? Mm.: Tietosuojan merkityksen pohtimista ja ymmärtämistä, kouluttautumista, tietosuojan entistä parempaa huomioimista päivittäisessä työssä Ei niin uutta, mutta lisääntyvää GDPR:nkin myötä: Potilaan oikeus päästä tietoihinsa /tarkistaa tiedot Kuinka toimin ja potilasta ohjeistan kun potilas haluaa tarkistaa sairauskertomusmerkinnät (sellaiset joita hän ei näe Omakannan kautta)? Ota selvää työpaikkasi toimintatavasta. Todennäköisesti potilaat tulevat tietojaan enenevästi tarkistamaan. Tietojen virheettömyys ja virheen korjaaminen Käyntitekstien ja lausuntojen korjaukset Yhä useammin tekstit kannattaa kirjoittaa huomioiden se, että potilas tulee sen kriittisellä silmällä lukemaan

15 Tietosuoja arkityössä Keskustele vierustoverin kanssa pari minuuttia: Oletko törmännyt työssäsi tietosuojaongelmiin/tietoturvaloukkauksiin? Jos kyllä, millaisiin?

16 Tietosuoja arkityössä Tietokoneen lukitus Kortti pois lukijasta Tietosuojajätteen asianmukainen säilytys ja tuhoaminen Paperisten potilaspapereiden asianmukainen säilytys Potilaasta otettujen kuvien asianmukainen säilytys Ei potilastietoja suojaamattomassa issa. Voit tehdä itsellesi vaikka valmiin vastaustekstin, jonka voit copypastata maileihin potilaille jotka pyytävät tuloksia tms. itse. (esim. Tämä sähköpostiyhteys on suojaamaton, ja lääkäri ei saa potilaan suostumuksellakaan lähettää salassa pidettäviä tietoja suojaamattomassa sähköpostissa. Voimme varata asialle soitto- tai vastaanottoajan. ) Mieti mitä, kenelle, missä puhut Mieti mitä kirjaat ja minne kirjaat: mikä on tärkeää ja oleellista, mikä epäoleellista, mitä ei saa kirjata jne. Eihän tulostin ole väärässä paikassa? Postitettaessa potilaspapereita tarkkuutta, mitä kuoreen livahtaa ja onko osoite oikea? Jne.

17 Tietosuoja-asetus ja tietosuoja johtajalääkärin työssä

18 Tietosuoja-asetus ja tietosuoja johtajalääkärin työssä Mm.: Tietosuojan merkityksen painottamista alaisille/työyhteisölle, tietosuojatyöryhmän perustaminen Kouluttautumista ja kouluttamista, Tietosuoja-asetuksen noudattamisen dokumentointia Vastuussa rekisterin eli sairauskertomuksen asianmukaisesta käsittelystä Potilaan oikeus päästä tietoihinsa/tarkistaa tiedot (eli rekisteritietojen tarkistus) Tietojen virheettömyys ja virheen korjaaminen Potilaan pyyntö poistaa tiedot Kuolleiden henkilöiden tietojen luovuttaminen

19 Tietosuoja-asetus ja tietosuoja ammatinharjoittajalääkärin työssä

20 Tietosuoja-asetus ja tietosuoja ammatinharjoittajalääkärin työssä Itsenäisenä ammatinharjoittajana toimiva lääkäri on rekisterinpitäjä ja velvollinen huolehtimaan potilasasiakirjojen laatimisesta ja säilyttämisestä, mutta: Lääkärikeskuksessa toimiva ammatinharjoittajalääkäri voi tehdä lääkärikeskuksen kanssa sopimuksen potilasasiakirjojen teknisestä ylläpidosta. Yksin toimivan ammatinharjoittaja (esim. omissa tiloissaan) on siis rekisterinpitäjä, ja hänen tulee huomioida tietosuoja-asetuksen asiat ja tehdä tietosuojaselvitys. Kts. Tarkemmin esim. Yksin toimivan ammatinharjoittajan ongelmana usein rekisterin eli potilasasiakirjojen elinkaari. Esim. missä asiakirjoja säilytetään toiminnan lakkaamisen jälkeen, kuka asiakirjat tuhoaa jne?

21 Tietosuoja-asetus ja tietosuoja tutkijalääkärin työssä

22 Tarkennuksia tullut mm. tutkittavien informointiin, suostumuslomakkeisiin, henkilötietojen käsittelyn turvallisuuteen ja dokumentointiin Kuka on (tutkimus)rekisterinpitäjä? Yliopisto, sairaala, yksittäinen tutkija, nämä kaikki yhdessä? Kuka omistaa datan? Esim. väitöskirjatekijän vastuu jos/kun yksin rekisterinpitäjänä?

23 Kts. Esim. PPSHP:n eettisen toimikunnan sivusto, jossa GDPR:n myötä uusia tarkennuksia (mm. Riskien itsearviointilomake):

24 Raisa Leivonen Ylitarkastaja, tietosuojavaltuutetun toimisto Osoitteesta: utkimustyö/tietosuojatyökalujatutkijalle

25 Lopuksi Tarkkaile seuraavana työpäivänäsi työpaikkasi, ja oman toimintasi tietosuoja-asioita. Onko kaikki kunnossa? Voisiko jotain muuttaa ympäristössä ja omassa toiminnassa?

26 vastauksia joihinkin luennolla esitettyihin kysymyksiin Etätyö ja tietosuoja: Luonnollisesti etätyössä työntekijän oma vastuu tietosuojan kannalta kasvaa, huomioitavaa paljon, mm. tietokoneen ja liittymän tietoturvallisuus, missä konetta säilyttää, eihän ulkopuolisilla ole siihen kotona pääsyä jne. Kts. OpiTietosuojaa sivuston yleinen ohje etätyöhön liittyen: Lääkäriliiton suositus: Missä tilanteessa voin viivästyttää sairauskertomusmerkinnän näkymistä Omakannassa? Viivästämiselle ei ole valtakunnallisesti yhteneväisiä sääntöjä. Viivästää voidaan merkintöjä, labratuloksia jne. Tietoja voidaan viivästää esim. jotta asia voidaan käydä läpi potilaan kanssa, jos esim. potilaalle ei ole vielä kerrottu diagnoosista, tutkimustuloksista tms. Tietojen näkymisen Omakannassa voi viivästyttää myös pysyvästi, jos tiedot voivat vakavasti vaarantaa potilaan terveyttä tai jonkun muun henkilön oikeuksia. 0f48-3aec-0bcb-1513-af182fc00d5d

27 Linkkejä Lääkäriliiton ohjeistus tietosuoja-asetukseen liittyen: Erittäin hyvää käytännön tietoa Kanta kirjauksista, mm. potilasasiakirjamerkinnöistä, kirjausten viivästämisistä, korjaamisista jne. Kanta. Potilastiedon arkiston toimintamalli: n+toimintamallit.pdf/39510f48-3aec-0bcb-1513-af182fc00d5d Tietosuoja-asetuksesta ja tietosuojasta: Lääkäriliiton suositus potilaan ja lääkärin välisestä sähköisestä viestinvaihdosta:

28 Kiitos konsulteille Juha Auvinen, johtava lääkäri, Oulunkaari Pirjo Karhunen, arkistovastaava, tietosuojavastaava, OYS Kirsi Kiukaanniemi, ylilääkäri, Selänne Pekka Mattila, OYS Minna Mäkiniemi, tutkimuspalvelupäällikkö, PPSHP Marianne Riekki, asiantuntijalääkäri, PPSHP Niilo Vähäsarja, lakimies, tietosuojavastaava, OY

29 Kiitos kuulijoille