Tietosuoja soten sähköisissä palveluissa

Samankaltaiset tiedostot
Tietosuojavaltuutetun toimiston tietoisku

Teknologia avusteiset palvelutverkostopalaveri

Tietoturva yhdistyksessä

Paneeli: Käytön valvonta, lokien hallinta, poikkeamien havaitseminen, poliisiyhteistyö

Tietosuoja sosiaali- ja terveyspalveluissa

Tietosuoja-asetus Immo Aakkula Arkistointi

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

Organisaatioluvan hakeminen

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

Usein kysyttyjä kysymyksiä tietosuojasta

Yksityisyydensuoja ja kirjaaminen. Itsemääräämisoikeus ja asiakirjat THL Liisa Murto Ihmisoikeuslakimies Kynnys ry/vike

Fintech-yrityksen tietosuoja: Tietosuoja-asetus Markus Myhrberg

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

Tietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida?

Tietosuoja-asetus Tietoarkiston näkökulmasta. Aila ja aineistojen jatkokäyttö -seminaari Arja Kuula-Luumi Kehittämispäällikkö

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Informaatiovelvoite ja tietosuojaperiaate

EU TIETOSUOJA- ASETUS

EU:N TIETOSUOJA-ASETUS OPAS YHDISTYKSILLE JÄRJESTÖOHJAUS KUUROJEN LIITTO RY.

UKTY ry:n asiakasrekisterin tietosuojaseloste

Tietosuoja-asetus (GDPR)

EU:n tietosuoja-asetus (GDPR)

EU:n yleinen tietosuoja-asetus. Muuttuiko mikään?

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

Tietosuoja-asetus ja sen kansallinen implementointi

Tietosuojaa neuvojille Maaseutuviraston tietosuojavastaava

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

Hyvä tietosuojakäytäntö

Muutokset lakiin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007)

TIETOSUOJATYÖN ORGANISOINTI

GDPR. Timo Kokkonen Webinaari

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

EU:n tietosuoja-asetus ja tieteellinen tutkimus Toimistopäällikkö Heljä-Tuulia Ylitarkastaja Anna Hänninen

GDPR tietosuoja asetus. Heli Peltola Suomen Palvelukoulutus Geriwell Oy

Case-esimerkkejä: henkilötietojen käsittelyn lainmukaisuus ja eettisyys

Eläketurvakeskuksen tietosuojapolitiikka

Uudistettu asiakastietolaki edistämään tiedonvaihtoa sosiaalija terveydenhuollossa

Tämä tietosuojaseloste antaa EU:n tietosuoja-asetuksen ("Tietosuoja-asetus") edellyttämiä tietoja rekisteröidylle.

Tampereen Aikidoseura Nozomi ry

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Tietosuojaa hanketoimijoille Maaseutuviraston tietosuojavastaava

2. Kuvaus tutkimushankkeesta ja henkilötietojen käsittelyn tarkoitus

Asiakkaan on hyväksyttävä tämän tietosuojaselosteen ehdot käyttääkseen Samppalinnan Kesäteatterin palveluita.

HENKILÖTIETOJEN KÄSITTELYOHJE TUUSULAN KUNNAN OHJE HENKILÖTIETOJEN KÄSITTELIJÖILLE

Vaikutustenarviointi GDPR:n mukaan

Tietosuojaseloste 1 (5) Rekisterin tiedot. Mirka Forsström, Johtava sosiaalityöntekijä. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14

2. Kuvaus tutkimushankkeesta ja henkilötietojen käsittelyn tarkoitus

ASIAKAS- JA HENKILÖTIETO REKISTERISELOSTE

Tietosuoja tutkimuksissa

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Termit. Tietosuojaseloste

1. Kuvaus tutkimushankkeesta ja henkilötietojen käsittelyn tarkoitus

Tietosuojaasiat. yhdistysten näkökulmasta

REKISTERINPITÄJÄ JA YHTEYSHENKILÖ REKISTERIÄ KOSKEVISSA ASIOISSA Rekisterinpitäjä: Tmi ML-hahmoterapia Yhteyshenkilö: Mikko Lounela Puh:

REKISTERINPITÄJÄ Fysioterapiapalvelut Kirsi Pätsi Rovaniemen toimipiste, Valtakatu 30 A 10, Rovaniemi

EU:N TIETOSUOJA-ASETUKSET WALMU

Jäsenrekisteri tietosuoja-asetus ja henkilötietolaki

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Hyvä tietosuojakäytäntö

TIETOSUOJAOHJE PARTIOLIPPUKUNNILLE

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

Tampereen yliopisto Tietosuojailmoitus 1 (5) Tampereen yliopisto Tampereen yliopisto Kalevantie 4, Tampere Puh.

TIETOSUOJASELOSTE EU:n tietosuoja-asetuksen (679/2016) 13 ja 14 artiklan edellyttämä rekisteröidyn informointi

EU:n uusi tietosuoja-asetus tulee, oletko valmis? KEUKE Markus Myhrberg

Tietosuojaseloste 1 (5) Rekisterin tiedot. Mirka Forsström, Johtava sosiaalityöntekijä. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

Vastuuhenkilö: Nimi: Hyvinvointivastaava-varhaiskasvatuksen johtaja

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Salon kaupunki , 1820/ /2018

Tietosuojaseloste Jäsenet, luottamushenkilöt ja vapaaehtoistoimijat

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

Salon kaupunki / /2018

Osteopaatti Jutta Aalto Anatomia- ja kehotietoisuuskoulutus TIETOSUOJASELOSTE

Tutkittavan informointi ja suostumus

TIETOSUOJASELOSTE EU:n tietosuoja-asetuksen (679/2016) 13 ja 14 artiklan edellyttämä rekisteröidyn informointi

Varustekorttirekisteri - Tietosuojaseloste

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

Tietosuojauudistus tulee PTC:n käytännön vinkit. Tapio Lahtinen

Tämä ohje on sovellettavissa SAMKin henkilöstön tekemään Tutkimus- ja kehittämistoimintaan ja SAMKin opiskelijoiden opinnäytetöihin

EU:n tietosuoja-asetus 2016

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

IF-INFO MEKLAREILLE

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

TIETOSUOJASELOSTE Laatimispäivämäärä:

Salon kaupunki , 1820/ /2018

Tietosuoja-asetus. Valo, Valtakunnallinen liikunta- ja urheiluorganisaatio ry Castrén & Snellman

GDPR Tietosuoja-asetus

1 Tietosuojapolitiikka

EU-tietosuoja-asetus. Helsingin kaupunki Kaupunginkanslia

Tietosuojalainsäännön katsaus Virpi Korhonen, lainsäädäntöneuvos

Rekisteri- ja tietosuojaseloste

TIETOSUOJASELOSTE EU:n tietosuoja-asetuksen (679/2016) 13 ja 14 artiklan edellyttämä rekisteröidyn informointi

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Vähittäiskaupan tutkimussäätiössä

Haminan tietosuojapolitiikka

Tietosuojaseloste 1 (5) Rekisterin tiedot. Mirka Forsström, Johtava sosiaalityöntekijä. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14

Transkriptio:

Tietosuoja soten sähköisissä palveluissa Odotettavissa koko maassa... 8. Sosiaali- ja terveydenhuollon tietohallinnon keskustelufoorumi, Kuopio, 4.10.2018 Helena Eronen, tietosuojavastaava UEF // University of Eastern Finland

Asiakkaan monet palvelut sote-uudistuksessa Omakanta Kanta.fi Kela.fi Suomi.fi Hyvinvointisovellukset Kokonaisuus käytettävyydeltään korkealaatuiseksi organisaatioiden välisellä yhteistyöllä ja hyvällä ja oikea-aikaisella viestinnällä Alueuudistus.fi Maakuntien palvelukanavat Ajanvarauspalvelut Asiakassetelipalvelut Henkilökohtaisen budjetin palvelut Palveluntuottajien palvelukanavat

Asiakkaat ovat valveutuneita Ihmiset tuntevat oikeutensa ja pyytävät tarkastusoikeuden pohjalta omien/ alaikäisten huollettavien tietojen tarkistamista ja sen jälkeen myös korjaamista/poistamista Kuolleiden henkilöiden elinaikaisia asiakirjoja pyydetään esim. testamenttiriitoihin liittyen Alaikäisten lasten tietoja pyydetään esim. huoltajuusriitoihin liittyen Käyttölokiselvityksiä pyydetään (=kuka tietojani katselee?) Potilasasiamiehelle ja sosiaaliasiamiehille sekä tietosuojavastaavalle tulee erittäin runsaasti kysymyksiä Selvityspyyntöjä, kanteluita ja kysymyksiä esitetään suoraan esim. eduskunnan oikeusasiamiehelle, tietosuojavaltuutetulle, poliisille sekä Valviraan ja aluehallintovirastoon UEF // University of Eastern Finland Ari Andreasson, Tampere 5.10.2018 3

Johdon rooli tietosuojatyössä Tietosuojatyön järjestäminen Kirjalliset politiikat, periaatteet ja ohjeet ( data protection by design -periaatetta tukeva) Riittävät resurssit Tietosuojapäällikön/tietoturvapäällikön/tietosuojavastaavien nimeäminen ja tehtävien/aseman määrittely Tietosuojaryhmän perustaminen ja tehtävien määrittely Riskienhallinta Riskien tunnistaminen ja luokittelu Riskianalyysit Toimintaohjeet riskien toteutuessa Kirjalliset sopimukset palveluja ostettaessa (turvallisuusliitteet, raportointivelvoitteet) Seuraamuskäytännöt tietoturva- ja tietosuojarikkomuksissa Tietosuojattavan jätteen hävitysprosessin järjestäminen Tietoturvan ja tietosuojan omavalvontasuunnitelma Tietotilinpäätös ( accountability -periaatetta tukeva) UEF // University of Eastern Finland Ari Andreasson, Tampere 5.10.2018 4

UEF // University of EasternFinland Esityksen nimi / Tekijä 5.6.2018 9

Tiedonhallinta sote -järjestämislaissa HE 15/2017 UEF // University of Eastern Finland 20.3.2018 6

Rekisterinpitäjyys Maakunta on rekisterinpitäjä järjestämisvastuulleen kuuluvassa toiminnassa syntyneille sosiaali- ja terveydenhuollon asiakas- ja potilastiedoille. Maakunnan lukuun toimivilla tuottajalla oikeus käsitellä maakunnan asiakas- ja potilasrekisterissä olevia tietoja silloin kun se on tarpeen asiakkaan palvelun toteuttamiseksi. Maakunnan asiakas- ja potilasrekisterit tulee muodostaa Kantapalveluita käyttäen. Myös yksityisten palveluntuottajien tallennettava maakunnan järjestämien sosiaali- ja terveydenhuollon palvelujen asiakas- ja potilastiedot Kanta-palveluihin maakunnan rekisteriin UEF // University of Eastern Finland 5.6.2018 7

Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä Luonnos hallituksen esitykseksi laiksi sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä sekä siihen liittyviksi muiksi laeiksi UEF // University of Eastern Finland Esityksen nimi / Tekijä 5.6.2018 8

Säädökset nykyisin Salassapitoa, tietojen luovutuksia ja asiakirjojen käsittelyä ohjataan monissa eri säädöksissä Sosiaalihuollon asiakaslaki ja asiakasasiakirjalaki Potilaslaki ja potilasasiakirja-asetus Substanssilait kuten sosiaalihuoltolaki, terveydenhuoltolaki, lastensuojelulaki, vanhuspalvelulaki.. Asiakkaan itsemääräämisoikeuden kunnioittaminen - suostumuksen pyytäminen tietojen luovuttamiseen. Jos suostumusta ei ole mahdollista saada, voi lainsäädännön perusteella luovuttaa välttämättömät tiedot EU:n tietosuoja-asetus määrittelee erilaiset käsittelyperusteet Henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa myöhemmin käsitellä näiden tarkoitusten kanssa yhteen sopimattomalla tavalla (käyttötarkoitussidonnaisuus) Jos tietoja käytetään muihin kuin alkuperäisiin käyttötarkoituksiin, se vaatii perusteen, esimerkiksi yksilön suostumuksen taikka lain säännöksen UEF // University of Eastern Finland 5.6.2018 9

Asiakastietojen käsittelyn perusteet Asiakastietojen käsittely perustuisi pääsääntöisesti lakiin Suostumuskäytäntöihin tulossa muutoksia Asiakas voisi kieltää tietojensa luovuttamisen rekisterinpitäjien välillä Kiellon voi kohdistaa: asiakkaan kaikkiin sosiaali- ja terveydenhuollon asiakastietoihin rekisterinpitäjään tai rekisteriin sosiaalihuollossa palvelutehtävään tai yksittäiseen asiakasasiakirjaan terveydenhuollossa palvelutapahtumaan Kielto on voimassa toistaiseksi ja sen voi peruuttaa Ammattihenkilön käyttöoikeudet asiakastietoihin THL antaa määräykset käyttöoikeuksien perusteista UEF // University of Eastern Finland 5.6.2018 10

Sote tiedon toissijainen käyttö HE 159/2017 UEF // University of Eastern Finland Esityksen nimi / Tekijä 5.6.2018 11

Uudistuksen tavoitteet Koota yhteen hajallaan olevat säännökset sosiaali- ja terveystietojen toissijaisesta käytöstä Purkaa lupakäsittelyyn liittyvää päällekkäistä hallinnollista taakkaa Sujuvoittaa ja nopeuttaa lupakäsittelyä sekä tietojen yhdistelyä eri rekistereistä Lisätä arvokkaiden sote-tietoaineistojen käyttöä tutkimus- ja kehittämistoiminnassa Turvata entistä paremmin tietosuoja ja tietoturva sekä asiakkaan henkilötietojen ja luottamuksen suoja. UEF // University of Eastern Finland 5.10.2018 12

Vaikutukset UEF // University of Eastern Finland 5.6.2018 13

Tiedonhallintalain valmistelu UEF // University of Eastern Finland Esityksen nimi / Tekijä 5.6.2018 48

Tiedonhallintalaki Tiedonhallintalakia on valmisteltu kahdessa vaiheessa. Syksyllä 2017 julkaistiin työryhmäraportti, jossa on tehty kattava perusselvitys lainsäädännön kehittämistarpeista. Hallituksen esityksen valmistelu kevät/kesä 2018. Hallituksen esitystä valmisteltu pienen valmistelutiimin voimin. Osallistumisesta huolehdittu asia-alueittaisissa kommentointiryhmissä. Luonnos tiedonhallintalaiksi on ollut lausuntokierroksella 1.10.2018 saakka. Tiedonhallintalailla säädetään tiedon elinkaaren hallinnasta julkisessa hallinnossa kattaa tiedonhallinnan suunnittelu- ja kuvausvelvollisuudet, tietoturvallisuusvaatimukset, asian- ja palvelunhallinnan rekisteröinnin perusteet sekä tietoaineistojen säilyttämistä ja arkistointia koskevat säännökset uudistettaisiin myös julkisen hallinnon tietohallintoa ja tiedonhallintaa koskevan ohjauksen sääntely korvaa tietohallintolain, arkistolain ja hyvää tiedonhallintatapaa koskevan sääntelyn julkisuuslaista. UEF // University of Eastern Finland 49

EU:n yleinen tietosuoja-asetus ja kansallinen tietosuojalaki EU 2016/679, HE 9/2018 UEF // University of Eastern Finland 5.6.2018 16

Tilanne 10/2018 EU General Data Protection Regulation (GDPR) Tullut voimaan 24.5.2016, kahden vuoden siirtymäaika päättynyt ja sovelletaan kaikissa jäsenmaissa 25.5.2018 alkaen Suoraan sovellettavaa lainsäädäntöä julkisella ja yksityisellä sektorilla Ei sovelleta yksityisen henkilön yksityisiin tarkoituksiin keräämiin henkilötietoihin eikä vainajien tietoihin (kansallisesti voidaan säätää vainajien tietosuojasta Sisältää kansallista liikkumavaraa tulossa tietosuojalaki (HE 9/2018), jolla kumotaan nykyinen henkilötietolaki Tietosuojalain voimaantulo on viivästynyt. Henkilötietolakia sovelletaan siltä osin, kun se ei ole ristiriidassa tietosuoja-asetuksen kanssa UEF // University of Eastern Finland 5.6.2018 17

Tietosuojaperiaatteet Vaatimukset henkilötietojen käsittelylle (art. 5) Lainmukaisuus, asianmukaisuus ja läpinäkyvyys Käyttötarkoitussidonnaisuus Tietojen minimointi Täsmällisyys Säilytyksen rajoittaminen Eheys ja luottamuksellisuus Osoitusvelvollisuus: pitää pystyä osoittamaan, että periaatteita noudatetaan UEF // University of Eastern Finland 5.6.2018 18

Henkilötietojen käsittelyn yleiset edellytykset Tietosuoja-asetus (TsA) 6 artikla: Yksiselitteinen suostumus: suostumuksen henkilötietojen käsittelyyn voi antaa yhtä tai useampaa erityistä tarkoitusta varten Sopimuksen valmistelu tai täytäntöönpano Lakisääteiset velvoitteet Elintärkeä etu Yleistä etua koskeva tehtävä tai ulkisen vallan käyttäminen Oikeutettu etu UEF // University of Eastern Finland 5.6.2018 19

Erityisiä henkilötietoryhmiä koskevien tietojen käsittely on kiellettyä Erityisiä henkilötietoryhmiä (ent. arkaluonteiset henkilötiedot) ovat: TsA, 9 art: Rotu tai etninen alkuperä Poliittinen mielipide Uskonnollinen tai filosofinen vakaumus Ammattiliiton jäsenyys Geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten Terveyttä koskevat tiedot Seksuaalinen käyttäytyminen tai suuntautuminen TsA 10 art. Rikostuomiot ja rikkomukset UEF // University of Eastern Finland 5.6.2018 36

Arkaluonteisten tietojen käsittelyperusteet (art. 9) Erityiset henkilötietoryhmät Suostumus Velvollisuuksien noudattaminen työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alalla Rekisteröidyn elintärkeä etu Poliittisen, filosofisen, uskonnollisen, ammattiliiton tai muun voittoa tavoittelemattoman yhteisön laillinen toiminta Henkilötiedot, jotka rekisteröity on saattanut julkisiksi Oikeusvaateen laatiminen, esittäminen tai puolustaminen Yleinen etu Sosiaali- ja terveydenhuolto Kansanterveyteen liittyvä yleinen etu Yleiset arkistointitarkoitukset, tieteellinen ja historiallinen tutkimus sekä tilastointi Rikostuomiot ja rikkomukset Viranomaisen valvonnassa tai silloin, kun se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa säädetään asianmukaisesta suojatoimista Jos käsitellään art. 9 ja 10 mukaisia tietoja niin käsittelyperuste artiklasta 6 ja erityisperuste artiklasta 9 UEF // University of Eastern Finland 5.6.2018 21

Tietosuoja-asetus: Keskeiset muutokset Osoitusvelvollisuus Sisäänrakennettu ja oletusarvoinen tietosuoja Vaikutustenarviointi ja riskiperusteisuus Tietoturvaloukkauksista ilmoittaminen Rekisteröityjen oikeuksien vahvistuminen Seuraamusjärjestelmä UEF // University of Eastern Finland 5.6.2018 22

Osoitusvelvollisuus Tietosuoja-asetus muuttaa oleellisesti tietoturvan ja tietosuojan ajatusmallia. Ennen: syytön kunnes toisin todistetaan ja riitti, kun noudatti tietosuojalainsäädäntöä. Nyt: pitää pystyä osoittamaan noudattavansa tietosuojaasetusta. Esim. järjestelmien tietoturvapäivitykset, henkilötietojen käsittelyn ohjeistus, tietoihin pääsyn rajaaminen jne. Yksi keino osoitusvelvollisuuden toteuttamiseen on tehdä vuosittainen tietotilinpäätös. UEF // University of Eastern Finland 5.6.2018 23

Osoitusvelvollisuus, mikä muuttuu? UEF // University of Eastern Finland 5.6.2018 24

Sisäänrakennettu tietosuoja UEF // University of Eastern Finland 5.6.2018 25

Vaikutustenarviointi Auttaa tunnistamaan, arvioimaan ja hallitsemaan henkilötietojen käsittelyyn sisältyviä riskejä Kuvataan henkilötietojen käsittely, arvioidaan käsittelyn tarpeellisuus, oikeasuhteisuus ja henkilötietojen käsittelystä aiheutuvat riskit sekä toimenpiteet, joilla riskeihin puututaan. Arvioidaan onko jäljelle jäänyt riski oikeutettu ja hyväksyttävissä käsillä olevissa olosuhteissa Jatkuva riskien tunnistamisen ja hallitsemisen prosessi Tehtävä myös ennen tietosuoja-asetusta aloitettuihin käsittelytoimiin Tietosuojavastaava neuvoo vaikutustenarvionnissa UEF // University of Eastern Finland 26

Vaikutustenarviointi Tehtävä vaikutustenarviointi, kun käytetään uutta teknologiaa, käsitellään laajamittaisesti rikostuomioita, rikkomuksia tai erityisiä henkilötietoryhmiä, tehdään profilointia, valvotaan yleisölle avointa aluetta laajamittaisesti Tietosuojavaltuutetun toimiston luettelo käsittelytoimista, joiden yhteydessä on tehtävä vaikutustenarviointi: 1. Käsiteltäessä geneettisiä tietoja 2. Käsiteltäessä henkilötietoja ilmiantojärjestelmien eli ns. whistleblowing-järjestelmien yhteydessä i t 3. Kerättäessä henkilötiedot muualta, kuin rekisteröidyltä ja poiketaan tietosuoja-asetuksen mukaisesta informoinnista esim. tieteellisessä ja historiallisissa tutkimustarkoituksissa UEF // University of Eastern Finland 2.10.2018 14

Tietoturvaloukkauksista ilmoittaminen Tietoturvaloukkauksista tulee ilmoittaa valvontaviranomaiselle 72 tunnin kuluessa niiden havaitsemisesta. Rekisteröidyille, joita loukkaus koskee tulee ilmoittaa viivytyksettä, jos loukkaus aiheuttaa riskin yksityisyyden suojalle UEF // University of Eastern Finland 5.6.2018 28

TSV:n toimisto: Esimerkkejä tietoturvaloukkausista Esimerkki Salattu varmuuskopio muistitikulla, joka varastetaan Ilmoitus valvontaviranomaisell e Ilmoitus rekisteröidylle Verkkopalveluun tehty hyökkäys Kyllä Kyllä Huomautus/Suositus Ei Ei Jos tiedot on salattu ja ovat palautettavissa, ei ilmoitusta Puhelinkeskuksen sähkökatko Ei Ei Rekisteröi tietoturvapoikkeama Kiristysohjelmahyökkäys, jossa kaikki tiedot salataan, eikä niitä voida palauttaa Soitto pankkiin, asiakas on saanut toisen henkilön tiliotteen Sähköiseen markkinapaikkaan tehty verkkohyökkäys Kyllä Kyllä Jos saatavilla varmuuskopio ja palautus onnistuu, ei tarvitse ilmoittaa Kyllä Kyllä Loukkauksen kohteena oleville ilmoitetaan Kyllä Kyllä Toimenpiteitä riskin pienentämiseksi: uudet salasanat Henkilötietojen käsittelijällä vika: kuka tahansa voi päästä kenen tahansa käyttäjän tilin tietoihin Sairaalan potilastiedot poissa käytöstä 30 h, verkkohyökkäys Kyllä, rekisterinpitäjälle Kyllä Ei/kyllä Kyllä Opiskelijoiden tiedot menneet väärälle postituslistalle Kyllä Suoramarkkinointiviesti, UEF // University of Eastern jossa kaikki Finland Kyllä Kyllä 5.10.2018 29 näkevät kenelle lähetetty Kyllä

Läpinäkyvyys = Informointi henkilötietojen käsittelystä Kerrotaan nykyistä läpinäkyvämmin, selkeämmin ja helpommin: Mihin tietojen käsittely perustuu Mitä tietoja kerätään Mihin tietoja käytetään Kuka on rekisterinpitäjä Mikä on tietojen säilytysaika Käsittelyyn liittyvät riskit, säännöt ja suojatoimet sekä miten rekisteröity voi käyttää oikeuksiaan Keinoja: tietosuojaselosteet, esitteet, lehtiset, kaaviot, sarjakuvat, rollupit, kyltit, intra- ja internet, privacy dashboards, suullinen informaatio jne. UEF // University of Eastern Finland 30

Rekisteröidylle annettavat tiedot Annettava tieto Henkilötiedot suoraan rekisteröidyltä Henkilötiedot muualta kuin rekisteröidyltä Kuka on rekisterinpitäjä ja yhteystiedot X X Tietosuojavastaavan yhteystiedot, jos nimetty X X Henkilötietojen käsittelytarkoitus riittävästi yksilöitynä X X Henkilötietojen käsittelyperuste X X Jos yleinen tai arkaluonteisten tietojen käsittelyperuste on suostumus, niin tieto oikeudesta perua suostumus Henkilötietojen säilytysaika tai sen määrittämiskriteerit X X Mitä henkilötietoja käsitellään Mistä henkilötiedot saadaan Rekisteröidyn oikeudet X X Tieto oikeudesta tehdä valitus valvontaviranomaiselle X X Mihin henkilötietoja siirretään tai luovutetaan X X Henkilötietojen siirto EU:n ulkopuolelle perusteineen X X X X X Onko rekisteröidyllä velvollisuus toimittaa henkilötietoja ja peruste UEF // University (lakisääteinen of Eastern tehtävä, Finland sopimus) sekä seuraukset sille, jos rekisteröity ei toimita henkilötietoja X 5.10.2018 31

Rekisteröidyn oikeudet Pääsy tietoihin Tietojen oikaisu Tietojen poistaminen ( oikeus tulla unohdetuksi ) Käsittelyn rajoittaminen Tietojen siirtäminen Vastustamisoikeus Oikeus olla joutumatta automaattisen päätöksen kohteeksi Oikeus tehdä valitus valvontaviranomaiselle UEF // University of Eastern Finland 32

Seuraamusjärjestelmä Tietosuoja-asetuksen rikkomisesta tai noudattamatta jättämisestä voidaan määrätä hallinnollinen seuraamusmaksu, jonka enimmäismäärä on 20 milj. tai 4 % liikevaihdosta. HE 9/2018: Hallinnollista seuraamusmaksua ei voi määrätä mm. itsenäiselle julkisoikeudelliselle laitokselle Tietosuojavaltuutettu voi asettaa päätöksensä tehosteeksi uhkasakon, joka voi koskea myös julkishallintoa Tietosuojavaltuutettu voi myös asettaa rekisterinpitäjän henkilötietojen käsittelykieltoon UEF // University of Eastern Finland 33

GDPR vaik(e)uttaa sotessa Henkilötietojen käsittelyn minimointi = ei voidakaan kerätä kaikkia potilastietoja tarvitsijoiden käyttöön Säilytyksen rajoittaminen = kaikkea ei välttämättä voikaan säilyttää pysyvästi vrt. Kanta-palvelut Osoitusvelvollisuus = voitava koko ajan osoittaa, että henkilötietoja käsitellään tietosuojaperiaatteiden mukaisesti (käyttötarkoitussidonnaisuus, huolellisuusvelvoite) Arkaluonteisten tietojen käyttöoikeudet Vain hoitoon osallistuvilla tai niihin tehtäviin osallistuvilla on oikeus käsitellä asiakastietoja mahdoton tehtäväkö sote organisaation omalle käyttäjähallinnalle valtakunnallisissa palveluissa? UEF // University of Eastern Finland

Käytännössä UEF // University of Eastern Finland 48

Käyttövaltuusperiaatteet 1. Tietojärjestelmiä käyttävät henkilöt on tunnistettu 2. Käyttäjätunnukset ovat henkilökohtaisia 3. Käyttöoikeuksien myöntäminen, muuttaminen ja poisto on organisoitu ja vastuutettu 4. Tietojärjestelmien käyttäjätunnukset ja käyttöoikeudet katselmoidaan suunnitellusti ja tarpeettomat tunnukset, roolit ja oikeudet suljetaan tai poistetaan 5. Tietojen asianmukainen käsittely on turvattu 6. Käytön seurantaan ja valvontaan on laadittu kirjallinen suunnitelma, jota noudatetaan 7. Tietojärjestelmien tietosuoja- ja tietoturva on toimintakulttuuria 8. Tietojärjestelmäratkaisut on suunniteltu ja toteutettu huolellisesti 9. Tietojärjestelmien käyttö, tietoturva ja tietosuoja on perehdytetty henkilöstölle UEF // University of Eastern Finland 27

Käytönvalvonta ja lokitiedot Terveydenhuollon potilastietojen ja sosiaalihuollon asiakastietojen käytön valvominen on lakisääteistä Tietojärjestelmien pitää tallentaa tietojen käsittelyhistoriaa eli kerätä lokia erilaisista tapahtumista Lokeja on eri tyyppejä kuten käyttöloki, virheloki, muutosloki, luovutusloki jne. Valvonnan pitää olla suunniteltua ja mahdolliseen luvattomaan käyttöön tulee puuttua! UEF // University of Eastern Finland 27

Käytönvalvonnan prosessit Asiakaslähtöinen käytönvalvonta ulkoinen asiakas epäilee väärinkäytöstä tai haluaa tarkistaa asiakastietojensa käsittelyn oikeellisuuden Harkinnallinen sisäinen valvonta epäillään väärinkäytöstä ja tuodaan asia tietosuojavastaavalle toimenpiteitä varten Systemaattinen valvonta etukäteissuunnitelmaan perustuva systemaattinen valvonta esim. tietyin väliajoin, tietyn yksikön henkilökunta tai satunnaisotannat UEF // University of Eastern Finland 29.8.2018 38

Tietosuojan tikapuut soten asiakaslähtöisessä lokivalvonnassa Asiakas ei ole tyytyväinen uuden selvityksen lopputulokseen Asiakas ottaa yhteyttä Tietosuojavaltuutetun toimistoon tai poliisiin Väärinkäytös havaittuorganisaation omat toimenpiteet Jatketaan selvitystä tai tehdään uusi selvitys Ei väärinkäytöstä ei toimenpiteitä Asiakas ei ole tyytyväinen selvityksen lopputulokseen Selvitys potilastietojen käsittelystä tai lokitiedot potilaalle Väärinkäytösepäily Yhteys hoitoyksikköön tai tietosuojavastaavaan tehdään selvityspyyntö potilastietojen käsittelystä tai asiakirjapyyntö lokitiedoista UEF // University of Eastern Finland

Käytännön tietosuojavinkkejä Lähde: Tampereen kaupungin ohje henkilötietojen käsittelystä UEF // University of Eastern Finland 48

Hyvät toimintatavat Lukitse työasemasi aina kun poistut työpisteeltä hetkeksikin. Suojaa näytön tiedot käyttämällä näytönsuojakalvoa. Huomioi tietosuoja myös työmatkoilla ja etätyössä; estä ulkopuolisten pääsy näkemään näytölläsi olevia tietoja; näytönsuojakalvokaan ei auta, jos junassa takanasi istuu utelias ihminen Älä keskustele luottamuksellisista tai salassa pidettävistä asioista edes muiden työkavereiden kanssa. Henkilötietoja sisältävät tulosteet kuuluvat tietosuojattavan jätteen astiaan, eikä niitä saa varastoida myöhemmin hävitettäväksi. Älä tallenna henkilötietoja sisältävää materiaalia suojaamattomille tikuille tai muille ulkoisille lisämuisteille. Huomioi, että työajan ulkopuolellakin Sinua koskee vaitiolovelvollisuus - älä puhu työasioista ulkopuolisten kuullen. UEF // University of Eastern Finland

Mitä tietoa voit kysyä asiakkaalta? Tietosuoja ei tarkoita sitä, ettet voisi palvella asiakasta ja kysellä hänen tietojaan. Asiakaspalvelutilanteen hoitamiseen tarvittavia tietoja on edelleen asiallista kysyä tai tallentaa. Monet tilanteet edellyttävät asiakkaan henkilöllisyyden tunnistamista. Mikäli henkilöllisyyttä ei ole tunnistettu luotettavasti, voidaan asiakkaalle luovuttaa pahimmassa tapauksessa toisen asiakkaan tietoja. Asiakkaan tunnistamiseksi voit kysyä häneltä henkilötunnusta tai pyytää asiakasta esittämään henkilöllisyystodistuksen. Puhelimessa saa tiedustella henkilötunnusta, jos se on tarpeen asiakkaan henkilöllisyyden varmistamiseksi. Nimen lisäksi myös ikä ja yhteystiedot, kuten osoite ovat usein tarpeellisia tietoja asiakkaan henkilöllisyyden varmistamisessa. UEF // University of Eastern Finland 6.6.2018 42

Miten huolehdit asiakkaan yksityisyydestä? Kun käsittelet henkilötietoja tietojärjestelmissä, paperilla, kuvina, keskustelemalla puhelimessa tai kasvokkain, huolehdi, etteivät henkilötiedot joudu asiattomien saataville. Varmistu siitä, että paikka soveltuu henkilötietojen käsittelyyn. Asiattomien ei tule voida kuulla, mitä puhutaan tai katsella mitä tietoja käytetään. Kysy asiakkaalta ja tallenna ainoastaan tarpeelliset tiedot. Vaikka asiakas selostaisi ummet ja lammet, tallenna vain tarpeelliset tiedot. Tiedon mahdollinen tarve joskus tulevaisuudessa ei ole riittävä peruste tiedon tallentamiseen. Älä tee tarpeettomia muistiinpanoja asiakkaasta. Mikäli on tarpeen tehdä muistiinpanoja, hävitä ne välittömästi käyttötarpeen päätyttyä. Huom! asiakkaalla on oikeus saada tietää hänestä tallennetut henkilötiedot. Tietopyyntöön vastaaminen on vaivatonta, jos kaikki asiakkaan tiedot saadaan yhdestä tietojärjestelmästä. Tiedon kokoaminen yksittäisistä tiedostoista ja paperilapuista on hankalaa. UEF // University of Eastern Finland 6.6.2018 43

Miten huolehdit yksityisyydestä? Vältä keskustelua ja olan yli kurkintaa erityisesti tiloissa, joissa on useampi asiakaspalvelupiste. Ole erityisen tarkka silloin, kun asiakaskohtaamiseen liittyy arkaluonteisten henkilötietojen tai muuten salassa pidettävien tietojen (esim. sosiaalihuollon asiakkuus) käsittelyä. Minimoi tilanteet, joissa vuoroaan odottava asiakas kuulee palvelua saavan asiakkaan ja virkailijan välisen keskustelun. Työskentely monitilaympäristössä on yleistä. Jos on erillisiä tiloja luottamuksellisiin puhelinkeskusteluihin, hyödynnä niitä. Pidä asiakaspalvelupiste siistinä. Älä jätä asiakkaan salassa pidettäviä asiakirjoja toisen asiakkaan nähtäville. Älä anna sivullisen nähdä tietokoneesi näyttöä, kun käsittelet asiakastietoa tai kun syötät käyttäjätunnuksia ja salasanoja. Henkilötietoaineisto on poistettava neuvottelutiloista ja muista yhteiskäyttötiloista välittömästi tilojen käytön päätyttyä. Huolehdi myös, ettei esim. USB-tikkuja jää kiinni esitystietokoneisiin. UEF // University of Eastern Finland 6.6.2018 44

Miten luovutat tietoja? Varmista, että tiedot voidaan luovuttaa asiakkaalle tai toiselle organisaatiolle. Asiakkaan kohdalla tämä edellyttää henkilöllisyyden luotettavaa tunnistamista. Ole erityisen tarkkana, kun tietoja kysellään puhelimitse. Henkilötietojen luovuttaminen puhelimitse on mahdotonta, ellei voida varmistua, että tietojen vastaanottajalla on oikeus saada tiedot. Jos soittaja kertoo soittavansa Kelan, Poliisin tai muun virallisen tahon edustajana, mutta herää epäilys asiasta, voit soittaa varmistuspuhelun virkanumeroon ennen tietojen luovuttamista. Arkaluoteisia henkilötietoja tai salassa pidettäviä tietoja ei saa lähettää suojaamattomalla sähköpostiyhteydellä. Asiakaalle tulee myös kertoa, ettei hänkään lähetä arkaluonteisia tai salassa pidettäviä tietoja sähköpostitse salaamattomana. Mikäli asiakas lähettää sinulle tällaisen viestin, vastaa hänelle poistamalla lähetetyn viestin sisältö ja kerro hänelle turvallisesta asioinnista. UEF // University of Eastern Finland 6.6.2018 45

Miten palvelet käytännön tilanteissa? Älä jätä asiakasta yksin tai ilman valvontaa työhuoneeseesi tai muihin ei-julkisiin tiloihin. Tarpeen vaatiessa asiakasta saa kuuluttaa nimeltä. Asiakassuhteen hoitamiseksi saat tarkistaa asiakkaan yhteystiedot asiakasrekisteristä, johon sinulla on käyttöoikeus työtehtäviesi perusteella. Yhteystietoja ei voi katsoa muista asiakasrekistereistä, joihin asiakas mahdollisesti on kirjattu. Älä tee hakua pelkän etunimen perusteella, sillä tällöin voit vahingossa käsitellä muidenkin asiakkaiden henkilötietoja. Voit tarkistaa asiakkaan yhteystiedot myös silloin, kun asiakkaaseen on oltava yhteydessä kadonneen tavaran vuoksi. Esim. asiakas unohtaa lompakkonsa palvelutiskille. Jos kyseessä on lapsen lompakko, voit tarvittaessa tarkistaa huoltajan tiedot ja olla tähän yhteydessä. Yhteydenotto voi tapahtua soittamalla tai tekstiviestillä. UEF // University of Eastern Finland 6.6.2018 46

Miten palvelet käytännön tilanteissa? Jos koet asiakaspalvelutilanteen uhkaavaksi, sinun ei tarvitse kertoa asiakkaalle koko nimeäsi. Esim. etunimi riittää hyvin. Asiakasta ei saa kuvata ilman hänen suostumustaan. Huomioi, että kuva on arkaluonteinen henkilötieto, jos kuvan perusteella henkilön terveydentilasta voi tehdä päätelmiä. Asiakkaan puhelun nauhoittaminen on sallittua asiakassuhteen hoitamiseksi. Nauhoittamisesta pitää kuitenkin kertoa asiakkaalle esim. puhelun alussa. Tallenteet muodostavat osan asiakasrekisteristä ja niistä on mainittava palvelun tietosuojaselosteessa. Ne kuuluvat myös asiakkaan tiedonsaantioikeuden piiriin. Mikäli havaitset tietosuojaan tai tietoturvaan liittyvän poikkeaman, esim. asiakkaan terveystietoja on luovutettu vahingossa toiselle asiakkaalle tai sensitiivisiä asiakastietoja on lojunut julkisessa tilassa kaikkien nähtävillä, ole välittömästi yhteydessä esimieheesi, tietosuojavastaavaan tai tietoturvapäällikköön. Ilmoittamiskäytännöt voivat vaihdella eri organisaatioissa, toimi oman työpaikkasi ohjeen mukaan. UEF // University of Eastern Finland 6.6.2018 47

Kysy, jollet tiedä Hyödynnä tarpeen vaatiessa työpaikkasi tietosuojavastaavan, toimialoilla olevien tietosuojaasiantuntijoiden, lakimiesten ja tietoturvapäällikön osaamista. Kysy, jollet tiedä. UEF // University of Eastern Finland 6.6.2018 48

Kiitos! uef.fi

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute