Tietosuojakysely 2019 Kanta-palvelut tietosuojavaltuutetun toimisto Terveyden ja hyvinvoinnin laitos Kela FPA Kanta-palvelut Kanta tjänsterna www.kanta.fi PL 450, 00056 Kela PB 450, 00056 FPA kanta@kanta.fi
Yhteenveto 2 Sisällysluettelo 1 Tietosuojakyselyn tulokset... 3 1.1 Yleistä... 3 1.2 Tietosuojavastaavat... 5 1.3 Apteekkarin tai organisaation vastaavan johtajan antamat kirjalliset ohjeet henkilökunnalle, ohjeiden jalkauttaminen ja henkilökunnan koulutus tietosuoja-asioissa... 16 1.4 Reseptikeskuksen tietojen käsittelyn seuranta ja valvonta... 28 1.5 Omavalvontasuunnitelma... 44 1.6 Miten suhtaudutte tietosuojaan organisaatiossanne?... 49
Yhteenveto 3 1 Tietosuojakyselyn tulokset Lähetetyt 2021 Vastanneet 1288 Vastausprosentti 63,7 % 1.1 Yleistä 1. Organisaationne on 2019 Apteekki 490 Julkinen 127 Yksityinen 434 Itsenäinen 237 Yhteensä 1288
2. Organisaationne koko henkilökunnan määrän mukaan Yhteenveto 4
Yhteenveto 5 1.2 Tietosuojavastaavat 3. Mihin henkilöstöryhmään tietosuojavastaavanne kuuluu? Valitse tietosuojavastaavan asemaa organisaatiossanne parhaiten kuvaava vaihtoehto.
4. Mihin seuraavista asioista tietosuojavastaavanne on perehtynyt? Yhteenveto 6
Yhteenveto 7 5. Käsitelläänkö tietosuoja- ja tietoturva-asioita organisaatiossanne tietosuoja- tai muussa vastaavassa ryhmässä?
Yhteenveto 8 6. Jos tietosuoja- ja tietoturva-asioita käsitellään tietosuoja- tai muussa vastaavassa ryhmässä organisaatiossanne, onko potilasasiamies tai sosiaaliasiamies ryhmän jäsen? (Kysymys on osoitettu sosiaali- ja terveydenhuollon edustajille. Apteekkien edustajat voivat siirtyä suoraan seuraavaan kysymykseen.)
7. Onko tietosuojavastaavan tehtävät määritelty selkeästi organisaatiossanne? Yhteenveto 9
Yhteenveto 10 8. Onko apteekkari tai organisaation johto antanut tietosuojavastaavan tehtävistä kirjallisen tehtävien kuvauksen?
Yhteenveto 11 9. Onko edellä mainittu tietosuojavastaavan kirjallinen tehtävien kuvaus annettu henkilökunnalle tiedoksi tai hänen tehtävistään muutoin tiedotettu?
10. Mitä tietosuojavastaavan tehtäviin kuuluu organisaatiossanne? Yhteenveto 12
11. Hoitaako tietosuojavastaavanne tehtäväänsä päätoimisesti? Yhteenveto 13
Yhteenveto 14 12. Kuinka paljon työajasta tietosuojavastaava voi käyttää tietosuojavastaavan tehtävän hoitamiseen? 13. Onko tietosuojavastaavalla riittävästi aikaa hoitaa tietosuojavastaavan tehtävää?
Yhteenveto 15 14. Onko tietosuojavastaavalle määrätty varahenkilö? 15. Minkälaista ohjausta toivoisitte tietosuojavastaavan tehtävien ja toimenkuvan selkeyttämiseksi ja miten niitä voitaisiin kehittää? (avoin vastaus)
Yhteenveto 16 1.3 Apteekkarin tai organisaation vastaavan johtajan antamat kirjalliset ohjeet henkilökunnalle, ohjeiden jalkauttaminen ja henkilökunnan koulutus tietosuoja-asioissa 16. Onko apteekkari tai organisaation vastaava johtaja tai heidän nimeämänsä taho laatinut henkilökunnalle kattavat kirjalliset ohjeet asiakas- ja potilastietojen käsittelystä eri toimintaprosesseissa?
Yhteenveto 17 17. Onko apteekkari tai organisaation vastaava johtaja tai heidän nimeämänsä taho järjestänyt henkilökunnalle koulutuksen, jolla varmistetaan henkilökunnan toiminta edellä mainittujen kattavien kirjallisten ohjeiden mukaisesti? 18. Mitä aihepiirejä apteekkarin tai organisaation vastaavan johtajan tai heidän nimeämänsä tahon laatimat kirjalliset ohjeet koskevat?
2019 Apteekit Julkinen Yksityinen EU:n yleinen tietosuoja-asetus 80,2 % 74,0 % 63,4 % laki potilaan asemasta ja oikeuksista 68,0 % 89,8 % 68,0 % laki sähköisestä lääkemääräyksestä 88,8 % 76,4 % 56,5 % laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 72,0 % 81,9 % 59,9 % henkilötietojen säilytysajat 89,4 % 69,3 % 61,5 % teknologia ja tietotekniset menettelyt 63,9 % 46,5 % 39,9 % varmennekorttien ja salasanojen huolellinen käsittely 89,8 % 84,3 % 65,0 % resepti- tai potilastietojen käytön seurannan ja valvonnan toteuttaminen 88,6 % 78,0 % 53,7 % lokitietojen käsittely 83,7 % 85,0 % 44,2 % asiakkaan tai potilaan oikeudet lokitietoihin 88,2 % 90,6 % 57,8 % asiakkaan tai potilaan oikeus saada rekisterinpitäjältä selvitys epäilemästään tietojensa väärinkäytöstä 88,6 % 87,4 % 60,8 % tietojen muu suojaaminen 64,9 % 59,1 % 50,2 % vaitiolovelvollisuus 94,9 % 93,7 % 73,3 % asiakirjasalaisuus 73,9 % 76,4 % 62,9 % henkilö-, asiakas- tai potilastietojen tarpeellisuusvaatimus 59,2 % 71,7 % 48,8 % henkilö-, asiakas- tai potilastietojen virheettömyysvaatimus 57,6 % 77,2 % 50,2 % tarpeettomien tietojen hävittäminen 85,5 % 74,8 % 57,4 % huolellisuusvelvoite 72,2 % 75,6 % 60,6 % rekisteröidyn tai asiakkaan informointi henkilötietojen käsittelystä 79,2 % 88,2 % 59,4 % rekisteröidyn tarkastusoikeus 86,3 % 86,6 % 57,1 % tiedon korjaaminen 77,8 % 85,0 % 60,1 % rekisteri- ja tietosuojaseloste 91,2 % 89,0 % 62,7 % asiakkaan tai potilaan suostumus häntä koskevien lääkitys- ja/tai potilastietojen luovuttamiseen 83,5 % 85,0 % 63,1 % salassapito- ja käyttäjäsitoumusten edellyttäminen työntekijöiltä 93,5 % 90,6 % 61,1 % rekisterinpitäjälle laadittava ilmoitus henkilötietojen tietoturvaloukkauksesta tai sen epäilystä 76,3 % 70,9 % 41,9 % työoikeudelliset toimenpiteet lainvastaisesta henkilötietojen käsittelystä 69,2 % 77,2 % 39,9 % rikosoikeudelliset seuraamukset lainvastaisesta henkilötietojen käsittelystä 69,6 % 68,5 % 37,6 % vahingonkorvausvastuu lainvastaisesta henkilötietojen käsittelystä 57,8 % 52,0 % 32,9 % henkilökunnan oikeusturva 47,8 % 53,5 % 37,6 % tietosuojavastaavan toimenkuva, tehtävät ja asema organisaatiossanne 85,9 % 63,8 % 53,5 % apteekkarin tai organisaation vastaavan johtajan velvoitteet ja vastuu tietosuojan toteutumisessa organisaatiossanne 73,7 % 53,5 % 38,9 % ohjeena on työntekijöiltä otettava salassapito- ja käyttäjäsitoumus 71,4 % 69,3 % 44,2 % apteekkarin tai organisaation vastaavan johtajan kirjallisia ohjeita ei ole annettu 3,7 % 3,1 % 7,4 % n 490 127 434 Yhteenveto 18
Yhteenveto 19 19. Onko henkilökuntaa ohjeistettu kattavasti ja kirjallisesti siitä, kenellä on oikeus käsitellä ja katsoa sähköisiä reseptitietoja ja milloin katselu on laitonta?
Yhteenveto 20 20. Oletteko vaatineet työntekijöiltänne kirjallisen salassapito- ja käyttäjäsitoumuksen?
Yhteenveto 21 21. Onko organisaatiossanne huolehdittu henkilökunnan riittävän laajasta tietosuoja- ja tietoturva-asioiden osaamisesta?
Yhteenveto 22 22. Kuinka suuri osa henkilökunnastanne on saanut koulutusta apteekkarin tai organisaation vastaavan johtajan laatimista kirjallisista tietosuoja- ja tietoturvaohjeista vuonna 2018? 23. Mitä aihepiirejä henkilökunnan koulutuksissa on käsitelty vuonna 2018?
Yhteenveto 23 2019 Apteekit Julkinen Yksityinen EU:n yleinen tietosuoja-asetus 87,6 % 84,3 % 65,0 % laki potilaan asemasta ja oikeuksista 45,7 % 59,1 % 49,5 % laki sähköisestä lääkemääräyksestä 44,9 % 45,7 % 36,9 % henkilötietojen säilytysajat 58,8 % 40,9 % 40,6 % varmennekorttien ja salasanojen huolellinen käsittely 48,8 % 63,8 % 53,9 % resepti- ja/tai potilastietojen käytön seurannan ja valvonnan toteuttaminen 56,5 % 52,0 % 34,8 % lokitietojen käsittely 55,9 % 55,1 % 32,3 % asiakkaan tai potilaan oikeudet lokitietoihin 68,8 % 61,4 % 43,3 % asiakkaan tai potilaan oikeus saada rekisterinpitäjältä selvitys epäilemästään tietojensa väärinkäytöstä 71,4 % 57,5 % 39,9 % tietojen muu suojaaminen 38,2 % 48,8 % 41,2 % vaitiolovelvollisuus 52,9 % 73,2 % 56,7 % asiakirjasalaisuus 39,0 % 63,0 % 46,8 % henkilö-, asiakas- tai potilastietojen tarpeellisuusvaatimus 41,2 % 58,3 % 34,8 % henkilö-, asiakas- tai potilastietojen virheettömyysvaatimus 41,0 % 59,1 % 35,0 % tarpeettomien tietojen hävittäminen 65,9 % 58,3 % 44,0 % huolellisuusvelvoite 44,5 % 59,1 % 45,6 % rekisteröidyn tai asiakkaan informointi henkilötietojen käsittelystä 61,6 % 58,3 % 46,3 % rekisteröidyn tarkastusoikeus 66,5 % 59,8 % 43,8 % tiedon korjaaminen 52,7 % 55,9 % 40,1 % rekisteri- ja tietosuojaseloste 69,8 % 59,1 % 47,0 % asiakkaan tai potilaan suostumus häntä koskevien lääkitys- ja/tai potilastietojen luovuttamiseen 54,3 % 54,3 % 47,0 % salassapito- ja käyttäjäsitoumusten edellyttäminen työntekijöiltä 50,2 % 64,6 % 39,6 % rekisterinpitäjälle laadittava ilmoitus henkilötietojen tietoturvaloukkauksesta tai sen epäilystä 51,8 % 50,4 % 28,3 % työoikeudelliset toimenpiteet lainvastaisesta henkilötietojen käsittelystä 38,4 % 41,7 % 23,3 % rikosoikeudelliset seuraamukset lainvastaisesta henkilötietojen käsittelystä 37,6 % 37,8 % 24,2 % vahingonkorvausvastuu lainvastaisesta henkilötietojen käsittelystä 31,8 % 32,3 % 21,0 % henkilökunnan oikeusturva 30,8 % 43,3 % 26,3 % tietosuojavastaavan toimenkuva, tehtävät ja asema organisaatiossanne 51,6 % 48,0 % 32,3 % apteekkarin tai organisaation vastaavan johtajan velvoitteet ja vastuu tietosuojan toteutumisessa organisaatiossanne 43,7 % 33,9 % 19,6 % koulutusta ei ole järjestetty 4,3 % 8,7 % 9,4 % n 490 127 434
Yhteenveto 24 24. Onko apteekkari tai organisaation vastaava johtaja varmistunut henkilökunnan tietosuojaosaamisesta?
Yhteenveto 25 25. Miten apteekkari tai organisaation vastaava johtaja on varmistunut henkilökunnan tietosuojaosaamisesta?
26. Mitataanko henkilökunnan osaamista tietosuoja-asioissa? Yhteenveto 26
Yhteenveto 27 27. Miten edellä tarkoitettua mittaamista on suoritettu? 28. Miten tietosuoja-asioiden ohjeistusta ja koulutusta voitaisiin kehittää? (avoin vastaus)
Yhteenveto 28 1.4 Reseptikeskuksen tietojen käsittelyn seuranta ja valvonta 29. Onko käyttövaltuuksien hallinnointiin liittyvät ohjeistukset, prosessit ja vastuut organisaatiossanne kattavasti dokumentoitu?
Yhteenveto 29 30. Kuka hyväksyy organisaatiossanne käyttöoikeudet apteekki- tai potilastietojärjestelmään? Valitse vastausvaihtoehdoista parhaiten kuvaava vaihtoehto.
Yhteenveto 30 31. Kuka organisaatiossanne käytännössä luo apteekki- tai potilastietojärjestelmien käyttäjätiedot ja käyttöoikeudet sekä ylläpitää ja poistaa ne? Valitse vastausvaihtoehdoista parhaiten kuvaava vaihtoehto.
Yhteenveto 31 32. Onko organisaatiossanne laadittu lokipolitiikka, joka kattaa sähköisen reseptin tietojen käsittelyyn liittyvät lokitiedot?
Yhteenveto 32 33. Laadittiinko organisaatiossanne vuodelle 2018 johdon hyväksymä tietojen käsittelyn seurannan ja valvonnan vuosisuunnitelma, joka kattaa myös Reseptikeskuksen tietojen käsittelyn seurannan ja valvonnan?
Yhteenveto 33 34. Jos seurannan ja valvonnan vuosisuunnitelma laadittiin, toteutettiinko seuranta ja valvonta suunnitelman mukaisesti?
Yhteenveto 34 35. Valvotaanko organisaatiossanne Reseptikeskuksen tietojen käsittelyä lokitietojen avulla?
Yhteenveto 35 36. Jos asiakas epäilee tietojensa väärinkäyttöä ja pyytää selvitystä tietojensa käsittelyn perusteista, selvittääkö organisaationne asian?
Yhteenveto 36 37. Jos asiakas epäilee tietojensa väärinkäyttöä ja pyytää lokitietoja, annetaan hänelle
38. Tehdäänkö oma-aloitteista valvontaa säännöllisesti (esim. pistokokein)? Yhteenveto 37
Yhteenveto 38 39. Suoritetaanko tietojen käsittelyn seurantaa ja valvontaa automaattisesti toimivan järjestelmän avulla?
Yhteenveto 39 40. Kuinka paljon vuoden aikana tehdyn oma-aloitteisen tietojen käsittelyn valvonnan osuus on vuotuisesta käyttö- ja luovutuslokimassasta, arviosi? 41. Miten muutoin valvotte reseptitietojen käsittelyä kuin lokitietojen avulla? (avoin vastaus)
Yhteenveto 40 42. Minkä henkilöstöryhmän edustaja tekee käytännössä asiakas- ja/tai potilastietojen käsittelyn valvontaa organisaatiossanne? Valitse vastausvaihtoehdoista parhaiten kuvaava vaihtoehto.
Yhteenveto 41 43. Onko organisaatiollanne toimintaohje asiakas- ja/tai potilastietojen käsittelyyn liittyvien väärinkäytösten varalle?
Yhteenveto 42 44. Mitä toimenpidevaihtoehtoja toimintaohje sisältää asiakas- ja/tai potilastietojen väärinkäytöstapausten osalta?
Yhteenveto 43 45. Onko organisaatiossanne laadittu henkilökunnan tiedossa oleva suuntaa antava seuraamustaulukko asiakas- ja/tai potilastietojen väärinkäytösten vakavuuden arviointia varten? 46. Miten asiakas- ja/tai potilastietojen käsittelyn seurantaa ja valvontaa voitaisiin kehittää? (avoin vastaus)
Yhteenveto 44 1.5 Omavalvontasuunnitelma 47. Onko organisaatiossanne laadittu asiakastietolain 19 h :n mukainen (ks. lääkemääräyslaki 22 b ) tietoturvaan ja tietosuojaan sekä tietojärjestelmien käyttöön liittyvä omavalvontasuunnitelma?
48. Onko laaditun omavalvontasuunnitelman toteutumista seurattu? Yhteenveto 45
49. Onko laaditun omavalvontasuunnitelman sisältöä päivitetty? Yhteenveto 46
Yhteenveto 47 50. Onko organisaatiossanne laadittu ja hyväksytty tietosuoja- ja tietoturvapolitiikka?
Yhteenveto 48 51. Onko henkilökunnalle ohjeistettu ja koulutettu toimintatavat järjestelmän häiriötilanteessa? 52. Miten omavalvontasuunnitelman laatimista, toteutumista ja sen ajan tasalla pitämistä voitaisiin kehittää? (avoin vastaus)
Yhteenveto 49 1.6 Miten suhtaudutte tietosuojaan organisaatiossanne? 53. Miten tärkeänä koette tietosuojan organisaatiossanne?
54. Jos organisaatiolla on tietosuojaongelmia, ne aiheuttavat mielestänne Yhteenveto 50
Yhteenveto 51 55. EU:n yleistä tietosuoja-asetusta alettiin soveltaa toukokuussa 2018 ja kansallinen tietosuojalaki on tullut voimaan 1.1.2019. Onko organisaatiossanne ryhdytty uudistuneen tietosuojasääntelyn edellyttämiin toimenpiteisiin?
Yhteenveto 52 56. Mitkä viranomaiset valvovat terveys- ja sosiaalialan henkilötietojen käsittelyä? 57. Miten tietosuojaa organisaatiossanne voitaisiin mielestäsi kehittää paremmaksi? (avoin vastaus) 58. Lisätietoja, kommentteja? (avoin vastaus)