SOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTELMÄSTÄ



Samankaltaiset tiedostot
Suostumuskäytännöt Suomen perustuslaki

ACUTE OHJE Informointi, kielto ja suostumus

Informointeja, kieltoja ja suostumuksia Onko käyttö ja luovutus hallinnassa?

Suostumusten hallinta kansallisessa tietojärjestelmäarkkitehtuurissa

Suostumuksen hallinnan ja tietojen luovutuksen periaatteet

Suostumuksen hallinnan uudet käytännöt

Hoitotietojen käytön lokivalvonnan vaatimuksia

Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä

Sote-rajapinnan tiedonkäsittely tulevaisuudessa

Postinumero Kela. Käyntiosoite Nordenskiöldinkatu 12, Helsinki. Nimi Kanta-palvelujen tietosuojavastaava

Työterveyshuollon potilasrekisteri

Uudistettu asiakastietolaki edistämään tiedonvaihtoa sosiaalija terveydenhuollossa

Muutokset lakiin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007)

Laitoshuollon rekisteri

Lokipolitiikka (v 1.0/2015)

Tietosuoja ja tietoturva

Kysymyksiä jä västäuksiä yksityisen terveydenhuollon liittymisestä potilästiedon ärkistoon

Hämeenkyrön terveyskeskus. Yhteystiedot: Hämeenkyrön terveyskeskus Härkikuja Hämeenkyrö

TOIMITUSSOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTELMÄSTÄ

Potilas aktiivisena toimijana omassa hoidossaan

MÄNTSÄLÄN KUNTA Mustijoen perusturva Laadittu sosiaalipalvelupäällikkö Arja Tolttila Heikinkuja MÄNTSÄLÄ

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

SOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTEL- MÄSTÄ

Naantalin kaupunki Rekisteriseloste

sosiaalipalvelupäällikkö Arja Tolttila Heikinkuja MÄNTSÄLÄ puhelin (vaihde)

Suomeksi Potilastiedot valtakunnalliseen arkistoon

Naantalin kaupunki Rekisteriseloste

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

2. REKISTERINPITÄJÄ Nimi Pohjois-Pohjanmaan sairaanhoitopiiri

TIETOSUOJASELOSTE Henkilötietolaki (523/99) 10 JA Rekisterin nimi Kokkolan perheneuvolan asiakas- ja potilasrekisteri

ALAIKÄISEN TIETOJEN NÄYTTÄMINEN JA PUOLESTA-ASIOINTI OMAKANNASSA: OHJE TERVEYDENHUOLLON AMMATTILAISILLE

Terveystarkastus rekisteriseloste

REKISTERINPITÄJÄN INFORMAATIO KUNTOUTUJILLE TOIMINTATERAPIA A KAARRETKOSKI OY

Valmistautuminen potilastiedon arkiston käyttöönottoon. Käyttöönoton käsikirja ja toiminnallisen muutoksen tukeminen Anna Kärkkäinen

Julkaistu Helsingissä 13 päivänä huhtikuuta /2012 Sosiaali- ja terveysministeriön asetus

Pro Consona vammaispalveluiden asiakasrekisterin rekisteriseloste

Sähköisen suostumuksen kansalliset suositukset

TIETOSUOJASELOSTE rekisteriseloste ja asiakkaan informointi henkilötietolaki (523/99) 10 ja 24

Kansalaisen mahdollisuudet hallinnoida omien tietojensa käyttöä

1. Terveydenhuollon toimintayksikkö. HammasOskari Oy, Liesikuja 4A, Rekisteriasioista vastaava yhteyshenkilö

tai puhelimitse: Pekka Järvinen (09)

Alaikäisen puolestaasiointi

TIETOSUOJASELOSTE. yhdistetty rekisteriseloste ja informointiasiakirja. Henkilötietolaki (523/99) 10 ja 24. Pvm: päivitetty

Valtuutussäännökset. Voimassaoloaika. Määräys tulee voimaan pp. päivänä [x]kuuta 2015 ja se on voimassa toistaiseksi.

Sosiaali- ja terveysministeriö Kirjaamo PL VALTIONEUVOSTO. Sosiaali- ja terveysministeriön lausuntopyyntö STM015:00/2015

KanTa Asiakastietojen käsittely ja menettelytavat eresepti-palvelua käytettäessä

Yhdistetty henkilötietolain 10 :n mukainen rekisteriseloste ja 24:n mukainen informointilomake

TIETOSUOJASELOSTE Rekisterinpitäjän informointi rekisteröidylle EU:n yleinen tietosuoja-asetus (2016/679), artiklat 13 ja 14

Järvenpään kaupunki/ lasten ja nuorten palvelualue. Hallintokatu 2, PL 41, Järvenpää p. keskus

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

Suostumusten hallinta sekä tietojen luovutus ja käyttö

Kansalaisten tiedonhallintapalvelut

Rekisteriseloste. Potilasrekisterin rekisteriseloste

sosiaalipalvelupäällikkö Arja Tolttila Heikinkuja MÄNTSÄLÄ puhelin (vaihde)

Laatimispäivä: 1/2015 Tämä on tietosuojaseloste, joka sisältää rekisteriselosteen ja asiakkaiden henkilötietojen käsittelyä koskevan informoinnin.

TIETOSUOJA JA TIETEELLINEN TUTKIMUS

REKISTERISELOSTE. Tervon kunta Tarkoitettu asiakkaille. Henkilötietolaki (523/99) 10, 24. Oppilas- ja opiskelijahuoltolaki (1287/2013)

MALLI HENKILÖTIETOJEN KÄSITTELYN/HENKILÖREKISTERIN REKISTERITOIMINTOJEN ANALYSOIMISEKSI

Peltolantie 2 D, Vantaa puh.(09) vastuuhenkilö (palveluntuottaja täyttää) yhteyshenkilö ja yhteystiedot: (palveluntuottaja täyttää)

Osteopaatti Jutta Aalto Anatomia- ja kehotietoisuuskoulutus TIETOSUOJASELOSTE

Poimintoja lainsäädännöstä

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa. KANSANTERVEYSTYÖN REKISTERI / suun terveydenhuolto

Päijät-Hämeen sosiaali- ja terveydenhuollon kuntayhtymä Keskussairaalankatu Lahti puh. (03)

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

Suomeksi Potilastiedot valtakunnalliseen arkistoon

2. Osarekisteriasioista vastaava henkilö ja yhteyshenkilö

Itä-Savon sairaanhoitopiirin kuntayhtymän sosiaalihuollon kasvatus- ja perheneuvolan asiakasrekisteri

Kansallinen Terveysarkisto - KanTa

eresepti- ja KANTA-hankkeissa

Perusturvajohtaja Kirkkojärventie 6 B (PL 202) ESPOON KAUPUNKI. Lastenpsykiatrisen avohoitoyksikön päällikkö

Järvenpään lasten ja nuorten lautakunta. Järvenpään kaupunki Hallintokatu 2, PL Järvenpää p. keskus

tai puhelimitse: Pekka Järvinen (09)

Laatimispvm: Sosiaali- ja terveystoimi PL 43, KOKKOLA (vaihde)

KanTa-palvelut. Web-reseptisovellukset. versio 1.0

Tietorekisteriseloste. Fysioterapeutti Annukka Laukkanen 2019

Tällä lomakkeella ovat sekä rekisteriselosteen tiedot HetiL 10 että rekisteröidyille annettava informaatio henkilötietojen käsittelystä 24.

TIETOSUOJASELOSTE EU:n tietosuoja-asetuksen (679/2016) 13 ja 14 artiklan edellyttämä rekisteröidyn informointi

Kirjaaminen ja sosiaali- ja terveydenhuollon yhteisissä palveluissa ja Henkilörekisterien uudistaminen

Itä-Savon sairaanhoitopiirin kuntayhtymän työterveyshuollon asiakasrekisteri

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

Tietosuojaseloste. Nimi ja vastuualue Vastaanoton sairaanhoitaja Yhteystiedot Anttilantie 2, Vesilahti Puh

Liittyminen Kanta-palveluihin Valmistelukokous. Kela, Kanta-palvelut,

Rekisteri- ja tietosuojaseloste / potilasrekisteri

Asiakassuunnitelman kokonaisuus ja määrittelytilanne

Terveydenhuollon todistusten välitys Kelaan -palvelu

Henkilötietolaki 10 ja 24 Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista 11.3, 12-13, 20.2 ja Ikäihmisten lautakunta

Potilastiedon arkisto 2. vaiheen tietosisällöt ja toiminnallisuus. Projektipäällikkö Anna Kärkkäinen

MALLI JULKISEN TERVEYDENHUOLLON POTILAIDEN INFORMOINNISTA

Lastenvalvojan rekisteriseloste

Kanta-palvelun vaatimukset palveluntuottajalle

. Sosiaalihuoltolain ja sosiaalihuollon asiakasasiakirjalain edellyttämät tehtävät mitä teemme nyt ja seuraavaksi

Yksityisen terveydenhuollon potilasasiakirjat

Yhdistetty rekisteriseloste ja informointiasiakirja

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

SoTe kuntayhtymä/perusturvaliikelaitos Saarikka REKISTERISELOSTE Pegasos-potilastietojärjestelmä -tietokanta Työterveyshuolto 18.3.

TIETOSUOJASELOSTE Henkilötietolaki (523/1999)10 ja 24

Sairaalan talousjohtaja. 3. Rekisterin nimi Niuvanniemen sairaalan potilaslaskutusrekisteri

VANHUSTEN PALVELUJEN YMPÄRIVUOROKAUTISEN HOIVA-ASUMISPALVELUN PALVELUSETELI

Hämeenkyrön terveyskeskus. Yhteystiedot: Hämeenkyrön terveyskeskus Härkikuja Hämeenkyrö

Transkriptio:

Liite B10: Tietosuoja SOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTELMÄSTÄ Liite B10 Tietosuoja 1 (14)

VERSIOHISTORIA Päivä Versio Kuvaus Tekijä 12.3.15 3.0 Tarjouspyynnön liite Hanketoimisto 3.01 Lopullisen tarjouspyynnön liite; tarkennuksia tässä dokumentissa viitattujen muiden liitteiden nimiin (B9 ja B11). Hanketoimisto 2 (14)

Sisällysluettelo 1 Johdanto... 4 1.1 Dokumentin tarkoitus... 4 2 Rekisterihallinto... 5 3 Asiakas- ja potilastietoihin liittyvä tietosuoja... 6 3.1 Sosiaalihuollon erityispiirteet tietosuojaan liittyen... 8 3.2 Järjestelmän käyttö ostopalveluissa... 9 3.3 Tietojenkäsittelyn asiallisen yhteyden tai hoitosuhteen todentaminen... 9 4 Tietojen luovutukset ja suostumukset... 11 4.1 Terveydenhuoltolain vaatimukset... 11 4.2 Sähköinen allekirjoitus... 11 4.3 Suostumusten hallinta... 11 4.4 Suostumus sähköiseen asiointiin... 12 4.5 Sähköinen tietojen luovutus... 12 4.6 Luovutusloki... 12 4.6.1 Luovutusloki... 12 4.6.2 Käytön valvonta lokitietojen avulla... 13 5 Viitteet... 14 3 (14)

1 Johdanto 1.1 Dokumentin tarkoitus Tietosuojaliite kuvaa tietosuojaan liittyvät säännökset, asetukset ja periaatteet. Dokumentti on asiakas- ja potilastietojärjestelmään (Järjestelmä) liittyvien tietosuojaa käsittelevien vaatimusten kooste, joka antaa pohjatiedon järjestelmää koskevista tietosuojamäärityksistä. Tietosuojadokumentti pitää sisällään tietosuojavaatimuksia rekisterihallintoon, asiakas- ja potilastietojen tietosuojaan sekä tietojen luovutuksiin ja suostumuksiin liittyen. Tietosuojaliite tarkentaa Toimitus- ja Palvelusopimuksissa tietoturvallisuutta ja tietosuojaa sekä henkilötietojen käsittelyä koskevia periaatteita ja velvoitteita. Tietosuojadokumentin tarkoitus on täydentää liitteitä B9 Tietoturvallisuus sekä B11 Arkkitehtuurivaatimukset. Niissä esitetyt tarkennukset ja lisäykset liittyen tietosuojaan ovat määräävämpiä ja velvoittavampia kuin tässä dokumentissa esitetyt. 4 (14)

2 Rekisterihallinto Tilaajat ja niiden osana toimivat terveydenhuollon toimintayksiköt ja sosiaalihuollon palvelujen järjestäjät ovat pääsääntöisesti henkilötietolaissa tarkoitettuja rekisterinpitäjiä riippumatta siitä, toteuttavatko ne järjestämisvastuunsa tuottamalla palvelun itse, antamalla asiakkaalle tai potilaalle palvelusetelin tai hankkimalla palvelun ostopalveluna palvelutoimittajalta. Ostopalvelun toimittaja ei ole lain tarkoittama rekisterinpitäjä. Järjestelmän tulee mahdollistaa asiakas- ja potilasrekisterien ylläpito organisaatio- ja rekisterikohtaisesti tai alueellisesti, sekä mahdollistaa tarvittaessa rekisterien yhdistäminen tai eriyttäminen. HUS-alueen (Helsingin ja Uudenmaan sairaanhoitopiiri) kunnallisen perusterveydenhuollon ja erikoissairaanhoidon potilasasiakirjat muodostavat terveydenhuollon yhteisen potilastietorekisterin. Yhteisen potilastietorekisterin rekisterinpitäjänä ovat kaikki rekisterissä olevat terveydenhuollon toimintayksiköt niiden omien potilasasiakirjojen osalta. Kukin terveydenhuollon toimintayksikkö vastaa omassa toiminnassaan syntyneiden potilasasiakirjojen rekisterinpidosta henkilötietolain mukaisesti [1]. Kunkin yhteisrekisterin rekisterinpitäjän potilastiedot muodostavat loogisen potilasrekisterin järjestelmässä. Sosiaalihuollossa henkilörekistereitä ovat sosiaalihuollon ilmoitusrekisteri ja sosiaalihuollon asiakasrekisteri. Rekisterien yhdistämisellä tarkoitetaan kahden eri henkilörekisterin (eri käyttötarkoitusta palvelevat rekisterit) tietojen järjestämistä yhdeksi rekisteriksi tai niissä olevien tietojen vertailua ja siihen perustuvaa käyttöä. Järjestelmässä tulee olla mahdollisuus yhdistää eri henkilörekistereiden tietoja suostumusperusteisesti sekä lainsäädäntöperusteisesti. 5 (14)

3 Asiakas- ja potilastietoihin liittyvä tietosuoja Lainsäädännön perusteella asiakas- ja potilastiedot ovat salassa pidettäviä. Tässä kappaleessa on kuvattu merkittävimmät tietosuojaan liittyvät lainsäädännöstä johdetut vaatimukset. Erityissuojattavat tiedot Psykiatrian ja perinnöllisyyslääketieteen päivittäis- ja yhteenvetomerkinnät tulee suojata erillisellä vahvistuspyynnöllä muiden kuin näiden erikoisalojen palvelutapahtumissa tai palvelukokonaisuuksissa (potilasasiakirja-asetus [1], 4 ). Suojausvaatimus ei koske kuitenkaan näihin tietoihin sisältyviä lääkitystietoja ja kriittisiä riskitietoja. Toimintayksiköllä pitää olla halutessaan mahdollisuus erityissuojata myös muita tietoja, kuten esimerkiksi sukupuolitaudit ja seksuaaliterapeutin käynnit. Merkintöjen hyväksyminen Järjestelmän on tuettava prosessia, jolla opiskelijoiden merkinnät hyväksytään sekä puretut sanelut hyväksytään (potilasasiakirja-asetus 6 ). Merkinnät on nähtävä jo luonnostilassa, mutta merkinnästä on erotuttava selkeästi, että kyseessä on hyväksymätön merkintä. Erillinen asiakirja muun henkilön tietojen kirjaamiseen Muun henkilön kuin potilaan omasta elämästään kertovia yksityiskohtaisia arkaluonteisia tietoja on voitava kirjata erilliseen asiakirjaan, joka kuuluu potilaan palvelutapahtuman asiakirjoihin (potilasasiakirja-asetus 7 ). Potilasasiakirjojen sähköinen allekirjoitus Järjestelmän on mahdollistettava potilasasiakirjojen sähköinen allekirjoitus (potilasasiakirja-asetus 7 ). Potilasasiakirjamerkinnän tekninen kirjaaja Jos potilasasiakirjamerkinnän tekninen kirjaaja on eri henkilö, kuin merkinnän sisällöstä vastaava merkinnän tekijä, on järjestelmään voitava kirjata molempien tiedot (potilasasiakirja-asetus 10 ). Hoitotahto Potilasasiakirjoihin on voitava tehdä potilaan itsensä varmentama hoitotahtoa ilmaiseva merkintä tai liittää niihin erillinen potilaan tahtoa ilmaiseva asiakirja (potilasasiakirja-asetus 18 ). Alaikäinen ja täysi-ikäinen, jolla laillinen edustaja 6 (14)

Potilasasiakirjoihin on voitava tehdä merkintä, salliiko tai kieltääkö alaikäinen potilas tietojensa antamisen huoltajalleen tai muulle lailliselle edustajalleen (potilasasiakirjaasetus 18 ). Merkintä on voitava tehdä myös silloin, kun täysi-ikäistä hoidetaan yhteisymmärryksessä hänen laillisen edustajansa kanssa. Sähköinen asiointi Järjestelmän on mahdollistettava asiakkaan tai potilaan tietoturvallinen sähköinen asiointi, esimerkiksi ajanvaraus, KanTa-palvelua (Kansallinen potilastiedon arkisto) laajempi omien tietojen katselu sekä viestinvaihto asiakkaan tai potilaan ja työntekijän välillä. Tietojen säilytysajat ja hävittäminen Asiakas- ja potilasasiakirjoilla on eripituisia säilytysaikoja. Potilasasiakirjojen säilytysajat on säädetty STM:n potilasasiakirja-asetuksella [1]. Pääsääntöisesti potilasasiakirjoja koskevat tiedot arkistoidaan KanTa-palveluun. Lyhyen säilytysajan omaavia tietoja potilaskertomustietoja voidaan säilyttää myös vain hankittavassa tietojärjestelmäratkaisussa. Sosiaalihuollon asiakirjat säilytetään pääsääntöisesti hankittavassa tietojärjestelmäratkaisussa, jonka tulee sisältää seuraavat asiakirjallisen tiedon hallintaa koskevat ominaisuudet: mahdollisuus määrittää asiakirjojen ja asiakirjallisten tietojen säilytysaika rekisterinpitäjän toimesta mahdollisuus määrittää asiakirjojen säilytysajat hyödyntäen kansallisen koodistopalvelun määrityksiä siten, että koodistopalvelussa oleva säilytysaikoja koskeva tietosisältö luetaan järjestelmään sisään mahdollisuus tuottaa hävitysehdotus tiedoista, joiden säilytysaika on kulunut umpeen mahdollisuus hävittää tietoja tai asiakirjoja hävitysehdotuksen perusteella hyväksymällä järjestelmäratkaisun tuottama hävitysehdotus järjestelmän tulee tuottaa hävitysluettelo hävitetyistä asiakirjoista ratkaisussa on oltava mahdollisuus jatkaa asiakirjojen säilytysaikoja asiakas- tai potilaskohtaisesti esim. vireillä olevan kantelun vuoksi, jolloin asiakirjoilla, joiden säilytysaika on kulunut umpeen, voi olla merkitystä asiakkaan tai potilaan vireille tuoman asian ratkaisun kannalta Asiakasorganisaation on voitava määrittää henkilö tai henkilöt, joilla on oikeus a) tuottaa hävitysehdotus ja b) toimeenpanna asiakirjojen hävittäminen. Sosiaalihuollon asiakirjojen osalta on oltava mahdollisuus siirtää asiakirjat ulkoiseen arkistopalveluun. Anonyymi tietojen luovuttaminen 7 (14)

Tilasto- ja tutkimuskäyttöön, konsultointiin ja muihin tarkoituksiin tarvitaan anonyymiä tietoa. Tiedot on saatava järjestelmästä automaattisesti. Tekninen käyttöyhteys Lainsäädännön perusteella saadaan tietoja teknisen käyttöyhteyden avulla eri henkilörekistereistä, esimerkiksi Väestörekisteri ja Kela. Järjestelmän tulee kyetä toteuttamaan tietojen haku teknisen käyttöyhteyden avulla sellaisista henkilöistä, jotka ovat antaneet siihen suostumuksen. Tekninen käyttöyhteys tulee voida rajata vain välttämättömiin tietoihin. Laskutukseen luovutettavat tiedot Järjestelmästä tulee voida rajata laskutuksen kannalta välttämättömät tiedot. 3.1 Sosiaalihuollon erityispiirteet tietosuojaan liittyen Sosiaalihuollon ja terveydenhuollon tietosuojaan liittyvät määräykset ja ohjeet ovat pääsääntöisesti samoja. Sosiaalihuollon erityispiirteenä on se, että se tuottaa useita erilaisia ja eri lakeihin perustuvia palveluja, joista jokainen muodostaa oman rekisterinsä. Esimerkkejä palveluista ovat toimeentulotuki, lastensuojelu, päihdehuolto, vanhustenhuolto, vammaispalvelut, kehitysvammahuolto ja perheneuvonta. Sosiaalihuollossa muodostuu myös potilasasiakirjoja. Sosiaalihuollon toimintayksiköissä tutkimusta ja hoitoa antavien terveydenhuollon ammattihenkilöiden tekemät merkinnät ovat potilastietoja. Potilasasiakirjat tulee säilyttää erillään muista asiakkaan tiedoista, koska niihin sovelletaan potilaslain säännöksiä. Potilastiedot muodostavat sosiaalihuollon henkilörekisterin osarekisterin. Suurissa kunnissa sosiaalityö on eriytynyttä siten, että yksittäinen työntekijä tekee mahdollisesti vain yhden palvelusektorin tehtäviä. Tällöin hänet nähdään sivullisena muiden rekisterien tietojen suhteen, eikä hänellä ole oikeutta niitä nähdä. Pienemmissä kunnissa samalla työntekijällä on vastuullaan useita eri palveluja, jolloin hänellä tulee olla pääsy eri rekisterien tietoihin. Edellä mainittu asettaa vaatimuksia järjestelmän käyttöoikeuksien muodostamiselle. Käytännössä on kyettävä luomaan käyttöoikeusryhmiä palveluittain (=rekistereittäin), ja työntekijän käyttäjätunnus liitetään niihin palveluiden mukaisiin käyttöoikeusryhmiin, joita hänen työtehtävänsä edellyttävät. Tämän lisäksi rekisterien sisällä työntekijöillä on erilaisia työrooleja ja sitä kautta erilaisia oikeuksia suhteessa järjestelmän tapahtumiin (tapahtuma-käsitteestä käytetään erilaisia nimityksiä; esimerkiksi toiminto, tietokokonaisuus tai näyttö). 8 (14)

Tehtävästä riippuen käyttäjällä on tietynlainen rooli suhteessa tapahtumaan (esimerkiksi katselija, kirjaaja, valmistelija, päättäjä, maksaja). Käytännössä tämä tarkoittaa sitä, että järjestelmässä on kyettävä antamaan tapahtumakohtaisia oikeuksia. Tapahtumakohtaisia oikeuksia tulee voida koota erilaisiksi käyttäjärooleiksi. Toisin sanoen käyttäjätunnukselle annetaan rooli, joka määrittelee hänen oikeutensa tietoihin ja tapahtumiin. 3.2 Järjestelmän käyttö ostopalveluissa Lähtökohtaisesti rekisterinpitäjä edellyttää, että mikäli se ostaa sosiaali- tai terveydenhuollon palveluita toiselta toimintayksiköltä, tulee palvelun tuottajan käyttää rekisterinpitäjän tietojärjestelmäratkaisua asiakas- tai potilastietojen laatimisessa. Kun terveydenhuollon toimintayksikkö hankkii palveluita ostopalveluna ulkopuoliselta palveluntuottajalta, tulee tietojärjestelmän kattaa potilasasiakirjaasetuksen 5 :n mukaiset vaatimukset sekä henkilötietolain mukaiset henkilötietojen käsittelyä, tietojen suojaamista, henkilötietojen käsittelyn valvontaa sekä rekisterinpitäjän velvollisuuksia koskevat vaatimukset. Ostopalvelutoiminnassa syntyneistä potilasasiakirjoista tulee ilmetä palvelun hankinnan tapa sekä palvelun tilaaja, tuottaja ja toteuttaja. Järjestelmässä tulee olla ominaisuudet, joiden avulla ostopalvelun kautta laadittaviin potilasasiakirjoihin saadaan sisältymään edellä mainitut lainsäädännön edellyttämät tiedot. Järjestelmässä on oltava mahdollisuudet rajoittaa asiakas- tai potilastietojen käsittelyoikeuksia siten, että ostopalvelun tilaava rekisterinpitäjä määrittää ne asiakkaat tai potilaat, joiden tietoja ostopalvelun tuottaja pääsee käsittelemään. Ostopalvelun tuottajalta estetään näin muiden asiakas- tai potilasrekisterissä olevien henkilöiden tietojen käsittely. 3.3 Tietojenkäsittelyn asiallisen yhteyden tai hoitosuhteen todentaminen Henkilötietolain mukaisesti henkilötietoja käyttävällä rekisterinpitäjällä on oltava asiallinen yhteys asiakkaaseen, jonka tietoja käsitellään. Järjestelmässä on oltava toiminnallisuudet tai ominaisuudet, joilla voidaan tietojenkäsittelytilanteessa varmistaa joko sosiaalitoimen asiakassuhde, terveydenhuollon hoitosuhde tai muu asiallinen yhteys. Järjestelmä voi hyödyntää asiakassuhteen tai hoitosuhteen päättelyyn esimerkiksi asiakkaan tai potilaan lähetetietoja, käyntitietoja, vireillä olevaa asiaa ja käyttäjän työskentely-yksikköä ja käyttöoikeuksia. 9 (14)

Järjestelmässä tulee olla mahdollista estää asiakkaan tai potilaan tietojen käsitteleminen silloin, kun järjestelmän käyttäjällä ei ole pääteltävissä asiakas- tai hoitosuhdetta asiakkaaseen tai potilaaseen. Järjestelmän roolipohjaisen käyttövaltuushallinnan tulee mahdollistaa käyttövaltuuksien määrittely myös siten, että vaikka järjestelmä ei pysty päättelemään asiakassuhdetta tai hoitosuhdetta, sallitaan tietojen käsitteleminen joko käyttäjän antamalla erillisellä perusteella tai ilman erillistä perustetta. Esimerkiksi sosiaalipäivystyksessä tietoja on pystyttävä käsittelemään ilman, että asiakkaalla on sosiaalipäivystykseen aikaisempia asiakaskontakteja tai vireillä olevia hakemuksia muissa sosiaalitoimen yksiköissä. Vastaavasti terveydenhuollossa päivystyspoliklinikalla on pystyttävä käsittelemään asiakkaan tietoja välittömästi hänen saapuessa hoitoon, vaikka potilaalla ei ole saapuneita lähetteitä tai muita välittömiä hoitotapahtumia kyseisessä yksikössä. Jos taas kyseessä on esimerkiksi vain toimeentulohakemuksia käsittelevä viranhaltija, mutta kyseinen käyttäjä ryhtyy käsittelemään muiden sosiaalitoimen sektoreiden tietoja, on järjestelmässä oltava valmiudet estää tietojen käsittely ennalta määritettyjen kriteereiden perusteella. Järjestelmän tulee mahdollistaa asiakas- tai hoitosuhteen kriteerien tarkistaminen tietojenkäsittelytapahtuman yhteydessä muun muassa seuraavilla kriteereillä: käyttäjän työskentely-yksikön vertaaminen asiakkaan palvelutapahtumiin käyttäjän työtehtävien (käyttäjäprofiilin) vertaaminen asiakkaan palvelutapahtumiin ja vireillä oleviin asioihin terveydenhuollossa tulee olla mahdollista todentaa hoitosuhde vertaamalla potilaan palvelutapahtumia, lähetteitä, tutkimuspyyntöjä ja käyttäjän työskentely-yksikköä terveydenhuollossa esimerkiksi radiologian yksikössä tietojen käsittelyn edellytys tulee olla potilaalle tehty tutkimuspyyntö tai tutkimusta varten tehty ajanvaraus. 10 (14)

4 Tietojen luovutukset ja suostumukset Pääsääntöisesti asiakas- ja potilasasiakirjoja voidaan luovuttaa vain asiakkaan, potilaan tai hänen laillisen edustajansa suostumuksella. Tietoja voidaan erityislakien perusteella tietyissä tapauksissa luovuttaa ilman suostumustakin. Tietojen näkyminen yli rekisterirajojen merkitsee niiden luovuttamista ulkopuoliselle taholle. Kyse on tällöin tietojen käyttämisestä muuhun kuin lähderekisterin ensisijaiseen käyttötarkoitukseen. Tietojen luovuttaminen on mahdollista vain asiakkaan nimenomaisella suostumuksella tai lakisääteisellä perustella. Yli rekisterirajojen tapahtuva tietojen käsittelyn tulee olla teknisesti mahdollista. Turvakiellon tulee välittyä järjestelmään väestörekisteristä. 4.1 Terveydenhuoltolain vaatimukset Potilasta hoitava terveydenhuollon toimintayksikkö saa käyttää yhteisessä potilastietorekisterissä olevia toisen toimintayksikön tietoja potilaan hoidon edellyttämässä laajuudessa. Yhteisessä potilastietorekisterissä terveydenhuollon toimintayksiköiden välinen potilastietojen käyttö ei edellytä potilaan nimenomaista suostumusta. Yhteisessä potilastietorekisterissä potilaalla on oikeus kieltää toisen toimintayksikön tietojen käyttö. Potilas saa tehdä ja peruuttaa kiellon milloin tahansa. Kielto-oikeuden mahdollistamiseksi potilaalle on annettava selvitys yhteisestä potilastietorekisteristä, tietojen käsittelystä sekä kielto-oikeudesta. Yhteisessä potilastietorekisterissä eri toimintayksiköiden välisessä potilasasiakirjojen käytössä tulee varmistaa hoitosuhde. Hoitosuhde potilaan ja luovutuspyynnön tekijän välillä tulee pystyä varmistamaan teknisesti. Järjestelmän tulee sisältää toiminto, joka varmistaa hoitosuhteen olemassaolon automaattisesti tietojen käytön yhteydessä. Kielto tulee tehdä siten, että kielto voi kohdistua yksittäisiin tai kaikkiin toimintayksiköihin. Kielto voi kohdistua vain osaan toimintayksikön tietoja. 4.2 Sähköinen allekirjoitus Järjestelmässä tulee olla mahdollisuus käyttää kansalaisvarmenteeseen perustuvaa sähköistä allekirjoitusta. Sähköisesti allekirjoitetut suostumukset, kiellot ja puolesta asioinnit tulee tallettaa suostumustenhallintajärjestelmään, josta ne on tarvittaessa saatavissa vahvistuksen selvittämiseksi ja todentamiseksi. 4.3 Suostumusten hallinta Informointien, kaikkien suostumusten sekä kieltojen hallinta tapahtuu omassa suostumusten hallintajärjestelmässä. Lisäksi suostumustenhallinnan tulee toimia synkronisesti KanTa-palvelun keskitetyn suostumusten, informointien ja kieltojen hallintamallin kanssa. 11 (14)

4.4 Suostumus sähköiseen asiointiin Sähköisen asioinnin toteuttaminen edellyttää, että potilaalta pyydetään suostumus sosiaali- ja terveydenhuollossa suoritettavaan sähköiseen asiointiin, jossa käsitellään käyttäjän arkaluonteisia ja salassa pidettäviä tietoja. Sähköisessä asioinnissa asiakas, sosiaalihuollon ja terveydenhuollon palvelujen antaja, muu asiakastietojen käsittelyn osapuoli ja näiden edustajat sekä tietotekniset laitteet tulee tunnistaa luotettavasti. Potilastietoja käsittelevien henkilöiden, palvelujen antajien, tietoteknisten laitteiden sekä valtakunnallisten tietojärjestelmäpalvelujen tunnistaminen edellyttää lisäksi todentamista. Järjestelmässä kirjallinen suostumus ja puolesta asiointiin oikeuttavat valtakirjat tulee pystyä tekemään sähköisesti vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetussa laissa tarkoitetulla sähköisellä allekirjoituksella. Lisäksi kirjallisesti tehdyt suostumukset ja puolesta asiointiin oikeuttavat valtakirjat tulee pystyä siirtämään potilastietojärjestelmän suostumustenhallintaosioon. 4.5 Sähköinen tietojen luovutus Järjestelmän tulee mahdollistaa tietojen luovuttaminen teknisen tietopyynnön tai teknisen käyttöyhteyden avulla eri rekistereiden välillä suostumus- ja lakiperusteisissa luovutuksissa. Teknisellä tietopyynnöllä voidaan rajata ne luovutettavat tiedot, jotka ovat tarpeellisia toiselle viranhaltijalle. 4.6 Luovutusloki Järjestelmän tulee täyttää sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain (159/2007) 5 :n vaatimukset käyttö- ja luovutuslokin kirjoittamisesta. 4.6.1 Luovutusloki Jokaisesta tietojen luovutuksesta toiselle rekisterinpitäjälle järjestelmän sisällä tallennetaan tieto luovutuslokiin, jonka tulee sisältää seuraavat tiedot: 1. luovuttava rekisterinpitäjä ja luovutuksen tekevä rekisterinpitäjän toimipiste 2. luovutuksen ajankohta 3. luovutuksen tehnyt henkilö (käyttäjä) 4. luovutuksen vastaanottava rekisterinpitäjä ja sen toimipiste 5. luovutuksen vastaanottava henkilö. Lisäksi luovutuslokiin tallennetaan tieto järjestelmän ulkopuolelle tapahtuvista tietojen luovutuksista. Jos tietoja luovutetaan esimerkiksi sanomaliikenteen välityksellä yksityiselle terveydenhuollolle, tallennetaan luovutuslokiin edellä mainitut tiedot. Vastaavasti jos rekisterinpitäjä luovuttaa tiedon tulosteena, tulee 12 (14)

järjestelmässä olla mahdollisuus merkitä, että kyseessä on luovutettava tuloste, ja tulostamisesta kirjoitetaan merkintä luovutuslokiin. 4.6.2 Käytön valvonta lokitietojen avulla Lokirekisterin tietojen perusteella on oltava mahdollista seurata ja tarkastaa, onko järjestelmän käyttäjien tietojenkäsittely ollut lainsäädännön mukaista. Järjestelmään tulee sisältyä ominaisuudet, joiden avulla voidaan hakea tietojen luovutuksesta poikkeavia tietojenkäsittelytapahtumia. Järjestelmässä tulee olla mahdollisuus laatia päättelysääntöjä, joiden avulla lokirekisteristä voidaan hakea esimerkiksi terveydenhuollossa erityissuojattavia tietoja koskevat erillisellä vahvistuksella esiin haetut tiedot asiakkaat tai potilaat, joiden tietoja on käsitelty poikkeuksellisen vähän tai paljon asiakkaat tai potilaat, joiden tietoja on käsitelty ilman, että heillä on ollut tietojenkäsittelyhetkellä mitään vireillä olevaa asiaa tai hoitoa koskevia tapahtumia 13 (14)

5 Viitteet [1] Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007), https://www.finlex.fi/fi/laki/ajantasa/2007/20070159 [2] Sosiaali- ja terveysministeriön asetus potilasasiakirjoista (298/2009), http://www.finlex.fi/fi/laki/alkup/2009/20090298 14 (14)

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute