Tietosuoja sosiaali- ja terveyspalveluissa Ari Andreasson tietosuojavastaava, Tampereen kaupunki Tampere-talo, Superin ammatilliset opintopäivät 17.2.2016 1
Mediasta lainattua Salakuvaaminen kännykkäkameroilla mm. kouluissa on yleistyvä ongelma, jonka uhreiksi joutuvat toisinaan myös opettajat. Usein kuviin liitetään herjaava teksti, ja niitä levitetään yhdessä ympäriinsä sosiaalisessa mediassa. 2 17.2.2016 lähde:iltalehti.fi Ari Andreasson
yle.fi 3 17.2.2016 Ari Andreasson
Tietosuojavastaava Tietosuojavastaavan rooli ja tehtävät perustuvat lakiin: - laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) - laki sähköisestä lääkemääräyksestä (61/2007) Edellytys on, että jokainen sosiaali- ja terveydenhuollon palvelujen antaja ja mm. apteekki sekä Kansaneläkelaitos nimeävät tietosuojavastaavan Tietosuojavastaavan rooli tulee olemaan vaatimuksena muuallakin kuin sosiaali- ja terveydenhuollossa, kun EU:n yleinen tietosuoja-asetus tulee velvoittavaksi lainsäädännöksi Tietosuojavastaavan tehtävä on toimia rekisterinpitäjän erityisasiantuntijana henkilötietojen käsittelyprosessin suunnittelussa ja käytönvalvonnassa 4
TIETOTURVA JA TIETOSUOJA Kansainvälistä ja yksilön perusoikeus Luottamuksellista asiakassuhdetta tukeva kokonaisuus Välineriippumatonta Varsinkin sosiaali- ja terveydenhuollossa pitkään tunnistettuja asioita Oikeusturvaa asiakkaalle sekä työntekijöille Sähköisissä järjestelmissä vahingon torjunta on halvempaa kuin vahingon korjaaminen 5
Kansalaiset ovat valveutuneita Ihmiset tuntevat oikeutensa ja pyytävät tarkastusoikeuden pohjalta omien/ alaikäisten huollettavien tietojen tarkistamista ja sen jälkeen myös korjaamista/poistamista Kuolleiden henkilöiden elinaikaisia asiakirjoja pyydetään esim. testamenttiriitoihin liittyen Alaikäisten lasten tietoja pyydetään esim. huoltajuusriitoihin liittyen Käyttölokiselvityksiä pyydetään (=kuka tietojani katselee?) Potilasasiamiehelle ja sosiaaliasiamiehille sekä tietosuojavastaavalle tulee erittäin runsaasti kysymyksiä Selvityspyyntöjä, kanteluita ja kysymyksiä esitetään suoraan esim. eduskunnan oikeusasiamiehelle, tietosuojavaltuutetulle, poliisille sekä Valviraan ja aluehallintovirastoon 6
Johdon rooli Mihin kannattaa keskittyä? Nykytilan kartoitus Henkilörekisterihallinnon järjestäminen Kirjalliset politiikat, periaatteet ja ohjeet ( data protection by design -periaatetta tukeva) Riittävät resurssit Tietosuojapäällikön/tietoturvapäällikön/tietosuojavastaavien nimeäminen ja tehtävien/aseman määrittely Tietosuojaryhmän perustaminen ja tehtävien määrittely Riskienhallinta Riskien tunnistaminen ja luokittelu Riskianalyysit Toimintaohjeet riskien toteutuessa Kirjalliset sopimukset palveluja ostettaessa (turvallisuusliitteet, raportointivelvoitteet) Seuraamuskäytännöt tietoturva- ja tietosuojarikkomuksissa Tietosuojattavan jätteen hävitysprosessin järjestäminen Tietoturvan ja tietosuojan omavalvontasuunnitelma Tietotilinpäätös ( accountability -periaatetta tukeva) 7
Tietosuojatyön toteuttaminen -Vaatii yhteistyötä Johdon tukena toimiminen Lainsäädännön muutoksien seuraaminen ja tiedottaminen Ohjeiden laatiminen ja jalkauttaminen Henkilöstön perehdytysprosessin varmistaminen Henkilöstön kouluttaminen ja auttaminen Henkilöstön osaamisen mittaaminen Henkilötietojen käsittelyn valvonta Tietosuojapoikkeamien raportointi johdolle Yhteydenpito valvontaviranomaisiin 8
Tietosuojatyön hedelmät Kilpailukyvyn lähde Asiakasnäkökulma Asiakkaiden yksityisyyden suoja paranee Potilasturvallisuus paranee terveydenhuollossa Organisaation näkökulma Organisaatio näyttäytyy luotettavana palvelujen antajana ja haluttuna yhteistyökumppanina Organisaation tuottavuus ja tehokkuus kasvaa (kustannussäästöt) Riskien todennäköisyydet ja vaikutukset pienenevät Henkilöstön näkökulma Henkilöstön osaaminen ja oikeusturva paranevat Kansalaistaidot karttuvat 9
Tietosuojaosaaminen ja tuottavuus Tietosuojaosaaminen Tuottavuus ja tehokkuus kasvaa Johdon riskit pienenevät Henkilöstön osaaminen kasvaa Tietosuojatyön organisoitiin käytetyt resurssit 10
Lainsäädäntöä muistin virkistämiseksi Henkilötietolaki (523/1999) Laki viranomaisten toiminnan julkisuudesta (621/1999) Laki potilaan asemasta ja oikeuksista (785/1992) Sosiaali- ja terveysministeriön asetus potilasasiakirjoista (298/2009) Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista (812/2000) Sosiaalihuoltolaki (1301/2014) Laki sosiaalihuollon asiakasasiakirjoista (254/2015) Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) Oppilas ja opiskelijahuoltolaki (1287/2013) 11
Salassapidosta Salassapito sekä tietojen ja tietojärjestelmien käyttö perustuvat lainsäädäntöön sekä normiohjaukseen Salassapidolla tarkoitetaan asiakirjojen salaisuuden säilyttämisvelvollisuutta sekä vaitiolovelvollisuutta Salassapitoon kuuluu myös hyväksikäyttökielto Salassapito koskee kaikkia salassa pidettäviä tietoja riippumatta siitä, miten tai mihin ne on tallennettu tai millä tavalla tieto on saatu (kirjallisesti, suullisesti tai havainnoimalla) 12
Potilasasiakirjojen käsittely Potilasasiakirjojen käsittelyllä tarkoitetaan asiakirjojen laatimista, käyttöä, säilyttämistä, hävittämistä ja tietojen luovuttamista Potilasasiakirjamerkinnöistä tulee käydä ilmi keskeiset hoitoon liittyvät seikat tarpeellisessa laajuudessa Merkintöjä koskevat tarkemmat vaatimukset sisältyvät potilasasiakirja-asetuksen 12 19 :ään Vastaavan johtajan pitää antaa kirjalliset ohjeet henkilöstölle potilastietojen käsittelystä 13
Tietosuojavinkit henkilöstölle 1) Lue huolellisesti läpi asiakas/potilastietojen käsittelyohjeet 2) Käsittele asiakas/potilastietoja vain kun työtehtävät sitä edellyttävät 3) Muista kunnioittaa asiakkaiden/potilaiden ja työkavereiden yksityisyyttä. - Näin ylläpidät luottamusta 4) Varo paljastamasta sivullisille luottamuksellisia tietoja työpaikan ulkopuolella esim. sosiaalisessa mediassa 5) Lukitse tietokone, kun se ei ole valvonnassasi 6) Hävitä tietosuojattava jäte asianmukaisesti 7) Älä hätäänny, jos jotain poikkeavaa tapahtuu vaan kerro esimiehelle/tietosuojavastaavalle mitä on tapahtunut 14
Tietojen luovutukset Salassa pidettävien tietojen osalta tietojen luovutuksissa on oltava tarkkana: Luovuttaja vastaa sen varmistamisesta, että luovutuksen saajalla on oikeus tietoihin (ja missä laajuudessa) Onko tietojen luovuttamiseen asiakkaan nimenomainen suostumus tai onko tiedon antamisesta tai oikeudesta tiedon saamiseen erikseen laissa säädetty? Jos tietoja pyytää joku muu kuin asiakas/potilas, niin onko hän (esim. alaikäisen) laillinen edustaja? Turvakiellon alaiset yhteystiedot (viranomainen saa käsitellä, kun se on välttämätöntä sivullisille ei saa luovuttaa) Erityisen tarkkana pitää olla, jos tietoja kysellään puhelimitse ja alkaa haistamaan palaneen käryä! 15 17.2.2016 Ari Andreasson
Lokitiedot ja käytönvalvonta Terveydenhuollon potilastietojen ja sosiaalihuollon asiakastietojen käytön valvominen on lakisääteistä Tietojärjestelmien pitää tallentaa tietojen käsittelyhistoriaa eli kerätä lokia erilaisista tapahtumista Lokeja on eri tyyppejä kuten käyttöloki, virheloki, muutosloki, luovutusloki jne. Valvonnan pitää olla suunniteltua ja mahdolliseen luvattomaan käyttöön tulee puuttua! Lisätietoa Tietosuojavaltuutetun toimiston nettisivuilta 16 17.2.2016 Ari Andreasson
Tietoturva ja tietosuoja huoneentaulu 1. Selvitä ja noudata oman organisaatiosi tietoturvaohjeita ja käytäntöjä. 2. Lukitse tietokoneesi/ohjelmistot tai kirjaudu niistä ulos aina kun poistut sen läheisyydestä. Pyri käyttämään eri salasanaa eri järjestelmissä. Säilytä salasanat ja muut kirjautumisessa käytettävät tunnisteet, kuten toimikorttisi ja PIN-koodit huolellisesti. 3. Varo paljastamasta luottamuksellisia tietoja sivullisille työpaikalla tai sen ulkopuolella esim. sosiaalisessa mediassa. 4. Älä surffaa arveluttavilla nettisivuilla. Älä avaa outoja sähköpostiviestejä tai niiden liitteitä. 5. Huolehdi papereiden, muistitikkujen, CD-/DVD-levyjen, puhelinten, salasanojen, avainten, kulkunappien, toimikorttien ym. asianmukaisesta käsittelystä ja säilyttämisestä. 6. Hävitä tietosuojattava jäte asianmukaisesti. 7. Huolehdi erityisesti mobiilityössä kannettavan tietokoneen ja sen tietojen suojaamisesta. Hanki kannettavaan tietokoneeseen suojakalvo, joka estää sivulta tapahtuvan salakatselun. Älä jätä laitteita valvomatta näkyville esimerkiksi autoon tai hotelliin. 8. Muista kunnioittaa asiakkaiden ja työkavereiden yksityisyyttä. Näin ylläpidät luottamusta. 9. Kerro esimiehellesi, mikäli havaitset tietoturva- tai tietosuojarikkomuksia. 10. Älä hätäänny, jos jotain poikkeavaa tapahtuu. Soita rohkeasti tukikeskukseen. 17 17.2.2016 Ari Andreasson
Mistä löytyy lisätietoja? Verkkosivusto OpiTietosuojaa.fi https://opitietosuojaa.fi Tietosuojavaltuutetun toimiston ohjeet www.tietosuoja.fi Paljon sote-palvelujen liittyviä oppaita ja ratkaisuja Sosiaali- ja terveysministeriön nettisivut www.stm.fi Potilasasiakirjaopas http://www.julkari.fi/handle/10024/112073 Lainsäädäntö www.finlex.fi 18 17.2.2016 Ari Andreasson
Oppaita onnistumiseen Tietosuojatyön organisointiin (johdolle): - Tietosuojakäsikirja johdolle (Tietosanoma 2016) Tietosuojatyön toteuttamiseen (tietosuojavastaavalle ja tietosuojaryhmälle): - Tietosuojavastaavan käsikirja 1 (Tietosanoma 2014) - Tietosuojavastaavan käsikirja 2 (Tietosanoma 2014) Potilastietojen käsittelyyn (koko henkilöstölle): - Tietosuoja terveydenhuollossa (Tietosanoma 2010) Tietoturvallisuuteen (ICT-henkilöstölle): - Tietoturvaa toteuttamassa (Tietosanoma 2013) Tekijät: Ari Andreasson, Juha Koivisto ja Arto Ylipartanen 19
TIETOSUOJASTA KIINNOSTUNEIDEN KOHTAAMISPAIKKA HTTPS://OPITIETOSUOJAA.FI 20