KanTa. Reseptikeskuksen tietojen käsittelyn seuranta ja valvonta terveydenhuollossa ja apteekissa



Samankaltaiset tiedostot
LIEKSAN KAUPUNGIN SOSIAALI- JA TERVEYSPALVELUJEN TIETOSUOJAN SEURANTA JA VALVONTA

Osapuolet sitoutuvat noudattamaan e-reseptipalvelun ehtoja ja sen liitteitä.

Kanta-sopimusmalli / Yritys-Yritys. Sopimus eresepti-palveluun liittymisestä

Kuka auttaa johtoa sosiaali- ja terveydenhuollon asiakastietojen käytönvalvonnassa?

Tietosuojakysely 2018

KanTa Asiakastietojen käsittely ja menettelytavat eresepti-palvelua käytettäessä

Lokipolitiikka (v 1.0/2015)

Tietosuojakysely 2019

Tietosuojavastaavan toiminta ja dokumentointi

ASIAKASALOITTEINEN KÄYTÖNVALVONTA TERVEYDENHUOLLOSSA

Sopimus Kanta-palveluihin liittymisestä ja Kanta-palvelujen käytöstä v 1.0

Tietosuojakysely 2016

JOHDON VELVOITTEET JA VASTUU yleiset periaatteet. Ylitarkastaja Arto Ylipartanen Tietosuojavaltuutetun toimisto

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Tietosuojakysely 2017

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

Suostumuskäytännöt Suomen perustuslaki

Resepti-palvelu. Reseptikeskus. Palvelukuvaus 1 (6) Resepti-palvelu

Liittyminen Kanta-palveluihin Valmistelukokous. Kela, Kanta-palvelut,

Näin käytät ereseptiä

KanTa-palvelut. Web-reseptisovellukset. versio 1.0

Sopimus Kanta-palveluihin liittymisestä ja Kanta-palvelujen käytöstä

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

TIETOSUOJASELOSTE rekisteriseloste ja asiakkaan informointi henkilötietolaki (523/99) 10 ja 24

JIK-peruspalveluliikelaitoskuntayhtymä (jäljempänä Tilaaja ) Könnintie 27 B, ILMAJOKI. Hankinta- ja taloussuunnittelija, p.

VAMMAISPALVELUN JA KEHITYSVAMMAHUOLLON OHJAUS JA VALVONTA Kehitysvammaisten Tukiliiton tilaisuus / Jyväskylä

APTEEKKIEN TOIMINTAOHJEMALLI: SÄHKÖISEEN RESEPTIIN LIITTYVÄT HÄIRIÖTILANTEET

Informointeja, kieltoja ja suostumuksia Onko käyttö ja luovutus hallinnassa?

OMAVALVONTASUUNNITELMA

Omien tietojen katselu. Terveydenhuollon ATK-päivät

Liittyminen eresepti-palveluun. Yksityisten terveydenhuollon toimijoiden ereseptin käyttöönottoon valmistautuminen

Auditointi. Teemupekka Virtanen

Postinumero Kela. Käyntiosoite Nordenskiöldinkatu 12, Helsinki. Nimi Kanta-palvelujen tietosuojavastaava

Uuden terveydenhuoltolain toteutumisen edistäminen. ereseptin käyttöönoton suunnittelu ja valmistelu

Lääkitysmäärittelyt 2016 Käyttötapaukset

KEHITYSVAMMAHUOLLON OHJAUS JA VALVONTA

Kansallisen arkiston ja ereseptin tilannekatsaus Terveydenhuollon atk päivät Erkki Aaltonen

KanTa. Sähköinen resepti terveydenhuollossa ja apteekeissa

MAA- JA METSÄTALOUSMINISTERIÖ MÄÄRÄYS Nro 2/16

REKISTERINPITÄJÄN INFORMAATIO KUNTOUTUJILLE TOIMINTATERAPIA A KAARRETKOSKI OY

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Suomeksi Näin käytät sähköistä reseptiä

ASUNTO-OSAKEHUONEISTOSSA TEHTÄVÄSTÄ KUNNOSSAPITO- JA MUUTOSTYÖSTÄ ILMOITUS

MAA- JA METSÄTALOUSMINISTERIÖ MÄÄRÄYS Nro 1/16

Ohje viranomaisille 9/ (5)

Tietorekisteriseloste. Fysioterapeutti Annukka Laukkanen 2019

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

sosiaalipalvelupäällikkö Arja Tolttila Heikinkuja MÄNTSÄLÄ puhelin (vaihde)

Turun ammattikorkeakoulu (5) Tietojärjestelmien käyttösäännöt

Lääkärin oikeuksista ja velvollisuuksista

Kirsi Markkanen Kehittämispäällikkö, THM Tehy ry

Laatimispäivä: 1/2015 Tämä on tietosuojaseloste, joka sisältää rekisteriselosteen ja asiakkaiden henkilötietojen käsittelyä koskevan informoinnin.

Kysymyksiä jä västäuksiä yksityisen terveydenhuollon liittymisestä potilästiedon ärkistoon

Liittyminen eresepti-palveluun. Yksityisten terveydenhuollon toimijoiden ereseptin käyttöönottoon valmistautuminen

Sähköinen lääkemääräys vaatimusmäärittely Yleiskuvaus Versio 2.71

Henrietta Linde Proviisori

Henkilöstöyksikön ohje Huomautus ja varoitus virka- ja työsuhteessa. mukaisesti työn suorittamisesta.

KIRKKONUMMEN KUNTA LIITE 2 1 (5) Perusturva PL KIRKKONUMMI /135//2009

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

Suomeksi Potilastiedot valtakunnalliseen arkistoon

Espoon kaupunki Tietoturvapolitiikka

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

Nimi: Perusturvajohtaja Mari Antikainen, puh Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

Eläketurvakeskuksen tietosuojapolitiikka

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

TOIMINTA KANTA-PALVELUJEN HÄIRIÖTILANTEESSA

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Ajankohtaista KanTa-hankkeesta. Erkki Aaltonen

IISALMEN KAUPUNKI KIINTEISTÖJEN KAMERAVALVONTA Matti Rönkkö tekninen isännöitsijä Iisalmen kaupunki / tilapalvelu

Yhteistoimintamenettely Henkilöstöjaosto Hyväksytty johtokunta Käyttölokien seurantaja valvontasuunnitelma

SISÄISEN VALVONNAN PERUSTEET

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

2 (5) Tarkastussääntö Hyväksytty: yhtymäkokous xx.xx.xxxx xx Tilintarkastajan tehtävät

Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi

Suomeksi Potilastiedot valtakunnalliseen arkistoon

Sähköisen reseptin vaatimusmäärittelyt. Terveydenhuollon Atk-päivät Sibelius-talo, Lahti Markku Kiiski, Kela

Paneeli: Käytön valvonta, lokien hallinta, poikkeamien havaitseminen, poliisiyhteistyö

Sisäisen valvonnan ja Riskienhallinnan perusteet

Näin teet liittymishakemuksen ja päivität asiakastietojasi

Sähköisen lääkemääräyslain muutokset HE 219/ /251 THL/OPER lakimies Joni Komulainen Joni Komulainen, lakimies, OPER

Järvenpään lasten ja nuorten lautakunta. Järvenpään kaupunki Hallintokatu 2, PL Järvenpää p. keskus

Sisäisen valvonnan ja riskienhallinnan perusteet

Kansallinen Terveysarkisto - KanTa

Laitoshuollon rekisteri

Suomeksi Näin käytät ereseptiä

Liittyminen eresepti-palveluun. Yksityisen terveydenhuollon toimijoiden ereseptin käyttöönottoon valmistautuminen

Valvonta-asioiden käsittelyprosessi

ereseptin käyttöönotto terveydenhuollossa - case Kotka Anne Kallio kehitysjohtaja, ylilääkäri Medi-IT Oy

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET PKSSK:SSA

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

Suomen Tilintarkastajat ry luonnos kommentoitavaksi

Liite/Kvalt , 29 ISONKYRÖN KUNNAN JA KUNTAKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET. Isonkyrön kunta

sivu 1 (8) Sähköinen lääkemääräys vaatimusmäärittely versio 2.93

Vieremän kunnan Sisäisen valvonnan ja riskienhallinnan perusteet

Transkriptio:

Seuranta ja valvonta 1(16) KanTa Reseptikeskuksen tietojen käsittelyn seuranta ja valvonta terveydenhuollossa ja apteekissa Dokumentin muutoshistoria Versio Pvm Tekijä / hyväksyjä Kuvaus 1.0 KanTa-palveluryhmä / Kela

Seuranta ja valvonta 2(16) Sisällys Sisällys...2 1 Johdanto...3 2 Lainsäädännön ja kansallisen auditoinnin vaatimukset...4 3 Valvonta terveydenhuollon toimintayksikössä ja apteekissa...7 3.1 Säännöllinen valvonta...7 3.2 Pistokoevalvonta...8 3.3 Selvityspyyntöön perustuva valvonta...9 4 Valvonnan välineet...10 4.1 Perusjärjestelmät lokit...10 4.2 Reseptikeskuksen käyttöloki...10 5 Valvontaan liittyvät suunnitelmat ja raportit...12 5.1 Riskianalyysi...12 5.2 Seuranta- ja valvontasuunnitelma...12 5.3 Vuosisuunnitelma...13 5.4 Raportit ja tarkastuskertomukset...13 5.5 Vuosiraportti...13 5.6 Raportit ja ilmoitukset Kelalle...13 6 Seuraamukset väärinkäytöksistä...14 7 Valvonnan ohjeistus ja henkilökunnan informointi...16 7.1 Terveydenhuollon ja apteekin työohjeet...16 7.2 Henkilökunnan informointi sähköisestä valvonnasta...16

Seuranta ja valvonta 3(16) 1 Johdanto Tämän ohjeen tarkoituksena on kuvata Reseptikeskuksen tietojen käsittelyn seurannan ja valvonnan periaatteet, valvontakohteet, valvonnan dokumentointi sekä väärinkäytösten seuraamukset. Ohje on suunnattu terveydenhuollon toimintayksiköiden ja apteekkien johdolle, tietosuojavastaaville ja muille tietosuoja-asioita hoitaville tahoille. Terveydenhuollon toimintayksiköt ja apteekit voivat käyttää tätä ohjetta apuna oman valvontasuunnitelmansa ja ohjeistuksensa laatimisessa sekä valvonnan toteuttamisessa. Ohjeessa kuvataan lisäksi organisaatioiden vastuut Kelaan nähden Reseptikeskuksen tietojen väärinkäytöstapausten sekä organisaation seurannan ja valvonnan raportoinnin osalta. Reseptikeskuksen tietojen käsittelyn valvonnalla varmistetaan niiden henkilöiden tietosuoja, joita koskevia arkaluonteisia tietoja on tallennettu Reseptikeskukseen. Asianmukainen seuranta ja valvonta edellyttävät, että valvonta on säännöllistä ja perustuu suunnitelmaan. Suunnitelmallinen valvonta varmistaa myös tietojen käsittelijöiden oikeusturvaa. Reseptikeskuksen rekisterinpitäjänä Kelan tulee voida mahdollisimman hyvin varmistua siitä, että Reseptikeskukseen tallennettuja tietoja käsitellään lainmukaisesti terveydenhuollon toimintayksiköissä ja apteekeissa. Tässä tarkoituksessa Kela voi antaa terveydenhuollolle ja apteekeille ohjeita valvonnan toteuttamisesta ja raportoinnista Kelalle. Kelan ohjeistuksesta on todettu myös KanTa-palvelujen asiakasdokumentaatiossa (Sitoumus eresepti-palvelun ehtojen noudattamisesta, KanTa-palvelujen yleiset toimitusehdot ja eresepti-palvelun palvelukuvaus).

Seuranta ja valvonta 4(16) 2 Lainsäädännön ja kansallisen auditoinnin vaatimukset ereseptilaki Sähköisestä lääkemääräyksestä annetun lain (61/2007, myöhemmin ereseptilaki) mukaan Kela on Reseptikeskuksen ja Reseptiarkiston rekisterinpitäjä, jota velvoittavat ereseptilain, henkilötietolain (523/1999), julkisuuslain (621/1999) ja muun lainsäädännön säännökset henkilörekistereihin tallennettujen tietojen suojaamisesta, hyvästä tietojen hallintatavasta ja tietojen käytön valvonnasta. Reseptikeskuksen rekisterinpitäjänä Kelalla on yleinen valvontavastuu ereseptipalveluun liittyvän tietosuojan toteutumisesta sekä Reseptikeskuksen tietojen asianmukaisesta käytöstä. Terveydenhuollon toimintayksikön ja apteekin on omalta osaltaan seurattava ja valvottava, että Reseptikeskuksen tietoja voivat katsella ja käsitellä vain ereseptilain mukaan siihen oikeutetut ja, että tietojen katselu ja käsittely tapahtuu ereseptilaissa säädetyillä perusteilla. Asianmukainen valvonta edellyttää organisaation ja sen toiminnan hyvää tuntemusta. Terveydenhuollon toimintayksiköillä ja apteekeilla on Kelaa paremmat edellytykset arvioida, mikä on niiden toimintaympäristössä esimerkiksi tavallisuudesta poikkeavaa reseptitietojen käyttöä. Valvonnan käytännön toteutuksen painopiste on tämän vuoksi terveydenhuollon toimintayksiköiden ja apteekkien suorittamassa valvonnassa. Organisaatioilta edellytetään henkilökunnan osaamisesta huolehtimisesta henkilötietojen käsittelyssä. Terveydenhuollon toimintayksikön vastaavan johtajan ja apteekkarin tulee antaa henkilökunnalle tietojen käsittelystä kirjalliset ohjeet. Koulutuksen ja ohjeistuksen kautta henkilökunta tulee tietoiseksi myös siitä, että tietojen käyttöä valvotaan organisaation, Kelan ja kansalaisten taholta ja että väärinkäytöksistä aiheutuu aina seuraamus. Kela ja eresepti-palveluun liittynyt terveydenhuollon toimintayksikkö ja apteekki ovat velvollisia ryhtymään tarvittaviin toimenpiteisiin, jos joku on lainvastaisesti katsonut, käyttänyt tai luovuttanut Reseptikeskuksessa olevia tietoja. Yksittäiset työntekijät vastaavat omasta toiminnastaan viime kädessä työ- ja rikosoikeudellisten sanktioiden uhalla. Mahdolliset väärinkäytösepäilyt tulee selvittää ennalta määriteltyjä menettelytapoja noudattaen ja tarvittaessa rankaista yhdenmukaisesti. Valvonnan käytännön toteutusta varten kaikkien osapuolten tulee nimetä tietosuojavastaava. Seurannan ja valvonnan asianmukainen suunnittelu ja toteuttaminen edellyttää hallinnollista, tietoteknistä ja juridista asiantuntemusta. Tämän vuoksi tietosuojavastaava ei välttämättä yksin pysty suorittamaan kaikkia tehtäväalueeseen liit-

Seuranta ja valvonta 5(16) tyviä töitä, vaan organisaatiossa on syytä olla erityinen tukiryhmä tai muu järjestely tietosuojavastaavan toiminnan tueksi. STM Ydindokumentti Sosiaali- ja terveysministeriön ydindokumentissa (Terveydenhuollon kansallinen tietojärjestelmäarkkitehtuuri, KANTA-jatkomäärittely, Ydindokumentti, 18.10.2007, v. 1.0) on esitetty toimintamalli tietojen käytön seurantaa varten. Ydindokumentti on laadittu lähinnä sähköisen potilastiedon arkiston (earkisto) näkökulmasta, mutta mallia voidaan soveltuvin osin käyttää myös ereseptilain mukaisessa valvonnassa. Ydindokumentin mukaan valvonnan tulee olla säännöllistä ja suunnitelmallista. Ydindokumentin mukaan valvojan tulee tarkastaa systemaattisesti kaikki tapaukset, joissa tietoja on haettu normaali käyttövaltuushallinta ohittamalla, muuta tavallisuudesta poikkeavaa käyttöä eli jos tietomäärä, henkilöiden lukumäärä, ajankohta tai paikka poikkeaa jollakin tavalla normaalista, sekä pistokokein. Kansalliset auditointivaatimukset Sosiaali- ja terveysministeriö vastaa KanTa-palveluihin liittyvästä kansallisesta auditoinnista ja hyväksyy kansalliset auditointivaatimukset. eresepti-palvelun osalta auditointivaatimukset jaotellaan apteekki- ja potilastietojärjestelmien vaatimuksiin, organisaation vaatimuksiin, välittäjätahon vaatimuksiin sekä Reseptikeskuksen vaatimuksiin. Auditointivaatimukset painottuvat sisällöltään tietoturvan osa-alueelle. Liittyessään eresepti-palvelun käyttäjäksi organisaatio antaa Kelalle sitoumuksen, jossa se vakuuttaa organisaation täyttävän auditointivaatimukset. Auditointivaatimukset sisältävät esim. seuraavia tietojen käsittelyn seurantaa ja valvontaa koskevia vaatimuksia. Organisaatiolla on tietoturvapolitiikka laadittuna ja se on otettu käyttöön. Politiikasta tulee ilmetä mm., miten tietoturva on vastuutettu ja organisoitu organisaation tavoitteiden saavuttamiseksi. Organisaatiolla on laadittu tietosuojaan liittyvä seuranta- ja valvontasuunnitelma. Suunnitelmassa otetaan kantaa mm., miten tehdään säännöllistä henkilö-tietojen käytön seurantaa ja miten on suunniteltu toimittavan, jos väärinkäytöksiä ilmenee.

Seuranta ja valvonta 6(16) Tietojärjestelmä ylläpitää käyttölokia, josta löytyy riittävän yksityiskohtaiset tiedot tietojen haun ja käytön osalta. Tietojärjestelmässä on väline lokitietojen seuraamiseen. Lokit on pystyttävä hakemaan saataville säännöllistä seurantaa ja valvontaa varten.

Seuranta ja valvonta 7(16) 3 Valvonta terveydenhuollon toimintayksikössä ja apteekissa 3.1 Säännöllinen valvonta Kukin terveydenhuollon toimintayksikkö ja apteekki tuntee oman toimintaympäristönsä ja arvioi yksikkökohtaisesti, mihin seikkoihin ja minkälaisiin poikkeamiin kannattaa erityisesti kiinnittää huomiota. Tällaisia kohteita valvotaan säännöllisesti tehtävässä tietojen käsittelyn valvonnassa. Vuosittain tehtävässä valvontasuunnitelmassa tulee lisäksi määritellä ne alueet, joita asianomaisena vuonna valvonnassa erityisesti painotetaan ja mihin seuranta ja valvonta kohdennetaan. Terveydenhuollossa tulee tyypillisesti tarkastaa kaikki normaalista poikkeavat tapaukset. Reseptikeskuksen tietoja voidaan hakea ereseptilain 13 3 momentin nojalla kiireellisen hoidon antamiseksi. Näihin tapauksiin tulee kiinnittää huomiota, jos kiireellisen hoidon antaminen ei ole asianomaisessa yksikössä normaalia toimintaa. Lisäksi on tarpeen verrata esimerkiksi yksikössä kirjoitettujen sähköisten reseptien määrää suhteessa tietojen hakuihin Reseptikeskuksesta. Myös normaalista poikkeavana ajankohtana tehtyjä tietojen hakuja tulee seurata. Apteekissa voidaan seurata esimerkiksi tehtyjen toimitusten lukumäärän suhdetta tietojen hakuihin. Kuten terveydenhuollossa, myös esim. tietojen haun normaalista poikkeaviin ajankohtiin tulee kiinnittää huomiota. Sekä terveydenhuollossa että apteekissa voidaan kiinnittää huomiota myös eri syykoodeilla tai suostumuskoodeilla tehtyjen hakujen lukumäärään. Reseptikeskuksen tietojen käytön valvontaan sisältyy lain mukaan myös sen valvominen, että tietoja käyttävät vain siihen oikeutetut henkilöt. Käytännössä terveydenhuollon toimintayksikön ja apteekin tulee seurata ja valvoa mm. sitä, että Valviran ammattikorttia on käyttänyt vain asianomainen henkilö. Reseptikeskuksen tietojen käsittely edellyttää hoitosuhteen olemassaoloa. Terveydenhuollon toimintayksikön tulee seurata, onko tietojen katselu liittynyt potilaan hoitoon. Samoin apteekin tulee mahdollisuuksien mukaan seurata, onko potilas asioinut apteekissa. Yleisesti voidaan todeta, että eresepti-palveluun liittyneen terveydenhuollon toimintayksikön ja apteekin on osana säännöllistä Reseptikeskuksen tietojen käsittelyn valvontaa esim. 1) selvitettävä kaikki normaalin käyttövaltuushallinnan ohittaneet tietojen haut 2) selvitettävä kaikki epätavallisena ajankohtana tehty tietojen käsittely (esim. yksikkö on ollut kiinni ao. ajankohtana)

Seuranta ja valvonta 8(16) 3) selvitettävä asianomaiselle yksikölle muuten epäominaiset haut (esim. asianomaisessa yksikössä on haettu kiireellisen hoidon perusteella tietoja, mutta siellä ei hoideta akuuttitapauksia) 4) vertailtava tietojen hakujen lukumäärää esimerkiksi kirjoitettujen lääkemääräysten lukumäärään tai tehtyjen toimitusten määrään 5) tarkkailtava ammattikorttien asianmukaista käyttöä 6) tarkkailtava hoito- tai asiakassuhteen olemassaoloa 7) selvitettävä muut mahdolliset tietojen käyttöä koskevat lisäselvitystä edellyttävät tapaukset, joista tieto voidaan saada organisaation oman rutiinivalvonnan kautta Kelan valvonnan kautta organisaation henkilökuntaan kuuluvalta potilaalta. 3.2 Pistokoevalvonta Lisäksi on huomattava, että Reseptikeskuksen tietojen käsittely on vain osa terveydenhuollossa ja apteekeissa tapahtuvaa henkilötietojen käsittelyä. Jos organisaation muun valvonnan yhteydessä tulee ilmi esim. väärinkäytös, tulee tällöin kiinnittää huomiota myös siihen, miten Reseptikeskuksen tietoja on asianomaisessa yhteydessä käsitelty. Organisaation on tehtävä säännöllistä ja suunnitelmallista pistokoevalvontaa, jossa tarkastetaan esim. tiettynä ajanjaksona tehdyt haut tietyn sattumanvaraisesti valitun työntekijän tai työntekijäryhmän tekemät haut lokitietokirjauksia vastaavien allekirjoitettujen suostumusten olemassaolo ja asianmukaisuus erityinen uhka, esim. tietyn henkilön tietoihin kohdistuneet haut (julkisuuden henkilö tai omaan henkilökuntaan kuuluva henkilö) Pistokoetarkastusten kohteet määritellään tarkemmin seurannan ja valvonnan vuosisuunnitelmassa. Valvonnan sisältöön, kohdentamiseen ja valvontojen tiheyteen voi vaikuttaa esim. organisaation koko, onko organisaatiossa aiemmin havaittu tietojen väärinkäyttöä tai mitkä tilanteet on muuten todettu sellaisiksi, että tietojen käsittelyyn voi liittyä tietosuojariski.

Seuranta ja valvonta 9(16) 3.3 Selvityspyyntöön perustuva valvonta Potilas voi tehdä Kelalle, terveydenhuollon toimintayksikölle tai apteekille selvityspyynnön Reseptikeskukseen tallennettujen tietojensa käytön perusteista. Valvontaprosessi tulee tällöin aina aloittaa. Jos pyyntö on tehty terveydenhuollon toimintayksikölle tai apteekille, asianomainen organisaatio selvittää asian ja antaa potilaalle kirjallisen selvityksen tietojen käytön perusteista. Organisaation tulee informoida asiasta myös Kelaa. Jos pyyntö tehdään Kelalle ja kyse on tietojen käytöstä terveydenhuollon toimintayksikössä tai apteekissa, Kela lähettää ao. organisaatioon selvityspyynnön tietojen käytöstä. Organisaation antaman selvityksen perusteella Kela laatii potilaalle vastauksen. Kela voi myös omassa valvonnassaan havaita jotakin epäselvyyttä tai väärinkäyttöön viittaavaa organisaation puolella. Kela voi tällöin pyytää selvityksen organisaatiolta siellä tapahtuneesta Reseptikeskuksen tietojen käsittelystä. Organisaation tulee toimittaa Kelan pyytämät tiedot viipymättä.

Seuranta ja valvonta 10(16) 4 Valvonnan välineet Reseptikeskuksen tietojen käsittelyn jälkikäteisvalvonta tapahtuu pääasiassa lokitietojen perusteella. Lokitietoja voi myös verrata esim. vastaaviin työaikatietoihin tai asiointitietoihin. Lokivalvonta edellyttää myös asianmukaisten valvontatyökalujen olemassaoloa. Alkuvaiheessa tällaiset työkalut saattavat olla puutteelliset. Oma-aloitteista, säännöllistä valvontaa on kuitenkin suoritettava heti eresepti-palvelun käyttöönotosta lukien siinä laajuudessa, kuin se on mahdollista. Lisäksi yksittäiset väärinkäytösepäily- ym. tapaukset tulee voida selvittää. 4.1 Perusjärjestelmät lokit Kansallisten auditointivaatimusten ja ereseptin vaatimusmäärittelyn perusteella terveydenhuollon ja apteekin perusjärjestelmän tulee tallentaa lokimerkinnät mm. käsiteltävästä reseptistä, käsittelijästä ja kellonajasta sekä tieto siitä, mihin toimintoon liittyen tietoja on käsitelty. Reseptikeskuksen tietojen käsittelyn seurannan ja valvonnan suorittamiseen terveydenhuollon toimintayksiköissä ja apteekeissa käytetään ensisijaisesti perusjärjestelmään tallentuvia lokitietoja. Perusjärjestelmän lokitiedot muodostavat organisaatiolle henkilörekisterin. eresepti-palveluun liittyneet organisaatiot antavat henkilökunnalleen tarkemmat ohjeet perusjärjestelmän lokitietojen käsittelystä. 4.2 Reseptikeskuksen käyttöloki ereseptilain mukaan Reseptikeskukseen tulee tallentua kustakin lääkemääräyksestä tiedot siitä, ketkä ovat katsoneet, muuttaneet tai muutoin käsitelleet lääkemääräyksen tietoja taikka mitätöineet lääkemääräyksen sekä toimenpiteen ajankohta. Jokaisesta apteekista ja terveydenhuollon toimintayksiköstä suoritetusta lääkemääräyksen katselusta, muuttamisesta ja mitätöinnistä tallentuu Reseptikeskuksen käyttölokiin mm. seuraavat tiedot: lokimerkinnän aiheuttanut palvelu, esim. lääkemääräyksen korjaus tapahtumahetki terveydenhuollon toimintayksikön tai apteekin tunnus palvelua käyttäneen henkilön Terhikki-rekisterinumero potilaan henkilötunnus tai syntymäaika potilaan sukunimi ja etunimet tieto potilaan suostumuksesta Käyttölokista ilmenee edellä mainittujen tietojen lisäksi tiedot epäonnistuneista hakuyrityksistä. Esim. jos on haettu henkilötunnuksella sellaisen henkilön reseptitietoja,

Seuranta ja valvonta 11(16) jolla ei ole Reseptikeskukseen tallennettuja reseptejä, kirjautuu tieto hausta käyttölokiin. Terveydenhuollon toimintayksiköt ja apteekit käyttävät seurannassa ja valvonnassa ensisijaisesti perusjärjestelmän lokitietoja. Terveydenhuollon toimintayksikkö ja apteekki voivat kuitenkin tarvittaessa pyytää Kelalta lokitiedot siltä osin kuin asianomaisen terveydenhuollon toimintayksikön tai apteekin henkilökunta on katsellut ja käsitellyt Reseptikeskuksen tietoja. Kelan terveydenhuollon toimintayksikölle tai apteekille luovuttamia lokitietoja saavat käsitellä ja niihin tulee olla pääsy ainoastaan tietosuojavastaavalla sekä tarvittaessa muilla valvontatyöhön osallistuvilla henkilöillä ja toiminnasta vastaavalla organisaation johdolla. Tietoja on käsiteltävä huolellisesti ja ne tulee suojata asianmukaisesti. Tietoja ei saa käyttää muuhun tarkoitukseen, kuin ereseptilain mukaiseen Reseptikeskuksen tietojen käsittelyn lainmukaisuuden valvontaan. Esimerkiksi henkilökunnan ammatilliseen asiantuntemukseen taikka palvelun laaduntarkkailuun liittyvä toiminnan valvonta lokitietojen avulla on kielletty. Terveydenhuollon toimintayksikkö ei saa käyttää lokitietoja myöskään mahdollisten hoitovirhetapausten selvittämisessä. Lokitietoja ei saa organisaatiossa säilyttää kauemmin, kuin se on valvontatehtävän suorittamiseksi välttämätöntä. Tiedot tulee hävittää tietoturvallista tapaa noudattaen.

Seuranta ja valvonta 12(16) 5 Valvontaan liittyvät suunnitelmat ja raportit Valvonnan asianmukaisen suorittamisen todentamista varten seurantaan ja valvontaan liittyvät suunnitelmat ja raportit tulee dokumentoida. Seuraavassa on esitetty suunnitelmien ja raporttien päätyypit. Esimerkit ovat viitteellisiä ja organisaatiossa voidaan poiketa niistä. Tärkeää kuitenkin on, että seuraavissa kohdissa olevat asiat on dokumentoitu riittävällä tavalla. Seuraavissa kappaleissa mainittujen dokumenttien lisäksi organisaatioilla tulee olla tietoturvapolitiikka. Sosiaali- ja terveysministeriö on laatinut organisaatioita varten esimerkkimallin tietoturvapolitiikaksi. 5.1 Riskianalyysi Organisaatiolla saattaa jo tällä hetkellä olla toimiva seuranta- ja valvontajärjestelmä, jolloin ereseptilain mukaisesta valvonnasta selvitään nykyisiä suunnitelmia ja prosesseja tarkistamalla. Toisille organisaatioille taas tietojen käytönvalvonta on uusi asia. Seurantaa ja valvontaa tulee joka tapauksessa saatujen kokemusten ja tehtyjen havaintojen avulla jatkuvasti kehittää. Reseptikeskuksen tietojen käsittelyn lokivalvonta on luonteeltaan jälkikäteistä valvontaa. Lainsäädäntö ja auditointivaatimukset asettavat organisaatioille ja niiden käyttämille tietojärjestelmille myös monia vaatimuksia, joilla pyritään ennakolta edistämään tietosuojaa ja estämään tietojen asiatonta käsittelyä. Ennakoivin toimenpitein pyritään estämään riskien toteutuminen ja jälkikäteisvalvontatoimenpiteillä pienennetään riskien toteutumisen aiheuttamia kielteisiä vaikutuksia. Edellä kappaleessa 3 on jo esitetty joitakin esimerkkitilanteita, joita mm. STM:n ydindokumentin ja Kelan tekemän riskianalyysin perusteella on syytä valvoa lokivalvonnan avulla. Jokaisen organisaation on kuitenkin hyvä laatia oma riskikartoituksensa osana seurannan ja valvonnan suunnittelua. 5.2 Seuranta- ja valvontasuunnitelma Seuranta- ja valvontasuunnitelma, joka voi sisältyä myös esimerkiksi organisaation tietoturvapolitiikkaan sisältää valvonnan yleiset periaatteet. Suunnitelmaan sisältyy vähintään kuvaukset seuraavista asioista valvonnan periaatteet valvonnan välineet valvonnan kohteet (säännöllisesti valvottavat asiat) valvontaprosessi, mukaan lukien väärinkäyttöepäilysten selvittäminen valvonnan organisointi ja vastuutahot valvonnan raportointimenettelyt

Seuranta ja valvonta 13(16) 5.3 Vuosisuunnitelma Seurantaa ja valvontaa varten tulee laatia valvonnan vuosisuunnitelma, jossa määritellään seuraavan vuoden valvonnan erityiset painopisteet ja seurattavat asiat. 5.4 Raportit ja tarkastuskertomukset Organisaatioiden suorittamasta säännöllisestä valvonnasta kertyy tyypillisesti, raportointivälistä riippuen, esim. viikko- tai kuukausiraportteja. 5.5 Vuosiraportti Vuosisuunnitelmaan liittyvistä tarkastuksista ja valvonnoista sekä yksittäisten tapausten selvittelyyn liittyvistä tarkastuksista syntyy erilaisia valvonta- ja tarkastuskertomuksia. Organisaation tietosuojavastaava raportoi tyypillisesti organisaation johdolle kuluneena vuonna suoritetusta valvonnasta sekä mahdollisesti havaituista epäkohdista ja puutteista tietoturvassa ja/tai tietosuojassa. Vuosittain tapahtuvan raportoinnin lisäksi erityisesti alkuvaiheessa organisaation johdon on syytä edellyttää myös lyhyemmän aikavälin raportointia, esim. neljännesvuosittain. 5.6 Raportit ja ilmoitukset Kelalle Kelalla on Reseptikeskuksen rekisterinpitäjänä velvollisuus seurata tietosuojan toteutumista eresepti-palvelussa. Edellä sanotussa tarkoituksessa Kela edellyttää eresepti-palveluun liittyneiden terveydenhuollon toimintayksiköiden ja apteekkien säännöllistä vuosittaista raportointia suorittamastaan valvonnasta ja muista tietoturvaan ja tietosuojaan liittyvistä asioista. Yksittäisistä väärinkäytöstapauksista tai epäilyistä terveydenhuollon toimintayksikkö ja apteekki raportoivat Kelalle viipymättä erikseen.

Seuranta ja valvonta 14(16) 6 Seuraamukset väärinkäytöksistä eresepti-palvelun käyttäjiksi liittyneet organisaatiot huolehtivat omalta osaltaan tietosuojavelvoitteista ja ovat velvollisia puuttumaan oman henkilöstönsä lain- ja ohjeiden vastaiseen menettelyyn käyttäen niitä hallinnollisia menettelyjä, jotka asianomaisessa organisaatiossa on käytössä. Väärinkäytöstapausten selvittämistä ja rankaisua varten organisaatioilla tulee olla laadittuna oma prosessi. Myös Kelan tulee puuttua asian vaatimalla tavalla viipymättä säännösten ja ohjeiden vastaiseen menettelyyn. Edellä on kerrottu organisaation velvollisuudesta raportoida Kelalle epäillyistä ja todetuista Reseptikeskuksen tietoihin kohdistuneista väärinkäytöksistä. Organisaation on ilmoitettava havaitsemistaan väärinkäytöksistä myös niiden kohteeksi joutuneille henkilöille ja annettava näille mahdollisuus käynnistää oma prosessinsa. Toimenpiteisiin ryhtyminen ja toimenpiteiden laatu tulee harkita aina tapauskohtaisesti teon vakavuuden mukaan. Ehdottoman pääsäännön mukaan Reseptikeskuksen tietojen perusteettoman käsittelyn tulee aina johtaa seuraamukseen asianomaiselle henkilölle. Rikosoikeudelliset seuraamukset Reseptikeskuksen tietojen lainvastainen käsittely voi täyttää jonkin seuraavista rikoksista tunnusmerkistön. Henkilörekisteririkos, rikoslaki 38 luku 9 Henkilörekisteririkkomus, henkilötietolaki 48 :n 2 momentti Salassapitovelvollisuuden rikkominen, rikoslaki 38 luku 1 ja 2 Virkasalaisuuden rikkominen ja tuottamuksellinen virkasalaisuuden rikkominen, rikoslaki 40 luku 5 Sähköisestä lääkemääräyksestä annetun lain rikkominen, ereseptilaki 26 Tietomurto, rikoslaki 38 luku 8 esim. toisen henkilön ammattikortin käyttäminen eresepti-palveluun tunnistautumisessa täyttää tietomurron tunnusmerkistön Kela, terveydenhuollon organisaatio ja apteekki ovat kukin tarvittaessa velvollisia tekemään tutkintapyynnön havaitusta väärinkäytöksestä. Jos kyseessä on vakava lainvastaisuus, tulee tutkintapyyntö aina tehdä. Asian antaminen rikostutkintaan on myös ainoa keino tilanteessa, jossa väärinkäytökseen syyllistynyt henkilö ei ole enää organisaation palveluksessa, jolloin ei voida käyttää työsuhteeseen liittyviä seuraamuksia.

Seuranta ja valvonta 15(16) Työsuhteeseen liittyvät seuraamukset Työsuhteeseen liittyvät seuraamukset ovat mahdollisia, kun väärinkäytökseen syyllistynyt henkilö on vielä organisaation palveluksessa. Lievässä tapauksessa voidaan antaa huomautus tai suullinen varoitus. Seuraamus voi myös koskea työjärjestelyjä; muutetaan toimenkuvaa taikka poistetaan tai rajoitetaan käyttöoikeuksia. Vakavissa tapauksissa seuraamuksina tulevat kyseeseen kirjallinen varoitus taikka työsuhteen irtisanominen tai purkaminen. Henkilölle voidaan myös antaa oikeus itse purkaa tai irtisanoa työsuhteensa. Vahingonkorvausvastuu Vahinkojen korvaamisesta säädetään vahingonkorvauslaissa. Vahingonkorvauslain nojalla rekisterinpitäjän pitäjän ohella myös tietoja lainvastaisesti käsitellyt henkilö tai hänen työantajansa voi joutua vastuuseen aiheutuneesta taloudellisesta tai muusta vahingosta.

Seuranta ja valvonta 16(16) 7 Valvonnan ohjeistus ja henkilökunnan informointi 7.1 Terveydenhuollon ja apteekin työohjeet Terveydenhuollon toimintayksiköt ja apteekit laativat omat ohjeensa valvonnan käytännön toteuttamisesta, raportointivälineen käytöstä, raporttien arkistoinnista jne. 7.2 Henkilökunnan informointi sähköisestä valvonnasta Lokivalvonnan toteuttamisessa on otettava huomioon myös työelämän tietosuojasta annetun lain säännökset. Työnantajan tulee määritellä teknisin keinoin tapahtuvan työntekijöiden valvonnan käyttötarkoitus ja siinä käytettävät menetelmät. Työntekijöille on tiedotettava valvonnan tarkoituksesta, valvonnan käyttöönotosta ja siinä käytettävistä menetelmistä. Henkilökuntaa on informoitava myös heidän oikeuksistaan.

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute