Tietosuoja sosiaali- ja terveyspalveluissa Ari Andreasson tietosuojavastaava, Tampereen kaupunki 29.4.2016, Helsinki
Tietosuoja Kansainvälistä ja yksilön perusoikeus tiedollista kotirauhaa Henkilötietojen oikeaoppista käsittelyä ja suojaamista sivullisilta Välineriippumatonta Varsinkin sosiaali- ja terveydenhuollossa pitkään tunnistettuja asioita (vrt. Hippokrateen vala) Oikeusturvaa asiakkaalle/potilaalle sekä työntekijöille Sähköisissä järjestelmissä vahingon torjunta on halvempaa kuin vahingon
Tietosuojan hedelmät Asiakasnäkökulma Asiakkaiden ja potilaiden yksityisyyden suoja paranee Potilasturvallisuus paranee terveydenhuollossa Organisaation näkökulma Organisaatio näyttäytyy luotettavana palvelujen antajana ja haluttuna yhteistyökumppanina Organisaation tuottavuus ja tehokkuus kasvaa (kustannussäästöt) Riskien todennäköisyydet ja vaikutukset pienenevät
Ajankohtaista EU:n tietosuoja-asetuksesta on päästy EU:ssa sopuun (kahden vuoden siirtymäaika lopullisesta hyväksymisestä) rekisterinpitäjällä korkea vastuu tilintekokykyisyys korostuu ilmoitusvelvollisuuksia tietosuojapoikkeamissa tietosuojaviranomaisille ja rekisteröidyille mahdollisia suuria rahallisia sakkoja tietosuojalaiminlyönneistä SOTE-sektorilla useita lainsäädännön muutoshankkeita käynnissä tulee olemaan vaikutuksia mm. rekisterinpitoon ja henkilötietojen käsittelyyn Palveluita keskitetään yhä enemmän internettiin terveysteknologia lisääntyy etälääketiede mukana palveluissa
Tietosuojavastaava Tietosuojavastaavan rooli ja tehtävät perustuvat Suomessa lakiin: - laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) - laki sähköisestä lääkemääräyksestä (61/2007) Edellytys on, että jokainen sosiaali- ja terveydenhuollon palvelujen antaja ja mm. apteekki sekä Kansaneläkelaitos nimeävät tietosuojavastaavan Tietosuojavastaavan rooli tulee olemaan vaatimuksena muuallakin kuin sosiaali- ja terveydenhuollossa, kun EU:n yleinen tietosuoja-asetus tulee velvoittavaksi lainsäädännöksi (vuonna 2018) Tietosuojavastaavan tehtävä on toimia rekisterinpitäjän erityisasiantuntijana
Selvityspyyntöjä, kanteluita ja kysymyksiä esitetään suoraan esim. eduskunnan Kansalaiset ovat valveutuneita Ihmiset tuntevat oikeutensa ja pyytävät tarkastusoikeuden pohjalta omien/ alaikäisten huollettavien/ikäihmisten tietojen tarkistamista ja sen jälkeen mahdollisesti myös tietojen korjaamista/poistamista Kuolleiden henkilöiden elinaikaisia asiakirjoja pyydetään esim. testamenttiriitoihin liittyen Alaikäisten lasten tietoja pyydetään esim. huoltajuusriitoihin liittyen Käyttölokiselvityksiä pyydetään (=kuka tietojani katselee?) Potilasasiamiehelle, sosiaaliasiamiehille, juristeille sekä tietosuojavastaavalle tulee henkilötietojen käsittelyyn liittyviä kysymyksiä
Johdon rooli Mihin pitää keskittyä? Nykytilan kartoitus Henkilörekisterihallinnon järjestäminen ja tietosuoja/rekisteriselosteet Kirjalliset politiikat, periaatteet ja ohjeet ( data protection by design -periaatetta tukeva) Riittävät resurssit Tietosuojavastaavan nimeäminen ja tehtävien/aseman määrittely Tietosuojaryhmän perustaminen ja tehtävien määrittely Riskienhallinta Riskien tunnistaminen ja luokittelu Riskianalyysit Toimintaohjeet riskien toteutuessa Kirjalliset sopimukset palveluja ostettaessa (turvallisuusliitteet, raportointivelvoitteet)
Tietosuojatyön toteuttaminen -Vaatii yhteistyötä Henkilöstön tukena toimiminen Lainsäädännön muutoksien seuraaminen ja tiedottaminen Ohjeiden laatiminen ja jalkauttaminen Henkilöstön perehdytysprosessin varmistaminen Henkilöstön kouluttaminen ja auttaminen Henkilöstön osaamisen mittaaminen Henkilötietojen käsittelyn valvonta Tietosuojapoikkeamien raportointi johdolle
Liian vähäinen koulutus henkilöstölle: Tietosuojariskejä Tietosuojattavan jätteen (paperit, usb-tikut, cd-levyt) käsittelyprosessin puutteet: Salassa pidettäviä tietoja sisältävää materiaalia voi päätyä kaatopaikalle tai muuten sivullisille Hävityksessä kannattaa käyttää lukollisia astioita ja tilata jätteen hävityspalvelu siihen erikoistuneelta yritykseltä Tietojen luovutukset: Sähköisissä luovutuksissa pitää henkilötiedot suojata riittävästi (ei saa käyttää esim. suojaamatonta sähköpostia) Täytyy varmistaa, että luovutuksen saajalla on oikeus saada tiedot Käyttöoikeuksien hallinnan puutteet: Käyttöoikeuksia on voimassa, vaikka ei pitäisi tai ne ovat vääränlaiset eivätkä vastaa työtehtäviä
Käytönvalvonta Henkilötietojen käsittelystä tallentuu nk. lokitietoa Lokitietojen avulla pitää jälkikäteisesti valvoa tietojen käsittelyn luvallisuutta Lokit tuovat oikeusturvaa henkilöstölle, koska niistä voidaan myös todentaa se, ettei työntekijä ole käsitellyt luvatta tietoja, vaikka kansalainen niin väittäisi Henkilötietojen luvaton käyttö on rikos Suomessa on annettu rangaistuksena vankeustuomioita sakkojen ja vahingonkorvaussanktioiden lisäksi Muistakaa, että käytätte vain henkilökohtaisia käyttäjätunnuksia ja salasanoja ja lukitsette ohjelmat tai tietokoneen kun se ei ole valvonnassanne!
6.5.2016