Tietosuojakysely 2016 Yksityinen terveydenhuolto Kansaneläkelaitos Tietosuojavaltuutetun toimisto
Sisällys Tietosuojakysely 2016 tulokset yksityinen terveydenhuolto... 2 Yleistä... 2 Tietosuojavastaavat... 4 Apteekkarin tai organisaation vastaavan johtajan antamat kirjalliset ohjeet henkilökunnalle, ohjeiden jalkauttaminen ja henkilökunnan koulutus tietosuojaasioissa... 9 Reseptikeskuksen tietojen käsittelyn seuranta ja valvonta... 18 Omavalvontasuunnitelma... 24 Miten suhtaudutte tietosuojaan organisaatiossanne?... 26
Tietosuojakysely 2016 tulokset yksityinen terveydenhuolto Vastausprosentti Yksityinen terveydenhuolto 49 % Yleistä 1. Organisaationne on 2. Organisaation nimi (avoimet vastaukset) 3. Organisaation OID-tunnus (avoimet vastaukset) 4. Vastaajan nimi, asema organisaatiossa ja yhteystiedot (puhelinnumero ja sähköpostiosoite) (avoimet vastaukset) 2 (27)
5. Organisaationne koko henkilökunnan määrän mukaan 3 (27)
Tietosuojavastaavat 6. Mihin henkilöstöryhmään tietosuojavastaavanne kuuluu? 4 (27)
7. Mihin seuraavista asioista tietosuojavastaavanne on perehtynyt? 8. Käsitelläänkö tietosuoja- ja tietoturva-asioita organisaatiossanne tietosuoja- tai muussa vastaavassa ryhmässä? 9. Jos tietosuoja- ja tietoturva-asioita käsitellään tietosuoja- tai muussa vastaavassa ryhmässä organisaatiossanne, onko potilasasiamies tai sosiaaliasiamies ryhmän jäsen? (Kysymys on osoitettu sosiaali- ja terveydenhuollon edustajille. Apteekin edustajat voivat siirtyä seuraavaan kysymykseen.) 5 (27)
10. Onko tietosuojavastaavan toimenkuva määritelty selkeästi organisaatiossanne? 11. Onko apteekkari tai organisaation johto antanut tietosuojavastaavan tehtävistä kirjallisen tehtävien kuvauksen? 12. Onko edellä mainittu tietosuojavastaavan kirjallinen tehtävien kuvaus annettu henkilökunnalle tiedoksi tai hänen tehtävistään muutoin tiedotettu? 6 (27)
13. Mitä tietosuojavastaavan tehtäviin kuuluu organisaatiossanne? 14. Hoitaako tietosuojavastaavanne tehtäväänsä päätoimisesti 7 (27)
15. Kuinka paljon työajasta tietosuojavastaava voi käyttää tietosuojavastaavan tehtävän hoitamiseen? 16. Onko tietosuojavastaavalla riittävästi aikaa hoitaa tietosuojavastaavan tehtävää? 17. Minkälaista ohjausta toivoisitte tietosuojavastaavan tehtävien ja toimenkuvan selkeyttämiseksi ja miten niitä voitaisiin kehittää? (avoimet vastaukset) 8 (27)
Apteekkarin tai organisaation vastaavan johtajan antamat kirjalliset ohjeet henkilökunnalle, ohjeiden jalkauttaminen ja henkilökunnan koulutus tietosuoja-asioissa 18. Onko apteekkari tai organisaation vastaava johtaja laatinut henkilökunnalle kattavat kirjalliset ohjeet asiakas- ja potilastietojen käsittelystä eri toimintaprosesseissa? 19. Onko apteekkari tai organisaation vastaava johtaja järjestänyt henkilökunnalle koulutuksen, jolla varmistetaan henkilökunnan toiminta edellä mainittujen kattavien kirjallisten ohjeiden mukaisesti? 9 (27)
20. Mitä aihepiirejä apteekkarin tai organisaation vastaavan johtajan laatimat kirjalliset ohjeet koskevat? 10 (27)
11 (27)
21. Onko henkilökuntaa ohjeistettu kattavasti ja kirjallisesti siitä, kenellä on oikeus käsitellä ja katsoa sähköisiä reseptitietoja ja milloin katselu on laitonta? 22. Oletteko vaatineet työntekijöiltänne kirjallisen salassapito- ja käyttäjäsitoumuksen? 23. Onko organisaatiossanne huolehdittu henkilökunnan riittävän laajasta tietosuoja- ja tietoturvaasioiden osaamisesta? 12 (27)
24. Kuinka suuri osa henkilökunnastanne on saanut koulutusta tietosuoja- ja tietoturva-asioissa vuonna 2015? 13 (27)
25. Mitä aihepiirejä henkilökunnan koulutuksissa on käsitelty? 14 (27)
15 (27)
26. Varmistuuko apteekkari tai organisaation vastaava johtaja henkilökunnan tietosuojaosaamisesta? 27. Miten apteekkari tai organisaation vastaava johtaja on varmistunut henkilökunnan tietosuojaosaamisesta? 16 (27)
28. Mitataanko henkilökunnan osaamista tietosuoja-asioissa? 29. Miten edellä tarkoitettua mittaamista on suoritettu? 30. Miten tietosuoja-asioiden ohjeistusta ja koulutusta voitaisiin kehittää? (avoimet vastaukset) 17 (27)
Reseptikeskuksen tietojen käsittelyn seuranta ja valvonta 31. Ovatko käyttövaltuuksien hallinnointiin liittyvät ohjeistukset, prosessit ja vastuut organisaatiossanne kattavasti dokumentoitu? 32. Kuka hyväksyy organisaatiossanne käyttöoikeudet apteekki- tai potilastietojärjestelmään? 18 (27)
33. Kuka organisaatiossanne käytännössä luo apteekki- tai potilastietojärjestelmien käyttäjätiedot ja käyttöoikeudet sekä ylläpitää ja poistaa ne? 34. Valvotaanko organisaatiossanne Reseptikeskuksen tietojen käsittelyä lokitietojen avulla? 19 (27)
35. Jos asiakas epäilee tietojen väärinkäyttöä ja pyytää selvitystä tietojen käsittelyn perusteista, selvittääkö organisaationne asian? 36. Tehdäänkö oma-aloitteista valvontaa säännöllisesti (esim. pistokokein)? 37. Suoritetaanko tietojen käsittelyn seurantaa ja valvontaa automaattisesti toimivan järjestelmän avulla? 20 (27)
38. Kuinka paljon vuoden aikana tehdyn oma-aloitteisen tietojen käsittelyn valvonnan osuus on vuotuisesta käyttö- ja luovutuslokimassasta, arviosi? 39. Miten muutoin valvotte reseptitietojen käsittelyä kuin lokitietojen avulla? (avoimet vastaukset) 21 (27)
40. Minkä henkilöstöryhmän edustaja tekee käytännössä asiakas- ja/tai potilastietojen käsittelyn valvontaa organisaatiossanne? 41. Onko organisaatiollanne toimintaohje asiakas- ja/tai potilastietojen käsittelyyn liittyvien väärinkäytösten varalle? 22 (27)
42. Mitä toimenpidevaihtoehtoja toimintaohje sisältää väärinkäytöstapausten osalta? 43. Onko organisaatiossanne laadittu henkilökunnan tiedossa oleva suuntaa antava seuraamustaulukko väärinkäytösten vakavuuden arviointia varten? 44. Miten asiakas- ja/tai potilastietojen käsittelyn seurantaa ja valvontaa voitaisiin kehittää? (avoimet vastaukset) 23 (27)
Omavalvontasuunnitelma 45. Onko organisaatiossanne laadittu asiakastietolain 19 h :n mukainen (ks. lääkemääräyslaki 22 b ) tietoturvaan ja tietosuojaan sekä tietojärjestelmien käyttöön liittyvä omavalvontasuunnitelma? 46. Onko laaditun omavalvontasuunnitelman toteutumista seurattu? 47. Onko laaditun omavalvontasuunnitelman sisältöä päivitetty? 24 (27)
48. Onko organisaatiossanne laadittu ja hyväksytty tietosuoja- ja tietoturvapolitiikka? 49. Onko henkilökunnalle ohjeistettu ja koulutettu toimintatavat järjestelmän häiriötilanteessa? 50. Miten omavalvontasuunnitelman laatimista, toteutumista ja sen ajan tasalla pitämistä voitaisiin kehittää? (avoimet vastaukset) 25 (27)
Miten suhtaudutte tietosuojaan organisaatiossanne? 51. Miten tärkeänä koette tietosuojan organisaatiossanne? 52. Jos organisaatiolla on tietosuojaongelmia, ne aiheuttavat mielestänne 26 (27)
53. Mitkä viranomaiset valvovat terveys- ja sosiaalialan henkilötietojen käsittelyä? 54. Miten tietosuojaa organisaatiossanne voitaisiin mielestäsi kehittää paremmaksi? (avoimet vastaukset) 55. Lisätietoja, kommentteja? (avoimet vastaukset) 27 (27)