LIEKSAN KAUPUNGIN SOSIAALI- JA TERVEYSPALVELUJEN TIETOSUOJAN SEURANTA JA VALVONTA Hyväksytty johtoryhmässä: 18.1.2016 Käsitelty ja hyväksytty YT-toimikunnassa:
2(8) SISÄLLYS LIEKSAN KAUPUNGIN SOSIAALI- JA TERVEYSPALVELUJEN TIETOSUOJAN SEURANTA JA VALVONTA sisällysluettelo... 2 1 JOHDANTO... 3 2 LAINSÄÄDÄNTÖÄ... 3 3 KÄYTTÖLOKIREKISTERIT JA VALVONNAN ORGANISOINTI... 3 4 VALVONNAN PERIAATTEET... 4 5 TIETOSUOJAN VALVONNAN TOTEUTUS... 4 5.1 SÄÄNNÖLLINEN VALVONTA... 4 5.1.1 Asiakas-/potilastietojärjestelmien tietojen säännöllinen valvonta... 5 5.2 Työnantajan henkilörekisterin tietojen valvonta... 5 5.3 Pistokoevalvonta... 5 5.4 Asiakkaan selvityspyyntöön perustuva valvonta... 5 5.4.1 Asiakas-/potilasrekisteriin liittyvät pyynnöt... 5 5.4.2 Kanta-palveluun liittyvät pyynnöt... 5 6 HENKILÖKUNNAN INFORMOINTI SÄHKÖISESTÄ VALVONNASTA... 6 7 VALVONNAN VÄLINEET... 6 7.1 Lokitietojen käyttö... 6 8 VALVONTAPROSESSI JA VÄÄRINKÄYTÖN SEURAAMUKSET... 6 8.1 Valvontaprosessi... 6 8.2 Tietoturva- ja tietosuojarikkomusten seuraamukset... 7 8.3 Harjoittelijat ja opiskelijat... 7 8.4 Käyttöoikeuksien rajoittaminen selvitystyön ajaksi... 7 9 VALVONTAAN LIITTYVÄT VASTUUT JA DOKUMENTAATIO... 7 9.1 Vuosisuunnitelma... 7 9.2 Valvontamateriaalin kirjaaminen ja arkistointi... 7 9.3 Vuosiraportti... 8 9.4 Raportit ja ilmoitukset Kelalle... 8
3(8) 1 JOHDANTO Tässä suunnitelmassa kuvataan Lieksan kaupungin sosiaali- ja terveyspalvelujen henkilörekisterien (potilas-, asiakas- ja muiden henkilörekisterien) sekä Kanta-palvelujen tietojen käsittelyn seurannan ja valvonnan periaatteet, valvontakohteet, valvonnan dokumentointi sekä väärinkäytösten seuraamukset. 2 LAINSÄÄDÄNTÖÄ Tässä dokumentissa käsitellään sosiaali- ja terveyspalvelujen asiakas- ja potilastietojen käyttölokien seurantaa ja valvontaa. Muut lokitiedot (luovutus-, tapahtuma-, virhe-, muutosloki, jne.) jäävät käsittelyn ulkopuolelle. Lokitietojen ylläpitoon, sisältöön ja käytön valvontaan sekä arkistointiin velvoittavia säädöksiä ja määräyksiä terveydenhuollossa ovat: Henkilötietolaki (523/1999) 32 Laki sähköisestä lääkemääräyksestä (61/2007) 24 Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) 5 ja 18 Julkisuuslaki (1999/621) 11 12 Sosiaali- ja terveysministeriön potilasasiakirjoista annetun asetuksen (298/2009) 4 :n 2 mom ja 24. Asianmukainen seuranta ja valvonta edellyttävät, että valvonta on säännöllistä ja perustuu suunnitelmaan. Suunnitelmallinen valvonta varmistaa myös tietojen käsittelijöiden oikeusturvaa. 3 KÄYTTÖLOKIREKISTERIT JA VALVONNAN ORGANISOINTI Lokirekisteri on henkilörekisteri, joka sisältää tiedot järjestelmän käyttötapahtumista ja josta on laadittava rekisteriseloste tai rekisteriselosteen sijasta tietosuojaseloste. Rekisteröityjä ovat kaikki henkilöt, jotka ovat saaneet oikeuden käyttää potilasrekisteriä tai sen osarekisteriä ja heille on luotu käyttäjätunnus potilastietojärjestelmään. Jokaiselle rekisterille, myös lokirekisterille, on määriteltävä rekisterinpitäjä. Rekisterinpitäjällä on vastuu rekisterinpidosta. Lainsäädännön mukaiset rekisteritietojen suojauskeinot ovat teknisiä ja organisatorisia. Organisatorisia keinoja ovat muun muassa käyttöoikeuksien jakaminen työtehtävien mukaan, käyttöoikeuksien ja käyttäjätunnuksen luovuttamisen yhteydessä annettu ohjaus ja vaitiolositoumus sekä tiedottaminen lokitietojen käytön valvonnasta. Rekisterinpitäjän ja sen vastuuhenkilöiden asiana on huolehtia siitä, että rekisteritoiminnot ja niiden atk-järjestelmät vastaavat lainsäädäntöä ja että rekisteriä käyttäville työntekijöille on annettu asianmukaiset määräykset, ohjeet ja koulutus.
4(8) Lokitietoja valvovalla henkilöstöllä on oikeus ja velvollisuus käyttää lokirekisteriin kertyviä tietoja valvoessaan henkilötietojen käsittelyä (tiedon käyttöä). Sosiaali- ja terveyspalveluihin on nimetty tietosuojavastaavat, joiden tehtävänä on toimia rekisterinpitäjän erityisasiantuntijoina henkilötietojen hyvän käsittelytavan ja korkeatasoisen tietosuojan saavuttamiseksi. Heidän tehtävänään on myös ohjata ja neuvoa henkilökuntaa ja kansalaisia tietosuoja-asioissa sekä auttaa rekisterinpitäjää toteuttamaan sille määrätyt henkilötietolain mukaiset velvoitteet. Sosiaali- ja terveyspalveluihin on nimetty tietosuojatyöryhmä. Sen tehtävänä on valvoa mm. sosiaali- ja terveyspalveluiden tietoturvapolitiikan, -suunnitelman ja -ohjeiden laatimista, toteuttamista sekä ajan tasalla pitämistä. 4 VALVONNAN PERIAATTEET Henkilökunnalta edellytetään henkilö- ja potilastietojen käsittelyn osaamista. Sosiaali- ja terveyspalveluiden johto on antanut henkilökunnalle kirjalliset ohjeet henkilö- ja potilastietojen käsittelyn periaatteista. Työntekijät ovat sitoutuneet noudattamaan sääntöjä allekirjoittamalla asiakas- ja potilasasiakirjojen salassapito- ja vaitiolositoumuksen. Palvelukseen ottamistilanteessa, koulutuksella ja ohjeistuksella sekä YT-menettelyn mukaisesti henkilökunnalle on välitetty tieto siitä, että henkilö- ja potilastietojen käyttöä valvotaan organisaation, Kelan ja kansalaisten taholta ja että väärinkäytöksistä aiheutuu aina seuraamus. Sosiaali- ja terveyspalvelujen johto ryhtyy tarvittaviin toimenpiteisiin, jos joku on ohjeiden vastaisesti katsonut, käyttänyt tai luovuttanut asiakas- ja potilastietoja. Yksittäiset työntekijät vastaavat omasta toiminnastaan viime kädessä työ-, rikos- ja vahingonkorvausoikeudellisten sanktioiden uhalla. Mahdolliset väärinkäytösepäilyt selvitetään ennalta määriteltyjä menettelytapoja noudattaen ja väärinkäytöksistä rangaistaan yhdenmukaisesti. Jos tietoturvarikkomusepäily kohdistuu Kanta-palvelussa olevien tietojen käyttöön, on Kelalla rekisterinpitäjänä velvollisuus selvittää asiaa ja pyytää selvitystä terveydenhuollon organisaatiolta. Kelalla on myös yleinen valvontavastuu Kanta-palvelujen tietojen asianmukaisesta käytöstä. Terveydenhuollon organisaatio hoitaa raportointivelvoitteet Kelan suuntaan määrätyllä tavalla. 5 TIETOSUOJAN VALVONNAN TOTEUTUS 5.1 Säännöllinen valvonta Sosiaali- ja terveyspalvelujen potilas- ja asiakastietojärjestelmää seurataan ja valvotaan säännöllisesti. Tietosuojavastaavat tekevät säännöllisesti jälkikäteistarkistuksia, joilla valvotaan järjestelmän asianmukaista käyttöä. Tietosuojavastaavien tehtäviin kuuluvat myös Kanta-palvelujen käytön valvonta.
5(8) 5.1.1 Asiakas-/potilastietojärjestelmien tietojen säännöllinen valvonta Asiakas- ja potilasrekisteristä valitaan satunnaisotannalla muutamia käyttötapauksia, joiden tietojen asianmukainen käyttö tarkastetaan. 5.2 Työnantajan henkilörekisterin tietojen valvonta Työnantaja pitää henkilörekisteriä työntekijöistään. Näiden tietojen käyttöä valvotaan rekisteröidyn pyynnöstä. 5.3 Pistokoevalvonta Sosiaali- ja terveyspalvelut tekevät säännöllistä ja suunnitelmallista pistokoevalvontaa, jossa tarkastetaan esimerkiksi julkisuuden henkilöihin kohdistuneet haut sekä potilaat, joiden tietoja on käytetty eniten tai muut pistokoevalvontaan soveltuvat tapaukset. 5.4 Asiakkaan selvityspyyntöön perustuva valvonta Asiakkaalla/potilaalla on oikeus tarkastaa usean eri lain perusteella tietojensa käytön laillisuus. Pelkkä epäily väärinkäytöstä riittää tarkastuksen perusteeksi. Asiakas/potilas voi pyytää valvonnan useammalta eri viranomaiselta. 5.4.1 Asiakas-/potilasrekisteriin liittyvät pyynnöt Asiakas/potilas voi tehdä sosiaali- ja terveyspalveluihin selvityspyynnön asiakas- /potilasrekisterissä olevien tietojen käytön perusteista. Asiakkaalle/potilaalle lähetetään kirjallinen vastaus selvityksestä ja huomatuista epäkohdista. Jos valvontapyyntö kohdistuu yhteisrekisterin alueelle, sosiaali- ja terveyspalvelut tekevät pyynnön kaikille niille rekisterinpitäjille, joiden alueella on asiakkaan/potilaan tietoja käsitelty. 5.4.2 Kanta-palveluun liittyvät pyynnöt Potilas voi tehdä Kelalle tai alueen terveydenhuollon yksiköille selvityspyynnön Kantapalveluissa olevien tietojensa käytön perusteista. Valvontaprosessi aloitetaan 14 vuorokauden sisällä pyynnön saapumisesta. Asia selvitetään, ja potilaalle annetaan kirjallinen selvitys tietojen käytön perusteista. Jos potilas osoittaa pyyntönsä Kelalle ja kyse on tietojen käytöstä sosiaali- ja terveyspalveluissa, Kela lähettää sosiaali- ja terveyspalveluille selvityspyynnön potilaan tietojen käytöstä. Kela laatii potilaalle vastauksen sosiaali- ja terveyspalvelujen antaman selvityksen perusteella. Kela voi myös omassa valvonnassaan havaita jotakin epäselvyyttä tai väärinkäyttöön viittaavaa terveydenhuollon organisaation puolella. Kela voi tällöin pyytää selvityksen organisaatiolta siellä tapahtuneesta Kanta-palvelujen tietojen käsittelystä. Organisaation tulee toimittaa Kelan pyytämät tiedot viipymättä.
6(8) 6 HENKILÖKUNNAN INFORMOINTI SÄHKÖISESTÄ VALVONNASTA Lokivalvonnassa on otettu huomioon myös työelämän tietosuojasta annetun lain säännökset. Työntekijöille tiedotetaan valvonnan tarkoituksesta, valvonnan käyttöönotosta ja siinä käytettävistä menetelmistä. Henkilökuntaa on informoitava myös heidän oikeuksistaan. 7 VALVONNAN VÄLINEET Sosiaali- ja terveyspalvelujen käytössä olevien henkilö-, asiakas- ja potilastietoja sisältävien rekisterien tietojen käsittelyn jälkikäteisvalvonta tapahtuu pääasiassa lokitietojen perusteella. Valvontatyössä saatetaan tarvita myös asiakas- tai potilasrekisterin tietoja. Tarvittaessa valvonnan tukena käytetään myös muiden valvontajärjestelmien tuottamaa tietoa. 7.1 Lokitietojen käyttö Lokitietoja käytetään tietosuojaselosteen mukaisella tavalla. Lokitietoja pääsevät käsittelemään vain tietosuojavastaavat ja muut vastaavassa asemassa olevat henkilöt. Vaikka lokitiedot sisältävät tiedon asiakirjasta, tietosuojavastaavat eivät näe asiakirjan sisältöä. Lokitiedot on luokiteltu salassa pidettäviksi eikä niitä saa paljastaa sivullisille. Käyttölokin säilytysaika on 12 vuotta. Säilytysaika määritellään potilasasiakirja-asetuksessa (STM asetus 298/2009). Kelan luovuttamia lokitietoja saavat käsitellä ja niihin tulee olla pääsy ainoastaan tietosuojavastaavilla sekä tarvittaessa muilla valvontatyöhön osallistuvilla henkilöillä ja toiminnasta vastaavalla organisaation johdolla. Kyseisiä tietoja ei saa käyttää muuhun tarkoitukseen kuin lain sähköisestä lääkemääräyksestä tai asiakastietolain mukaiseen Kanta-palvelujen tietojen käsittelyn lainmukaisuuden valvontaan. Kelan luovuttamia lokitietoja ei saa organisaatiossa säilyttää kauemmin kuin se on valvontatehtävän suorittamiseksi välttämätöntä. Tiedot tulee hävittää tietoturvallista tapaa noudattaen. 8 VALVONTAPROSESSI JA VÄÄRINKÄYTÖN SEURAAMUKSET Tietosuojarikkomuksia ovat organisaation henkilörekisterien käytöstä annettujen ohjeiden vastainen toiminta sekä henkilörekisterien käyttäminen Suomen lakien vastaisesti. Vakavimmissa tapauksissa organisaation on ilmoitettava havaitsemistaan väärinkäytöksistä myös niiden kohteeksi joutuneille henkilöille ja poliisille. 8.1 Valvontaprosessi Liitteessä 1 on kuvattu Sisäisen käyttölokivalvonnan prosessi.
7(8) 8.2 Tietoturva- ja tietosuojarikkomusten seuraamukset Tietosuojarikkomusten sanktioinnista on sovittu sosiaali- ja terveyslautakunnassa 24.04.2012. Sanktiointi on kuvattu asiakas- ja potilastietojen salassapito- ja vaitiolovelvollisuus sitoumuksessa. 8.3 Harjoittelijat ja opiskelijat Opiskelijoiden sanktiointi kuuluu oppilaitoksille. Lieksan kaupunki harkitsee aina harjoitteluoikeuden peruuttamista, jos opiskelija on rikkonut sosiaali- ja terveyspalvelujen tietoturva- tai tietosuojaohjeita. 8.4 Käyttöoikeuksien rajoittaminen selvitystyön ajaksi Käyttöoikeuksia voidaan rajoittaa joko sulkemalla kaikki tai osa käyttäjän käyttäjätunnuksista tai muutoin estämällä jonkin tietojärjestelmän käyttö (esim. poistamalla tiedon muutosoikeus). Käyttöoikeuksien rajoittamisesta selvitystyön ajaksi päättää työntekijöiden osalta esimies ja muiden käyttäjien osalta rekisterin vastuuhenkilö. Harjoittelijoiden ja opiskelijoiden osalta päätöksen tekee rekisterin vastuuhenkilö. Kiireellisissä tapauksissa rekisterin vastuuhenkilö voi omalla päätöksellään rajoittaa käyttäjän käyttöoikeuksia. Asiasta tulee ilmoittaa välittömästi myös käyttäjän esimiehelle. 9 VALVONTAAN LIITTYVÄT VASTUUT JA DOKUMENTAATIO Valvonnan asianmukaisuutta seurataan, ja sen vuoksi työhön liittyvät suunnitelmat ja raportit tulee arkistoida. Seurantaa ja valvontaa tulee jatkuvasti kehittää saatujen kokemusten ja tehtyjen havaintojen avulla. Seurannasta ja valvonnasta vastaa tietosuojavastaavat. He ovat vastuullisia raportoimaan epäkohdista ja rikkeistä johtoryhmälle sekä rikkeen tekijän esimiehille. Sanktiointivastuu kuuluu esimiehille. 9.1 Vuosisuunnitelma Seurantaa ja valvontaa varten laaditaan vuosisuunnitelma, jossa määritellään seuraavan vuoden valvonnan erityiset painopisteet ja seurattavat asiat. Valvontasuunnitelman hyväksyy tietosuojatyöryhmä kalenterivuoden ensimmäisessä kokouksessa. 9.2 Valvontamateriaalin kirjaaminen ja arkistointi Tietosuojavalvonnassa syntyvä materiaali kirjataan Dynasty-asiankäsittelyjärjestelmään ja arkistoidaan keskitetysti asianhallintatiimissä.
8(8) 9.3 Vuosiraportti Organisaation tietosuojavastaavat raportoivat organisaation johdolle kuluneena vuonna suoritetusta valvonnoista sekä mahdollisesti havaituista epäkohdista ja puutteista tietosuojassa. Raportin hyväksyy tietosuojatyöryhmä vuoden ensimmäisessä kokouksessa. 9.4 Raportit ja ilmoitukset Kelalle Kelalla on velvollisuus seurata tietosuojan toteutumista Kanta-palvelussa. Kela edellyttää Kanta-palveluun liittyneiltä terveydenhuollon toimintayksiköiltä ja apteekeilta säännöllistä vuosittaista raportointia valvonnasta sekä muista tietoturvaan ja tietosuojaan liittyvistä asioista. Yksittäisistä väärinkäytöstapauksista tai -epäilyistä sosiaali- ja terveyspalvelut raportoi Kelalle viipymättä erikseen. Raportoinnin vastuuhenkilö organisaatiossa on tietosuojavastaava. LIITE 1: Sisäisen käyttölokivalvonnan prosessi.