Kuntamarkkinat 14.9.2016 EU:n tietosuoja-asetus Reijo Aarnio tietosuojavaltuutettu Tietosuojavaltuutetun toimisto 1
YLIKOROSTETUSTA TIETOSUOJASTA ON TULLUT TIETOTEKNIIKAN LIITO-ORAVA - Esko Aho, SITRAN yliasiamies (Tekniikka ja talous, 2.4.2005) SITRA 2005 TIETOTEKNIIKAN KEHITTÄMINEN Image: CC0 Public Domain https://pixabay.com/fi 2
Laki potilaan asemasta ja oikeuksista (785/1992) 4 LUKU Potilasasiakirjat ja hoitoon liittyvä materiaali 12 (30.6.2000/653) Potilasasiakirjat ja hoitoon liittyvä muu materiaali 12.1 Terveydenhuollon ammattihenkilön tulee merkitä potilasasiakirjoihin potilaan hoidon järjestämisen, suunnittelun, toteuttamisen ja seurannan turvaamiseksi tarpeelliset tiedot. Terveydenhuollon toimintayksikön ja itsenäisesti ammattiaan harjoittavan terveydenhuollon ammattihenkilön tulee säilyttää potilasasiakirjat sekä tutkimuksessa ja hoidossa syntyvät biologista materiaalia sisältävät näytteet ja elinmallit potilaan hoidon järjestämisen ja toteuttamisen, hoitoon liittyvien mahdollisten korvausvaatimusten ja tieteellisen tutkimuksen edellyttämä aika. Potilasasiakirjat, näytteet ja mallit tulee hävittää välittömästi sen jälkeen, kun niiden säilyttämiselle ei ole edellä tarkoitettua perustetta. 3
Laki potilaan asemasta ja oikeuksista (785/1992) 4 LUKU Potilasasiakirjat ja hoitoon liittyvä materiaali 13 (30.6.2000/653) Potilasasiakirjoihin sisältyvien tietojen salassapito 13.1 Potilasasiakirjoihin sisältyvät tiedot ovat salassapidettäviä. 13.2 Terveydenhuollon ammattihenkilö tai muu terveydenhuollon toimintayksikössä työskentelevä taikka sen tehtäviä suorittava henkilö ei saa ilman potilaan kirjallista suostumusta antaa sivulliselle potilasasiakirjoihin sisältyviä tietoja. Jos potilaalla ei ole edellytyksiä arvioida annettavan suostumuksen merkitystä, tietoja saa antaa hänen laillisen edustajansa kirjallisella suostumuksella. Sivullisella tarkoitetaan tässä laissa muita kuin asianomaisessa toimintayksikössä tai sen toimeksiannosta potilaan hoitoon tai siihen liittyviin tehtäviin osallistuvia henkilöitä. Salassapitovelvollisuus säilyy palvelussuhteen tai tehtävän päättymisen jälkeen. 4
Euroopan parlamentin ja neuvoston direktiivi 95/46/EY annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta II LUKU YLEISET SÄÄNNÖT HENKILÖTIETOJEN KÄSITTELYN LAILLISUUDESTA III JAKSO TIETOJENKÄSITTELYN ERITYISET RYHMÄT 8 artikla Erityisiä tietoryhmiä koskeva tietojenkäsittely 8.1 Jäsenvaltioiden on kiellettävä. terveyteen ja seksuaaliseen käyttäytymiseen liittyvien tietojen käsittely. 8.3 Sitä, mitä 1 kohdassa säädetään, ei sovelleta, jos tietojenkäsittely on tarpeen ennaltaehkäisevää lääketiedettä tai lääketieteellisiä diagnooseja koskevia tarkoituksia varten, hoidon tai käsittelyn suorittamista varten taikka terveydenhuollon palvelujen hallintoa varten ja jos näitä tietoja käsittelee terveydenhuollon ammattikoulutuksen saanut henkilö, jota kansallinen lainsäädäntö tai toimivaltaisten kansallisten viranomaisten asettama salassapitovelvollisuus koskee, tai jos tietoja käsittelee muu henkilö, jolla on vastaava velvoite. 5
Laki sosiaali ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) 3 luku Potilastietojen sähköinen luovuttaminen valtakunnallisten tietojärjestelmäpalvelujen avulla 10 Potilastietojen luovuttaminen Potilastietoja saa luovuttaa 14 :ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen avulla ainoastaan toiselle terveydenhuollon palvelujen antajalle potilaan terveyden ja sairaanhoidon järjestämiseksi ja toteuttamiseksi. Luovutuksen tulee perustua joko potilaan antamaan suostumukseen, potilaslain 13 :n 3 momentin 3 kohtaan tai muuhun luovutuksen oikeuttavaan lain säännökseen. (21.12.2010/1227) 6
EU-lainsäädännön soveltamisen valvonta EU-lainsäädäntö jakaantuu ns. primaari- ja sekundaarilainsäädäntöön. Primaarilainsäädännöllä tarkoitetaan ennen muuta perussopimuksia, jotka ovat EU:n kaiken toiminnan perusta. Sekundaarilainsäädäntöä kutsutaan myös johdetuksi lainsäädännöksi, sillä se johdetaan perussopimuksissa määritellyistä periaatteista ja tavoitteista. Sekundaarilainsäädäntöön kuuluu asetuksia, direktiivejä ja päätöksiä. Jäsenmailla on ensisijainen vastuu EU:n perussopimusten ja lainsäädännön asianmukaisesta ja oikea-aikaisesta soveltamisesta, ja Euroopan komissio valvoo tätä toimintaa. sellaisenaan voimassa 7
Henkilötietojen käsittelyn lainmukaisuus, 6 artikla Yksiselitteinen suostumus Sopimus Rekisterinpitäjän lakisääteiset velvoitteet Rekisteröidyn elintärkeä etu Yleistä etua koskeva tehtävä / rekisterinpitäjälle kuuluva julkinen valta Rekisterinpitäjän oikeutettu etu Henkilötietojen käsittely historiallisia, tilastollisia ja tutkimustarkoituksia varten, arkistointitarkoitukset Henkilötietojen jatkokäsittely 8
9 artikla Erityisiä henkilötietoryhmiä koskeva käsittely h) käsittely on tarpeen ennalta ehkäisevää tai työterveydenhuoltoa koskevia tarkoituksia varten, työntekijän työkyvyn arvioimiseksi, lääketieteellisiä diagnooseja varten, terveys tai sosiaalihuollollisen hoidon tai käsittelyn suorittamiseksi taikka terveys tai sosiaalihuollon palvelujen ja järjestelmien hallintoa varten unionin oikeuden tai jäsenvaltion lainsäädännön perusteella tai terveydenhuollon ammattilaisen kanssa tehdyn sopimuksen mukaisesti ja noudattaen 3 kohdassa esitettyjä edellytyksiä ja suojatoimia; i) käsittely on tarpeen kansanterveyteen liittyvän yleisen edun vuoksi, kuten vakavilta rajatylittäviltä terveysuhkilta suojautumiseksi tai terveydenhuollon, lääkevalmisteiden tai lääkinnällisten laitteiden korkeiden laatu ja turvallisuusnormien varmistamiseksi sellaisen unionin oikeuden tai jäsenvaltion lainsäädännön perusteella, jossa säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn oikeuksien ja vapauksien, erityisesti salassapitovelvollisuuden, suojaamiseksi; 9
HALLITUSOHJELMAN KÄRKIHANKKEITA - Digitalisaatio on hallituksen strategian läpileikkaava teema luottamus, vuorovaikutus, kokemusasiantuntemus/kokeilukulttuuri, digitaalinen liiketoiminta ja palvelut, omatoimisuus - perustetaan Esineiden internet ohjelma koordinoi eri ministeriöiden toimet - vahvistetaan kansalaisten oikeutta valvoa ja päättää itseään koskevien tietojen käytöstä, sujuva tietojen siirtyminen viranomaisten välillä - Julkisten palvelujen avaaminen kilpailu, verkkotoiminta - Verot ja verotustiedot - sosiaali- ja terveyspalvelujen uudistus; tietojärjestelmät, tietojen siirto ja luovutus, alihankinta, kokonaisarkkitehtuurin kehitys ja valvonta - sähköiset palvelut omahoidossa ja neuvonnassa, terveysteknologia - kuntauudistus; tietojärjestelmät, tietojen siirto ja luovutus - työvoimahallinnon toimivuus; tietojärjestelmät, tietojen siirto ja luovutus - palveluiden asiakaslähtöisyys, palveluketjuja yli hallinnonrajojen, innovatiivisuus - kustannus karsiminen joustavilla palveluprosesseilla ja lainsäädännöllä - palveluväylähankkeet - yhteistyö, yhteispalvelupisteet viranomaisten ja kuntien kanssa - tietojen siirto hallitusti, prosessien nopeutus digitalisaation avulla ja viranomaisten välistä tiedonvaihtoa vahvistamalla 10
HENKILÖREKISTERI 3 3k JulkL JulkA 2 Arvioi oma toiminta 5-6 RISKIPERUSTEINEN LÄHESTYMISTAPA Aloitus 2 Tietoturvallisuus 32 PRIVACY BY DEFAULT PRIVACY BY DESIGN HENKILÖTIETOLAKI Rekisterinpitäjän (3 4 k) henkilötietojen käsittelyn kuvaus ja lainmukaisuuden arviointi Käsittelyn tarkoitus 3 3-k & 6 Suunnittelu huolellisuus 5-6 -DPIA -PRIOR CONSULTING Ulkoistaminen 8.1 7-k Vaitiolovelvollisuus 33 PROFILOINTI OSS Oikeus käsitellä 8, 12, 13, 14-20 Käyttötarkoitussidonnaisuus 7 Rekisteriseloste 10 Mistä henkilötiedot kerätään 8, 9, 12-20 Henkilötiedot 3 1 k, 9, 12-20 Käytön hallinnointi 5 - KIRJANPITO - PSEUDONYYMIT - GENEETTISET, BIOMETR. Rekisteröidyn oikeudet 24-29 Informointivelvollisuus 24 Luovutukset 8, 12-20 (6 ) Nimeä vastuuhenkilö 5 TIETOSUOJAVASTAAVA YHDENMUKAISUUS- MEKANISMI Hävitä, arkistoi 12.2, 21, 19.1 1k 34-35 -RTBF - PORTABILITY -VASTUSTUS ACCOUNTABILITY Ulkomaille siirrot 22-23 + 10 art. Kouluta, ohjeista 5 Viranomaisilmoitukset 36-37 Päiv. 11.3.2016 EDPB - SERTIFIKAATIT - AUDITOINNIT 11 PRIVACY SHIELD PIA DBN11
Tietosuoja-asetuksen vaikutukset kansalliseen lainsäädäntöön: OM:n työryhmä 12 12
N NYKYISET PERUSPROSESSIT 1) Asiamies/valtuutettu 2) Tarkastaja 3) Konsultti 4) Valistaja 5) Poliittinen neuvonantaja 6) Neuvottelija 7) Täytäntöön panija 8) Kansainvälinen lähettiläs. UUDET PROSESSIT: 1) Yhdenmukaisuusmekanismi 2) Hallinnolliset sanktiot 3) Ennakkohyväksymistehtävät (Auditointi) 4) Ulkomaille siirrot 5) Data Breach Notifications ilmoitusprosessi 6) Tarkastukset 7) Sähköinen asiointialusta 8) Kansallinen lainsäädäntö 13
TIETOSUOJA-ASETUS: KÄYTÄNNÖN SEURAAMUKSIA VIRANOMAISILLE EI SEN VÄHEMPÄÄ KUIN: 1) UUSI LAINSÄÄDÄNTÖKEHIKKO JA TOIMINTAYMPÄRISTÖ 2) UUSIA TEHTÄVIÄ 3) UUSIA TOIMIVALTUUKSIA 4) UUSI VERKOSTOYHTEISTYÖ MUIDEN MAIDEN TIETOSUOJAVIRANOMAISET 5) UUSIA ASIAKKAITA (+ 500 MILJOONAA) 6) UUSIA TYÖSTENTELYTAPOJA 7) UUSI IT-ALUSTA 8) UUSI PÄÄTÖKSENTEKOSYSTEEMI 9) UUSIA ORGANISAATIOITA (?!) 10) UUSIA TOIMENKUVIA 11) UUSI VIRANOMAINEN? JA KAIKKI TÄMÄ SAMALLA KUN ON HUOLEHDITTAVA MYÖS NYKYISISTÄ PÄIVITTÄISISTÄ TEHTÄVISTÄ 14
SITRA 2016 Sitra on käynnistänyt uuden hankekokonaisuuden, jonka avulla valmistellaan hyvinvointidatan kokoamiseen ja koordinointiin keskittyvän toimijan perustamista. Toimijan työnimenä on Isaacus hyvinvoinnin palveluoperaattori. Palveluoperaattorin tehtävänä on tarjota eri tietolähteistä ja -rekistereistä saatavaa hyvinvointiin vaikuttavaa tietoa, (esim. potilastiedot, demografiset tiedot, elintapatiedot) ja avointa dataa yhden luukun kautta. Tiedon kokoamisessa ja käsittelyssä korostetaan tietosuojaa, tietoturvaa ja yksilön asemaa keskeisenä päättäjänä, mihin hänen tietojaan käytetään ja kuka niitä käyttää. Ratkaisun etuna on, että hyvinvointiin vaikuttava kaikki data yksilön oikeudet huomioiden saadaan hyötykäyttöön Suomessa. Image: CC0 Public Domain https://pixabay.com/fi TIETOSUOJA ON MENESTYSTEKIJÄ! 15
KIITOS KUUNTELUSTA! Tiedon laatu = Toiminnan laatu LISÄTIETOJA: www.tietosuoja.fi Reijo Aarnio tietosuojavaltuutettu Tietosuojavaltuutetun toimisto 16