Tietosuoja ja tietoturva
Tietosuoja ja tietoturva Tietosuoja turvaa tiedon kohteen yksityisyyden sekä edut ja oikeusturvan. Tietoturva on käytännön toimenpiteet joilla tietosuoja pyritään toteuttamaan. tiedon eheyden ja laadun koskemattomuus, saatavuus, käytettävyys ja turvallisuus keinot liittyvät hallintoon, henkilöstöön, laitteistoihin, ohjelmistoihin, tietoliikenteeseen, toimitilojen turvaamiseen, tietoaineistoihin, käyttöturvallisuuteen, jatkuvuussuunnittelu, vakuutukset 2
Henkilötiedot Tunnistettavissa luonnollista henkilöä tai hänen kanssaan samassa taloudessa asuvia koskeviksi ja Merkinnät kuvaavat henkilöä tai hänen ominaisuuksiaan tai elinolosuhteitaan. (Henkilötietolaki 3 1) Osa henkilötiedoista arkaluontoisia. Esim. Terveystiedot on katsottu niin arkaluontoisiksi, että niiden käsittelyä säädellään erityislaeilla Ei saa luovuttaa sivulliselle Käsittely on henkilötietojen keräämistä, tallettamista, järjestämistä, käyttöä, siirtämistä, luovuttamista, säilyttämistä, muuttamista, yhdistämistä, suojaamista, poistamista, tuhoamista sekä muita henkilötietoihin kohdistuvia toimenpiteitä 3 (Henkilötietolaki 3 2)
Lait säätelevät henkilötietojen käsittelyä Henkilötietolaki (523/1999) Julkisuuslaki ja asetus Laki viranomaisten toiminnasta ja julkisuudesta (621/1999) Valtionhallinnon tietohallinnosta annettu asetus (155/1988) Laki yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta (565/1999) Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista (812/2000) Laki potilaan asemasta ja oikeuksista (785/1992) Laki sähköisestä asioinnista viranomaistoiminnassa (13/2003) Laki sähköisistä allekirjoituksista (14/2003) Hallintolaki (434/2003) Kuntalaki (365/1995) Lastensuojelulaki 13.4.2007/417 Asetus viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta 1030/1999) Suomen perustuslaki (731/1999) Laki tietosuojalautakunnasta ja tietosuojavaltuutetusta (389/1994) Asetus tietosuojalautakunnasta ja tietosuojavaltuutetusta (432/1994) Laki terveydenhuollon valtakunnallisista henkilörekistereistä (556/1989) Sosiaali- ja terveysministeriön asetus potilasasiakirjojen laatimisesta ja niiden ja muun hoitoon liittyvän materiaalin säilyttämisestä (99/2001) Väestötietolaki (507/1993) 4
Lait säätelevät henkilötietojen käsittelyä jatkuu Laki sähköisen viestinnän tietosuojasta (516/2004) Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (9.2.2007/159) Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) Sosiaali- ja terveysministeriön asetus potilasasiakirjoista Terveydenhuoltolaki (1326/2010), astui voimaan 1.5.2011 Laki sähköisestä lääkemääräyksestä (61/2007) ereseptilaki, muutoksia 1.1.2011 lukien Lait löytyvät http://www.finlex.fi 5
Henkilörekisteri On käyttötarkoitukseltaan yhteenkuuluva henkilötietojen joukko. Käsittelytapa sähköinen tai ei - ei eroa. Voi olla myös kortisto/luettelo/ muu tapa, jossa voidaan löytää helposti tai kohtuuttomitta kustannuksitta henkilön tiedot. (Henkilötietolaki 3 3). Looginen rekisteri: terveydenhuollon yksikön tai itsenäisen ammattia harjoittavan terveydenhuollon ammattihenkilön hallussa olevat potilasasiakirjat. Samaa potilasta koskevat potilasasiakirjat muodostavat loogisen rekisterin potilaskertomus, ajanvarauskirjat, labralähetteet 6
Rekisterinpitäjä Yksi tai useampi henkilö, yhteisö, laitos tai säätiö, jonka käyttöön henkilörekisteri perustetaan Oikeus määrätä henkilörekisterin käytöstä tai jonka tehtäväksi rekisterinpito on lailla säädetty (Henkilötietolaki 3 4) Terveydenhoitoalalla rekisterinpitäjiä itsenäisesti ammattia harjoittava terveydenhuollon ammattihenkilö tai terveydenhuollon toimintayksikkö Sosiaalialalla rekisterinpitäjä kunnan sosiaalihuollon vastaava toimielin tai yksityinen palveluntuottaja (ei toimeksiantosopimusta kunnalta) Huolellisuusvelvoite, luottamuksellisuusvelvoite, virheettömyysvaatimus Rekisteriselosteet 7
Rekisteröidyllä oikeus tarkistaa Rekisteröidyllä on oikeus tarkistaa itseään koskevat rekisteriin talletetut tiedot ja oikeus vaatia tietojen korjaamista Menettelysäännökset miten tarkastusoikeus ja tietojen korjaaminen toteutetaan 8
Laki edellyttää tietoturvallista toimintaa Vahva tunnistautuminen, sähköinen allekirjoitus eresepti hoito- tai asiakassuhde ja potilaan suostumus Tietojenluovutus earkisto hoitosuhde ja potilaan suostumus Kelalla, terveydenhuollon organisaatioilla ja apteekeilla oltava KanTapalveluja varten tietoturvapolitiikka 9
Lokista voi tarkistaa Lokien merkitys kasvaa, velvoite seurata lokeja ja säilyttää lokit 12 vuotta Tietoturva, laadunvalvonta, potilasturvallisuus, jakelun käytön seuranta, ongelmien havaitseminen, väärinkäytön ennalta ehkäisy, prosessien konstruointi ja kiistämättömyys Käyttö: Kuka, mitä, milloin aikaleima, miksi, tietojen hallinnoija Luovutus: mitä, kenen, kuka, miksi (käyttötarkoitus), kenelle, milloin 10
Keskeiset kysymykset Kuka saa tietoja kerätä ja kirjata Mitä tietoja saa kirjata ja kenestä Kuka saa tietoja käsitellä Kuka saa tietoja luovuttaa Kenelle tietoja saa luovuttaa Salassapito- ja vaitiolovelvollisuus (myös työsuhteen päätyttyä!) Huolellisuusvelvoite 11
Terveydenhuolto potilasasiakirjat Potilaan hoidon järjestämiseksi ja toteuttamiseksi käytettyjä, laadittuja tai saapuneita asiakirjoja tai teknisiä tallenteita sisältäen tietoja hänen terveydentilastaan tai muita henkilökohtaisia tietoja (Potilaslaki 2 5) Potilasasiakirjat salassapidettäviä sivullisilta, luovutus potilaan suostumuksella tai laki perusteena (Potilaslaki 13 ) Terveydenhuollon ammattihenkilön käyttöoikeus potilasasiakirjoihin tarkoittaa oikeutta käsitellä asiakirjoja rekisterinpitäjän toiminnassa. Käyttöoikeudet määrittelee rekisterinpitäjä huomioiden ammattihenkilön työtehtävät ja vastuut potilaan hoidossa. Asiallinen yhteys (hoitosuhde) siis oltava! 12
Tietosuoja terveydenhuollossa Kunnioittaa ja toteuttaa potilaan oikeuksia: yksityisyys, luottamuksellisuus, itsemääräämisoikeus, minäkuva, sosiaaliset suhteet, tiedonsaantioikeus Turvaa potilaan oikeusturvan (vakuutuslaitos, tuomioistuin, valvova viranomainen) Turvaa rekisterinpitäjän (myös hoitohenkilöstön) oikeusturvan Henkilötietojen hyvä käsittelytapa kaikissa vaiheissa, katselussakin velvollisuus varmistua ketkä ympärillä näkevät tiedot 13
Hyvä käsittelytapa Turvaa hyvän hoidon - tarvittava tieto saatavissa ajallaan, muuttumattomana Turvaa luottamuksellisen hoitosuhteen Tarpeellisen tiedon kirjaaminen Salassapito Tukee hyvää hoitokäytäntöä Tietojärjestelmäinvestointien onnistuminen Kustannustehokas toiminta 14
Potilastietojen luovuttaminen Tietojen luovuttaminen terveydenhuollon palvelujen välillä edellyttää potilaan suostumusta Arkaluontoiset tiedot vs. hoidon kannalta riittävät tiedot hoitoa edeltävältä ajalta Luovutus sivulliselle potilaan suostumuksella / lain säädöksen perusteella / välttämättömän hoidon toteuttamiseksi (ellei potilas kieltäisi) 15
Suostumus periaatteet Asiallinen yhteys oltava sivulliseen Potilaan oikeus hyvään terveyden- ja sairaanhoitoon Potilaan itsemääräämisoikeus Potilas ymmärtää, mihin suostuu Ammattihenkilön oikeusturva: pystyttävä osoittamaan että toimittiin oikein, kun tietoja luovutetaan/käytetään 16
Tietojen luovutus Omassa organisaatiossa (sama rekisterinpitäjä) tiedot ovat (asiayhteydessä) käytettävissä Muutokset uusissa laeissa koskevat vain luovutuksia terveydenhuoltolain tarkoittaman yhteisrekisterin kautta (esim. alueellinen rekisteri) tai KanTa-palveluiden kautta (valtakunnallinen) Aluetietojärjestelmien säännökset entisellään Potilaslaki on edelleen pääsääntö 17
Potilaan kielto-oikeus Potilaalla on oikeus kieltää tietojen luovutus toimintayksiköiden välillä rekisterien välillä koskee kaikkia tietoja (laki ei estä tarkempaakin estoa, esim. palvelutapahtumittain) Kiellon voi peruuttaa Kiellon kohteena olevia potilastietoja ei saa käyttää potilasta hoidettaessa koskee myös ns. hätätilannetta potilas voi kuitenkin tehdä hoitotahdon, jossa sallii hätätilakäytön 18
14a Potilaan tiedonhallintapalvelu Kelan tarjoama palvelu terveydenhoidon yksiköille KanTa-arkiston yhteydessä, tallettaa: Tiedot KanTa informoinnista Potilaan suostumukset ja peruutetut suostumukset Potilaan kiellot ja peruuttamat kiellot Potilaan ilmoittamat hoitotahto, elinluovutustahto ja muut terveyden- tai sairaanhoitoon liittyvät tahdonilmaisut. Potilaan terveyden- ja sairaanhoidon kannalta keskeiset tiedot Tiedonhallintapalvelun välityksellä ei saa kuitenkaan näyttää sellaisia tietoja, joiden luovutuksen potilas on kieltänyt 10 12 :n perusteella. 19
Lähteet Kanta, Tietoturvallisuus. http://www.kanta.fi/tietoturvallisuus. Ylipartanen, A. 2010. Tietosuoja terveydenhuollossa. Potilaan asema ja oikeudet henkilötietojen käsittelyssä. Tallinna: Tietosanoma Oy. http://www.kanta.fi/ http://finlex.fi http://www.tietosuoja.fi/ http://www.valvira.fi 20