Kumppanuusforum 2017 Yksityinen terveydenhuolto EU:n yleinen tietosuoja-asetus / General Data Protection Regulation (GDPR) Perjantai 24.8
Mikä GDPR? = General Data Protection Regulation = Yleinen tietosuoja-asetus GDPR on EU-tason asetus, joka kattaa kaiken henkilötietojen käsittelyn EU:n alueella. GDPR on tietosuoja-asetus, joka koskee suoraan kaikkia EU-maita sekä liiketoimintaa EU:n sisällä ja ulkopuolella, jossa käsitellään EUkansalaisten henkilötietoja. 2
Mikä GDPR? = General Data Protection Regulation = Yleinen tietosuoja-asetus Se hyväksyttiin EU-tasolla 14.4.2016 25.5.2018 alkaen se tulee korvaamaan vanhan EU:n henkilötietodirektiiivin 95/46/Ec sekä kansalliset tietosuojalait. 3
Miksi GDPR? EU:n yleisen tietosuoja-asetuksen tavoitteina ovat yksilön oikeuksien ja vapauksien vahvistaminen, sisämarkkinaulottuvuuden lujittaminen, tietosuojan globaalin ulottuvuuden huomioiminen sekä tietosuojasääntöjen täytäntöönpanon valvonnan tehostaminen. 4
Miksi GDPR? Asetuksen tavoitteena on luoda Euroopan unionille ajanmukainen, vahva, yhtenäinen ja kattava tietosuojakehys. Lisäksi pyritään parantamaan luottamusta online-palveluihin ja näin edistää EU:n digitaalista sisämarkkinoiden kehittämistä. 5
Kuva: Suomen tietosuojapalvelut Oy 6
GDPR - sanktiot Vahingonkorvaus / hallinnollinen sakko henkilöllä, jolle on aiheutunut tietosuoja-asetuksen rikkomisen vuoksi vahinkoa, on oikeus saada täysi korvaus vahingosta joko rekisterinpitäjältä tai henkilötietojen käsittelijältä. Rekisteröidylle suoritettavan vahingonkorvauksen lisäksi rekisterinpitäjä ja henkilötietojen käsittelijä voivat joutua maksamaan hallinnollisia sakkoja tietosuoja-asetuksen rikkomisen perusteella. Hallinnollisen sakon määrä voi olla korkeintaan 20 000 000 euroa tai 4% yrityksen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi 7
EU:n uusi tietosuoja-asetus GDPR ja Tiedon lähestymistapa Tieto lähestyy tietosuoja-asetusta kokonaisvaltaisella ja systemaattisella tavalla varmistaakseen Tiedon tuotteiden ja palveluiden yhdenmukaisuuden tietosuoja-asetuksen kanssa Tieto katselmoi ja päivittää tuotteena, palvelunsa ja sopimuksensa Tiedon GDPR-ohjelman mukaisesti varmistaakseen, että soveltuvat ominaisuudet, toiminnollisuudet ja sopimukset ovat saatavilla Tiedon tuotteissa ja palveluissa 25.5.2018 mennessä, jolloin GDPR tulee sovellettavaksi 8
EU:n uusi tietosuoja-asetus GDPR ja Tiedon lähestymistapa Tiedon GDPR-ohjelma perustuu kattavaan kokemukseen sekä hyvään asiakasymmärrykseen. On kuitenkin tärkeää huomata, että asiakkaiden tulee katselmoida omat toimintonsa henkilötietojen käsittelemiseen liittyen ja vahvistaa, että Tiedon suunnittelemat ominaisuudet ja toiminnollisuudet vastaavat asiakkaan käsittelyn edellyttämiä ominaisuuksia ja toiminnollisuuksia. 9
Tiedon GDPR -palvelut asiakkaan tuotteille, palveluille ja projekteille Mikäli asiakas tarvitsee tukea asiakkaan omien tuotteiden, palvelujen tai projektien kanssa, Tiedon kattavat IT-palvelut sisältävät myös ajantasaiset Tietosuoja-asetuksen asiantuntijapalvelut asiakkaan tukemiseksi. 10
Termejä & roolit *Keskeiset termit Henkilötieto (Personal Data) Kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot Rekisteröity (Data Subject) Henkilö, jonka henkilötietoja käsitellään Henkilötietojen käsittely (Processing) Kaikenlaiset toiminnot, joita kohdistetaan henkilötietoihin joko automaattista tietojenkäsittelyä hyödyntäen tai manuaalisesti. Käsittelyä ovat esimerkiksi henkilötietojen kerääminen, tallentaminen, järjestäminen, jäsentäminen, säilyttäminen, muokkaaminen, haku, käyttö, luovuttaminen, levittäminen tai saattaminen muutoin saataville, yhteensovittaminen, yhdistäminen, rajoittaminen, poistaminen ja hävittäminen Rekisterinpitäjä (Data Controller) Henkilö, viranomainen, virasto tai muu elin, joka yksin tai yhteistyössä muiden kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot Henkilötietojen käsittelijä (Data Processor) Henkilö, viranomainen, virasto tai muu elin, joka käsittelee henkilötietoja rekisterinpitäjän toimeksiannosta 11 Rekisterinpitäjä (Data Controller) Henkilötietojen käsittelijä (Data Processor) ** Henkilötietojen käsittely alihankintana (Subprocessor) Toimittaja (Vendor) Rekisterinpitäjällä on kokonaisvastuu yhteensopivuudestatietoasuoja-asetuksen kanssa Henkilötietojen käsittelijä on suorassa vastuussa tietoturvasta ja siihen liittyvistä velvollisuuksista Rekisterinpitäjälle Henkilötietojen käsittelijä vastaa alihankkijoistaan / partnereistaan, joita sitoo sama sopimus kuin se, joka on Rekisterinpitäjän ja Henkilötietojen käsittelijän välillä Jos Tieto käyttää kolmannen osapuolen tai partnerin tuotteita on yhteensopivuus Tietosuojaasetuksen kanssa tarkistettava *Lähde: VAHTIn (julkisen hallinnon digitaalisen turvallisuuden johtoryhmä) raportti https://www.vahtiohje.fi/c/document_library/get_file?uuid=c97ee414-1fc0-4a91-969c- 2ef0657605d1&groupId=10128 **Vapaa suomennos
Kansalaisten oikeudet ja rekisterin pitäjän ja velvollisuudet: 12
DynamicHealth & GDPR Public
GDPR DynamicHealthissa, Dokumentaation tarkennukset Tuote- ja palvelukuvauksiin sekä teknisiin dokumentteihin tulee tietosuoja-asetuksen edellyttämiä tarkennuksia ja muutoksia, esimerkkejä: Henkilötietojen siirto, luovuttaminen ja poistaminen Tietokannan ja tietokantayhteyksien salaus DynamicHealthin ja siihen liittyvien palveluiden monitorointi Tietojen eheyden varmistaminen Järjestelmän haavoittuvuuksien ja tietoturvan kuvauksia Järjestelmän tietojen palauttaminen
GDPR DynamicHealthissa, Tekniset vaatimukset DynamicHealthin käyttöympäristön vaatimuksiin tulee muutoksia mm. seuraaviin asioihin Tietokannan ja tietokantayhteyksien salaaminen Palveluiden seuranta ja monitorointi Palveluiden ja palvelinten kovettaminen (koskee mm. tarpeettomia toimintoja, tunnettuja haavoittuvuuksia, virusja haittaohjelmia
GDPR DynamicHealthissa, Ohjelmamuutokset Ohjelmamuutokset Omien tietojen katselu tai luovuttaminen sähköisessä muodossa Henkilön tietojen siirto Henkilön tietojen poistaminen järjestelmästä tietojen säilytysaika huomioiden Tietojen näkyvyyteen liittyvät muutokset
GDPR DynamicHealthissa, Muut muutokset Monitorointiin ja lokeihin liittyviä työkaluja ja muutoksia SaaS-palvelussa
GDPR DynamicHealthissa, Muuta Vaikutukset Tiedon ja Asiakkaiden välisiin sopimuksiin tarkentuvat syksyn aikana Mahdolliset kustannusvaikutukset selviävät syksyn aikana 18
GDPR DynamicHealthissa, Aikataulut DynamicHealth on GDPR -yhteensopiva 25.5.2018 Pyrimme informoimaan aikatauluista Extranetin välityksellä 19
GDPR DynamicHealthissa Yhteenvetona Asiakas vastaa GDPR-vaatimusten toteutumisesta omassa toiminnassaan Tieto huolehtii GDPR-vaatimusten yhteensopivuudesta DynamicHealth-potilastietojärjestelmän osalta Tuki- ja palvelutoiminnan osalta SaaS-käyttöympäristön osalta 20
21 Public