Tietosuoja terveydenhuollossa Ari Andreasson, tietosuojavastaava Konsernihallinto, kehittämisyksikkö 23.3.2017 1
Lainattua Sakkojen ja sanktioiden lisäksi tietosuojarikkeistä voi seurata paljon negatiivista julkisuutta ja ryppyjä asiakassuhteisiin. Samaan aikaan yritysten on hyödynnettävä digitalisaationja uusien teknologioiden tarjoamia mahdollisuuksia menestyäkseen globaalissa kilpailussa. Blogi: Hannu Kasanen / Deloitte 2
Tietosuojan taustaa Terveydenhuollossa pitkään tunnistettu asia vrt. Hippokrateenvala (n. 2500 vuotta sitten) Luottamuksellinen potilas-lääkäri/hoitajasuhde Henkilötietojen oikeaoppista käsittelyä Salassapito ja siihen liittyvä vaitiolovelvollisuus ja hyväksikäyttökielto Yksityisyyden suoja on tiedollista kotirauhaa Data on uusi öljy ja tietosuoja on ympäristönsuojelua 3
Yleisiä taustahuomioita: Kansalaiset ovat valveutuneita Ihmiset tuntevat oikeutensa ja pyytävät tarkastusoikeuden pohjalta omien/ alaikäisten huollettavien tietojen tarkistamista ja sen jälkeen myös korjaamista/poistamista Kuolleiden henkilöiden elinaikaisia asiakirjoja pyydetään esim. testamenttiriitoihin liittyen Alaikäisten lasten tietoja pyydetään esim. huoltajuusriitoihin liittyen Käyttölokiselvityksiä pyydetään (=kuka tietojani katselee ja miksi?) Potilasasiamiehelle ja sosiaaliasiamiehille sekä tietosuojavastaavalle tulee erittäin runsaasti kysymyksiä Selvityspyyntöjä, kanteluita ja kysymyksiä esitetään suoraan esim. eduskunnan oikeusasiamiehelle, tietosuojavaltuutetulle, poliisille sekä Valviraan ja aluehallintovirastoon 4
Tietosuojatyö Kilpailukyvyn lähde Asiakasnäkökulma Asiakkaiden ja työntekijöiden yksityisyyden suoja paranee Potilasturvallisuus paranee terveydenhuollossa Organisaation näkökulma Organisaatio näyttäytyy luotettavana palvelujen antajana ja haluttuna yhteistyökumppanina Organisaation tuottavuus ja tehokkuus kasvaa (kustannussäästöt) Riskien todennäköisyydet ja vaikutukset pienenevät Henkilöstön näkökulma Henkilöstön osaaminen ja oikeusturva paranevat Kansalaistaidot karttuvat 5
EU:n yleinen tietosuoja-asetus Tietosuoja-asetus julkaistiin 4.5.2016 Euroopan unionin virallisessa lehdessä L 119. Valmistelu kesti yli 4 vuotta Asetukseen liittyy siirtymäaika. Sitä sovelletaan 25. toukokuuta 2018 lähtien Tavoitteena tietosuoja-asioiden harmonisointi kaikissa EU-maissa ja asetusta tulee soveltaa yhdenmukaisesti kaikissa EU:n jäsenvaltioissa Suomennos asetuksesta http://eur-lex.europa.eu/legalcontent/fi/txt/pdf/?uri=celex:32016r0679&from=fi 6
Asetuksen sisältö ja tavoite 7
Hyötyjä ja riskejä Positiivisia riskejä: Oikein toteutettu tietosuojatyö ja oikein mitoitettu tietosuoja mahdollistaa organisaation näkymisen luotettavana ja haluttuna työnantajana ja yhteistyökumppanina, koska osaamme oikeaoppiset henkilötietojen käsittelyprosessit Työntekijät, työnhakijat ja kansalaiset luottavat meihin ja käyttävät ahkerasti sähköisiä palveluitamme Tietosuojatietouden lisääminen parantaa kaikkien kansalaistaitoja ja -tietoja alati enemmän digitalisoituvassa maailmassa Negatiivisia riskejä: Rekisterinpitäjillä riski joutua oikeasti ankaraan vastuuseen (myös imagoriskit ovat suuret) Mahdollisia suuria hallinnollisia seuraamuksia tietosuojan tai tietoturvan laiminlyönneistä (myös imagotappiot). Rahallisten sanktiot eivät ole vielä linjattu, että tulevatko kohdentumaan ollenkaan julkiselle sektorille tai jos kohdentuvat niin milloin niitä käytetään sanktioina Henkilötietojen liittyviä erilaisia pyyntöjä voi alkaa tulemaan enenevästi, jotka voivat viedä aikaa ja vaativat tulkintaa kuinka toimitaan: Kuka potílastietojanikatselee ja miksi? Haluan tietoni poistettavaksi organisaation rekryjärjestelmästä! Vaadin, että minuun liittyvä vanha esimiehen antama varoitus hävitetään pysyvästi, koska en ole enää teillä töissä jne. Henkilötietojen käsittelyriitoja voidaan saattaa EU-tasoisesti ratkaistavaksi, jolloin voi tulla yllättäviäkin ratkaisuja, jotka poikkeavat suomalaisista oikeusasteiden ennakkoratkaisuista tai totutuista käytänteistä 8
Mitä kannattaa tehdä siirtymäaikana? 1. Tietosuojavastaava Varmistaa, että organisaatiolla (esim. kunnalla) on jatkossakin tietosuojavastaava, vaikka organisaatio ei sote-palveluita ei olisi järjestämisvastuulla Tietosuojavastaava, tehtävät ja asemoituminen pitää käsitellä uudelleen (artiklat 37-39) 39) 2. Tietosuojan nykytila-analyysin analyysin laatiminen Tarkoittaa organisaation henkilötietojen käsittelyn ja tietosuojakyvykkyyksien nykytilan arviointia suhteessa tietosuojaasetuksen vaatimuksiin Inventaari siitä mitä henkilötietovarantoja on ja miten niitä käsitellään Auttaa kehittämissuunnitelman laatimisessa Rekisteriselosteiden päivittäminen jatkossa tehtävä entistä laajempi kuvaus (artikla 30) 3. Sopimuksien hallinta Pitää käydä läpi ne sopimukset, joilla on ulkoistettu henkilötietojen käsittelyä Apua tarvitaan esim. lakipuolelta sekä sisäiseltä tarkastukselta, jos sellainen organisaatiossa on Varmistaa prosessi niin, että uusiin sopimuksiin otetaan riittävät lausekkeet mukaan 4. Riskienhallinnan kehittämien Vaikuttavuusarviointi tehtävä suuririskisessä henkilötietojen käsittelyssä (DPIA=Data ProtectionImpactAssessment, artikla 35) 5. Asetuksen huomioiminen meneillään olevissa järjestelmähankkeissa sekä sovelluskehityksessä Otettava huomioon muutostarpeet tai muutoin uusi palvelu ei täytä lainsäädännön vaatimuksia Uusissa järjestelmähankinnoissa huomioita tietoturva-ja tietosuojavaatimukset tarkasti, koska uusiin järjestelmiin on helpompi saada ne toteutumaan kuin olemassa oleviin tehdä muutoksia. Tällaisia ovat esim. käyttö- ja luovutuslokit. 9
Arin nostot ICT-järjestelmät ja niihin liittyvät käyttöoikeudet syytä käydä läpi pyrkiä saamaan päälle henkilötietojen käytön lokituksetmuissakin kuin sotenasiakastietojärjestelmissä. syytä tehdä erityinen käytönvalvonnan suunnitelma, jos järjestelmällä käsitellään henkilötietoja varmistaa, että henkilötiedot pysyvät EUnsisällä (uusissa järjestelmissä panostettava vaatimusmäärittelyihin) Kaikkien järjestelmien tietytspesifiset erityisriskit tunnistettava esim. pystytäänkö erottelemaan turvakiellon alaiset tai salaiset osoitetiedot Työntekijöihin liittyvät arkaluonteiset tiedot ja niiden käsittelyprosessit varmistettava mm. työntekijöiden terveydentilatiedot Työntekijöille, jotka käsittelevät työntekijöiden ja työnhakijoiden tai asiakkaiden/potilaiden henkilötietoja on järjestettävä määrämuotoisesti tietosuojakoulutusta Rekisteriselosteet päivitettävä vastaamaan artiklaa 30 (kuvaus henkilötietojen käsittelystä) YT-ryhmään otettava mukaan varhaisessa vaiheessa sellaiset asiat, jossa henkilöstöön kohdistetaan teknistä valvontaa tai henkilöstön henkilötietoja analysoidaan tai luovutetaan teknisesti ylläpitoon ulkopuolelle Mietittävä (kriisi)viestintä, jos henkilötietoja vuotaa sivullisille ja siitä voi aiheutua vakavaa vaaraa henkilöiden yksityisyydelle Tarvittaessa konsultoitava herkästi myös tietosuojaviranomaisia varsinkin kun uudentyyppisiä asioita kehitellään ja pilotoidaan, joihin liittyy henkilötietojen käsittelyä 10
Johdon rooli Mihin kannattaa keskittyä? Nykytila-analyysi ja sen läpikäynti Henkilörekisterihallinnon järjestäminen ja rekisteriselosteet Kirjalliset politiikat, periaatteet ja ohjeet (data protection by design-periaatetta tukeva) Riittävät resurssit Tietosuojavastaavan nimeäminen ja tehtävien/aseman määrittely Tietoturvapäällikön nimeäminen ja tehtävien/aseman määrittely Tietoturva- ja tietosuojaryhmän perustaminen ja tehtävien määrittely Riskienhallinta Riskien tunnistaminen ja luokittelu Riskianalyysit Toimintaohjeet riskien toteutuessa Kirjalliset sopimukset palveluja ostettaessa (turvallisuusliitteet, raportointivelvoitteet) Seuraamuskäytännöt tietoturva- ja tietosuojarikkomuksissa Tietosuojattavan jätteen hävitysprosessin järjestäminen Tietoturvan ja tietosuojan omavalvontasuunnitelma (ainakin sote-sektori) Tietotilinpäätös (accountability-periaatetta tukeva) 11
Tietosuojavastaavat ovat EU tietosuoja-asetuksen asetuksen keskiössä, avain roolissa, myötävaikuttamassa asetuksen säännösten toteutumiseen. 12
Tietosuojavastaava (tietosuoja-asetus, artikla 37) Tietosuojavastaavaa nimitettäessä otetaan huomioon henkilön ammattipätevyys ja erityisesti asiantuntemus tietosuojalainsäädännöstä ja alan käytänteistä sekä valmiudet suorittaa 39 artiklassa tarkoitetut tehtävät Tietosuojavastaava voi olla rekisterinpitäjän tai henkilötietojen käsittelijän henkilöstön jäsen tai tietosuojavastaava voi hoitaa tehtäviään palvelusopimuksen perusteella Rekisterinpitäjän tai henkilötietojen käsittelijän on julkistettava tietosuojavastaavan yhteystiedot ja ilmoitettava ne valvontaviranomaiselle 13
Tietosuojavastaavan tehtävät (39 artikla) Ainakin seuraavat : Seurata asetuksen ja muun tietosuojalainsäädännön noudattamista, kouluttaa, neuvoa ja antaa tietoa Antaa pyydettäessä neuvoja tietosuojaa koskevasta vaikutustenarvioinnista (35 art) ja valvoa sen toteutusta Tehdä yhteistyötä valvontaviranomaisen kanssa ja toimia valvontaviranomaisen yhteyspisteenä käsittelyyn liittyvissä kysymyksissä mukaan luettuna 36 art. ennakkokuuleminen Tehtävien hoitamisessa huomioitava mm. käsittelyn luonne, laajuus ja asiayhteys 14
Tampereen kaupunki ja seutukuntayhteistyö Seudun yhteinen tietoturvaryhmä, jossa jäsenet myös isoimmilta ICTsopimuskumppaneilta (Sonera ja Tieto) seudun yhteinen tietoturvapolitiikka seudun yhteinen henkilöstön tietoturva-ja tietosuojaopas seudun yhteinen tietojen ja tietojärjestelmien käyttö-ja salassapitositoumus (sähköinen hyväksyntä) seudun yhteinen mobiilipolitiikka seudun yhteiset käyttövaltuusperiaatteet seudun yhteiset sähköisten viestintävälineiden käyttösäännöt 15
Käytännössä huomioitavaa Asiakas-ja potilastietojen käsittelyohjeiden ajantasaisuus ja niiden perehdyttäminen henkilöstölle Henkilöstön osaamisen mittaaminen liittyen henkilötietojen käsittelyyn (verkkokurssit, testit, kyselyt jne.) Huolehtikaa tietojärjestelmien käyttöoikeuksista tarpeettomat tunnukset poistettava ja varmistettava että oikeudet vastaavat työtehtäviä Varautukaa ICT-häiriötilanteisiin (jatkuvuussuunnittelu) Tietosuoja-ja tietoturvapoikkeamien raportointi (tietyissätilanteissa jatkossa ilmoitusvelvollisuus rekisteröidyille sekä tietosuojaviranomaiselle) Tietojen luovutuksissa oltava tarkkana! Luovuttaja vastaa siitä, että selvittää onko luovutuksen saajalla oikeus tietoihin ja missä laajuudessa Salassa pidettäviä henkilötietoja ei saa käsitellä kuin silloin kun työtehtävät sitä edellyttävät. Luvaton käyttö on rikos. 16
Potilasasiakirjojen käsittely Potilasasiakirjojen käsittelyllä tarkoitetaan asiakirjojen laatimista, käyttöä, säilyttämistä, hävittämistä ja tietojen luovuttamista Potilasasiakirjamerkinnöistä tulee käydä ilmi keskeiset hoitoon liittyvät seikat tarpeellisessa laajuudessa Keskeistä hoidon onnistumisen kannalta Keskeistä myös työntekijöiden oikeusturvan kannalta Kirjatkaa tarkasti tiedon lähde, varsinkin jos se on joku muu kuin potilas itse Käyttäkää aina vain henkilökohtaisia käyttäjätunnuksia potilastietojärjestelmissä Vastaavan johtajan pitää antaa kirjalliset ohjeet henkilöstölle potilastietojen käsittelystä ja vastaavasti sosiaalihuollon asiakasasiakirjojen käsittelystä Havaitut virheet asiakirjoista pitää korjata omatoimisesti, vaikka potilas ei olisi asiaa itse huomannut/vaatinut 17
Tietojen luovutukset Salassa pidettävien tietojen osalta tietojen luovutuksissa on oltava tarkkana: Luovuttaja vastaa sen varmistamisesta, että luovutuksen saajalla on oikeus tietoihin (ja missä laajuudessa) Onko tietojen luovuttamiseen asiakkaan nimenomainen suostumus tai onko tiedon antamisesta tai oikeudesta tiedon saamiseen erikseen laissa säädetty? Jos tietoja pyytää joku muu kuin asiakas/potilas, niin onko hän (esim. alaikäisen) laillinen edustaja? Turvakiellon alaiset yhteystiedot (viranomainen saa käsitellä, kun se on välttämätöntä sivullisille ei saa luovuttaa) Erityisen tarkkana pitää olla, jos tietoja kysellään puhelimitse ja alkaa haistamaan palaneen käryä! 18 23.3.2017 Ari Andreasson
Riskienhallinta Riskienhallintaa ei pidä koskaan vähätellä tai kokea sen olevan välttämätön pakko. Tällainen asenne voi kostautua erittäin karvaasti. Riskienhallintatyön yksi tavoite on myös oppia aikaisemmista virheistä eli kartoittaa tulevia riskejä hyödyntäen sitä tietoa, mitä palvelujen ulkoistuksissa, ICTprojekteissa ja niihin liittyvissä erilaisissa vaatimusmäärittelyissä, sopimuksissa, hankinnoissa sekä palvelutuotannossa on jo toteutunut. VAHTI 1/2017 ohjeluonnoksessa kiteytetään asia hyvin: Riskienhallinta on osa johtamisen ja toiminnan prosesseja sekä suunnittelua ja seurantaa. Tavoitteena on, että organisaatiolla on päätöksentekoa varten ajantasainen, oikea ja riittävän kattava käsitys riskeistä sekä selkeästi määritellyt riskienhallinnan vastuut ja seurantajärjestelmä. 19
Tietosuojariskeistä Datan avaaminen anonymisoinnin varmistaminen Datan analysointi alati kasvavista henkilörekistereistä Ennustavat algoritmit Ohjelmistorobotiikka digityöntekijät Vanhojen tietojärjestelmien puutteet esim. henkilötietojen käytön lokittamisessa Ulkoisten palveluntuottajien valvonta henkilötietojen käsittelyssä Mobiililaitteiden ja applikaatioiden heikko hallinta 20
Käytännön riskejä 1. Käyttöoikeuksien ja käsittelyvaltuuksien hallinnan puutteet: Tietojärjestelmien käyttöoikeuksia on voimassa, vaikka ei pitäisi Käyttöoikeuksiin liittyvät valtuudet voivat olla vääränlaiset eivätkä vastaa työtehtäviä (esim. liian laajat tai liian suppeat tekniset oikeudet/valtuudet) 2. Liian vähäinen henkilötietojen ja niiden käsittelyssä käytettävien tietojärjestelmien käyttökoulutus henkilöstölle: Aikaansaa hitautta ja tyhjäkäyntiä asiakastietojen käsittelyssä Lisää johdon riskejä myös kustannuksien osalta Voi vaarantaa salassapitovelvoitteen (esim. sosiaalisessa mediassa varomaton kirjoittelu) Altistaa henkilöstön menemään ansaan herkemmin erilaisten huijaus/kalasteluviestien tai kiristyshaittaohjelmien osalta 21
3. Huono sopimus- ja hankintaosaaminen: Jälkikäteen on erittäin vaikeaa muuttaa voimassaolevia sopimuksia Lisäksi on hankalaa ja tai kallista saada jälkikäteen haluttuja toiminnallisuuksiatietojärjestelmiin, mikäli niitä ei ole osattu suunnitella ja tilata hankintaprosessiin liittyvän vaatimusmäärittelyn yhteydessä 4. Tietojen luovutukset: Sosiaalinen hakkerointion yleinen tapa pyrkiä saamaan pääsy salassa pidettäviin tietoihin. Tämä pätee asiakastietojen lisäksi myös liikesalaisuuksiin. Puhelimessa tai sähköpostitse voidaan kysyä vihamielisen tahon toimesta hyvinkin uskottavan tarinan avulla erilaisia salaisia tietoja 5. Tietosuojattavan jätteen käsittelyprosessin puutteet: Salassa pidettäviä tietoja sisältävää pienmateriaalia kuten paperit, usb-tikut, cd-levyt, muistikortit voivat päätyä huolimattoman käsittelyn seurauksena kaatopaikalle tai muuten sivullisille. Tähän liittyy myös erittäin suuri imagoriski! SER-romun eli sähkö-ja elektroniikkaromun huono hallinta. Vanhoja puhelimia ja tietokoneita voi jäädä lojumaan pitkäksikin aikaa työntekijöiden pöytälaatikkoihin tai kotiin, jos hävitysprosessia ei ole suunniteltu ja siitä tiedotettu kunnolla 22
Rekisterinpitäjän vastuu -osoitusvelvollisuus Enää ei riitä, että kertoo noudattavansa lakeja, vaan se pitää pystyä myös osoittamaan Keinoina mm. Käytännesäännöt ja sertifioinnit Tietoturvan ja tietosuojan omavalvontasuunnitelma Tietotilinpäätös-raportointi Tarkkaan laaditut kuvaukset henkilötietojen käsittelyprosesseista 23
Oppaita onnistumiseen Tietosuojatyön organisointiin (johdolle): - Tietosuojakäsikirja johdolle (Tietosanoma 2016) Potilastietojen käsittelyyn (koko henkilöstölle): - Tietosuoja terveydenhuollossa (Tietosanoma 2010) Tietoturvallisuuteen (ICT-henkilöstölle): - Tietoturvaa toteuttamassa (Tietosanoma 2013) - Tietosuojatyön toteuttamiseen (tietosuojavastaavalle) Tekijät: Ari Andreasson, Juha Koivisto ja Arto Ylipartanen Tulossa: Osaava tietosuojavastaava (ilmestyy kesällä 2017) Tekijät: Ari Andreasson, Jaana Riikonen, Arto Ylipartanen 24
Tietoturva ja tietosuoja 1. Selvitä ja noudata oman organisaatiosi tietoturvaohjeita ja käytäntöjä. 2. Lukitse tietokoneesi/ohjelmistot tai kirjaudu niistä ulos aina kun poistut sen läheisyydestä. Pyri käyttämään eri salasanaa eri järjestelmissä. Säilytä salasanat ja muut kirjautumisessa käytettävät tunnisteet, kuten toimikorttisi ja PIN-koodit huolellisesti. 3. Varo paljastamasta luottamuksellisia tietoja sivullisille työpaikalla tai sen ulkopuolella esim. sosiaalisessa mediassa. 4. Älä surffaa arveluttavilla nettisivuilla. Älä avaa outoja sähköpostiviestejä tai niiden liitteitä. 5. Huolehdi papereiden, muistitikkujen, CD-/DVD-levyjen, puhelinten, salasanojen, avainten, kulkunappien, toimikorttien ym. asianmukaisesta käsittelystä ja säilyttämisestä. 6. Hävitä tietosuojattava jäte asianmukaisesti. 7. Huolehdi erityisesti mobiilityössä kannettavan tietokoneen ja sen tietojen suojaamisesta. Hanki kannettavaan tietokoneeseen suojakalvo, joka estää sivulta tapahtuvan salakatselun. Älä jätä laitteita valvomatta näkyville esimerkiksi autoon tai hotelliin. 8. Muista kunnioittaa asiakkaiden ja työkavereiden yksityisyyttä. Näin ylläpidät luottamusta. 9. Kerro esimiehellesi, mikäli havaitset tietoturva- tai tietosuojarikkomuksia. 10. Älä hätäänny, jos jotain poikkeavaa tapahtuu. Soita rohkeasti tukikeskukseen. 25 23.3.2017 Ari Andreasson