1 Tietosuojavastaavan asema ja tehtävät Helena Eronen arkistotoimen johtaja/tietosuojavastaava PPSHP 7.4.2011
2 Esityksen sisältö Tietosuojavastaavan tehtävät Tietosuojavastaavan asema Käyttäjälokin tietojen käsittely Tietosuojavastaava lokivalvonnan toteuttajana
3 Tietosuojavastaavan tehtävät
4 Tietosuojavastaava Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) edellyttää, että jokainen sosiaali- ja terveydenhuollon palvelujen antaja ja apteekki sekä Kela ja Valvira nimeävät tietosuojavastaavan. Tietosuojavastaavaa koskeva säädös ei ole siirtymäsäännöksen piirissä, vaan tietosuojavastaava on pitänyt nimetä 1.7.2007. Tietosuojavastaavan tehtävät kuvattu Tietosuojavaltuutetun toimiston oppaassa: Tietosuojavastaavan toimenkuva, tehtävät ja asema. 27.7.2010 Tietosuojavastaavan nimeäminen ei poista rekisterinpitäjänä olevan organisaation vastuuta. Tietosuojavastaavan tehtävänä on auttaa rekisterinpitäjää velvoitteidensa toteuttamisesta
5 Tietosuojavastaavan toimenkuva Tietosuojavastaavan tehtävänä on organisaation erityisasiantuntijana auttaa rekisterinpitäjää saavuttamaan hyvän henkilötietojen käsittelytavan ja mahdollisten erityislakien edellyttämä korkea tietosuojan taso, jonka avulla voidaan rakentaa ja säilyttää luottamus rekisteröidyn ja rekisterinpitäjän välille. Tehtävänä on antaa asiantuntija-apua sekä organisaation henkilöstölle että ennen kaikkea johdolle, jolla on viimekätinen vastuu rekisterinpitäjänä henkilötietojen käsittelystä
6 Tietosuojavastaavan tehtävät 1/2 osallistuu organisaation henkilötietojen käsittelyä koskevaan suunnittelutoimintaan osallistuu rekisterinpitäjän hyväksymiä tietosuoja- ja tietoturvaohjeita koskevaan valmisteluun ja ylläpitoon seuraa ja valvoo henkilötietojen käsittelyä ja niiden suojausmenetelmiä
7 Tietosuojavastaavan tehtävät 2/2 osallistuu rekisterinpitäjän henkilöstölle annettavan tietosuojakoulutuksen toteuttamiseen tukee henkilökuntaa ja rekisteröityjä tietosuoja-asioissa toimii yhdyssiteenä valvontaviranomaisiin raportoi organisaation johdolle tietosuojan (ja tietoturvallisuuden) tilasta ja kehittämistarpeista (sisäiset auditoinnit ja käytönvalvonta) vastaa organisaation johdon osoittamista muista tietosuojaa tukevista tehtävistä
8 Tietosuojavastaavan asema
Tietosuojavastaavan asema 1/2 9 Itsenäinen asema Tulee tuntea kyseisen organisaation asiakaspalvelu-, tietojenkäsittelysekä asiakirjahallinnon prosessit ja niille asetettavat vaatimukset Koulutustaustasta tai ammattinimikkeestä ei vaatimuksia Erityisammattitaidon ylläpito pitää mahdollistaa Raportointi ylimmälle johdolle Tulee pystyä osallistumaan asiakaspalveluprosessien suunnittelu- ja kehittämistehtäviin samoin kuin henkilötietojen käsittelyä koskevien hallinnollisten uudistusten suunnitteluun
10 Tietosuojavastaavan asema 2/2 Voi toimia myös useamman organisaation tietosuojavastaavana. Tulee kuitenkin olla tosiasialliset mahdollisuudet hoitaa tehtävää useammassa organisaatiossa. Tällöin huomioitava: organisaatioiden koko ja samankaltaisuus, tietosuojavastaavan muiden tehtävien laajuus, tosiasialliset mahdollisuudet perehtyä ko. organisaatioiden henkilötietojen käsittelyyn käytännössä sekä tosiasialliset mahdollisuudet toimia yhteistyössä eri organisaatioiden johdon ja henkilöstön apuna Tietosuojavastaavan tehtävissä tulee noudattaa salassapitosäännöksiä
11 Käyttäjälokin tietojen käsittely
Lokijärjestelmä henkilörekisterinä 12 Lokitiedot muodostavat henkilörekisterin, jos ne sisältävät tunnistettavaa henkilöä koskevia merkintöjä Lokijärjestelmällä tarkoitetaan tietojärjestelmää, jonka tarkoituksena on suojata rekisteröityjä tietoja ja siten rekisteröidyn yksityisyyttä Lokijärjestelmän avulla rekisterinpitäjä vastaa henkilötietojen käsittelyn lainmukaisuudesta rekisteröidyn yksityisyyden ja siihen liittyvien oikeuksien sekä rekisterinpitäjän intressien toteuttamiseksi Lokeihin sovelletaan mm. henkilötietolakia (523/1999) sekä sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annettua lakia (159/2007)
Lokitietojen käsittelyn tarkoitus 13 Lokitietojen käsittelyn tarkoitus on valvoa ja tarvittaessa reagoida, että rekisteröityjä koskevia henkilötietoja käsitellään annettujen ehtojen, määräysten ja lain mukaisesti. Lokia voidaan käyttää myös tilastotarkoitusta varten esim. tietoliikenteen kapasiteetin seurantaan, kustannusten jakoon eri toimipisteille tai toimintayksiköille ja teknisten ongelmien selvittämiseen Lokia saavat käyttää vain ne henkilöt, joiden työtehtäviin lokiseuranta on määritelty kuuluvaksi. Tehtävät ja talletettavat tiedot on määriteltävä siten, että ne perustuvat vain lokin käyttötarkoitukseen, eli rekisteröityjen yksityisyyden toteuttamiseen tämä vaatimus on otettava huomioon sovittaessa henkilötietojen käsittelytehtävien ulkoistamisesta
14 Käsittelyn suunnittelu ja rekisteriseloste Henkilötietojen käsittelyn tulee olla suunniteltua henkilötietolain 6 :n mukaisesti Loki on suojattava ja lokin käyttöä on valvottava Koska lokilla on itsenäinen käyttötarkoitus, on myös lokista laadittava henkilötietolain tarkoittama rekisteriseloste
Informointi ja rekisteröidyn oikeudet 15 Rekisterinpitäjällä on lokijärjestelmästä samanlainen informointivelvollisuus kuin muistakin henkilörekistereistä Niillä henkilöillä (ydinjärjestelmän tietojen käsittelijöillä), joita koskevia henkilötietoja lokiin tallentuu, on oikeus tarkastaa tietonsa ja tarvittaessa vaatia virhe oikaistuksi. Se (esim. asiakas tai potilas), jonka eduksi lokijärjestelmä on luotu, on oikeutettu saamaan tietoonsa sen, kuka häntä koskevia tietoja on käsitellyt sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain tai julkisuuslain asianosaiselle kuuluvan tiedonsaantioikeuden nojalla
16 Lokitietojen säilytysaika Lokitietojen tallennusaika johdetaan lokin käyttötarkoituksesta. Koska lokia pidetään rekisteröidyn hyväksi, voidaan lokiin tallentuvia tietoja säilyttää niin kauan kuin rekisteröity voi esittää rikosperusteisia vaatimuksia henkilötietojen käsittelijää tai sivullista vastaan. Potilasasiakirja-asetuksen mukaisesti lokitietoja tulee säilyttää eheinä ja muuttumattomina 12 vuotta niiden syntymisestä
17 Tietosuojavastaava lokivalvonnan toteuttajana
Tietosuojavastaavan rooli lokivalvonnassa PPSHP:ssä 18 Työnantajan on nimettävä ne henkilöt, joiden työtehtäviin lokitietojen tarkastaminen kuuluu PPSHP:ssä potilaskertomusjärjestelmän käyttö- ja luovutuslokin valvonta ja tarkastaminen kuuluu tietosuojavastaavalle Tietosuojavastaava toimii käytännössä järjestelmän nimettynä valvojana Esko-potilaskertomusjärjestelmästä ja siihen liittyvästä käyttölokista vastaa rekisterinpitäjän edustajana johtajaylilääkäri
Pääprosessit käyttölokin valvonnassa Rekisterinpitäjän oma valvonta satunnaisotannat oma-aloitteisesti, lokin tuottaminen, tarkistaminen, raportointi mahdollisista väärinkäytöksistä organisaatioyksikköön, selvityspyyntö asianosaiselle, mahdollinen rangaistus, jos havaittu väärinkäytös Potilas haluaa tarkastaa käyttölokin omien tietojensa osalta pyyntö tietosuojavastaavalle, lokin tuottaminen, tarkastus ennen potilaalle antamista tai tarkastus yhdessä potilaan kanssa jos havaitaan väärinkäytöksiä, niin omassa organisaatiossa ilmoitus työyksikön esimiehelle, joka pyytää asianosaiselta selvityksen, mahdollinen rangaistus potilas aloittaa oman prosessinsa johtajaylilääkärin kautta Sairaanhoitopiirin henkilökuntaan kuuluva epäilee omassa yksikössään väärinkäytöstä pyyntö tietosuojavastaavalle, lokin tuottaminen, tarkastus yhdessä pyytäjän kanssa, mahdollinen ilmoitus työyksikköön, selvityspyyntö, mahdollinen rangaistus Rekisteröity (tietojärjestelmän käyttäjä) haluaa tarkistaa omat tietonsa pyyntö tietosuojavastaavalle 19
Esko-käyttäjähallinta 20
21 Asiallisen syy-yhteyden kysely:
Käyttäjähallintaan liittyvää dialogia Eskojärjestelmässä 22 Käyttäjä yrittää hakea omia potilastietojaan: Käyttäjä hakee erityissuojattuja tietoja:
Lokivalvonta POTILASTIETOREKISTERIN KÄYTTÖTIETOJEN SELVITYKSEN KULKU 23 AIHE TUTKIA KÄYTTÖÄ Asiattoman käytön etsiminen Todettu tietojen erityinen väärinkäyttöuhka Väite työntekijän tai työntekijäryhmän epäasiallisesta tietojenkäsittelyn tavasta Työntekijän potilastietojen käyttötavan selvittäminen Kansalaisen esittämä epäily potilasrekisterinsä väärinkäytöstä TARKASTUKSEN VIREILLEPANO Valvoja Käytön rutiinivalvonta kuukausittain Valvoja Määritellään uhka ja sen hallinnan vaatimat tarkastukset Esimies Ilmoittaa tarkastuksen tarpeesta ja määrittelee selvityksen kohteen Arkisto_ päällikkö Selvittää papereiden käytön ja pyytää lokin tarkastusta valvojalta Arkisto_ päällikkö Tarkentaa epäilyn kohteet ja ajan, epäilyn perusteen sekä selvittää papereiden käytön. Pyytää lokin tarkastusta valvojalta TULOS TARKASTUS Valvoja Valvoja Säännönmukainen käyttölokin tarkastus RAPORTTI tietoturva neuvottelukunnalle ja johtajaylilääkärille kahdesti vuodessa tai tarvittaessa Valvoja Muu käyttölokin toistuva tarkastus Valvoja Väärinkäyttöepäilyn selvitys Arkisto_ päällikkö Kerrotaan asianosaiselle selvityksen tulos -Tietoja ei ole käytetty - Tiedon käytössä ei ole selvitettävää Käyttölokin tarkastus Vaihtoehdot: - kerrotaan yhteenveto suullisesti tai kirjallisesti - annetaan lista, jossa ilmenee missä Ei jatkotoimia
PPSHP: Tietoturva- ja tietosuojarikkomusten seuraamukset 24 RIKKOMUKSEN VAKAVUUS Lievä rikkomus (Asiaton toiminta), esim. * Henkilökohtaisen tietoturvan laiminlyönti * Epäasiallinen käytös * Haitan aiheuttaminen * Resurssien tuhlaus * Virustorjunnan laiminlyönti * Luvaton kaupallinen tai poliittinen toiminta * Kulunvalvontasääntöjen rikkominen Rikkomus (Vakava väärinkäyttö tai turvallisuuden vaarantaminen), esim. * Ohjelmien ja pelien luvaton kopiointi * Luvattomien ohjelmien asentaminen * Ylläpitäjän työkalujen luvaton hallussapito * Palvelun luvaton pystytys * Tunnuksen luovuttaminen * Tiedon luottamuksellisuuden vaarantaminen Vakava rikkomus/rikos (Lain mukaan rikkomuksena tai rikoksena tuomittava teko), esim. * Potilastiedon tai liikesalaisuuden luvaton käsittely ja luovuttaminen * Hakkerointi, tunkeutuminen * Rikoslain alaisen materiaalin oikeudeton käsittely * Tekijänoikeuslain alaisen materiaalin laiton levittäminen * Virusten tahallinen levittäminen Teon arviointi Mahdolliset seuraamukset Tietämättömyys Osaamattomuus Huolimattomuus Vahinko Tahattomuus Puheeksi ottaminen Opastus Huomautus Puheeksi ottaminen Opastus Huomautus Kirjallinen varoitus Suullinen tai kirjallinen huomautus Rikosilmoitusta harkitaan Piittaamattomuus Törkeä huolimattomuus Välinpitämättömyys Tahallisuus Toistuvuus Huomautus Kirjallinen varoitus Kirjallinen varoitus Käyttöoikeuden peruminen Palvelussuhteen päättämismenettelyn käynnistys Kirjallinen varoitus Rikosilmoitus Palvelussuhteen päättämismenettelyn käynnistys Rikoksentekotarkoitus (vahingonteko, luvaton käyttö, vakoilu, salassapitorikos, virka-aseman väärinkäyttö yms.) Hyötymistarkoitus Rikosilmoitusta harkitaan Kirjallinen varoitus Palvelussuhteen päättämismenettelyn käynnistys Rikosilmoitus Palvelussuhteen päättämismenettelyn käynnistys Rikosilmoitus Palvelussuhteen päättämismenettelyn käynnistys
25 Esko-järjestelmän käyttölokin kehittäminen
26 Esko-potilaskertomusjärjestelmä PPSHP:ssä kehitetty sähköinen potilaskertomusjärjestelmä Esko-projektin käynnistys elokuussa 1995 tutkimus- ja kehityshankkeena: Sähköisen potilaskertomuksen sisällön ja käyttöönoton määrittely PPSHP:ssa Kehitystyön tuloksena Esko/Mediform järjestelmäkokonaisuus OYS/somaattiset tekstit sähköiseen muotoon 1998 OYS/psykiatrian klinikan tekstit Eskoon 10/2000 alk. Esko käyttöönotto Vaasan sairaanhoitopiirissä v. 2000 Esko käyttöönotto Lapin sairaanhoitopiirissä v. 2001 Esko käyttöönotto Länsi-Pohjan sairaanhoitopiirissä v. 2002 Esko käyttöönotto PPSHP:n Oulaskankaan sairaalassa v. 2003
Käyttölokin kehittäminen PPSHP:ssä 27 Eskossa on ollut käyttöloki eli ns. tietosuojalehdet Kaisa-hankkeen myötä on aloitettu käyttölokin kehittäminen toiminnallisesti varsin laajaksi ja vastaamaan kansallisia vaatimuksia Eskosta tulostettava käyttöloki on näyttömuotona selkokielinen, jotta asiakaskin voi tiedon helposti omaksua Kehitystyötä on tehty yhdessä PPSHP:n Esko-tiimin ja tietosuojavastaavan kanssa. Toiminnallisuudet on tehty tietosuojavastaavan esittämien tavoitteiden mukaisiksi. Nykyisen version teknisestä toteutuksesta vastaa atk-suunnittelija Jukka Rantanen
28 Käyttölokin toiminnalliset ominaisuudet
Tietosuojavastaava roolina käyttäjähallinnassa 29 Eskon käyttölokin käyttöoikeus on ainoastaan sellaisella käyttäjällä, jonka käyttäjähallintatietoihin on merkitty rooli tíetosuojavastaava Tietosuojavastaavia PPSHP:ssä tällä hetkellä yksi Tarvittaessa myös Eskon pääkäyttäjällä ja teknisellä ylläpitäjällä on käyttöoikeus lokiin Lokin käyttämisestä tehdään myös merkintä käyttölokiin
30 Lokin käyttöoikeus on sidottu tietosuojavastaavan rooliin
31 Käyttölokiin siirrytään omasta linkistään
32 Esko kirjoittaa lokia käyttäjittäin Käyttäjäkohtainen loki Käyttäjätunnuksen perusteella voidaan tuottaa tuloste siitä, kenen potilaan tietoja kukakin käyttäjä on käyttänyt Aikarajauksella voidaan hakea tietyn käyttäjän tiettynä aikana tapahtuneet potilastietojen käytöt Käyttäjittäin loki voidaan tuottaa joko suoraan laittamalla hakukenttään käyttäjätunnus tai käyttämällä ns. arpa-toimintoa, jossa Esko hakee satunnaisesti käyttäjätunnuksen Arpa-toiminto on tehty ns. omaa valvontaa varten
Käyttäjäkohtainen loki 33 Käyttäjäkohtainen loki - käyttäjätunnus ja aikarajaus Arpatoiminto tuo minkä tahansa käyttäjätunnuksen, jolloin lokia valvova tietosuojavastaava ei itse valitse käyttäjää vaan järjestelmä tekee sen satunnaisesti organisaation omavalvonnan toteuttamista varten
34 Loki voidaan tarvittaessa tulostaa paperille Hakutuloksessa näkyy -päiväys ja kellonaika - käyttäjän työyksikkö -miltä työasemalta tietoja on katseltu - kenen potilaan tietoja on katsottu - mitä kertomusosiota on käytetty -minkä syyn käyttäjä on valinnut, jos asiallista yhteyttä ei ole ollut
35 Potilaskohtainen loki Voidaan tuottaa loki potilaan henkilötunnuksen perusteella se kuka käyttäjä on potilaan tietoja katsonut ja mitä tietoja on katsottu Aikarajaus Arpa-toiminnallisuus Käyttäjän nimen näkyvyyden valinta: käyttäjien selkokieliset nimet voidaan jättää näkyviin tai ottaa pois näkyvistä. Jos nimet otetaan pois näkyvistä tulosteessa näkyy vain käyttäjän ammatti ja työyksikkö
Potilaskohtainen loki 36 Tietty potilas haetaan hetu:n perusteella. Voidaan antaa aikarajaus tai valita potilaan tietoihin kohdistunut käyttö ilman aikarajausta Sama omavalvontaan tarkoitettu satunnaisotanta eli arpa-toiminto kuten käyttäjälokissa. Järjestelmä valitsee potilaan satunnaisesti
37 Voidaan näyttää ilman käyttäjän nimeä. Nimi saadaan tarvittaessa näkyviin. Hakutulos jakaantuu hoitosuuntelmaosioon, jossa näkyy ketkä ovat käyttäneet potilaan hoitotyön merkintöjä. Tuloksesta näkyy käyttäjä, milloin tietoja on käytetty ja mitä tietoja on käytetty. Nimi tulee näkyviin painettaessa kohtaa Vaihda nimen näkyvyys
38
39 Uusitun lokin käyttöönotto Uusittu ja entisestä laajennettu käyttöloki esitelty PPSHP:n yhteistyötoimikunnassa 26.2.2009 Uusittu loki otettu käyttöön Esko-versiossa 3.5 11.3.2009
40 Suomen tietosuojavastaavien yhdistys
Tietosuojavastaavat, TIEVA 41 Suomen tietosuojavastaavat ovat järjestäytyneet. Järjestäytymiskokous pidettiin terveydenhuollon ATK-päivillä Tampereella 25.5.2010. Järjestön nimi on Suomen tietosuojavastaavien yhdistys eli TIEVA (saamen kieltä ja tarkoittaa hiekkakumpu, harju) Tietosuojavastaaville on perustettu alajaosto Sosiaali- ja terveydenhuollon tietojenkäsittely-yhdistyksen yhteyteen tarjoamaan koulutusta ja tietoa tietosuoja-asioissa sekä tukemaan uutta tehtävänkuvaa ja auttamaan tietosuojavastaavien verkostoitumisessa TIEVA:n puheenjohtaja on Kirsi-Marja Remes Ylä-Savon SOTE kuntayhtymästä ja sihteeri Hilkka Karivuo Kainuun maakunnasta Lisätietoja: www.stty.org
42 Lähteet Käyttäjälokin tietojen käsittely henkilötietolain mukaan. Asiaa tietosuojasta 1/2003. Tietosuojavaltuutetun toimisto 10.2.2003. www.tietosuoja.fi Tietosuojavastaavan toimenkuva, tehtävät ja asema. Hyvä tietää 7/2008. Tietosuojavaltuutetun toimisto. 4.6.2008. www.tietosuoja.fi