THL-OPER seminaari 14.10.2014 Reijo Aarnio, tietosuojavaltuutettu

MITEN SOSIAALI- JA TERVEYDENHUOLLON

AMMATTILAISET VOIVAT KÄYTTÄÄ ASIAKAS-/POTILASTIETOJA

HALLITUSTI

Reijo Aarnio tietosuojavaltuutettu

TIETOSUOJAVALTUUTETUN TOIMISTO

VIRANOMAISTEN SALASSAPIDETTÄVIEN TIETOJEN LUOVUTTAMINEN

Henkilötietolaki 8 § 4 mom - - - - - - - - - - - - - viranomaisten tietojen luovuttaminen julkisuuslain mukaan (laki viranomaisten toiminnan julkisuudesta) - - - - - - - - - - - - - henkilötietojen käsittely suunniteltava ja määriteltävä käyttötarkoitus (6 §)

Laki viranomaisten toiminnan julkisuudesta - - - - - - - - - - - - - - -

- 24 § salassapito- säännös - salassapidettävien tietojen luovuttamisen edellytykset 26 § - 30 § * lainsäännös, suostumus, toimeksianto

ERITYISLAKIEN SALASSAPITO- JA LUOVUTUS- SÄÄNNÖKSET esim. - - - - - - - - - - - - - - - - - - - L sosiaalihuollon asiakkaan asemasta ja oikeuksista - salassapito 14 § - luovutus 16 § - 18 § - tiedonsaantioikeus 20 § - - - - - - - - - - - - - - - - - - - L potilaan asemasta ja oikeuksista - salassapito ja luovutus 13 § - - - - - - - - - - - - - - - - - - - Sekä muut erityislait

TIETOSUOJAVALTUUTETUN TOIMISTO, 3.4.2014

EI SOVELLETA, koska:

LUOVUTUKSEEN SOVELLETAAN

Henkilötietolaki 8 § ja 12 § + 6 § - - - - - - - - - - - - - - - tietojen vastaanottajalla tulee olla oikeus käsitellä saamiaan tietoja

Esim. lakisääteinen tehtävä tai asiakassuhde - - - - - - - - - - - - - - - henkilötietojen käsittely suunniteltava ja määriteltävä käyttötarkoitus (6 §)

Tiedon pyytäjä (rekisterinpitäjä B)

Tiedon luovuttaja (rekisterinpitäjä A)

Oma-aloitteinen ilmoitusoikeus tai -velvollisuus

pyyntö / luovutus

POLIISI

PÄIVÄKOTI

KOULU

TERVEYDEN-

HUOLTO

MUUT TAHOT…

ESIMERKKEJÄ LASTENSUOJELUN TIETOVIRROISTA

SIJOITUS-

KUNTA

LsL 78 §

UUDEN

KOTIKUNNAN LASTENSUOJELU

LASTENSUOJELU

LS-ilmoitukset

Tiedot

SaL= Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista, LsL = lastensuojelulaki

1) POTILASLAKI 2) ASIAKASLAKI 3) KANTALAKI 4) KANSANTERVEYSLAKI 5) ERIKOISSAIRAANHOITOLAKI 6) SOTELAKI 7) KOKEILULAIT

_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 8) MONIAMMATILLINEN YHTEISTYÖ, PROSESSIT 9) JOHTAMIS- , LAATU-, VAIKUTTAVUUSARVIOT 10) ”LÄHELTÄ PITI” & POTILASTURVALLISUUS 11) LOPETTAMINEN (ei tyhjentävä)

POTILASLAKI 13 § Laki potilaan asemasta ja oikeuksista 13 § Potilasasiakirjoihin sisältyvien tietojen salassapito Potilasasiakirjoihin sisältyvät tiedot ovat salassapidettäviä. Terveydenhuollon ammattihenkilö tai muu terveydenhuollon toimintayksikössä työskentelevä taikka sen tehtäviä suorittava henkilö ei saa ilman ‹potilaan› kirjallista suostumusta antaa sivulliselle potilasasiakirjoihin sisältyviä tietoja. Jos potilaalla ei ole edellytyksiä arvioida annettavan suostumuksen merkitystä, tietoja saa antaa hänen laillisen edustajansa kirjallisella suostumuksella. Sivullisella tarkoitetaan tässä laissa muita kuin asianomaisessa toimintayksikössä tai sen toimeksiannosta ‹potilaan› hoitoon tai siihen liittyviin tehtäviin osallistuvia henkilöitä. Salassapitovelvollisuus säilyy palvelussuhteen tai tehtävän päättymisen jälkeen.

POTILASLAKI 13 § Laki potilaan asemasta ja oikeuksista 13 § ,jatkuu: Sen estämättä, mitä 2 momentissa säädetään, saadaan antaa: 1) potilasasiakirjoihin sisältyviä tietoja, jos tiedon antamisesta tai oikeudesta tiedon saamiseen on laissa erikseen nimenomaisesti säädetty; 2) ‹potilaan› tutkimuksen ja hoidon järjestämiseksi tarpeellisia tietoja toiselle terveydenhuollon toimintayksikölle tai terveydenhuollon ammattihenkilölle sekä yhteenveto annetusta hoidosta ‹potilaan› hoitoon lähettäneelle terveydenhuollon toimintayksikölle tai terveydenhuollon ammattihenkilölle ja ‹potilaan› hoidosta vastaavaksi lääkäriksi mahdollisesti nimetylle lääkärille ‹potilaan› tai hänen laillisen edustajansa suullisen suostumuksen tai asiayhteydestä muuten ilmenevän suostumuksen mukaisesti;

POTILASLAKI 13 § Laki potilaan asemasta ja oikeuksista 13 § ,jatkuu: 3) ‹potilaan› tutkimuksen ja hoidon järjestämiseksi tai toteuttamiseksi välttämättömiä tietoja toiselle suomalaiselle tai ulkomaiselle terveydenhuollon toimintayksikölle tai terveydenhuollon ammattihenkilölle, jos potilaalla ei ole mielenterveydenhäiriön, kehitysvammaisuuden tai muun vastaavan syyn vuoksi edellytyksiä arvioida annettavan suostumuksen merkitystä eikä hänellä ole laillista edustajaa, taikka jos suostumusta ei voida saada ‹potilaan› tajuttomuuden tai muun siihen verrattavan syyn vuoksi; 4) tajuttomuuden tai muun siihen verrattavan syyn vuoksi hoidettavana olevan ‹potilaan› lähiomaiselle tai muulle hänen läheiselleen tieto ‹potilaan› henkilöstä ja hänen terveydentilastaan, jollei ole syytä olettaa, että potilas kieltäisi näin menettelemästä; sekä

POTILASLAKI 13 § Laki potilaan asemasta ja oikeuksista 13 § ,jatkuu: 5) kuolleen henkilön elinaikana annettua terveyden- ja sairaanhoitoa koskevia tietoja perustellusta kirjallisesta hakemuksesta sille, joka tarvitsee tietoja tärkeiden etujensa tai oikeuksiensa selvittämistä tai toteuttamista varten siltä osin kuin tiedot ovat välttämättömiä etujen tai oikeuksien selvittämiseksi tai toteuttamiseksi; luovutuksensaaja ei saa käyttää tai luovuttaa tietoja edelleen muuhun tarkoitukseen.

POTILASLAKI 13 § Laki potilaan asemasta ja oikeuksista 13 § ,jatkuu: Potilasasiakirjoihin sisältyvien tietojen luovuttamisesta tieteellistä tutkimusta ja tilastointia varten on voimassa, mitä siitä säädetään viranomaisten toiminnan julkisuudesta annetussa laissa, terveydenhuollon valtakunnallisista henkilörekistereistä annetussa laissa (556/1989) ja henkilötietolaissa. Lisäksi Terveyden ja hyvinvoinnin laitos voi antaa luvan tietojen saamiseen yksittäistapauksessa, kun tieteellistä tutkimusta varten tarvitaan tietoja useamman kuin yhden terveyden- ja sairaanhoidon palveluja tuottavan kunnan tai kuntayhtymän, yksityisestä terveydenhuollosta annetussa laissa tarkoitetun terveydenhuollon palveluja tuottavan yksikön ja itsenäisesti ammattiaan harjoittavan terveydenhuollon ammattihenkilön potilasasiakirjoista. Lupa voidaan antaa, jos on ilmeistä, ettei tiedon antaminen loukkaa niitä etuja, joiden suojaksi salassapitovelvollisuus on säädetty. Lupaa harkittaessa on huolehdittava siitä, että tieteellisen tutkimuksen vapaus turvataan. Lupa voidaan antaa määräajaksi, ja siihen on liitettävä yksityisen edun suojaamiseksi tarpeelliset määräykset. Lupa voidaan peruuttaa, jos siihen harkitaan olevan syytä. (10.9.2010/795)

POTILASLAKI 13 § Laki potilaan asemasta ja oikeuksista 13 § ,jatkuu: Edellä 3 momentin 2 kohdassa tarkoitetulla asiayhteydestä ilmenevällä suostumuksella tarkoitetaan muuta kuin kirjallisesti tai suullisesti annettua suostumusta, jonka potilas on antanut vapaaehtoisesti tietoisena tietojen luovuttamisesta, luovutuksensaajasta, luovutettavista tiedoista sekä luovutettavien tietojen käyttötarkoituksesta ja luovuttamisen merkityksestä. Edellä 2 ja 3 momentissa tarkoitetusta tietojen luovuttamisesta ja sen perusteesta tulee tehdä merkintä potilasasiakirjoihin.

POTILASLAKI 13 § Laki potilaan asemasta ja oikeuksista 13 a § (21.12.2010/1230) Valtakunnalliset tietojärjestelmäpalvelut Potilasasiakirjoihin sisältyvien tietojen luovuttamisesta valtakunnallisten tietojärjestelmäpalvelujen avulla säädetään sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetussa laissa (159/2007). Kansaneläkelaitoksen ylläpitämään reseptikeskukseen talletettujen lääkemääräysten tietojen luovuttamisesta säädetään sähköisestä lääkemääräyksestä annetussa laissa (61/2007). 13 b § (30.11.2012/690) Viittaus muuhun lainsäädäntöön ‹Potilaan› tutkimuksessa ja hoidossa syntyvien biologisten näytteiden käytöstä tieteelliseen tutkimukseen säädetään lisäksi lääketieteellisestä tutkimuksesta annetussa laissa (488/1999), ihmisen elimien, kudoksien ja solujen lääketieteellisestä käytöstä annetussa laissa (101/2001) ja biopankkilaissa (688/2012).

”CIA” c= confidentiality

i = integrity a= accessibility

TIETOSUOJAVALTUUTETUN TOIMISTO

TIETOTURVASTA

24.2.2009 Dnro 3256/4/07 Ratkaisija: Oikeusasiamies Riitta-Leena Paunio Esittelijä: Oikeusasiamiehensihteeri Leena-Maija Vitie SÄHKÖISEN POTILASTIETOJÄRJESTELMÄN KÄYTTÖKATKOSTEN VARALTA EI OLLUT RIITTÄVÄÄ OHJEISTUSTA

Kantelija arvosteli 24.10.2007 saapuneessa kirjeessään Turun terveystoimen menettelyä sähköisen potilastietojärjestelmän uuden version käyttöönotossa. Kantelijan mielestä Pegasos-järjestelmän uusi versio otettiin 15.10.2007 käyttöön keskeneräisenä eikä käyttöönotosta tiedotettu henkilökunnalle riittävästi. Järjestelmä toimi erittäin hitaasti ja 22.10.2007 sen toiminnassa oli parin tunnin katkos. Järjestelmä kaatui kokonaan aamulla 24.10.2007 koko terveystoimen alueella noin kahden tunnin ajaksi eikä vielä iltapäivälläkään toiminut kunnolla. Ohjeita siitä, miten järjestelmän kaatuessa toimitaan, ei ollut annettu. Kantelijan mukaan järjestelmän toimimattomuuden vuoksi potilasta koskevia esitietoja, hänen käytössään olevia lääkkeitä tai aikaisempia laboratoriotuloksia ei pystytty näkemään. Potilaan lähettäminen laboratoriotutkimuksiin ei myöskään ollut mahdollista. Laboratoriovastausten tulostamisesta toisen järjestelmän kautta annettiin ohjeet vasta järjestelmän kaaduttua. Kantelijan mielestä tilanne vaaransi potilasturvallisuuden ja vaikeutti myös potilaiden hoidon tarpeen arviointia.

TIETOSUOJAVALTUUTETUN TOIMISTO

17.7.2008 Euroopan ihmisoikeustuomioistuimen päätös I. V. FINLAND (NO. 20511/03)

Tuomioistuin sovelsi ihmisoikeus-sopimusta tieto-turvallisuuteen!

- yksityisyyden suoja edellyttää käytännöllisiä ja tehokkaita keinoja poissulkea mahdollisuudet luvattomaan käsittelyyn.

TIETOSUOJAVALTUUTETUN TOIMISTO

17.7.2008 Euroopan ihmisoikeustuomioistuimen päätös I. V. FINLAND (NO. 20511/03) Case: hlö sekä töissä että potilaana samaan aikaan sairaalassa (hiv) tieto levisi. Sairaala ei kyennyt selvittämään/esittämään, kuka käsitellyt tietoja vahingonkorvausvaatimus hylättiin EIT:n arviointi: ”Sairaalan potilastietojen käytön valvonta riittämätöntä”; Suomen valtio tuomittiin korvauksiin, koska se oli epäonnistunut ihmisoikeussopimuksen mukaisessa toimintavelvollisuudessaan hakijan yksityisyyden suojaamisessa. - voimassaolevaa lainsäädäntöä ei sovellettu riittävään suojaan - Suomen tuomioistuimet eivät antaneet riittävää painoarvoa sille, että puutteellinen pääsyn kontrolli oli lainsäädännön vastainen Johtopäätöksiä: - rekisterinpidon tietoturva, lokit päätöksen myötä voidaan todeta, että kyseessä ei ole vain rekisterinpitäjän valvonnallinen väline, vaan lokittamiseen on oikeus myös rekisteröidyllä tiedonkohteena hakiessaan tietosuojallisia oikeuksiaan. rekisteröidyn oikeudesta omien tietojensa lokitietoihin puuttuvat yhtenäiset säännöt

TIETOSUOJAVALTUUTETUN TOIMISTO

KEHITYSKULKUJA

TIETOSUOJAVALTUUTETUN TOIMISTO

TIETOYHTEISKUNTA TEKNOLOGIA OIKEUSTIEDE

PERUSOIKEUDET TIETO TUOTANNON- TEHOKKUUS INFORMAATIO- TEKIJÄKSI OIKEUS ITSEMÄÄRÄÄMINEN TIETOPÄÄOMA ANALOGISET- HENKILÖ- DIGITAALISET OIKEUS ALAMAISESTA TIEDON MÄÄRÄ, LAATU VAIHDE-RELE- EU:N ASIAKKAAKSI DIGITAALINEN VAIKUTUS TIEDOSTAMINEN PROSESSIT RESITAALI 2 LAIN- SÄÄDÄNTÖ TYÖELÄMÄN MUUTOKSET, RIKOLLISUUS, ……...HYVÄT PALVELUT

2 § Soveltamisala

Henkilötietoja käsiteltäessä on noudatettava, mitä tässä laissa säädetään, jollei muualla laissa toisin säädetä.

Tätä lakia sovelletaan henkilötietojen automaattiseen käsittelyyn

Henkilötietolaki (523/1999)

TIETOSUOJAVALTUUTETUN TOIMISTO

TIETOTURVALLISUUS ON: perusoikeuksien taustalla vaikuttava

yhteiskuntaperiaate ja moraalinen ja eettinen periaate (meta-perusoikeus)

perusoikeusvelvoite olennainen osa hyvää hallintoa verkkoyhteiskunnan

ja informaatiohallinnon oloissa yrityksen kilpailukykytekijä

luo luotettavuutta esim. valtionhallinnon tietoturvatasojen mukaista tasoa

tullaan vaatimaan myös kumppaneilta osa yrityksen yhteiskuntavastuuta

TIETOSUOJAVALTUUTETUN TOIMISTO

Tietoturvallisuuden hyvä hallinta edellyttää oikeaa asennetta

Tietoturvallisuus on johtamista Tietoturvallisuus on huolellisuutta ja osaamista

työssä osaamisen johtaminen ja kehittäminen eettiset toimintasäännöstöt

Tietoturvallisuus on hyvää henkilöstöpolitiikkaa - hyvää henkilöstöpolitiikkaa koskevat velvoitteet tietoturvallisuutta koskevassa lainsäädännössä

- erityisesti sähköisen viestinnän tietosuojalaki ja laki yksityiselämän suojasta työelämässä

- eettiset toimintasäännöstöt työpaikalla - laatu- ja toimintakäsikirjat ovat myös

tietoturvallisuuden toteuttamisen tärkeitä välineitä

TIETOSUOJAVALTUUTETUN TOIMISTO

Johdon vastuulla Tietoturvallisuusauditoinnit ja todentaminen Johdon suorittama hallintajärjestelmän:

- käyttö - seuranta - arviointi - kehittäminen - resurssointi - raportointi

Tietoturvallisuuden hallintajärjestelmä

TIETOSUOJAVALTUUTETUN TOIMISTO

Järjestelmien kehitys-, hankinta ja ylläpito Tietoturvallisuustapahtumien seuranta ja

hallinta Toiminnan jatkuvuuden turvaaminen Lainsäädännön ja toiminnan

vaatimustenmukaisuuden hallinta (compliance) ja sen varmistaminen

=> tietoturvallisuuden vieminen osaksi kunkin organisaation omaa toimintaa

Tietoturvallisuuden hallintajärjestelmän osat…

TIETOSUOJAVALTUUTETUN TOIMISTO

Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain muuttamisesta (981/2010) annettu 19.11.2010 L14 § Valtakunnalliset tietojärjestelmäpalvelut: Väestörekisterikeskus toimii terveydenhuollon ammattihenkilöiden ja terveydenhuollon muun henkilöstön, terveydenhuollon palvelujen antajien sekä näiden palvelujen antamiseen osallistuvien organisaatioiden, niiden henkilöstön ja tietoteknisten laitteiden vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetussa laissa tarkoitettuna varmentajana. Väestörekisterikeskuksella on oikeus saada näiden tehtäviensä hoitamiseksi Sosiaali- ja terveysalan lupa- ja valvontavirastolta sen ylläpitämästä terveydenhuollon ammattihenkilöiden keskusrekisteristä varmenteen myöntämiseen ja peruuttamiseen, varmenteeseen, varmenteen tekniseen alustaan ja varmenteen toimittamiseen tarvittavat tiedot. Sosiaali- ja terveysalan lupa- ja valvontavirastolla on vastaavasti oikeus saada lakisääteisten tehtäviensä hoitamiseksi Väestörekisterikeskukselta tiedot sen edellä mainituin perustein myöntämistä varmenteista. Tiedot voidaan luovuttaa teknisen käyttöyhteyden välityksellä.

Sosiaali- ja terveysalan lupa- ja valvontavirasto ylläpitää rooli- ja attribuuttitietopalvelua ja koodistoja, joiden avulla terveydenhuollon palvelujen antajille, apteekeille, Kansan-eläkelaitokselle ja Väestörekisterikeskukselle annetaan valtakunnallisten tietojärjestelmä-palveluiden käyttöä ja varmentamista varten terveydenhuollon ammattihenkilöiden ammatinharjoittamisoikeuksia ja ammattinimikkeen käyttöoikeuksia sekä niiden voimassaoloa koskevat tiedot. Sosiaali- ja terveysalan lupa- ja valvontaviraston tehtävänä on lisäksi antaa Väestörekisterikeskuksen varmennepalveluille terveydenhuollon toimintaan sekä elinkeinon- ja ammatinharjoittamiseen liittyvää asiantuntemusta.

TIETOSUOJAVALTUUTETUN TOIMISTO

Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (9.2.2007/159) 2. luku /Asiakastietojen sähköisen käsittelyn yleiset vaatimukset 4 § Asiakastietojen käytettävyys ja säilyttäminen eheys,muuttumattomuus, vain yksi alkuperäinen tunnisteella yksilöity kappale 5 § Käytön ja luovutuksen seuranta palvelun antajan tulee pitää rekisteriä käyttäjistä ja käyttöoikeuksista 6 § Potilastietojärjestelmien ja –asiakirjojen tietorakenteet tulee mahdollistaa käyttö, luovutus, säilyttäminen ja suojaaminen. Luokittelu erityistä suojausta edellyttävistä asiakirjoista! 7 § Suunnittelu-, tutkimus- ja tilastotiedot tarpeelliset tiedot voitava tuottaa sekä palvelun tuottajan omaan että valtakunnalliseen suunnitteluun, johtamiseen, tilastointiin ja tutkimukseen. Lisäksi asiakastietojärjestelmästä tulee käydä ilmi hoidon tarpeen arviointia sekä hoitoon pääsyn ajankohtaa koskevat tiedot 8 § Tunnistaminen kaikki palveluun liittyvät osapuolet sekä tietotekniset laitteet tulee tunnistaa luotettavasti. TUNNISTAMINEN EDELLYTTÄÄ LISÄKSI TODENTAMISTA 9 § Asiakirjan sähköinen allekirjoittaminen Asiakastietojen eheys, muuttumattomuus ja kiistämättömyys tulee varmistaa sähköisellä allekirjoituksella tietojen sähköisessä käsittelyssä, tiedonsiirrossa ja säilytyksessä. Luonnollisen henkilön sähköisessä allekirjoittamisessa tulee käyttää vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetussa laissa tarkoitettua kehittynyttä sähköistä allekirjoitusta. Organisaation ja tietoteknisten laitteiden allekirjoituksessa on käytettävä luotettavuudeltaan vastaavaa sähköistä allekirjoitusta. HUOM. MYÖS: POTILAAN INFORMOINTI ja SUOSTUMUS!

TIETOSUOJAVALTUUTETUN TOIMISTO

Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 9.2.2007/159 15 § Velvollisuus liittyä tietojärjestelmäpalvelujen käyttäjäksi Julkisen terveydenhuollon palvelujen antajan tulee liittyä 14 §:ssä tarkoitettujen

valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi. Yksityisen terveydenhuollon palvelujen antajan tulee liittyä näiden tietojärjestelmäpalvelujen käyttäjäksi, jos sen potilasasiakirjojen pitkäaikaissäilytys toteutetaan sähköisesti. Ahvenanmaan maakunnan julkisen terveydenhuollon palvelujen antaja voi liittyä valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi. Tästä liittymisestä on kuitenkin säädettävä erikseen siten kuin Ahvenanmaan itsehallintolain (1144/1991) 32 §:ssä säädetään. Liittymisen jälkeen valmistuneiden potilasasiakirjojen alkuperäiset kappaleet on tallennettava valtakunnalliseen arkistointipalveluun. Näiden potilasasiakirjojen luovutukseen liittyvät suostumus- ja kieltoasiakirjat tallennetaan vastaavasti KELA:n ylläpitämään potilaan tiedonhallintapalveluun. Ennen liittymistä valmistuneet potilasasiakirjat voidaan tallentaa valtakunnalliseen arkistointipalveluun. (21.12.2010/1227) Sosiaali- ja terveysministeriön asetuksella voidaan säätää rajoituksia siihen, mitkä 2 momentissa tarkoitetut alkuperäiset asiakirjat tulee tallentaa ja missä laajuudessa ne tallennetaan valtakunnalliseen arkistointipalveluun. (21.12.2010/1227) VOIMAANTULO: 15 § tulee voimaan 1 päivänä syyskuuta 2014. Yksityisiä terveydenhuollon palvelujen antajia koskeva velvollisuus liittyä valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi tulee kuitenkin voimaan 1 päivänä syyskuuta 2015

TIETOSUOJAVALTUUTETUN TOIMISTO

JÄRJESTELMIEN AUDITOINTI JA LAINSÄÄDÄNNÖN EDELLYTYKSET Laki sähköisestä lääkemääräyksestä (eResepti-laki / 2.2.2007/61) säätää eReseptin käyttöönoton pakolliseksi apteekeille, terveydenhuollon toimintayksiköille ja terveydenhuollon toimintayksikön tiloissa vastaanottoa pitäville ammatinharjoittajille. Käyttöönotto on vapaaehtoista terveydenhuollon toimintayksiköille Ahvenanmaalla sekä itsenäisinä ammatinharjoittajina muualla kuin terveydenhuollon toimintayksikön tiloissa toimiville lääkäreille ja hammaslääkäreille. Sähköisestä lääkemääräyksestä annetun lain tavoitteena on potilas- ja lääketurvallisuuden parantaminen sekä lääkkeen määräämisen ja toimittamisen helpottaminen ja tehostaminen. (siirtymäaika 2014/2015) Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (Asiakastietolaki) velvoittaa julkiset terveydenhuollon organisaatiot tallentamaan potilastiedot valtakunnallisesti keskitettyyn arkistoon. Yksityisille terveydenhuollon organisaatioille keskitetyn arkiston käyttöönotto on pakollista, jos potilasasiakirjojen pitkäaikaissäilytys toteutetaan sähköisesti. Käyttöönotto on vapaaehtoista terveydenhuollon toimintayksiköille Ahvenanmaalla. Asiakastietolain tavoitteena on edistää potilastietojen tietoturvallista käsittelyä, potilaiden tiedonsaantimahdollisuuksia sekä terveydenhuollon palveluiden potilasturvallista ja tehokasta tuottamista. (siirtymäaika 2014/2015) TIETOSUOJAVALTUUTETUN TOIMISTO

Sosiaali- ja terveydenhuollon sähköistä tiedonhallintaa koskevien periaatekysymysten käsittelyä, 14 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen toteutusta sekä palvelujen käyttäjien tietojärjestelmien yhtenäistämistä ja kehittämistä varten on sosiaali- ja terveysministeriön yhteydessä sosiaali- ja terveydenhuollon sähköisen tietohallinnon neuvottelukunta. Neuvottelukunnan tehtävistä ja kokoonpanosta säädetään tarkemmin valtioneuvoston asetuksella.

Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 9.2.2007/159 21 § Sosiaali- ja terveydenhuollon sähköisen tietohallinnon neuvottelukunta

TIETOSUOJAVALTUUTETUN TOIMISTO

22 § (19.11.2010/981) Maksut Kansaneläkelaitoksen ja Väestörekisterikeskuksen hoitamien 14 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen käyttö on terveydenhuollon palvelujen antajille maksullista. Kansaneläkelaitoksen perimät maksut säädetään valtion maksuperustelain (150/1992) 10 §:n estämättä sosiaali- ja terveysministeriön asetuksella sellaisiksi, että ne vastaavat palvelujen hoidosta aiheutuvien kustannusten määrää. Väestörekisterikeskuksen suoritteista perittävistä maksuista säädetään valtion maksuperustelaissa ja sen nojalla. Kansaneläkelaitoksen ja Väestörekisterikeskuksen tulee toimittaa vuosittain sosiaali- ja terveysministeriölle sekä sosiaali- ja terveydenhuollon sähköisen tietohallinnon neuvottelukunnalle selvitys kustannuksiin vaikuttavista tekijöistä sekä arvio seuraavan vuoden käyttömaksujen perustana olevista kokonaiskustannuksista

Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 9.2.2007/159

TIETOSUOJAVALTUUTETUN TOIMISTO

Tietoturvallisuus/ KanTa-palvelut Resepti- ja potilastiedot ovat arkaluonteisia terveystietoja. KanTa-palveluiden avulla tietoja käsitellään luotettavasti ja turvallisesti. Kaikki tiedonsiirto terveydenhuollon, apteekkien, sähköisen potilastiedon arkiston ja Reseptikeskuksen välillä tapahtuu salattuna tunnistettujen osapuolten kesken. Jokaisen Reseptikeskuksen ja sähköisen potilastiedon arkiston käyttäjän henkilöllisyys varmistetaan vahvaa sähköistä tunnistusta käyttäen. Reseptikeskukseen pääsevät lääkärit, hammaslääkärit, proviisorit, farmaseutit ja alan opiskelijat sekä sairaanhoitajat, joilla on Valviran myöntämä ammattikortti ja työtehtävän mukaiset käyttöoikeudet Reseptikeskukseen. Tietojen katselu edellyttää hoito- tai asiakassuhdetta ja potilaan suostumusta. Sähköiseen potilastiedon arkistoon pääsevät vain terveydenhuollossa työskentelevät henkilöt, joilla on Valviran myöntämä toimikortti ja työtehtävän mukaiset käyttöoikeudet sähköisen potilastietoarkiston tietoihin. Tietojen luovutus terveydenhuollon toimintayksiköiden välillä edellyttää hoitosuhdetta ja potilaan suostumusta. Sähköisellä allekirjoituksella varmistetaan allekirjoittajan henkilöllisyys sekä se, että allekirjoitetut tiedot eivät ole muuttuneet siirron tai tallennuksen aikana. Kelalla, terveydenhuollon organisaatioilla ja apteekeilla on KanTa-palveluja varten tietoturvapolitiikka.

TIETOSUOJAVALTUUTETUN TOIMISTO

KanTa = Kansallinen terveysarkisto www.kanta.fi

Tietojen käsittelyn valvonta Kela ja terveydenhuollon organisaatiot sekä apteekit valvovat omalta osaltaan tietosuojan toteutumista ja tietojen käsittelyn lainmukaisuutta. Jälkivalvonnan mahdollistamiseksi ylläpidetään lokeja tietojen käytöstä ja luovutuksista. Terveydenhuollon ja apteekkien on nimitettävä seuranta- ja valvontatehtävää varten tietosuojavastaavat sekä huolehdittava, että koko henkilökunta saa riittävän tietoturvakoulutuksen. Potilas valvoo omien tietojensa käyttöä Potilaalla on mahdollisuus valvoa omien tietojensa käyttöä ja luovutusta. Omien tietojen katselun kautta potilas voi seurata, missä organisaatioissa hänen reseptitietojaan on katsottu ja käsitelty tai mihin hänen potilastietojaan luovutettu. Potilas voi lisäksi pyytää rekisterinpitäjältä tiedon siitä, ketkä ovat käsitelleet ja katselleet häntä koskevia tietoja.

Tietoturvallisuus/ KanTa-palvelut

TIETOSUOJAVALTUUTETUN TOIMISTO

KanTa = Kansallinen terveysarkisto www.kanta.fi

Tietosuoja-asetuksesta

Tietosuojavaltuutetun toimisto

”MAISEMA”

1. KULUTTAJANSUOJAN HARMONISOINTI

2. EU:N KAUPPALAIN HARMONISOINTI

3. TIETOSUOJAN HARMONISOINTI ► DIGITAALISTEN SISÄMARKKINOINTIEN ”BUUSTAAMINEN”

TIETOSUOJAVALTUUTETUN TOIMISTO

EKOSYSTEEMI VERKKO (WEB) PALVELUT

Prop. apps

Operating apps (Laite) hardware

Verkko infra

3rd party apps

TIETOSUOJAVALTUUTETUN TOIMISTO

Mitä ? 1. Entiset tietosuojaperiaatteet säilyvät 2. Asetuksessa joitakin ”uusia” asioita: - COMPLIANCE; (”sääntöjen noudattaminen”)

- Asetuksessa mennään pitemmälle - ACCOUNTABILITY; TIETOTILINPÄÄTÖS

- Tilintekokykyisyys eli osoita että noudatat lakeja - PRIVACY BY DESIGN; (ennakkoon suunnitteleminen)

- Henkilötietolain 6 § - PRIVACY BY DEFAULT; (oletusarvoinen ja sisään-

rakennettu) - Nyt kun kuluttaja asioi rekisterinpitäjän kanssa niin huolehtii

esim. oman s-postin tietoturvasta. - Asetuksella rekisterinpitäjä velvoitetaan rakentamaan

tietoturvallinen suojattu palvelu (nyt jo esim. pankit)

TIETOSUOJAVALTUUTETUN TOIMISTO

”PRIVACY BY DEFAULT”

”OLETUSARVOINEN JA SISÄÄNRAKENNETTU

TIETOSUOJA”

vastuu ”mökin mummolta” palvelun toimittajalle

TIETOSUOJAVALTUUTETUN TOIMISTO

Mitä ? - DATA BREACH NOTIFICATION; (tietoturvaloukkauksista

ilmoittaminen) - Rekisterinpitäjän ilmoitusvelvollisuus valvontaviranomaiselle ja

asiakkaalle - mm. tietomurto ja henkilörekisteririkos

- VALVONTAVIRANOMAISTEN ROOLIN VAHVISTAMINEN; (viranomaisten toimivalta muuttuu)

- TSV:lle mahdollisesti sakottamisoikeus, josta valitustie ensin kansallisesti ja aina EY-tuomioistuimeen asti

- RIGHT TO BE FORGOTTEN; (oikeus unohtaa) - Esim. Facebook –tyyppiset palvelut; oikeus itse myötävaikuttaa,

että tiedot poistetaan - Voi olla haasteellista toteuttaa

- RIGHT TO DATA PORTABILITY (oikeus tietojen siirtoon) - Rekisteröidyn oikeus viedä tiedot palveluntarjoajalta toiselle

(esim. kanta-asiakasjärjestelmät) TIETOSUOJAVALTUUTETUN TOIMISTO

Toimintasuunnitelma tietosuojaloukkauksen tapahduttua?

1. Havainnointi (BREACH / EVENT)

2. Käynnistys (MOBILIZE)

3. Vakauttaminen (STABILIZE)

4. Tutkinta (INVESTIGATE)

5. Tiedotus (COMMUNICATE)

6. Lievennys (MITIGATE)

7. Tiedoksianto (NOTIFY) 8. ”Ota opiksi ja muuta” (REVIEW & IMPROVE)

TIETOSUOJAVALTUUTETUN TOIMISTO

”Tietosuojatimantti”

TIETOSUOJAVALTUUTETUN TOIMISTO

Tietosuojavastaavat

Tietoturva

ACCOUNTABILITY

Data Protection by design (HetiL 5§)

Tietotilinpäätös

U-JATKOKIRJE 24.9.2014/ 1

SUOMEN KANTA 1) SUOMI KANNATTAA UUDISTUSTA 2) ”OIKEUTETUN EDUN” –KÄSITE TÄSMENNETTÄVÄ 3) RISKIPOHJAINEN LÄHESTYMISTAPA OK ! - pseudonymisointi - Data Protection by Default - DPIA & ennakkohyväksyntä - tietosuojavastaavat vapaaehtoista, ellei kansallinen laki - sertifiointi ei vapauta vastuusta

TIETOSUOJAVALTUUTETUN TOIMISTO

U-JATKOKIRJE 24.9.2014 / 2

4) SUOMI KANNATTAA YHDENMUKAISUUSMEKANISMIA 5) SUOMI KANNATTAA (VARAUKSIN) EU:N TIETOSUOJA- VIRASTOA - asiakirjajulkisuus = 80 a ARTIKLA - ERITYISET KÄSITTELYTILANTEET * työelämä (82) * sosiaaliturva (82 (a)) * henkilötunnus (80 (b)) * terveys (81) * historian tutkimus, tilastot, tiede, arkistointi - ”Kolmannen maan tuomioistuimen tuomiota… luovutettava…, ei tunnusteta…täytäntöönpano- kelpoiseksi…Unionissa”

TIETOSUOJAVALTUUTETUN TOIMISTO

TIETOSUOJAVASTAAVISTA

Tietosuojavaltuutetun toimisto

TIETOSUOJAVASTAAVIEN ASEMA, TEHTÄVÄT JA TOIMENKUVA SWOT -NELIKENTTÄANALYYSIN NÄKÖKULMASTA TIEVA, tietosuojavastaavien yhdistys, järjesti syyskuussa 2011 yhdessä Pohjois-Savon tietosuojavastaavien kanssa tilaisuuden, jonka yhtenä tavoitteena oli löytää tietosuojavastaavan asemaan, tehtävään ja toimenkuvaan liittyviä nykytilan vahvuuksia ja heikkouksia sekä löytää tulevaisuuden toiminnan suunnittelulle painopisteet mahdollisuuksien ja uhkatekijöiden pohdiskelun kautta. Tietosuojavaltuutetun toimisto toimi SWOT-analyysin ohjaamisessa asiantuntijana. Tilaisuuden järjestämistarve nousi TIEVAn ja tietosuojavaltuutetun toimiston tarpeesta kehittää yhteistyötä tietosuoja-asioissa terveydenhuollossa, jotta potilaiden tietosuojan liittyviin kysymyksiin saataisiin yhdenmukaisia käytäntöjä. Tavoitteena on saada tietosuojavastaavat toimimaan yhdenmukaisesti kautta Suomen.

Valmistautuminen muutoksiin 1) Sisäisen tarkastuksen menetelmien luominen

(jo ennakolta) 2) Ohjeistukset, ”policyt” & suunnitelmat 3) Rekistereiden ja tietojen kartoitus 4) Tietosuojavastaavan nimeäminen 5) Koulutus 6) Valitusten ja oikeuksien käytön mekanismit 7) Tietoturvailmoitukset 8) Tietosuojaa koskevien vaikutusten arviointi

(Privacy Impact Assessment, ”PIA”) 9) Standardit ja sertifikaatit 10) Edellä mainittujen valvonta

TIETOSUOJAVALTUUTETUN TOIMISTO

TIETOSUOJAVASTAAVA – UUSI TOIMIELIN YRITYKSIIN

Asetusehdotuksessa velvollisuus nimittää tietosuojavastaava sidottu yrityksen kokoon (komissio) tai henkilötietojen käsittelyn laajuuteen (Albrechtin raportti)

Asema ehdotettu määriteltävän asetuksessa Pätevyysvaatimuksia Nimitettävä vähintään neljän vuoden määräajaksi Itsenäisyys ja erottamattomuus Raportointivastuu suoraan johdolle Vaatimus riittävistä resursseista Itsenäinen velvollisuus ilmoittaa epäillyistä

tietosuojaloukkauksista viranomaisille

TIETOSUOJAVALTUUTETUN TOIMISTO

TIETOSUOJAVASTAAVAN TEHTÄVÄT JA ASEMA

Tehtävien laajuus sovitaan erikseen työsopimuksessa ja tehtäväkuvauksessa Lähtökohtaisesti tietosuojavastaavan tehtävänä on

organisaation erityisasiantuntijana auttaa rekisterinpitäjän velvollisuuksien toteuttamisessa

Päätökset tekee hallinnollinen johto Hallinnollinen johto ei voi ulkoistaa rekisteripidon vastuita

tietosuojavastaavalle Tietosuojavastaavan tehtävän voi ulkoistaa Tietosuovastaavan nimi ilmoitettava valvovalle

viranomaiselle

TIETOSUOJAVALTUUTETUN TOIMISTO

TIETOSUOJAVASTAAVAN TOIMENKUVAAN TYYPILLISESTI KUULUVIA ASIOITA

Osallistuminen organisaation henkilötietojen käsittelyä koskevaan suunnittelutoimintaan

Osallistuminen rekisterinpitäjän hyväksymiä tietosuoja- ja tietoturvaohjeita koskevaan valmisteluun ja ylläpitoon

Henkilötietojen käsittelyn ja niiden suojausmenetelmien seuraaminen ja valvonta

Osallistuminen rekisterinpitäjän henkilöstölle annettavan tietosuojakoulutuksen toteuttamiseen

Henkilöstön ja rekisteröityjen tukeminen tietosuoja-asioissa Toimiminen yhdyssiteenä valvontaviranomaisiin Raportoiminen yrityksen johdolle tietosuojan (ja tietoturvallisuuden)

tilasta ja kehittämistarpeista (sisäiset auditoinnit ja käytönvalvonta) Yrityksen johdon osoittamista muista tietosuojaa tukevista

tehtävistä vastaaminen

TIETOSUOJAVALTUUTETUN TOIMISTO

LÄÄKÄRIN TIETOSUOJAN

HUONEENTAULU

1. Hippokrateen vala – ensimmäinen tietosuojasäännös maailmassa

- jotta hoito onnistuisi

TIETOSUOJAVALTUUTETUN TOIMISTO

2. Palvelun antajan vastaavan johtajan on annettava ohjeet

potilastietojen laillisesta käsittelystä työntekijöille

- älä jätä työntekijöitä oman onnensa nojaan

3. Työntekijät on koulutettava potilastietojen lailliseen käsittelyyn

- auttaa viihtymään

TIETOSUOJAVALTUUTETUN TOIMISTO

4. Palvelun antajalla tulee olla nimettynä tietosuojavastaava - hän auttaa tietosuoja-asioissa

TIETOSUOJAVALTUUTETUN TOIMISTO

5. Informoi potilasta potilastietojen käsittelystä

- olennainen osa sinun ja potilaan vuorovaikutteista kohtaamista

TIETOSUOJAVALTUUTETUN TOIMISTO

6. Toteuta potilaan tarkastusoikeus potilastietoihin ilman aiheetonta

viivytystä - laadunvarmistus on päivän sana

7. Korjaa potilastiedot ilman aiheetonta viivytystä

- haluathan, että päätöksentekosi tukena on laadukasta tietoa

TIETOSUOJAVALTUUTETUN TOIMISTO

8. Potilastietojen käyttöä tulee valvoa - näin turvataan potilastietojen luottamuksellisuutta ja hoidon

onnistumista

9. Potilastiedot on suojattava sivullisilta

- tietosuoja ja -turva on yhtä vahva kuin sen heikoin lenkki

10. Hävitä tiedot turvallisesti - noudata laillisia potilastietojen

säilytysaikoja TIETOSUOJAVALTUUTETUN TOIMISTO

Reijo Aarnio tietosuojavaltuutettu

Tiedon laatu = Toiminnan laatu

KIITOS KUUNTELUSTA!

LISÄTIETOJA: www.tietosuoja.fi

Tietosuojavaltuutetun toimisto