thl-oper seminaari 14.10.2014 reijo aarnio, tietosuojavaltuutettu
DESCRIPTION
THL:n OPER-yksikön Sosiaali- ja terveydenhuollon tietohallinnon kehittämisen yhteistyöseminaari 14.10.2014 PaasitorniTRANSCRIPT
MITEN SOSIAALI- JA TERVEYDENHUOLLON
AMMATTILAISET VOIVAT KÄYTTÄÄ ASIAKAS-/POTILASTIETOJA
HALLITUSTI
Reijo Aarnio tietosuojavaltuutettu
TIETOSUOJAVALTUUTETUN TOIMISTO
VIRANOMAISTEN SALASSAPIDETTÄVIEN TIETOJEN LUOVUTTAMINEN
Henkilötietolaki 8 § 4 mom - - - - - - - - - - - - - viranomaisten tietojen luovuttaminen julkisuuslain mukaan (laki viranomaisten toiminnan julkisuudesta) - - - - - - - - - - - - - henkilötietojen käsittely suunniteltava ja määriteltävä käyttötarkoitus (6 §)
Laki viranomaisten toiminnan julkisuudesta - - - - - - - - - - - - - - -
- 24 § salassapito- säännös - salassapidettävien tietojen luovuttamisen edellytykset 26 § - 30 § * lainsäännös, suostumus, toimeksianto
ERITYISLAKIEN SALASSAPITO- JA LUOVUTUS- SÄÄNNÖKSET esim. - - - - - - - - - - - - - - - - - - - L sosiaalihuollon asiakkaan asemasta ja oikeuksista - salassapito 14 § - luovutus 16 § - 18 § - tiedonsaantioikeus 20 § - - - - - - - - - - - - - - - - - - - L potilaan asemasta ja oikeuksista - salassapito ja luovutus 13 § - - - - - - - - - - - - - - - - - - - Sekä muut erityislait
TIETOSUOJAVALTUUTETUN TOIMISTO, 3.4.2014
EI SOVELLETA, koska:
LUOVUTUKSEEN SOVELLETAAN
Henkilötietolaki 8 § ja 12 § + 6 § - - - - - - - - - - - - - - - tietojen vastaanottajalla tulee olla oikeus käsitellä saamiaan tietoja
Esim. lakisääteinen tehtävä tai asiakassuhde - - - - - - - - - - - - - - - henkilötietojen käsittely suunniteltava ja määriteltävä käyttötarkoitus (6 §)
Tiedon pyytäjä (rekisterinpitäjä B)
Tiedon luovuttaja (rekisterinpitäjä A)
Oma-aloitteinen ilmoitusoikeus tai -velvollisuus
pyyntö / luovutus
POLIISI
PÄIVÄKOTI
KOULU
TERVEYDEN-
HUOLTO
MUUT TAHOT…
ESIMERKKEJÄ LASTENSUOJELUN TIETOVIRROISTA
SIJOITUS-
KUNTA
LsL 78 §
UUDEN
KOTIKUNNAN LASTENSUOJELU
LASTENSUOJELU
LS-ilmoitukset
Tiedot
SaL= Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista, LsL = lastensuojelulaki
1) POTILASLAKI 2) ASIAKASLAKI 3) KANTALAKI 4) KANSANTERVEYSLAKI 5) ERIKOISSAIRAANHOITOLAKI 6) SOTELAKI 7) KOKEILULAIT
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 8) MONIAMMATILLINEN YHTEISTYÖ, PROSESSIT 9) JOHTAMIS- , LAATU-, VAIKUTTAVUUSARVIOT 10) ”LÄHELTÄ PITI” & POTILASTURVALLISUUS 11) LOPETTAMINEN (ei tyhjentävä)
POTILASLAKI 13 § Laki potilaan asemasta ja oikeuksista 13 § Potilasasiakirjoihin sisältyvien tietojen salassapito Potilasasiakirjoihin sisältyvät tiedot ovat salassapidettäviä. Terveydenhuollon ammattihenkilö tai muu terveydenhuollon toimintayksikössä työskentelevä taikka sen tehtäviä suorittava henkilö ei saa ilman ‹potilaan› kirjallista suostumusta antaa sivulliselle potilasasiakirjoihin sisältyviä tietoja. Jos potilaalla ei ole edellytyksiä arvioida annettavan suostumuksen merkitystä, tietoja saa antaa hänen laillisen edustajansa kirjallisella suostumuksella. Sivullisella tarkoitetaan tässä laissa muita kuin asianomaisessa toimintayksikössä tai sen toimeksiannosta ‹potilaan› hoitoon tai siihen liittyviin tehtäviin osallistuvia henkilöitä. Salassapitovelvollisuus säilyy palvelussuhteen tai tehtävän päättymisen jälkeen.
POTILASLAKI 13 § Laki potilaan asemasta ja oikeuksista 13 § ,jatkuu: Sen estämättä, mitä 2 momentissa säädetään, saadaan antaa: 1) potilasasiakirjoihin sisältyviä tietoja, jos tiedon antamisesta tai oikeudesta tiedon saamiseen on laissa erikseen nimenomaisesti säädetty; 2) ‹potilaan› tutkimuksen ja hoidon järjestämiseksi tarpeellisia tietoja toiselle terveydenhuollon toimintayksikölle tai terveydenhuollon ammattihenkilölle sekä yhteenveto annetusta hoidosta ‹potilaan› hoitoon lähettäneelle terveydenhuollon toimintayksikölle tai terveydenhuollon ammattihenkilölle ja ‹potilaan› hoidosta vastaavaksi lääkäriksi mahdollisesti nimetylle lääkärille ‹potilaan› tai hänen laillisen edustajansa suullisen suostumuksen tai asiayhteydestä muuten ilmenevän suostumuksen mukaisesti;
POTILASLAKI 13 § Laki potilaan asemasta ja oikeuksista 13 § ,jatkuu: 3) ‹potilaan› tutkimuksen ja hoidon järjestämiseksi tai toteuttamiseksi välttämättömiä tietoja toiselle suomalaiselle tai ulkomaiselle terveydenhuollon toimintayksikölle tai terveydenhuollon ammattihenkilölle, jos potilaalla ei ole mielenterveydenhäiriön, kehitysvammaisuuden tai muun vastaavan syyn vuoksi edellytyksiä arvioida annettavan suostumuksen merkitystä eikä hänellä ole laillista edustajaa, taikka jos suostumusta ei voida saada ‹potilaan› tajuttomuuden tai muun siihen verrattavan syyn vuoksi; 4) tajuttomuuden tai muun siihen verrattavan syyn vuoksi hoidettavana olevan ‹potilaan› lähiomaiselle tai muulle hänen läheiselleen tieto ‹potilaan› henkilöstä ja hänen terveydentilastaan, jollei ole syytä olettaa, että potilas kieltäisi näin menettelemästä; sekä
POTILASLAKI 13 § Laki potilaan asemasta ja oikeuksista 13 § ,jatkuu: 5) kuolleen henkilön elinaikana annettua terveyden- ja sairaanhoitoa koskevia tietoja perustellusta kirjallisesta hakemuksesta sille, joka tarvitsee tietoja tärkeiden etujensa tai oikeuksiensa selvittämistä tai toteuttamista varten siltä osin kuin tiedot ovat välttämättömiä etujen tai oikeuksien selvittämiseksi tai toteuttamiseksi; luovutuksensaaja ei saa käyttää tai luovuttaa tietoja edelleen muuhun tarkoitukseen.
POTILASLAKI 13 § Laki potilaan asemasta ja oikeuksista 13 § ,jatkuu: Potilasasiakirjoihin sisältyvien tietojen luovuttamisesta tieteellistä tutkimusta ja tilastointia varten on voimassa, mitä siitä säädetään viranomaisten toiminnan julkisuudesta annetussa laissa, terveydenhuollon valtakunnallisista henkilörekistereistä annetussa laissa (556/1989) ja henkilötietolaissa. Lisäksi Terveyden ja hyvinvoinnin laitos voi antaa luvan tietojen saamiseen yksittäistapauksessa, kun tieteellistä tutkimusta varten tarvitaan tietoja useamman kuin yhden terveyden- ja sairaanhoidon palveluja tuottavan kunnan tai kuntayhtymän, yksityisestä terveydenhuollosta annetussa laissa tarkoitetun terveydenhuollon palveluja tuottavan yksikön ja itsenäisesti ammattiaan harjoittavan terveydenhuollon ammattihenkilön potilasasiakirjoista. Lupa voidaan antaa, jos on ilmeistä, ettei tiedon antaminen loukkaa niitä etuja, joiden suojaksi salassapitovelvollisuus on säädetty. Lupaa harkittaessa on huolehdittava siitä, että tieteellisen tutkimuksen vapaus turvataan. Lupa voidaan antaa määräajaksi, ja siihen on liitettävä yksityisen edun suojaamiseksi tarpeelliset määräykset. Lupa voidaan peruuttaa, jos siihen harkitaan olevan syytä. (10.9.2010/795)
POTILASLAKI 13 § Laki potilaan asemasta ja oikeuksista 13 § ,jatkuu: Edellä 3 momentin 2 kohdassa tarkoitetulla asiayhteydestä ilmenevällä suostumuksella tarkoitetaan muuta kuin kirjallisesti tai suullisesti annettua suostumusta, jonka potilas on antanut vapaaehtoisesti tietoisena tietojen luovuttamisesta, luovutuksensaajasta, luovutettavista tiedoista sekä luovutettavien tietojen käyttötarkoituksesta ja luovuttamisen merkityksestä. Edellä 2 ja 3 momentissa tarkoitetusta tietojen luovuttamisesta ja sen perusteesta tulee tehdä merkintä potilasasiakirjoihin.
POTILASLAKI 13 § Laki potilaan asemasta ja oikeuksista 13 a § (21.12.2010/1230) Valtakunnalliset tietojärjestelmäpalvelut Potilasasiakirjoihin sisältyvien tietojen luovuttamisesta valtakunnallisten tietojärjestelmäpalvelujen avulla säädetään sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetussa laissa (159/2007). Kansaneläkelaitoksen ylläpitämään reseptikeskukseen talletettujen lääkemääräysten tietojen luovuttamisesta säädetään sähköisestä lääkemääräyksestä annetussa laissa (61/2007). 13 b § (30.11.2012/690) Viittaus muuhun lainsäädäntöön ‹Potilaan› tutkimuksessa ja hoidossa syntyvien biologisten näytteiden käytöstä tieteelliseen tutkimukseen säädetään lisäksi lääketieteellisestä tutkimuksesta annetussa laissa (488/1999), ihmisen elimien, kudoksien ja solujen lääketieteellisestä käytöstä annetussa laissa (101/2001) ja biopankkilaissa (688/2012).
”CIA” c= confidentiality
i = integrity a= accessibility
TIETOSUOJAVALTUUTETUN TOIMISTO
TIETOTURVASTA
24.2.2009 Dnro 3256/4/07 Ratkaisija: Oikeusasiamies Riitta-Leena Paunio Esittelijä: Oikeusasiamiehensihteeri Leena-Maija Vitie SÄHKÖISEN POTILASTIETOJÄRJESTELMÄN KÄYTTÖKATKOSTEN VARALTA EI OLLUT RIITTÄVÄÄ OHJEISTUSTA
Kantelija arvosteli 24.10.2007 saapuneessa kirjeessään Turun terveystoimen menettelyä sähköisen potilastietojärjestelmän uuden version käyttöönotossa. Kantelijan mielestä Pegasos-järjestelmän uusi versio otettiin 15.10.2007 käyttöön keskeneräisenä eikä käyttöönotosta tiedotettu henkilökunnalle riittävästi. Järjestelmä toimi erittäin hitaasti ja 22.10.2007 sen toiminnassa oli parin tunnin katkos. Järjestelmä kaatui kokonaan aamulla 24.10.2007 koko terveystoimen alueella noin kahden tunnin ajaksi eikä vielä iltapäivälläkään toiminut kunnolla. Ohjeita siitä, miten järjestelmän kaatuessa toimitaan, ei ollut annettu. Kantelijan mukaan järjestelmän toimimattomuuden vuoksi potilasta koskevia esitietoja, hänen käytössään olevia lääkkeitä tai aikaisempia laboratoriotuloksia ei pystytty näkemään. Potilaan lähettäminen laboratoriotutkimuksiin ei myöskään ollut mahdollista. Laboratoriovastausten tulostamisesta toisen järjestelmän kautta annettiin ohjeet vasta järjestelmän kaaduttua. Kantelijan mielestä tilanne vaaransi potilasturvallisuuden ja vaikeutti myös potilaiden hoidon tarpeen arviointia.
TIETOSUOJAVALTUUTETUN TOIMISTO
17.7.2008 Euroopan ihmisoikeustuomioistuimen päätös I. V. FINLAND (NO. 20511/03)
Tuomioistuin sovelsi ihmisoikeus-sopimusta tieto-turvallisuuteen!
- yksityisyyden suoja edellyttää käytännöllisiä ja tehokkaita keinoja poissulkea mahdollisuudet luvattomaan käsittelyyn.
TIETOSUOJAVALTUUTETUN TOIMISTO
17.7.2008 Euroopan ihmisoikeustuomioistuimen päätös I. V. FINLAND (NO. 20511/03) Case: hlö sekä töissä että potilaana samaan aikaan sairaalassa (hiv) tieto levisi. Sairaala ei kyennyt selvittämään/esittämään, kuka käsitellyt tietoja vahingonkorvausvaatimus hylättiin EIT:n arviointi: ”Sairaalan potilastietojen käytön valvonta riittämätöntä”; Suomen valtio tuomittiin korvauksiin, koska se oli epäonnistunut ihmisoikeussopimuksen mukaisessa toimintavelvollisuudessaan hakijan yksityisyyden suojaamisessa. - voimassaolevaa lainsäädäntöä ei sovellettu riittävään suojaan - Suomen tuomioistuimet eivät antaneet riittävää painoarvoa sille, että puutteellinen pääsyn kontrolli oli lainsäädännön vastainen Johtopäätöksiä: - rekisterinpidon tietoturva, lokit päätöksen myötä voidaan todeta, että kyseessä ei ole vain rekisterinpitäjän valvonnallinen väline, vaan lokittamiseen on oikeus myös rekisteröidyllä tiedonkohteena hakiessaan tietosuojallisia oikeuksiaan. rekisteröidyn oikeudesta omien tietojensa lokitietoihin puuttuvat yhtenäiset säännöt
TIETOSUOJAVALTUUTETUN TOIMISTO
KEHITYSKULKUJA
TIETOSUOJAVALTUUTETUN TOIMISTO
TIETOYHTEISKUNTA TEKNOLOGIA OIKEUSTIEDE
PERUSOIKEUDET TIETO TUOTANNON- TEHOKKUUS INFORMAATIO- TEKIJÄKSI OIKEUS ITSEMÄÄRÄÄMINEN TIETOPÄÄOMA ANALOGISET- HENKILÖ- DIGITAALISET OIKEUS ALAMAISESTA TIEDON MÄÄRÄ, LAATU VAIHDE-RELE- EU:N ASIAKKAAKSI DIGITAALINEN VAIKUTUS TIEDOSTAMINEN PROSESSIT RESITAALI 2 LAIN- SÄÄDÄNTÖ TYÖELÄMÄN MUUTOKSET, RIKOLLISUUS, ……...HYVÄT PALVELUT
2 § Soveltamisala
Henkilötietoja käsiteltäessä on noudatettava, mitä tässä laissa säädetään, jollei muualla laissa toisin säädetä.
Tätä lakia sovelletaan henkilötietojen automaattiseen käsittelyyn
Henkilötietolaki (523/1999)
TIETOSUOJAVALTUUTETUN TOIMISTO
TIETOTURVALLISUUS ON: perusoikeuksien taustalla vaikuttava
yhteiskuntaperiaate ja moraalinen ja eettinen periaate (meta-perusoikeus)
perusoikeusvelvoite olennainen osa hyvää hallintoa verkkoyhteiskunnan
ja informaatiohallinnon oloissa yrityksen kilpailukykytekijä
luo luotettavuutta esim. valtionhallinnon tietoturvatasojen mukaista tasoa
tullaan vaatimaan myös kumppaneilta osa yrityksen yhteiskuntavastuuta
TIETOSUOJAVALTUUTETUN TOIMISTO
Tietoturvallisuuden hyvä hallinta edellyttää oikeaa asennetta
Tietoturvallisuus on johtamista Tietoturvallisuus on huolellisuutta ja osaamista
työssä osaamisen johtaminen ja kehittäminen eettiset toimintasäännöstöt
Tietoturvallisuus on hyvää henkilöstöpolitiikkaa - hyvää henkilöstöpolitiikkaa koskevat velvoitteet tietoturvallisuutta koskevassa lainsäädännössä
- erityisesti sähköisen viestinnän tietosuojalaki ja laki yksityiselämän suojasta työelämässä
- eettiset toimintasäännöstöt työpaikalla - laatu- ja toimintakäsikirjat ovat myös
tietoturvallisuuden toteuttamisen tärkeitä välineitä
TIETOSUOJAVALTUUTETUN TOIMISTO
Johdon vastuulla Tietoturvallisuusauditoinnit ja todentaminen Johdon suorittama hallintajärjestelmän:
- käyttö - seuranta - arviointi - kehittäminen - resurssointi - raportointi
Tietoturvallisuuden hallintajärjestelmä
TIETOSUOJAVALTUUTETUN TOIMISTO
Järjestelmien kehitys-, hankinta ja ylläpito Tietoturvallisuustapahtumien seuranta ja
hallinta Toiminnan jatkuvuuden turvaaminen Lainsäädännön ja toiminnan
vaatimustenmukaisuuden hallinta (compliance) ja sen varmistaminen
=> tietoturvallisuuden vieminen osaksi kunkin organisaation omaa toimintaa
Tietoturvallisuuden hallintajärjestelmän osat…
TIETOSUOJAVALTUUTETUN TOIMISTO
Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain muuttamisesta (981/2010) annettu 19.11.2010 L14 § Valtakunnalliset tietojärjestelmäpalvelut: Väestörekisterikeskus toimii terveydenhuollon ammattihenkilöiden ja terveydenhuollon muun henkilöstön, terveydenhuollon palvelujen antajien sekä näiden palvelujen antamiseen osallistuvien organisaatioiden, niiden henkilöstön ja tietoteknisten laitteiden vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetussa laissa tarkoitettuna varmentajana. Väestörekisterikeskuksella on oikeus saada näiden tehtäviensä hoitamiseksi Sosiaali- ja terveysalan lupa- ja valvontavirastolta sen ylläpitämästä terveydenhuollon ammattihenkilöiden keskusrekisteristä varmenteen myöntämiseen ja peruuttamiseen, varmenteeseen, varmenteen tekniseen alustaan ja varmenteen toimittamiseen tarvittavat tiedot. Sosiaali- ja terveysalan lupa- ja valvontavirastolla on vastaavasti oikeus saada lakisääteisten tehtäviensä hoitamiseksi Väestörekisterikeskukselta tiedot sen edellä mainituin perustein myöntämistä varmenteista. Tiedot voidaan luovuttaa teknisen käyttöyhteyden välityksellä.
Sosiaali- ja terveysalan lupa- ja valvontavirasto ylläpitää rooli- ja attribuuttitietopalvelua ja koodistoja, joiden avulla terveydenhuollon palvelujen antajille, apteekeille, Kansan-eläkelaitokselle ja Väestörekisterikeskukselle annetaan valtakunnallisten tietojärjestelmä-palveluiden käyttöä ja varmentamista varten terveydenhuollon ammattihenkilöiden ammatinharjoittamisoikeuksia ja ammattinimikkeen käyttöoikeuksia sekä niiden voimassaoloa koskevat tiedot. Sosiaali- ja terveysalan lupa- ja valvontaviraston tehtävänä on lisäksi antaa Väestörekisterikeskuksen varmennepalveluille terveydenhuollon toimintaan sekä elinkeinon- ja ammatinharjoittamiseen liittyvää asiantuntemusta.
TIETOSUOJAVALTUUTETUN TOIMISTO
Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (9.2.2007/159) 2. luku /Asiakastietojen sähköisen käsittelyn yleiset vaatimukset 4 § Asiakastietojen käytettävyys ja säilyttäminen eheys,muuttumattomuus, vain yksi alkuperäinen tunnisteella yksilöity kappale 5 § Käytön ja luovutuksen seuranta palvelun antajan tulee pitää rekisteriä käyttäjistä ja käyttöoikeuksista 6 § Potilastietojärjestelmien ja –asiakirjojen tietorakenteet tulee mahdollistaa käyttö, luovutus, säilyttäminen ja suojaaminen. Luokittelu erityistä suojausta edellyttävistä asiakirjoista! 7 § Suunnittelu-, tutkimus- ja tilastotiedot tarpeelliset tiedot voitava tuottaa sekä palvelun tuottajan omaan että valtakunnalliseen suunnitteluun, johtamiseen, tilastointiin ja tutkimukseen. Lisäksi asiakastietojärjestelmästä tulee käydä ilmi hoidon tarpeen arviointia sekä hoitoon pääsyn ajankohtaa koskevat tiedot 8 § Tunnistaminen kaikki palveluun liittyvät osapuolet sekä tietotekniset laitteet tulee tunnistaa luotettavasti. TUNNISTAMINEN EDELLYTTÄÄ LISÄKSI TODENTAMISTA 9 § Asiakirjan sähköinen allekirjoittaminen Asiakastietojen eheys, muuttumattomuus ja kiistämättömyys tulee varmistaa sähköisellä allekirjoituksella tietojen sähköisessä käsittelyssä, tiedonsiirrossa ja säilytyksessä. Luonnollisen henkilön sähköisessä allekirjoittamisessa tulee käyttää vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetussa laissa tarkoitettua kehittynyttä sähköistä allekirjoitusta. Organisaation ja tietoteknisten laitteiden allekirjoituksessa on käytettävä luotettavuudeltaan vastaavaa sähköistä allekirjoitusta. HUOM. MYÖS: POTILAAN INFORMOINTI ja SUOSTUMUS!
TIETOSUOJAVALTUUTETUN TOIMISTO
Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 9.2.2007/159 15 § Velvollisuus liittyä tietojärjestelmäpalvelujen käyttäjäksi Julkisen terveydenhuollon palvelujen antajan tulee liittyä 14 §:ssä tarkoitettujen
valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi. Yksityisen terveydenhuollon palvelujen antajan tulee liittyä näiden tietojärjestelmäpalvelujen käyttäjäksi, jos sen potilasasiakirjojen pitkäaikaissäilytys toteutetaan sähköisesti. Ahvenanmaan maakunnan julkisen terveydenhuollon palvelujen antaja voi liittyä valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi. Tästä liittymisestä on kuitenkin säädettävä erikseen siten kuin Ahvenanmaan itsehallintolain (1144/1991) 32 §:ssä säädetään. Liittymisen jälkeen valmistuneiden potilasasiakirjojen alkuperäiset kappaleet on tallennettava valtakunnalliseen arkistointipalveluun. Näiden potilasasiakirjojen luovutukseen liittyvät suostumus- ja kieltoasiakirjat tallennetaan vastaavasti KELA:n ylläpitämään potilaan tiedonhallintapalveluun. Ennen liittymistä valmistuneet potilasasiakirjat voidaan tallentaa valtakunnalliseen arkistointipalveluun. (21.12.2010/1227) Sosiaali- ja terveysministeriön asetuksella voidaan säätää rajoituksia siihen, mitkä 2 momentissa tarkoitetut alkuperäiset asiakirjat tulee tallentaa ja missä laajuudessa ne tallennetaan valtakunnalliseen arkistointipalveluun. (21.12.2010/1227) VOIMAANTULO: 15 § tulee voimaan 1 päivänä syyskuuta 2014. Yksityisiä terveydenhuollon palvelujen antajia koskeva velvollisuus liittyä valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi tulee kuitenkin voimaan 1 päivänä syyskuuta 2015
TIETOSUOJAVALTUUTETUN TOIMISTO
JÄRJESTELMIEN AUDITOINTI JA LAINSÄÄDÄNNÖN EDELLYTYKSET Laki sähköisestä lääkemääräyksestä (eResepti-laki / 2.2.2007/61) säätää eReseptin käyttöönoton pakolliseksi apteekeille, terveydenhuollon toimintayksiköille ja terveydenhuollon toimintayksikön tiloissa vastaanottoa pitäville ammatinharjoittajille. Käyttöönotto on vapaaehtoista terveydenhuollon toimintayksiköille Ahvenanmaalla sekä itsenäisinä ammatinharjoittajina muualla kuin terveydenhuollon toimintayksikön tiloissa toimiville lääkäreille ja hammaslääkäreille. Sähköisestä lääkemääräyksestä annetun lain tavoitteena on potilas- ja lääketurvallisuuden parantaminen sekä lääkkeen määräämisen ja toimittamisen helpottaminen ja tehostaminen. (siirtymäaika 2014/2015) Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (Asiakastietolaki) velvoittaa julkiset terveydenhuollon organisaatiot tallentamaan potilastiedot valtakunnallisesti keskitettyyn arkistoon. Yksityisille terveydenhuollon organisaatioille keskitetyn arkiston käyttöönotto on pakollista, jos potilasasiakirjojen pitkäaikaissäilytys toteutetaan sähköisesti. Käyttöönotto on vapaaehtoista terveydenhuollon toimintayksiköille Ahvenanmaalla. Asiakastietolain tavoitteena on edistää potilastietojen tietoturvallista käsittelyä, potilaiden tiedonsaantimahdollisuuksia sekä terveydenhuollon palveluiden potilasturvallista ja tehokasta tuottamista. (siirtymäaika 2014/2015) TIETOSUOJAVALTUUTETUN TOIMISTO
Sosiaali- ja terveydenhuollon sähköistä tiedonhallintaa koskevien periaatekysymysten käsittelyä, 14 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen toteutusta sekä palvelujen käyttäjien tietojärjestelmien yhtenäistämistä ja kehittämistä varten on sosiaali- ja terveysministeriön yhteydessä sosiaali- ja terveydenhuollon sähköisen tietohallinnon neuvottelukunta. Neuvottelukunnan tehtävistä ja kokoonpanosta säädetään tarkemmin valtioneuvoston asetuksella.
Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 9.2.2007/159 21 § Sosiaali- ja terveydenhuollon sähköisen tietohallinnon neuvottelukunta
TIETOSUOJAVALTUUTETUN TOIMISTO
22 § (19.11.2010/981) Maksut Kansaneläkelaitoksen ja Väestörekisterikeskuksen hoitamien 14 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen käyttö on terveydenhuollon palvelujen antajille maksullista. Kansaneläkelaitoksen perimät maksut säädetään valtion maksuperustelain (150/1992) 10 §:n estämättä sosiaali- ja terveysministeriön asetuksella sellaisiksi, että ne vastaavat palvelujen hoidosta aiheutuvien kustannusten määrää. Väestörekisterikeskuksen suoritteista perittävistä maksuista säädetään valtion maksuperustelaissa ja sen nojalla. Kansaneläkelaitoksen ja Väestörekisterikeskuksen tulee toimittaa vuosittain sosiaali- ja terveysministeriölle sekä sosiaali- ja terveydenhuollon sähköisen tietohallinnon neuvottelukunnalle selvitys kustannuksiin vaikuttavista tekijöistä sekä arvio seuraavan vuoden käyttömaksujen perustana olevista kokonaiskustannuksista
Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 9.2.2007/159
TIETOSUOJAVALTUUTETUN TOIMISTO
Tietoturvallisuus/ KanTa-palvelut Resepti- ja potilastiedot ovat arkaluonteisia terveystietoja. KanTa-palveluiden avulla tietoja käsitellään luotettavasti ja turvallisesti. Kaikki tiedonsiirto terveydenhuollon, apteekkien, sähköisen potilastiedon arkiston ja Reseptikeskuksen välillä tapahtuu salattuna tunnistettujen osapuolten kesken. Jokaisen Reseptikeskuksen ja sähköisen potilastiedon arkiston käyttäjän henkilöllisyys varmistetaan vahvaa sähköistä tunnistusta käyttäen. Reseptikeskukseen pääsevät lääkärit, hammaslääkärit, proviisorit, farmaseutit ja alan opiskelijat sekä sairaanhoitajat, joilla on Valviran myöntämä ammattikortti ja työtehtävän mukaiset käyttöoikeudet Reseptikeskukseen. Tietojen katselu edellyttää hoito- tai asiakassuhdetta ja potilaan suostumusta. Sähköiseen potilastiedon arkistoon pääsevät vain terveydenhuollossa työskentelevät henkilöt, joilla on Valviran myöntämä toimikortti ja työtehtävän mukaiset käyttöoikeudet sähköisen potilastietoarkiston tietoihin. Tietojen luovutus terveydenhuollon toimintayksiköiden välillä edellyttää hoitosuhdetta ja potilaan suostumusta. Sähköisellä allekirjoituksella varmistetaan allekirjoittajan henkilöllisyys sekä se, että allekirjoitetut tiedot eivät ole muuttuneet siirron tai tallennuksen aikana. Kelalla, terveydenhuollon organisaatioilla ja apteekeilla on KanTa-palveluja varten tietoturvapolitiikka.
TIETOSUOJAVALTUUTETUN TOIMISTO
KanTa = Kansallinen terveysarkisto www.kanta.fi
Tietojen käsittelyn valvonta Kela ja terveydenhuollon organisaatiot sekä apteekit valvovat omalta osaltaan tietosuojan toteutumista ja tietojen käsittelyn lainmukaisuutta. Jälkivalvonnan mahdollistamiseksi ylläpidetään lokeja tietojen käytöstä ja luovutuksista. Terveydenhuollon ja apteekkien on nimitettävä seuranta- ja valvontatehtävää varten tietosuojavastaavat sekä huolehdittava, että koko henkilökunta saa riittävän tietoturvakoulutuksen. Potilas valvoo omien tietojensa käyttöä Potilaalla on mahdollisuus valvoa omien tietojensa käyttöä ja luovutusta. Omien tietojen katselun kautta potilas voi seurata, missä organisaatioissa hänen reseptitietojaan on katsottu ja käsitelty tai mihin hänen potilastietojaan luovutettu. Potilas voi lisäksi pyytää rekisterinpitäjältä tiedon siitä, ketkä ovat käsitelleet ja katselleet häntä koskevia tietoja.
Tietoturvallisuus/ KanTa-palvelut
TIETOSUOJAVALTUUTETUN TOIMISTO
KanTa = Kansallinen terveysarkisto www.kanta.fi
Tietosuoja-asetuksesta
Tietosuojavaltuutetun toimisto
”MAISEMA”
1. KULUTTAJANSUOJAN HARMONISOINTI
2. EU:N KAUPPALAIN HARMONISOINTI
3. TIETOSUOJAN HARMONISOINTI ► DIGITAALISTEN SISÄMARKKINOINTIEN ”BUUSTAAMINEN”
TIETOSUOJAVALTUUTETUN TOIMISTO
EKOSYSTEEMI VERKKO (WEB) PALVELUT
Prop. apps
Operating apps (Laite) hardware
Verkko infra
3rd party apps
TIETOSUOJAVALTUUTETUN TOIMISTO
Mitä ? 1. Entiset tietosuojaperiaatteet säilyvät 2. Asetuksessa joitakin ”uusia” asioita: - COMPLIANCE; (”sääntöjen noudattaminen”)
- Asetuksessa mennään pitemmälle - ACCOUNTABILITY; TIETOTILINPÄÄTÖS
- Tilintekokykyisyys eli osoita että noudatat lakeja - PRIVACY BY DESIGN; (ennakkoon suunnitteleminen)
- Henkilötietolain 6 § - PRIVACY BY DEFAULT; (oletusarvoinen ja sisään-
rakennettu) - Nyt kun kuluttaja asioi rekisterinpitäjän kanssa niin huolehtii
esim. oman s-postin tietoturvasta. - Asetuksella rekisterinpitäjä velvoitetaan rakentamaan
tietoturvallinen suojattu palvelu (nyt jo esim. pankit)
TIETOSUOJAVALTUUTETUN TOIMISTO
”PRIVACY BY DEFAULT”
”OLETUSARVOINEN JA SISÄÄNRAKENNETTU
TIETOSUOJA”
vastuu ”mökin mummolta” palvelun toimittajalle
TIETOSUOJAVALTUUTETUN TOIMISTO
Mitä ? - DATA BREACH NOTIFICATION; (tietoturvaloukkauksista
ilmoittaminen) - Rekisterinpitäjän ilmoitusvelvollisuus valvontaviranomaiselle ja
asiakkaalle - mm. tietomurto ja henkilörekisteririkos
- VALVONTAVIRANOMAISTEN ROOLIN VAHVISTAMINEN; (viranomaisten toimivalta muuttuu)
- TSV:lle mahdollisesti sakottamisoikeus, josta valitustie ensin kansallisesti ja aina EY-tuomioistuimeen asti
- RIGHT TO BE FORGOTTEN; (oikeus unohtaa) - Esim. Facebook –tyyppiset palvelut; oikeus itse myötävaikuttaa,
että tiedot poistetaan - Voi olla haasteellista toteuttaa
- RIGHT TO DATA PORTABILITY (oikeus tietojen siirtoon) - Rekisteröidyn oikeus viedä tiedot palveluntarjoajalta toiselle
(esim. kanta-asiakasjärjestelmät) TIETOSUOJAVALTUUTETUN TOIMISTO
Toimintasuunnitelma tietosuojaloukkauksen tapahduttua?
1. Havainnointi (BREACH / EVENT)
2. Käynnistys (MOBILIZE)
3. Vakauttaminen (STABILIZE)
4. Tutkinta (INVESTIGATE)
5. Tiedotus (COMMUNICATE)
6. Lievennys (MITIGATE)
7. Tiedoksianto (NOTIFY) 8. ”Ota opiksi ja muuta” (REVIEW & IMPROVE)
TIETOSUOJAVALTUUTETUN TOIMISTO
”Tietosuojatimantti”
TIETOSUOJAVALTUUTETUN TOIMISTO
Tietosuojavastaavat
Tietoturva
ACCOUNTABILITY
Data Protection by design (HetiL 5§)
Tietotilinpäätös
U-JATKOKIRJE 24.9.2014/ 1
SUOMEN KANTA 1) SUOMI KANNATTAA UUDISTUSTA 2) ”OIKEUTETUN EDUN” –KÄSITE TÄSMENNETTÄVÄ 3) RISKIPOHJAINEN LÄHESTYMISTAPA OK ! - pseudonymisointi - Data Protection by Default - DPIA & ennakkohyväksyntä - tietosuojavastaavat vapaaehtoista, ellei kansallinen laki - sertifiointi ei vapauta vastuusta
TIETOSUOJAVALTUUTETUN TOIMISTO
U-JATKOKIRJE 24.9.2014 / 2
4) SUOMI KANNATTAA YHDENMUKAISUUSMEKANISMIA 5) SUOMI KANNATTAA (VARAUKSIN) EU:N TIETOSUOJA- VIRASTOA - asiakirjajulkisuus = 80 a ARTIKLA - ERITYISET KÄSITTELYTILANTEET * työelämä (82) * sosiaaliturva (82 (a)) * henkilötunnus (80 (b)) * terveys (81) * historian tutkimus, tilastot, tiede, arkistointi - ”Kolmannen maan tuomioistuimen tuomiota… luovutettava…, ei tunnusteta…täytäntöönpano- kelpoiseksi…Unionissa”
TIETOSUOJAVALTUUTETUN TOIMISTO
TIETOSUOJAVASTAAVISTA
Tietosuojavaltuutetun toimisto
TIETOSUOJAVASTAAVIEN ASEMA, TEHTÄVÄT JA TOIMENKUVA SWOT -NELIKENTTÄANALYYSIN NÄKÖKULMASTA TIEVA, tietosuojavastaavien yhdistys, järjesti syyskuussa 2011 yhdessä Pohjois-Savon tietosuojavastaavien kanssa tilaisuuden, jonka yhtenä tavoitteena oli löytää tietosuojavastaavan asemaan, tehtävään ja toimenkuvaan liittyviä nykytilan vahvuuksia ja heikkouksia sekä löytää tulevaisuuden toiminnan suunnittelulle painopisteet mahdollisuuksien ja uhkatekijöiden pohdiskelun kautta. Tietosuojavaltuutetun toimisto toimi SWOT-analyysin ohjaamisessa asiantuntijana. Tilaisuuden järjestämistarve nousi TIEVAn ja tietosuojavaltuutetun toimiston tarpeesta kehittää yhteistyötä tietosuoja-asioissa terveydenhuollossa, jotta potilaiden tietosuojan liittyviin kysymyksiin saataisiin yhdenmukaisia käytäntöjä. Tavoitteena on saada tietosuojavastaavat toimimaan yhdenmukaisesti kautta Suomen.
Valmistautuminen muutoksiin 1) Sisäisen tarkastuksen menetelmien luominen
(jo ennakolta) 2) Ohjeistukset, ”policyt” & suunnitelmat 3) Rekistereiden ja tietojen kartoitus 4) Tietosuojavastaavan nimeäminen 5) Koulutus 6) Valitusten ja oikeuksien käytön mekanismit 7) Tietoturvailmoitukset 8) Tietosuojaa koskevien vaikutusten arviointi
(Privacy Impact Assessment, ”PIA”) 9) Standardit ja sertifikaatit 10) Edellä mainittujen valvonta
TIETOSUOJAVALTUUTETUN TOIMISTO
TIETOSUOJAVASTAAVA – UUSI TOIMIELIN YRITYKSIIN
Asetusehdotuksessa velvollisuus nimittää tietosuojavastaava sidottu yrityksen kokoon (komissio) tai henkilötietojen käsittelyn laajuuteen (Albrechtin raportti)
Asema ehdotettu määriteltävän asetuksessa Pätevyysvaatimuksia Nimitettävä vähintään neljän vuoden määräajaksi Itsenäisyys ja erottamattomuus Raportointivastuu suoraan johdolle Vaatimus riittävistä resursseista Itsenäinen velvollisuus ilmoittaa epäillyistä
tietosuojaloukkauksista viranomaisille
TIETOSUOJAVALTUUTETUN TOIMISTO
TIETOSUOJAVASTAAVAN TEHTÄVÄT JA ASEMA
Tehtävien laajuus sovitaan erikseen työsopimuksessa ja tehtäväkuvauksessa Lähtökohtaisesti tietosuojavastaavan tehtävänä on
organisaation erityisasiantuntijana auttaa rekisterinpitäjän velvollisuuksien toteuttamisessa
Päätökset tekee hallinnollinen johto Hallinnollinen johto ei voi ulkoistaa rekisteripidon vastuita
tietosuojavastaavalle Tietosuojavastaavan tehtävän voi ulkoistaa Tietosuovastaavan nimi ilmoitettava valvovalle
viranomaiselle
TIETOSUOJAVALTUUTETUN TOIMISTO
TIETOSUOJAVASTAAVAN TOIMENKUVAAN TYYPILLISESTI KUULUVIA ASIOITA
Osallistuminen organisaation henkilötietojen käsittelyä koskevaan suunnittelutoimintaan
Osallistuminen rekisterinpitäjän hyväksymiä tietosuoja- ja tietoturvaohjeita koskevaan valmisteluun ja ylläpitoon
Henkilötietojen käsittelyn ja niiden suojausmenetelmien seuraaminen ja valvonta
Osallistuminen rekisterinpitäjän henkilöstölle annettavan tietosuojakoulutuksen toteuttamiseen
Henkilöstön ja rekisteröityjen tukeminen tietosuoja-asioissa Toimiminen yhdyssiteenä valvontaviranomaisiin Raportoiminen yrityksen johdolle tietosuojan (ja tietoturvallisuuden)
tilasta ja kehittämistarpeista (sisäiset auditoinnit ja käytönvalvonta) Yrityksen johdon osoittamista muista tietosuojaa tukevista
tehtävistä vastaaminen
TIETOSUOJAVALTUUTETUN TOIMISTO
LÄÄKÄRIN TIETOSUOJAN
HUONEENTAULU
1. Hippokrateen vala – ensimmäinen tietosuojasäännös maailmassa
- jotta hoito onnistuisi
TIETOSUOJAVALTUUTETUN TOIMISTO
2. Palvelun antajan vastaavan johtajan on annettava ohjeet
potilastietojen laillisesta käsittelystä työntekijöille
- älä jätä työntekijöitä oman onnensa nojaan
3. Työntekijät on koulutettava potilastietojen lailliseen käsittelyyn
- auttaa viihtymään
TIETOSUOJAVALTUUTETUN TOIMISTO
4. Palvelun antajalla tulee olla nimettynä tietosuojavastaava - hän auttaa tietosuoja-asioissa
TIETOSUOJAVALTUUTETUN TOIMISTO
5. Informoi potilasta potilastietojen käsittelystä
- olennainen osa sinun ja potilaan vuorovaikutteista kohtaamista
TIETOSUOJAVALTUUTETUN TOIMISTO
6. Toteuta potilaan tarkastusoikeus potilastietoihin ilman aiheetonta
viivytystä - laadunvarmistus on päivän sana
7. Korjaa potilastiedot ilman aiheetonta viivytystä
- haluathan, että päätöksentekosi tukena on laadukasta tietoa
TIETOSUOJAVALTUUTETUN TOIMISTO
8. Potilastietojen käyttöä tulee valvoa - näin turvataan potilastietojen luottamuksellisuutta ja hoidon
onnistumista
9. Potilastiedot on suojattava sivullisilta
- tietosuoja ja -turva on yhtä vahva kuin sen heikoin lenkki
10. Hävitä tiedot turvallisesti - noudata laillisia potilastietojen
säilytysaikoja TIETOSUOJAVALTUUTETUN TOIMISTO
Reijo Aarnio tietosuojavaltuutettu
Tiedon laatu = Toiminnan laatu
KIITOS KUUNTELUSTA!
LISÄTIETOJA: www.tietosuoja.fi
Tietosuojavaltuutetun toimisto