tietosuoja terveydenhuollossa ja...tietosuoja terveydenhuollossa – tietosuoja-asetuksen tuomat...
TRANSCRIPT
Tietosuoja terveydenhuollossa –
Tietosuoja-asetuksen tuomat tarkennukset lääkärin työhön
Erika Jääskeläinen
Dos, Psyk. Erikoislääkäri,
Lääkiksen tietosuojayhdyshenkilö
Elinikäisen terveyden tutkimusyksikkö, Oulun yliopisto
Email: [email protected]
Terveydenhuollon hallinto ja sosiaaliturvajärjestelmä –koulutus 13.9.2018
Sisältö
• EU:n tietosuoja-asetus • Tietosuoja-asetus ja terveydenhuolto • Tietosuoja-asetus ja tietosuoja ”rivilääkärin”
työssä • Tietosuoja-asetus ja tietosuoja johtajalääkärin
työssä • Tietosuoja-asetus ja tietosuoja
ammatinharjoittajalääkärin työssä • Tietosuoja-asetus ja tietosuoja tutkijalääkärin
työssä
EU:n tietosuoja-asetus
EU:n tietosuoja-asetus eli GDPR • GDPR = General Data Protection Regulation = yleinen tietosuoja-asetus
• EU:n tietosuojalainsäädännön uudistaminen lähti liikkeelle v 2012
– Pyrkimyksenä turvata henkilötietojen suoja perusoikeutena, digitaalitalouden kehitys ja tehostaa rikollisuuden ja terrorismin torjuntaa
• Tulokseksi syntyivät yleinen tietosuoja-asetus ja tietosuojadirektiivi
• Yleinen tietosuoja-asetus korvaa vuoden 1995 henkilötietodirektiivin.
• Yleinen tietosuoja-asetus on yleissäädös, joka koskee lähtökohtaisesti kaikenlaista henkilötietojen käsittelyä ja sisältää säännökset rekisteröidyn oikeuksista sekä rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuuksista.
• Yleinen tietosuoja-asetus on tullut voimaan 25.5.2016. Sitä on alettu soveltaa jäsenvaltioissa 25.5.2018.
• EU:n yleinen tietosuoja-asetus edellyttää Suomessa henkilötietolainsäädännön tarkistamista tulossa on uusi tietosuojalaki joka toimii henkilötietojen käsittelyä koskevana yleislakina
Miksi GDPR ja tietosuoja?
• Tietosuoja-asetus yhtenäistää henkilötietojen käsittelyyn liittyvää lakisääteisten velvollisuuksien tulkintaa
• Tuo toiminnalle läpinäkyvyyttä ja lisää ihmisten luottamusta
• Jotta digitalisaatiota voidaan kehittää, tarvitaan tietosuojaa ja tietoturvaa
• GDPR:n noudattamisen kautta sanktioiden välttäminen
• Parantaa ihmisten, meidän kaikkien, yksityisyyden turvaa
Termit kuntoon • Tietosuoja = yksityisyyden turvaaminen henkilötietoja käsitellessä, eli toimenpiteet,
joiden tarkoituksena on suojata henkilön yksityisyys henkilötietojen käsittelyssä
• Tietoturva = hallinnollisin ja teknisin toimin varmistetaan tietojen luottamuksellisuuden, eheyden ja käytettävyyden säilyminen. Tietoturvalla suojataan tallennettua tietoa itsessään.
• Henkilötiedot = kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön. Henkilö on tunnistettavissa, kun hänet voidaan suoraan tai epäsuorasti tunnistaa kyseisten tietojen perusteella, erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnustietojen tai esim. hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, tai taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.
• Henkilörekisteri tai rekisteri = henkilötietoja sisältävä, jäsennelty tietojoukko, josta tiedot ovat saatavilla tietyin perustein.
• Rekisterin pitäjä = luonnollinen henkilö, oikeushenkilö (esim. kunta, yhdistys), viranomainen, virasto tai muu elin, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot
• Rekisteröity = Tunnistettu tai tunnistettavissa oleva luonnollinen henkilö, johon henkilötiedot liittyvät.
GDPR käytännössä, mitä uutta?
• Rekisterin pitäjän velvollisuudet ovat kasvaneet, koska asetuksessa on tarkennettu henkilötietojen käsittelyn vaatimuksia
• Rekisteröidyille on tullut lisää oikeuksia omien
tietojensa tarkistamiseen ja hallintaan
• Henkilötietojen kanssa toimivalla työntekijällä on yhä suurempi vastuu omaan tehtäväänsä liittyvän tietosuojan ja tietoturvan toteuttamisesta
Rekisterinpitäjän velvollisuudet
• Rekisterinpitäjällä on velvollisuus noudattaa tietosuoja-asetusta ja osoittaa asetuksen noudattaminen erilaisin menetelmin ja mekanismein, joita ovat mm.: – Henkilötietojen käsittelytoimien suunnittelu ja dokumentointi – Tietosuojaan keskittyvä henkilöstön koulutus ja informointi – Osoitusvelvollisuus ja tietosuoja-arviointien (PIA) tekeminen
• Rekisterinpitäjän osoitusvelvollisuus – Tarkoittaa kaikkea rekisterinpitäjän kykyä todistaa tietosuojan toteuttamiseksi
tehdyt toimenpiteet. Rekisterinpitäjän on pystyttävä esittämään konkreettista näyttöä eli dokumentteja siitä, että tietosuojasta on organisaatiossa huolehdittu.
– Seloste käsittelytoimista: Rekisterinpitäjältä edellytetty dokumentti, josta selviävät muun muassa rekisterinpitäjän yhteystiedot, käsiteltävät henkilötiedot ja käsittelyn tarkoitus sekä henkilötietojen luovuttamisen ja suojaamisen periaatteet.
– PIA (Privacy Impact Assessment) eli tietosuoja-arviointi eli henkilötietojen käsittelyyn liittyvä riskien arviointi
Rekisteröidyn oikeudet
• Rekisteröidyllä on oikeus mm. – saada tietoa henkilötietojensa käsittelystä
– saada pääsy tietoihin
– oikaista tietoja
– poistaa tiedot ja tulla unohdetuksi
– rajoittaa tietojen käsittelyä
Valvonta ja sanktiot
• GDPR:n myötä valvontaviranomaisen (tietosuojavaltuutettu) rooli ja oikeudet korostuvat.
• Henkilötietojen virheellisestä käsittelystä voidaan antaa: – huomautus, varoitus tai käsittelykielto – rekisterinpitäjä tai henkilötietojen käsittelijä voidaan jopa velvoittaa
maksamaan vahingon- tai kärsimyskorvauksia rekisteröidylle, mikäli tämän tietoja on käsitelty turhaan, virheellisesti tai jos tiedot päätyvät asiattomien saataville
– Sakot enemmän uhkana ehkä yritysten kuin julkisen sektorin kohdalla, maksimissaan 20 miljoonaa euroa tai 4% yrityksen maailmanlaajuisesta liikevaihdosta
• Henkilötietojen tietoturvaloukkauksesta tulee pääsääntöisesti aina ilmoittaa
tietosuojaviranomaisille ja tietyin edellytyksin myös rekisteröidylle itselleen. • tietoturvaloukkauksesta ilmoitus valvontaviranomaiselle 72 tunnin kuluessa
loukkauksen esiintulosta
Tietosuoja-asetus ja terveydenhuolto
Tietosuoja lääkärin työssä • Terveydenhuollossa on jo pitkään noudatettu
henkilötietolakia, joten EU:n tietosuoja-asetuksen tuomat velvoitteet eivät ole kovinkaan uusia
• Tietosuojalainsäädäntöä sovelletaan aina, kun käsitellään henkilötietoja.
• Tämä tarkoittaa esim. käytännön lääkärin työssä potilaiden henkilötietojen suojaamista työtehtävissä, esimieslääkäreiden työssä myös henkilöstön ja sidosryhmien henkilötietojen suojaamista, tutkijalääkärin työssä tutkittavien henkilötietojen suojaamista jne.
• Kuka valvoo paikanpäällä?: Talon/laitoksen johtaja, esimiehet, tietosuojavastaava…. – Hyvä keino ”tietosuojaiskut” eli yllätystarkistukset työpisteisiin
Tietosuoja-asetus ja tietosuoja ”rivilääkärin” työssä
Mitä uutta GDPR on tuonut rivilääkärin työhön?
• Mm.: – Tietosuojan merkityksen pohtimista ja ymmärtämistä, – kouluttautumista, – tietosuojan entistä parempaa huomioimista päivittäisessä
työssä
• Ei niin uutta, mutta lisääntyvää GDPR:nkin myötä: – ”Potilaan oikeus päästä tietoihinsa /tarkistaa tiedot”
• Kuinka toimin ja potilasta ohjeistan kun potilas haluaa tarkistaa sairauskertomusmerkinnät (sellaiset joita hän ei näe Omakannan kautta)? Ota selvää työpaikkasi toimintatavasta.
• Todennäköisesti potilaat tulevat tietojaan enenevästi tarkistamaan.
– ”Tietojen virheettömyys ja virheen korjaaminen” • Käyntitekstien ja lausuntojen korjaukset • Yhä useammin tekstit kannattaa kirjoittaa huomioiden se, että potilas
tulee sen ”kriittisellä silmällä” lukemaan
Tietosuoja arkityössä
Keskustele vierustoverin kanssa pari minuuttia:
• Oletko törmännyt työssäsi tietosuojaongelmiin/tietoturvaloukkauksiin? Jos kyllä, millaisiin?
Tietosuoja arkityössä • Tietokoneen lukitus • Kortti pois lukijasta • Tietosuojajätteen asianmukainen ”säilytys” ja tuhoaminen • Paperisten potilaspapereiden asianmukainen säilytys • Potilaasta otettujen kuvien asianmukainen säilytys • Ei potilastietoja suojaamattomassa emailissa. Voit tehdä itsellesi vaikka
valmiin vastaustekstin, jonka voit copypastata maileihin potilaille jotka pyytävät tuloksia tms. emailitse. (esim. ” Tämä sähköpostiyhteys on suojaamaton, ja lääkäri ei saa potilaan suostumuksellakaan lähettää salassa pidettäviä tietoja suojaamattomassa sähköpostissa. Voimme varata asialle soitto- tai vastaanottoajan.”)
• Mieti mitä, kenelle, missä puhut • Mieti mitä kirjaat ja minne kirjaat: mikä on tärkeää ja oleellista, mikä
epäoleellista, mitä ei saa kirjata jne. • Eihän tulostin ole väärässä paikassa? • Postitettaessa potilaspapereita tarkkuutta, mitä kuoreen livahtaa ja onko
osoite oikea? • Jne.
Tietosuoja-asetus ja tietosuoja johtajalääkärin työssä
Tietosuoja-asetus ja tietosuoja johtajalääkärin työssä
• Mm.: – Tietosuojan merkityksen painottamista alaisille/työyhteisölle,
tietosuojatyöryhmän perustaminen – Kouluttautumista ja kouluttamista, – Tietosuoja-asetuksen noudattamisen dokumentointia – Vastuussa rekisterin eli sairauskertomuksen asianmukaisesta
käsittelystä
– Potilaan oikeus päästä tietoihinsa/tarkistaa tiedot (eli rekisteritietojen tarkistus)
– Tietojen virheettömyys ja virheen korjaaminen – Potilaan pyyntö poistaa tiedot – Kuolleiden henkilöiden tietojen luovuttaminen
Tietosuoja-asetus ja tietosuoja ammatinharjoittajalääkärin työssä
Tietosuoja-asetus ja tietosuoja ammatinharjoittajalääkärin työssä
• Itsenäisenä ammatinharjoittajana toimiva lääkäri on rekisterinpitäjä ja velvollinen huolehtimaan potilasasiakirjojen laatimisesta ja säilyttämisestä, mutta:
• Lääkärikeskuksessa toimiva ammatinharjoittajalääkäri voi tehdä lääkärikeskuksen kanssa sopimuksen potilasasiakirjojen teknisestä ylläpidosta.
• Yksin toimivan ammatinharjoittaja (esim. omissa tiloissaan) on siis rekisterinpitäjä, ja hänen tulee huomioida tietosuoja-asetuksen asiat ja tehdä tietosuojaselvitys. Kts. Tarkemmin esim. https://www.laakariliitto.fi/edunvalvonta-tyoelama/tietosuoja-asetus/
• Yksin toimivan ammatinharjoittajan ongelmana usein rekisterin eli potilasasiakirjojen elinkaari. Esim. missä asiakirjoja säilytetään toiminnan lakkaamisen jälkeen, kuka asiakirjat tuhoaa jne?
Tietosuoja-asetus ja tietosuoja tutkijalääkärin työssä
• Tarkennuksia tullut mm. tutkittavien informointiin, suostumuslomakkeisiin, henkilötietojen käsittelyn turvallisuuteen ja dokumentointiin
• Kuka on (tutkimus)rekisterinpitäjä? Yliopisto, sairaala, yksittäinen tutkija, nämä kaikki yhdessä? Kuka omistaa datan? – Esim. väitöskirjatekijän vastuu jos/kun yksin
rekisterinpitäjänä?
• Kts. Esim. PPSHP:n eettisen toimikunnan sivusto, jossa GDPR:n myötä uusia tarkennuksia (mm. Riskien itsearviointilomake):
• https://www.ppshp.fi/Tutkimus-ja-opetus/Eettinen-toimikunta/Pages/Tietosuoja-asetuksen-(GDPR)-soveltaminen.aspx
Raisa Leivonen Ylitarkastaja, tietosuojavaltuutetun toimisto Osoitteesta: https://www.vastuullinentiede.fi/fi/tutkimustyö/tietosuojatyökaluja-tutkijalle
Lopuksi…
• Tarkkaile seuraavana työpäivänäsi työpaikkasi, ja oman toimintasi tietosuoja-asioita. Onko kaikki kunnossa? Voisiko jotain muuttaa ympäristössä ja omassa toiminnassa?
vastauksia joihinkin luennolla 13.9. esitettyihin kysymyksiin
• Etätyö ja tietosuoja: – Luonnollisesti etätyössä työntekijän oma vastuu tietosuojan kannalta kasvaa, huomioitavaa paljon,
mm. tietokoneen ja liittymän tietoturvallisuus, missä konetta säilyttää, eihän ulkopuolisilla ole siihen kotona pääsyä jne.
– Kts. OpiTietosuojaa –sivuston yleinen ohje etätyöhön liittyen:
• https://opitietosuojaa.fi/images/tiedostot/pikakuvakkeet/TIETOTURVA_JA_TIETOSUOJA_ETÄTYÖSSÄ.pdf
– Lääkäriliiton suositus:
• https://www.laakariliitto.fi/edunvalvonta-tyoelama/suositukset/etalaaketieteen-suositus/
• Missä tilanteessa voin viivästyttää sairauskertomusmerkinnän näkymistä Omakannassa? – Viivästämiselle ei ole valtakunnallisesti yhteneväisiä sääntöjä. Viivästää voidaan merkintöjä,
labratuloksia jne. Tietoja voidaan viivästää esim. jotta asia voidaan käydä läpi potilaan kanssa, jos esim. potilaalle ei ole vielä kerrottu diagnoosista, tutkimustuloksista tms.
– Tietojen näkymisen Omakannassa voi viivästyttää myös pysyvästi, jos tiedot voivat vakavasti vaarantaa potilaan terveyttä tai jonkun muun henkilön oikeuksia.
– https://www.kanta.fi/documents/20143/106832/Potilastiedon+arkiston+toimintamallit.pdf/39510f48-3aec-0bcb-1513-af182fc00d5d
Linkkejä
• Lääkäriliiton ohjeistus tietosuoja-asetukseen liittyen: – https://www.laakariliitto.fi/edunvalvonta-tyoelama/tietosuoja-asetus/
• Erittäin hyvää käytännön tietoa Kanta –kirjauksista, mm. potilasasiakirjamerkinnöistä, kirjausten viivästämisistä, korjaamisista jne. – Kanta. Potilastiedon arkiston toimintamalli:
https://www.kanta.fi/documents/20143/106832/Potilastiedon+arkiston+toimintamallit.pdf/39510f48-3aec-0bcb-1513-af182fc00d5d
• Tietosuoja-asetuksesta ja tietosuojasta: – https://opitietosuojaa.fi/fi/
• Lääkäriliiton suositus potilaan ja lääkärin välisestä sähköisestä viestinvaihdosta: – https://www.laakariliitto.fi/edunvalvonta-
tyoelama/suositukset/sahkoinen-viestinvaihto-potilas-laakarisuhteessa/
Kiitos konsulteille
• Juha Auvinen, johtava lääkäri, Oulunkaari
• Pirjo Karhunen, arkistovastaava, tietosuojavastaava, OYS
• Kirsi Kiukaanniemi, ylilääkäri, Selänne
• Pekka Mattila, OYS
• Minna Mäkiniemi, tutkimuspalvelupäällikkö, PPSHP
• Marianne Riekki, asiantuntijalääkäri, PPSHP
• Niilo Vähäsarja, lakimies, tietosuojavastaava, OY
Kiitos kuulijoille