Olemme osa Coronariaa

Miten terveys- ja hyvinvointialan ammattilainen valmistautuu EU:n uuden tietosuoja-asetuksen vaatimuksiin (+ ilmainen tarkastuslista!)?

Mitä tietosuojavelvoitteita terveys- ja hyvinvointialan ammattilaisen tulee päivittäisessä toiminnassaan huomioida? Entä miten uusi EU:n tietosuoja-asetus vaikuttaa toimintaan? Mihin kaikkeen täytyy valmistautua ja miten?

Näitä kysymyksiä miettii varmasti useampikin terveys- ja hyvinvointialan ammattilaisille. Lainsäädännössä asetetut tietosuojavelvoitteet voivat tuntua vaikeaselkoisilta ja niiden käytännön toteuttaminen epäselvältä. Erityisesti nyt kun lainsäädäntö on uuden tietosuoja-asetuksen myötä muuttumassa, monelle nousee mieleen ajatus siitä, osaanko varmasti huomioida toiminnassani kaikki lain asettamat vaatimukset.

Uusi asetus on syytä opiskella huolella, sillä se antaa kansalliselle valvontaviranomaiselle mahdollisuuden määrätä hallinnollisia seuraamusmaksuja, mikäli tietosuojavaatimuksia ei noudateta vaaditulla tavalla. Uusien tietosuojavelvoitteiden huomioiminen käytännön arjessa ei kuitenkaan ole rakettitiedettä.

Kun on hyvä yleiskäsitys siitä, mitä uusia vaatimuksia terapeutin tulee päivittäisessä työssään huomioida, on helppo luoda tarvittava dokumentaatio ja suunnitella itselle sopivat toimintatavat, joilla lainsäädännön vaatimusten toteuttaminen toimii saumattomasti osana arkista työskentelyä. Listaamme tässä blogikirjoituksessa asioita, jotka jokaisen terveyden- ja hyvinvoinnin ammattilaisen tulee ottaa huomioon ennen kuin uusi asetus astuu voimaan.

Lataa-tietosuoja-lista

Yksilön oikeudet vahvistuvat

Jokainen terveyden- ja hyvinvointialan ammattilainen käsittelee työssään päivittäin henkilötietoja. Erilaisia rekistereitä on paljon – on asiakasrekistereitä, erilaisia markkinointirekistereitä sekä tietysti rekistereitä potilaaseen liittyvistä tiedoista. Henkilöä, jonka henkilötiedot on talletettu rekisteriin, kutsutaan rekisteröidyksi.

Rekisteröidyllä on jo nykyisen henkilötietolain mukaan oikeus muun muassa tarkastaa omat tietonsa sekä vaatia niiden oikaisua ja poistamista rekisteristä. Toisaalta erityissääntely velvoittaa tiettyjen potilastietojen säilyttämiseen laissa määritellyn ajan, halusi rekisteröity tätä itse tai ei.

Asetus säilyttää nämä vanhat oikeudet, mutta tarjoaa rekisteröidylle entistä vahvemman kontrollin omiin tietoihinsa. Jatkossa rekisterinpitäjien tulee esimerkiksi antaa rekisteröidyille yhä enemmän, läpinäkyvämmin ja selkeämmin tietoa siitä, miten heidän tietojaan käsitellään ja miksi.

Toisaalta uusi kansallinen arkisto Kanta on muuttanut potilastietojen säilyttämiseen liittyviä vaatimuksia. Ne ammattilaiset joita potilastietojen säilyttäminen koskee on helpottavaa kuulla, että tietosuojanäkökulmasta Kanta helpottaa arkea, kun potilasasiakirjoja ei enää pääsääntöisesti tarvitse säilyttää paperisessa muodossa, vaan niiden pitkäaikainen säilyttäminen voidaan toteuttaa Kantaan kuuluvassa Potilastiedon arkistossa.

Toisaalta on muistettava, että rekisteröityjä on informoitava Potilastiedon arkiston käytöstä ja rekisteröidyn oikeudesta kieltää sen kautta tapahtuvat tietojen luovutukset arkistoon liittyneiden toimintayksiköiden välillä.

Tietoturvasta on huolehdittava yhä tarkemmin

Asetus tuo tullessaan terveyden ja hyvinvointialan ammattilaiselle myös uusia velvollisuuksia. Ensinnäkin tulee tarkistaa henkilö- ja potilastietorekistereitä koskevat rekisteriselosteet, sillä asetuksen myötä rekisteriselosteeseen tulee sisällyttää yhä enemmän tietoa henkilötietojen käsittelystä, kuten esimerkiksi tieto henkilötietojen käsittelyn perusteesta ja rekisteröidyn oikeudesta tehdä valitus tietosuojavaltuutetulle.

Myös tietoturva-asioista tulee huolehtia entistä tarkemmin. Mikäli henkilötietoja tuhoutuu, häviää, muuttuu tai jos niitä luovutetaan vahingossa tai laittomasti kolmannelle osapuolelle, tai jos joku pääsee muutoin tietoihin käsiksi ilman lupaa, terapeutilla on velvollisuus kolmen vuorokauden kuluessa tällaisen tapahtuman havaittuaan ilmoittaa tietoturvaloukkauksesta valvovalle viranomaiselle.

Myös niitä rekisteröityjä, joiden tiedot ovat olleet tällaisen tietoturvaloukkauksen kohteena, tulee informoida ilman aiheetonta viivytystä. Tietoturvaloukkaukset ovat todellinen haaste ja asiakkaiden luottamuksen säilyttäminen on entistä tärkeämpää digitalisoituvassa maailmassa. Siksi tietoturvallisuudesta kannattaa huolehtia myös suunnittelemalla selkeät toimintatavat ja ohjeet, joita henkilötietojen käsittelyssä noudattaa.

Arvioi henkilötietojen käsittelyn nykytila ja siihen liittyvät riskit

Tietosuojaa koskevassa vaikutustenarvioinnissa arvioidaan henkilötietojen käsittelyn tarpeellisuutta, riskejä sekä sitä, miten riskejä voidaan minimoida ja miten niihin voidaan puuttua. Vaikutustenarviointi ei ole pakollinen kaikissa tilanteissa, mutta jonkinasteinen nykytilan arviointi auttaa hahmottamaan, mitä toimenpiteitä uuden tietosuoja-asetuksen velvoitteiden toteuttaminen tulee vaatimaan.

Ainakin tulisi selvittää:
1.mitä henkilötietoja käsittelee
2.onko käsittely nykyisen henkilötietolain mukaista
3.miten tiedottaa rekisteröidyille heidän tietojensa käsittelystä
4.mitä toimintatapoja, prosesseja ja dokumentteja tulisi asetuksen myötä muuttaa tai luoda.

Tarkista ulkoisten tietojenkäsittelijöiden sopimukset

Tietosuoja-asetus edellyttää kirjallisen sopimuksen tekemistä ulkoisen palveluntarjoajan kanssa, joka käsittelee henkilötietoja. Asetus asettaa sopimukselle tietyt sisällölliset vaatimukset. Jos terveys- ja hyvinvointialan ammattilainen on ulkoistanut tietojenkäsittelytoimiaan kolmannelle osapuolelle, kuten esimerkiksi terveydenhuollon toimintayksikölle, kannattaa näiden sopimusten sisältö käydä läpi ja tarkistaa, vastaako se myös jatkossa asetuksen vaatimuksia. Tällainen ulkoinen henkilötietojen käsittelijä voi olla myös esimerkiksi ulkopuolinen palkkahallinto, pilvipalveluiden tarjoaja tai vaikka asiakasmyyntiä tekevä yritys.

Toimi jo nyt!

Tietosuoja-asetus tulee voimaan 25.5.2018. Koska tietosuoja-asetus luo terveyden- ja hyvinvointialan ammattilaisille useita velvoitteita, uusien toimintatapojen suunnittelu olisi hyvä aloittaa mahdollisimman pian. Ensimmäinen askel on tutustua rauhassa sekä nykyisen että tulevan lainsäädännön asettamiin velvoitteisiin.

Tämän jälkeen on syytä tarkastella oman toiminnan nykytilaa ja pohtia, täyttyvätkö kaikki tämänhetkiset tietosuojavaatimukset käytännössä. Kun selkeä tilannekuva on muodostunut, on helpompi lähteä miettimään toimenpiteitä, joilla varmistaa toiminnan lainmukaisuus myös tulevaisuudessa.

Vaikka tietosuoja-asiat voivat tuntua välillä monimutkaisilta, ei lain velvoitteiden noudattaminen ole kuitenkaan rakettitiedettä. Se vaatii vain rauhallista perehtymistä lain asettamiin velvoitteisiin, oman toiminnan hyvää tuntemusta, sekä selkeän suunnitelman luomista. Tietosuoja-asioista huolehtiminen osoittaa myös asiakkaiden suuntaan ammattilaisen luotettavuutta. Kun tietousoja-asiat ovat järjestyksessä, ammattilainen voi rauhassa keskittyä asiakkaiden auttamiseen.

Järjestämme yhteistyössä asianajaja Eija Warman kanssa ILMAISEN webinaarin, jossa opit:
????Mitkä ovat yleiset henkilötietojen käsittelyyn liittyvät tietosuojavaatimukset, jotta et tietämättäsi jätä jotain tekemättä
????Miten potilasasiakirjoja tulisi säilyttää, jotta tiedät mitkä kaikki asiakirjat luokitellaan potilasasiakirjoiksi ja miten pidät ne turvassa.
????Miten potilasasiakirjoja saa käsitellä, jotta tiedät kenelle saat jakaa tietoa ja kenelle et

Webinaari on moniammatillinen ja suunnattu kaikille fysio-, toiminta- puheterapeuteille ja lääkäreille sekä kaikille jotka joutuvat käsittelemään asiakastietoja. Jaa tietoa myös muille kollegoillesi. Tästä ilmoittautumiseen.

Jaamme tallenteen kaikille ilmoittautuneille, eli kannattaa ilmoittautua vaikka ei pääse mukaan!

https://www.lyyti.fi/reg/Ilmainen-Webinaari-uusi-tietosuojaasetus