Luonnollisen henkilön tietosuojaoikeudet sote-palveluissa
Yleinen väärinymmärrys on, että terveystiedot olisivat EU:n yleisen tietosuojasääntelyn vuoksi salassa pidettäviä. Samaan aikaan usein unohdetaan se, että myös sote-alan työntekijöille kuuluvat tietosuojasääntelyn mukaiset rekisteröidyn oikeudet. Kaikkeen henkilötietojen käsittelyyn liittyy aina myös riskejä.
Se, että EU:n yleinen tietosuoja-asetus toteaa 9 artiklassa erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelyn olevan kiellettyä, ei tarkoita velvoitetta salassa pitämiseen. Käytännössä tämä tarkoittaa sitä, että kyseisiä tietoja ei saa käsitellä edes salaisina – siis, jos ei ole asianmukaista perustetta käsitellä kyseisiä tietoja. Varsinaiset salassa pitämisen velvoitteet tulevat sote-alan omista potilaan tai asiakkaan asemaa ja oikeuksia koskevista säädöksistä sekä yleistasolla julkisuuslaista.
Potilaiden ja asiakkaiden henkilötietoja käsitellään käytännössä kaikissa asioinnin vaiheissa aina hoito- tai palvelutarpeen arvioinnin ensimmäisestä yhteydenotosta hoidon tai palvelun päättymiseen saakka. Tämän jälkeen tietoja säilyy arkistoissa sekä tietysti potilaille ja asiakkaille tarjottavissa verkkopalveluissa. Käyttäjien ja käyttövaltuuksien hallinta sekä tietoaineistojen salaaminen ovat tehokkaita keinoja henkilötietojen käsittelyrajoitteiden toteuttamisessa myös pitkäaikaisessa säilyttämisessä.
Sote-alalla tietosuoja on muutakin kuin vain potilas- ja asiakastietojen tietosuojaa
Henkilötietojen käsittelyprosessiin liittyy paljon muidenkin kuin vain potilaiden ja asiakkaiden henkilötietoja. Lukuisat palveluiden tarjoajat, yhteistyötahot ja kumppanuudet edellyttävät myös henkilötietojen käsittelyä. Yksi merkittävä sote-alan rekisteröityjen ryhmä on työntekijät. Myös he ovat rekisteröityjä eli tietosuojasääntelyssä tarkoitettuja luonnollisia henkilöitä. Yhdelläkään työntekijällä ei ole velvollisuutta sietää omien henkilötietojensa käsittelyä väärin perustein. Lisäksi työntekijöillä on oikeus tietää, ketkä heidän henkilötietojaan käsittelevät ja mihin tarkoituksiin. Sama pätee myös yhteistyötahojen ja palveluntarjoajien työntekijöiden henkilötietojen käsittelyyn ja heille kuuluviin rekisteröityjen oikeuksiin.
Voi olla, että on perusteltua suojautua erityisesti potilaiden ja asiakkaiden henkilötietojen urkinnalta ja henkilökunnan väärinkäytöksiltä, mutta tietoturva- ja tietosuojariskit kohdistuvat kyllä aina kaikkiin tavoitettavissa oleviin henkilötietoihin. Luvattomasti järjestelmiin tunkeutunut hakkeri haalii kyllä kaikki löytämänsä henkilötiedot ja käyttäjähallintaan kuuluvilta vaikuttavat tiedot joko käyttääkseen niitä itse, tai levittääkseen tai myydäkseen tietoja muiden rikollisten käyttöön.
Rekisteröidyn oikeudet
Sote-alalla jokaisella luonnollisella henkilöllä on asemastaan tai roolistaan riippumatta normaalit rekisteröidyn oikeudet omia henkilötietojaan koskien seuraavasti:
- Oikeus saada tieto siitä, käsitelläänkö hänen henkilötietojaan. Ja, mikäli hänen henkilötietojaan käsitellään, on:
- Oikeus tietää henkilötietojensa käsittelyn tarkoitukset sekä mitä henkilötietoja niihin tarkoituksiin käsitellään.
- Oikeus tietää keille vastaanottajille hänen henkilötietojaan on luovutettu tai on tarkoitus luovuttaa.
- Oikeus tietää hänen henkilötietojensa käsittelyajat tai käsittelyaikojen määrittämiskriteerit.
- Oikeus saada oikaisu mahdollisesti virheellisiin henkilötietoihin.
- Riippuen henkilötietojen käsittelyperusteesta rekisteröidyllä voi olla oikeus pyytää henkilötietojensa poistamista tai käsittelyn rajoittamista tai vastustaa käsittelyä.
On hyvä tiedostaa kuitenkin se, että lakeihin tai asetuksiin perustuvaa käsittelyä ei yleensä voi vastustaa eikä lähtökohtaisesti pyytää henkilötietojensa poistamista. Yleensä sopimuksen perusteellakaan tapahtuvaa käsittelyä ei voi vastustaa, koska muutoin voi käydä niin, että sopimuksessa sovittuja asioita ei pystytä toteuttamaan. Kuitenkin jokaisella luonnollisella henkilöllä on oikeus tehdä valitus valvovalle viranomaiselle, mikäli kokee, että hänen henkilötietojansa ei käsitellä tietosuojasäädösten mukaisesti.
Pelkkä tietosuoja-asioiden korostaminen ei riitä
Yleisen tietosuojanäkökulman lisäksi on muistettava, että henkilötietojen ja henkilöihin liittyvien tietojen käsittelyssä tulee ottaa huomioon myös tasa-arvo- ja yhdenvertaisuusnäkökulmat sekä tietysti erityisesti työtehtäviin liittyen työelämän tietosuoja. Useimmiten pelkkä tietosuoja-asioiden korostaminen ei riitä, vaan on otettava huomioon myös tietoturvallisuus – laajemmin tarkasteltuna kyberturvallisuus. Tästä kerroimme edellisessä blogissamme ”Kokonaisvaltaisen kyberturvallisuuden varmistaminen on sote-palveluissa välttämätöntä – katse usein liian kapea”.
Lisätietoja
Tagit
Netum Group - Asiantuntijat ja yhteyshenkilöt
Netum Group - Muita referenssejä
Netum Group - Muita bloggauksia
It- ja ohjelmistoalan työpaikat
- Nordea - Sr IT Analyst - Adobe/SAS Marketing Automation
- Nordea - Senior IT / Business Analyst with technical background - Finland, Nordea Payments
- Nordea - Senior IT Analyst, Finnish language required
- Laura - DevOps Engineer
- Aveso Oy - ERP tekninen projektipäällikkö
- Aveso Oy - IFS ERP -konsultti
- Laura - Digiasiantuntija, PAMin keskustoimistoon Helsinkiin
Premium-asiakkaiden viimeisimmät referenssit
- Symbio - Taxi Point Oy
- Valve - Helsingin yliopiston ylioppilaskunnan verkkopalvelun siirto WordPressiin
- Valve - Eezy Valmennuskeskuksen verkkokauppa-uudistus
- Valve - Danonen Nutricia ja Aptaclub -brändien sivustot
- Hellon - Identifying growth opportunities with global Moomin fans
- Hellon - Award-Winning Inclusive Customer Experience for Northern
- Hellon - Developing a Life-Saving App to Boost Blood Donations
Tapahtumat & webinaarit
- 13.11.2024 - Rakettiwebinaari: ohjelmistotestaus ja sen tulevaisuus
- 14.11.2024 - RoimaDay 2024
- 14.11.2024 - Verkkolaskufoorumin syysseminaari 2024
- 19.11.2024 - The Future of Software - Embracing Collaboration in an AI-Powered World
- 27.11.2024 - Green ICT -ekosysteemitapaaminen III: Ohjelmistojärjestelmien virrankulutuksen mittaaminen ja kasvihuonepäästöjen arviointi
Premium-asiakkaiden viimeisimmät bloggaukset
- Timeless Technology - Verkon luotettavuuden varmistaminen: Ota käyttöön Perle Systemsin teollisuustason 4G ja 5G reitittimet!
- Efima Oyj - Hyvästi turhat klikkailut: Näin moderni järjestelmä tehostaa myyntityötä erikoistavarakaupassa
- SC Software Oy - SC Softwaren uratarinat: Joel Ollikainen, konsultti
- Softlandia Oy - Sovelletun tekoälyn insinöörien esiinmarssi ja tekoälyosaamisen muutos
- Innofactor Oyj - 5 Copilot-vinkkiä Microsoft 365 -käyttäjälle
- Innofactor Oyj - Tekoäly käytännössä: 3 AI-työkalua myynnin ammattilaiselle
- TNNet Oy - "Asiakkaan tulee saada palvelua, joka jää mieleen"
Digitalisaatio & innovaatiot blogimediaBlogimediamme käsittelee tulevaisuuden liiketoimintaa, digitaalisia innovaatioita ja internet-ajan ilmiöitä |