Luonnollisen henkilön tietosuojaoikeudet sote-palveluissa
Yleinen väärinymmärrys on, että terveystiedot olisivat EU:n yleisen tietosuojasääntelyn vuoksi salassa pidettäviä. Samaan aikaan usein unohdetaan se, että myös sote-alan työntekijöille kuuluvat tietosuojasääntelyn mukaiset rekisteröidyn oikeudet. Kaikkeen henkilötietojen käsittelyyn liittyy aina myös riskejä.
Se, että EU:n yleinen tietosuoja-asetus toteaa 9 artiklassa erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelyn olevan kiellettyä, ei tarkoita velvoitetta salassa pitämiseen. Käytännössä tämä tarkoittaa sitä, että kyseisiä tietoja ei saa käsitellä edes salaisina – siis, jos ei ole asianmukaista perustetta käsitellä kyseisiä tietoja. Varsinaiset salassa pitämisen velvoitteet tulevat sote-alan omista potilaan tai asiakkaan asemaa ja oikeuksia koskevista säädöksistä sekä yleistasolla julkisuuslaista.
Potilaiden ja asiakkaiden henkilötietoja käsitellään käytännössä kaikissa asioinnin vaiheissa aina hoito- tai palvelutarpeen arvioinnin ensimmäisestä yhteydenotosta hoidon tai palvelun päättymiseen saakka. Tämän jälkeen tietoja säilyy arkistoissa sekä tietysti potilaille ja asiakkaille tarjottavissa verkkopalveluissa. Käyttäjien ja käyttövaltuuksien hallinta sekä tietoaineistojen salaaminen ovat tehokkaita keinoja henkilötietojen käsittelyrajoitteiden toteuttamisessa myös pitkäaikaisessa säilyttämisessä.
Sote-alalla tietosuoja on muutakin kuin vain potilas- ja asiakastietojen tietosuojaa
Henkilötietojen käsittelyprosessiin liittyy paljon muidenkin kuin vain potilaiden ja asiakkaiden henkilötietoja. Lukuisat palveluiden tarjoajat, yhteistyötahot ja kumppanuudet edellyttävät myös henkilötietojen käsittelyä. Yksi merkittävä sote-alan rekisteröityjen ryhmä on työntekijät. Myös he ovat rekisteröityjä eli tietosuojasääntelyssä tarkoitettuja luonnollisia henkilöitä. Yhdelläkään työntekijällä ei ole velvollisuutta sietää omien henkilötietojensa käsittelyä väärin perustein. Lisäksi työntekijöillä on oikeus tietää, ketkä heidän henkilötietojaan käsittelevät ja mihin tarkoituksiin. Sama pätee myös yhteistyötahojen ja palveluntarjoajien työntekijöiden henkilötietojen käsittelyyn ja heille kuuluviin rekisteröityjen oikeuksiin.
Voi olla, että on perusteltua suojautua erityisesti potilaiden ja asiakkaiden henkilötietojen urkinnalta ja henkilökunnan väärinkäytöksiltä, mutta tietoturva- ja tietosuojariskit kohdistuvat kyllä aina kaikkiin tavoitettavissa oleviin henkilötietoihin. Luvattomasti järjestelmiin tunkeutunut hakkeri haalii kyllä kaikki löytämänsä henkilötiedot ja käyttäjähallintaan kuuluvilta vaikuttavat tiedot joko käyttääkseen niitä itse, tai levittääkseen tai myydäkseen tietoja muiden rikollisten käyttöön.
Rekisteröidyn oikeudet
Sote-alalla jokaisella luonnollisella henkilöllä on asemastaan tai roolistaan riippumatta normaalit rekisteröidyn oikeudet omia henkilötietojaan koskien seuraavasti:
- Oikeus saada tieto siitä, käsitelläänkö hänen henkilötietojaan. Ja, mikäli hänen henkilötietojaan käsitellään, on:
- Oikeus tietää henkilötietojensa käsittelyn tarkoitukset sekä mitä henkilötietoja niihin tarkoituksiin käsitellään.
- Oikeus tietää keille vastaanottajille hänen henkilötietojaan on luovutettu tai on tarkoitus luovuttaa.
- Oikeus tietää hänen henkilötietojensa käsittelyajat tai käsittelyaikojen määrittämiskriteerit.
- Oikeus saada oikaisu mahdollisesti virheellisiin henkilötietoihin.
- Riippuen henkilötietojen käsittelyperusteesta rekisteröidyllä voi olla oikeus pyytää henkilötietojensa poistamista tai käsittelyn rajoittamista tai vastustaa käsittelyä.
On hyvä tiedostaa kuitenkin se, että lakeihin tai asetuksiin perustuvaa käsittelyä ei yleensä voi vastustaa eikä lähtökohtaisesti pyytää henkilötietojensa poistamista. Yleensä sopimuksen perusteellakaan tapahtuvaa käsittelyä ei voi vastustaa, koska muutoin voi käydä niin, että sopimuksessa sovittuja asioita ei pystytä toteuttamaan. Kuitenkin jokaisella luonnollisella henkilöllä on oikeus tehdä valitus valvovalle viranomaiselle, mikäli kokee, että hänen henkilötietojansa ei käsitellä tietosuojasäädösten mukaisesti.
Pelkkä tietosuoja-asioiden korostaminen ei riitä
Yleisen tietosuojanäkökulman lisäksi on muistettava, että henkilötietojen ja henkilöihin liittyvien tietojen käsittelyssä tulee ottaa huomioon myös tasa-arvo- ja yhdenvertaisuusnäkökulmat sekä tietysti erityisesti työtehtäviin liittyen työelämän tietosuoja. Useimmiten pelkkä tietosuoja-asioiden korostaminen ei riitä, vaan on otettava huomioon myös tietoturvallisuus – laajemmin tarkasteltuna kyberturvallisuus. Tästä kerroimme edellisessä blogissamme ”Kokonaisvaltaisen kyberturvallisuuden varmistaminen on sote-palveluissa välttämätöntä – katse usein liian kapea”.
Netum Group - Asiantuntijat ja yhteyshenkilöt
Netum Group - Muita referenssejä
Netum Group - Muita bloggauksia
It- ja ohjelmistoalan työpaikat
- Nordea - Senior Backend Developer, Nordea Finance
- Laura - Palveluvastaava, tietohallinto
- Laura - Fullstack kehittäjä
- Digia Oyj - Kafka Integration Developer
- Laura - Senior Full Stack Developer
- Laura - Full Stack Developer
- Laura - Kesätyöpaikat, Toiminnanohjausjärjestelmän kehitys, Millog Oy Tampere
Premium-asiakkaiden viimeisimmät referenssit
- e21 Solutions Oy - Teknisestä tuotemyynnistä asiakaslähtöiseen verkkopalveluun
- Into-Digital Oy - Huoneistokeskuksen digitaalinen kotipesä palvelemaan asunnon ostajia ja myyjiä
- Softlandia Oy - LlamaIndex – Softlandian parannukset nostivat haun tarkkuuden, luotettavuuden ja suorituskyvyn uudelle tasolle
- Ready Solutions Oy - Dynava: Moderni data-alusta Azuren ja Databricksin avulla
- Maxtech - RTK-Palvelu hyötyy Maxtechin ajansäästövaikutuksesta ja TES-osaamisesta
- TNNet Oy - Kauppakeskus Seppä – TNNet hoiti nettiyhtydet kerrasta kuntoon
- TNNet Oy - Evantizer Oy – Palvelinsiirtoa TNNetille ei ole tarvinnut katua
Tapahtumat & webinaarit
- 23.01.2025 - Generatiivisen tekoälyn hyödyt liiketoimintajohtajalle
- 29.01.2025 - Modern toolchain and AI breakfast seminar with Eficode, AWS and HashiCorp
- 30.01.2025 - 30.1.2025 | Webinaari: Tehokkaampaa tuotantoa teollisuusyritykselle Fellowmindin Manufacturing Template -ratkaisulla
- 30.01.2025 - Suuri Rahoitusilta
- 30.01.2025 - Open Future
- 29.01.2025 - SecD-Day event
- 05.02.2025 - Smart Commerce Nordic 2025
Premium-asiakkaiden viimeisimmät bloggaukset
- Efima Oyj - Unboxataan Dynamics 365 -versiopäivitys! – Versio 10.0.42
- SprintIT Oy - Odoo tarjoaa raportointiominaisuudet ilman erillisiä BI-työkaluja
- Innofactor Oyj - Tilaa Innofactorin uutiskirje ja pysy digitalisaation aallonharjalla
- Ready Solutions Oy - Mitä on data engineering?
- Digia Oyj - Senior Trainee: Arkkitehtina saa olla näköalapaikalla ihmisten ja teknologian välissä
- Digia Oyj - Senior Trainee: Bittejä on ilo siirrellä mielenkiintoisten asiakkaiden hyödyksi
- Efima Oyj - OpenAI o1 ja o3 – Uusi aikakausi kielimalleille?
Digitalisaatio & innovaatiot blogimediaBlogimediamme käsittelee tulevaisuuden liiketoimintaa, digitaalisia innovaatioita ja internet-ajan ilmiöitä |