Luonnollisen henkilön tietosuojaoikeudet sote-palveluissa
Yleinen väärinymmärrys on, että terveystiedot olisivat EU:n yleisen tietosuojasääntelyn vuoksi salassa pidettäviä. Samaan aikaan usein unohdetaan se, että myös sote-alan työntekijöille kuuluvat tietosuojasääntelyn mukaiset rekisteröidyn oikeudet. Kaikkeen henkilötietojen käsittelyyn liittyy aina myös riskejä.
Se, että EU:n yleinen tietosuoja-asetus toteaa 9 artiklassa erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelyn olevan kiellettyä, ei tarkoita velvoitetta salassa pitämiseen. Käytännössä tämä tarkoittaa sitä, että kyseisiä tietoja ei saa käsitellä edes salaisina – siis, jos ei ole asianmukaista perustetta käsitellä kyseisiä tietoja. Varsinaiset salassa pitämisen velvoitteet tulevat sote-alan omista potilaan tai asiakkaan asemaa ja oikeuksia koskevista säädöksistä sekä yleistasolla julkisuuslaista.
Potilaiden ja asiakkaiden henkilötietoja käsitellään käytännössä kaikissa asioinnin vaiheissa aina hoito- tai palvelutarpeen arvioinnin ensimmäisestä yhteydenotosta hoidon tai palvelun päättymiseen saakka. Tämän jälkeen tietoja säilyy arkistoissa sekä tietysti potilaille ja asiakkaille tarjottavissa verkkopalveluissa. Käyttäjien ja käyttövaltuuksien hallinta sekä tietoaineistojen salaaminen ovat tehokkaita keinoja henkilötietojen käsittelyrajoitteiden toteuttamisessa myös pitkäaikaisessa säilyttämisessä.
Sote-alalla tietosuoja on muutakin kuin vain potilas- ja asiakastietojen tietosuojaa
Henkilötietojen käsittelyprosessiin liittyy paljon muidenkin kuin vain potilaiden ja asiakkaiden henkilötietoja. Lukuisat palveluiden tarjoajat, yhteistyötahot ja kumppanuudet edellyttävät myös henkilötietojen käsittelyä. Yksi merkittävä sote-alan rekisteröityjen ryhmä on työntekijät. Myös he ovat rekisteröityjä eli tietosuojasääntelyssä tarkoitettuja luonnollisia henkilöitä. Yhdelläkään työntekijällä ei ole velvollisuutta sietää omien henkilötietojensa käsittelyä väärin perustein. Lisäksi työntekijöillä on oikeus tietää, ketkä heidän henkilötietojaan käsittelevät ja mihin tarkoituksiin. Sama pätee myös yhteistyötahojen ja palveluntarjoajien työntekijöiden henkilötietojen käsittelyyn ja heille kuuluviin rekisteröityjen oikeuksiin.
Voi olla, että on perusteltua suojautua erityisesti potilaiden ja asiakkaiden henkilötietojen urkinnalta ja henkilökunnan väärinkäytöksiltä, mutta tietoturva- ja tietosuojariskit kohdistuvat kyllä aina kaikkiin tavoitettavissa oleviin henkilötietoihin. Luvattomasti järjestelmiin tunkeutunut hakkeri haalii kyllä kaikki löytämänsä henkilötiedot ja käyttäjähallintaan kuuluvilta vaikuttavat tiedot joko käyttääkseen niitä itse, tai levittääkseen tai myydäkseen tietoja muiden rikollisten käyttöön.
Rekisteröidyn oikeudet
Sote-alalla jokaisella luonnollisella henkilöllä on asemastaan tai roolistaan riippumatta normaalit rekisteröidyn oikeudet omia henkilötietojaan koskien seuraavasti:
- Oikeus saada tieto siitä, käsitelläänkö hänen henkilötietojaan. Ja, mikäli hänen henkilötietojaan käsitellään, on:
- Oikeus tietää henkilötietojensa käsittelyn tarkoitukset sekä mitä henkilötietoja niihin tarkoituksiin käsitellään.
- Oikeus tietää keille vastaanottajille hänen henkilötietojaan on luovutettu tai on tarkoitus luovuttaa.
- Oikeus tietää hänen henkilötietojensa käsittelyajat tai käsittelyaikojen määrittämiskriteerit.
- Oikeus saada oikaisu mahdollisesti virheellisiin henkilötietoihin.
- Riippuen henkilötietojen käsittelyperusteesta rekisteröidyllä voi olla oikeus pyytää henkilötietojensa poistamista tai käsittelyn rajoittamista tai vastustaa käsittelyä.
On hyvä tiedostaa kuitenkin se, että lakeihin tai asetuksiin perustuvaa käsittelyä ei yleensä voi vastustaa eikä lähtökohtaisesti pyytää henkilötietojensa poistamista. Yleensä sopimuksen perusteellakaan tapahtuvaa käsittelyä ei voi vastustaa, koska muutoin voi käydä niin, että sopimuksessa sovittuja asioita ei pystytä toteuttamaan. Kuitenkin jokaisella luonnollisella henkilöllä on oikeus tehdä valitus valvovalle viranomaiselle, mikäli kokee, että hänen henkilötietojansa ei käsitellä tietosuojasäädösten mukaisesti.
Pelkkä tietosuoja-asioiden korostaminen ei riitä
Yleisen tietosuojanäkökulman lisäksi on muistettava, että henkilötietojen ja henkilöihin liittyvien tietojen käsittelyssä tulee ottaa huomioon myös tasa-arvo- ja yhdenvertaisuusnäkökulmat sekä tietysti erityisesti työtehtäviin liittyen työelämän tietosuoja. Useimmiten pelkkä tietosuoja-asioiden korostaminen ei riitä, vaan on otettava huomioon myös tietoturvallisuus – laajemmin tarkasteltuna kyberturvallisuus. Tästä kerroimme edellisessä blogissamme ”Kokonaisvaltaisen kyberturvallisuuden varmistaminen on sote-palveluissa välttämätöntä – katse usein liian kapea”.
Lisätietoja
Tagit
Netum Group - Asiantuntijat ja yhteyshenkilöt
Netum Group - Muita referenssejä
Netum Group - Muita bloggauksia
It- ja ohjelmistoalan työpaikat
- Laura - Mobiilikehittäjä, Android
- Laura - Ohjelmistoarkkitehti, Tampere/Oulu
- Laura - Development Team Manager, Sports Games
- Taito United Oy - Senior Full Stack -kehittäjä
- Webscale Oy - Head of Sales, Cloud Services
- Laura - Hankinta-asiantuntija, tietohallinto
- Laura - Development Manager, Operations
Premium-asiakkaiden viimeisimmät referenssit
- SD Worx - Kehitystyö SD Worxin kanssa takaa Clas Ohlsonille parhaat palkanmaksun prosessit kasvun tiellä
- Digiteam Oy - Case Esperi Care Oy: Ketterä kumppanuus vei Esperin verkkosivu-uudistuksen maaliin sujuvasti ja aikataulussa
- Kisko Labs Oy - Howspace Hub - Mukautuva oppimisen hallintajärjestelmä kasvaviin oppimisalustavaatimuksiin
- Kisko Labs Oy - Sanoma Pro: Multimediasisältöjen hallinnan uudistaminen
- Kisko Labs Oy - Svean helppokäyttöinen palvelu asiakkaan verkko-ostosten hallintaan
- Kisko Labs Oy - Yhtenäinen käyttöliittymä luovien alojen ammattilaisille
- Codemate - Digitaalisen murroksen nopeuttaminen Flutterin avulla
Tapahtumat & webinaarit
- 27.11.2024 - Green ICT -ekosysteemitapaaminen III: Ohjelmistojärjestelmien virrankulutuksen mittaaminen ja kasvihuonepäästöjen arviointi
- 27.11.2024 - Digitaalisen asiakaskokemuksen uusi aikakausi
- 28.11.2024 - Webinaari: Keskity myyntityön laatuun!
- 28.11.2024 - Copilot-webinaari – Mielekkäämpää tietotyötä turvallisesti
- 04.12.2024 - Kuinka oikea matka- ja kululaskujärjestelmä tehostaa prosesseja?
- 05.12.2024 - Green ICT VICTIS -hankkeen kick off -tilaisuus
- 15.01.2025 - Datavastuullisuuden valmennus: hanki valmiudet vastuulliseen datan ja tekoälyn hyödyntämiseen
Premium-asiakkaiden viimeisimmät bloggaukset
- Kisko Labs Oy - Heroku: Millaisiin projekteihin se sopii ja mitkä ovat sen todelliset hyödyt ja haitat?
- Zimple Oy - Pipedrive vai Hubspot? Kumpi kannattaa valita?
- SC Software Oy - Jatkuvat palvelut – asiakaslähtöistä kumppanuutta projekteista ylläpitoon
- Timeless Technology - Ohjelmoitavat logiikat (PLC): Ratkaisevat työkalut automaatioon ControlByWebiltä.
- Kisko Labs Oy - Heroku: Ohjelmistokehittäjän ykköstyökalu skaalautuvien sovellusten rakentamiseen
- SD Worx - Näin luot vakuuttavan Business Casen palkkahallinnon ulkoistukselle
- Timeless Technology - Kyberriskien tunnistaminen Profitap IOTA verkkoanalysaattorin avulla.
Digitalisaatio & innovaatiot blogimediaBlogimediamme käsittelee tulevaisuuden liiketoimintaa, digitaalisia innovaatioita ja internet-ajan ilmiöitä |