Yleinen väärinymmärrys on, että terveystiedot olisivat EU:n yleisen tietosuojasääntelyn vuoksi salassa pidettäviä. Samaan aikaan usein unohdetaan se, että myös sote-alan työntekijöille kuuluvat tietosuojasääntelyn mukaiset rekisteröidyn oikeudet. Kaikkeen henkilötietojen käsittelyyn liittyy aina myös riskejä.
Se, että EU:n yleinen tietosuoja-asetus toteaa 9 artiklassa erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelyn olevan kiellettyä, ei tarkoita velvoitetta salassa pitämiseen. Käytännössä tämä tarkoittaa sitä, että kyseisiä tietoja ei saa käsitellä edes salaisina – siis, jos ei ole asianmukaista perustetta käsitellä kyseisiä tietoja. Varsinaiset salassa pitämisen velvoitteet tulevat sote-alan omista potilaan tai asiakkaan asemaa ja oikeuksia koskevista säädöksistä sekä yleistasolla julkisuuslaista.
Potilaiden ja asiakkaiden henkilötietoja käsitellään käytännössä kaikissa asioinnin vaiheissa aina hoito- tai palvelutarpeen arvioinnin ensimmäisestä yhteydenotosta hoidon tai palvelun päättymiseen saakka. Tämän jälkeen tietoja säilyy arkistoissa sekä tietysti potilaille ja asiakkaille tarjottavissa verkkopalveluissa. Käyttäjien ja käyttövaltuuksien hallinta sekä tietoaineistojen salaaminen ovat tehokkaita keinoja henkilötietojen käsittelyrajoitteiden toteuttamisessa myös pitkäaikaisessa säilyttämisessä.
Sote-alalla tietosuoja on muutakin kuin vain potilas- ja asiakastietojen tietosuojaa
Henkilötietojen käsittelyprosessiin liittyy paljon muidenkin kuin vain potilaiden ja asiakkaiden henkilötietoja. Lukuisat palveluiden tarjoajat, yhteistyötahot ja kumppanuudet edellyttävät myös henkilötietojen käsittelyä. Yksi merkittävä sote-alan rekisteröityjen ryhmä on työntekijät. Myös he ovat rekisteröityjä eli tietosuojasääntelyssä tarkoitettuja luonnollisia henkilöitä. Yhdelläkään työntekijällä ei ole velvollisuutta sietää omien henkilötietojensa käsittelyä väärin perustein. Lisäksi työntekijöillä on oikeus tietää, ketkä heidän henkilötietojaan käsittelevät ja mihin tarkoituksiin. Sama pätee myös yhteistyötahojen ja palveluntarjoajien työntekijöiden henkilötietojen käsittelyyn ja heille kuuluviin rekisteröityjen oikeuksiin.
Voi olla, että on perusteltua suojautua erityisesti potilaiden ja asiakkaiden henkilötietojen urkinnalta ja henkilökunnan väärinkäytöksiltä, mutta tietoturva- ja tietosuojariskit kohdistuvat kyllä aina kaikkiin tavoitettavissa oleviin henkilötietoihin. Luvattomasti järjestelmiin tunkeutunut hakkeri haalii kyllä kaikki löytämänsä henkilötiedot ja käyttäjähallintaan kuuluvilta vaikuttavat tiedot joko käyttääkseen niitä itse, tai levittääkseen tai myydäkseen tietoja muiden rikollisten käyttöön.
Rekisteröidyn oikeudet
Sote-alalla jokaisella luonnollisella henkilöllä on asemastaan tai roolistaan riippumatta normaalit rekisteröidyn oikeudet omia henkilötietojaan koskien seuraavasti:
- Oikeus saada tieto siitä, käsitelläänkö hänen henkilötietojaan.
Ja, mikäli hänen henkilötietojaan käsitellään, on:
- Oikeus tietää henkilötietojensa käsittelyn tarkoitukset sekä mitä henkilötietoja niihin tarkoituksiin käsitellään.
- Oikeus tietää keille vastaanottajille hänen henkilötietojaan on luovutettu tai on tarkoitus luovuttaa.
- Oikeus tietää hänen henkilötietojensa käsittelyajat tai käsittelyaikojen määrittämiskriteerit.
- Oikeus saada oikaisu mahdollisesti virheellisiin henkilötietoihin.
- Riippuen henkilötietojen käsittelyperusteesta rekisteröidyllä voi olla oikeus pyytää henkilötietojensa poistamista tai käsittelyn rajoittamista tai vastustaa käsittelyä.
On hyvä tiedostaa kuitenkin se, että lakeihin tai asetuksiin perustuvaa käsittelyä ei yleensä voi vastustaa eikä lähtökohtaisesti pyytää henkilötietojensa poistamista. Yleensä sopimuksen perusteellakaan tapahtuvaa käsittelyä ei voi vastustaa, koska muutoin voi käydä niin, että sopimuksessa sovittuja asioita ei pystytä toteuttamaan. Kuitenkin jokaisella luonnollisella henkilöllä on oikeus tehdä valitus valvovalle viranomaiselle, mikäli kokee, että hänen henkilötietojansa ei käsitellä tietosuojasäädösten mukaisesti.
Pelkkä tietosuoja-asioiden korostaminen ei riitä
Yleisen tietosuojanäkökulman lisäksi on muistettava, että henkilötietojen ja henkilöihin liittyvien tietojen käsittelyssä tulee ottaa huomioon myös tasa-arvo- ja yhdenvertaisuusnäkökulmat sekä tietysti erityisesti työtehtäviin liittyen työelämän tietosuoja. Useimmiten pelkkä tietosuoja-asioiden korostaminen ei riitä, vaan on otettava huomioon myös tietoturvallisuus – laajemmin tarkasteltuna kyberturvallisuus. Tästä kerroimme edellisessä blogissamme ”Kokonaisvaltaisen kyberturvallisuuden varmistaminen on sote-palveluissa välttämätöntä – katse usein liian kapea”.
Tarvitessasi ammattilaisten apua tietosuojan tai kyberturvallisuuden suunnitteluun ja käytäntöön viemiseen, tietosuojan vaikutustenarviointeihin tai vaikkapa tekniseen tietoturvallisuuden testaamiseen, niin pyydä Netumin asiantuntijoita avuksesi. Pystymme auttamaan vahvan kokemuksemme ansiosta monipuolisesti niin hallinnollisissa kuin teknisissä toimissa joko kertaluonteisesti tai jatkuvana palveluna.
Arto Kangas, johtava kyberturvallisuuskonsultti. Arto on toiminut Netumilla turvallisuuden, tietoturvallisuuden, tietosuojan ja riskienhallinnan sekä valmius-, jatkuvuus- ja toipumissuunnittelun konsulttina vuodesta 2010 lähtien. Tietoturvallisuuden parissa hän on toiminut vuodesta 1999 alkaen ja tietosuojaan liittyviä tehtäviä on ollut noin puolet aktiivisesta työajasta jo vuodesta 2017 lähtien.
Haluatko lisätietoja? Ota meihin yhteyttä!
Lue muut asiaan liittyvät postaukset
29.05.2023 Blogi
Huolehtivatko sote-toimijoille palveluita tarjoavat yritykset riittävästä kyberturvallisuudesta?
30.03.2023 Blogi
Kokonaisvaltaisen kyberturvallisuuden varmistaminen on sote-palveluissa välttämätöntä – katse usein liian kapea
22.02.2023 Blogi
Sosiaali- ja terveyspalveluissa lokienhallinta on muutakin kuin pelkkää tietosuojaa – se on keskeinen osa kyberturvallisuutta
23.01.2023 Blogi