Lapha
Sami Wasenius
sami.wasenius@norther.fi
Asiakasrekisteri hyvinvointialueet
2024-01-04
Lakisääteinen velvoite
Rekisterin henkilötietojen käsittelyn tarkoituksena on asiakkaan/potilaan terveydenhoidon järjestäminen. Tietoja käsitellään tutkimuksen, hoidon ja kuntoutuksen järjestämiseksi, suunnittelemiseksi, toteuttamiseksi sekä seurantaa, neuvontaa ja laadunvalvontaa varten.
Lisäksi tietoja käsitellään asiakas- ja potilasmaksujen käsittelyä sekä suoritetietojen keräämistä varten.
Potilasasiakirjoja voidaan käyttää myös terveydenhuollon toiminnan suunnitteluun, tilastointiin, seurantaan, arviointiin ja omavalvontaan sekä tietojohtamiseen ja tieteelliseen tutkimukseen toisiolaissa (laki sosiaali- ja terveystietojen toissijaisesta käytöstä) tai muualla lainsäädännössä säädetyllä tavalla.
Palveluiden toteuttamiseksi Rekisterinpitäjän on käsiteltävä joitain hyvinvointi- ja terveystietoja, jotka kuuluvat GDPR:ssä määriteltyihin erityisiin henkilötietoryhmiin. Näiden tietojen käsittely perustuu aina rekisteröidyn nimenomaiseen suostumukseen.
Asiakaslaissa (17 §) säädetään sosiaalihuollon järjestäjän ja toteuttajan oikeudesta antaa sellaisia salassa pidettäviä tietoja, jotka ovat välttämättömiä asiakkaan hoidon, huollon tai koulutuksen tarpeen selvittämiseksi, niiden järjestämiseksi tai toteuttamiseksi tai toimeentulon edellytysten turvaamiseksi. Hyvinvointiin- ja terveyteen liittyvät tiedot kerätään rekisteröidyltä. Keräämme ja käsittelemme vain palvelun toimittamisen kannalta välttämättömät tiedot, jotka rekisteröity haluaa erityisesti luovuttaa työnsuorittajan tai tilaajana toimivan omaisen tiedoksi.
Tieto sosiaalihuollon asiakkuudesta on salassa pidettävä. Salassa pidettäviä tietoja ei käytetä omaksi tai toisen hyödyksi. Asiakastietoja ei käytetä mainonnan kohdentamiseen tämän rekisterinpitäjäorganisaation sisällä. Salassa pidettäviä tietoja ei luovuteta kolmansille osapuolille ilman asiakkaan nimenomaista suostumusta 16§ mukaisesti.
Tietoja käsitellään ainoastaan rekisterinpitäjäorganisaation asiakassuhteen ylläpitämiseen teknisten rajapintojen kautta.
Nimi, yhteystiedot, laskutustiedot.
Lisäksi:
Rekisterinpitäjä käsittelee erityisiä henkilötietoryhmiä, kuten terveydentilaan liittyviä tietoja rekisteröidyn nimenomaisella suostumuksella. Nimenomaisella suostumuksella tarkoitetaan, että tahdonilmaisu pyydetään tarkasti rajattuihin tietoihin tarkasti rajattuihin tarkoituksiin. Suostumuksen voi aina peruuttaa yhtä helposti kuin sen voi antaa.
Suostumuksen voi peruuttaa ottamalla yhteyttä rekisteriä pitävän organisaaation tietosuojavastaavaan.
Rekisterinpitäjän henkilöstö sekä ulkoituskumppanit (taloushallinto) soveltuvin osin.
Asiakas antaa suostumuksensa sopimuksen teon yhteydessä. Suostumuksen voi peruuttaa ottamalla yhteyttä rekisterinpitäjän yhteyspisteeseen. Peruutus voi vaikuttaa palvelun saatavuuteen.
Henkilörekisteri sisältää seuraavia tietoja:
- Henkilön etu- ja sukunimi
- Sosiaaliturvatunnus
- Ammatti
- Sähköpostiosoite
- Postiosoite
- Puhelinnumero
Rekisterinpitäjä käsittelee erityisiä henkilötietoryhmiä, kuten terveydentilaan liittyviä tietoja rekisteröidyn nimenomaisella suostumuksella. Nimenomaisella suostumuksella tarkoitetaan, että tahdonilmaisu pyydetään tarkasti rajattuihin tietoihin tarkasti rajattuihin tarkoituksiin.
Tietoja saadaan asiakkaan tekemistä rekisteröitymisistä sekä asiakassuhteen aikana asiakkaan tekemistä ilmoituksista. Nimi- ja yhteystietojen päivityksiä saadaan myös päivityspalveluja tarjoavilta viranomaisilta ja yrityksiltä.
Tämän asiakasrekisterin tiedot ovat ainoastaan organisaation käytössä.
Tietoja ei luovuteta organisaation ulkopuolelle tai sen yhteistyökumppaneiden käyttöön.
Rekisteröityneen henkilötiedot hävitetään käyttäjän pyynnöstä ellei lainsäädäntö, avoimet laskut tai perintätoimet estä tietojen poistamista.
Potilasasiakirjojen säilytysajat on määritelty lain sosiaali- ja terveydenhuollon asiakastietojen käsittelystä (703/2023) asiakasasiakirjojen säilytysaikoja koskevassa liitteessä sekä valtionarkiston ja arkistolaitoksen päätöksissä.
Potilasasiakirjat säilytetään pääsääntöisesti 12 vuotta potilaan kuolemasta tai, jos siitä ei ole tietoa, 120 vuotta potilaan syntymästä. Tällaisia asiakirjoja ovat mm. potilaan perustiedot ja keskeiset hoitotiedot sisältävät asiakirjat, potilaan tahdon ilmaisevat asiakirjat, yhteenvedot, hoidon suunnitteluun, toteutukseen, seurantaan ja arviointiin liittyvät merkinnät ja merkinnöistä muodostetut asiakirjat, lähete-, hoitopalaute- ja konsultaatioasiakirjat, lääkärinlausunnot ja –todistukset sekä hoidon aloittamiseen ja hoitoon liittyvät päätökset.
Pysyvästi säilytetään 18. ja 28. päivinä syntyneiden potilasasiakirjat julkisessa terveydenhuollossa sekä perinnöllisyyslääketieteellisten yksiköiden tutkimuksissa ja hoidoissa muodostuvat asiakirjat.
Kaikkien potilaiden Kelan eArkistoon siirretyt potilastiedot säilytetään eArkistossa pysyvästi sähköisessä muodossa.
Asiakasrekisterin tiedot ovat ainoastaan organisaation käytössä, paitsi käyttäessä ulkoista palveluntarjoajaa mahdollisen lisäarvopalvelun tuottamiseen.
Rekisteröityneen henkilötiedot hävitetään käyttäjän pyynnöstä ellei lainsäädäntö, avoimet laskut tai perintätoimet estä tietojen poistamista.
Rekisterin tietoja ei luovuteta EU:n tai ETA:n ulkopuolelle.
On kuitenkin mahdollista, että käsittelyssä käytetään EU/ETA -alueen ulkopuolisia järjestelmien palveluntarjoajia, jolloin kotipaikka tai palveluntarjoajien pilvet voivat sijaita EU/ETA -alueen ulkopuolella. Tällöin ei kuitenkaan ole kyse rekisterinpitäjyydestä, eli kaikki edellä mainitut tapaukset koskevat ainoastaan henkilötietojen käsittelyä käsittelijän roolissa. Nämä palveluntarjoajat eivät kuitenkaan varsinaisesti käsittele henkilötietoja, mutta koska heillä voi olla pääsy niihin, niin, heille lankeaa henkilötietojen käsittelijän rooli.
Siirtoperusteena käytetään tällöin SCC -vakiolausekkeita, jolloin tietojen siirroissa on toteutettu lisäsuojatoimia, kuten sisäiset ohjeistukset (henkilötietojen pseudonymisoinnista ja vastaavista) sekä mahdollisesti TIA -analyysi tilanteen vaatiessa sellaisen.
EU – USA -väliset tietojen siirrot.
Kun henkilötietoja käsittelevä organisaatio on sitoutunut EU-USA tietosuojakehykseen (DPF), käytetään siirtoperusteena silloin sitä sen voimassaolon aikana. Kaikkien palveluntarjoajien kanssa on toteutettu artikla 28 mukaisesti DPA -sopimus siihen liittyvine vaatimuksineen.
Missään edellä kuvatuissa tilanteissa ei kuitenkaan itse rekisterinpitäjyys siirry.
Asiakastapahtumissa kerättävät yhteystiedot ja muut manuaalisesti käsiteltävät asiakastietoja sisältävät asiakirjat säilytetään alkukäsittelyn jälkeen lukituissa ja paloturvallisissa säilytystiloissa. Ainoastaan määrätyillä, salassapitositoumuksen allekirjoittaneilla työntekijöillä on oikeus käsitellä manuaalisesti tallennettuja asiakastietoja. Kaikki työntekijät allekirjoittavat salassapitosopimuksen osana työsopimusta. Henkilöstön ja harjoittelijoiden perehdytykseen sisältyy tietoturvaan liittyvät asiat.
Jokaisella työntekijällä on sähköisiin järjestelmiin henkilökohtaiset tunnukset ja salasanat tehtävänkuvien mukaisesti. Kirjalliset dokumentit säilytetään lukituissa tiloissa. Henkilötietoja sisältävien aineistojen hävitys tehdään tietoturvallisesti. Rekisterin tietojen suojaamisessa ja käsittelyssä noudatetaan tietosuojalain säännöksiä ja periaatteita, viranomaisten määräyksiä sekä hyvää tietojenkäsittelytapaa.
Ainoastaan määrätyillä organisaation ja sen lukuun toimivien yritysten työntekijöillä on oikeus käyttää asiakasomistaja- ja asiakasrekisteriä ja ylläpitää sen tietoja. Kullakin määritellyllä käyttäjällä on oma henkilökohtainen käyttäjätunnus ja salasana.
Kaikki työntekijät allekirjoittavat salassapitosopimuksen osana työsopimusta. Henkilöstön ja harjoittelijoiden perehdytykseen sisältyy tietoturvaan liittyvät asiat.
Jokainen käyttäjä on allekirjoittanut salassapitositoumuksen. Järjestelmä on suojattu palomuurilla, joka suojaa ulkopuolelta tulevia yhteydenottoja järjestelmään.
Rekisterin tietojen suojaamisessa ja käsittelyssä noudatetaan tietosuojalain säännöksiä ja periaatteita, viranomaisten määräyksiä sekä hyvää tietojenkäsittelytapaa.
Henkilötietojen käsittelyyn ei sovelleta automaattista käsittelyä, profilointia tai mitään muutakaan niihin vertautuvaa järjestelmää.
Rekisteröidyllä on oikeus tarkistaa, mitä tietoja hänestä on rekisterissä. Tarkastuspyyntö tulee tehdä tunnistettavasta sähköpostiosoitteesta rekisterinpitäjän yhteyspisteeseen.
Rekisteröidyllä oei välttämättä ole oikeutta siirtää omat tietonsa järjestelmästä toiseen.
Siirtopyyntö tulee tehdä tunnistettavasta sähköpostiosoitteesta rekisterinpitäjän yhteyspisteeseen.
Rekisterissä oleva, käsittelyn tarkoituksen kannalta
virheellinen, tarpeeton, puutteellinen tai vanhentunut henkilötieto on oikaistava, poistettava tai täydennettävä.
Korjauspyyntö tulee tehdä tunnistettavasta sähköpostiosoitteesta rekisterinpitäjän yhteyspisteeseen.
Pyynnössä tulee yksilöidä mitä tietoja vaaditaan korjattavaksi ja millä perusteella. Korjaaminen toteutetaan viivytyksettä.
Virheen korjaamisesta ilmoitetaan sille, jolta virheelliset tiedot on saatu tai jolle tiedot on luovutettu.
Korjauspyynnön epäämisestä rekisterin vastuuhenkilö antaa kirjallisen todistuksen, jossa mainitaan syyt, joiden vuoksi korjauspyyntö on evätty. Asianomainen voi saattaa epäämisen tietosuojavaltuutetun ratkaistavaksi.
Rekisteröidyllä on oikeus pyytää tietojenkäsittelyn rajoittamista esim. jos rekisterissä olevat henkilötiedot ovat virheelliset. Yhteydenotot tulee tehdä tunnistettavasta sähköpostiosoitteesta rekisterinpitäjän yhteyspisteeseen.
Rekisteröidyllä on oikeus pyytää häntä koskevia henkilötietoja sekä rekisteröidyllä on oikeus pyytää henkilötietojen oikaisemista tai poistamista. Pyynnöt tulee tehdä tunnistettavasta sähköpostiosoitteesta rekisterinpitäjän yhteyspisteeseen.
Mikäli toimit yritys- tai organisaation yhteyshenkilönä ei tietojasi voida poistaa tänä aikana.
Mikäli katsot, että sinua koskevassa henkilötietojen käsittelyssä on rikottu tietosuoja-asetusta, niin sinulla on oikeus tehdä kantelu valvontaviranomaiselle.
Kantelun voit tehdä myös siinä jäsenvaltiossa, jossa sinulla on vakinainen asuinpaikka tai työpaikka.
Kansallisen valvontaviranomaisen yhteystiedot ovat:
Tietosuojavaltuutetun toimisto
Käyntiosoite: Lintulahdenkuja 4, 00530 Helsinki
Postiosoite: PL 800, 00531 Helsinki
Puhelinvaihde: 029 566 6700
Kirjaamo: 029 566 6768
tietosuoja@om.fi
www.tietosuoja.fi
Kaikkia rekisteröityä koskevia potilastietoja ei voida poistaa, sillä velvollisuudesta säilyttää potilastietoja säädetään laissa. Terveydenhuollon ammattihenkilöillä on velvollisuus laatia potilasasiakirjamerkinnät kaikista potilaan palvelutapahtumista. Nämä merkinnät on säilytettävä niin kauan kuin laissa säädetään. Säilytysajasta säädetään tarkemmin laissa sosiaali- ja terveydenhuollon asiakastietojen käsittelystä (asiakastietolaki).
Myöskään merkintää yksittäisestä lääkärikäynnistä tai muusta palvelutapahtumasta ei voida poistaa kokonaan. Yksittäiset virheelliset tiedot voidaan kuitenkin korjata. Puutteelliset tiedot voidaan myös täydentää ja tarpeettomat tiedot poistaa.