Kuntoutusyrittäjän tietosuojan 10 kohdan tarkistuslista
Kuntoutusyrittäjän tietosuojan 10 kohdan tarkistuslista
Mitä Kuntoutusyrittäjän täytyy ainakin huomioida oman yrityksen tietosuojassa? Ohessa 10 kohdan lista. Asioita on paljon, mutta onneksi myös valmiiksi pureskeltua asiaa on saatavilla. Kaikkea ei tarvitse tehdä itse alusta alkaen.
- Laadi lakisääteinen tietoturvasuunnitelma. Tietoturvasuunnitelma tulee olla laadittuna kaikilla terveydenhuollon ja sosiaalihuollon palveluntuottajilla (asiakastietolaki 27 §, uuden lain 77 §).
- Laadi tietosuoja-asetuksen edellyttämä tietosuojaseloste (tai muu informointiasiakirja, kuten samat tiedot sisältävä tietosuojakäytäntö), jolla kerrot rekisteröidyille (asiakkaille) mitä tietoja heistä kerätään, miksi, millä perusteella ja mitä oikeuksia rekisteröidyillä on. Tietosuojaselosteen tulee olla saatavilla esimerkiksi yrityksen verkkosivuilla sekä aina kun rekisteröityjen tietoja kerätään (Tietosuoja-asetuksen 13 ja 14 artiklat).
- Huomioi myös:
- sekä rekisterinpitäjän että henkilötietojen käsittelijän versiot henkilötietojen käsittelytoimien selosteesta. Käsittelytoimien seloste on yrityksen sisäinen asiakirja, sitä ei paljasteta muille. Käsittelyselosteisiin kirjataan mm. mitä omia ja muiden rekistereitä yritykseen kuuluu. (Tietosuoja-asetuksen 30 artikla).
- lomake tietoturvaloukkauksille ja kouluta itsesi sekä henkilökunta tunnistamaan ja raportoimaan tietoturvaloukkauksista (Tietosuoja-asetuksen 5 artiklan osoitusvelvollisuus ja 33 ja 34 artiklat tietoturvaloukkauksista).
- Laadi henkilötietojen käsittelysopimus aina, kun yksi Y-tunnus käsittelee henkilötietoja toisen Y-tunnuksen puolesta. Tyypillisesti näin tapahtuu aina, kun ostetaan terveyspalveluja alihankinnalla. Myös ammatinharjoittajasopimukseen voi liittyä pääsy toisen potilastietojärjestelmään tai potilastietoihin, jolloin välissä on aina oltava henkilötietojen käsittelysopimus (Tietosuoja-asetuksen 28 artikla).
- Muut EU:n tietosuoja-asetuksen velvoittamat asiat, kuten velvollisuus nimetä tietosuojavastaava, huomioi rekisteröityjen oikeudet ja tee tarvittaessa myös tietosuojan vaikutustenarviointi. Vaikutustenarviointi on usein tarpeen jos potilastietoja käsitellään järjestelmissä, joiden osalta vaikutustenarviointia suhteessa potilastietoihin ei ole vielä (esimerkiksi valmistajan toimesta) suoritettu. Tietosuojaviranomainen suomessa on Tietosuojavaltuutetun toimisto tietosuoja.fi
- Huolehdi, että henkilökunnalla on saatavilla potilastietojärjestelmän kirjalliset käyttöohjeet sekä myös potilastietojen kirjalliset käsittelyohjeet. Henkilökuntaa on myös koulutettava henkilötietojen käsittelyn periaatteista ja toimintamalleista (Asiakastietolaki 28 §, uuden lain 7 §).
- Henkilötietojen käsittelyn on oltava siitä aiheutuviin riskeihin nähden turvallista. Mitä enemmän arkaluonteisia henkilötietoja käsitellään, sitä suurempaa huomiota on kiinnitettävä käsittelyn turvallisuuteen. Tavallisimpia turvallisuuteen kuuluvia työkaluja ovat esimerkiksi:
- Tietojen suojaaminen luvattomalta pääsyltä. Tietokoneella tämä tarkoittaa esimerkiksi tietokoneen lukitsemista kun sitä ei käytetä (Windowsissa pikanäppäimet win + L), sisä- ja ulko-ovien lukittumista automaattisesti esimerkiksi ovipumppujen avulla sekä paperimuotoisten asiakirjojen säilyttämistä oman lukon takana.
- Älä säilytä paperisia asiakastietoja tarpeettomasti pöydillä, autossa, kotona tai muissa paikoissa, missä ne ovat alttiita potilastietojen kannalta ulkopuolisille silmille. Tämä tunnetaan nimellä puhtaan pöydän periaate, ja pätee myös tietokoneella säilytettävään tietoon. Tietokoneen työpöydällä oleva tieto on nimittäin hyvin harvoin varmuuskopioitu, ja voi hävitä tai tuhoutua tietokoneen mukana.
- Parhaan suojan sähköisille tiedoille saa käyttämällä asiakastietolain mukaisesti sertifioitua A-luokan Kanta-yhteensopivaa potilastietojärjestelmää.
- Varmista myös, että käyttämäsi tietokoneen levyasemat ovat salattuja.
- Tietojen viestintä ja välitys tapahtuu tietoturvallisesti, potilastietojen osalta mieluiten Kanta-palveluiden kautta ja asiakasviestintä tietoturvallisella verkkoajanvarauksella ja esimerkiksi erillisellä suojatulla sähköpostilla. Älä käytä salaamatonta sähköpostia tai Whatsappia asiakastietojen käsittelyyn tai edes ajanvaraukseen (katso kohta 9.).
- Huolehdi, että varmuuskopioiden ottaminen on automaattista ja ettei henkilötietoja sisältäviä varmuuskopioita säilytetä pilvipalvelussa, joka sijaitsee EU:n ulkopuolella.
- Varmistaudu vähintään ajatuksen tasolla siihen, että kaikki käyttämäsi laitteet tuhoutuvat tai häviävät yhtäaikaisesti, ja tiedät silti, miten tietoihin päästään taas käsiksi. Vanhan sanonnan mukaan maailmassa on kahdenlaisia ihmisiä: niitä, jotka tekevät varmuuskopioita ja niitä, jotka eivät ole vielä kohdanneet katastrofaalista datahäviötä. Mieti tarkkaan, kumpaan joukkoon haluat kuulua.
- Hävitä tarpeettomat henkilötietoja sisältävät paperiset asiakirjat aina tietoturvallisesti. Älä milloinkaan laita potilastietoja paperinkeräykseen! Se on varmin tapa päästä iltapäivälehtien otsikoihin! Tilaa tarvittaessa erikseen tyhjennettävä ja lukittava tietosuoja-astia.
- Hävitä myös vanhat potilastietoja sisältävät tai potilastietoja mahdollisesti sisältävät älylaitteet kuten tietokoneet, puhelimet ja tabletit tietoturvallisesti. Älä myy tai luovuta eteenpäin yrityksen käytettyjä älylaitteita ilman, että asiantuntija on ne varmuudella puhdistanut kaikesta tiedosta.
- Muista myös tyhjentää tietokoneen ladatut tiedostot -kansio sekä roskakori tarpeettomista tiedostoista!
- Ota käyttöön kaksivaiheinen kirjautuminen (vaikkapa salasana + varmennussovellus) aina, kun se on mahdollista. Älä myöskään käytä samaa salasanaa kaikkialla! Käytä mieluummin erillistä salasananhallintatyökalua.
- Huolehdi, että käytössä olevat laitteet ovat ohjelmistoltaan, käyttöjärjestelmiltään ja virustorjunnaltaan ajan tasalla. Käytännössä Windows 7 -aikaisia (2013 tai vanhempia) tietokoneita ei voi enää käyttää kuntoutusyrityksissä potilastietojen käsittelyyn. Sama pätee laitepohjaisiin palomuureihin ja reitittimiin: käytä mieluiten vähintään alle 10-vuotiaita laitteita.
- Yleiskäyttöisten toimistotyökalujen, kuten Word tai OpenOffice, käyttöä potilastietojen kirjaamiseen ei ole kielletty, mutta niillä tuotettujen tietojen tallentaminen on riskialtista. Jos tiedot tallennetaan pelkästään laitteelle (kuten kannettavalle tietokoneelle), ovat tiedot vain yhdessä paikassa. Tiedot tuhoutuvat, jos tietokone tuhoutuu tai hajoaa.Jos tiedot tallennetaan esimerkiksi Microsoftin pilvipalveluun, voitko olla varma, että pääsy tietoihin on hyvin suojattu, eivätkä tiedot missään vaiheessa päädy kielletysti vaikkapa EU:n ulkopuolelle? Tästä on yleiskäyttöisissä järjestelmissä todella vaikea saada täyttä varmuutta etukäteen, koska tietojen suojaustaso ei ole välttämättä potilastietojen kannalta riittävä. Tästä syystä tekstinkäsittelypohjaista potilastietojen käsittelyä on vaikea varauksetta suositella.
- Jos otat käyttöön Kanta-yhteensopivan potilastietojärjestelmän, liity Kantaan! Samalla täytät myös lakisääteisen Kanta-liittymisvelvoitteen. Potilastiedon arkistoon tallennetut potilastiedot säilytetään viranomaistehtävänä, jolloin Kuntoutusyrityksen ei itsensä tarvitse enää huolehtia siitä, ovatko tiedot tallessa vielä 10, 20 tai 50 vuoden päästä. Tiedot seuraavat myös asiakasta seuraavaan hoitopaikkaan. Tulevaisuudessa voit ostopalvelun valtuutuksen avulla kirjata Kantaan myös muiden, kuten hyvinvointialueen rekisterinpitoon kuuluvia potilasasiakirjoja ilman erillisiä järjestelmiä.
- Älä käytä WhatsAppia asiakastietojen käsittelyyn! Älä edes asenna WhatsAppia yrityksen puhelimiin, sillä asiakkaat todennäköisesti käyttävät sitä tietojen lähettämiseen, vaikka et sitä erikseen pyytäisikään! Asiaa on säännöllisesti käsitelty myös Kuntoutusyrittäjien uutisissa.
- Älä jää yksin! Tietosuoja-asioissa sinulla on käytössä Kuntoutusyrittäjät ry:n jäsenneuvonta. Jos kohtaat tilanteita, jotka toistuvat harvoin tai joita et ole aiemmin kohdannut (kuten vakavat tietoturvaloukkaukset tai ulkopuolisten esittämät tietopyynnöt) voit jäsenenä aina olla yhteydessä Kuntoutusyrittäjät ry:n jäsenneuvontaan, jossa saa apua luottamuksellisesti jäsenpalveluna.
Miltei kaikkiin yllä lueteltuihin asiakirjoihin on saatavilla Kuntoutusyrittäjien jäsensivuilta myös tarvittavat mallit ja webinaarit. Lisää teemme pyytämällä ja pyytämättäkin!