Tietoturvaloukkaukset on tunnistettava ja niistä on pidettävä kirjaa
Tunnista tietoturvaloukkaus, muista kirjata se ja tee tarpeelliset ilmoitukset
Tietosuojavaltuutetun toimisto on täsmentänyt yleisiä ohjeitaan tietoturvaloukkausten varalta (lue uutinen aiheesta tästä). Samassa yhteydessä on hyvä muistuttaa kuntoutusyrityksiä tietoturvaloukkaukseen liittyvistä tarpeellisista toimista.
Tunnista tietoturvaloukkaukset ja poikkeamat
Ensimmäinen askel on aina tietoturvaloukkauksen tunnistaminen. Erityisesti isommissa yrityksissä ja useamman terapeutin yhteistyössä on syytä harjaannuttaa omaa silmää tunnistamaan myös poikkeamat. Poikkeamat ovat sananmukaisesti poikkeamia henkilötietojen oikeasta käsittelystä. Jos poikkeamasta ei aiheudu vaaraa tiedoille, ei kyse ole tällöin vielä tietoturvaloukkauksesta. Poikkeamia on kuitenkin hyvä oppimistarkoituksessa kirjata ylös, ennen kuin poikkeamista syntyy tietoturvaloukkauksia.
Esimerkiksi paperimuotoisten potilasasiakirjojen unohtaminen lukittuun autoon voi olla poikkeama, joka on syytä kirjata ja jota organisaatio tai työyhteisö voi tarkastella ja miettiä, miten vastaavat tilanteet voidaan tulevaisuudessa välttää. Voitaisiinko potilasasiakirjojen paperimuotoinen siirtäminen minimoida tai suosia sen tilalla esimerkiksi suojattua sähköpostia?
Poikkeamat voivat kehittyä myös tietoturvaloukkauksiksi. Lukittuun autoon unohtunut potilasasiakirja voi olla poikkeama, mutta junaan tai linja-autoon unohtunut potilasasiakirjanippu on jo puolestaan selkeä tietoturvaloukkaus, koska tietoja on menetetty ja ne ovat vähintäänkin altistuneet ulkopuolisille.
Poikkeamat kannattaa kirjata ylös, mutta tietoturvaloukkauksen osalta tapahtuneen dokumentointi on EU:n tietosuoja-asetuksen mukaan aina pakollista.
Kuntoutusyrittäjien jäsensivuilla on lomakkeet -osiossa ladattavissa tietoturvaloukkausten dokumentointimalli.
Tietosuoja-asetuksen mukaan tietoturvaloukkauksesta on kyse aina, kun rekisteriin tallennettuja ja rekisterissä käsiteltyjä henkilötietoja vahingossa tai lainvastaisesti tuhoutuu, häviää, muuttuu, niitä luovutetaan luvattomasti taikka ulkopuolisille syntyy pääsy tietoihin. Lyhyesti siis jos joku näkee tietoja, joita hänen ei pitäisi nähdä, tai jos tiedot on tallennettu väärän potilaan nimen alle, on kyse todennäköisesti vähintään dokumentoitavasta tietoturvaloukkauksesta.
Terveydenhuollossa ulkopuolisia ovat kaikki, jotka eivä tarvitse potilastietoja juuri kyseisen potilaan hoitoa varten. Uteliaisuutta selatut potilasasiakirjat muodostavat siis käytännössä aina tietoturvaloukkauksen.
Kun loukkaus on tunnistettu
Olitpa rekisterinpitäjä tai rekisterinpitäjän puolesta toimiva henkilötietojen käsittelijä, tulee lisävahinkojen syntyminen pyrkiä estämään. Väärässä paikassa tavatut tiedot on kerättävä turvallisesti talteen tai ulkopuolisten pääsy tietoihin on rajattava.
Jos löydät esimerkiksi tietokoneelta tai sohvalta sinne kuulumattomia asiakastietoja, ota tiedot talteen mutta älä kuitenkaan poista tai hävitä tietoja heti. Löydettyjä henkilötietoja saatetaan tarvita, jotta oikeille henkilöille osataan tehdä tarvittaessa henkilökohtainen ilmoitus häntä koskevien henkilötietojen tietoturvaloukkauksesta. Ilmoitusta voi olla mahdoton tehdä, jos tiedot on ehditty jo hävittää.
Selvitä, kuka on tietoja koskeva rekisterinpitäjä. Rekisterinpitäjän vastuulla on aina päättää jatkotoimista. Jos löydät esimerkiksi hyvinvointialueen järjestämisvastuulle kuuluvia tietoja väärästä paikasta, on asiasta ilmoitettava viipymättä hyvinvointialueelle. Samoin kaikista muista toisen puolesta tai toisen toimeksiannosta käsitellyistä henkilötiedoista ja niitä koskevista tietoturvaloukkauksista on ilmoitettava rekisterinpitäjälle.
Jos tietoturvaloukkaus koskee omia potilastietojasi, kuten esimerkiksi Kelan vaativan lääkinnällisen kuntoutuksen asiakkaan tietoja, jota koskeva sopimus sinulla tai yritykselläsi on, vastaat jatkotoimista rekisterinpitäjänä itse. Sama pätee myös esimerkiksi itse maksavien asiakaiden tietoihin.
Rekisterinpitäjän velvoitteet ovat samat riippumatta siitä, onko käytössä sähköinen potilastietojärjestelmä vai esimerkiksi paperiarkisto.
Rekisterinpitäjänä ilmoita loukkauksesta tietosuojavaltuutetun toimistolle, jos loukkauksesta voi aiheutua luonnolliselle henkilölle riski
Rekisterinpitäjän on siis aina arvioitava minkälainen riski rekisteröidyille, eli käytännössä yrityksen kuntoutuja-asiakkaille voi aiheutua. Koska potilastiedot ovat ns. erityisiä tietoryhmiä, jotka sisältävät tietoa henkilön terveydestä sekä mahdollistavat laajojen tietojen vuoksi myös identiteettivarkauden, on potilastietoja koskevasta tietoturvaloukkauksesta ilmoitettava varsin matalalla kynnyksellä vähintäänkin valvovalle viranomaiselle, eli tietosuojavaltuutetun toimistolle.
Ilmoitus on tehtävä 72 tunnin kuluessa loukkauksen ilmitulosta. Tee alustava ja vaillinenkin ilmoitus tämän ajan kuluessa, vaikka et vielä tiedä kaikkia yksityiskohtia. Myöhässä tehty ilmoitus on aina selitettävä viranomaisille, eikä selitykseksi kelpaa se, että asiasta odotettiin lisätietoja.
Ilmoita myös rekisteröidylle, jos tälle voi luonnollisena henkilönä seurata tietoturvaloukkauksesta korkea riski
Rekisterinpitäjän on ilmoitettava rekisteröidylle erityisesti, jos tämän potilas- tai asiakastiedot ovat joutuneet tuntemattomiin käsiin, sillä tietoja voidaan käyttää mahdollisesti identiteettivarkauteen tai vaikkapa perusteettomien luottojen hakemiseen potilaan nimissä.
Myös hoitoon liittyvät riskit voivat olla peruste ilmoittaa suoraan rekisterödiylle, jos esimerkiksi väärästä kirjauksesta voi aiheutua riski asiakkaan terveydelle.
Tietosuojavaltuutetun toimistolla on esimerkkiluettelo ja ohje sote-alan toimijoille, jota kannattaa hyödyntää
Esimerkkiohjeen voi ladata suoraan tästä linkistä. Itse ohje löytyy tältä sivulta.
Ohessa muutamia mukailtuja poimintoja ohjeesta
Esimerkki 1: Yrityksen työntekijä lähettää asiakastietoja sisältävän viestin väärälle henkilölle, esimerkiksi väärään sähköpostiosoitteeseen tai väärään postiosoitteeseen. Viesti päätyy väärin kirjoitetun sähköpostiosoitteen johdosta tuntemattoman sivullisen henkilön haltuun.
Toimenpiteet:
- Tapahtunut dokumentoidaan tietoturvaloukkauksena
- Koska tapahtuneesta voi vähintäänkin aiheutua riski rekisteröidylle, tulee siitä tehdä ilmoitus tietosuojavaltuutetun toimistolle. Tee ilmoitus täällä. Muista tallentaa kopio ilmoituksesta itsellesi.
- Koska tapahtuneesta todennäköisesti aiheutuu korkea riski rekisteröidylle (ainakin tämän arkaluontoiset tiedot ovat sivullisen hallussa), tulee tapahtuneesta kertoa rekisteröidylle itselleen ilman aiheetonta viivytystä.
Esimerkki 2: Potilaan tiedot tai potilasasiakirjat tallennetaan potilastietojärjestelmässä väärän potilaan tietojen alle. Tietoja ei ehditä viemään Kantaan, eivätkä ulkopuolisetkaan pääse lukemaan väärään asiakkaan alle kirjattua potilastietoa. Jos tapahtunutta ei olisi huomattu ajoissa, olisi potilaalle tai tämän hoidolle voinut kuitenkin syntyä riski.
Toimenpiteet:
- Tapatuneesta on tehtävä tietoturvaloukkauksen edellyttämät kirjaukset.
- Tapahtuneesta on ilmoitettava esimerkin 1 tapaan tietosuojavaltuutetun toimistolle, koska tapahtuneesta olisi voinut syntyä riski rekisteröidyn vapauksille ja oikeuksille.
- Rekisteröidyn eli asiakkaan kannalta riski jäi lopulta pieneksi, koska tapahtunut huomattiin ajoissa. Ilmoitusta rekisteröidylle ei tarvitse tehdä, ellei tietosuojavaltuutettu näin erikseen määrää tai muuta ilmene.
Esimerkki 3: Tutulle terveydenhuollon yhteistyökumppanille lähetetään väärän potilaan tiedot. Yritys saattaa esimerkiksi lähettää suojatulla sähköpostilla siirtyvän kuntoutusasiakkaan sijaan toisen kuntoutusasiakkaan tiedot yhteistyökumppanille tai alihankkijalle.
Toimenpiteet:
- Tapahtunut on tietoturvaloukkaus, koska tietoja on joutunut vahingossa vääriin käsiin. Näin ollen tapahtunut on aina dokumentoitava.
- Koska vastaanottaja on tuttu ja luotettava toimija, ei rekisteröidylle aiheudu tapahtuneesta pientäkään riskiä. Näin ollen tietosuojavaltuutetun toimistolle ei tarvitse tehdä ilmoitusta.
- Myöskään rekisteröidylle itselleen ei tarvitse ilmoittaa tapahtuneesta, sillä riski hänen vapauksille ja oikeuksilleen on matala tai olematon.