EU:n tietosuoja-asetus

EU:n tietosuoja-asetuksen edellyttämät toimenpiteet tulee olla tehtynä 25.5.2018 mennessä. Tietosuoja-asetus koskee jokaista potilasasiakirjojen rekisterinpitäjää. Ammatinharjoittajana toimiva lääkäri on rekisterinpitäjä. Silloin kun ammatinharjoittaja toimii oman yhtiönsä kautta, yhtiö on rekisterinpitäjä. Tutustu tietosuoja-asetuksen velvoitteisiin ja tee tietosuojaselvitys.

EU:n tietosuoja-asetuksen toimeenpano

EU:n tietosuoja-asetus on tullut voimaan 25.5.2018 ja asetuksen edellyttämät toimenpiteet tulee olla tehtynä. Tietosuoja-asetus vastaa monin paikoin nykyistä henkilötietolakiamme. Tietosuoja-asetukseen sisältyy tietosuojan kannalta kuitenkin myös uutta asiaa.

Tietosuoja-asetus on suoraan sovellettavaa oikeutta Suomessa. Sitä ei muunneta erikseen kansalliseksi laiksi.  Tietosuoja-asetus jättää jonkin verran kansallista liikkumavaraa. Tätä liikkumavaraa varten säädetään uusi tietosuojalaki. Tietosuoja-asetuksen voimaantulon myötä myös Henkilötietolaki kumotaan.

Tietosuoja-asetus asettaa varsin ankarat sanktiot asetuksen rikkomisesta. Asetuksen säännösten rikkomisesta voidaan määrätä hallinnollinen sakko, jonka enimmäismäärä on 20 miljoonaa euroa tai 4 % yrityksen vuotuisesta maailmanlaajuisesta liikevaihdosta. Tietosuojavaltuutetun toimisto tulee muuttumaan tietosuoja-asetuksen noudattamista valvovaksi valvontaviranomaiseksi.

Tämä ohje on laadittu yrittäjätoimintaa harjoittavia lääkäreitä varten harjoittavat he sitten vastaanottotoimintaansa ammatinharjoittajana tai yhtiön kautta omistaa tiloissaan tai lääkäriasemilla.

Tämä ohje ei koske työ- tai virkasuhteessa toimivia lääkäreitä, koska työnantajan on rekisterinpitäjänä huolehdittava Tietosuoja-asetuksen velvoitteista.
 

Lääkärin toimenpiteet tietosuoja-asetuksen toimeenpanemiseksi

Perinteisesti terveyspalvelualan yrityksissä (myöh. lääkäriasema) toimii lääkäriammatinharjoittajia ja yrityksiä, jotka hyödyntävät toistensa henkilörekistereitä. Tämän vuoksi ne toimivat kyseisten rekisterien käyttäjinä eri rooleissa. Kulloisenkin rekisterinkäyttäjäroolin määrittelee asiakkuus.

Lääkäri voi harjoittaa vastaanottoaan joko itsenäisenä ammatinharjoittajana tai yrityksensä  kautta. Riippumatta vastaanottotoiminnan muodosta lääkäriyrittäjä on lähtökohtaisesti omien potilaidensa osalta potilasrekisterinpitäjä.  Hän voi kuitenkin osallistua lääkäriaseman rekisterissä olevien potilaiden hoitoon (esim. työterveyshuolto), jolloin hän toimii ko. rekisterin osalta tietojen käsittelijänä. Vastavuoroisesti lääkäriasema voi olla vain tietojen käsittelijänä lääkärin potilasrekisterin osalta.

Esimerkiksi:

  1. Lääkäriaseman kautta Kanta-palveluihin liittyneet ammatinharjoittajat ja yritykset ovat rekisterinpitäjiä omien asiakkaidensa osalta ja lääkärikeskus on näiden rekistereiden osalta käsittelijä. Rekisterinpitäjät ovat näissä tapauksissa delegoineet rekisterin teknisen ylläpidon lääkärikeskukselle, jonka tietojärjestelmiä ne hyödyntävät.
     
  2. Työterveysasiakkaiden osalta lääkärikeskus on rekisterinpitäjä ja sen kautta Kanta-palveluihin liittyneet ammatinharjoittajat ja yritykset ovat käsittelijöitä.
     
  3. Kunta-asiakkuuksien (ostopalvelut, ulkoistukset ja palveluseteliasiakkaat) osalta sekä lääkärikeskus että sen kautta Kanta-palveluihin liittyneet ammatinharjoittajat ja yritykset ovat käsittelijöitä. Rekisterinpitäjänä toimii tällöin palveluita hankkinut kunta tai kuntayhtymä.

Tietosuoja-asetus edellyttää muutoksia ja täydennyksiä lääkärikeskuksessa toimivien ammatinharjoittajien ja yritysten kanssa tehtyihin sopimuksiin. Kaikkien eri rooleissa toimivien vastuut ja velvollisuudet tulee olla määritelty, jotta yhteisliittyminen Kanta-palveluihin on mahdollista. 


Eri tomintamallit

1. Lääkäri rekisterinpitäjänä

Yksin toimiva ammatinharjoittaja (esim. omissa tiloissaan)

Tässä muodossa toimiessasi riittää, että huomioit alla olevasta linkistä löytyvän yleisen ohjeen mukaiset asiat. Sinun tulee tehdä tietosuojaselvitys. Selvitystä tehdessäsi vastaa ainakin sivun lopussa oleviin kysymyksiin. Tietosuojaselvitys on säilytettävä mahdollista viranomaistarkastusta varten ja myös potilaalla on oikeus tietää, miten tietoja käsitellään.

Informoi potilasta ja ilmoita tietosuojaloukkauksista yleisen ohjeen mukaisesti. EU:n tietosuojaryhmän linjauksen mukaisesti sinun ei tarvitse nimittää tietosuojavastaavaa tai tehdä vaikutustenarviointia.

Pieni lääkäriasema (muutama lääkäri)

Lääkäriasemalla itsenäisesti toimiva ammatinharjoittaja on rekisterinpitäjä.

Itsenäisenä ammatinharjoittajana rekisterinpitäjänä toimiessasi riittää, että huomioit alla olevasta linkistä löytyvän yleisen ohjeen mukaiset asiat. Sinun rekisterinpitäjänä tulee tehdä tietosuojaselvitys. Selvitystä tehdessäsi vastaa ainakin sivun lopussa oleviin kysymyksiin. Tietosuojaselvitys on säilytettävä mahdollista viranomaistarkastusta varten ja myös potilaalla on oikeus tietää, miten tietoja käsitellään.

Informoi potilasta ja ilmoita tietosuojaloukkauksista yleisen ohjeen mukaisesti. Tietosuojavastaavan nimeäminen ja vaikutusarvioinnin tekeminen on välttämätöntä, kun on kysymys laajamittaisesta tietojen käsittelystä. Tarkkaa rajanvetoa tähän ei ole tällä hetkellä määritelty, mutta mitä suurempi vastaanotto on kyseessä, sitä laajamittaisempaa käsittely on ja sitä todennäköisemmin vaikutustenarviointi tulee tehtäväksi ja lääkäriaseman on nimettävä tietosuojavastaava. Epäselvissä tapauksissa suositellaan arvioinnin ja nimeämisen tekemistä. Jos toimii toisin, ratkaisu on perusteltava tietosuojaselvityksessä.

Lääkäriasemaketjussa vastaanottotoimintaa harjoittava lääkäri tai hänen yhtiönsä

Tietosuoja-asetuksen velvoitteet koskevat myös lääkäriasemalla itsenäisenä ammatinharjoittajana tai yhtiönsä kautta toimivaa lääkäriä, jotka ovat rekisterinpitäjiä. Rekisterinpitäjänä sinun tulee tehdä tietosuojaselvitys. Selvitystä tehdessäsi vastaa ainakin sivun lopussa oleviin kysymyksiin. Tietosuojaselvitys on säilytettävä mahdollista viranomaistarkastusta varten ja myös potilaalla on oikeus tietää, miten tietoja käsitellään.

Jos olet kuitenkin tehnyt lääkäriaseman kanssa sopimuksen, jossa on henkilötietojen käsittelyä koskeva osuus, niin tarkista lääkäriasemaltasi onko sopimuksesi ja muut tarvittavat asiakirjat päivitetty tietosuoja-asetusta vastaavaksi.
 

2. Lääkäri henkilötietojen käsittelijänä

Kun asema on rekisterinpitäjä (esim. työterveyshuollon rekisteri), lääkäri on tällöin henkilötietojen käsittelijä. Tietosuoja-asetus edellyttää erillisen henkilötietojen käsittelyä koskevan sopimuksen tekemistä. Lääkäriasemilla pitäisi olla tämä sopimus jo valmiina sen mukaisesti kuin Lääkäriliitto, Hammaslääkäriliito ja LPY ovat sen laatineet. Sopimus liitetään automaattisesti vastaanottotoiminnan sopimukseen liitteeksi. Tarkasta asia lääkäriasemaltasi. Käsittelijäsopimusta koskevan mallin löydät myös jäljempänä olevasta kohdasta Ohjeistus.

Ohjeistus

Lääkäriliitto, Hammaslääkäriliito ja LPY ovat yhdessä valmistelleet jäsenilleen:

  • Yleisen ohjeen tietosuoja-asetuksen velvoitteista,
  • Henkilötietojen käsittelyä koskevan sopimusmallin ja
  • Lääkärin vastaanottotoiminnan mallisopimukseen tarvittavat tietosuoja-asetuksen edellyttämät muutokset.

Tämä lisäksi monet asemat ovat laatineet Tietosuojaselvityksen ammatinharjoittajia varten. Tarkista tämä asia vielä lääkäriasemaltasi.

Lääkäriliitto, Hammaslääkäriliito ja LPY ovat yhdessä Kelan ja THL:n kanssa päivittäneet em. Lääkärinvastaanottotoiminnan sopimukseen liittyvän Kanta-palveluihin liittymistä koskevan sopimuksen muutokset.

Kaikki edellä mainitut asiakirjat:

Lääkäriammatinharjoittajan vastaanottotoiminnan sopimusmalli (pdf)

Potilaille tuotettavia yksityisiä terveyspalveluita koskevat ehdot (pdf)

Henkilötietojen käsittelyä koskeva sopimus (pdf)

Kelan ohjeistuksen löydät täältä (15.10. alkaen)

Tietosuoja-asetuksen suomenkielinen teksti on täällä.

Lääkäriliiton yleisohjeistus tietosuoja-asetuksesta löytyy täältä.


Tietosuojaselvityksen runko:

1. Mitä tietoja vastaanotolla käsitellään?

2. Mistä tiedot saadaan?

3. Mihin tietoa luovutetaan? Luovutetaanko tietoa EU:n ulkopuolelle?

4. Mitkä ovat eri tietojen käyttötarkoitukset?

5. Mikä on käsittelyn peruste eri tietojen osalta?

6. Missä tietoa säilytetään? Mikä on vanhentuneen tiedon hävittämismekanismi?

7. Kuinka kauan tietoa säilytetään?

8. Onko tietosuojavastaava nimitetty? Jos ei, miksi?

9. Onko laadittu vaikutustenarviointi? Jos ei, miksi?

10. Miten tieto on suojattu? Miten tiedonsiirto on suojattu?

11. Miten henkilöstö on perehdytetty ja koulutettu tietosuoja-asetuksen noudattamiseen?

12. Millaisia prosesseja vastaanotolla on rekisteröidyn oikeuksien toteuttamiseksi?

Takaisin