Kelan Kanta-palvelut ja Tietosuojavaltuutetun toimisto tekivät yhteistyössä sähköisen reseptin tietosuojakyselyn Resepti-palveluun liittyneille sosiaali- ja terveydenhuollon toimintayksiköille ja apteekeille tammi- ja helmikuun 2016 aikana. Vastauksia kertyi 762 kappaletta ja vastausprosentti on 73. Kyselyn tulosten julkistamisessa sosiaalihuollon ja itsenäisten ammatinharjoittajien vastaukset on jätetty pois vastausten vähäisen määrän ja mahdollisen tunnistettavuuden vuoksi

 

Johdon asenne näkyy tietosuojatyön toteutumisessa

Tietosuojakyselyn 2016 tulokset osoittavat, että tietosuojavastaavan toimenkuvan määrittely on osin vaillinaista, henkilökuntaa ei ole ohjeistettu tai koulutettu riittävästi asiakas- ja potilastietojen käsittelyyn eikä tietojen käsittelyn valvonta ole lain edellyttämällä tasolla. Kehitystä on tapahtunut, mutta nyt alkaa olla kiire saattaa lakisääteiset vaatimukset kuntoon. Tietosuojavaltuutettu Reijo Aarnion mukaan huonosti toteutettu tietosuojan johtaminen aiheuttaa epätietoisuutta työpaikoilla, mikä heikentää henkilöstön työviihtyvyyttä ja näin myös koko organisaation tuottavuutta ja tehokkuutta.

 

Lue lisää kyselyn tuloksista tästä http://www.tietosuoja.fi/fi/index/ajankohtaista/tiedotteet/2016/05/terveydenhuollontietosuojakyselyn2016tulokset.html

 

Lisätietoa teemasta saat opaskirjasta: Tietosuojakäsikirja johdolle (Tietosanoma, 2016, 2. laitos, 3. painos) https://www.linkedin.com/pulse/tietosuojakäsikirja-johdolle-uusittu-ja-ajantasainen-ylipartanen?trk=prof-post

Tietoja

billionphotos 1657995 small500Tutkimuksen (International Association of Privacy Professionals, IAPP) mukaan tarvitaan vähintään 28.000 tietosuojavastaavaa (Data Protection Officer, DPO) vastaaman EU:n tietosuoja-asetuksen haasteisiin pelkästään Euroopassa. Myös esimerkiksi amerikkalaiset yritykset noudattavat EU:n tietosuoja-asetuksen vaatimuksia operoidessaan Euroopassa.

Suomessa tuhansia tietosuojavastaavia SOTE-sektorilla ja apteekeissa

Suomessa tietosuojavastaavat ovat olleet jo n. 10 vuotta pakollisia SOTE-sektorilla ja apteekeissa sekä Kelassa. SOTE-sektorilla ja apteekeissa on arviolta n. 5.000 palvelujen antajaa Suomessa. Lisäksi yritykset ovat käytännössä nimittäneet vapaaehtoisuuden pohjalta ilman lain vaatimustakin työntekijöitään hoitamaan tietosuoja-asioita eri nimikkeillä.

Jatkossa lisää tietosuojavastaavia myös Suomessa

EU:n tietosuoja-asetus laajentaa organisaatioiden velvollisuutta nimittää tietosuojavastaava. Tietosuojavastaava on jatkossa nimitettävä laajasti julkisella sektorilla (pois lukien tuomioistuimet) Suomessa. Myös yksityisellä sektorilla yritys tai organisaatio on velvollinen nimittämään tietosuojavastavan, kun se käsittelee päätoimenaan arkaluonteisia henkilötietoja suuressa määrin tai käsittelee päätoimenaan säännöllisesti ja systemaattisesti suuressa määrin rekisteröityjen henkilötietoja seurantaan (monitoring). Lisäksi EU:n jäsenmaat voivat kansallisessa lainsäädännössään säätää, että muulloinkin on johtajan nimitettävä organisaatioonsa tietosuojavastaava.

Lue lisää tutkimuksesta (IAPP) tästä linkistä.

Käytännön riskienhallinta muuttuu radikaalisti

Näyttäisi usein käytännössä siltä, että organisaation johto pitää tietosuojaa kyllä sinänsä erittäin tärkeänä ja tunnistaa tietosuojariskit, mutta riskien hallintaa ei käytännössä toteuteta tietosuojatyön organisoinnin ja tietosuojatyön tekemisen keinoilla. Tähän epäkohtaan EU:n tietosuoja-asetus tuo muutoksen. EU:n tietosuoja-asetuksen ns. accountability-periaatteen mukaan yrityksen on ankaran hallinnollisen sakon (jopa miljoonia euroja) uhalla osoitettava "tilintekokykyisyytensä" eli käytännössä toteutetut tietosuojatoimenpiteet sekä tietosuojatyön organisoinnin ja tietosuojatyön tekemisen dokumentaatiovelvollisuus. Enää ei riitä että pelkästään noudattaa lakeja "do it" vaan vaaditaan, että rekisterinpitäjä osoittaa "prove it" aktiivisesti ottaneensa tietosuojavaatimukset huomioon etukäteissuunnittelussa ja varsinaisessa tietosuojatyön toteuttamisessa, hyvä niin.

Euroopassa on ollut jo vuosia yleistä määrätä organisaatiolle tuntuvia hallinnollisia sakkoja tietosuojan ja -turvan laiminlyönneistä. Valvontaviranomaisen sakotuskäytäntö tulee EU:n tietosuoja-asetuksen myötä myös Suomeen. Kun yrityksen kohtaa esimerkiksi tietomurto, haetaan syyllisiä niistä, jotka ovat vastuussa suojauksen pettämisestä!

Lue lisää riskien hallinnasta, johtajan tietosuojatyön organisoinnista ja tietosuojavastaavan tietosuojatyön tekemisestä tuoreesta kirjastamme (Tietosuojakäsikirja johdolle (2016), 2. uudistettu laitos, 3. painos. https://www.linkedin.com/pulse/tietosuojak%C3%A4sikirja-johdolle-uusittu-ja-ajantasainen-ylipartanen?trk=hp-feed-article-title-comment

Tietoja
  1. Uutta, Euroopan unionin Neuvoston ja Oikeusministeriön arvioita EU:n tietosuoja-asetuksesta!
  2. Tietosuojakäsikirja johdolle on uusittu!
  3. EU:n tietosuoja-asetus käytännössä -koulutuspäivä ke 2.3.2016
  4. Tietotilinpäätös - teoriasta käytännöksi SOTE-sektorilla