Terveydenhoitoon ja sosiaalihuoltoon liittyvät tiedot ovat arkaluonteisia, joiden käsittelyllä on tiukat pelisäännöt. Monet uudistukset, kuten Euroopan Unionin tietosuoja-asetus, asiakastietolaki ja Sote-uudistus, tulevat aiheuttamaan merkittäviä muutoksia tietosuojakäytäntöihin.

Suomen parhaat sote-tietosuojan asiantuntijat ovat jälleen koolla sosiaali- ja terveydenhuollon tietosuojaseminaarissa, tällä kertaa Lahdessa. Päivien aikana ovat esillä muun muassa ajankohtaiset asiat, kuten uudet hankkeet ja valvontakysymykset.

Pyrimme laajaan sosiaali- ja terveydenhuollon integraatioon, mutta koska sekä sosiaalihuollossa että terveydenhuollossa on myös omia erityispiirteitä,
käsittelemme niitä toisen päivän aamusta jakaantuneena kahteen sessioon.

FCG järjestää päivät yhdessä Suomen Kuntaliiton, Tietosuojavaltuutetun toimiston, Lahden kaupungin sekä Päijät-Hämeen sosiaali- ja terveysyhtymän kanssa.

Lue lisää https://koulutus.fcg.fi/Default.aspx?tabid=342&&id=8007

OpiTietosuojaa.fi-palvelu suosittelee kyseiseen seminaariin osallistumista!

 

Tietoja

Tietosuojaan suhtaudutaan usein tunteella – tarpeettoman mustavalkoisesti -, ja toisaalta yksinkertaistaen tietosuoja pelkästään Hippokrateen valan velvoittamaan salassapitoon. Tunnepitoista suhtautumista ohjaa oikeammille poluille, kun oivaltaa, että tietosuojassa ei ole myöskään kysymys tiedon ”panttaamisesta, pimittämisestä tai kätkemisestä”.

Riittävällä henkilöstön tietosuojaosaamisella on mahdollisuus saavuttaa merkittävä osa hallituksen tuottavuusloikasta eli lisätä organisaation tuottavuutta ja tehokkuutta sekä säästää kustannuksia. Näin tapahtuu, kun koko henkilöstö on osaavaa, viihtyy työssään ja toimii tehokkaasti toiminta- ja asiakasprosesseissa. Tietosuojaosaaminen turvaa asiakkaille oikein mitoitetun tietosuojan, joka ei ole tarpeettoman tiukka eikä liian heikko.

Tuottavuusloikka, työntekijän riittävä osaaminen ja oikeusturva, parempi potilasturvallisuus ja asiakkaan riittävä yksityisyyden suoja saavutetaan, kun palvelujen antajan vastaava johto organisoi tietosuojatyön tekemisen, ja nimetty tietosuojavastaava/tietosuojaryhmä tekee varsinaista tietosuojatyötä järkevästi resurssoituna. Tietosuoja on siis mahdollistaja ja menestystekijä.

Mistä tietosuojassa on kysymys?

Tietosuojassa on kyse asiakkaan luottamuksesta sekä koko henkilöstön tietosuojaosaamisesta eli asiakastietojen asiallisesti perustellusta ja oikeaoppisesta sujuvasta käsittelystä tiedon elinkaaren eri vaiheissa. Tällaisia tietojen käsittelyvaiheita ovat muun muassa asiakastietojen kerääminen, tallentaminen, käyttö, yhdistäminen, siirto, luovuttaminen, säilyttäminen, hävittäminen ja kaikenlainen muu asiakastietojen käsittely. Näin ollen tietosuojassa kyse on paljon muustakin kuin pelkästä asiakastietojen salassapidosta.

Kansallisen tuottavuusloikan keskeiset osatekijät Kiteytetysti kuvattuna tuottavuusloikka sote-sektorilla saavutetaan pitkälti edistymällä kolmella osa-alueella, joilla lisätään tehoa prosesseihin ja luodaan uusia toimintamalleja: 1. tietoturvallista digitalisaatiota lisäämällä, jos se laajenee kokonaisvaltaisemmin kuin pelkästään itsehoitoon, 2. tietojärjestelmiä kehittämällä eli niiden teknisiä ominaisuuksia ja yhteensopivuutta parantamalla, ja työntekijöiden tietojärjestelmien käytön valmiuksia ylläpitämällä, sekä tietojärjestelmiin sisäänrakennettavaa itseohjautuvuutta työntekijöiden lailliseen ja sujuvaan asiakastietojen käsittelyyn kehittämällä, 3. koko henkilökunnan tietosuojaosaamista kehittämällä eli lopettamalla aikaavievä sähläys asiakastietojen käsittelyssä. Kuvaan seuraavaksi tarkemmin edellä mainittua organisaation tuottavuutta ja tehokkuutta lisäävää sekä kustannuksia säästävää kohtaa kolme (3) eli tietosuojaosaamista.

Tietosuojaosaaminen kansallisen tuottavuusloikan osatekijänä Asiakkaan luottamus sekä tietosuojatyön organisointi ja varsinainen tietosuojatyön tekeminen kehittävät koko henkilöstön tietosuojaosaamista ja "öljyävät" toiminta- ja asiakasprosessit joustaviksi sote-sektorilla. Näin saavutetaan etua ja hyötyjä työntekijöille, organisaatiolle ja asiakkaille eli koko yhteiskunnalle. Tee kolme keskeisintä perusasiaa (kohdat A-C), joilla saavutat työntekijöille hyötyjä ja organisaatiolle taloudellisesti merkittävää etua (kohdat a-b). Samalla myös turvaat asiakkaille riittävän tietosuojan (kohta c), joka ei ole liian tiukka eikä liian heikko.

Tietosuojatyöhön panostaminen organisaatiossa on kannattava investointi, joka tuottaa itsensä takaisin. Tietosuojatyötä on mahdollista organisoida ja toteuttaa seuraavasti:

A. Organisoi tietosuojatyö

• nosta tietosuoja johdon agendalle

• suunnittele ja järjestä henkilörekisterihallinto

• nimeä tietosuojavastaava ja/tai tietosuojaryhmä • määritä kirjallisesti tietosuojavastaavan työtehtävät

• osoita tietosuojavastaavalle riittävät työaika, työvälineet ja kouluttautumisresurssit

B. Hyödynnä tietosuojavastaavaa

• tietosuojavastaava toimii johdon tukena ja koko henkilöstön apuna

• informoi koko henkilöstöä tietosuojavastaavan tehtävistä ja toimenkuvasta

• tiedota tietosuojavastaavasta organisaation kotisivulla ja ilmoitustaululla

C. Varmista koko henkilöstön tietosuojaosaaminen

• laadi asiakastietojen käsittelyohjeet

• jalkauta ja kouluta asiakastietojen käsittelyohjeet koko henkilöstölle

• testaa koko henkilöstön tietosuojaosaaminen

• seuraa ja kehitä, sekä puutu poikkeamiin

Tietosuojaosaamisen edut ja hyödyt eri tahoille

Tietosuojaosaamisen varmistamisella saavutetaan merkittäviä etuja ja hyötyjä organisaatioille ja työntekijöille sekä asiakkaille. Organisaation ja työntekijöiden sekä asiakkaiden saavuttamat edut ja hyödyt pähkinänkuoressa:

a) Työntekijänäkökulma

• työntekijöiden asiakastietojen käsittelyn tietosuojaosaaminen ja oma oikeusturva paranevat,

• myös työntekijän tietosuoja paranee oikeaoppisen henkilöstöhallinnon tietojen käsittelyn varmistamisella (esim. sairaslomatodistuksien käsittely henkilöstöhallinnon rekistereissä),

• osaavan työntekijän työviihtyvyys on aikaisempaa parempi, kun ei tarvitse käsitellä tietoja epävarmuudessa ja tarpeettomasti ahdistuneena. Näin myös työntekijän työteho lisääntyy.

b) Organisaationäkökulma

• koska työntekijät ovat osaavampia, työssään paremmin viihtyviä ja tehokkaampia, myös organisaation tuottavuus ja tehokkuus kasvavat ja kustannukset vähenevät,

• organisaatio näyttäytyy ulospäin luotettavana palvelujen antajana sekä houkuttelevana yhteistyökumppanina, josta on kilpailuetua.

c) Asiakasnäkökulma

• potilasturvallisuus paranee SOTE-sektorilla, kun henkilökunta on osaavaa, sillä ovathan potilastiedot jo käyttötarkoituksensakin mukaan osa potilaan hoidon järjestämistä, suunnittelua, toteuttamista ja seurantaa,

• henkilöstön tietosuojaosaamisella on merkittävä vaikutus myös sosiaalihuollon palvelujen laatuun,

• asiakkaan tietosuoja on asiakastietojen eri käsittelytilanteissa oikein mitoitettua, jolloin tietosuoja ei ole tarpeettoman tiukka eikä liian heikko.

Johdon asenne näkyy tietosuojatyön toteutumisessa

Kelan Kanta-palvelut ja Tietosuojavaltuutetun toimisto tekivät yhteistyössä sähköisen reseptin tietosuojakyselyn Resepti-palveluun liittyneille sosiaali- ja terveydenhuollon toimintayksiköille ja apteekeille tammi- ja helmikuun 2016 aikana. Vastauksia kertyi 762 kappaletta ja vastausprosentti on 73. Kyselyn tulosten julkistamisessa (tietosuojavaltuutetun toimiston kotisivulla, 17.5.2016, http://www.tietosuoja.fi/fi/index/ajankohtaista/tiedotteet/2016/05/terveydenhuollontietosuojakyselyn2016tulokset.html) sosiaalihuollon ja itsenäisten ammatinharjoittajien vastaukset on jätetty pois vastausten vähäisen määrän ja mahdollisen tunnistettavuuden vuoksi.

Tietosuojakyselyn 2016 tulokset osoittavat, että tietosuoja-asioiden suurimmat puutteet ovat samat kuin vuosi sitten. Tietosuojavastaavan toimenkuvan määrittely on osin vaillinaista, henkilökuntaa ei ole ohjeistettu tai koulutettu riittävästi asiakas- ja potilastietojen käsittelyyn eikä tietojen käsittelyn valvonta ole lain edellyttämällä tasolla. Kehitystä on tapahtunut, mutta nyt alkaa olla kiire saattaa lakisääteiset vaatimukset kuntoon.

Sen lisäksi, että asiakkaan näkökulmasta tietosuojassa on vielä puutteita, on ilmiöllä vaikutuksia myös tehokkuuteen ja tuottavuuteen sekä potilasturvallisuuteen työpaikoilla. Tietosuojavaltuutettu Reijo Aarnion mukaan huonosti toteutettu tietosuojan johtaminen aiheuttaa epätietoisuutta työpaikoilla, mikä heikentää henkilöstön työviihtyvyyttä ja näin myös koko organisaation tuottavuutta ja tehokkuutta. Lisäksi kysely osoittaa, että yli 80 % organisaatioista on sitä mieltä, että tietosuojaongelmat saattavat vaarantaa potilasturvallisuuden.

EU:n tietosuoja-asetuksen voimaantulo ja vaikutukset Juuri voimaan tullutta Euroopan unionin ja parlamentin yleistä tietosuoja-asetusta aletaan soveltaa sen voimaantulosta 2 vuoden siirtymäajan jälkeen eli 25.5.2018 lukien. Asetuksen tavoitteena on lisätä organisaation tuottavuutta ja tehokkuutta tietosuojatyön tekemisen keinoin. Asetus sisältää ajatuksen organisaation tilitekokykyisyydestä (accountability-periaate) ja se vahvistaa johdon vastuuta entisestään. Rekisterinpitäjän on jatkossa toimenpitein ja dokumentein osoitettava, että tietosuojavelvoitteet on otettu huomioon ennakkosuunnittelussa ja toteutuksessa.

Organisaatioiden, työntekijöiden ja asiakkaiden hyvinvoinnin lisäämisen keppinä toimii muun muassa uusi valvontaviranomaisten oikeus ja velvollisuus määrätä tuntuvia hallinnollisia sakkoja (satoja tuhansia, jopa miljoonia euroja) yrityksille ja organisaatioille, jotka eivät noudata EU:n tietosuoja-asetusta tai kansallisen lainsäädännön vaatimuksia eivätkä näin ollen ole tilintekokykyisiä. Organisaatioiden tilintekokykyisyyttä tukevien toimenpiteiden eli ennakkosuunnitelun (data protection by design) sekä sisäänrakennetun tietosuojan ja - turvan (data protection by default) vaatimukset myös korostuvat.

Nyt meneillään oleva EU:n tietosuoja-asetuksen 2 vuoden siirtymäaika on syytä käyttää hyödyksi ja toteuttaa edellä kuvatut tietosuojatyön toimenpiteet ja dokumentointi (kohdat A-C), lisätä tuottavuutta ja tehokkuutta sekä tavoitella tarjolla olevia kustannussäästöjä. Samalla organisaatio välttää valvontaviranomaisen mahdolliset hallinnolliset sanktiot. Suunnittelutyö on syytä aloittaa mahdollisimman pian tänä vuonna 2016 ja toimeenpano ensi vuonna 2017, jolloin vuoden 2018 alkupuolelle jäävät ainoastaan EU:n tietosuoja-asetuksen tietosuojavelvoitteiden toteutumisen lopputarkistukset ja -varmistukset.

Lue lisää:

1. Lue lisää organisaation tuottavuudesta ja tehokkuudesta, riskien hallinnasta, johtajan tietosuojatyön organisoinnista ja tietosuojavastaavan tietosuojatyön tekemisestä teoksesta: ”Tietosuojakäsikirja johdolle”, Tietosanoma 2016, uudistettu 2. laitos (3. painos). Kirjassa on huomioitu Euroopan parlamentin ja neuvoston asetus (27.4.2016, 2016/679) eli EU:n tietosuoja-asetuksen keskeiset vaatimukset ja velvoitteet. 

Katso kirjan sisällysluettelo tästä http://kauppa.tietosanoma.fi/epages/tietosanoma.sf/fi_FI/?ObjectPath=/Shops/Tietosanoma/Products/9789518854046

Nyt myös sähköisenä E-kirjana Elisa kirja -palvelussa; Esikatsele kirjaa ilmaiseksi tästä https://kirja.elisa.fi/ekirja/tietosuojakasikirja-johdolle

2. Lue lisää EU-tietosuojan kokonaisuudistuksesta VAHTI-raportti 1/2016, ks. raportti tästä https://www.vahtiohje.fi

Tietoja
  1. Tietosuojakäsikirja johdolle nyt myös E-kirjana
  2. Terveydenhuollon ATK-päivät ruletti tälläkin kertaa!
  3. Tietosuojakysely tehtiin yli 1.000 tietosuojavastaavalle
  4. Tutkimus: Pelkästään Euroopassa tarvitaan vähintään 28.000 tietosuojavastaavaa!