Sisältöjulkaisija

EU:n tietosuoja-asetuksen vaikutukset Kanta-palveluihin

Blogi - Kansalaiset Kirjoitettu 30.05.2018 Kaikki blogit

Miten Kanta-palveluissa on valmistauduttu EU:n tietosuoja-asetuksen käyttöönottoon? Miten asetus vaikuttaa Kantaan?

Toukokuun 25. päivä EU:n tietosuoja-asetuksen soveltaminen tulee pakolliseksi kaikissa Euroopan unionin jäsenvaltioissa. Tietosuoja-asetus koskee kaikkia toimijoita, jotka käsittelevät henkilötietoja. Kanta-palveluissa käsitellään potilas- ja reseptitietoja sekä sosiaalihuollon tietoja, eli asetus vaikuttaa suoraan myös Kantaan.

”Kanta-palvelujen tietosuoja- ja tietoturva ovat hyvällä perustasolla jo valmiiksi. Kanta-palvelujen käsittelemiä henkilötietoja, kuten resepti- ja potilastietoja, on säädelty lainsäädännöllä siitä lähtien kun Kannan rakentaminen aloitettiin kymmenen vuotta sitten. Tältä pohjalta tietosuoja-asetuksen soveltamisessa on kyse lähinnä nykyisten toimintojen päivittämisestä, jotta ne vastaavat uusia EU-säännöksiä”, sanoo projektipäällikkö Kari Toivola Kelan Kanta-palveluista.

Arkaluonteiset tiedot suojataan tarkasti

Henkilötiedot jaetaan tavallisiin ja arkaluonteisiin. Asetuksen mukaan terveyteen liittyvät tiedot ovat arkaluonteisia, ja niitä koskevat tarkemmat tietosuojasäännöt kuin tavallisia henkilötietoja. Arkaluonteiset henkilötiedot tulee suojata ja lokitiedot kirjata erityisen tarkasti.

Kanta-palveluissa tietosuoja-asetuksen käyttöönottoa on valmisteltu jo yli vuoden ajan työryhmän vetämänä. Havaituista puutteista keskeisimmät korjataan 25.5. mennessä, ja loput toteutetaan tehdyn suunnitelman mukaan mahdollisimman pian.

”Oikeastaan varsinainen työ alkaa kuitenkin vasta 25. päivän jälkeen, kun asetuksen vaatimuksia aletaan soveltaa käytännössä. Tietosuojan taso nousee pysyvästi korkeammalle tasolle, ja se edellyttää tietosuoja-asetuksen vaatimusten jatkuvaa ylläpitoa, seurantaa ja valvontaa.  Tietosuojakäytänteiden jalkauttaminen ja korotetun tietosuojan resursointi, tehtävien määrittely ja organisointi voivat viedä pitkän ajan”, Toivola kertoo.

Tietosuoja-asetus tuo uusia prosesseja

Kelassa ja Kanta-palveluissa jalkauttamista tehdään systemaattisesti ainakin vuoden 2018 loppuun. Jokaisen työntekijän pitäisi hallita tietosuoja-asetuksen periaatteet ja tuntea erityisesti omaa tehtäväaluettaan koskevat vaatimukset. Asetuksen myötä otetaan käyttöön joitakin kokonaan uusia prosesseja, joista tärkeimpiä ovat muun muassa tietosuojaloukkauksien havainnointi ja ilmoittaminen, riskien arviointi kansalaisen oikeuksien kannalta, vaikutusarviointien tekeminen järjestelmille ja tietosuojan huomioiminen kaikessa toiminnassa suunnittelusta alkaen. Lisäksi Kelaan on nimitetty tietosuojavastaava sekä rekisterinpitäjän ja henkilötietojen käsittelijän tehtäviä on tarkennettu.

”Tärkeä on myös osoitusvelvollisuus, joka edellyttää henkilötietoihin liittyvien toimintojen tarkkaa dokumentointia ja dokumenttien pitämistä ajan tasalla. Kaikkien pitää pystyä osoittamaan, että dokumentteja noudatetaan myös käytännössä”, Toivola lisää.

Kanta.fi-sivusto päivitetään vastaamaan tietosuoja-asetusta

Tietosuoja-asetuksen tuomat muutoksen eivät juuri vaikuta kansalaisen Kanta-palvelujen käyttöön. Lähinnä on kyse siitä, että kansalaisen oikeuksia omiin henkilötietoihinsa tarkennetaan ja tietoja käsittelevien vaatimuksia tiukennetaan. Tämä näkyy kansalaiselle informaation muodossa.

”Päivitämme esimerkiksi Kanta-rekistereihin tallennettujen tietojen tietosuojaselosteet, joissa kerrotaan mitä tietoja rekistereihin tallennetaan, miten niitä käsitellään ja mitä oikeuksia kansalaisella on tietoihinsa nähden. Kokonaisuudessaan Kanta.fi-sivusto päivitetään kesäkuun aikana”, Toivola kertoo.

Tietosuoja-asetus koskee suoraan myös sosiaali- ja terveydenhuollon toimijoita, joista kukin alkaa soveltaa asetusta itsenäisesti tahoillaan. Kanta-palvelujen ja sote-toimijoiden keskinäisiä suhteita asetus ei muuta; sen johdosta on ainoastaan tehty pieniä muutoksia Kanta-palvelujen ja sosiaali- ja terveydenhuollon ja apteekkien välisiin palvelukuvauksiin ja yleisiin toimitusehtoihin.

EU:n tietosuoja-asetus pähkinänkuoressa

  • Asetus on ollut voimassa vuodesta 2016, mutta sen soveltaminen tulee pakolliseksi 25.5.2018 kaikissa EU:n jäsenvaltioissa.
  • Tavoitteena on yhtenäistää ja selkeyttää henkilötietojen käsittelyä EU:n alueella.
  • Kansalaisen oikeuksia lisätään ja rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuuksia tiukennetaan.
  • Asetus vaikuttaa kaikkiin yksityisen ja julkisen sektorin toimijoihin, jotka ovat tekemisissä henkilötietojen kanssa.
  • Asetusta täydentää tietosuojalaki, joka tulee voimaan myöhemmin vuonna 2018. Sen jälkeen tietosuoja-asetusta ja tietosuojalakia tulkitaan yhdessä.
  • Tietosuoja-asetus määrittelee keskeiset tietosuojaperiaatteet, joita on noudatettava henkilötietojen käsittelyssä. Noudattaminen pitää pystyä todistamaan esimerkiksi dokumentoinnilla.
  • Tietosuojaperiaatteilla suojellaan kansalaisen yksityisyyttä ja oikeuksia omiin tietoihinsa ja luodaan selkeät säännöt henkilötietoja käsitteleville tahoille.
  • Lisätietoja: www.tietosuoja.fi, www.eugdpr.org ja vm.fi/juhta-vahti-yhteishankkeiden-materiaalit