Sisältöjulkaisija

Tietosuojakysely tukee tietosuojavastaavien työtä

Artikkeli - Ammattilaiset Kirjoitettu 12.9.2019 Kaikki artikkelit

Kanta-palvelujen tietosuojakysely 2019 osoittaa, että tietosuojatyössä riittää yhä kehitettävää. Myös tietosuoja-asetus toi uusia tehtäviä sosiaali- ja terveydenhuollon sekä apteekkien tietosuojavastaaville.

Alkuvuodesta toteutettiin jo viidettä kertaa tietosuojakysely, joka on suunnattu Kannan Resepti-palveluun liittyneille sosiaali- ja terveydenhuollon toimintayksiköille sekä apteekeille. Kyselyyn vastaavat organisaatioiden tietosuojavastaavat ja itsenäiset ammatinharjoittajat. 

”Tänä vuonna tietosuojakysely muutettiin kyselymuotoiseksi selvityspyynnöksi sähköisen lääkemääräyslain nojalla. Kelalla on rekisterinpitäjänä velvollisuus toteuttaa tietosuojan seurantaa ja valvontaa, ja raportointivelvollisuutta korostamalla pystymme paremmin varmistumaan tietosuojan toteutumisesta asiakasorganisaatioissa. Samalla vastausaktiivisuus nousi 64 prosenttiin, mikä on meidän näkökulmastamme jo hyvä tulos”, kertoo Kanta-palvelujen tietosuojavastaava Tiina Apponen.

Tietosuojakyselyn laativat Kelan Kanta-palvelut yhdessä tietosuojavaltuutetun toimiston ja Terveyden ja hyvinvoinnin laitoksen (THL) kanssa. Kyselyn vastausten perusteella saadaan tärkeää informaatiota tietosuojan tilanteesta sähköistä reseptiä käyttävien organisaatioiden keskuudessa. 
Lisäksi kysely toimii kattavana ohjenuorana tietosuojavastaaville, sillä se kattaa laajasti työhön kuuluvat osa-alueet ja tehtävät. 

Kuvituskuva terveydenhuollon tietosuojasta.

”Tietosuojakyselyn avulla saamme paremman käsityksen siitä, mitä kentällä oikeasti tapahtuu. Saatua infoa voimme hyödyntää myös esimerkiksi ohjausmateriaalien teossa. Pystymme siis sekä saamaan ensikäden tietoa organisaatioista että antamaan tietosuojavastaaville työkaluja arkeen”, sanoo tietosuojavaltuutetun toimiston ylitarkastaja Tanja Muotka.

Tietosuoja-asetus laajensi tietosuojavastaavan roolia

Kokonaisuutena tietosuojakyselyn tulokset ovat hyviä. Kehitystä aiempiin vuosiin verrattuna on tapahtunut, muun muassa kirjallisten ohjeiden laatimisessa ei juuri havaittu enää puutteita. Tämä selittyy osittain sillä, että vuoden 2018 toukokuussa voimaan tullut tietosuoja-asetus korostaa juuri ohjeiden ja koulutussuunnitelmien dokumentointia. Tietosuoja-asetus on myös yleisesti laajentanut tietosuojavastaavan roolia ja painottanut tämän asemaa organisaatiossa. Uutena tehtävänä tietosuojatyöhön tuli vaikutustenarviointi(tietosuoja.fi). 

"Kyselyn tuloksista voidaan havaita, että perusasioihin on kiinnitetty huomiota ja saatu hyvin toteutettua niitä, mutta vaikutustenarviointiin ei ehkä olla vielä ehditty reagoida. Seuraavaksi tulisikin kiinnittää huomiota vaikutustenarviointiin, siihen kouluttautumiseen ja sen ohjeistuksiin panostamiseen", toteaa Tiina Apponen.

Tietosuojavastaavien toimintaympäristö on erilainen riippuen siitä, työskentelevätkö he apteekissa, julkisella tai yksityisellä sektorilla sosiaali- ja terveydenhuollossa tai itsenäisenä ammatinharjoittajana. Mitä suurempi organisaatio, sitä useammin tietosuojavastaavan aika ei kyselyn tulosten mukaan riitä tehtävien hoitamiseen. Etenkin nyt uusien vastuiden myötä organisaation johdon tulisi varmistaa, että tietosuojavastaavan työhön on varattu riittävästi resursseja.

Tietosuojavastaavan perimmäinen tarkoitus on tukea organisaatiota; varmistaa, että luottamus toimintaan syntyy ja säilyy vahvana. Organisaatioissa tulisikin taata tietosuojavastaavalle mahdollisuudet toimia tehtävässä parhaalla mahdollisella tavalla, sanoo Tanja Muotka.

Panostusta valvonnan välineisiin tarvitaan

Resurssien määrän lisäksi Tiina Apponen ja Tanja Muotka nostavat esiin tarpeen kehittää tietojen käsittelyn seurannan ja valvonnan välineitä. Sähköiseen lääkemääräykseen liittyvien asiakirjojen määrä kasvaa koko ajan, ja samalla kasvaa myös lokitietojen määrä. Lokitietoja valvotaan käytännössä yhä manuaalisesti, mikä tarkoittaa sitä, että loppujen lopuksi vain pieni osa tietoja päätyy tarkastettavaksi. Valvonnan välineiltä tarvittaisiin kuitenkin jatkuvasti enemmän kapasiteettia toteuttaa tietojenkäsittelyn seurantaa ja valvontaa.

”Tietosuojakyselyn tuloksista havaitaan, että valvonnan välineitä ei ole kehitetty sähköisten asiakirjamäärien kasvaessa. Automaattista valvontaa käytetään todella harvassa organisaatiossa kyselyn tulosten perusteella. Johdon pitäisi panostaa resurssien lisäksi myös valvonnan välineiden investointeihin”, Apponen muistuttaa.

Kaikessa työssä riittää aina kehitettävää, mutta kyselyssä nousee esiin myös paljon kehuttavaa. Yleisesti voidaan sanoa, että rekisteröidyn oikeutta toteutetaan kaikissa organisaatioissa tasokkaasti. Jos asiakas lähettää organisaatioon selvityspyynnön lokitietoja koskien, se käsitellään aina ja asiakkaalle vastataan kyselyyn. Muotka mainitsee positiivisena esimerkkinä myös apteekkien tietosuojatyön tason.

”Tietosuojatyö on apteekeissa hyvin hallussa ja käytäntöjä jaetaan ahkerasti. Muun muassa Apteekkariliitolla ja muilla toimijoilla on runsaasti ohje- ja mallimateriaalia, jotka voidaan hyödyntää apteekeissa laajasti. Käytäntöjen jakamista kannattaa hyödyntää tietysti kaikilla sektoreilla.”

Kaikkien tietosuojavastaavien yhteystiedot tulee ilmoittaa tietosuojavaltuutetun toimistolle (tietosuoja.fi). 

Tutustu tarkemmin selvityspyynnön 2019 tuloksiin.