Tietosuojatyö tehostuu organisaatioissa
Asiakastietolaki astuu voimaan marraskuussa, mikä tehostaa myös tietosuojatyötä. Selvityksen mukaan siinä onkin parantamisen varaa. Parhaillaan THL kokoaa lausuntoja tiedonhallintaan liittyvistä määräyksistä.
Tuoreimman Resepti-palvelun selvityspyynnön tulosten perusteella organisaatioiden tietosuoja-asioissa on parannettavaa. Kyselyjä on tehty vuodesta 2015, ja lääkemääräyslain nojalla kysely muutettiin selvityspyynnöksi pari vuotta sitten.
Perusongelmana on se, että tietosuojatyöhön pitäisi panostaa huomattavasti enemmän.
‒ Kyselyjen jälkeen näyttää aina siltä, ettei tietosuojavastaavilla ole aikaa työhönsä. Organisaatioissa ei vieläkään kovin hyvin tunnisteta niitä tehtäviä, joita tietosuojavastaavalle kuuluu, toteaa apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa tietosuojavaltuutetun toimistosta.
Tietosuojavastaava on organisaation sisäinen ja riippumaton tietosuoja-asiantuntija, joka seuraa henkilötietojen käsittelyä sekä auttaa henkilöstöä tietosuojasääntelyn noudattamisessa.
Tietosuoja-asetuksen vaikutus heikkoa
Pihamaa ihmettelee, ettei muutama vuosi sitten voimaan astunut tietosuoja-asetus GDPR ole vaikuttanut selvityksen tuloksiin huolimatta siitä, että asetuksessa on selkeästi tuotu esille tietosuojavastaavan rooli ja tehtävät.
Myös Kanta-palvelujen tietosuojavastaavan Tiina Apposen mukaan näyttää siltä, että tietosuojavastaavan työhön tarvitaan resursseja. Asia tulisi kuitenkin suhteuttaa organisaation kokoon, joka vaihtelee yhden hengen työpaikasta 2 000 työntekijän yhteisöön.
‒ Lisäksi muun muassa kirjallisia ohjeita puuttuu ja sisäinen dokumentaatiokin pitäisi olla tehtynä. Eikä riitä, että ohjeet ovat olemassa, ne pitää myös jalkauttaa henkilökunnalle.
Ei riitä, että ohjeet ovat olemassa. Ne pitää myös jalkauttaa henkilökunnalle.
THL:n johtava asiantuntija Juha Mykkänen pitää huolestuttavana sitä vaikutelmaa, ettei organisaatioissa ole ollut riittävästi sote-asioihin perehtyneitä ihmisiä suunnittelemassa asiakastietojen käsittelyä, kun tietosuojavastaavan tehtäväkenttä on laajentunut.
‒ Kyllähän sote-ympäristössä toimivan tietosuojavastaavan pitää tuntea sote-toimintaa ja tiedonhallintaa sekä niihin liittyviä riskejä. Tietosuojan pitää olla asianmukaista, kun puhutaan sosiaali- ja terveyspalvelujen asiakastiedoista.
Asiakastietojen käsittelyohjeistuksessa olisi kehitettävää. Se laaditaan henkilökunnalle, joka osaa sen pohjalta toimia oikein eri tilanteissa, kuten vastaanottokäynnillä tai infopisteessä.
‒ Esimerkiksi henkilötietojen tietoturvaloukkauksissa on osattava toimia oikein ja oikea-aikaisesti, korostaa Apponen.
Lausuntoja määräyksiin odotellaan
Uusi asiakastietolaki astuu voimaan marraskuussa. THL valmistelee sosiaali- ja terveydenhuollon tiedonhallintaan liittyviä määräyksiä vuoden 2021 loppuun mennessä. Määräyksiä on kuusi, ja ne ovat parhaillaan kuuden viikon lausuntokierroksella, joka päättyy 27.10.
‒ Lausuntopyyntöjen tarkoituksena on saada sellainen palaute ja selkeytysehdotukset, joiden pohjalta luodaan lopulliset, voimaan tulevat määräysversiot, toteaa Mykkänen.
Yksi lausunnoilla oleva dokumentti on määräysluonnos tietoturvasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista. Mukana on myös yleinen suunnitelman mallipohja, joka pitää sovittaa organisaation omaan toimintaan. Tietoturvasuunnitelma on aiemmissa säädöksissä kulkenut nimellä omavalvontasuunnitelma. Mykkäsen mukaan asiat selkeytyvät nimenmuutoksen kautta.
‒ Sote-palveluissa on velvollisuus tuottaa muitakin omavalvontasuunnitelmanimisiä dokumentteja. Joskus ne ovat sekoittuneet tietosuojaa ja -turvaa sekä tietojärjestelmien käyttöä koskevaan suunnitelmaan. Määräyksen sisältö on joitakin tarkennuksia lukuun ottamatta pääosin samanlainen ja yhtä tärkeä kuin aiempienkin säädösten mukaisissa määräyksissä.
Valvontaa ja seurantaa kaivataan
Mykkänen piti yllättävänä, että selvityspyynnön tuloksissa omavalvonnan taso näytti laskeneen.
‒ Omavalvonta on väline myös tietosuoja-asetuksen velvoitteiden täyttämiseen. Pitää olla osoitettavissa, että henkilötietojen käsittely on asianmukaisesti suunniteltu, turvallisesti hoidettu ja ohjeistettu. Samaa suunnitelmaa pystytään hyödyntämään, seuraamaan ja sillä varmistamaan asiakastietolain vaatimat asiat.
THL on järjestänyt säännöllisesti koulutuksia omavalvontasuunnitelmasta.
‒ Koulutuspalautteiden kautta on tullut hyviä kommentteja, joita on pyritty huomioimaan määräyksiä laadittaessa. Samanlaisia kommentteja toivotaan määräysten lausuntokierrokseltakin.
Myös uudelleen nimetystä tietoturvasuunnitelmasta on tulossa koulutuksia heti, kun lopulliset versiot määräyksistä saadaan voimaan.
Mitä tulee valvontaan liittyvään ja suositeltuun vuosisuunnitelmaan, Apposen mukaan sen laatiminen vaikuttaa olevan haasteellista, vaikka ohjaavana dokumenttina se tukisi tietosuojavastaavaa organisoimaan omaa toimintaansa. Sekä valvonta että seuranta tulisi olla suunnitelmallista.
Selvityspyynnön tulokset kertovat, että vuosisuunnitelma oli julkisella sektorilla vain 30 prosentilla ja yksityisessä terveydenhuollossa 24 prosentilla.
Johto varmistaa resurssit
Tietosuoja korostuu jatkossa entistä enemmän. Pihamaan mukaan tietosuojavastaavalle pitää antaa riittävästi aikaa hoitaa tehtäväänsä, jotta asiat menevät tietosuojalainsäädännön mukaisesti. Aikaa pitää olla siihenkin, että tietosuojavastaava pystyy perehtymään asioihin, joita häneltä edellytetään.
‒ Resurssointi on kaiken a ja o. Kun tietosuojatehtävät on hoidettu asianmukaisesti, se parantaa sekä organisaation sisäistä toimintaa että luottamusta ulospäin, neuvoo Apponen.
Kun tietosuojatehtävät on hoidettu asianmukaisesti, se parantaa sekä organisaation sisäistä toimintaa että luottamusta ulospäin.
Pihamaa korostaa, että tietosuojavastaavan työnkuva on laaja: hänen pitää huolehtia myös omista työntekijöistä, ei pelkästään asiakkaista. Pihamaa kehottaa tietosuojavastaavaa nostamaan omaa asemaansa ja tuomaan tietoa organisaation johdolle. Johdon tehtävä on turvata tietosuojavastaavalle riittävät resurssit tehtävän hoitoon.
‒ Kyse on myös arvostuksesta ja arvottamisesta – ajatellaan vain, että kyllä se hoituu. Johdon ymmärrys on avainasemassa. On keksittävä keinoja tietoisuuden lisäämiseen.
Mykkänen toteaa lain olevan hyvin selväsanainen, vaatimuksia pitää vain noudattaa.
‒ Jos asioita ei hoideta, riskit ja seuraukset voivat olla tosi isoja. Vastuu näistä asioista on toimintayksikön vastaavalla johtajalla. Johdon pitää olla sitoutunut ja varmistaa riittävät resurssit.
Kanteluista eroon ja asiat kuntoon
Pihamaan mukaan tietosuojavastaavat voisivat lisätä yhteistyötä ja verkostoitua.
‒ Siten organisaatiossa olisi helpompi edistää asioita ja viedä niitä eteenpäin. Kun asiat on hoidettu hyvin ja tukiverkosto toimii, rekisteröidyillä ei ole tarvetta kannella, vaan asiat pystytäänn hoitamaan paikallisesti rekisterinpitäjän luona. Sote on nimittäin yksi isoimpia sektoreita, josta tulee kanteluita tietosuojavaltuutetun toimistoon.
Mykkäsen mukaan uudet määräykset terävöittävät asioita.
‒ Kun asiat hoidetaan uusien säännösten mukaisesti, pystytään ennakoimaan riskejä ja estämään vakavia tietoturvaloukkauksia. Nyt on juuri oikea hetki pistää asiat kuntoon, kun hyvinvointialueitakin suunnitellaan. Tiedonhallinta ja riskienhallinta ovat asioita, joihin sote-toimeenpanossa kannattaa panostaa.
‒ Tietosuojavastaavan laatima vuosikello olisi hyvä väline hahmottamaan, mitä eri kvartaaleissa tapahtuu ja mitkä ovat tavoitteet. Se voisi helpottaa myös työkuormaa, miettii Apponen.