Innehållspresentatör

Hur EU:s dataskyddsförordning inverkar på Kanta-tjänsterna

Blogg - Medborgare Skrivet 26.05.2018 Alla bloggar

Hur har man förberett sig inför EU:s dataskyddsförordning inom Kanta-tjänsterna? Hur inverkar förordningen på Kanta?

Den 25 maj blir det obligatoriskt att tillämpa EU:s dataskyddsförordning i alla medlemsländer i Europeiska unionen. Dataskyddsförordningen gäller alla aktörer som behandlar personuppgifter. Inom Kanta-tjänsterna behandlas patient- och receptuppgifter samt socialvårdsuppgifter, och därför inverkar förordningen direkt även på Kanta.

”Dataskyddet och informationssäkerheten i samband med Kanta-tjänsterna är redan nu på god basnivå. De personuppgifter, t.ex. recept- och patientuppgifter, som behandlas inom Kanta-tjänsterna har reglerats i lag ända sedan man började bygga upp Kanta för tio år sedan. Utifrån detta handlar tillämpningen av dataskyddsförordningen närmast om att uppdatera de nuvarande funktionerna för att de ska motsvara de nya EU-reglerna”, säger projektchef Kari Toivola på FPA:s Kanta-tjänster.

Känsliga uppgifter skyddas minutiöst

Personuppgifter indelas i vanliga uppgifter och känsliga uppgifter. Enligt förordningen är uppgifter om hälsa känsliga uppgifter och för dem gäller strängare dataskyddsregler än för vanliga personuppgifter. Känsliga personuppgifter ska skyddas och logguppgifter registreras särskilt noggrant.

Inom Kanta-tjänsterna har man redan i över ett års tid haft en arbetsgrupp som förberett införandet av dataskyddsförordningen. Av de brister som observerats åtgärdas de viktigaste före 25 maj och återstoden snarast möjligt enligt en uppgjord plan.

”På sätt och vis börjar det egentliga arbetet dock först efter den 25 maj, när kraven i förordningen börjar omsättas i praktiken. Dataskyddets nivå höjs permanent, och detta förutsätter fortlöpande underhåll, uppföljning och övervakning av dataskyddsförordningens krav. Det kan ta lång tid att förankra dataskyddsrutinerna och avdela resurser för det höjda dataskyddet samt specificera och organisera arbetsuppgifterna”, säger Toivola.

Dataskyddsförordningen för med sig nya processer

På FPA och inom Kanta-tjänsterna pågår ett systematiskt förankringsarbete åtminstone fram till utgången av 2018. Alla anställda borde behärska principerna i dataskyddsförordningen och känna till vilka krav som gäller särskilt för deras eget arbetsområde. I och med förordningen införs vissa helt nya processer, varav de viktigaste är att observera och anmäla personuppgiftsincidenter, bedöma risken med avseende på medborgarens rättigheter, göra konsekvensbedömningar avseende systemen och beakta dataskyddet i all verksamhet börjande med planeringen. Dessutom har man på FPA utsett ett dataskyddsombud och preciserat den registeransvariges och personuppgiftsbehandlarens uppgifter.

”En annan viktig sak är ansvarsskyldigheten, som förutsätter att funktioner som rör personuppgifter noggrant dokumenteras och att dokumenten hålls uppdaterade. Alla måste kunna visa att dokumenten efterlevs även i praktiken”, tillägger Toivola.

Webbplatsen Kanta.fi uppdateras för att motsvara dataskyddsförordningen

De förändringar dataskyddsförordningen medför inverkar inte nämnvärt på medborgarnas användning av Kanta-tjänsterna. Det handlar närmast om att medborgarnas rättigheter till sina egna personuppgifter preciseras och att kraven på dem som behandlar uppgifterna skärps. För medborgarna märks detta i form av information.

”Bland annat uppdaterar vi dataskyddsbeskrivningarna för uppgifter som lagrats i Kanta-registren. I beskrivningarna anges vilka uppgifter som sparas i registren, hur de behandlas och vilka rättigheter medborgarna har till sina uppgifter. Som helhet uppdateras webbplatsen Kanta.fi under juni månad”, säger Toivola.

Dataskyddsförordningen gäller direkt också social- och hälsovårdsaktörerna, som var och en på sitt håll självständigt börjar tillämpa förordningen. Förordningen ändrar inte de inbördes relationerna mellan Kanta-tjänsterna och social- och hälsovårdsaktörerna; därför har bara små ändringar gjorts i tjänstebeskrivningarna mellan Kanta-tjänsterna å ena sidan och social- och hälsovården och apoteken å andra sidan samt i de allmänna leveransvillkoren.

EU:s dataskyddsförordning i ett nötskal

  • Förordningen har varit i kraft sedan 2016 men från 25 maj 2018 blir det obligatoriskt att tillämpa den i alla EU-medlemsländer.
  • Syftet är att förenhetliga och förtydliga behandlingen av personuppgifter inom EU.
  • Rättigheterna utökas för medborgarna och skyldigheterna skärps för de registeransvariga och för dem som behandlar personuppgifter.
  • Förordningen påverkar alla aktörer som har att göra med personuppgifter inom den privata och offentliga sektorn.
  • Förordningen kompletteras av en dataskyddslag som träder i kraft. Efter det tolkas dataskyddsförordningen och dataskyddslagen tillsammans.
  • Dataskyddsförordningen definierar de centrala dataskyddsprinciper som ska efterlevas vid behandlingen av personuppgifter. Efterlevnaden ska kunna påvisas genom exempelvis dokumentation.
  • Dataskyddsprinciperna skyddar medborgarnas personliga integritet och rätt till sina egna uppgifter och skapar klara regler för de aktörer som behandlar personuppgifter.
  • Läs mer: www.tietosuoja.fi, www.eugdpr.org och vm.fi/juhta-vahti-yhteishankkeiden-materiaali.