Dataskyddsenkät om Recepttjänsten: dataskyddet tillgodoses väl på vårdfältet
I början av året genomförde FPA en dataskyddsenkät bland dataskyddsombud och självständiga yrkesutövare som är kunder i Recepttjänsten. Det var frivilligt att svara på enkäten och svarsaktiviteten var 27 procent.
Dataskyddsenkäten om Recepttjänsten utarbetades i samarbete mellan Kanta-tjänsterna, dataombudsmannens byrå och Institutet för hälsa och välfärd (THL). FPA genomförde enkäten i egenskap av anordnare av Kanta-tjänsterna och gemensamt personuppgiftsansvarig för Receptcentret med stöd av 18 och 24 § i lagen om elektroniska recept (61/2007).
Med hjälp av enkäten får dataombudsmannens byrå och THL information om hur dataskyddsombudens uppgifter sköts bland dem som arbetar inom social- och hälsovården. Utifrån resultaten kan THL utveckla utbildningsinnehåll för social- och hälsovårdspersonal. Genom resultaten får Kanta-tjänsterna information om behandlingen av uppgifter och personuppgifter som sparats i Recepttjänsten och om övervakningen av detta inom social- och hälsovårdsorganisationerna.
Begäranden om uppgifter besvaras effektivt
Största delen av respondenterna ansåg att dataskyddsombudets befattningsbeskrivning var tydligt definierad i organisationen och att personalen hade informerats om detta. Resultaten av enkäten visade att de av dataskyddsombudens uppgifter som har funnits med inom social- och hälsovårdssektorn en längre tid förstås väl, men de nyare skyldigheterna, som tydligt grundar sig på dataskyddsförordningen, har inte på samma sätt identifierats som en del av dataskyddsombudets befattningsbeskrivning. Att till exempel vara kontaktpunkt för de registrerade är en viktig uppgift och har stor betydelse för hur många frågor som kan lösas redan mellan den personuppgiftsansvarige och den registrerade, utan att det är nödvändigt att kontakta tillsynsmyndigheten.
Det är viktigt att organisationen satsar på att göra dataskyddsombudet och hens befattningsbeskrivning kända inom organisationen. Då kan de registrerades kontakter bättre styras till rätt person. Dataskyddsombudets kontaktuppgifter också bör vara lätt åtkomliga för de registrerade.
De uppgifter som enligt receptlagen ankommer på den ansvarige föreståndaren och apotekaren, till exempel att utarbeta skriftliga anvisningar om behandlingen av kunduppgifter och att se till att personalen har tillräcklig kompetens, genomförs väl bland respondenterna. Man identifierar emellertid också sådant som bör utvecklas inom ämnesområdena i de skriftliga anvisningarna och utbildningsämnena.
Det lönar sig att i anvisningar som styr verksamheten inkludera anvisningar om ansvar och uppgifter i anslutning till gemensamt personuppgiftsansvar och att utbilda personalen inom alla sektorer om detta.
Resultaten av enkäten visar att kundernas begäranden om uppgifter besvaras nästan utan undantag och att den manuella kontrollen lämpar sig väl för lösning av en enskild begäran om utredning. Antalet loggar som genereras av behandling av kunduppgifter ökar hela tiden och vid övervakningen används betydligt fler manuella än automatiska kontroller.
Antalet informationssäkerhetsplaner har minskat
I och med revideringen av kunduppgiftslagen ändrades namnet på planen för egenkontroll till informationssäkerhetsplan. I samband med detta antog THL en föreskrift om en informationssäkerhetsplan (3/2021) med tillhörande mall för att underlätta utarbetandet av informationssäkerhetsplaner. Skyldigheten att utarbeta en informationssäkerhetsplan gäller enligt kunduppgiftslagen och receptlagen alla tjänstetillhandahållare inom social- och hälsovården och alla apotek. Resultaten av enkäten visar att antalet tjänstetillhandahållare inom social- och hälsovården och antalet apotek som utarbetat informationssäkerhetsplaner har minskat jämfört med tidigare år.
Datasäkerhetsåtgärderna ska anpassas till behoven och volymerna i den egna organisationens verksamhet. En liknande filosofi passar också i en informationssäkerhetsplan; det centrala är att utarbeta en plan som passar så bra som möjligt för den egna organisations verksamhet. Enligt THL är det väsentliga att de risker som är förknippade med verksamheten har identifierats och beaktats i aktörens servicevardag.
Dataskyddsenkäten om Recepttjänsten sänds ut nästa gång i januari 2025.
Läs mer
Dataskyddsförfrågan i anslutning till Recepttjänsten 2023 - Resultat (pdf)