Dataskyddsbeskrivning för Receptcentret

Dataskyddsbeskrivning för Receptcentret

Den här är den gällande dataskyddsbeskrivningen för Receptcentret. Beskrivningen har senast uppdaterats 12.7.2022.

Personuppgiftsansvarig

Folkpensionsanstalten

Nordenskiöldsgatan 12, 00250 Helsingfors
Postadress PB 450, 00056 FPA
Telefon 020 634 11

Person som sköter registerärenden eller kontaktperson

Om kunden har frågor om registerärenden i anslutning till Receptcentret, kan kunden kontakta Kanta-tjänsternas kundtjänst asiakaspalvelu@kanta.fi.

I ärenden som gäller den registrerades rättigheter kan den registrerade skicka förfrågningar per e-post till Kanta-tjänsternas dataskyddsansvarige tietosuoja@kanta.fi.

Registrets namn

Receptcentret

Syftet med behandlingen av personuppgifter och grunden för behandlingen

Receptcentret är en databas som består av elektroniska recept som lagrats av läkemedelsförskrivarna, av recept som apoteken har lagrat, av uppgifter om läkemedel som överlåtits till patienter av tillhandahållare av socialvårdstjänster och hälso- och sjukvårdstjänster, av expedieringsuppgifter som fogats till recepten och av anteckningar som hänför sig till en bedömning av läkemedelsbehandlingen.

Registrets syfte är att möjliggöra lagring och förvaring av elektroniska recept samt uppgifter om expediering och förnyelse av recept i ett receptcenter på riksnivå enligt lagen om elektroniska recept. Elektroniska recept som sparats i Receptcentret kan expedieras på vilket apotek som helst som har infört elektroniska recept samt på apotek i europeiska länder som avses i 23 a § i lagen om elektroniska recept, i enlighet med det samtycke som personen meddelat på Mina Kanta-sidor.

Elektroniska recept jämte expedieringsuppgifter som finns lagrade i Receptcentret kan dessutom på vissa i lagen om elektroniska recept angivna villkor användas bl.a. för kartläggning av patientens samlade medicinering, för myndighetstillsyn av social- och sjukvården samt apoteken samt för vetenskaplig forskning, rapportering och statistik.

Uppgifter som sparats i Receptcentret förvaras i Receptcentret i 20 år, varefter uppgifterna utplånas. På apoteket är uppgifterna tillgängliga i 42 månader från det att receptet gjordes upp. Kunden kan se sina receptuppgifter på Mina Kanta-sidor.

Enligt 18 § i lagen om elektroniska recept (61/2007) är Folkpensionsanstalten (nedan FPA) gemensamt personuppgiftsansvarig för Receptcentret tillsammans med apoteken, tjänstetillhandahållare som gör upp elektroniska recept samt självständiga läkemedelsförskrivare.

FPA svarar för användbarheten och integriteten hos uppgifterna i Receptcentret, för att datainnehållet hålls oförändrat samt för lagringen av uppgifterna och för att uppgifterna raderas efter bevarandetidens utgång.

Tjänstetillhandahållare och självständiga läkemedelsförskrivare som gör upp elektroniska recept ansvarar för riktigheten av uppgifterna i recept som sparas i Receptcentret. Det apotek som expedierat ett läkemedel ansvarar för riktigheten av de expedieringsuppgifter som lagras i Receptcentret.

FPA är i artikel 26.1 i dataskyddsförordningen avsedd kontaktpunkt för de registrerade. Beträffande personuppgifter som samlats in i Receptcentret ansvarar FPA i egenskap av kontaktpunkt för att fullgöra och genomföra den informationsskyldighet som personuppgiftsansvariga ålagts i dataskyddslagstiftningen. FPA är också primär kontaktpunkt i begäranden som gäller de registrerades utövande av sina rättigheter och förmedlar vid behov begäran till rätt instans.

Lagstiftningen om gemensamt personuppgiftsansvar samt de tillvägagångssätt som ska följas vid gemensamt personuppgiftsansvar har behandlats i Beskrivning av det gemensamma personuppgiftsansvaret för tjänster i anslutning till Kanta-tjänsterna (pdf).

FPA genomför behandlingen av personuppgifter i enlighet med EU:s allmänna dataskyddsförordning och övriga lagar som reglerar behandlingen av personuppgifter, och med stöd av lagen om elektroniska recept.

Registrets datainnehåll

I Receptcentret lagras elektroniska recept jämte expedieringsuppgifter och begäranden om förnyelse i enlighet med lagen om elektroniska recept. Patientens basuppgifter sparas på alla receptdokument: Namn, personbeteckning (om sådan finns), födelsedatum och kön. I bilaga 1 som följer efter denna beskrivning finns registrets datainnehåll samt datagrupperingar samlade.

Regelmässiga uppgiftskällor

Ett elektroniskt recept kan skrivas ut av läkare, tandläkare, medicine eller odontologie studerande som har rätt att ordinera läkemedel eller sjukskötare vars rätt att ordinera läkemedel har verifierats.

Apoteket är skyldigt att lagra recept som tagits emot på papper eller per telefon och tillhörande expedieringsuppgifter i Receptcentret om receptet har getts skriftligen eller per telefon till exempel på grund av en teknisk störning eller någon annan orsak. Expedieringsanteckningarna på receptet görs och lagras på apoteket av en provisor eller farmaceut.

Regelmässig utlämning av uppgifter och dataöverföring utanför EU och Europeiska ekonomiska samarbetsområdet

FPA får utan hinder av sekretessbestämmelserna och andra bestämmelser som gäller användning av uppgifterna i egenskap av Receptcentrets gemensamma personuppgiftsansvarig på begäran lämna ut recept- och expedieringsuppgifter till en myndighet och för vetenskaplig forskning.

I bilaga 2 i slutet av denna beskrivning redogörs för sådana i lagen om elektroniska recept och annan lagstiftning avsedda fall där uppgifter om recept och expedieringar får lämnas ut, samt för grunden för utlämnande av uppgifter och för utlämningssättet.

Uppgifter överförs inte utanför EU och Europeiska ekonomiska samarbetsområdet.

Principer för skydd av registret

Uppgifterna i Receptcentret är sekretessbelagda och gäller enskilda personers hälsotillstånd.

Organisatoriska skyddsprinciper

FPA, tjänstetillhandahållaren inom social- och hälsovården samt apoteket ska ha en informationssäkerhetsplan för att trygga dataskyddet och informationssäkerheten. FPA, tjänstetillhandahållaren inom social- och hälsovården samt apoteket ska ha utsett en dataskyddsansvarig.

Tjänstetillhandahållarens ansvariga direktör, apotekaren och Folkpensionsanstalten ska ge skriftliga anvisningar om behandlingen av kunduppgifter och de förfaringssätt som ska iakttas samt sörja för att de anställda har tillräcklig sakkunskap och kompetens när patientens uppgifter behandlas.

Den personuppgiftsansvarige, verksamhetsenheten och apoteket ska på eget initiativ vidta nödvändiga åtgärder om uppgifter som lagrats i Receptcentret har lästs, använts eller lämnats ut olagligt.

För att genomföra uppföljningen och övervakningen har social- och hälsovårdsenheten och apoteket rätt att av Folkpensionsanstalten få logguppgifter till den del som verksamhetsenhetens eller apotekets personal läst och behandlat uppgifter som finns i Receptcentret.

Ett apotek som är verksamt i ett annat europeiskt land har kontakt med Receptcentret via det ifrågavarande landets och Finlands nationella kontaktpunkter. På begäran av ett annat lands kontaktpunkt utreds en felsituation vid FPA med hjälp av receptets logguppgifter i den omfattning som krävs för att reda ut problemsituationer samt för myndigheternas utredningar.

Tekniska skyddsprinciper

Läsning, lagring och annan behandling av uppgifterna i Receptcentret förutsätter en stark identifieringsmetod som specificerar den som behandlar uppgifterna samt att systemet är förenat med kontroll av åtkomsträttigheterna såväl hos tjänstetillhandahållaren inom social- och hälsovården som på apoteket och på FPA.

Myndigheten för digitalisering och befolkningsdata svarar för autentiserings- och certifikattjänsterna i fråga om de elektroniska recepten.

Tjänstetillhandahållaren inom social- och hälsovården, apoteken och Folkpensionsanstalten svarar för egen del för administreringen av åtkomsträttigheterna.

Logguppgifterna om uppgifternas läsning och behandling samt utlämning inom social- och hälsovården och på apoteken lagras i Receptcentret.

Fysiska skyddsprinciper

Uppgifterna i Receptcentret är tekniskt skyddade mot ändring och radering.

FPAs lokaler med utrustning och uppgifterna finns fysiskt i Finland. FPAs tekniska administratörer har begränsat tillträde till de lokaler som de behöver ha tillträde till för att kunna sköta sina arbetsuppgifter.

Rätt att ta del av sina egna uppgifter

Enligt artikel 15 i EU:s allmänna dataskyddsförordning (2016/679) har den registrerade rätt få tillgång till de uppgifter som sparats om honom eller henne i Receptcentret.

Personen kan uträtta ärenden med fullmakt eller som laglig företrädare för en myndig person och be om rätt att ta del av de uppgifter som sparats i Receptcentret. Företrädarens begäran om information förutsätter att företrädaren har rätt att företräda sin huvudman i ärendet i fråga. FPA kontrollerar personens rätt att få uppgifterna. Utlämning av uppgifter kan vägras på lagstadgade grunder.

Vårdnadshavaren kan be om rätt att ta del av uppgifter som sparats om en minderårig i Receptcentret. FPA kontrollerar att vårdnaden är giltig när vårdnadshavaren begär uppgifterna. Utlämning av uppgifter kan vägras på lagstadgade grunder.

Begäran om information kan göras med en blankett som finns tillgänglig hos tillhandahållare av social- och hälsovårdstjänster, apotek och FPA:s kundserviceställen som anslutit sig till Kanta-tjänsten. Begäran riktas till FPA (registratorskontoret, PB 450, 00056 FPA).

Begäran om information kan också formuleras fritt genom att kontakta FPA:s registratorskontor per telefon eller e-post (kirjaamo@kela.fi).

Svaret på begäran skickas inom en månad från att begäran har inkommit för behandling till FPA. Om uppgifterna av motiverat skäl inte kan lämnas inom denna tidsfrist, kan behandlingen av ärendet förlängas med högst två månader.

Rätt att kräva att felaktiga uppgifter ska rättas

Enligt artikel 16 i EU:s allmänna dataskyddsförordning (2016/679) har den registrerade rätt att få felaktiga personuppgifter som rör honom eller henne rättade.

Personen kan med en fullmakt eller som laglig företrädare för en myndig person begära att felaktiga uppgifter rättas. Vårdnadshavaren kan begära att felaktiga uppgifter om en minderårig rättas.

Felaktiga recept- eller expedieringsuppgifter rättas i den enhet hos tjänstetillhandahållaren inom social- och hälsovården eller på apoteket där den felaktiga dokumentationen har gjorts. Tjänstetillhandahållare och apotek ansvarar alltid för innehållet i uppgifterna de dokumenterat och att uppgifterna är korrekta. En begäran om rättelse som gäller en felaktig uppgift bör riktas till den dataskyddsansvarige hos tjänstetillhandahållaren inom social- och hälsovården eller apoteket.

FPA fungerar som den registrerades kontaktpunkt i egenskap av Receptcentrets gemensamma personuppgiftsansvarige. FPA kan ta emot en begäran om rättelse gällande en felaktig receptuppgift och förmedla den till tjänstetillhandahållaren inom hälso- och sjukvården som dokumenterat uppgiften för korrigering. Begäran om rättelse kan lämnas skriftligt till FPA (Registratorskontoret, PB 450, 00056 FPA).

När det krävs rättelse av en expedieringsuppgift som gjorts av ett apotek i ett annat europeiskt land ska begäran om rättelse lämnas skriftligt till FPA.

Om begäran om rättelse inte kan tillmötesgås skriver FPA ut ett intyg om detta till kunden. I intyget anges orsakerna till att kundens eller dennas lagliga företrädares krav inte har tillmötesgåtts. Efter att ha fått intyget kan kunden föra ärendet till den behöriga tillsynsmyndigheten för behandling.

Rätt att klaga hos tillsynsmyndigheten

Om en kund anser att de tillämpliga dataskyddsreglerna överträds vid behandlingen av hans eller hennes personuppgifter, har kunden rätt att anföra klagomål hos den behöriga tillsynsmyndigheten i enlighet med artikel 77 i dataskyddsförordningen och 21 § i dataskyddslagen. I Finland är dataombudsmannen tillsynsmyndighet.

Övriga rättigheter i anslutning till behandling av personuppgifter

I tjänsten Mina Kanta-sidor kan kunden se uppgifter som lagrats i Receptcentret och kontrollera till vilka tjänstetillhandahållare inom social- och hälsovården och apotek som uppgifter har lämnats ut.

Kunden har rätt att få veta vilka personer som har behandlat och läst uppgifter om honom eller henne som lagrats i Receptcentret genom att skicka en begäran om logguppgifter till FPA. Kunden har rätt att begära logguppgifter om hur hans eller hennes receptuppgifter som hämtats från ett annat land har behandlats på finska apotek.

En person kan uträtta ärenden med en fullmakt eller som laglig företrädare för en myndig person och begära uppgifter om vem som har behandlat och läst uppgifter som lagrats i eller lämnats ut till Receptcentret genom att göra en begäran om logguppgifter till FPA. FPA kontrollerar personens rätt att få uppgifterna. Utlämning av uppgifter kan vägras på lagstadgade grunder.

Vårdnadshavaren kan begära uppgifter om vem som behandlat och läst uppgifter om en minderårig person som lagrats i eller lämnats ut till Receptcentret genom att göra en begäran om logguppgifter till FPA. FPA kontrollerar att vårdnaden är giltig när vårdnadshavaren begär uppgifterna. Utlämning av uppgifter kan vägras på lagstadgade grunder.

Begäran om logguppgifter kan göras på blanketten för begäran om logguppgifter, som fås av tjänstetillhandahållare inom social- och hälsovården som anslutit sig till Kanta-tjänsterna, på apoteken och på FPA-kundserviceställen. Begäran om logguppgifter riktas till FPA (Registratorskontoret, PB 450, 00056 FPA). Begäran kan också framställas fritt per telefon eller e-post till FPAs registratorskontor (kirjaamo@kela.fi).

Man har inte rätt att få över två år gamla logguppgifter om det inte finns särskilda skäl till det. Kunden får inte för något annat ändamål använda eller vidareutlämna logguppgifter som han eller hon erhållit.

Om kunden utifrån logguppgifterna anser att hans eller hennes uppgifter behandlats utan tillräckliga grunder kan han eller hon begära en utredning av apoteket eller tjänstetillhandahållaren inom social- och hälsovården i fråga. Om kunden vill ha en utredning om grunderna för behandlingen av sina uppgifter när det gäller ett apotek i ett annat europeiskt land, kan begäran om utredning riktas till FPA (kirjaamo@kela.fi).

Kunden har rätt att få samma uppgifter på nytt om det finns grundad anledning till det med tanke på kundens intressen och rättigheter. För de uppgifter som lämnas ut på nytt får FPA ta ut en avgift som motsvarar kostnaderna för utlämnandet av uppgifterna.

FPA:s verksamhet och upprätthållandet av Kanta-tjänsterna grundar sig på nationell lagstiftning. På grund av dessa orsaker tillämpas inte den registrerades rätt att få uppgifter raderade med stöd av artikel 17 i EU:s allmänna dataskyddsförordning och inte den registrerades rätt att överföra uppgifter till ett annat system med stöd av artikel 20 i den förordningen på uppgifter som finns i Receptcentret. Den nationella lagstiftningen reglerar lagringstiden för uppgifterna som sparats i Receptcentret, varefter uppgifterna förstörs.

Bilagor till dataskyddsbeskrivningen

Sidan har uppdaterats 13.07.2022