Dataskyddsenkäten stöder dataskyddsombudens arbete
Kanta-tjänsternas dataskyddsenkät 2019 visar att det fortfarande finns saker att förbättra i dataskyddsarbetet. Också dataskyddsförordningen förde med sig nya arbetsuppgifter för dataskyddsombuden inom social- och hälsovården och på apoteken.
I början av året genomfördes redan för femte gången en dataskyddsenkät som riktar sig till verksamhetsenheter för social- och hälsovård samt apotek som anslutit sig till Kantas Recepttjänst. Enkäten besvaras av organisationernas dataskyddsombud (dataskyddsansvariga) och av självständiga yrkesutövare.
”I år ändrades dataskyddsenkäten till en begäran om utredning i frågeform enligt lagen om elektroniska recept. Som registeransvarig har FPA skyldighet att ordna med uppföljning och övervakning av dataskyddet, och genom att betona rapporteringsskyldigheten kan vi bättre försäkra oss om att dataskyddet uppfylls i kundorganisationerna. Samtidigt steg svarsaktiviteten till 64 procent, vilket ur vår synvinkel redan är ett bra resultat”, säger Tiina Apponen som är dataskyddsombud för Kanta-tjänsterna.
Dataskyddsenkäten görs upp av FPA:s Kanta-tjänster tillsammans med dataombudsmannens byrå och Institutet för hälsa och välfärd (THL). Enkätsvaren ger viktig information om läget i fråga om dataskyddet i de organisationer som använder det elektroniska receptet.
Dessutom fungerar enkäten som ett övergripande rättesnöre för dataskyddsombuden, eftersom den täcker en stor del av de delområden och arbetsuppgifter som hör till arbetet.
”Med hjälp av dataskyddsenkäten får vi en bättre uppfattning om vad som verkligen händer ute på fältet. Vi kan också utnyttja informationen från enkäten till exempel när vi utarbetar handledningsmaterial. Vi kan alltså både få förstahandsinformation från organisationerna och ge dataskyddsombuden verktyg för deras vardag”, säger överinspektör Tanja Muotka på dataombudsmannens byrå.
Dataskyddsförordningen breddade dataskyddsombudets roll
Som helhet är resultaten av dataskyddsenkäten goda. Det har skett en utveckling jämfört med tidigare år, bland annat observerades inte längre några nämnvärda brister i utarbetandet av skriftliga anvisningar. En delförklaring till detta är att dataskyddsförordningen som trädde i kraft i maj 2018 uttryckligen betonar dokumentationen av anvisningar och utbildningsplaner. Dataskyddsförordningen har också breddat dataskyddsombudets roll överlag och betonat dennas ställning i organisationen. En ny arbetsuppgift som tillkom i dataskyddsarbetet var konsekvensbedömning (tietosuoja.fi).
”Av enkätresultaten går det att utläsa att man i organisationerna har ägnat uppmärksamhet åt de grundläggande sakerna och lyckats bra med att genomföra dem, men att man kanske ännu inte har hunnit reagera på konsekvensbedömningen. Härnäst borde man därför ägna uppmärksamhet åt konsekvensbedömningen och utbilda sig för den samt satsa på anvisningar om den”, säger Tiina Apponen.
Dataskyddsombudens verksamhetsmiljö varierar beroende på om de arbetar på apotek, inom den offentliga eller privata sektorn inom social- och hälsovården eller som självständiga yrkesutövare. Ju större organisation, desto oftare räcker enligt enkätresultaten dataskyddsombudets tid inte till för att sköta arbetsuppgifterna. Framför allt nu när nya ansvar tillkommit borde organisationens ledning säkerställa att tillräckliga resurser har avdelats för dataskyddsombudets arbete.
Dataskyddsombudet har som sin egentliga uppgift att stödja organisationen; säkerställa att det uppkommer ett starkt förtroende för verksamheten och att det här förtroendet bevaras. Därför borde organisationerna trygga dataskyddsombudens möjligheter att sköta sin arbetsuppgift på bästa möjliga sätt, säger Tanja Muotka.
Satsningar på övervakningsverktyg behövs
Förutom behovet av tillräckliga resurser lyfter Tiina Apponen och Tanja Muotka också fram behovet av att utveckla verktygen för uppföljning och övervakning av behandlingen av uppgifter. Handlingarna som rör elektroniska recept blir allt fler och därmed även logguppgifterna. I praktiken övervakas logguppgifterna fortfarande manuellt, vilket betyder att det sist och slutligen bara är en liten del av uppgifterna som blir granskade. Övervakningsverktygen borde emellertid få allt större kapacitet för att klara av att genomföra uppföljningen och övervakningen av behandlingen av uppgifter.
”Resultaten av dataskyddsenkäten visar att övervakningsverktygen inte har utvecklats när mängden elektroniska handlingar ökat. Enligt enkätresultaten är det ytterst få organisationer som använder sig av automatisk övervakning. Ledningen borde inte bara satsa på resurserna utan också på investeringar i övervakningsverktyg”, påminner Apponen.
Det finns alltid något som skulle kunna förbättras, men i enkäten framkommer också mycket som är värt beröm. Allmänt kan det sägas att den registrerades rättigheter uppfylls på ett högklassigt sätt i alla organisationer. Om en kund skickar en begäran om utredning av logguppgifter till en organisation, behandlas begäran alltid och kunden får svar på sin förfrågan. Ett annat positivt exempel som Muotka nämner är nivån på apotekens dataskyddsarbete.
”På apoteken har man bra koll på dataskyddsarbetet och sprider flitigt god praxis. Bland annat Apotekareförbundet och andra aktörer har stora mängder anvisningar och modellmaterial som apoteken kan utnyttja. Att sprida god praxis är förstås bra inom alla sektorer.”
Alla dataskyddsombuds (dataskyddsansvarigas) kontaktuppgifter ska meddelas till dataombudsmannens byrå (tietosuoja.fi).