Dataskyddsarbetet effektiviseras i organisationerna
Lagen om klientuppgifter träder i kraft i november, vilket även effektiviserar dataskyddsarbetet. En utredning visar att det även finns utrymme för förbättring. THL samlar som bäst in utlåtanden om bestämmelserna kring datahantering.
På basen av resultaten från den senaste begäran om utredning av Recept-tjänsten finns det utrymme för förbättring i organisationernas dataskydd. Enkäter har gjorts sedan år 2015, och med stöd av lagen om elektroniska recept ändrades enkäten till begäran om utredning för ett par år sedan.
Det grundläggande problemet är att man borde satsa betydligt mer på dataskyddsarbetet.
– Efter enkäterna ser det alltid ut som om dataskyddsombudet inte har tid med sitt arbete. I organisationerna är man ännu inte så bra på att identifiera de uppgifter som hör till dataskyddsombudet, konstaterar biträdande dataombudsman Heljä-Tuulia Pihamaa vid dataombudsmannens byrå.
Dataskyddsombudet är organisationens interna och oberoende dataskyddsexpert, som följer behandlingen av personuppgifter samt hjälper personalen att iaktta dataskyddsbestämmelser.
Dataskyddsförordningens inverkan svag
Pihamaa är fundersam över att dataskyddsförordningen (GDPR) som trädde i kraft för några år sedan inte har påverkat utredningens resultat, trots att förordningen tydligt beskriver dataskyddsombudets roll och uppgifter.
Enligt Kanta-tjänsternas dataskyddsombud Tiina Apponen ser det också ut som om det krävs resurser för dataskyddsombudets arbete. Saken borde emellertid ställas i relation till organisationens storlek, som varierar från en persons arbetsplatser till gemenskaper med 2 000 arbetstagare.
– Därtill saknas bland annat skriftliga anvisningar och den interna dokumentationen borde också utarbetas. Det räcker inte med att anvisningar finns, de måste också förankras bland personalen.
Det räcker inte med att anvisningar finns. De måste också förankras bland personalen.
THL:s ledande expert Juha Mykkänen tycker att det är oroväckande att organisationerna inte verkar ha haft tillräckligt med personer som är insatta i social- och hälsovårdsärenden i planeringen av behandlingen av klientuppgifter, när dataskyddsombudets uppgiftsområde har utvidgats.
– Nog måste ett dataskyddsombud som arbetar i social- och hälsovårdsmiljö känna till social- och hälsovårdsverksamheten och datahanteringen samt de risker de medför. Dataskyddet ska vara adekvat när man pratar om social- och hälsovårdstjänsternas klientuppgifter.
Det finns utrymme för utveckling av anvisningarna för behandling av klientuppgifter. Anvisningarna utarbetas för personalen, som på basen av dem kan agera rätt i olika situationer, såsom vid besök på mottagningen eller i infon.
– Till exempel vid en personuppgiftsincident ska man kunna agera rätt och i rätt tid, betonar Apponen.
Väntar på utlåtanden om bestämmelser
Den nya lagen om klientuppgifter träder i kraft i november. THL förbereder bestämmelser kring social- och hälsovårdens datahantering före slutet av år 2021. Bestämmelserna är sex till antalet och de är som bäst ute på en sex veckors remiss, som avslutas 27.10.
– Syftet med begäran om utlåtande är att få sådan respons och förslag om förtydliganden som kan användas för att skapa de slutgiltiga versionerna av bestämmelserna som sedan kommer att träda i kraft, konstaterar Mykkänen.
Ett dokument som är ute på remiss är ett utkast om de utredningar och krav som ska inkluderas i dataskyddsplanen. Med finns även en modell av en allmän plan, som ska anpassas till organisationens egen verksamhet. Dataskyddsplanen har i tidigare författningar gått under namnet plan för egenkontroll. Enligt Mykkänen är namnbytet förtydligande.
– Social- och hälsovårdstjänsterna är skyldiga att producera även andra dokument under namnet plan för egenkontroll. Ibland har de blandats ihop med planen för dataskydd- och säkerhet samt användningen av datasystem. Bestämmelsens innehåll är förutom vissa förtydliganden i huvudsak likadan och lika viktig som bestämmelser som utarbetats på basen av tidigare författningar.
Övervakning och uppföljning saknas
Mykkänen ansåg att det var överraskande att nivån på egenkontrollen såg ut att ha sjunkit i resultaten från begäran om utredning.
– Egenkontroll är även ett verktyg för att uppfylla skyldigheterna i dataskyddsförordningen. Man måste kunna visa att behandlingen av personuppgifter har planerats som sig bör, utförts på ett säkert sätt och att anvisningar har utarbetats för ändamålet. Samma plan kan utnyttjas, iakttas och användas för att försäkra att kraven i lagen om klientuppgifter uppfylls.
THL har regelbundet ordnat utbildningar för utarbetandet av planer för egenkontroll.
– Via den respons vi har fått från utbildningarna har vi fått bra kommentarer, som vi har försökt beakta när vi utarbetat bestämmelserna. Samma slags kommentarer önskas även från remissbehandlingen.
För den omdöpta dataskyddsplanen kommer också utbildningar genast när de slutgiltiga versionerna av bestämmelserna träder i kraft.
Vad gäller övervakningen och den rekommenderade årsplanen, tycker Apponen att det verkar vara utmanande att utarbeta den, även om den som vägledande dokument skulle stödja dataskyddsombudet att organisera sin egen verksamhet. Både övervakningen och uppföljningen ska vara metodisk.
Resultaten från begäran om utredning kan berätta att endast 30 procent av organisationerna inom den offentliga sektorn och 24 procent inom den privata hälsovården hade en årsplan.
Ledningen försäkrar resurserna
Dataskyddet betonas allt mer i fortsättningen. Enligt Pihamaa ska dataskyddsombudet ges tillräckligt med tid att utföra sitt arbete för att allt ska ske i enlighet med dataskyddslagstiftningen. Dataskyddsombudet ska även ha tid att sätta sig in i de uppgifter som förväntas av hen.
– Resursfördelning är A och Ö. När dataskyddsärendena sköts på ett korrekt sätt förbättras både organisationens interna verksamhet och förtroendet utåt, säger Apponen.
När dataskyddsärendena sköts på ett korrekt sätt förbättras både organisationens interna verksamhet och förtroendet utåt.
Pihamaa betonar att dataskyddsombudets arbetsbeskrivning är omfattande: hen måste även ta hand om sina egna arbetstagare, inte enbart kunderna. Pihamaa uppmuntrar dataskyddsombudet att stärka sin egen ställning och informera organisationens ledning. Ledningens uppgift är att försäkra tillräckliga resurser för att dataskyddsombudet ska kunna utföra sin uppgift.
– Det är även fråga om respekt och värdering – man tänker bara att det ordnar sig nog. Ledningens förståelse spelar en avgörande roll. Man måste hitta sätt för att öka medvetenheten.
Mykkänen konstaterar att lagen är mycket tydlig, kraven ska helt enkelt följas.
– Om arbetet inte görs kan riskerna och följderna vara mycket stora. Ansvaret för dessa saker ligger hos verksamhetsenhetens ansvariga chef. Ledningen ska vara engagerad och försäkra tillräckliga resurser.
Inga fler klagomål och allt i sin ordning
Enligt Pihamaa kunde dataskyddsombuden öka samarbetet och upprätta nätverk.
– Då skulle det vara enklare att främja frågor inom organisationen och föra dem vidare. När allt sköts väl och stödnätverket fungerar har registrerade inget behov av att framföra klagomål, utan saker och ting kan skötas lokalt hos den personuppgiftsansvarige. Social- och hälsovårdsbranschen är nämligen ett av de största sektorerna därifrån dataombudsmannens byrå får klagomål.
Enligt Mykkänen skärper de nya bestämmelserna olika frågor.
– När saker och ting sköts enligt de nya bestämmelserna kan man förutse risker och förhindra allvarliga personuppgiftsincidenter. Just nu är ett lämpligt tillfälle att få ordning på allt, när även välfärdsområdena planeras. Datahantering och riskhantering är saker som det lönar sig att satsa på i verkställandet av social- och hälsovården.
– En årsklocka utarbetad av dataskyddsombudet skulle vara ett bra verktyg för att illustrera vad allt som sker under olika kvartal och vilka mål man har. Det kunde även underlätta arbetsbördan, funderar Apponen.