Dataskyddsbeskrivning för Informationshanteringstjänsten

Dataskyddsbeskrivning för Informationshanteringstjänsten

Den här är den gällande dataskyddsbeskrivningen för Informationshanteringstjänsten. Beskrivningen har senast uppdaterats 10.7.2020.

Personuppgiftsansvarig

Folkpensionsanstalten

Nordenskiöldsgatan 12, 00250 Helsingfors
Postadress PB 450, 00056
Telefon 020 634 11

Person som sköter registerärenden eller kontaktperson

Dataskyddsansvarig för Kanta-tjänsterna
kanta@kanta.fi

Registrets namn

Informationshanteringstjänsten

Syftet med behandlingen av personuppgifter / registrets användningsändamål

Enligt 14 a § i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007) svarar Folkpensionsanstalten (i fortsättningen FPA) för Informationshanteringstjänsten och är personuppgiftsansvarig för den.

FPA genomför behandlingen av personuppgifter i enlighet med EU:s allmänna dataskyddsförordning och övriga lagar som reglerar behandlingen av personuppgifter, och med stöd av lagen om elektroniska recept.

Tillhandahållare av hälso- och sjukvårdstjänster får i samband med anordnandet och tillhandahållandet av hälso- och sjukvård för klienten använda de uppgifter som finns i Informationshanteringstjänsten eller som kan ses via tjänsten. Klienten kan se och uppdatera sina uppgifter om samtycken och viljeyttringar i Informationshanteringstjänsten via tjänsten Mina Kanta-sidor.

Uppgifter om samtycken och viljeyttringar som lagrats i Informationshanteringstjänsten kan på de villkor som bestäms i lag bland annat användas för vetenskaplig forskning, rapportering och statistik.

Uppgifter om patientens samtycken och viljeyttringar som lagrats i Informationshanteringstjänsten sparas i 12 år efter patientens död eller, om dödstidpunkten är okänd, 120 år efter patientens födelse, varefter uppgifterna förstörs.

Registrets datainnehåll

I Informationshanteringstjänsten lagras uppgift om att patienten informerats om de nationella datasystemstjänsterna (Kanta-tjänsterna, dvs. Patientdataarkivet, Recept och Mina Kanta-sidor). I tjänsten lagras uppgift om att patienten informerats om det gemensamma registret, som är en gemensam helhet av patientdataregister för de personuppgiftsansvariga inom den kommunala hälso- och sjukvården på sjukvårdsdistriktets område.

I tjänsten lagras patientens samtycke till utlämnande av patientuppgifter, återtagande av samtycke, förbud mot att lämna ut patientuppgifter och återtagande av förbud. I tjänsten lagras också patientens livstestamente och hans eller hennes donationsvilja.

Dessutom lagras i Informationshanteringstjänsten uppgifter om informering och samtycke som gäller patientens elektroniska recept.

Regelmässiga uppgiftskällor

De tillhandahållare av tjänster inom hälso- och sjukvården som anslutit sig till Kanta-tjänsterna lagrar uppgifter om patientens samtycken och viljeyttringar i Informationshanteringstjänsten. I tjänsten Mina Kanta-sidor kan patienten lagra uppgift om mottagande av information om Kanta-tjänsterna. Dessutom kan patienten lagra uppgifter om  viljeyttringar, samtycke till utlämnande av patientuppgifter, återtagande av samtycke, förbud mot att lämna ut patientuppgifter och återtagande av förbud. Patienten kan även lagra uppgift om mottagande av information om Gränsöverskridande recept, samtycke gällande Gränsöverskridande recept och förbud mot att lämna ut uppgifter i elektroniska recept.

Regelmässig utlämning av uppgifter och dataöverföring utanför EU och Europeiska ekonomiska samarbetsområdet

Tillhandahållare av hälso- och sjukvårdstjänster kan i samband med anordnandet och tillhandahållandet av hälso- och sjukvård för patienten använda de uppgifter som finns i Informationshanteringstjänsten eller som kan ses via tjänsten. Utlämnande av uppgifter ska grunda sig på patientens samtycke, på 13 § 3 mom. 3 punkten i patientlagen eller på någon annan bestämmelse som ger rätt till utlämnande. De uppgifter beträffande vilka patienten förbjudit utlämnande visas inte via Informationshanteringstjänsten.

För att uppgifter ska kunna lämnas ut förutsätts att det har datatekniskt säkerställts att en vårdrelation existerar mellan patienten och den som framställt begäran om utlämnande.

I bilaga 1 i slutet av denna beskrivning redogörs för sådana i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården och annan lagstiftning avsedda situationer där uppgifter om patientens samtycken och viljeyttringar får lämnas ut, samt för grunden för utlämnande av uppgifter och för utlämningssättet.

Uppgifter överförs inte utanför EU och Europeiska ekonomiska samarbetsområdet.

Principer för skydd av registret

Uppgifterna i Informationshanteringstjänsten är sekretessbelagda och gäller enskilda personers hälsotillstånd.

Organisatoriska skyddsprinciper

Den ansvariga föreståndaren för tillhandahållaren av hälso- och sjukvårdstjänster meddelar skriftliga anvisningar om behandlingen av uppgifterna samt sörjer för att de anställda har tillräcklig sakkunskap och kompetens när de behandlar patientens uppgifter.

Tillhandahållaren av hälso- och sjukvårdstjänster samt FPA kontrollerar och övervakar för egen del att datasekretessen och datasäkerheten i anslutning till de tjänster som tillhandahålls blir tillgodosedda. Tillhandahållaren av hälso- och sjukvårdstjänster samt FPA har en utnämnd dataskyddsansvarig för uppföljnings- och övervakningsuppgiften.

Tekniska skyddsprinciper

Läsning, lagring och annan behandling av uppgifterna i Informationshanteringstjänsten förutsätter en stark identifieringsmetod som specificerar den som behandlar uppgifterna samt att tillhandahållaren av hälso- och sjukvårdstjänster samt FPA administrerar åtkomsträttigheterna som hänför sig till systemet.

Myndigheten för digitalisering och befolkningsdata svarar för autentiserings- och certifikattjänsterna i fråga om Kanta-tjänsterna.

Tillhandahållarna av hälso- och sjukvårdstjänster samt FPA svarar för egen del för administreringen av åtkomsträttigheterna.

Logguppgifter lagras över all läsning och behandling av uppgifter i Informationshanteringstjänsten.

Fysiska skyddsprinciper

Uppgifterna i Informationshanteringstjänsten är tekniskt skyddade mot ändring och radering.

FPAs lokaler med utrustning och uppgifterna finns fysiskt i Finland. FPAs tekniska administratörer har begränsat tillträde till de lokaler som de behöver ha tillträde till för att kunna sköta sina arbetsuppgifter.

Tillgång till uppgifter

En patient har rätt att bekanta sig med uppgifter om honom eller henne som lagrats i Informationshanteringstjänsten. Begäran kan göras på blanketten för kontrollbegäran, som fås på de verksamhetsenheter inom hälso- och sjukvården som anslutit sig till Kanta-tjänsterna och på FPA-byråerna. Begäran om att kontrollera sina uppgifter i Informationshanteringstjänsten riktas till FPA (registratorskontoret, PB 450, 00056 FPA). Begäran kan framställas per telefon eller e-post till FPAs registratorskontor (kirjaamo@kela.fi). Svaret på begäran om kontroll lämnas i regel avgiftsfritt.

Rätt att begära att en uppgift rättas

Patienten har rätt att begära att en felaktig uppgift som finns i Informationshanteringstjänsten rättas till. Om patienten eller patientens lagliga företrädare kräver att ett fel rättas till och den felaktiga uppgiften baserar sig på en anteckning som gjorts av en serviceproducent inom hälso- och sjukvården ska begäran om rättelse riktas till den serviceproducent som gjort den felaktiga anteckningen.

I annat fall lämnas begäran om rättelse in hos FPA (registratorskontoret, PB 450, 00056 FPA). Om begäran om rättelse inte kan accepteras ger FPA patienten ett intyg om vägran. Av intyget om vägran framgår orsakerna till att patienten eller dennes företrädares yrkande inte godkänts. Efter att ha fått intyget om vägran kan patienten föra ärendet till den behöriga tillsynsmyndigheten.

Rätt att klaga hos tillsynsmyndigheten

Om en patient anser att den tillämpliga dataskyddsregleringen (artiklarna 12-22 i EU:s allmänna dataskyddsförordning) överträds vid behandlingen av hans eller hennes personuppgifter, har patienten rätt att anföra klagomål hos den behöriga tillsynsmyndigheten. I Finland är dataombudsmannen tillsynsmyndighet.

Övriga rättigheter i anslutning till behandling av personuppgifter

I tjänsten Mina Kanta-sidor kan patienten se uppgifter som lagrats i Informationshanteringstjänsten och kontrollera till vilka hälso- och sjukvårdsenheter uppgifter har lämnats ut.

Patienten har rätt att få veta till vem uppgifter i Informationshanteringstjänsten som gäller honom eller henne har lämnats ut genom att genom att skicka en begäran om logguppgifter till FPA. Patienten har dessutom rätt att få uppgift om utlämnande av uppgifter som visas via Informationshanteringstjänsten.

Begäran om logguppgifter kan göras på blanketten för begäran om logguppgifter, som fås på de verksamhetsenheter inom hälso- och sjukvården som anslutit sig till Kanta-tjänsterna och på FPA-byråerna. Begäran om logguppgifter riktas till FPA (registratorskontoret, PB 450, 00056 FPA). Begäran kan framställas per telefon eller e-post till FPAs registratorskontor (kirjaamo@kela.fi). Svaret på begäran om logguppgifter lämnas i regel avgiftsfritt.

Man har inte rätt att få över två år gamla logguppgifter om det inte finns särskilt skäl till det. Patienten får inte för något annat ändamål använda eller vidareutlämna logguppgifter som han eller hon erhållit.

Om patienten utifrån logguppgifterna anser att hans eller hennes uppgifter behandlats utan tillräckliga grunder kan han eller hon begära en utredning av hälso- och sjukvårdsenheten i fråga.

Patienten har rätt att få samma uppgifter på nytt om det finns grundad anledning till det med tanke på patientens intressen och rättigheter. För de uppgifter som lämnas ut på nytt får FPA ta ut en avgift som motsvarar kostnaderna för utlämnandet av uppgifterna.

Informationshanteringstjänsten är en lagstadgad tjänster som FPA genomför och upprätthåller (lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården, lagen om elektroniska recept). FPAs verksamhet baserar sig på nationell lagstiftning. På grund av detta tillämpas inte den registrerades rätt att få uppgifter raderade med stöd av artikel 17 i EU:s allmänna dataskyddsförordning och inte den registrerades rätt att överföra uppgifter till ett annat system med stöd av artikel 20 i den förordningen på uppgifter som finns i Informationshanteringstjänsten.

Dataskyddsbeskrivnings bilagar

Sidan har uppdaterats 04.08.2020