Gemensamt personuppgiftsansvarig
Folkpensionsanstalten
Nordenskiöldsgatan 12, 00250 Helsingfors
Postadress PB 450, 00056
Telefon 020 634 11
Person som sköter registerärenden eller kontaktperson
Dataskyddsansvarig för Kanta-tjänsterna
Registrets namn
Informationshanteringstjänsten
Syftet med behandlingen av personuppgifter / registrets användningsändamål
Informationshanteringstjänsten är en riksomfattande informationssystemtjänst, med vars hjälp uppgifter som är centrala för en patients vård eller för handläggningen av en klients ärende vid tillfället i fråga sammanställs av de kunduppgifter som finns arkiverade. I tjänsten administreras också handlingar som ska upprätthållas.
Varje tillhandahållare av social- och hälsovårdstjänster samt Folkpensionsanstalten (nedan FPA) är gemensamt personuppgiftsansvariga för Informationshanteringstjänsten.
FPA ansvarar i egenskap av gemensamt personuppgiftsansvarig för tillgängligheten och integriteten i fråga om uppgifterna, datainnehållets oföränderlighet samt för förvaring och utplåning av uppgifterna på det sätt som föreskrivs i 14 § i lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården (nedan kunduppgiftslagen, 784/2021). Tjänstetillhandahållare som för in uppgifter som ska sammanställas i Informationshanteringstjänsten ansvarar för att uppgifterna är korrekta och för den personuppgiftsansvariges övriga skyldigheter.
FPA är i artikel 26.1 i dataskyddsförordningen avsedd kontaktpunkt. Beträffande Informationshanteringstjänsten ansvarar FPA i egenskap av kontaktpunkt för att fullgöra och genomföra den informationsskyldighet som personuppgiftsansvariga ålagts i dataskyddslagstiftningen. FPA är också primär kontaktpunkt i begäranden som gäller de registrerades utövande av sina rättigheter och förmedlar vid behov begäran till rätt instans.
Lagstiftningen om gemensamt personuppgiftsansvar samt de tillvägagångssätt som ska följas vid gemensamt personuppgiftsansvar har behandlats i handlingen Beskrivning av det gemensamma personuppgiftsansvaret för tjänster i anslutning till Kanta-tjänsterna (pdf).
FPA genomför behandlingen av personuppgifter i enlighet med EU:s allmänna dataskyddsförordning och övriga lagar som reglerar behandlingen av personuppgifter, och med stöd av lagen om elektroniska recept.
Tillhandahållare av hälso- och sjukvårdstjänster får använda uppgifter som sparats i Informationshanteringstjänsten och som visas via den för att genomföra patientens vård. Via Informationshanteringstjänsten får uppgifter lämnas ut på det sätt som föreskrivs i 20 § i kunduppgiftslagen (784/2021). Uppgifter i Informationshanteringstjänsten får behandlas inom ramen för de åtkomsträttigheter som anges i 15 § i kunduppgiftslagen (784/2021) och i förordningen som utfärdats med stöd av paragrafen i fråga.
Uppgifter om samtycken och viljeyttringar som lagrats i Informationshanteringstjänsten kan på de villkor som bestäms i lag bland annat användas för vetenskaplig forskning, rapportering och statistik.
Uppgifter om patientens samtycken och viljeyttringar som lagrats i Informationshanteringstjänsten sparas i 12 år efter patientens död eller, om dödstidpunkten är okänd, 120 år efter patientens födelse, varefter uppgifterna förstörs.
Registrets datainnehåll
Informationshanteringstjänsten sammanställer ur journalhandlingar de patientuppgifter som är centrala för att tillhandahålla hälso- och sjukvård och skapar sammanställningar av dem för tjänstetillhandahållare som genomför patientens vård.
Centrala patientuppgifter är: diagnoser och besöksorsaker, risker, laboratorieresultat, vaccinationer, åtgärder, medicineringsuppgifter, fysiologiska mätningar och bilddiagnostiska undersökningar som dokumenterats med åtgärdskoder, uppgifter om funktionsförmågan, tidsbokningsuppgifter samt en plan för undersökning, vård och medicinsk rehabilitering eller någon annan motsvarande plan enligt 4 a § i lagen om patientens ställning och rättigheter (785/1992).
Regelmässiga uppgiftskällor
Tillhandahållare av hälso- och sjukvårdstjänster som anslutit sig till Kanta-tjänsten sparar journalhandlingar i Patientdataarkivet. Centrala patientuppgifter sammanställs ur journalhandlingar som sparats i Patientdataarkivet.
Regelmässig utlämning av uppgifter och dataöverföring utanför EU och Europeiska ekonomiska samarbetsområdet
Tillhandahållare av hälso- och sjukvårdstjänster kan använda sammanställningar av patientuppgifter som finns i Informationshanteringstjänsten för att genomföra patientens vård. Förbud som en patient meddelat visas inte via Informationshanteringstjänsten.
Via Informationshanteringstjänsten får uppgifter lämnas ut på det sätt som föreskrivs i kunduppgiftslagen. För att uppgifter ska kunna lämnas ut förutsätts att det har datatekniskt säkerställts att en vårdrelation existerar mellan patienten och den som framställt begäran om utlämnande.
I bilaga 1 i slutet av dataskyddsbeskrivningen finns en sammanställning av de situationer då uppgifter enligt kunduppgiftslagen och övrig lagstiftning kan lämnas ut från Informationshanteringstjänsten samt av grunderna för utlämnande av uppgifter och utlämningssättet.
Uppgifter överförs inte utanför EU och Europeiska ekonomiska samarbetsområdet.
Principer för skydd av registret
Uppgifterna i Informationshanteringstjänsten är sekretessbelagda och gäller enskilda personers hälsotillstånd.
Organisatoriska skyddsprinciper
Tillhandahållarna av social- och hälsovårdstjänster samt FPA följer och övervakar var och en för sitt vidkommande lagenligheten i behandlingen av uppgifter, och varje aktör har en informationssäkerhetsplan för att trygga dataskyddet och informationssäkerheten. FPA och tillhandahållaren av social- och hälsovårdstjänster har utsett en dataskyddsansvarig.
FPA och den ansvariga föreståndaren hos tillhandahållaren av social- och hälsovårdstjänster meddelar skriftliga anvisningar om behandlingen av uppgifter i Informationshanteringstjänsten samt sörjer för att de anställda har tillräcklig sakkunskap och kompetens när patientens uppgifter behandlas.
FPA och tillhandahållaren av social- och hälsovårdstjänster vidtar självmant nödvändiga åtgärder, om uppgifter i Informationshanteringstjänsten lagstridigt har lästs, använts eller lämnats ut.
För uppföljning och övervakning har tillhandahållare av social- och hälsovårdstjänster som använder Informationshanteringstjänsten rätt att få logguppgifter från FPA till den del anställda hos tjänstetillhandahållaren i fråga har läst och behandlat uppgifter i Informationshanteringstjänsten.
Tekniska skyddsprinciper
Läsning, lagring och annan behandling av uppgifterna i Informationshanteringstjänsten förutsätter en stark identifieringsmetod som specificerar den som behandlar uppgifterna samt att tillhandahållaren av hälso- och sjukvårdstjänster samt FPA administrerar åtkomsträttigheterna som hänför sig till systemet.
Myndigheten för digitalisering och befolkningsdata svarar för autentiserings- och certifikattjänsterna i fråga om Kanta-tjänsterna.
Tillhandahållarna av hälso- och sjukvårdstjänster samt FPA svarar för egen del för administreringen av åtkomsträttigheterna.
Logguppgifter lagras över all läsning och behandling av uppgifter i Informationshanteringstjänsten.
Fysiska skyddsprinciper
Uppgifterna i Informationshanteringstjänsten är tekniskt skyddade mot ändring och radering.
FPAs lokaler med utrustning och uppgifterna finns fysiskt i Finland. FPAs tekniska administratörer har begränsat tillträde till de lokaler som de behöver ha tillträde till för att kunna sköta sina arbetsuppgifter.
Tillgång till uppgifter
Kunden har möjlighet att via tjänsten Mina Kanta-sidor läsa en sammanställning av de uppgifter som sparats i Informationshanteringstjänsten.
Kunden har rätt att kontrollera de uppgifter som sparats om honom eller henne i Informationshanteringstjänsten. Tjänstetillhandahållaren är personuppgiftsansvarig för de uppgifter som uppkommit i tjänstetillhandahållarens verksamhet och ansvarar som gemensamt personuppgiftsansvarig för att de uppgifter som sammanställs från Informationshanteringstjänsten är korrekta.
Om kunden utövar sin rätt att kontrollera uppgifter, riktas begäran om detta till den tjänstetillhandahållare som ansvarar för att de införda uppgifterna är korrekta samt för den personuppgiftsansvariges övriga skyldigheter. Tjänstetillhandahållaren ska förse kunden med de uppgifter som sparats om honom eller henne i enlighet med dataskyddsförordningen.
Begäran om kontroll av uppgifter kan göras med en särskild blankett, som fås från tjänstetillhandahållare som anslutit sig till Kanta-tjänsterna samt från FPA:s kontor. Vid behov kan begäran om kontroll av uppgifter som sparats i Informationshanteringstjänsten riktas till FPA (Registratorskontoret, PB 450, 00056 FPA). Begäran kan också framställas till FPA:s registratorskontor via telefon eller e-post (kirjaamo@kela.fi). FPA hänvisar begäran till den tjänstetillhandahållare som ansvarar för att de införda uppgifterna är korrekta.
Svaret på begäran om kontroll av uppgifter lämnas i regel avgiftsfritt.
Rätt att få felaktiga uppgifter rättade
Kunden har rätt att begära att en felaktig uppgift som finns i Informationshanteringstjänsten rättas till. Om kunden eller kundens lagliga företrädare begär att ett fel rättas till och den felaktiga uppgiften baserar sig på en anteckning som gjorts av en serviceproducent inom hälso- och sjukvården ska begäran om rättelse riktas till den serviceproducent som gjort den felaktiga anteckningen.
FPA är kontaktpunkt för den registrerade i egenskap av gemensamt personuppgiftsansvarig. Därmed kan begäran om rättelse lämnas skriftligt till FPA (Registratorskontoret, PB 450, 00056 FPA). Vid behov hänvisar FPA den inlämnade begäran om rättelse till den tjänstetillhandahållare i vars verksamhet anteckningen som begäran om rättelse gäller har uppkommit.
Om kundens begäran om rättelse inte godkänns, kan kunden föra ärendet till den behöriga tillsynsmyndigheten för behandling.
Rätt att klaga hos tillsynsmyndigheten
Om en kund anser att de tillämpliga dataskyddsreglerna överträds vid behandlingen av hans eller hennes personuppgifter, har kunden rätt att anföra klagomål hos den behöriga tillsynsmyndigheten i enlighet med artikel 77 i dataskyddsförordningen och 21 § i dataskyddslagen. I Finland är dataombudsmannen tillsynsmyndighet.
Övriga rättigheter i anslutning till behandling av personuppgifter
I tjänsten Mina Kanta-sidor kan kunden läsa de uppgifter som sammanställts i Informationshanteringstjänsten och se till vilken tjänstetillhandahållare uppgifterna har lämnats ut.
Kunden har rätt att få veta till vem uppgifter som lagrats om honom eller henne i Informationshanteringstjänsten har lämnats ut. Kunden får veta detta genom att göra en begäran om logguppgifter till FPA.
Begäran om logguppgifter kan göras med en särskild blankett, som fås från verksamhetsenheter för social- och hälsovård som anslutit sig till Kanta-tjänsterna samt från FPA:s kontor. Begäran om logguppgifter riktas till FPA (Registratorskontoret, PB 450, 00056 FPA). Begäran kan också framställas till FPA:s registratorskontor via telefon eller e-post (kirjaamo@kela.fi). Svaret på begäran om logguppgifter lämnas i regel avgiftsfritt.
Tillhandahållare av social- och hälsovårdstjänster är personuppgiftsansvariga för användningsloggar som uppkommit i deras verksamhet. Om kundens begäran om logguppgifter gäller användningslogguppgifter, riktas begäran till tjänstetillhandahållaren i fråga.
Kunden har inte rätt att utan särskild orsak få logguppgifter som är äldre än två år. Kunden får inte för något annat ändamål än för att utreda eller utöva sina rättigheter i anslutning till behandlingen av sina kunduppgifter använda eller lämna vidare logguppgifter som han eller hon fått.
Om kunden på grundval av logguppgifterna anser att hans eller hennes uppgifter har använts eller lämnats ut utan tillräckliga grunder, kan kunden vända sig till vederbörande tjänstetillhandahållare och begära en utredning av saken.
Kunden har rätt att få samma uppgifter på nytt om det finns grundad anledning till det med tanke på kundens intressen och rättigheter. För de uppgifter som lämnas ut på nytt får FPA ta ut en avgift som motsvarar kostnaderna för utlämnandet av uppgifterna.
Informationshanteringstjänsten är en lagstadgad tjänst som FPA genomför och upprätthåller (kunduppgiftslagen). FPAs verksamhet baserar sig på nationell lagstiftning. På grund av dessa orsaker tillämpas inte den registrerades rätt att få uppgifter raderade med stöd av artikel 17 i EU:s allmänna dataskyddsförordning och inte den registrerades rätt att överföra uppgifter till ett annat system med stöd av artikel 20 i den förordningen på uppgifter som finns i Informationshanteringstjänsten.