Tiedonhallintapalvelun tietosuojaseloste

Tiedonhallintapalvelun tietosuojaseloste

Tämä on voimassa oleva Tiedonhallintapalvelun tietosuojaseloste, joka on päivitetty 1.11.2021.

Yhteisrekisterinpitäjä

Kansaneläkelaitos

Nordenskiöldinkatu 12, 00250 Helsinki
PL 450, 00056
puh. 020 634 11

Rekisteriasioita hoitava henkilö tai yhteyshenkilö

Kanta-palvelujen tietosuojavastaava

Rekisterin nimi

Tiedonhallintapalvelu

Henkilötietojen käsittelyn tarkoitus / rekisterin käyttötarkoitus

Tiedonhallintapalvelu on valtakunnallinen tietojärjestelmäpalvelu, jonka avulla arkistoiduista asiakastiedoista koostetaan potilaan hoidon tai asiakkaan asian käsittelyn kannalta keskeiset senhetkiset tiedot. Sen lisäksi palvelussa hallinnoidaan ylläpidettäviä asiakirjoja.

Kukin sosiaali- ja terveydenhuollon palvelunantaja ja Kansaneläkelaitos (jatkossa Kela) ovat Tiedonhallintapalvelun yhteisrekisterinpitäjiä.

Kela vastaa yhteisrekisterinpitäjänä tietojen käytettävyydestä ja eheydestä, tietosisältöjen muuttumattomuudesta sekä tietojen säilyttämisestä ja hävittämisestä siten, kuin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain (jatkossa asiakastietolaki, 784/2021) 14 §:ssä säädetään. Tiedonhallintapalveluun koostettavia tietoja tallentavat palvelunantajat vastaavat tallennettavien tietojen oikeellisuudesta sekä muista rekisterinpitäjän velvoitteista.

Kela toimii tietosuoja-asetuksen 26 artiklan 1 kohdan mukaisena yhteyspisteenä. Kela vastaa yhteyspisteenä tietosuojalainsäädännössä rekisterinpitäjille asetetun informointivelvoitteen täyttämisestä ja toteuttamisesta Tiedonhallintapalvelun osalta. Lisäksi Kela toimii ensisijaisena yhteyspisteenä rekisteröityjen oikeuksien käyttämistä koskevissa pyynnöissä ja välittää pyynnön tarvittaessa oikealle taholle.

Yhteisrekisterinpitäjyyttä koskevaa lainsäädäntöä sekä yhteisrekisterinpitäjyydessä noudettavia menettelytapoja on käsitelty sitä koskevassa asiakirjassa Kuvaus Kanta-palveluihin liittyvien palvelujen yhteisrekisterinpitäjyydestä (pdf).

Kela toteuttaa henkilötietojen käsittelyn EU:n yleisen tietosuoja-asetuksen ja muun henkilötietojen käsittelyä sääntelevien lakien mukaisesti, sekä sähköisen lääkemääräyslain nojalla.

Terveydenhuollon palvelunantajat saavat käyttää Tiedonhallintapalveluun tallennettuja ja sen kautta näkyviä tietoja potilaan hoidon toteuttamista varten. Tiedonhallintapalvelun kautta saa luovuttaa tietoja siten kuin asiakastietolain (784/2021) 20 §:ssä säädetään. Tiedonhallintapalvelussa olevia tietoja saa käsitellä asiakastietolain (784/2021) 15 §:ssä säädettyjen ja pykälän nojalla annetun asetuksen määrittelemien käyttövaltuuksien puitteissa.

Tiedonhallintapalveluun tallennettuja tietoja voidaan laissa säädetyin edellytyksin hyödyntää tieteellisessä tutkimuksessa, raportoinnissa ja tilastojen laatimisessa.

Tiedonhallintapalveluun tallennettuja potilaan tietoja säilytetään 12 vuotta potilaan kuolemasta tai, jos siitä ei ole tietoa, 120 vuotta potilaan syntymästä, jonka jälkeen tiedot hävitetään.

Rekisterin tietosisältö

Tiedonhallintapalvelu koostaa potilasasiakirjoista terveydenhuollon toteuttamisen kannalta keskeiset potilastiedot ja tuottaa niistä yhteenvetoja palvelunantajille potilaan hoidon toteuttamista varten.

Keskeisiä potilastietoja ovat diagnoosit ja käyntisyyt, riskit, laboratoriotulokset, rokotukset, toimenpiteet, lääkitystiedot, fysiologiset mittaukset ja toimenpidekoodistolla kirjatut kuvantamistutkimukset, toimintakykyyn liittyvät tiedot, ajanvaraustiedot sekä potilaan asemasta ja oikeuksista annetun lain (785/1992) 4 a §:n mukainen suunnitelma potilaan tutkimuksesta, hoidosta tai kuntoutuksesta tai muu vastaava suunnitelma.

Säännönmukaiset tietolähteet

Kanta-palveluun liittyneet terveydenhuollon palvelunantajat tallentavat potilasasiakirjoja Potilastiedon arkistoon. Keskeiset potilastiedot koostetaan Potilastiedon arkistoon tallennetuista potilasasiakirjoista.

Säännönmukaiset tietojen luovutukset ja tietojen siirto EU:n tai Euroopan talousalueen ulkopuolelle

Terveydenhuollon palvelunantajat voivat käyttää Tiedonhallintapalvelussa olevia potilastietojen yhteenvetoja potilaan hoidon toteuttamista varten. Potilaan kieltämiä tietoja ei näytetä Tiedonhallintapalvelun kautta.

Tiedonhallintapalvelun kautta saa luovuttaa tietoja siten kuin asiakastietolaissa säädetään. Tietojen luovutus edellyttää, että hoitosuhteen olemassaolo potilaan ja luovutuspyynnön esittäjän välillä on tietoteknisesti varmistettu.

Selosteen lopussa olevaan liitteeseen 1 on koottu asiakastietolain ja muun lainsäädännön mukaiset Tiedonhallintapalvelun tietojen luovutustilanteet, tietojen luovutuksen peruste ja luovuttamistapa.

Tietoja ei siirretä EU:n tai Euroopan talousalueen ulkopuolelle.

Rekisterin suojauksen periaatteet

Tiedonhallintapalveluun tallennetut tiedot ovat salassa pidettäviä henkilön terveyden- ja sairaanhoitoa koskevia tietoja.

Organisatoriset suojauksen periaatteet

Terveydenhuollon palvelujen antajan vastaava johtaja antaa kirjalliset ohjeet tietojen käsittelystä sekä huolehtii henkilökunnan riittävästä asiantuntemuksesta ja osaamisesta potilaan tietoja käsiteltäessä.

Terveydenhuollon palvelujen antaja ja Kela omalta osaltaan seuraa ja valvoo, että sen antamaan palveluun liittyvä tietosuoja ja tietoturva toteutuvat. Terveydenhuollon palvelujen antajalla ja Kelalla on seuranta- ja valvontatehtävää varten nimettynä tietosuojavastaava.

Tekniset suojauksen periaatteet

Tiedonhallintapalvelussa olevien ja sen kautta näkyvien tietojen katselu, tallentaminen ja muu tietojen käsittely edellyttävät käsittelijän yksilöivää vahvaa tunnistautumista sekä terveydenhuollon palvelujen antajalla että Kelalla järjestelmään liittyvää käyttöoikeuksien hallintaa.

Digi- ja väestötietovirasto vastaa Kanta-palvelujen tunnistamis- ja varmennepalveluista.

Terveydenhuollon palvelujen antaja ja Kela vastaavat omalta osaltaan käyttöoikeuksien hallinnasta.

Kaikesta Tiedonhallintapalvelun tietojen katselusta ja käsittelystä tallentuu lokitiedot Tiedonhallintapalvelun lokiin.

Fyysiset suojauksen periaatteet

Tiedonhallintapalveluun tallennetut tiedot on teknisesti suojattu muuttamiselta ja poistamiselta.

Kelan laitetilat sekä tietojen fyysinen sijainti on Suomessa. Laitetiloihin on rajoitettu pääsy Kelan teknisillä ylläpitäjillä, joiden työtehtävien hoito edellyttää niihin pääsyä.

Pääsy tietoihin

Asiakkaan on mahdollista katsella Tiedonhallintapalveluun tallennettuja tietoja koostetusti Omakanta-palvelun kautta.

Asiakkaalla on oikeus tarkastaa hänestä Tiedonhallintapalveluun tallennetut tiedot. Palvelunantaja on toiminnassaan syntyneiden tietojen rekisterinpitäjä ja se vastaa yhteisrekisterinpitäjänä Tiedonhallintapalveluun koostettavien tietojen oikeellisuudesta. Mikäli asiakas käyttää tarkastusoikeuttaan, osoitetaan sekä tarvittaessa ohjataan tätä koskeva pyyntö sille palvelunantajalle, joka vastaa kirjatun tiedon oikeellisuudesta sekä muista rekisterinpitäjän velvollisuuksista. Palvelunantajan tulee toimittaa asiakkaalle hänestä tallennetut tiedot tietosuoja-asetuksen mukaisesti.

Tietojen tarkastamista koskevan pyynnön voi tehdä tarkastuspyyntölomakkeella, joka on saatavilla Kanta-palveluihin liittyneiltä palvelunantajilta ja Kelan toimistoista. Tarvittaessa Tiedonhallintapalveluun tallennettujen tietojen tarkastuspyynnön voi osittaa Kelalle (Kirjaamo, PL 450, 00056 Kela). Pyynnön voi tehdä ottamalla yhteyttä puhelimitse tai sähköpostitse Kelan kirjaamoon (kirjaamo@kela.fi).

Vastaus tarkastuspyyntöön toimitetaan pääsääntöisesti maksutta.

Oikeus vaatia tiedon korjaamista

Asiakkaalla on oikeus pyytää Tiedonhallintapalveluun tallentuneen virheellisen tiedon korjaamista. Jos asiakas tai hänen laillinen edustajansa vaatii virheen korjaamista ja virheellinen tieto perustuu terveydenhuollon palvelunantajan tekemään merkintään, on korjaamisvaatimus osoitettava virheellisen merkinnän tehneelle palvelunantajalle. Kela toimii yhteisrekisterinpitäjän roolissa rekisteröidyn yhteyspisteenä.

Korjaamisvaatimuksen voi toimittaa kirjallisena Kelaan (Kirjaamo, PL 450, 00056 Kela). Tarvittaessa Kela osoittaa toimitetun korjauspyynnön sille palvelunantajalle, jonka toiminnassa syntynyttä merkintää tarkastuspyyntö koskee. Mikäli asiakkaan vaatimusta tiedon korjaamiseen ei hyväksytä, asiakas voi saattaa asian vielä toimivaltaiselle valvontaviranomaiselle käsiteltäväksi.

Oikeus tehdä valitus valvontaviranomaiselle

Jos asiakas katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan soveltuvaa tietosuojasääntelyä, asiakkaalla on oikeus tehdä valitus tietosuoja-asetuksen 77 artiklan ja tietosuojalain 21 §:n mukaisesti toimivaltaiselle valvontaviranomaiselle. Suomessa valvontaviranomainen on tietosuojavaltuutettu.

Muut henkilötietojen käsittelyyn liittyvät oikeudet

Omakanta-palvelussa asiakas voi katsoa Tiedonhallintapalveluun koostettuja tietoja ja nähdä mille palvelunantajalle tietoja on luovutettu.

Asiakkaalla on oikeus saada tietää, kuka on käyttänyt ja kenelle on luovutettu häntä koskevia Tiedonhallintapalveluun tallennettuja tietoja tekemällä lokitietopyynnön Kelalle. Sosiaali- ja terveydenhuollon palvelunantaja on toiminnassaan syntyneiden käyttölokien rekisterinpitäjä. Mikäli asiakkaan lokitietopyyntö koskee käyttölokitietoja, osoitetaan pyyntö kyseessä olevalle palvelunantajalle.

Lokitietopyynnön voi tehdä lokitietopyyntölomakkeella, joka on saatavilla Kanta-palveluihin liittyneistä terveydenhuollon toimintayksiköistä ja Kelan toimistoista. Lokitietopyyntö osoitetaan Kelalle (Kirjaamo, PL 450, 00056 Kela). Pyynnön voi tehdä myös ottamalla yhteyttä puhelimitse tai sähköpostitse Kelan kirjaamoon (kirjaamo@kela.fi). Vastaus lokitietopyyntöön toimitetaan pääsääntöisesti maksutta.

Kahta vuotta vanhempia lokitietoja ei ole oikeutta saada, jollei siihen ole erityistä syytä. Asiakas ei saa käyttää tai luovuttaa saamiaan lokitietoja edelleen muuhun tarkoitukseen kuin omien asiakastietojensa käsittelyyn liittyvien oikeuksiensa selvittämistä ja toteuttamista varten.

Jos asiakas katsoo lokitietojen perusteella, että hänen tietojaan on käsitelty perusteettomasti, hän voi pyytää asiasta selvityksen asianomaiselta palvelunantajalta.

Asiakkaalla on oikeus saada samat tiedot uudelleen, jos siihen on asiakkaan etujen ja oikeuksien toteuttamiseksi perusteltu syy. Kela saa periä uudelleen annettavista tiedoista tietojen antamisesta aiheutuvia kustannuksia vastaavan maksun.

Tiedonhallintapalvelu on Kelan toteuttama ja ylläpitämä lakisääteinen palvelu (asiakastietolaki). Kelan toiminta perustuu kansalliseen lainsäädäntöön. Tästä johtuen EU:n yleisen tietosuoja-asetuksen 17 artiklan nojalla rekisteröidyn oikeutta tietojen poistamiseen ja 20 artiklan nojalla rekisteröidyn oikeutta siirtää tiedot järjestelmästä toiseen ei sovelleta Tiedonhallintapalveluun tallennettuihin tietoihin.

Tietosuojaselosteen liitteet

Sivua päivitetty 01.12.2021