Sisältöjulkaisija

Selvityspyynnön 2019 tulokset: Tietosuojatyötä tehdään organisaatioissa suhteellisen hyvällä tasolla

Tiedote Kirjoitettu 27.6.2019 Kaikki tiedotteet

Raportointivelvollisuudesta muistuttavana selvityspyyntönä tänä vuonna toteutettuun tietosuojakyselyyn vastattiin aiempaa aktiivisemmin. Kokonaisuutena arvioiden tietosuojatyön taso on organisaatioissa suhteellisen hyvällä tasolla, mutta tietosuojavastaavat kokevat yhä resurssien vähyyttä ja tehtävänkuvan epäselvyyttä. Osa tietosuojavastaavan tehtävistä on myös jäänyt vähemmälle huomiolle.

Resepti-palvelun asiakkaaksi liittyneille apteekeille, sosiaali- ja terveydenhuollon toimintayksiköille ja itsenäisille ammatinharjoittajille alkuvuodesta lähetettyyn selvityspyyntöön saadut vastaukset on analysoitu. Vastausten pohjalta on hahmotettu kokonaiskuvaa tämänhetkisestä tietosuojatyön tilanteesta ja mahdollisista ongelmakohdista.

Tietosuojatyössä on monelta osin havaittavissa edistystä ja kokonaisuutena tarkastellen tietosuojatyötä tehdään suhteellisen hyvällä tasolla. Vastauksista on kuitenkin havaittavissa myös edelleen kehitettäviä asioita.

Huomiota vaikutustenarviointeihin sekä väärinkäytöksiin liittyvään ohjeistukseen

Sosiaali- ja terveydenhuollossa ja apteekeissa tietosuojavastaavan roolia pidetään jo vakiintuneena. Varsin usein kuitenkin koetaan, ettei aika täysin riitä tehtävien hoitamiseen eikä tehtävistä ole riittävän selviä kuvauksia. Organisaation tulee huolehtia, että tietosuojavastaavalla on tarvittava aika ja työvälineet EU:n yleisessä tietosuoja-asetuksessa tietosuojavastaavalle määriteltyjen tehtävien toteuttamiseksi.
Tietosuojavastaavan rooli on painottunut ja tehtäväkenttä laajentunut entisestään sen jälkeen, kun tietosuoja-asetusta alettiin soveltaa toukokuussa 2018.

Tietosuoja-asetuksen perusteella yksi tietosuojavastaavan tehtävistä on ohjeistaa ja valvoa vaikutustenarvioinnin toteutusta organisaatiossa. Tämä tehtävä tulee resursoida ajoissa, sillä vaikutustenarvioinnin toteutuksen ohjeistus, koulutus ja valvonta vievät paljon työaikaa. On syytä huomioida, että vaikutustenarvioinnin keskeneräisyys tai hyväksytyt suuret jäännösriskit voivat aiheuttaa mittavia kulueriä organisaatiolle.

Organisaatioissa on lisäksi hyvä kerrata ohjeet ja toimintatavat tilanteisiin, joissa havaitaan väärinkäytöksiä asiakas- tai potilastietojen käsittelyn yhteydessä. Näissä tilanteissa organisaation tulee arvioida velvollisuus ilmoittaa henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle, tietosuojavaltuutetun toimistolle ja rekisteröidylle.

Taustaa

Resepti-palvelun asiakkaaksi liittyneiden apteekkien, sosiaali- ja terveydenhuollon toimintayksiköiden ja itsenäisten ammatinharjoittajien tulee seurata ja valvoa Reseptikeskukseen tallennettujen tietojen ja henkilötietojen käsittelyä omissa organisaatioissaan.

Kelan Kanta-palvelut selvitti aiemmin tänä vuonna yhteistyössä tietosuojavaltuutetun toimiston sekä Terveyden ja hyvinvoinnin laitoksen kanssa, miten Reseptikeskusta käyttävät asiakasorganisaatiot huolehtivat tietosuojan toteutumisesta käytännön työssään.

Jo useampana edellisenä vuonna tietosuojakyselynä toteutettu selvitystyö muutettiin tänä vuonna selvityspyynnöksi sähköisen lääkemääräyslain (61/2007) 24 §:n nojalla.

Selvityspyynnön avulla Kela Reseptikeskuksen rekisterinpitäjänä seuraa ja valvoo, että palveluun liittyvä tietosuoja toteutuu asiakasorganisaatioissa.
Kyselymuotoinen selvityspyyntö toimitettiin alkuvuodesta 2019 noin kahdelle tuhannelle vastaanottajalle, jotka olivat joko asiakasorganisaation tietosuojavastaavia tai itsenäisiä ammatinharjoittajia.
Selvityspyyntöön vastattiin tänä vuonna aiempaa aktiivisemmin. Vastausprosentti nousi 64:ään.

Selvityspyyntöön saadut vastaukset käsiteltiin tunnisteettomina ja analysoitiin yhdessä tietosuojavaltuutetun toimiston ja Terveyden ja hyvinvoinnin laitoksen kanssa. Selvityspyynnön tulosten avulla valvontaviranomaiset hahmottavat sosiaali- ja terveydenhuollon toimintayksiköiden, apteekkien ja itsenäisten ammatinharjoittajien tietosuojatyön kokonaiskuvan ja mahdolliset ongelmakohdat.

Tietosuojavaltuutetun toimisto tulee myös hyödyntämään tuloksia tietosuojasääntelyä koskevan ohjausmateriaalin laatimisessa ja THL toimintamallikoulutuksissa ja ohjaustyössä.

Tietosuojakyselyn tulokset