Resepti-palvelun selvityspyynnön tulokset: tietosuojatyö tarvitsee lisäpanostuksia
Organisaatioiden tietosuojavastaavilla on hyvin vähän aikaa toteuttaa tehtäviään. Kehitettävää on tietojen käsittelyn ohjeistamisessa ja noudattamisessa, ja lisäksi seurannan sekä valvonnan tilannetta tulisi kohentaa. Kiitettävä osuus kaikkien sektorien vastaajista on laatinut tietosuojan, tietoturvallisuuden ja tietojärjestelmien käytön omavalvontasuunnitelman, selviää Resepti-palvelun selvityspyynnön tuloksista.
Selvityspyynnön ovat laatineet yhteistyössä Kela, tietosuojavaltuutetun toimisto ja THL. Tietosuojavaltuutetun toimisto on osallistunut sekä selvityspyynnön kysymysten ja sisällön kehittämiseen että tulosten analysointiin.
Ongelmana tietosuojavastaavien vähäinen työaika
Tietosuojavastaava on organisaation sisäinen ja riippumaton tietosuoja-asiantuntija, joka seuraa henkilötietojen käsittelyä sekä auttaa henkilöstöä tietosuojasääntelyn noudattamisessa. Organisaation tehtävä on tukea tietosuojavastaavaa muun muassa varaamalla tämän työhön riittävästi aikaresurssia sekä tarjoamalla mahdollisuuksia ammatillisen osaamisen kehittämiseen.
Resepti-palvelun selvityspyynnön tulokset kuitenkin osoittavat, että tietosuojavastaavilla on hyvin vähän aikaa toteuttaa tehtäviään. Erityisen heikko tilanne on julkisella sektorilla, jolla yli 72 prosenttia vastaajista arvioi, että aika tietosuojavastaavan tehtävään ei riitä. Apteekeissa (26 %) sekä yksityisessä terveydenhuollossa (18 %) vastaajat arvioivat ajan riittävän paremmin.
Tietosuojavastaavien tehtäviä ei organisaatioissa aina tunnisteta tai määritellä täsmällisesti. Esimerkiksi vaikutustenarvioinnin valvonnan tunnistaa tietosuojavastaavalle kuuluvaksi tehtäväksi alle puolet vastaajista, vaikka tietosuoja-asetuksessa tehtävä on selkeästi tietosuojavastaavalle nimetty. Toisaalta henkilöstön tietämyksen lisääntyessä myös tietosuojavastaavan työmäärä todennäköisesti lisääntyisi, mikä korostaa riittävää resursointia entistä enemmän.
Vaikka tietosuojatyö ei voi keskeytyä tietosuojavastaavan ollessa estynyt hoitamaan tehtäväänsä, valtaosa kaikkien sektoreiden organisaatioista on jättänyt määrittelemättä tietosuojavastaavalle varahenkilön (apteekit 52 %, julkinen sektori 55 %, yksityinen sektori 64 %).
Asiakastietojen käsittelyohjeistus hyvällä tasolla, mutta kehitettävää on vielä
Sosiaali- ja terveydenhuollon organisaation ja apteekin vastaavan johtajan tulee antaa kirjalliset ohjeet asiakastietojen käsittelystä ja menettelytavoista henkilökunnalle. Ohjeiden laatiminen ja henkilökunnan osaamisesta huolehtiminen on laissa säädetty tehtävä, jolla voidaan ennaltaehkäistä tietojen väärinkäyttöä.
Vaikka selvityspyynnön tulos on kohtuullisen hyvä, organisaatioilla on kehitettävää tietojen käsittelyn, katselun ja lainmukaisuuden ohjeistamisessa. Kattavat ohjeet asiakas- ja potilastietojen käsittelystä eri toimintaprosesseissa on saanut
- 95 prosenttia apteekkien vastaajista
- 87 prosenttia julkisen sektorin vastaajista sekä
- 70 prosenttia yksityisen terveydenhuollon vastaajista.
Koulutusta ohjeiden noudattamiseen liittyen sai apteekkien ja julkisen sektorin vastaajista 81 prosenttia ja yksityisen terveydenhuollon vastaajista 62 prosenttia.
Potilasasiakirjat ovat lakisääteisesti salassapidettäviä ja työntekijöitä sitoo vaitiolovelvollisuus. Lisäksi on suositeltavaa, että työntekijöiltä pyydetään salassapitositoumus. Kyselyn tulos apteekkien ja julkisen sektorin vastaajien keskuudessa on hyvä, mutta yksityisessä terveydenhuollossa salassapitositoumus tulisi pyytää työntekijöiltä nykyistä useammin. Salassapitosopimus on
- apteekkien työntekijöistä 95 prosentilla
- julkisen sektorin työntekijöistä 86 prosentilla ja
- yksityisen terveydenhuollon työntekijöistä 57 prosentilla.
Vuosisuunnittelua tarvitaan seurannan ja valvonnan edistämiseksi
Sosiaali- ja terveydenhuollon organisaatiot ja apteekit valvovat Reseptikeskukseen tallennettujen tietojen käsittelyä omassa toiminnassaan. Tätä varten suositellaan laatimaan vuosisuunnitelma seurannan ja valvonnan edistämiseksi sekä tietosuojatyön ja lainsäädännön vaatimusten toteuttamista ja raportointia ohjaamaan.
Selvityspyynnön tulosten mukaan vuosisuunnittelua tulisi hyödyntää aiempaa laajemmin erityisesti julkisella sektorilla ja yksityisessä terveydenhuollossa. Johdon hyväksymä seurannan ja valvonnan vuosisuunnitelma oli tulosten mukaan
- 70 prosentilla apteekkien vastaajista
- 30 prosentilla julkisen sektorin vastaajista ja
- 24 prosentilla yksityisen terveydenhuollon vastaajista.
Vaikka vuosisuunnitelma olisi laadittu, sen noudattaminen näyttää tulosten perusteella ontuvan kauttaaltaan. Seurantaa sekä valvontaa tehdään organisaatioissa pääosin manuaalisesti, mikä on työlästä ja aikaavievää. Suunnitelman mukaisesti seurantaa ja valvontaa toteuttaa ainoastaan
- 41 prosenttia apteekkien vastaajista
- 16 prosenttia julkisen sektorin vastaajista ja
- 15 prosenttia yksityisen terveydenhuollon vastaajista.
Toimintaohje tietoturvaloukkausten ilmoittamiseksi puuttuu monelta toimijalta
Henkilötietojen tietoturvaloukkauksesta on ilmoitettava tietosuojavaltuutetulle, jos se aiheuttaa riskin henkilölle, jota koskevista tiedoista on kysymys. Tapahtumasta on ilmoitettava myös rekisteröidylle, jos aiheutunut riski on korkea.
Toimintaohjeen tietoturvaloukkausten ilmoittamiseksi tietosuojavaltuutetun toimistolle on saanut
- julkisen sektorin vastaajista 84 prosenttia
- apteekkien vastaajista 63 prosenttia ja
- yksityisen terveydenhuollon vastaajista 49 prosenttia.
Toimintaohje tietoturvaloukkausten ilmoittamisesta rekisteröidylle löytyy
- 77 prosentilta julkisen sektorin vastaajista
- 54 prosentilta yksityisen sektorin vastaajista sekä
- 64 prosentilta apteekkien vastaajista.
Omavalvontasuunnitelma ohjaa henkilötietojen käsittelyä
Kaikkien sosiaali- ja terveydenhuollon palveluja antavien organisaatioiden, apteekkien ja itsenäisten ammatinharjoittajiien tulee laatia asiakastietolain nojalla omavalvontasuunnitelma. Suunnitelma on keskeisin henkilötietojen käsittelyä ohjaava organisaation sisäinen dokumentti. Myös omavalvontauunnitelman toteutumisen seuraaminen ja päivittäminen on lakisääteinen velvoite.
Selvityspyynnön tulokset kertovat, että kiitettävä osuus kaikkien sektorien vastaajista on laatinut tietosuojan, tietoturvallisuuden ja tietojärjestelmien käytön omavalvontasuunnitelman. Selvityspyyntöön vastanneista suunnitelma on
- 99 prosentilla apteekkien vastaajista
- 93 prosentilla julkisen sektorin vastaajista
- 90 prosentilla yksityisen sektorin vastaajista ja
- 78 prosentilla itsenäisistä ammatinharjoittajista.
Resepti-palvelun selvityspyyntö toimitettiin sosiaali- ja terveydenhuollolle, apteekeille ja itsenäisille ammatinharjoittajille tammikuussa 2021. Vastaus saatiin 52 prosentilta 2 340 vastaanottajasta. Selvityspyyntö laadittiin yhteistyössä Kelan, tietosuojavaltuutetun toimiston sekä Terveyden ja hyvinvoinnin laitoksen kanssa ja sen tarkoitus on auttaa hahmottamaan tietosuojatyön kokonaiskuvaa ja arjen ongelmakohtia.
Selvityspyyntö toteutetaan sähköisestä lääkemääräyksestä annetun lain 24 §:n nojalla. Lain avulla Reseptikeskuksessa valvotaan Resepti-palveluun tallennettujen tietojen ja henkilötietojen käsittelyä. Resepti-palveluun liittyneet toimijat täyttävät raportointivelvollisuutensa Kelalle selvityspyyntöön vastaamalla.
Lisätietoja:
Kanta-palveluja käyttävät asiakkaat -tietosuojaseloste Kanta-palveluiden verkkosivuilla
Lisätietoa henkilötietojen tietoturvaloukkauksista tietosuojavaltuutetun toimiston verkkosivuilla
Lisätietoja ammattilaisille:
kanta(at)kanta.fi