Hyppää sisältöön

Resultat av Recept-tjänstens utredningsbegäran: dataskyddsarbetet behöver extra satsningar

Utgivningsdatum 23.6.2021 10.08 | Publicerad på svenska 23.6.2021 kl. 10.23
Nyhet

Organisationernas dataskyddsansvariga har mycket lite tid att genomföra sina uppgifter. Det finns mycket att utveckla i hur man ger anvisningar och efterföljer hanteringen av uppgifter, och dessutom borde situationen för uppföljning och övervakning förbättras. En berömvärd andel av de som svarat inom alla sektorer har utarbetat en egenkontrollplan för dataskydd, datasäkerhet och användning av datasystem, framgår av resultaten av Recept-tjänstens utredningsbegäran.

FPA, dataskyddsombudsmannens byrå och THL har förberett begäran i samarbete. Dataombudsmannens byrå har medverkat i utvecklingen av frågorna och innehållet i utredningen samt analysen av resultaten.

Problemet är dataskyddsansvarigas knappa arbetstid

En dataskyddsansvarig är organisationens interna och oberoende dataskyddsexpert, som följer med hanteringen av personuppgifter och bistår personalen i att efterfölja dataskyddsregleringen. Organisationens uppgift är att stödja den dataskyddsansvariga bland annat genom att reservera tillräckligt med tidsresurser för detta arbete och erbjuda möjligheter att utveckla det yrkesmässiga kunnandet.
 
Resultaten av Recept-tjänstens utredningsbegäran visar emellertid att dataskyddsansvariga har mycket lite tid att genomföra sina uppgifter. Synnerligen svag är situationen inom den offentliga sektorn, där över 72 procent av de som svarat uppskattar att tiden inte räcker till för en dataskyddsansvarigs uppgifter. På apoteken (26 %) och inom den privata hälsovården (18 %) uppskattar de som svarat att tiden bättre räcker till.
 
De dataskyddsansvarigas uppgifter identifieras eller definieras inte alltid exakt inom organisationerna. Till exempel övervakningen av verkningsbedömningen identifierar under hälften av de som svarat att hör till den dataskyddsansvariga, fastän uppgiften är tydligt designerad åt den dataskyddsansvariga i dataskyddsförordningen. Å andra sidan, allteftersom personalens kunnande ökar, ökar även den dataskyddsansvarigas arbetsmängd, vilket i allt större utsträckning understryker vikten av tillräcklig resursallokering.
 
Fastän dataskyddsarbetet inte kan avbrytas då den dataskyddsansvariga är förhindrad att sköta sina uppgifter, har större delen av organisationerna inom alla sektorer underlåtit att utse en ersättare för den dataskyddsanvariga (apoteken 52 %, offentliga sektorn 55 %, privata sektorn 64 %).

Vägledningen i hantering av kunduppgifter på god nivå, men det finns ännu mycket att utveckla 

Den ansvariga chefen för en organisation inom social- och hälsovården och ett apotek ska ge skriftliga anvisningar i hantering av kunduppgifter och om tillvägagångssätt åt personalen. Att utarbeta anvisningar och sörja för personalens kunnande är en lagstadgad uppgift, med vilken man kan förebygga missbruk av uppgifterna.
 
Fastän resultatet av utredningsbegäran är tämligen bra, finns det mycket för organisationerna att utveckla beträffande anvisningar för hur man hanterar och ser på uppgifter samt om lagenligheten. Omfattande anvisningar för hantering av klient- och patientuppgifter i olika verksamhetsprocesser har

  • 95 procent av apotekens svarande
  • 87 procent av den offentliga sektorns svarande och
  • 70 procent av den privata hälsovårdens svarande fått. 

Utbildning i att efterfölja anvisningarna fick 81 procent av apotekens och den offentliga sektorns svarande och 62 procent av den privata hälsovårdens svarande.

Patienthandlingar är lagstadgat sekretessbelagda och arbetstagarna har tystnadsplikt. Dessutom rekommenderas att man ber arbetstagarna om en sekretessförbindelse. Resultatet av enkäten bland apotekens och den offentliga sektorns svarande är bra, men inom den privata hälsovården borde man oftare be arbetstagarna om sekretessförbindelse.
Sekretessförbindelse har

  • 95 procent av apotekens arbetstagare
  • 86 procent av den offentliga sektorns arbetstagare och
  • 57 procent av den privata hälsovårdens arbetstagare.

Årsplanering behövs för att främja uppföljningen och övervakningen

Organisationerna inom social- och hälsovården och apoteken övervakar hanteringen av uppgifter sparade i Receptcentret i sin egen verksamhet. För detta rekommenderas det att man utarbetar en årsplan för att främja uppföljningen och övervakningen samt för att styra genomförandet av och rapporteringen om dataskyddsarbetet och lagstiftningens krav.
 
Enligt resultaten av utredningsbegäran borde man i större utsträckning än hittills utnyttja årsplanering särskilt inom den offentliga sektorn och privata hälsovården. En årsplan för uppföljning och övervakning som godkänts av ledningen hade enligt resultaten

  • 70 procent av apotekens svarande
  • 30 procent av den offentliga sektorns svarande och 
  • 24 procent av den privata hälsovårdens svarande. 

Fastän man skulle ha sammanställt en årsplan förefaller det på basis av resultaten att efterföljningen haltar genomgående. Uppföljningen och övervakningen görs huvudsakligen manuellt i organisationerna, vilket är arbetsdrygt och tidskrävande. Uppföljning och övervakning i enlighet med planen genomför endast

  • 41 procent av apotekens svarande
  • 16 procent av den offentliga sektorns svarande och
  • 15 procent av den privata hälsovårdens svarande.

Instruktion för att anmäla dataskyddsintrång saknas hos många aktörer

Om dataskyddsintrång i personuppgifter ska man anmäla till dataombudsmannen, ifall det förorsakar en risk för den person vars uppgifter det är fråga om. Händelsen ska även anmälas till den registrerade, ifall risken är stor.
 
Instruktion för att anmäla dataskyddsintrång till dataombudsmannens byrå har 

  • 84 procent av den offentliga sektorns svarande 
  • 63 procent av apotekens svarande och
  • 49 procent av den privata hälsovårdens svarande fått. 

Instruktion för att anmäla dataskyddsintrång till den registrerade finns hos   

  • 77 procent av den offentliga sektorns svarande
  • 54 procent av den privata sektorns svarande och 
  • 64 procent av apotekens svarande.

Egenkontrollplanen styr hanteringen av personuppgifter

Alla organisationer, apotek och självständiga yrkesutövare som erbjuder social- och hälsovårdstjänster ska på basis av kunduppgiftslagen sammanställa en egenkontrollplan. Planen är organisationens mest centrala interna dokumentet som styr hanteringen av personuppgifter. Även uppföljningen och uppdateringen av egenkontrollplanen är en lagstadgad skyldighet.
 
Resultaten av utredningsbegäran ger vid handen att en berömvärd andel av de som svarat inom alla sektorer har sammanställt en egenkontrollplan för dataskydd, datasäkerhet och användning av datasystem. Av de som svarat på utredningsbegäran har

  • 99 procent av apotekens svarande
  • 93 procent av den offentliga sektorns svarande 
  • 90 procent av den privata sektorns svarande och  
  • 78 procent av de självständiga yrkesutövarna en plan.

Recept-tjänstens utredningsbegäran levererades till social- och hälsovården, apoteken och de självständiga yrkesutövarna i januari 2021. Svar mottogs från 52 procent av 2 340 mottagare. Utredningsbegäran utarbetades i samarbete med Fpa, dataombudsmannens byrå och Institutet för hälsa och välfärd och syftet med den är att hjälpa få grepp om dataskyddsarbetets helhetsbild och problempunkter i vardagen.
 
Utredningsbegäran genomförs på basis av 24 § i lagen om elektroniska recept. Med hjälp av lagen övervakas i Receptcentret hanteringen av uppgifter och som sparats i Recept-tjänsten och personuppgifter. Aktörer som gått med i Recept-tjänsten fyller sin rapporteringsskyldighet till Fpa genom att besvara utredningsbegäran.

Mer information:

Kunder som använder Kanta-tjänster -dataskyddsbeskrivning på Kanta-tjänsternas webbplats

Mer information om personuppgiftsincidenter på dataombudsmannens byrås webbplats

Mer information för professionella:

kanta(at)kanta.fi
Sivun alkuun