Hyppää sisältöön

Resepti-palvelun tietosuojakysely: tietosuojaa toteutetaan hyvin sote-kentällä

Julkaisuajankohta 5.7.2023 10.30
Tiedote

Tietosuojavastaavan tehtävänkuva on määritelty organisaatiossa selkeästi, mutta kaikkia tietosuoja-asetuksesta tulevia velvoitteita ei välttämättä ole tunnistettu tietosuojavastaavan tehtävänkuvaan kuuluviksi, selviää Resepti-palvelun tietosuojakyselyn tuloksista. Resepti-palvelun tietosuojakysely laadittiin Kanta-palvelujen, tietosuojavaltuutetun toimiston ja Terveyden ja hyvinvoinnin laitoksen yhteistyönä.

Kela toteutti alkuvuodesta tietosuojakyselyn Resepti-palvelun asiakkaiden tietosuojavastaaville ja itsenäisille ammatinharjoittajille. Kyselyyn vastaaminen oli vapaaehtoista ja vastausaktiivisuus oli 27 %.

Tietopyyntöihin vastataan tehokkaasti

Suurin osa vastaajista koki, että tietosuojavastaavan tehtävänkuva on määritelty organisaatiossa selkeästi ja siitä on tiedotettu henkilökuntaa. Kyselyn tulokset osoittavat, että sote-sektorilla pidempään olleet tietosuojavastaavan tehtävät ymmärretään hyvin, mutta uudempia, selkeästi tietosuoja-asetuksesta tulevia velvoitteita ei ole samalla tavoin tunnistettu tietosuojavastaavan tehtävänkuvaan kuuluviksi. Esimerkiksi rekisteröityjen yhteyspisteenä toimiminen on keskeinen tehtävä ja vaikuttaa merkittävästi siihen, kuinka paljon asioita saadaan selvitettyä jo rekisterinpitäjän ja rekisteröidyn välisenä asiana, ilman että asiasta on tarpeen ottaa yhteyttä valvontaviranomaiseen.

Olisi tärkeää, että organisaatiossa panostettaisiin tietosuojavastaavan ja hänen tehtävänkuvansa tunnetuksi tekemiseen organisaation sisällä. Silloin rekisteröityjen yhteydenotot osattaisiin ohjata paremmin oikealle taholle. Tietosuojavastaavan yhteystietojen tulisi olla myös vaivattomasti rekisteröityjen löydettävissä.

Reseptilaissa vastaavalle johtajalle ja apteekkarille säädetyt tehtävät, kuten kirjallisten ohjeiden laatiminen asiakastietojen käsittelystä ja henkilökunnan riittävästä osaamisesta huolehtiminen toteutuvat vastaajien parissa hyvin. Kirjallisten ohjeiden aihepiireistä ja koulutusaiheiden valinnasta tunnistetaan kuitenkin myös kehitettävää. Ohjeita yhteisrekisterinpitäjyyteen liittyvistä vastuista ja tehtävistä kannattaa sisällyttää toimintaa ohjaaviin ohjeisiin ja kouluttaa niitä henkilöstölle kaikilla sektoreilla.

Kyselyn tulosten perusteella asiakkaiden tietopyyntöihin vastataan lähes poikkeuksetta ja manuaalinen valvonta sopiikin yksittäisen selvityspyynnön selvittämiseen hyvin. Asiakastietojen käsittelystä muodostuneiden lokien määrä kasvaa koko ajan ja niiden valvonnassa käytetään huomattavasti enemmän manuaalista kuin automaattista valvontaa.

Tietoturvasuunnitelmien määrä on vähentynyt

Asiakastietolain uudistamisen myötä omavalvontasuunnitelman nimi muuttui tietoturvasuunnitelmaksi. Samassa yhteydessä THL antoi tietoturvasuunnitelmaa koskevan määräyksen (3/2021) ja siihen liittyvän mallipohjan tietoturvasuunnitelman laatimisen helpottamiseksi. Tietoturvasuunnitelman laatimisvelvoite koskee asiakastietolain ja reseptilain perusteella kaikkia sosiaali- ja terveydenhuollon palvelunantajia ja apteekkeja. Kyselyn tulosten perusteella tietoturvasuunnitelman laatineiden sosiaali- ja terveydenhuollon palvelunantajien ja apteekkien määrä on vähentynyt aiempiin vuosiin verrattuna.

Tietoturvallisuustoimenpiteet tulee sovittaa oman organisaation toiminnan tarpeisiin ja volyymeihin. Vastaava ajattelutapa soveltuu myös tietoturvasuunnitelmaan; keskeistä on rakentaa oman organisaation toimintaan mahdollisimman hyvin sopiva, ”omannäköinen” suunnitelma. Oleellista on se, että toimintaan liittyvät riskit on tunnistettu ja otettu huomioon toimijan palveluarjessa, ohjeistaa THL.

Resepti-palvelun tietosuojakysely toimitetaan vastaajille seuraavan kerran tammikuussa 2025.

Lue lisää:

Kanta-palvelujen tiedote Kannan verkkosivuilla: Resepti-palvelun tietosuojakysely: tietosuojaa toteutetaan hyvin sote-kentällä (5.7.2023)​​​​​​​

Resepti-palvelun tietosuojakyselyn tulokset Kanta-palvelujen verkkosivuilla (pdf)

Kela toteutti kyselyn Kanta-palvelujen järjestäjänä ja Reseptikeskuksen yhteisrekisterinpitäjänä sähköisestä lääkemääräyksestä annetun lain (61/2007) 18 ja 24 §:ien nojalla. Kyselyn avulla tietosuojavaltuutetun toimisto ja THL saavat tietoa sosiaali- ja terveydenhuollon parissa toimivien tietosuojavastaavien tehtävien toteuttamisesta. THL voi tulosten perusteella kehittää sosiaali- ja terveydenhuollon ammattihenkilöiden koulutussisältöjä. Tulosten perusteella Kanta-palvelut saa tietoa Resepti-palveluun tallennettujen tietojen ja henkilötietojen käsittelystä ja valvonnasta sote-organisaatioissa.

Sivun alkuun