Begäran om utredning angående Recepttjänsten 2020: Social- och hälsovården och apoteken måste ha rutiner för att upptäcka personuppgiftsincidenter
Det är nödvändigt att uppdatera anvisningarna och rutinerna när man misstänker eller upptäcker en informationssäkerhetsincident. Med hjälp av en riskförteckning som erhållits med hjälp av konsekvensbedömning kan man konkret upptäcka vad som behöver förbättras. Det är organisationens lednings sak att besluta om tillräckliga åtgärder i samband med riskhanteringen.
Svaren på den begäran om utredning som i början av året skickades till apotek, verksamhetsenheter för social- och hälsovård samt självständiga yrkesutövare har nu analyserats. Utifrån svaren har man skapat en överblick över nuläget i fråga om dataskyddsarbetet och eventuella problematiska punkter i social- och hälsovårdsorganisationerna.
FPA, dataskyddsombudsmannens byrå och THL har förberett begäran i samarbete. Dataombudsmannens byrå har medverkat i utvecklingen av frågorna och innehållet i utredningen samt analysen av resultaten.
Dataskyddsombudet har hand om en omfattande helhet
Dataskyddsombudet är organisationens interna expert, som övervakar behandlingen av personuppgifter och hjälper organisationen att följa dataskyddsreglerna. Dataskyddsombudet övervakar att dataskyddsreglerna följs i hela organisationen och påtalar uppdagade brister samt ger råd och information till både organisationsledningen och personalen.
Identifiera och upptäck personuppgiftsincidenter
Med personuppgiftsincident avses en händelse som leder till att personuppgifter förstörs, försvinner, ändras, olovligen överlåts eller hamnar i händerna på en aktör som saknar rätt att behandla dem.
Inom social- och hälsovården samt på apoteken måste man förbereda sig för personuppgiftsincidenter genom tillräckliga informationssäkerhetsåtgärder. Det är viktigt att det finns rutiner för att identifiera och upptäcka personuppgiftsincidenter. De skriftliga anvisningarna och utbildningsmaterialen måste uppdateras, om de inte innehåller aktuella anvisningar för sådana personuppgiftsincidenter som gäller personuppgifter som sparats i Receptcentret.
Om en personuppgiftsincident kan äventyra fysiska personers rättigheter och friheter, ska den personuppgiftsansvarige anmäla händelsen till dataombudsmannens byrå. Om risken är hög ska också de berörda personerna underrättas om händelsen.
Fokus på konsekvensbedömning
Ledningens uppgift är att försäkra sig om riskhanteringen och lagligheten i behandlingen av personuppgifter. Med hjälp av en konsekvensbedömning i fråga om dataskyddet kan man konkretisera vilka objekt som kräver åtgärder. Dataskyddsombudets uppgift är att på begäran ge anvisningar om konsekvensbedömningen. Organisationens ledning ansvarar för att fatta beslut som gäller behandlingen av personuppgifter, till exempel vilka åtgärder som ska vidtas på grund av eventuella kvarstående risker.
Det är viktigt att förbättringsbehoven i fråga om uppföljningen och övervakningen av behandlingen av Receptcentrets uppgifter lyfts fram på ett riskbaserat sätt, om man har upptäckt behov av att förbättra övervakningsverktygen eller rutinerna.
Uppföljningen och övervakningen genomförs huvudsakligen manuellt. När logguppgifter uppkommer i stora mängder skulle det vara praktiskt att låta ett automatiskt övervakningssystem ta hand om uppföljningen och övervakningen. Såväl uppföljnings- och övervakningsverktygen som automatiken borde utvecklas kraftigt för att fall av missbruk ska kunna identifieras på ett effektivare sätt.
Bakgrund
Begäran om utredning skickades till cirka 2 200 dataskyddsombud för Recepttjänsten samt självständiga yrkesutövare. Svarsaktiviteten var relativt hög (59 %). Som ett led i samarbetet kan dataombudsmannens byrå utnyttja resultaten vid utarbetandet av handledningsmaterial om dataskyddsreglerna. Likaså kan THL utnyttja resultaten vid verksamhetssättsutbildningen och handledningen för yrkesutbildade personer. Begäran om utredning har genomförts med stöd av 24 § i lagen om elektroniska recept (61/2007).
Mer information:
Kundrelationer och support: Kanta Extranätet
Dataskyddsbeskrivning för kunder som använder Kanta-tjänsterna
THL: Utbildningsmaterialet Egenkontroll av dataskyddet och informationssäkerheten: plan och genomförande (på finska)
THL: Modellunderlag för en plan för egenkontroll för små tjänsteproducenter inom social- och hälsovården (på finska)
Mer information för professionella: