Resultaten från FPA:s begäran om utredning 2019: Dataskyddsarbete utförs i apoteken och social- och hälsovården på en relativt god nivå

27.6.2019 11.22
Nyhet

Man svarade mera aktivt än tidigare på FPA:s dataskyddsenkäten, som genomfördes i år som en begäran om utredning som påminde om rapporteringsskyldigheten. Som helhet bedömd var dataskyddsarbetet i organisationerna på en relativt god nivå, men dataskyddsombuden upplever fortfarande att resurserna är knappa och uppgiftsbilden oklar. En del av dataskyddsombudets uppgifter har rönt mindre uppmärksamhet.

Svaren på den begäran om utredning som skickades i början av året till apotek, social- och hälsovårdens verksamhetsenheter och självständiga yrkesutövare som anslutit sig till Recept-tjänsten har blivit analyserade. På basis av svaren har man utarbetat en helhetsbild av dataskyddets aktuella situation och eventuella problempunkter.

I många avseenden kan man se framsteg i dataskyddsarbetet och som helhet betraktat utförs dataskyddsarbetet på en relativt god nivå. På svaren kan ändå märkas saker som behöver vidare utvecklas.

Uppmärksamhet ska fästas vid instruktioner som rör konsekvensbedömningar och oegentligheter

I social- och hälsovården och apoteken anses dataskyddsombudets roll redan vara etablerad. Ganska ofta upplever man ändå att tiden inte helt räcker till för skötsel av uppgifterna och att uppgiftsbeskrivningarna inte är tillräckligt tydliga. Organisationen ska se till att dataskyddsombudet har den tid och de verktyg som behövs för skötsel av de uppgifter som fastställts för dataskyddsombudet i EU:s allmänna dataskyddsförordning.
Dataskyddsombudets roll har blivit viktigare och uppgiftsfältet mera omfattande sedan dataskyddsförordningen började tillämpas i maj 2018.

Enligt dataskyddsförordningen är en av dataskyddsombudets uppgifter att ge anvisningar om och övervaka utförandet av konsekvensbedömningen i organisationen. Denna uppgift ska resurseras i tid, eftersom anvisningar, utbildning och övervakning som rör utförandet av konsekvensbedömningen kräver mycket arbetstid. Det bör beaktas att ofullbordad konsekvensbedömning eller godkända stora kvarstående risker kan orsaka avsevärda kostnadsposter för organisationen.

I organisationer är det bra att repetera anvisningarna och förfarandena för situationer där det upptäcks oegentligheter i behandling av kund- eller patientuppgifter. I dessa situationer ska man bedöma skyldigheten att underrätta den personuppgiftsansvariga och den registrerade om personuppgiftsincidenten.

Bakgrund

De apotek, social- och hälsovårdens verksamhetsenheter och självständiga yrkesutövare som anslutit sig som kunder till Recept-tjänsten ska följa upp och övervaka hur den information och de personuppgifter som lagrats i Receptcentret behandlas i deras egna organisationer.

Tidigare i år utredde FPA:s Kanta-tjänster i samarbete med dataombudsmannens byrå och Institutet för hälsa och välfärd hur de klientorganisationer som använder Receptcentret ser till att dataskyddet förverkligas i deras praktiska arbete.

I år ändrades det utredningsarbete som utförts redan under flera tidigare år till begäran om utredning med stöd av 24 § i lagen om elektroniska recept (61/2007).

Med hjälp av begäran om utredning uppföljer och övervakar FPA som personuppgiftsansvarig för Receptcentret att dataskyddet i anslutning till tjänsten förverkligas i klientorganisationerna.
FPA skickade begäran om utredning som en enkät i början av 2019 till cirka två tusen mottagare som var antingen klientorganisationens dataskyddsombud eller självständiga yrkesutövare.
I år svarade man på begäran om utredning mera aktivt än förut. Svarsprocenten steg till 64.

FPA behandlade och analyserade de svar som erhållits från Begäran om utredning tillsammans med dataombudsmannens byrå och Institutet för hälsa och välfärd. Med hjälp av resultaten från begäran om utredning utarbetar övervakningsmyndigheterna en helhetsbild av dataskyddsarbetet inom social- och hälsovårdens funktionsenheter, apotek och självständiga yrkesutövare samt eventuella problemställen. Dataombudsmannens byrå kommer att utnyttja resultaten i utarbetandet av anvisningar och allmänna råd och Institutet för hälsa och välfärd i verksamhetsmodellutbildningar och styrningsarbete.

FPA:s dataskyddsenkätens resultat (pdf)

FPA
enkätundersökning