Usein kysyttyä sosiaalihuollosta

Tietosuoja-asetuksen 16 artiklassa säädetään oikeudesta tietojen oikaisemiseen. Asiakas tai hänen laillinen edustajansa voi sen nojalla pyytää rekisterinpitäjää, esimerkiksi lastensuojeluviranomaista, oikaisemaan tai täydentämään asiakastietojaan.

Asiakaskertomukseen kirjattu tieto on tietosuoja-asetuksen kannalta arvioituna oikein silloin, kun siitä ilmenee oikein se, mitä joku henkilö on asiasta kertonut tai miten sosiaalityöntekijä on perheen tilannetta arvioinut. Kirjauksesta ilmenee kyseisen henkilön käsitys lapsen ja perheen tilanteesta. Toisen henkilön kertomia tietoja ei voida oikaista sillä perusteella, että tiedot ovat esimerkiksi lapsen vanhemman mielestä virheellisiä. Sen sijaan esimerkiksi lapsen isän kertomaa tietoa voidaan täydentää lapsen äidin kertomalla samaa asiaa koskevalla tiedolla. Asiakastiedot muodostavat kokonaisuuden, ja niistä voi ilmetä samaa asiaa koskevia erilaisia mielipiteitä ja käsityksiä. Niistä ilmenee myös se, millaisen tiedon varassa on milloinkin toimittu.

Tietosuoja-asetuksen 16 artiklan nojalla ei voida oikaista viranomaisen päätöstä, vaikka siinä olisi virheitäkin. Sen sijaan viranomainen voi itse pyynnöstä oikaista päätöksensä hallintolain nojalla. Lisäksi asiakas saa valittaa viranomaisen päätöksestä tuomioistuimeen päätöksessä olevan muutoksenhakuohjeen mukaisesti.

Tietosuoja-asetuksen nojalla ei liioin voida oikaista lastensuojeluviranomaisen käräjäoikeudelle antamaa lausuntoa, vaikka siinä olisi virheitäkin. Viranomaisella on lakiin perustuva velvollisuus antaa lausunto, ja tuoda siinä esiin oma käsityksensä lapsen tilanteesta. Tuomioistuinkäsittelyssä muut osapuolet voivat kertoa oman käsityksensä asiasta. Viranomainen voi itse halutessaan oikaista tai täydentää lausuntoaan.

Lue lisää oikeudesta tietojen oikaisemiseen

Tietosuoja-asetuksen 17 artiklassa säädetään oikeudesta pyytää rekisterinpitäjää poistamaan omia henkilötietoja. Myös sosiaalihuollon asiakas voi käyttää tätä oikeutta.

Sosiaalihuollon asiakastietojen poistaminen ei kuitenkaan usein ole mahdollista, koska sosiaalihuollon asiakasasiakirjoja on sosiaalihuollon asiakasasiakirjalain (Finlex) mukaan säilytettävä tässä laissa määritellyn ajan. Lisäksi sosiaaliviranomaisilla on lukuisia erityislaeissa (esim. sosiaalihuoltolaissa, lastensuojelulaissa ja toimeentulotukilaissa) säädettyjä tehtäviä, joita varten asiakastietoja tarvitaan.

Tietosuoja-asetuksen nojalla ei siis voida poistaa kaikkia sosiaalihuollon asiakastietoja. Edes osaa asiakastiedoista ei voida poistaa, jos ne on kerätty lainsäädäntöön perustuvan lakisääteisen velvoitteen noudattamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten, ja jos ne ovat siinä tarkoituksessa edelleen tarpeellisia.

Reissuvihkojen käyttö ei ole kiellettyä, mutta rekisterinpitäjän on huolehdittava siitä, että tietoja käsitellään turvallisesti lainsäädännön edellyttämällä tavalla.

Terveydenhuollon potilastiedot ja sosiaalihuollon asiakastiedot ovat salassa pidettäviä tietoja. Jo tieto siitä, että henkilö on asiakkaana sosiaalihuollossa tai potilaana terveydenhuollossa, on salassa pidettävä.  Palveluntarjoajan on huolehdittava siitä, etteivät tiedot joudu sivullisten haltuun. Tietoja saa luovuttaa sivullisille ainoastaan lakiin perustuen tai asiakkaan/potilaan/hänen laillisen edustajansa suostumuksella.

Reissuvihkoon merkittyjen tietojen tietoturvallisuusriskien arviointiin vaikuttavat muun muassa

• millaisia tietoja reissuvihkoon kirjoitetaan
• kuinka todennäköistä on, että tiedot voisivat joutua sivullisen haltuun.

Rekisterinpitäjän on annettava riittävästi perehdytystä ja ohjeita henkilöstölle siitä, mihin tarkoitukseen ja millä tavalla henkilötietoja käsitellään. Tietosuojavaltuutettu suosittaa tietoturvallisten sähköisten palveluiden kehittämistä. Tietoturvallinen sähköinen reissuvihko voisi olla yksi vaihtoehto viestien välittämiseen. Rekisterinpitäjän ohjeistus voi parantaa myös paperisten reissuvihkojen tietoturvallisuutta.

Ei ole, jos kyse on tietosuoja-asetuksen 15 artiklan mukaisesta oikeudesta saada pääsy tietoihin.

Sosiaalihuollon asiakkaana olevan lapsen tiedot talletetaan hänen nimellään. Sosiaalihuollon asiakkaan nimellä talletetut tiedot koskevat tätä asiakasta, tässä tapauksessa isoäidin lapsenlasta, vaikka niissä kerrottaisiin muistakin henkilöistä, kuten isoäidistä. Isoäidillä ei ole oikeutta saada pyytämiään tietoja, koska pyydetyt tiedot eivät liity häneen, vaan lapsenlapseen.

Tietojen käyttötarkoitus on lapsen palvelutarpeen kartoittaminen ja hänelle annettavien palvelujen toteuttaminen. Lapsen asiakastiedoissa voidaan kertoa muistakin henkilöistä siinä määrin kuin se on tarpeen palvelutarpeen arvioimiseksi tai palvelun antamiseksi. Isoäiti ei ole sosiaalihuollon asiakas eikä rekisteröity, eikä hänellä sen vuoksi ole oikeutta saada pääsyä kyseisiin tietoihin. Sosiaalihuollon asiakastiedot ovat salassa pidettäviä.

​​​​​Tietosuojavaltuutetun vakiintuneen ratkaisukäytännön mukaan käyttäjälokitiedot eivät koske sitä henkilöä, jonka tietojen käytönvalvonnassa ne kertyvät. Käyttäjälokitiedot kuvaavat esimerkiksi henkilön tietoja käsitelleitä työntekijöitä. Yleisen tietosuoja-asetuksen 15 artiklassa säädetään rekisteröidyn oikeudesta saada tutustua häntä itseään koskeviin tietoihin. Koska lokitiedot eivät koske sitä henkilöä, jota koskevien tietojen käytönvalvonnassa ne syntyvät, ei tällä henkilöllä ole oikeutta saada lokitietoja tämän yleisessä tietosuoja-asetuksessa olevan niin sanotun tarkastusoikeuden nojalla.

Potilaan ja sosiaalihuollon asiakkaan oikeudesta lokitietoihin on kuitenkin erityisesti säädetty asiakastietolaissa eli laissa sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (784/2021). Potilas tai sosiaalihuollon asiakas voi saada tiedon siitä, kuka on käyttänyt tai kenelle on luovutettu häntä koskevia potilastietoja tai sosiaalihuollon asiakastietoja. Pyyntö esitetään kirjallisesti sille terveydenhuollon palvelujen antajalle, jonka toiminnassa perusteettoman käsittelyn epäillään tapahtuneen. Tiedot annetaan lokirekisterin perusteella kohtuullisessa ajassa, viimeistään kahden kuukauden kuluessa pyynnön esittämisestä.

Tietoja ei ole oikeutta saada, jos niiden antamisesta saattaisi aiheutua vakavaa vaaraa asiakkaan tai potilaan terveydelle tai hoidolle tai jonkun muun oikeuksille. Kahta vuotta vanhempia käsittelyä koskevia tietoja voi saada vain erityisestä syystä. Jos palvelunantaja katsoo, ettei lokitietoja voida antaa, sen on tehtävä kieltäytymisestä kirjallinen päätös. Jos kieltäytymiselle ei potilaan tai sosiaalihuollon asiakkaan mielestä ole perusteita, hän voi saattaa asian tietosuojavaltuutetun toimiston käsiteltäväksi.

Lokitietoihin voidaan soveltaa myös julkisuuslain 11 §:n asianosaisen tiedonsaantisäännöstä, joka mahdollistaa myös salassa pidettävän tiedon saamisen viranomaisten lokeista. Tietosuojavaltuutetulla ei ole toimivaltaa arvioida julkisuuslakiin perustuvan tiedonsaantioikeuden toteutumista, eikä määrätä julkisuuslain perusteella pyydettyjä tietoja annettavaksi.

Turvakiellosta ja turvakiellon kohteena olevien henkilötietojen käsittelystä säädetään laissa väestötietojärjestelmästä ja Digi- ja väestötietoviraston varmennepalveluista. Turvakiellon kohteena olevan kotikunta, asuinpaikka, osoite ja muut yhteystiedot saadaan luovuttaa väestötietojärjestelmästä vain viranomaiselle, jolla on oikeus käsitellä näitä tietoja lakisääteisiä tehtäviä tai toimenpiteitä varten tai kiellon kohteena olevan henkilön oikeuksien tai velvollisuuksien hoitamiseen.

Viranomainen, jolle turvakiellon alaisia tietoja on luovutettu väestötietojärjestelmästä, ei saa luovuttaa tietoja edelleen eikä antaa niitä sivullisen nähtäväksi tai käsiteltäväksi, jollei laissa toisin säädetä.

Turvakielto koskee turvakiellon alaisten henkilötietojen luovuttamista väestötietojärjestelmästä sekä nämä tiedot saaneiden viranomaisten mahdollisuuksia luovuttaa tiedot eteenpäin. Turvakielto ei koske tietojen luovuttamista muissa tilanteissa. Turvakielto ei myöskään vaikuta niiden tietojen käsittelyyn, jotka on luovutettu väestötietojärjestelmästä ennen turvakiellon asettamista, tai jotka joku muu taho on jo tallentanut.

Turvakielto koskee myös henkilön omistuksessa tai hallinnassa olevan kiinteistön, rakennuksen ja huoneiston yksilöinti- ja sijaintitietojen luovuttamista väestötietojärjestelmästä, jos niitä ei voida käsitellä erillään turvakiellon kohteena olevista tiedoista.

Tietosuojavaltuutettu ei voi asettaa turvakieltoa. Turvakieltoa koskevissa asioissa toimivaltainen viranomainen on Digi- ja väestötietovirasto.

Rekisterinpitäjällä on tietyissä tilanteissa velvollisuus ilmoittaa tietoturvaloukkauksesta valvontaviranomaiselle ja tietoturvaloukkauksen kohteena oleville henkilöille. Rekisterinpitäjän täytyy arvioida, minkä tasoinen riski tietoturvaloukkauksesta aiheutuu sen kohteeksi joutuneille. Riskin taso määrittää, tuleeko rekisterinpitäjän ilmoittaa tietoturvaloukkauksesta tietosuojavaltuutetun toimistolle ja rekisteröidyille. Rekisterinpitäjän on dokumentoitava sisäisesti kaikki tietoturvaloukkaukset.

Tietoturvaloukkauksesta täytyy ilmoittaa tietosuojavaltuutetun toimistolle, kun loukkaus todennäköisesti aiheuttaa riskin rekisteröidyille. Jos tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin loukkauksen kohteena oleville, tulee rekisterinpitäjän ilmoittaa tietoturvaloukkauksesta myös heille.

Lue lisää tietoturvaloukkauksista, riskin arvioinnista ja ilmoitusvelvollisuudesta

Esimerkkejä terveydenhuollon tilanteista, joissa tietoturvaloukkauksesta tulee ilmoittaa sekä tietosuojavaltuutetun toimistolle että kohteeksi joutuneille henkilöille:

• Työntekijä on lähettänyt sähköpostitse tai kirjeitse väärään osoitteeseen asiakkaan / potilaan terveydentilatietoja (esimerkiksi päihdekuntoutussuunnitelma tai sairauslomatodistus). Tiedot ovat päätyneet sivulliselle.
• Kokouksessa äänilaitteen kaiutin oli ollut Bluetoothin kautta yhteydessä viereisen huoneen laitteisiin. Tämä johti siihen, että puhelun kuuli sivullinen. Kokouksessa käsiteltiin potilaan tietoja. Ei tiedetä, kuinka kauan sivullinen oli ollut mukana puhelussa.
• Sairaalan potilastiedot ovat poissa käytöstä 30 tunnin ajan verkkohyökkäyksen vuoksi. 
• Rekisterinpitäjä on käytönvalvonnan yhteydessä havainnut, että yksikön työntekijä on sivullisen asemassa käsitellyt (ns. urkkinut) yksittäisen potilaan tietoja omiin tarkoituksiinsa.
• Työntekijä on ladannut sosiaaliseen mediaan valokuvan, jossa näkyy myös erään potilaan tiedot. Kuvankäsittelyohjelmalla voi tarkentaa potilaan tietoja, vaikka kuva on epätarkka.  Ei ole tietoa, onko sivullinen ladannut kuvan.
• Työntekijä on hukannut parkkipaikalle asiakaslistan, joka sisältää tietoja asiakkaiden terveydentilasta. Työntekijä huomasi virheen, mutta hän ei löytänyt listaa. Ei ole tietoa, onko asiakaslista päätynyt sivulliselle. 
• Osa järjestelmässä olevista potilastiedoista tuhoutui lopullisesti inhimillisen virheen vuoksi. Varmuuskopioita ei ole, eikä tietoja voida palauttaa.
• Lääkärin vastaanotolta tullut asiakas ilmoitti vastaanotossa saaneensa toiselle henkilölle kuuluneen sairauspäivärahalomakkeen.
• Työterveyshuollon laskun erittelyssä oli kirjattu työntekijän käynnin syy, joka paljasti tarpeettomasti terveydentilatietoja. Laskun vastaanottaja oli työnantajan edustaja.
• Kotihoidon työntekijä oli vahingossa jättänyt asiakkaan (A) kotiin toisen asiakkaan (B) tietolomakkeen. Asiakkaan (A) omainen oli löytänyt tiedot omaisensa papereiden joukosta. 
• Terveydenhuollon ammattilainen merkitsi potilaan A tiedon lääkeallergiasta vahingossa potilaan B tietoihin. Potilaan A tietoihin ei merkitty lainkaan allergiatietoja. Potilaalla B ei ole allergiaa. Toinen terveydenhuollon ammattilainen (tietämättä A:n allergiasta) antaa sairaanhoidossa potilas A:lle lääkettä, jolle A on allerginen. A:lle aiheutuu terveydellistä haittaa. 
• On herännyt epäily siitä, että henkilö A on esiintynyt henkilö B:nä (identiteettivarkaus), tehnyt hänen nimissään ajanvarauksen ja saapunut lääkärin vastaanotolle. Lääkäri on hoitanut asiakasta ilmoitetuilla henkilötiedoilla ja tehnyt kirjauksen B:n potilastietoihin. Henkilö B on ottanut itse yhteyttä rekisterinpitäjään huomattuaan Omakannassa merkintöjä, jotka eivät ole hänen.  Rekisterinpitäjä on poistanut virheelliset tiedot B:n tiedoista.
• Terveydenhuollon organisaatiossa tehdään potilasasiakirjamerkintöjä paperiseen vihkoon. Vihko on varastettu murron yhteydessä.

Rekisterinpitäjän täytyy arvioida, minkä tasoinen riski tietoturvaloukkauksesta aiheutuu sen kohteeksi joutuneille. Riskin taso määrittää, tuleeko rekisterinpitäjän ilmoittaa tietoturvaloukkauksesta tietosuojavaltuutetun toimistolle ja rekisteröidyille. Rekisterinpitäjän on dokumentoitava sisäisesti kaikki tietoturvaloukkaukset.

Tietoturvaloukkauksesta täytyy ilmoittaa tietosuojavaltuutetun toimistolle, kun loukkaus todennäköisesti aiheuttaa riskin rekisteröidyille. Jos loukkaus ei kuitenkaan todennäköisesti aiheuta korkeaa riskiä, siitä ei tarvitse ilmoittaa henkilöille, joiden tiedot ovat joutuneet tietoturvaloukkauksen kohteeksi. 

Ilmoitusta rekisteröidyille ei vaadita esimerkiksi silloin, jos rekisterinpitäjä on toteuttanut asianmukaiset suojaustoimenpiteet tai jatkotoimenpiteitä, joilla varmistetaan, että korkea riski ei enää todennäköisesti toteudu.

Lue lisää tietoturvaloukkauksista, riskin arvioinnista ja ilmoitusvelvollisuudesta

Esimerkkejä terveydenhuollon tilanteista, joissa tietoturvaloukkauksesta tulee ilmoittaa tietosuojavaltuutetun toimistolle, mutta joissa ilmoitusta kohteeksi joutuneille henkilöille ei vaadita:

• Siivooja tyhjensi väärään astiaan jäteastian, jota osaston työntekijät käyttivät tuhottavan salassapidettävän paperiaineiston väliaikaiseen säilytykseen. Astia vietiin valvomattomaan tilaan. Rekisterinpitäjällä ei ole tietoa siitä, kenen potilaiden tiedoista on kysymys. Rekisterinpitäjä varmistui yhteistyössä jätehuollon kanssa, että tiedot tuhottiin ja että tiedot eivät päässeet sivullisen haltuun.
• Terveydenhuollon toimintayksikkö (A) lähetti useiden potilaiden leikkaushoitoa koskevia tietoja toiseen toimintayksikköön (B). Tiedot lähetettiin tieteellistä tutkimusta varten. Yksiköiden välillä ei ollut vielä laadittu sopimusta. Osa potilaista oli mahdollista tunnistaa yhdistelemällä tietoja. Tiedot päätyivät vain tutkimusta suorittaville terveydenhuollon ammattilaisille, jotka ovat salassapitovelvollisia. Vastaanottaja tuhosi tiedot. Potilailta ei ollut hankittu suostumusta tutkimukseen osallistumiseksi, mikä vaikuttaa erityisesti riskin tason arvioon.
• Apteekista toimitettiin organisaatioon A tarkoitettu useiden potilaiden lääkkeitä sisältänyt tilaus organisaatioon B. Apteekki tekee yhteistyötä kummankin organisaation kanssa, mutta organisaatioiden välisissä sopimuksissa ei ole sovittu asianmukaisista toimintatavoista tällaisen tilanteen varalle. Lääkkeet saatiin toimitettua ajoissa oikeille potilaille.
  • Jos apteekki on sopinut B:n kanssa asianmukaisista toimintatavoista tällaisen tilanteen varalle ja B vahvistaa toimineensa toimintatapojen mukaisesti, on apteekin sisäinen dokumentointi tietoturvaloukkauksesta todennäköisesti riittävää. Toimintatavat voivat sisältää esimerkiksi velvollisuuden ilmoittaa tapahtumasta apteekille, palauttaa tai poistaa tiedot turvallisesti sekä antaa kirjallinen vahvistus näistä toimenpiteistä.

Jos tietoturvaloukkaukseen ei todennäköisesti liity riskiä, siitä ei tarvitse ilmoittaa valvontaviranomaiselle tai loukkauksen kohteeksi joutuneille. Muut tilanteet, joissa ilmoitusta rekisteröidyille ei vaadita, on määritelty tietosuoja-asetuksen 34 artiklan 3 kohdassa. Tietosuoja-asetuksen mukaan tietoturvaloukkauksesta ei tarvitse ilmoittaa rekisteröidyille henkilökohtaisesti, jos rekisterinpitäjä on esimerkiksi tehnyt asianmukaisia suojaustoimenpiteitä ja jatkotoimenpiteitä, joilla se pystyy varmistamaan, että korkea riski ei todennäköisesti toteudu. Rekisterinpitäjän on dokumentoitava sisäisesti kaikki tietoturvaloukkaukset.

Lue lisää tietoturvaloukkauksista, riskin arvioinnista ja ilmoitusvelvollisuudesta

Esimerkiksi seuraavissa terveydenhuollon tilanteissa ilmoitusta ei tarvitse tehdä:

• Luotettavalle vastaanottajalle, jonka kanssa on yhteistyösuhde, on jaettu potilastietoa samalla osastolla. Vastaanottajalla on lakisääteinen salassapitovelvollisuus ja hän käsittelee tietoa työtehtävissään. Tilanteessa ei ole syytä epäillä, että tietoja on käytetty tai tullaan käsittelemään lainsäädännön tai rekisterinpitäjän ohjeiden vastaisesti.
• Järjestelmävian takia potilaan (A) lähete toimenpiteeseen oli tallentunut hetkellisesti väärän potilaan (B) tietoihin. Vika oli paikallinen, eikä väärä tieto kulkeutunut Kantaan. Lähetteen vastaanottava laboratorio oli tietoinen viasta. Vika sekä tietojen eheys korjattiin nopeasti. Potilaille ei aiheutunut haittaa.

• Rekisterinpitäjän työntekijä lähettää suojaamattomassa sähköpostissa henkilötietoja. Ei ole syytä epäillä, että tiedot olisivat päätyneet sivulliselle.

• Tietoturvaloukkaus on kohdistunut ainoastaan kuollutta henkilöä koskeviin tietoihin.

• Järjestelmätoiminnon vuoksi pääkäyttäjällä on ollut mahdollisuus nostaa käyttöoikeustasonsa liian laajaksi, jolloin hän olisi voinut saada pääsyn tehtäviensä kannalta tarpeettomiin tietoihin. Rekisterinpitäjä pystyi teknisin toimin varmistumaan siitä, että pääkäyttäjä ei ollut nostanut käyttöoikeustasoaan.

• Rekisterinpitäjä on tallentanut salatun varmuuskopion asiakastietoja sisältävästä arkistosta USB-muistitikulle. Muistitikku varastetaan tiloihin tehdyssä murrossa. Tiedot on salattu uusimman tekniikan mukaisella algoritmilla, tiedoista on varmuuskopiot, yksilöllinen salausavain ei vaarannu ja tiedot voidaan palauttaa ajoissa.

• Tekstiviesti ajanvarauksesta on mennyt väärään puhelinnumeroon. Viesti ei sisältänyt tunnisteellisia henkilötietoja, eikä myöskään terveyttä koskevia tietoja.

• Apteekin työntekijä antoi asiakkaalle B asiakirjan, jossa oli nähtävillä asiakkaan A nimi ja henkilötunnus. Asiakas B huomasi tapahtuneen heti, ja palautti asiakirjan välittömästi apteekin työntekijälle.

• Potilas A ilmoitti terveydenhuoltoon, että hänen potilastietoihinsa oli kirjattu toisen henkilön (B) potilastietoja. A ei pysty kirjattujen tietojen perusteella päättelemään, kuka B on. Kun asia varmistui, B:n tiedot poistettiin A:n potilastiedoista ja kirjattiin tiedot B:n omiin potilastietoihin. A:n hoitoon liittyviä ratkaisuja ei ehditty tehdä henkilöä B koskevien tietojen perusteella, eikä tapahtuneella ollut vaikutusta B:n hoitoon.

• Potilastietoja sisältänyt kirje on rikkoutunut lajittelukeskuksessa. Posti on toimittanut lähettäneelle organisaatiolle tiedon rikkoutuneesta kirjeestä sekä palauttanut kirjeen. Potilastietoja on voinut päätyä Postin työntekijöiden nähtäville.

  • ​​​​​​Kysymyksessä on todennäköisesti niin sanottu luotettava vastaanottaja. Rekisterinpitäjä voi kohtuudella odottaa, ettei osapuoli lue tai käytä mahdollisesti paljastuneita tietoja, vaan noudattaa olemassa olevia ohjeita palauttaa ne. Jos tapauksella on mahdollisen luottamuksellisuuden menettämisen ohella muita vaikutuksia rekisteröidylle, huomioidaan nämä kaikki riskiarvion tekemisessä. Jos tapahtuma esimerkiksi vaikuttaa haitallisesti rekisteröidyn hoidon toteutumiseen, on riski rekisteröidylle todennäköisesti korkea.