Vanliga frågor om socialvård

I artikel 16 i dataskyddsförordningen föreskrivs om rätten att rätta till uppgifter. Med stöd av den kan en klient eller hens lagliga företrädare be den personuppgiftsansvarige, till exempel barnskyddsmyndigheten, att rätta till eller komplettera klientuppgifterna.

Uppgifter i klientberättelsen är korrekta med tanke på dataskyddsförordningen när det korrekt framgår av dem vad någon berättat i ärendet eller hur en socialarbetare bedömt familjens situation. Personens uppfattning om barnets och familjens situation framgår av registeranteckningen. Uppgifter som en annan person berättat kan inte rättas bara för att till exempel barnets förälder anser att de är felaktiga. Däremot kan uppgifter som till exempel barnets far berättat kompletteras med uppgifter som barnets mor berättat i samma ärende. Klientuppgifterna bildar en helhet som kan innehålla olika åsikter och uppfattningar om samma fråga. Av dem framgår också utifrån vilka uppgifter man agerat.

Med stöd av artikel 16 i dataskyddsförordningen kan man inte rätta ett myndighetsbeslut, trots att det skulle innehålla fel. Däremot kan myndigheten själv på begäran rätta sitt beslut med stöd av förvaltningslagen. Dessutom kan klienten söka ändring i ett myndighetsbeslut hos tingsrätten enligt besvärsanvisningen i beslutet. Med stöd av dataskyddsförordningen kan man inte heller rätta ett utlåtande som barnskyddsmyndigheten gett till tingsrätten, trots att det skulle innehålla fel. Myndigheter har en lagstadgad skyldighet att ge utlåtanden, och komma med sin uppfattning om till exempel barnets situation. I domstolen kan de andra parterna sedan lägga fram sin uppfattning. En myndighet kan själv besluta att rätta eller komplettera ett utlåtande.

Läs mer om rätten att rätta personuppgifter

I artikel 17 i den allmänna dataskyddsförordningen föreskrivs om rätten att be den personuppgiftsansvarige att radera personuppgifter. Även en klient hos socialvården kan utöva denna rätt.

Det är dock ofta inte möjligt att radera klientuppgifter inom socialvården, eftersom klienthandlingar ska förvaras en viss tid enligt lagen om klienthandlingar inom socialvården (i Finlex). Dessutom har socialmyndigheterna otaliga uppgifter om vilka föreskrivs i speciallagstiftningen (t.ex. socialvårdslagen, barnskyddslagen och lagen om utkomststöd) och i vilka klientuppgifter behövs. Med stöd av dataskyddsförordningen kan alltså alla klientuppgifter inom socialvården inte raderas. Inte ens en del av dem kan raderas om de insamlats för att fullgöra lagstadgade skyldigheter eller för utövande av offentlig makt som ankommer på den personuppgiftsansvarige och om de fortfarande behövs för detta syfte.

Det är inte förbjudet att använda kontaktböcker, men den personuppgiftsansvarige ska se till att uppgifterna behandlas säkert på det sätt som lagstiftningen förutsätter.

Patientuppgifter i hälsovården och klientuppgifter i socialvården är sekretessbelagda uppgifter. Redan information om att en person är klient hos socialvården eller patient hos hälsovården är sekretessbelagd information.  En tjänstetillhandahållare ska se till att uppgifterna inte hamnar hos utomstående. Uppgifter får lämnas ut till utomstående enbart på lagbaserade grunder eller med ett samtycke av klienten/patienten eller hans eller hennes lagliga företrädare.

Bedömningen av datasäkerhetsrisker förknippade med uppgifter som antecknats i en kontakbok påverkas bland annat av

• de uppgifter som skrivs i kontaktboken
• sannolikheten för att uppgifterna hamnar hos utomstående.

Den personuppgiftsansvarige ska ge tillräcklig instruktion och anvisningar till personalen vad gäller syftet med och sättet för behandling av personuppgifter. Dataombudsmannen rekommenderar utveckling av datasäkra e-tjänster. En datasäker e-kontakbok kunde vara ett alternativ för att förmedla meddelanden. Anvisningar av den personuppgiftsansvarige kan förbättra också datasäkerheten för kontaktböcker i pappersform.

Nej, om det handlar om rätt till tillträde till uppgifter enligt artikel 15 i dataskyddsförordningen.

Uppgifter om ett barn som är klient inom socialvården lagras i barnets namn. Uppgifter som lagrats i en socialvårdsklients namn gäller denna klient, i detta fall far- eller morförälderns barnbarn, trots att de innehåller information om andra personer, såsom en mormor eller farmor. En farmor eller mormor har inte rätt att få de begärda uppgifterna, eftersom uppgifterna inte anknyter till henne, utan till barnbarnet.

Användningsändamålet för uppgifterna är att kartlägga barnets behov av tjänster och att tillhandahålla de tjänster som ska ges till barnet. Klientuppgifterna om ett barn kan innehålla information också om andra personer i den utsträckning som det är nödvändigt för att bedöma behovet av tjänster eller tillhandahålla en tjänst. En mormor eller farmor är inte en socialvårdsklient och inte en registrerad, och därför har hon inte rätt att få tillträde till uppgifterna i fråga. Klientuppgifter inom socialvården är sekretessbelagda.

Enligt dataombudsmannens etablerade praxis rör användarlogguppgifter inte den person i vars användarövervakning de samlas in. Användarlogguppgifterna beskriver till exempel de arbetstagare som har behandlat personens uppgifter. I artikel 15 i den allmänna dataskyddsförordningen föreskrivs om den registrerades rätt till tillgång till personuppgifter som rör honom eller henne. Eftersom logguppgifterna inte rör den person i vars användarövervakning de uppkommer, har denna person inte rätt att komma åt logguppgifterna med stöd av denna så kallad rätten till insyn som finns i  dataskyddsförordningen.

Det finns ändå särskilda bestämmelser om rätten till logguppgifter för patienter och socialvårdens kunder i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (784/2021). Socialvårdens kund kan få information om vem som använt patientuppgifter eller kunduppgifter som gäller henne eller honom eller till vem de överlåtits.

Klienten har inte rätt att få uppgifter, om utlämnandet av uppgifterna kan medföra allvarlig fara för klientens eller patientens hälsa eller vård eller för någon annans rättigheter. Uppgifter om behandling som är äldre än två år kan fås endast av särskilda orsaker. Om tillhandahållaren av tjänster anser att logguppgifter inte kan lämnas ut till klienten, ska den göra upp ett skriftligt beslut om vägran. Om klienten anser att det inte finns några grunder för vägran, kan hon eller han föra ärendet till dataombudsmannens byrå för behandling.

På logguppgifter kan även tillämpas 11 § i offentlighetslagen om en parts rätt att ta del av en handling som gör det möjligt att även ta del av sekretessbelagd information från myndigheternas loggar. Dataombudsmannen är inte behörig att bedöma tillgodoseendet av rätten att få information enligt offentlighetslagen eller att förordna att dessa uppgifter ska överlämnas med stöd av offentlighetslagen.

Bestämmelser om spärrmarkering och behandlingen av personuppgifter om en person som omfattas av spärrmarkering finns i lagen om befolkningsdatasystemet och de certifikattjänster som tillhandahålls av Myndigheten för digitalisering och befolkningsdata. Uppgifter om hemkommun och bostad samt adress och andra kontaktuppgifter som gäller den person som omfattas av spärrmarkeringen får lämnas ut ur befolkningsdatasystemet endast till en myndighet som har rätt att behandla uppgifterna på grund av lagstadgade uppgifter eller åtgärder eller för skötsel av rättigheter eller skyldigheter för personen som omfattas av spärrmarkeringen.

Sådana uppgifter i befolkningsdatasystemet som omfattas av spärrmarkering och som lämnats ut till en myndighet får inte överlåtas vidare av myndigheten, och myndigheten får inte heller låta en utomstående ta del av eller behandla dem, om inte något annat bestäms i lag.

Spärrmarkeringen gäller utlämnande av personuppgifter som omfattas av spärrmarkeringen ur befolkningsdatasystemet samt möjligheterna för myndigheter som fått dessa uppgifter att överlåta dem vidare. Spärrmarkeringen gäller inte utlämnande av uppgifter i andra situationer. Spärrmarkeringen påverkar inte heller behandlingen av de uppgifter som lämnats ut ur befolkningsdatasystemet innan spärrmarkeringen beviljats, eller uppgifter som någon annan redan har sparat.

Spärrmarkeringen gäller också utlämning ur befolkningsdatasystemet av uppgifter som specificerar och lokaliserar sådana fastigheter, byggnader, lägenheter eller lokaler som personen äger eller innehar, om uppgifterna inte kan behandlas separat från de uppgifter som omfattas av spärrmarkeringen.

Dataombudsmannen kan inte bevilja en spärrmarkering. Den behöriga myndigheten i frågor som gäller spärrmarkering är Myndigheten för digitalisering och befolkningsdata.

Den personuppgiftsansvarige är i vissa situationer skyldig att anmäla personuppgiftsincidenter upptäckt till tillsynsmyndigheten samt till de personer som blivit föremål för personuppgiftsincidenten. Den personuppgiftsansvarige ska bedöma nivån på risken som personuppgiftsincidenten leder till för dem som blivit föremål för incidenten. Risknivån bestämmer om den personuppgiftsansvarige bör anmäla personuppgiftsincidenten till dataombudsmannens byrå och de registrerade. Den personuppgiftsansvarige ska internt dokumentera alla personuppgiftsincidenter.

Personuppgiftsincidenten måste anmälas till dataombudsmannens byrå när incidenten sannolikt leder till en risk för den registrerade. Om personuppgiftsincidenten sannolikt leder till en hög risk för dem som är föremål för incidenten, ska den personuppgiftsansvarige anmäla personuppgiftsincidenten även till dem.

Läs mer om personuppgiftsincidenter, riskbedömning och anmälningsskyldighet

Exempel på situationer inom social- och hälsovården, där en personuppgiftsincident ska anmälas till både dataombudsmannens byrå och de personer som blivit föremål för incidenten:

• Arbetstagaren har per e-post eller brev skickat en klients/patients hälsoinformation till en felaktig adress (exempelvis plan för missbruksrehabilitering eller intyg för sjukledighet). Informationen har kommit i en utomståendes händer.
• På ett möte hade ljudenhetens högtalare via Bluetooth varit i kontakt med enheterna i rummet bredvid. Detta ledde till att en utomstående hörde samtalet. På mötet behandlades klientens/patientens information. Det är inte känt hur länge den utomstående var del av samtalet.
• Sjukhusets patientuppgifter är otillgängliga i 30 timmar på grund av en nätattack.
• Den personuppgiftsansvarige har i samband med driftövervakning observerat att en anställd vid enheten  i egenskap av utomstående har behandlat (m.a.o. snokat i) en enskild patients/klients uppgifter för egna syften.
• En anställd har laddat upp ett foto på sociala medier där även en viss patients uppgifter syns. Med ett bildhanteringsprogram är det möjligt att fokusera på patientens uppgifter, även om bilden är oskarp. Det är inte känt om någon utomstående har laddat ner bilden.
• En anställd har på parkeringsplatsen tappat bort en klientlista som innehåller information om klienters hälsotillstånd. Arbetstagaren märkte misstaget, men hittade inte listan. Det är inte känt om klientlistan har kommit utomståendes händer. 
• En del av patientuppgifterna i ett system förstördes slutgiltigt på grund av ett mänskligt misstag. Någon säkerhetskopia fanns inte, och uppgifterna kan inte återställas.
• En klient som kom från läkarens mottagning meddelade i receptionen att hen hade fått en sjukdagpenningsblankett som tillhörde en annan person.
• I specifikationen till en faktura från företagshälsovården hade orsaken till arbetstagarens besök angetts, vilket i onödan avslöjade uppgifter om hälsotillstånd. Arbetsgivarens representant mottog fakturan.
• En anställd inom hemvården hade av misstag lämnat en blankett med en annan klients (B) uppgifter i en klients (A) hem. Klientens (A) anhöriga hade hittat informationen bland sin anhörigas papper. 
• En yrkesperson inom hälso- och sjukvården antecknade av misstag informationen om patient A:s medicinallergi i patient B:s uppgifter. I patient A:s uppgifter antecknades alltså inga allergiuppgifter alls. Patient B har inga allergier. En annan yrkesperson inom hälso- och sjukvården (omedveten om A:s allergi) ger i sjukvården till patient A den medicin som A är allergisk mot. A orsakas hälsomässig skada. 
• Misstanke har väckts om att person A har uppgett sig vara person B (identitetsstöld), gjort en tidsbokning i dennes namn och kommit till läkarens mottagning. Läkaren har behandlat klienten med de angivna personuppgifterna och har gjort en anteckning i B:s patientuppgifter. Person B har själv tagit kontakt med den personuppgiftsansvarige. Den personuppgiftsansvarige raderade de felaktiga uppgifterna ur B:s uppgifter.
• I en hälso- och sjukvårdsorganisation görs journalanteckningar i ett häfte. Häftet blir stulet i samband med ett inbrott.

Den personuppgiftsansvarige ska bedöma nivån på risken som personuppgiftsincidenten leder till för dem som blivit föremål för incidenten. Risknivån bestämmer om den personuppgiftsansvarige bör anmäla personuppgiftsincidenten till dataombudsmannens byrå och de registrerade. Den personuppgiftsansvarige ska internt dokumentera alla personuppgiftsincidenter.

Personuppgiftsincidenten måste anmälas till dataombudsmannens byrå när incidenten sannolikt leder till en risk för den registrerade. Om personuppgiftsincidenten dock sannolikt inte leder till en hög risk för dem som är föremål för incidenten, behöver incidenten inte anmälas till personer vars uppgifter blivit föremål för personuppgiftsincidenten. 

En anmälan till de registrerade krävs inte till exempel om den personuppgiftsansvarige har vidtagit lämpliga säkerhetsåtgärder eller ytterligare åtgärder för att säkerställa att den höga risken sannolikt inte längre kommer att uppstå.

Läs mer om personuppgiftsincidenter, riskbedömning och anmälningsskyldighet

Exempel på situationer inom social- och hälsovården, där en personuppgiftsincident ska anmälas till dataombudsmannens byrå, men där en anmälan till de personer som blivit föremål för incidenten inte krävs:

• En städare tömde ovarsamt bäddavdelningens sopkärl i fel kärl, som personalen på avdelningen använde för tillfällig förvaring av pappersmaterial som skulle förstöras. Kärlet fördes till ett oövervakat utrymme. Den personuppgiftsansvarige hade inte vetskap om vilka patienters uppgifter det var fråga om. Den personuppgiftsansvarige försäkrade sig i samarbete med avfallshanteringen om att uppgifterna förstördes och att informationen inte kom i utomståendes händer.
• En verksamhetsenhet inom hälso- och sjukvården (A) skickade information om ett flertal patienters operativa vård till en annan verksamhetsenhet inom hälso- och sjukvården (B). Syftet med sändningen av informationen var vetenskaplig forskning. Inget avtal var ännu upprättat mellan enheterna,. Det var möjligt att identifiera en del av patienterna genom att kombinera uppgifterna. Uppgifterna nådde endast yrkespersoner inom hälso- och sjukvården som utförde studien och som har sekretessplikt. Mottagaren förstörde uppgifterna. Samtycke hade inte inhämtats hos patienterna för deltagande i studien, vilket särskilt påverkar bedömningen av risknivån.
• Från ett apotek levererades en beställning innehållande flera patienters mediciner som var avsedd för organisation A till organisation B. Apoteket samarbetar med båda organisationerna, men man hade inte kommit överens om tillbörliga tillvägagångssätt för sådana situationer. Medicinerna kunde levereras i tid till rätt patienter.​​​​​​​
  • Om apoteket har kommit överens med B om tillbörliga tillvägagångssätt för sådana situationer och B bekräftar att de följt tillvägagångssätten, är apotekets interna dokumentation om personuppgiftsincidenten sannolikt tillräcklig. Tillvägagångssätten kan omfatta till exempel en skyldighet att underrätta apoteket om incidenten, återställa eller radera uppgifterna säkert samt ge en skriftlig bekräftelse på dessa åtgärder.

Om personuppgiftsincidenten sannolikt inte är förknippad med en risk, behöver den inte anmälas till tillsynsmyndigheten eller dem som blivit föremål för incidenten. Övriga situationer där en anmälan till den registrerade inte krävs fastställs i artikel 34.3 i dataskyddsförordningen. Enligt dataskyddsförordningen behöver en personuppgiftsincident inte anmälas till den registrerade personligen, om den personuppgiftsansvarige till exempel har vidtagit lämpliga säkerhetsåtgärder och ytterligare åtgärder med vilka den kan säkerställa att den höga risken sannolikt inte längre uppstår. Den personuppgiftsansvarige ska internt dokumentera alla personuppgiftsincidenter.

Läs mer om personuppgiftsincidenter, riskbedömning och anmälningsskyldighet

Till exempel i följande situationer inom hälso- och sjukvården behöver en anmälan inte göras:

• Till en pålitlig mottagare, som man har en samarbetsrelation till, har delats patientuppgifter inom samma avdelning. Mottagaren har en lagstadgad sekretessplikt och behandlar informationen för sina arbetsuppgifter. I situationen finns det ingen orsak att misstänka att uppgifterna har använts eller kommer att behandlas i strid med lagstiftning eller den personuppgiftsansvariges anvisningar.
• På grund av ett systemfel hade patientens (A) remiss till en åtgärd för ett ögonblick lagrats i fel patients (B) uppgifter. Felet var lokalt och den felaktiga uppgiften överfördes inte till Kanta. Laboratoriet som tog emot remissen var medvetet om felet. Felet samt uppgifternas integritet korrigerades snabbt. Patienten orsakades ingen skada.

• En anställd hos den personuppgiftsansvariges skickar personuppgifter i en oskyddad e-post. Det finns ingen anledning att misstänka att uppgifterna har kommit i utomståendes händer.

• Personuppgiftsincidenten har riktats endast mot uppgifter om en död person.

• På grund av en systemfunktion har administratören haft möjlighet att höja sin behörighetsnivå till så att den blir för omfattande, varvid administratören skulle ha fått tillgång till onödig information med tanke på sina uppgifter. Den personuppgiftsansvarige kunde genom tekniska åtgärder säkerställa att administratören inte höjde sin behörighetsnivå.

• Den personuppgiftsansvarige har sparat en hemlig säkerhetskopia av ett arkiv som innehåller klientuppgifter på ett USB-minne. USB-minnet blir stulet i samband med ett inbrott i lokalerna. Informationen är krypterad med en algoritm enligt den senaste tekniken, det finns säkerhetskopior av informationen, den individuella krypteringsnyckeln äventyras inte och informationen kan återställas i tid.

• Ett textmeddelande om en tidsbokning hade gått till fel telefonnummer. Meddelandet innehöll inga identifierbara personuppgifter och inte heller hälsouppgifter.

• En anställd vid ett apotek gav kund B ett dokument där kunden A:s namn och personbeteckning kunde ses. Kund B märkte genast det skedda och gav genast tillbaka dokumentet till den anställda.

• Patient A meddelade till hälso- och sjukvården att patientuppgifter om en annan person (B) hade skrivits in i A:s patientuppgifter. A kan inte på basis av de antecknade uppgifterna sluta sig till vem B är. När saken bekräftades raderades B:s uppgifter ur A:s patientuppgifter och uppgifterna antecknades i B:s patientuppgifter. Man hann inte göra några avgöranden i anslutning till A:s vård på basis av informationen som gällde person B, och det skedda hade ingen inverkan på B:s vård.

• Ett brev innehållande patientuppgifter har gått sönder på sorteringscentralen. Posten har informerat den avsändande organisationen om att brevet gått sönder samt returnerat brevet. Det är möjligt att Postens anställda har kunnat se patientuppgifterna.

  • Det är sannolikt frågan om en så kallad pålitlig mottagare. Den personuppgiftsansvarige kan rimligtvis förvänta sig att parten inte läser eller eventuellt använder de avslöjade uppgifterna, utan följer de gällande anvisningarna om att returnera dem. Det bör observeras att om fallet vid sidan av eventuell förlust av konfidentialitet även har andra verkningar för den registrerade, ska alla dessa beaktas när en riskbedömning görs. Om händelsen till exempel inverkar negativt på den registrerades vård, är risken för den registrerades rättigheter och friheter sannolikt hög.