healthcare sector

Terveydenhuoltoala ja GDPR

Yleisen tietosuoja-asetuksen voimaantulon jälkeen henkilötietojen suojaaminen on osoittautunut yhä haastavammaksi terveydenhuoltoalalle. Tietoja tulisi käsitellä kokonaisvaltaisemmin sekä ymmärtää tiedon liikkuvuuden rakenteita. Terveydenhuollossa tulisi olla tietynlaisia menettelytapoja, joita voidaan soveltaa vaatimusten toteuttamiseksi. Henkilötietoja tulee käsitellä entistä varovaisemmin sekä tietää miten tietoja käsitellään ja säilytetään. Tämä koskee sekä julkista että yksityistä sektoria: sairaaloita, yksityisiä vastaanottoja, hammashoitoa, apteekkeja, hoitokoteja, laboratorioita, lääkeaineita myyviä verkkokauppoja ja kaikkia muita terveyteen liittyvää tietoa käsitteleviä yrityksiä ja organisaatioita. 

Arkaluonteisten tietojen määrittäminen ja tietojen käsittelyn edellytykset 

Terveydenhuoltoalalla kaikki tiedot, jotka liittyvät henkilön terveyteen luokitellaan arkaluonteisiksi. Tämän vuoksi tietojen suojaamiseen on asetettu korkeammat standardit ja Yleinen tietosuoja-asetus luokittelee terveyteen liittyvät tiedot kolmeen eri kategoriaan. 

  1. Terveyttä koskevat tiedot – “Luonnollisen henkilön fyysiseen tai henkiseen terveyteen liittyvät henkilötiedot, mukaan lukien terveydenhuoltopalveluihin viittaavat tiedot jotka pitävät sisällään tietoja henkilön terveydentilasta”
  2. Geneettiset tiedot – “Luonnollisen henkilön geneettisiin ominaisuuksiin liittyvät henkilötiedot, jotka antavat yksilöllistä tietoa kyseisen henkilön fysiologiasta tai terveydestä, jotka ovat saatu luonnollisen henkilön biologisesta näytteestä” 
  3. Biometriset tiedot – “Luonnollisen henkilön fyysisiin, fysiologisiin tai käyttäytymiseen liittyviin ominaisuuksiin kohdistuva tietojen tekninen käsittely, joka mahdollistaa tai vahvistaa kyseisen luonnollisen henkilön yksilöllisen tunnistamisen esimerkiksi kasvokuvista tai sormenjäljistä” 

Kyseisten henkilötietojen käsittely sallitaan vain tietyissä olosuhteissa, jotka ovat: 

  1. Nimenomainen suostumus tietojen käsittelyyn rekisteröidyltä. 
  2. “Tietojen käsittely on välttämätöntä ennalta ehkäisevää hoitoa tai lääketieteellistä tarkoitusta varten, työntekijän työkyvyn arvioimiseksi, lääketieteellisen diagnoosin tekemiseksi, terveys tai sosiaalipalveluiden tarjoamiseksi”
  3. “Henkilötietojen käsittely on välttämätöntä yleisen edun vuoksi kansanterveydellisistä syistä, kuten väestön suojaamisessa terveyden kannalta vakavilta haitoilta sekä terveydenhuollon ja lääkkeiden tai lääkinnällisten laitteiden laadun ja turvallisuuden korkean tason varmistamiseksi”

Yleisen tietosuoja-asetuksen mukaan EU jäsenvaltiot voivat kuitenkin päättää pitävätkö asetuksen määrittelemät vaatimukset terveyttä koskevista henkilötiedoista ennallaan vai tiukentaa vaatimuksia geneettisten, biometristen ja terveyttä koskevien tietojen suhteen. Rekisteröidyt saavat GDPR:n ansiosta laajemmat oikeudet terveyttä koskeviin tietoihinsa. Terveydenhuollossa tärkeimmät muutokset ovat rekisteröidyn oikeus saada pääsy omiin tietoihinsa, oikeus tietojen siirrettävyyteen, joka mahdollistaa tietojen siirron eri terveysviranomaisten tai palvelun tarjoajien välillä. Oikeus tulla unohdetuksi, on yksi vaikeasti toteutettavimmista. Rekisteröidyllä on oikeus pyytää potilas- tai terveystietojensa poistoa tai niiden käsittelyn lakkauttamista. Tämä voi kuitenkin osoittautua käytännössä ristiriitaiseksi kansallisen lainsäädännön kanssa, koska useat maat velvoittavat tietojen säilyttämistä tietyn määräajan. 

Yleinen tietosuoja-asetus velvoittaa julkista terveydenhuoltoa sekä palvelun tarjoajia nimittämään tietosuojavastaavan (DPO), koska arkaluonteisia tietoja käsitellään suuressa mittakaavassa. Tietosuoja-asetus velvoittaa rekisterinpitäjän tekemään tietyin edellytyksin tietosuojaa koskevan vaikutustenarvioinnin. Vaikutustenarviointi vaaditaan, mikäli henkilötietojen käsittely todennäköisesti aiheuttaa luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin. Rekisterinpitäjän tulee arvioida näiden tunnusmerkkien täyttymistä. 

Tietoturvaloukkaus voi tarkoittaa tiedon tuhoutumista, jolloin tieto on hävinnyt tai se ei ole enää sellaisessa muodossa, jossa sit voidaan käyttää. Tietoturvaloukkaus voi tarkoittaa myös tiedon vahingoittumista, jolloin tietoa on muutettu tai se ei ole enää täydellistä. Terveydenhuollon ja palvelun tarjoajien tulee ilmoittaa tietoturvaloukkauksesta sekä valvontaviranomaiselle että rekisteröidylle 72 tunnin sisällä. On tärkeää asettaa asianmukaiset tekniset ja organisatoriset suojatoimenpiteet tietoturvaloukkauksien varalle, kuten tietojen suojaus ja henkilöstön koulutus. 

Tietoturvaloukkausta seuraavat sanktiot voivat nousta jopa 20 miljoonaan tai vastaavasti 4% maailmanlaajuisesta liikevaihdosta. Terveydenhuoltoa koskeva tietoturvaloukkaus tapahtui viimeksi Portugalilaisessa sairaalassa. Sairaala sai 400 000€ sakon, koska potilastietoihin oli mahdollisuus päästä käsiksi tekaistujen profiilien avulla.

 Euroopan Unionin jäsenvaltiot saavat itse määrittää julkisen sektorin sekä viranomaisten mahdolliset sanktiot tietoturvaloukkausten sattuessa. 

Tarvittavat muutokset terveydenhuollossa tietosuojan turvaamiseksi 

Tietoturvaloukkausia voidaan pyrkiä välttämään jos terveydenhuoltoala noudattaa edellä mainittuja vaatimuksia mukaan lukien tietojenkäsittelysopimusten tarkastaminen. Tämän lisäksi on tärkeää pitää organisaation sisäiset toimintatavat, dokumentointi ja tietokannat ajan tasalla ja valmiina mahdollisiin tarkastuksiin. Henkilötietojen käsittelytoimista tulee ylläpitää rekisteriä, jotta tiedetään mitä tietoa kerätään, mihin sitä kerätään ja miten tietoa säilytetään. Ikääntyvän ja vanhentuneen IT-infrastruktuurin vuoksi terveydenhuoltoala on erittäin altis tietoturvaloukkauksille. Tekniset turvatoimet on tärkeä asettaa, jotta luvattomia pääsyjä tietoihin voidaan ehkäistä. 

Lisää aiheesta:

https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1543321123665&uri=CELEX:32016R0679https://ico.org.uk/for-organisations/healthhttp://www.eu-patient.eu/globalassets/policy/data-protection/data-protection-guide-for-patients-organisations.pdf

Share on facebook
Share on google
Share on twitter
Share on linkedin
Share on pinterest
Share on print
Share on email

Try our GDPR Compliance Tool GDPR Register for 14-days.

No credit card required.

Latest Posts
Tietosuojavaltuutettu määräsi Svea Ekonomia muuttamaan käytäntöjään henkilötietojen käsittelyssä

Tietosuojavaltuutettu määräsi Svea Ekonomia muuttamaan käytäntöjään henkilötietojen käsittelyssä

Helsingin sanomat julkaisi hiljattain artikkelin, jossa kerrottiin tietosuojavaltuutetun määränneen rahoitusyhtiö Svea Ekonomin muuttamaan henkilötietojen käsittelyä koskevia käytäntöjään.   Tietosuojavaltuutettu aloitti tutkinnan...
GDPR ja verkkohyökkäykset: Kiristyshaittaohjelmat

GDPR ja verkkohyökkäykset: Kiristyshaittaohjelmat

Kiristyshaittaohjelmat ja Yleinen Tietosuoja-asetus Lähes jokaisella yrityksellä on käytössä erilaisia digitaalisia ratkaisuja. Jos yrityksen IT infrastruktuuria ja sisäisiä käytäntöjä ei...
Terveydenhuoltoala ja GDPR

Terveydenhuoltoala ja GDPR

Yleisen tietosuoja-asetuksen voimaantulon jälkeen henkilötietojen suojaaminen on osoittautunut yhä haastavammaksi terveydenhuoltoalalle. Tietoja tulisi käsitellä kokonaisvaltaisemmin sekä ymmärtää tiedon liikkuvuuden rakenteita....
Hotelli ja matkailuala: Kuinka noudattaa Yleistä tietosuoja-asetusta?

Hotelli ja matkailuala: Kuinka noudattaa Yleistä tietosuoja-asetusta?

Hotelli ja matkailuala (majoitus, ravintolat, matkailu) on yksi suurimmista yksittäisistä aloista, jotka keräävät eniten henkilötietoja. Näin ollen on tärkeää, että...
IP – osoitteen Anonymisaatio – Google Analytics

IP – osoitteen Anonymisaatio – Google Analytics

Monet yritykset käyttävät Google Analyticsia apuvälineenään saadakseen tärkeää tietoa asiakkaiden käyttäytymisestä verkkosivustoilla, mobiilisovelluksissa jne. Google Analytics käyttää verkkosivustojen käyttäjien IP-...
Suomessa aloitetaan ensimmäiset GDPR-tarkastukset – Tietosuoja-asetuksen rikkomisesta voi seurata miljoonien sanktiot

Suomessa aloitetaan ensimmäiset GDPR-tarkastukset – Tietosuoja-asetuksen rikkomisesta voi seurata miljoonien sanktiot

Tietosuojavaltuutetun toimisto on saanut suuren määrän valituksia mahdollisista tietoturvaloukkauksista yleisen tietosuoja-asetuksen astuessa voimaan 25 toukokuuta 2018. Suomen tietosuojaviranomaiset ovat aloittamassa...
GDPR: Oikeutettu etu

GDPR: Oikeutettu etu

Oikeutettu etu MITÄ TARKOITTAA OIKEUTETTU ETU? GDPR määrittelee kuusi laillista perustaa henkilötietojen käsittelylle → oikeutettu etu on yksi niistä Oikeutettu...
Kanta-asiakasohjelmat Tietosuoja-Asetuksen tarkastelun alla

Kanta-asiakasohjelmat Tietosuoja-Asetuksen tarkastelun alla

Liettuan tietosuojaviranomainen on äskettäin saanut valmiiksi selvityksen liittyen henkilötietojen käsittelyyn suoramarkkinointitarkoituksissa. Selvityksen kohteina olivat tärkeimmät elintarvike, lääketeollisuus sekä kotitalouden alat,...
Henkilötietojen tietoturvaloukkauksesta ilmoittaminen yleisen tietosuoja-asetuksen mukaisesti

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen yleisen tietosuoja-asetuksen mukaisesti

Tietoturvaloukkauksella tarkoitetaan turvallisuuden loukkaamista, joka johtaa henkilötietojen vahingossa tapahtuvaan tai laittomaan hävittämiseen, häviämiseen, muuttamiseen, luvattoman paljastumiseen tai saatavuuteen. Henkilötietojen rikkomukset...
Miten GDPR vaikuttaa suoramarkkinointiin ja profilointiin?

Miten GDPR vaikuttaa suoramarkkinointiin ja profilointiin?

Miten GDPR vaikuttaa suoramarkkinointiin ja profilointiin? Suoramarkkinointi ja kuluttajien käyttäytymismallit (profilointi) ovat keskeisiä työkaluja, joita yritys käyttää tuotteidensa tai palveluidensa...

Zpracovává vaše společnost osobní údaje?


Zpracovávat vaše společnost osobní údaje fyzických osob, jako jsou:

  • Údaje zaměstnanců, zákazníků, uchazečů o zaměstnání nebo pacientů včetně:
    • Jméno nebo osobní identifikační číslo
    • Kontaktní údaje (e-mailová adresa, telefonní číslo, adresa)
    • Bankovní údaje, plat, údaje o pasu nebo jiné osobní údaje

 

Ar Jūsų įmonė renka ir tvarko fizinių asmenų asmens duomenis? 


Asmens duomenys gali būti:

  • Kliento, darbuotojo. paciento, kandidato į darbo vietą ir kt. 
    • Vardas ar asmens  numeris 
    • Kontaktinė informacija (el.pašto adresas, telefono numeris, adresas ir kt)
    • Banko sąskaitos  duomenys, atlyginimo dydis, paso duomenys ar bet kokia kita asmeninė informacija. 

Onko yrityksessäsi enemmän, kuin 250 työntekijää?


Kas teie ettevõte kogub ja töötleb isikuandmeid?


Kas teie ettevõte kogub ja töötleb füüsiliste isikutega seotud andmeid nagu näiteks:

Töötajate, klientide, tööle kandideerijate, patsientide:

  • Nimi, isikukood
  • E-posti aadress, telefoninumber, kodune aadress
  • Pangakontonumber, palgasumma, krediitkaardiandmed või mõnda muut tüüpi isiklikud andmed

Does your company collect any personal data?


Does your company collect and process any personal data of natural persons such as:

  • Employees, Customers, Job Applicants or Patients including:
    • Name or personal ID number
    • Contact details (Email address, Phone number, Address)
    • Bank details, Salary amounts, Passport details or any other personal data