Transcript Tietosuoja

Tietoturva ja tietosuoja
terveydenhuollossa
Verkko-opiskelumateriaalin tiivistelmä
01.09.2011
Tietoturva
Esityksen sisältö ja käyttötarkoitus


Esitys perustuu itseopiskelumateriaaliin, joka on
julkaistu syyskuussa 2011 KanTa-internetsivujen
Verkkokoulussa (www.kanta.fi)
Esityksen sisältö



Käyttötarkoitus


Tietoturvan perusteet
Terveydenhuollon tietosuojan perusteet
Eri kohderyhmien paikalliset tietoiskut
Tavoite

Lisätä tietoisuutta tietoturvasta ja tietosuojasta sekä
verkko-opiskelumateriaalista Kanta-sivuilla.
Kansallinen Terveysarkisto
2
Mitä eroa on tietoturvalla ja tietosuojalla?


Tietoturvallisuus muodostuu sellaisista
käytännön toimenpiteistä, joiden
tarkoituksena on varmistaa tiedon
saatavuus, eheys ja käytettävyys sekä
tietojen salassapito ja tietojen rajatut
käyttöoikeudet.
Tietosuoja tarkoittaa henkilötietojen
turvallista käsittelyä siten, ettei
henkilöiden yksityisyyden suojaa tai
oikeusturvaa vaaranneta.
3

Tietoturva on käytännön
toimenpiteitä tiedon




saatavuuden
käytettävyyden
luottamuksellisuuden
eheyden
parantamiseksi
Usko hyvästä tietoturvasta on vaarallisempaa kuin
tieto huonosta!
4
Tietoturva
Estä haittaohjelmat!

Haittaohjelmat hyödyntävät
tietoturva-aukkoja




Hyökkääjä pyrkii saamaan tietokoneesi
hallintaansa haittaohjelman avulla
Haittaohjelmia levitetään sähköpostin
liitetiedostojen ja saastuneiden internetsivujen välityksellä
Haittaohjelmat yleistyvät mobiililaitteissa
Suojautuminen:


Asenna palomuuri ja virustorjuntaohjelmisto
Pidä päivitykset ajan tasalla:

 palomuuri, virustorjunta
 käyttöjärjestelmä, selain, muut ohjelmat
Nämä ovat yleensä atk-tuen ylläpitovastuulla
Kansallinen Terveysarkisto
5
Tietoturva
Muita tietoturvauhkia

Tietojen kalastelu eli verkkourkinta


Kohteena luottamukselliset tiedot (esim.
verkkopankkitunnukset tai henkilötiedot)
Täsmähyökkäykset avainhenkilöitä kohtaan



Sosiaalisen median tietoturvariskit
USB-muistitikkujen kanssa tarkkana




Älä klikkaa tuntemattoman henkilön lähettämän
sähköpostiviestin linkkiä
Tikun hukkaaminen, haittaohjelmien leviäminen
Tietovuodot nettiin (tahalliset ja tahattomat)
Suojaamattomat WLAN-verkot vaarallisia
Varmuuskopioinnin unohtaminen
Kansallinen Terveysarkisto
6
Tietoturva
Tietoturva on jokaisen työntekijän vastuulla

Vahva turvallisuustaso muodostuu vain, kun kaikki
työntekijät aktiivisesti osallistuvat tietoturvallisuuden
toteuttamiseen ja valvontaan
Kansallinen Terveysarkisto
7
Tietoturva
Tietoturvan yhteenveto







Tietoturvallisuudesta on 20% tekniikkaa ja 80 %
psykologiaa
Tietoturvan heikoin lenkki on käyttäjä
Huolehdi laitteista ja tunnuksista
Käytä riittävän pitkiä ja monimutkaisia salasanoja
Älä käytä samoja salasanoja eri palveluissa
Tutustu paikallisiin ohjeisiin
Vaadi koulutusta
Kansallinen Terveysarkisto
8
Tietosuoja
Jokaisella on oikeus yksityisyyden suojaan
Potilastiedot ovat salassa pidettäviä tietoja
9
Tietosuoja
Taustaa terveydenhuollon tietosuojasta

Tietosuoja= henkilötietojen käsittelyä
koskevien vaatimusten huomioon ottamista:








Asiakastietolaki 1227/2010
Henkilötietolaki 523/1999
Laki sähköisestä lääkemääräyksestä 61/2007
Rikoslaki (Tieto- ja viestintärikokset)
Sähköisen viestinnän tietosuojalaki
Terveydenhuoltolaki 1326/2010
Laki potilaan asemasta ja oikeuksista
Terveydenhuollon tietosuojan perusta on
esitetty jo Hippokrateen lääkärinvalassa

Lähes kaikilla terveydenhuollon ammattiryhmillä on omat
eettiset ohjeensa, joissa sitoudutaan
vaitiolovelvollisuuteen ja potilastietojen
luottamukselliseen käsittelyyn
Kansallinen Terveysarkisto
10
Tietosuoja
Keskeisiä termejä

Rekisterinpitäjä



Rekisterinpitäjä on henkilö, yhteisö, laitos tai säätiö,
jonka käyttöä varten henkilörekisteri on perustettu ja
joka määrää henkilörekisterin käytöstä.
Rekisterinpitäjän on oltava henkilötietojen käsittelyssä
erittäin huolellinen ja varmistettava, ettei virheellisiä,
epätäydellisiä tai vanhentuneita henkilötietoja käsitellä.
Tietosuojavastaava


Rekisterinpitäjän nimeämä henkilö, joka huolehtii
tietosuojaan liittyvien seuranta- ja valvontatehtävien
suunnittelusta ja toteutuksesta
Laki edellyttää, että terveydenhuollossa rekisterinpitäjä
on nimennyt tietosuojavastaavan henkilön.
Kansallinen Terveysarkisto
11
Tietosuoja
Muita keskeisiä termejä





Henkilötieto
Arkaluonteinen henkilötieto
Potilastieto
Henkilörekisteri
Rekisteröity henkilö
Kansallinen Terveysarkisto
12
Tietosuoja
Henkilötietojen käsittelyvaatimuksia
Henkilötietojen käsittelyllä tarkoitetaan henkilötietojen keräämistä, tallettamista,
järjestämistä, käyttöä, siirtämistä, luovuttamista, säilyttämistä, muuttamista,
yhdistämistä, suojaamista, poistamista, tuhoamista sekä muita henkilötietoihin
kohdistuvia toimenpiteitä.
Tarpeellisuusvaatimus
Virheettömyysvaatimus
Suojaamisvelvoite
Käyttötarkoitussidonnaisuus
Asiallinen yhteys
Kansallinen Terveysarkisto
13
Tietosuoja
Potilastiedot ovat salassa pidettävää tietoa ja
niiden urkkiminen on rangaistavaa!

Rikosnimikkeitä:







Henkilörekisteririkos
Henkilörekisteririkkomus
Salassapitorikos
Tietomurto
Sähköisestä lääkemääräyksestä annetun lain
rikkominen
Sosiaali- ja terveydenhuollon asiakastietojen
käsittelyrikkomus
Seuraamukset:



Sakko, vankeus
Huomautus, varoitus, työsuhteen purku
Vahingonkorvaus
Kansallinen Terveysarkisto
14
Tietosuoja
Rekisteröidyn henkilön (potilaan) oikeuksia

Oikeus tarkastaa itseään koskevat potilastiedot





Tarkastuspyyntö
Oikeus vaatia tiedon korjaamista
Suostumus tietojen luovuttamiseen
Oikeus kieltää tietojensa luovuttaminen
Oikeus selvityspyynnön tekemiseen
Kansallinen Terveysarkisto
15
Tietosuoja
Alaikäisen potilaan oikeuksista

Alaikäisen potilaan laillinen edustaja on hänen
huoltajansa


Huoltaja voi antaa suostumuksen alaikäistä koskevien tietojen
luovuttamiseen, mikäli alaikäinen ei ole erikseen tietojen
luovuttamista huoltajalleen kieltänyt.
Huom! Alaikäisen mielipide hoitotoimenpiteeseen
on selvitettävä silloin, kun se on hänen ikäänsä ja
kehitystasoonsa nähden mahdollista.

Jos alaikäinen ikänsä ja kehitystasonsa perusteella kykenee
päättämään hoidostaan, häntä on hoidettava
yhteisymmärryksessä hänen kanssaan.

Kypsyys arvioidaan tapauskohtaisesti (ei ole sidottu ikään)
Kansallinen Terveysarkisto
16
Tietosuoja
Potilastietojen luovuttaminen eräissä
erityistilanteissa

Ilmoitusvelvollisuus






Törkeät rikokset (mm. joukkotuhonta, maanpetos, vakoilu,
raiskaus, murha, tappo, ryöstö ja ihmiskauppa)
Lastensuojelulaki: alaikäisen hoidon tarve, olosuhteet tai
käyttäytyminen
Tieliikennelaki: pysyvästi heikentynyt terveydentila estää
ajokortin myöntämisen tai uusimisen
Ampuma-aselaki (ilmoitusvelvollisuus lääkärillä,
ilmoitusoikeus muilla terveydenhuollon ammattihenkilöillä)
Eräät valtakunnalliset henkilörekisterit
Ilmoitusoikeus

Hätävarjelu tai välittömän vaaran torjuminen
Kansallinen Terveysarkisto
17
Tietosuoja
Potilastietojen luovuttaminen

Luovutus perustuu lakiin tai potilaan suostumukseen




Luovutuspyyntö
Ilmoitusvelvollisuus
Ilmoitusoikeus
Luovutusperusteiden on ilmettävä luovutuspyynnöstä
tai on oltava potilaan kirjallinen suostumus


näyttövelvollisuus tietojen laillisesta luovuttamisesta tietojen
luovuttajalla
työntekijän oman oikeusturvan kannalta tietojen
luovutusperusteet on syytä dokumentoida kirjallisesti
Kansallinen Terveysarkisto
18
Tietosuoja
Sähköpostin käyttäminen
terveydenhuollossa

Tietosuojavaltuutetun mielestä potilaille
suunnatussa viestinnässä ei suojaamatonta
sähköpostia tulisi lainkaan käyttää, etenkään jos
viesti sisältää arkaluonteista potilastietoa.


Ei sallittua, vaikka potilas antaisi tähän luvan
Jo tieto potilassuhteesta tai asiakkaan nimen paljastaminen
voidaan arvioida arkaluonteiseksi tiedoksi.


Esim. potilaan sähköpostilla lähettämään ajanvaraukseen tulisi
vastata puhelimitse tai kirjallisesti.
Huom! Vahvasti suojatut sähköpostijärjestelmät
Kansallinen Terveysarkisto
19
Tietosuoja
Tekstiviestien käyttö terveydenhuollossa


Tietosuojavaltuutetun mielestä tekstiviestejä
voidaan käyttää, jos potilas antaa tähän
suostumuksensa.
Vain rajoitettuun käyttöön:


Potilaan ja lääkärin välinen tiedonvaihto on aina
luottamuksellista
Sallittua esim. ajanvaraukseen liittyvien, välttämättömien
tietojen ilmoittaminen tai apteekin ilmoitus, että lääkkeet
ovat noudettavissa.
Kansallinen Terveysarkisto
20
Tietosuoja
Potilastietojen säilytys ja hävittäminen

Säilytysajat määritelty STM:n asetuksissa


Säilyttämisestä vastaa se organisaatio tai
ammatinharjoittaja, jonka toiminnassa tiedot ovat syntyneet
Jos potilastietoja ei ole määritelty pysyvästi
säilytettäviksi, tiedot tulee hävittää säilytysajan
päätyttyä siten, etteivät sivulliset tai
ulkopuoliset pääse tietoihin käsiksi


Muista, että tietokoneelta tai tietojärjestelmistä poistettu
tieto ei takaa, etteikö tietoa voisi myöhemmin
ammattilaisvälinein palauttaa
Laitteiden (esim. kovalevyt) fyysinen tuhoaminen on
monissa organisaatioissa ainoa sallittu tapa tietojen
hävittämiseen
Kansallinen Terveysarkisto
21
Tietosuoja
Tietosuoja ja työsuhde
Tietosuojan keinoin voidaan vahvistaa myös työntekijän oikeusturvaa!
Henkilötietojen kerääminen työsuhteessa
Työntekijöiden potilastiedot
Rekrytointi
Huumausainetestit
Kameravalvonta työpaikalla
Verkkoselailun valvonta
Sähköpostien avaaminen
Tietojärjestelmien käytönvalvonta
Kansallinen Terveysarkisto
22
Tietosuoja
Lopuksi

Laajempi tietopaketti löytyy internetistä osoitteesta
www.kanta.fi


Verkkokoulu > Tietoturva ja tietosuoja terveydenhuollossa
Paketissa mukana mm.






Tietoturvan huoneentaulu (tulostettava)
Useita käytännön tilanneharjoitteita (case) potilastietojen
käsittelyä ja luovutusta koskien
Tiivistelmätaulukko eri luovutuskäytännöistä (tulostettava)
Tietosuojavaltuutettu Reijo Aarnion videohaastattelut
terveydenhuollon TOP10-tietosuojakysymyksistä
Mahdollisuus testata osaaminen (lopputesti)
Todistuksen tulostusmahdollisuus (jos testi hyväksytty)
Kansallinen Terveysarkisto
23
Kansallinen Terveysarkisto
24