Uutisissa on viime päivinä käsitelty terveydenhuoltoyksikköön kohdistunutta tietomurtoa. Ymmärrettävästi tämä on herättänyt kysymyksiä meidänkin asiakkaissamme.
Finla Työterveyden palvelut tuotetaan, ylläpidetään ja kehitetään tietoturvallisuutta korostaen Suomessa sijaitsevissa konesaleissa. Tietoturvallisuus on Finlassa jatkuva prosessi ja meidän toiminnan jatkuvuuden kannalta strateginen tavoite. Asiakkaiden terveystietojen turvaamiseksi sekä palvelun luottamuksellisuuden, eheyden ja saatavuuden varmistamiseksi noudatamme monia teknologisia ja hallinnollisia turvallisuustoimenpiteitä sekä Euroopan tietosuoja-asetuksen edellyttämää hyvää tietojen käsittelytapaa ja tietojen suojaamista koskevia säännöksiä.
Finlan ja asiakasyrityksien väliset työterveyshuollon järjestämisestä koskevat sopimukset, potilassuhde ja työterveyshuoltolaki edellyttävät potilasrekisterin pitämistä.
Potilasasiakirja-asetus velvoittaa kirjaamaan kaikki tiedot, jotka ovat tarpeellisia asiakkaan hoidon suunnittelemiseksi, järjestämiseksi, toteuttamiseksi ja seurannan turvaamiseksi, mutta vain käyttötarkoituksensa kannalta tarpeellisia tietoja.
Tällaisia tietoja ovat mm.
• potilaan yksilöintitiedot kuten suku- ja etunimi, henkilötunnus ja yhteystiedot
• työnantajaa koskevat tiedot
• lakisääteisen työterveyshuollon ja muun lakisääteisen toiminnan edellyttämät tiedot
• vapaaehtoisesti järjestetyn sairaanhoidon tiedot, jos se kuuluu työterveyshuoltosopimuksen piiriin
• työntekijälle hänen suostumuksellaan tehdyt huumetestit
• työnantajan määräämät terveydentilaselvitykset ja niistä laaditut lausunnot
Sosiaali- ja terveysministeriö määrittelee potilasasiakirjoille säilytysaikoja, joita terveydenhuollossa noudatetaan. Pääsääntöisesti potilastietoja säilytetään 12 vuotta potilaan kuoleman jälkeen. Jos kuolinaika ei ole tiedossa tietoja säilytetään 120 vuotta potilaan syntymästä. Määräaikojen kuluttua umpeen potilastiedot hävitetään tietoturvallisesti.
Potilaan kertomustietoja emme voi potilaslain mukaisesti edes pyynnöstä poistaa potilastietojärjestelmästä.
Finla Työterveyden potilastietojärjestelmä toimii ostettuna palveluna palveluntuottajan palvelinsalista Helsingistä ja se on Kanta-sertifioitu sekä auditoitu. Palveluntuottaja päivittää ja ylläpitää palvelinkeskuksessa olevaa potilastietojärjestelmää ja laitteita säännöllisesti. Palvelinsali on monitoroitu ja kulkuoikeuksin suojattu. Palvelinsalissa sijaitseva data varmuuskopioidaan vähintään päivittäin ja kopiot säilytetään eri sijainnissa missä alkuperäinen tieto sijaitsee.
Finla Työterveyden omat palvelimet on ostettu palveluna it-palveluntuottajan palvelinsalista Tampereelta, joka päivittää ja ylläpitää Finlan palvelimia ja laitteita säännöllisesti. Myös heidän palvelinsalinsa on monitoroitu ja kulkuoikeuksin suojattu. Potilastietojärjestelmän palveluntuottajan ja Finlan palvelinsalien välillä on suojattu, tietoturvallinen yhteys, jota kautta potilastietojärjestelmä toimii.
Finlan henkilökunta käyttää potilastietojärjestelmää toimikortilla eli käytössä on vahva tunnistautuminen. Käyttöoikeudet tarkistetaan säännöllisesti ja poistetaan kun käyttäjä ei niitä enää tarvitse.
Vaitiolovelvollisuus liittyy kaikkeen Finlan tietoon ja henkilötietoon. Vaitiolovelvollisuus on kirjattuna niin henkilökunnan kuin palveluntuottajien kanssa tehtyihin sopimuksiin.
