Tietosuojaseloste Finla Työterveys Oy

Finla työterveys tuottaa asiakasyritysten työntekijöille työterveyshuoltopalveluja, joita tuotetaan, ylläpidetään ja kehitetään tietoturvallisuutta korostaen. Tuotamme palvelumme Suomessa sijaitsevista konesaleista.

Asiakkaiden terveystietojen turvaamiseksi sekä palvelun luottamuksellisuuden, eheyden ja saatavuuden varmistamiseksi käytämme monia teknologisia ja hallinnollisia turvallisuustoimenpiteitä. Terveydenhuollon lakien lisäksi noudatamme 25.5.2018 voimaan tulevaa Euroopan tietosuoja-asetuksen edellyttämää hyvää tietojen käsittelytapaa ja tietojen suojaamista koskevia säännöksiä.

Rekisteriasioista vastaava

Finla työterveys Oy
Toimitusjohtaja Anu Pekki
Satakunnankatu 18 B
33210 Tampere
Puh. 050-3673060

Rekisteriasioiden yhteyshenkilö

Tietosuojavastaava Seija Salminen
Puh. 041-4344395

Henkilötiedon käsittelyyn liittyvät roolit

Finla työterveys käsittelee henkilötietoja työterveyshuoltopalveluja tuottaessaan itsenäisenä rekisterinpitäjänä kaikkien työterveyshuoltopalveluidemme asiakas- ja potilastietojen osalta. Finla työterveys ei käsittele koskaan potilastietoja asiakkaan puolesta tai lukuun tai heidän käsittelyohjeidensa mukaan.Terveydenhuollossa on omat kansalliset potilaslait ja tietosuoja-asetus 25.5.2018 alkaen, jotka ohjaavat toimintaa.

Finla työterveyden käyttäessä alihankkijoita  työterveyshuoltopalveluja tuottaessaan on Finla työterveys rekisterinpitäjänä vastuussa ja velvollinen ohjeistamaan ostopalveluntuottajia henkilötietojen käsittelyssä tietosuoja-asetuksen mukaisesti sekä velvoittamaan  ostopalveluntuottajia noudattamaan samoja tietosuojaperiaatteita.

Henkilötietojen käsittelyn luonne ja tarkoitus

Finla työterveyden ja yrityksien kanssa tekemät työterveyshuollon järjestämisestä koskevat sopimukset, potilassuhde ja työterveyshuoltolaki edellyttävät potilasrekisterin pitämistä. Potilasrekisteriin kerätään tietoja potilaan terveydentilan seurantaan ja sairaanhoidon suunnitteluun, toteuttamiseen ja seurantaan.

Tietoja käytetään myös rekisterinpitäjän oman toiminnan tilastointiin, suunnitteluun ja raportointiin. Potilasrekisteritietoja saa käyttää vain siihen käyttötarkoitukseen, joka sille on määritelty, ellei muussa laissa ole toisin säädetty.

Henkilötietojen säännönmukaiset tietolähteet

Tietolähteinä ovat itse potilas, lääkäri sekä muu hoitohenkilökunta, jotka tekevät tutkimus- ja hoitopäätöksiä osallistuessaan potilaan hoitoon. Tietolähteenä ovat myös asiakkaan suostumuksella muilta terveydenhuollon toimintayksiköiltä saadut potilastiedot.

Mitä henkilötietoja käsitellään?

Potilasasiakirja-asetus velvoittaa kirjaamaan kaikki tiedot, jotka ovat tarpeellisia asiakkaan hoidon suunnittelemiseksi, järjestämiseksi, toteuttamiseksi ja seurannan turvaamiseksi, mutta vain käyttötarkoituksensa kannalta tarpeellisia tietoja.

Rekisteri sisältää myös työterveyshuollon toteutukseen liittyvät tiedot, jotka on syytä olla käytettävissä potilaan hoidossa kuten luettelot työnantajan palveluksessa olevista työtekijöistä sekä työyhteisöä koskevat tarvittavat tiedot (ei henkilötietoja).

  • potilaan yksilöintitiedot kuten suku- ja etunimi, henkilötunnus ja yhteystiedot
  • työnantajaa koskevat tiedot
  • lakisääteisen työterveyshuollon ja muun lakisääteisen toiminnan edellyttämät tiedot
  • vapaaehtoisesti järjestetyn sairaanhoidon tiedot, jos se kuuluu työterveyshuoltosopimuksen piiriin
  • työtekijälle hänen suostumuksellaan tai työntekijälle tehdyt huumetestit
  • työantajan määräämät terveydentilaselvitykset ja niistä laaditut lausunnot

Henkilötietojen siirrot

Potilastietoja voidaan luovuttaa vain potilaan kirjallisella suostumuksella. Ilman rekisteristä vastaavan kirjallista lupaa ei saa luovuttaa tai siirtää salassa pidettäviä asiakastietoja tai muuta salassa pidettävää tietoa, eikä tallentaa niitä toisiin rekistereihin, työaseman kiintolevylle tai muille tallennuslaitteille. Asiakastiedoilla tarkoitetaan ensisijaisesti potilastietoja sekä asiakasorganisaatioita koskevia tietoja.

Asiakastietoja ei siirretä EU:n sisällä tai Euroopan talousalueen ulkopuolelle.

Henkilötietojen tietopyynnöt

Potilaalla on oikeus tarkastaa itseään koskevat potilasrekisteritiedot ja pyynnöstä saada ne kirjallisena. Potilaan perustellusta, kirjallisesta vaatimuksesta on oikaistava, poistettava tai täydennettävä potilasrekisterissä oleva, käsittelyn tarkoituksen eli työterveyshuollon toteutuksen kannalta virheellinen, tarpeeton, puutteellinen tai vanhentunut potilastieto.

Tarkastusoikeus sekä oikaisuvaatimus tehdään aina kirjallisesti ja potilaan henkilöllisyydestä varmistutaan ja se tarkistetaan.

Henkilötietojen säilytys

Sosiaali- ja terveysministeriö määrittelee potilasasiakirjoille säilytysaikoja, joita terveydenhuollossa noudatetaan. Pääsääntöisesti potilastietoja säilytetään 12 vuotta potilaan kuoleman jälkeen. Jos kuolinaika ei ole tiedossa tietoja säilytetään 120 vuotta potilaan syntymästä. Määräaikojen kuluttua umpeen potilastiedot hävitetään tietoturvallisesti.

Potilaan kertomustietoja emme voi potilaslain mukaisesti koskaan poistaa, mutta voimme piilottaa ne ns. passiiviarkistoon, näkymättömiin potilastietojärjestelmän sisällä. Mikäli passiiviarkistosta haetaan terveystietoja, jää siitä lokitiedot samalla periaatteella kuin aktiiviarkiston puolella.

Tekninen ja fyysinen tietoturva

Kaikki suojattavaa tietoa käsittelevät tietoverkot ja – järjestelmät ovat organisaation tietoturvaperiaatteiden ja tietoturvapolitiikan mukaisesti suojattuja. Tuotantoympäristö on suojattu palomuurilla ja tuotantoympäristöön kuljetaan palomuurin läpi tunnistautumalla yksilöllisellä käyttäjätunnuksella ja riittävän pitkällä salasanalla. Kirjautumiset tallentuvat tietojärjestelmiin ns. lokitiedoiksi. Liikkuvassa työssä, kannettavilla tietokoneilla toimittaessa käytetään suojattua yhteyttä.

Finla työterveyden potilastietojärjestelmä toimii SaaS palveluna palveluntuottajan palvelinsalista Helsingistä. Palveluntuottaja päivittää ja ylläpitää palvelinkeskuksessa olevaa potilastietojärjestelmää ja laitteita säännöllisesti. Palvelinsali on monitoroitu ja kulkuoikeuksien suojattu. Palvelinsalissa sijaitseva data varmuuskopioidaan päivittäin ja kopiot säilytetään eri sijainnissa missä alkuperäinen tieto sijaitsee.

Finla työterveyden palvelimet on ulkoistettu eri palveluntuottajalle Tampereella. Palvelinsali on monitoroitu ja kulkuoikeuksien suojattu. Kyseisten palveluntuottajien palvelinsalien välillä on suojattu yhteys, jota kautta potilastietojärjestelmä toimii.

Finlan lukuun toimivat ulkopuoliset kirjautuvat Finlan järjestelmiin vahvaa tunnistautumista käyttäen. Käyttöoikeudet tarkistetaan säännöllisesti ja poistetaan kun käyttäjä ei niitä enää tarvitse. Vaitiolovelvollisuus liittyy kaikkeen Finlan tietoon ja henkilötietoon. Vaitiolovelvollisuus on kirjattuna kolmansien osapuolien kanssa tehtyihin sopimuksiin.

Hallinnollinen tietoturva

Kaikki työntekijät allekirjoittavat salassapito- ja käyttäjäsitoumuksen ennen pääsyoikeuden saamista suojattavaan tietoon. Käyttäjille annetaan vain ne oikeudet, joita he tarvitsevat tehtäviensä hoitamiseen siinä laajuudessa kuin työtehtävät sitä edellyttävät.

Terveystiedot ovat potilaslain mukaan salassa pidettäviä.

Terveystietoja voivat käsitellä vain hoitoon kulloinkin osallistuvat terveydenhuollon ammattihenkilöt tai hoitoon liittyviin tehtäviin osallistuvat kuten esim. toimistosihteerit. Terveystietojen sisäisessä käytössä huolehditaan kaikissa käsittelyvaiheissa potilaslain sekä henkilötietolain (jatkossa tietosuojalain) salassapito-, suojaamis- ja huolellisuusvelvoitteen sekä tarpeellisuus- ja virheettömyysvaatimusten noudattamista. Terveystietojen eli potilasasiakirjojen käsittelystä on erilliset, kirjalliset ohjeet. Finla noudattaa omavalvontasuunnitelmaa, johon sisältyy vuosittaiset auditoinnit.

Tietosuojaohjeistus ja -käytänteet ovat aina osa uuden työntekijän perehdytysprosessia. Henkilökunnan tietoja ja ymmärrystä tietosuojaan ja -turvaan kehitetään ja pidetään yllä sisäisillä koulutuksilla.

Tietojärjestelmät on suojattu ulkopuoliselta käytöltä (käyttövaltuutushallinta) ja rekisteritietoja säilytetään sähköisessä muodossa. Käytön valvonnan apuna on lokitietojen seuranta ja valvonta. Potilastietoja voidaan luovuttaa vain potilaan kirjallisella suostumuksella. Henkilökunta käyttää potilastietojärjestelmää toimikortilla eli käytössä on vahva tunnistautuminen.

Salassapitovelvollisuudessa (asiakirjasalaisuus ja vaitiolovelvollisuus) noudatamme seuraavia lakeja:

  • Laki potilaan asemasta ja oikeuksista (785/92, muut 653/2000, 13 §)
  • Laki terveydenhuollon ammattihenkilöistä (559/1994, 17 §)
  • Laki yksityisestä terveydenhuollosta (152/1990, 12 §)
  • Työterveyshuoltolaki (743/78, 6 §)
  • Henkilötietolaki (523/1999, 33 §) (jatkossa tietosuojalaki)

Tietoturvaloukkaus ja informointivelvollisuus

Finlan on ilmoitettava viimeistään 72 tunnin sisällä tietoturvaloukkauksen ilmitulosta tietosuojavaltuutetulle sekä rekisteröidylle mikäli tietosuojaloukkauksesta todennäköisesti aiheutuu luonnollisen henkilön oikeuksiin ja vapauksiin kohdistuvaa riskiä. Finlalla on tietoturvaloukkauksien ilmoitusmenettelyä koskeva prosessi ja suunnitelma.

Start typing and press Enter to search