Lindgren havaintoja tietosuojan_toteutumisesta
29
Havaintoja tietosuojan toteutumisesta Kanta-palvelujen tuottajan ja rekisterinpitäjän näkökulmasta Johdon tietosuojaseminaari 28.01.2016 Kanta-palvelujen yksikön johtaja Marina Lindgren, Kela
-
Upload
thl -
Category
Health & Medicine
-
view
300 -
download
2
Transcript of Lindgren havaintoja tietosuojan_toteutumisesta
Havaintoja tietosuojan toteutumisesta Kanta-palvelujen tuottajan ja rekisterinpitäjän näkökulmasta
Johdon tietosuojaseminaari 28.01.2016
Kanta-palvelujen yksikön johtaja Marina Lindgren, Kela
Tässä esityksessä
Kanta-palvelut nyt ja tulevaisuudessa
Luottamusverkostossa tietoturvasta huolehtiminen on
yhteinen, yhteisten toimintamallien asia.
Reseptikeskuksen rekisterinpitäjän (ja Kanta-palvelujen
tuottajan) havaintoja tietosuojasta
Tietosuojakyselyn 2015 tuloksia
Havaintoja ja jatkotehtäviä
Tietosuojakysely 2016
2
Kanta-palvelut tällä hetkellä
Kansalaisille=asiakkaille
Apteekeille
Sosiaali- ja
terveydenhuollolle
Omakanta
Sähköinen resepti
Lääketietokanta
Potilastiedon arkisto
Tiedonhallintapalvelu
Kansallinen
koodistopalvelu
Yhteistestaus
3
Rakenteilla olevat Kanta-palvelut
Kelain
web-resepti lääkäreille
Valtakunnalliset tietojärjestelmäpalvelut sosiaalihuollolle
1- vaiheessa PDF-arkistointi
Omakanta-palvelu laajenee (Personal Health Record, PHR)
Omien terveys- ja hyvinvointitietojen tietovaranto
Täydentää sosiaali- ja terveydenhuollon tuottamia tietoja
Sähköisen reseptin ja Potilastiedon arkiston kehittäminen
jatkuu (mm. Tiedonhallintapalvelu, vanhat asiakirjat, kuva-arkisto)
4
Sähköinen resepti on käytössä
valtakunnallisesti Kirjoitetut ja toimitetut sähköiset reseptit, 7–12/2015
5
Potilastiedon arkisto on käytössä julkisessa
terveydenhuollossa Tallennetut asiakirjat
6
301 198 512
0
50 000 000
100 000 000
150 000 000
200 000 000
250 000 000
300 000 000
350 000 000
6 7 8 9 10 11 12 1 2 3 4 5 6 7 8 9 10 11 12kk
* Palvelutapahtuma- ja hoitoasiakirjat (kaikki versiot) yhteensä
Tilanne 31.12.2015
Yksityisen terveydenhuollon käyttöönotot alkamassa!
Omakanta-palvelun käyttö lisääntyy
voimakkaasti Käynnit Omakanta-palvelussa/kk v. 2015
7
Miten Kanta-lainsäädäntö on edistänyt
tietoturvallisia palveluja ja käytäntöjä?
Kanta-lainsäädännön (L 61/2007, L159/2007) vaatimukset ja
velvoitteet antaneet perustan, jota kansalliset toimintamallit ja
organisaatioiden ohjeet täydentävät.
Vahva tunnistautuminen, varmenteet
Potilas valvoo, miten hänen tietojaan käytetään
Lokipalvelut kehittyvät
Tietosuojavastaavan rooli
Tiedon tuottajan vastuu. Väärä tieto pitää korjata.
9
Tilannekuva: Tietosuojakysely v. 2015
Tietosuojakysely toteutettiin Kelan ja Tietosuojavaltuutetun
toimiston yhteistyönä
Kysely toteutettiin webropol-kyselynä sähköistä reseptiä
käyttävien organisaatioiden tietosuojavastaaville,
vastausprosentti 69%
Kyselyn pääkohdat: Tietosuojavastaavan tehtävien organisointi
Tietosuojatyön toteuttaminen
Henkilöstön tietosuojaosaamisen varmistaminen
Tietojen käytön valvonta ja seuranta 10
Miksi tietosuojakysely tehtiin?
Kelan ja valvontaviranomaisten näkökulmasta kysely on
Reseptikeskuksen tietojen käytön valvonnan ja
seurannan väline kyselyn tuloksia käsitellään viranomaiskokoonpanolla mm. VirVa-
ryhmässä
Kysely toimii sosiaali- ja terveydenhuollon ja apteekkien
työvälineenä tietosuojatyön arvioinnissa,
ohjeistamisessa ja toiminnan kehittämisessä.
11
Tietosuojakysely 2015: tietosuojavastaavan
rooli ja tehtävät
12
Hoitaako tietosuojavastaavanne tehtäväänsä päätoimisesti?
Kyllä, tietosuojavastaan
tehtävät muodostavat henkilön
pääasiallisen toimen
Ei, tietosuojavastaan tehtäviä
hoidetaan muiden tehtävien
ohella, mutta ei pääasiallisena
tehtävänä
Tietosuojakysely 2015: tietosuojavastaavan
rooli ja tehtävät
13
Onko tietosuojavastaavan toimenkuva selkeä?
Tietosuojakysely 2015: tietosuojavastaavan
rooli ja tehtävät
Kuinka suuri osa organisaatioista on saanut apteekkarilta tai
organisaation johdolta tietosuojavastaavan tehtävistä kirjallisen
tehtävien kuvauksen?
14
Tavoitteita ja jatkotoimenpiteitä 1
Tietosuojavastaava antaa tietosuojaan liittyvää
asiantuntija-apua organisaation henkilöstölle ja johdolle,
jolla on viime kädessä vastuu henkilötietojen
asianmukaisesta käsittelystä.
Tietosuojavastaavan tehtävien hoitaminen laadukkaasti
edellyttää, että tehtävien hoitamiselle on varattu aikaa,
tehtävänkuva on selkeästi määritelty ja organisaation
johto tukee tehtävien hoitamista
15
Tietosuojakysely 2015: henkilöstön koulutus ja
ohjeistus
16
Onko apteekkari tai organisaation vastaava johtaja laatinut kattavat
kirjalliset ohjeet asiakas- ja potilastietojen käsittelystä eri
toimintaprosesseissa?
Tietosuojakysely 2015: henkilöstön koulutus ja
ohjeistus
17
Onko apteekkari tai organisaation vastaava johtaja järjestänyt
henkilöstönsä koulutuksen, jolla varmistetaan henkilöstön toiminta
kattavien kirjallisten ohjeiden mukaisesti?
Tietosuojakysely 2015: tietojen käytön valvonta
18
Valvotaanko organisaatiossanne Reseptikeskuksen tietojen käsittelyä
lokitietojen avulla?
Tietosuojakysely 2015: tietojen käytön valvonta
19
Onko organisaatiollanne toimintaohje tietojen käsittelyyn liittyvien
väärinkäytösten varalle?
Tietosuojakysely 2015: käytönvalvonta
Mihin henkilöstöryhmään tietosuojavastaavanne kuuluu?
20
Tietosuojakysely 2015: käytönvalvonta
21
Minkä henkilöstöryhmän edustaja tekee käytännössä valvontaa
apteekissanne tai organisaatiossanne?
Tavoitteita ja jatkotoimenpiteitä 2
22
Organisaation johdon tulee antaa kirjalliset ohjeet
reseptitietojen (potilastietojen) käsittelystä ja huolehtia
henkilöstön osaamisesta tietojen käsittelyssä Kun ohjeistus on kunnossa, henkilöstö osaa toimia parhaalla tavalla
myös organisaation tehokkuus ja tuottavuus huomioiden.
Organisaatiossa tulee ryhtyä toimenpiteisiin, jos
Reseptikeskuksen tietoja (potilastietoja) on käsitelty
lainvastaisesti. Väärinkäytösten käsittelyä varten tulee organisaatiossa olla prosessi
Seuraamustaulukko lisää työntekijöiden tietoisuutta heidän
vastuustaan ja oikeusturvastaan
Tavoitteita ja jatkotoimenpiteitä 3
Vältettävä vaarallisia työyhdistelmiä
(Segregation of Duties)
Riskityöyhdistelmä muodostuu esim. kun
johto hoitaa myös tietosuojavastaavan tehtäviä
sama henkilö toteuttaa sekä käytönvalvontaa että myöntää ja
hallinnoi käyttövaltuuksia
käyttövaltuusjärjestelmä ei tunnista erilaisia tehtävärooleja
23
Tavoitteita ja jatkotoimenpiteitä 4
Koulutuksella ja ohjeistuksella varmistetaan henkilöstön
tietosuojaosaaminen ja asianmukainen toiminta eri tilanteissa
Kun ehkäiseviä toimia täydennetään tietosuojan
jälkikäteisvalvonnalla, sillä on osaltaan myös väärinkäytöksiä ja
epäasianmukaisia menettelytapoja ehkäisevä vaikutus
Organisaatioissa tulee seurata ja valvoa, että Reseptikeskuksen
tietoja (potilastietoja) voivat käsitellä vain siihen lain mukaan
oikeutetut ja että tietojen käsittely tapahtuu laissa säädetyllä
perusteella
24
Kyselyyn vastanneet toivoivat tietosuojavastaavalle
lisää koulutusta ja
työaikaa sekä resursseja.
Tietosuojavastaavalle tarvitaan nykyistä selkeämpää tehtävänkuvan määrittelyä ja
parempia, luotettavasti toimivia työvälineitä.
Tietosuojan kehittäminen entistä paremmaksi edellyttää johdon aktiivisuutta ja sitoutunutta asennetta
tietojärjestelmien ja työmenetelmien kehittämistä.
25
Tavoitteita ja jatkotoimenpiteitä
Yhteenveto: yleisiä huomioita
Tietosuoja-asiat koetaan miltei kaikissa
vastaajaorganisaatioissa erittäin tärkeäksi
Työskentely ryhmässä ja keskustelut sisäisissä
palavereissa on tehokas tapa välittää tietoa
tietosuojasta organisaatioissa
Tietosuoja koetaan myös imagoasiana, jonka
menettäminen voi vaikuttaa organisaation taloudelliseen
tilanteeseen ja asemaan
26
Lopuksi
Asiakkaiden ja organisaatioiden keskinäisen luottamuksen
rakentaminen ja säilyttäminen edellyttää sekä ajantasaista
lainsäädäntöä että organisaatioissa toiminnan jatkuvaa
kehittämistä ja yhtenäisiä toimintamalleja
Tietoturvan ja tietosuojan merkitys korostuu entisestään
sähköisissä järjestelmissä, jotka sisältävät arkaluontoista tietoa ja
joilla on paljon käyttäjiä
Sähköinen tunnistaminen tulee saada kattavaksi
Puolesta asiointi toteutettava myös sähköisesti
Asiakkaan suostumusten ja kieltojen hallintaa kehitettävä edelleen 27
Tietosuojakysely 2016 käynnissä
Tietosuojakysely 2016 on lähetetty apteekkien ja
terveydenhuollon tietosuojavastaaville vastausaikaa on 5.2.2016 asti
Organisaatioille kysely toimii oman toiminnan
tietosuojan ja henkilötietojen käsittelyn tilannekuvana ja
kehityksen mittarina
Kysely on jatkumoa valvontayhteistyölle
28
Kanta-palvelut – kaikille, vauvasta vaariin ja mummiin!
29
Katso myös www.kanta.fi tai kysy [email protected]
Kiitos!
