EU:n uusi tietosuoja-asetus edellyttää tietosuojaselvitystä
Lääkäreistä vaatimuksen kohtaavat etenkin yksin toimivat ammatinharjoittajat ja pienten lääkäriasemien lääkärit.
Toukokuussa voimaan tuleva EU:n tietosuoja-asetus asettaa uusia vaatimuksia potilasasiakirjojen rekisterinpitäjille. Jokaisen toimijan on tehtävä ainakin tietosuojaselvitys.
Lääkäreistä tämän vaatimuksen kohtaavat yksin toimivat ammatinharjoittajalääkärit ja pienten lääkäriasemien lääkärit.
Työsuhteisten lääkärien työnantaja vastaa rekisterinpitäjänä selvityksen tekemisestä.
– Tietosuoja-asetuksen velvoitteet koskevat myös lääkäriasemalla ammatinharjoittajana toimivaa tai oman yhtiönsä kautta toimivaa lääkäriä. Näissä tilanteissa kannattaa olla yhteydessä lääkäriaseman johtoon asian hoitamiseksi, neuvoo terveyspolitiikan asiantuntija Mervi Kattelus Lääkäriliitosta.
– Rekisterinpitäjän on pystyttävä tietosuojaselvityksessä osoittamaan, että tietosuoja-asetuksen periaatteita noudatetaan. Tietosuojaselvitys on muutaman liuskan mittainen teksti, jossa vastataan muun muassa potilastietojen käsittelyä koskeviin kysymyksiin, Kattelus kertoo.
Sekin on mietittävä, onko lääkärillä potilasrekisterin lisäksi muita rekistereitä, kuten asiakasrekisteri, tai muodostuuko henkilökunnan tiedoista oma rekisterinsä.
Pidä selvitys saatavilla
Selvitystä säilytetään saatavilla, jotta sen pystyy tarvittaessa esittämään valvovalle viranomaiselle, jollaiseksi tietosuojavaltuutetun toimisto asetuksen myötä muuttuu.
Potilaita on informoitava siitä, miten tietoja käsitellään.
Yksin toimivan ammatinharjoittajan ei tarvitse nimetä tietosuojavastaavaa tai tehdä vaikutusten arviointia. Muutaman lääkärin lääkäriasemille tätä sen sijaan suositellaan ja isommissa yksiköissä se on pakollista.
– Tietosuojaselvitystä tehdessään tulee miettineeksi, miten potilasasiakirjojen tietosuoja on hoidettu vastaanotolla. Jos huomaa, ettei jokin asia ole kunnossa, sen voi saattaa kuntoon, Kattelus toteaa.
Vastaa tietosuojaselvityksessä näihin kysymyksiin
• Mitä tietoja vastaanotolla käsitellään?
• Mistä tiedot saadaan?
• Mihin tietoa luovutetaan? Luovutetaanko tietoa EU:n ulkopuolelle?
• Mitkä ovat eri tietojen käyttötarkoitukset?
• Mikä on käsittelyn peruste eri tietojen osalta?
• Missä tietoa säilytetään? Mikä on vanhentuneen tiedon hävittämismekanismi?
• Kuinka kauan tietoa säilytetään?
• Onko tietosuojavastaava nimitetty? Jos ei, miksi?
• Onko laadittu vaikutustenarviointi? Jos ei, miksi?
• Miten tieto on suojattu? Miten tiedonsiirto on suojattu?
• Miten henkilöstö on perehdytetty ja koulutettu tietosuoja-asetuksen noudattamiseen?
• Millaisia prosesseja vastaanotolla on rekisteröidyn oikeuksien toteuttamiseksi?
Lisätietoja: https://www.laakariliitto.fi/edunvalvonta-tyoelama/tietosuoja-asetus/
