Ads 468x60px

torstai 28. heinäkuuta 2016

Vieraskynä: sote-uudistuksen yhteydessä tehdään päätöksiä sote-henkilötietojen tietosuojasta


Sosiaali- ja terveyspalveluiden henkilötietojen käsittelyä koskevat linjaukset julkistettiin 29. kesäkuuta osana hallituksen sosiaali- ja terveydenhuollon uudistuksen ja maakuntien perustamisen alustavia lakiluonnoksia. Sote-uudistuksen tavoitteena on nykyaikaistaa palveluja ja parantaa julkisen talouden kestävyyttä sekä luoda edellytykset sosiaali- ja terveydenhuollon tulevaisuuden mallille. Uudistuksen myötä Suomeen perustetaan 18 itsehallinnollista maakuntaa, joiden vastuulle 1.1.2019 alkaen siirtyvät muun muassa julkiset sosiaali- ja terveyspalvelut.

Henkilötietojen käsittelystä on säädetty järjestämislain luonnoksessa. Sen mukaan maakunta olisi henkilötietolain mukainen rekisterinpitäjä maakunnan järjestämisvastuulle kuuluvassa toiminnassa syntyvien henkilötietojen osalta. Palveluiden tuottamisesta vastaavien yhtiöiden, yhteisöjen ja ammatinharjoittajien olisi tallennettava asiakas- ja potilastiedot maakunnan asiakas- ja potilasrekisteriin valtakunnallisia tietojärjestelmäpalveluja käyttäen. Tiedot olisivat siten kootusti Kantapalveluissa ja kaikkien maakunnan palveluntuottajien saatavilla, millä varmistettaisiin tiedonkulku asiakkaiden ja potilaiden käyttäessä lakiluonnosten mukaista palveluiden valinnanvapautta.

Rekisterinpidon keskittäminen maakunnille antaa erinomaisen mahdollisuuden kehittää korkealaatuisia tietosuoja- ja tietoturvakäytäntöjä, joihin voidaan sitouttaa kaikki maakunnalle palveluita tuottavat toimijat. Lakiluonnosten mukainen yhteistyöalueiden muodostaminen sekä palveluiden kokoaminen suurempiin kokonaisuuksiin edelleen laajentavat hyviksi todettujen toimintamallien soveltamismahdollisuuksia. Keskitetyn järjestelmän sujuva toiminta edellyttää kuitenkin maakunnilta henkilötietojen käsittelyä ja tietosuojaa koskevaa ammattitaitoa ja resursseja.

Uudistuksen myötä henkilötietojen käsittelyä koskevat sopimukset saattavat saada hyvinkin keskeisen aseman. Jos nimittäin maakunnista säädetään sote-järjestelmän ainoat rekisterinpitäjät, silloin muun muassa palveluntuottajat olisivat henkilötietojen käsittelijöiden asemassa käsitellessään tietoja maakuntien lukuun. Maakunnilla olisi velvollisuus ohjeistaa yksityiskohtaisesti henkilötietojen käsittelijöiden toimintaa, mikä edellyttäisi käytännössä tietosuojakysymysten arviointia kunkin palveluntuottajan osalta erikseen. Lisäksi rekisterinpitäjän ja henkilötietojen käsittelijän tulisi myös tehdä henkilötietojen käsittelystä sopimus, jonka yleiset sisältövaatimukset on määritelty 25.5.2018 alkaen sovellettavassa EU:n yleisessä tietosuoja-asetuksessa.

Sopimukset antaisivat myös mahdollisuuden turvata yksittäisen asiakkaan tai potilaan henkilötietojen käsittelyä koskevien palveluodotusten toteutuminen. Koska asiakas tai potilas on sote-mallissa käytännössä tekemisissä oman palveluntuottajansa eikä maakunnan kanssa, hän saattaa odottaa myös rekisteröidyn oikeuksiin liittyvää palvelua palveluntuottajaltaan. Sopimuksissa voitaisiin määritellä palveluntuottajalle rekisteröidyn oikeuksien toteuttamista tukevia tehtäviä, jotka palveluntuottaja suorittaisi maakunnan puolesta. Maakunta olisi kuitenkin rekisterinpitäjänä henkilötietojen käsittelystä kokonaisvastuussa EU:n yleisen tietosuoja-asetuksen osoitusvelvollisuuden periaatteen mukaisesti.

Alustavat lakiluonnokset ovat luettavissa osoitteessa www.alueuudistus.fi. Lakiluonnokset on tarkoitus koota hallituksen esitykseksi ja lähettää lausunnolle elokuussa 2016.

Kirjoittaja:
Charlotta Henriksson
Legal Counsel, VT, Senior Manager, KPMG:n lakipalveluiden tietosuojajuridiikkaryhmän vetäjä

Ei kommentteja:

Lähetä kommentti