Rekisterit ja tietosuoja

Rekisterinpitäjä

Potilasasiakirjojen rekisterinpitäjänä toimii se terveydenhuollon yksikkö, palvelujen tuottaja tai itsenäinen ammatinharjoittaja, jonka toiminnassa potilasasiakirjat syntyvät. Rekisterinpitäjä vastaa potilasasiakirjojen säilytyksestä. Alkuperäiset potilasasiakirjat säilytetään siinä toimintayksikössä tai itsenäisen ammatinharjoittajan toimesta, jonka toiminnan yhteydessä asiakirjat ovat syntyneet. Rekisterinpitäjä vastaa potilasasiakirjajärjestelmän suunnittelusta, toteutuksesta, säilyttämisestä ja henkilötietojen käsittelyyn liittyvistä velvoitteista.

Aluehallintoviraston (aik. lääninhallitus) tai Valviran luvalla toimivissa fysioterapiayksiköissä palveluista vastaavan johtajan tulee antaa kirjalliset ohjeet potilastietojen käsittelystä ja noudatettavista käytännöistä. Vastaava johtaja huolehtii myös henkilökunnan riittävästä asiantuntemuksesta ja osaamisesta potilastietojen käsittelyssä.

Itsenäiset ammatinharjoittajat tai fysioterapiapalvelujen tuottajat, jotka toimivat esim. lääkäriasemalta vuokratuissa tiloissa, voivat antaa kirjallisen sopimuksen perusteella osan rekisterinpitäjän tehtävistään, esimerkiksi potilasasiakirjojen säilyttämisen ja arkistoinnin, lääkäriaseman hoidettavaksi. Tällainen sopimus ei kuitenkaan muuta rekisterinpitäjää, eikä vähennä tai muuta itsenäisen ammatinharjoittajan vastuuta asiakirjojen käsittelystä.

Rekisteriseloste

Rekisterinpitäjän on laadittava henkilörekisteristä rekisteriseloste, josta ilmenee mm. rekisterinpitäjän ja yhteystiedot sekä henkilötietojen käsittelyn tarkoitus, esim. fysioterapiapalvelut. Rekisteriseloste säilytetään vastaanotolla potilaiden nähtävillä.

Henkilörekisterille annetaan nimi esim. X:n Fysioterapian potilasrekisteri. Selosteeseen merkitään yksiselitteisesti, mitä tietoja rekisteröidystä talletetaan henkilörekisteriin. Näitä ovat fysioterapiassa henkilön nimi, syntymäaika (henkilötunnus), osoite,  tutkimus- ja hoitotiedot. Kerättävien henkilötietojen tulee olla käsittelyn tarkoituksen kannalta tarpeellisia.

Rekisterin suojauksesta voidaan mainita esim. manuaalisen aineiston säilytyksestä lukitussa tilassa. ATK:lle talletettujen tietojen osalta voidaan kertoa, että vain määrätyillä henkilöillä pääsy tietoihin ja edellyttääkö se käyttäjätunnuksen ja salasanan antamista.

Tietosuojavaltuutetun toimiston sivuilta löytyy lomakkeita ja ohjeita, joita voi käyttää hyväksi omaa rekisteriselostetta laatiessa (ks. esim. http://www.tietosuoja.fi/fi/index/useinkysyttya/rekisteriseloste.html).

Tietosuojavastaava

Velvoite tietosuojavastaavan nimeämisestä on peräisin laista sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä, joka tuli voimaan 1.7.2007. Lakia sovelletaan julkisten ja yksityisten sosiaali- ja terveydenhuollon palvelujen antajien järjestäessä taikka toteutettaessa sosiaalihuoltoa tai terveydenhuoltoa. Tietosuojavastaava tulee olla nimettynä kaikilla aluehallintoviraston (ent. lääninhallitus) tai Valviran luvalla toimivilla yksityisillä palveluntuottajilla. Itsenäisten ammatinharjoittajien ei lain mukaan tarvitse nimetä tietosuojavastaavaa.

Jokaisella palvelun antajalla on oltava seuranta- ja valvontatehtävää varten tietosuojavastaava. Tietosuojavastaavan tehtävänä on muun muassa lisätä yksikön henkilökunnan tietämystä asiakastietojen sähköiseen käsittelyyn liittyvistä tietosuojanäkökohdista ja tuoda esille mahdollisia puutteita yksikön käytänteissä. Tietosuojavastaava toimii henkilökunnan tukena asiakastietojen käsittelyn tietosuojaan liittyvissä asioissa.

Tietosuojavastaava voidaan valita yksikön sisältä tai ulkopuolelta. Useammat fysioterapiapalvelun tuottajat voivat nimetä yhteisen tietosuojavastaavan. Jos toiminta hankitaan sopimuksella yrityksen ulkopuolelta, tietosuojavastaavalla tulee olla tosiasialliset mahdollisuudet hoitaa tehtäväänsä. Fysioterapiayksikön toiminnan tuntemus on aina ehdoton vaatimus tehtävässä onnistumisen kannalta.

Informointivelvollisuus

Fysioterapeuttiyrittäjän eli rekisterinpitäjän tulee huolehtia siitä, että potilas eli rekisteröity saa tietää itseään koskevien tietojen käsittelystä, oikeudesta häntä koskevien tietojen tarkistukseen ja korjaamiseen sekä tietojen luovuttamisesta. Informointia koskevat tiedot voidaan liittää   rekisteriselosteeseen, ja asiakirja nimetään tietosuojaselosteeksi.

Potilasasiakirjoihin sisältyvät tiedot ovat salassa pidettäviä ja henkilökunnalla on vaitiolovelvollisuus. Salassapitovelvollisuus säilyy palvelussuhteen tai tehtävän päättymisen jälkeen. Sivullisella tarkoitetaan myös asianomaisessa toimintayksikössä muita kuin potilaan hoitoon tai siihen liittyviin tehtäviin osallistuvia henkilöitä.

Tietojen luovuttaminen

Rekisterin sisältämiä tietoja ei ole lupa luovuttaa ilman potilaan kirjallista suostumusta. Potilaan tullessa ensimmäisen kerran esimerkiksi yksityiseen fysioterapiaan tai sairaanhoitopiirin asiakkaaksi, hän antaa yleisluonteisen suostumuksen tietojensa käyttämiseen hoitotarkoituksessa ko. yrityksessä tai sairaanhoitopiirissä. Suostumuksessa on oltava päiväys ja potilaan allekirjoitus.

Suullinen suostumus riittää silloin, kun potilas lähetetään suostumuksensa mukaisesti jatkohoitoon esimerkiksi erikoissairaanhoidon toimintayksiköstä terveyskeskukseen tai toimitetaan lähete terveyskeskuksesta yksityiseen fysioterapiaan. Lisäksi suullinen suostumus riittää annettua fysioterapiaa koskevan yhteenvedon lähettämiseen lähettäneelle taholle.

Tietyillä viranomaisilla tai yhteisöillä, mm. Kelalla ja Terveydenhuollon oikeusturvakeskuksella on tiedonsaantiin laissa säädetty oikeus.

Jos itsenäinen terveydenhuollon ammatinharjoittaja antaa kirjallisella sopimuksella potilasasiakirjojensa säilyttämisen ja arkistoinnin esim. lääkäriaseman hoidettavaksi, ammatinharjoittajan on informoitava siitä potilaitaan.  Rekisterit ovat kuitenkin tässäkin tapauksessa edelleen itsenäisten ammatinharjoittajien potilasasiakirjarekisterejä, ja ne on myös tietoteknisesti pidettävä erillisinä rekistereinä.

Henkilötietojen tarkastusoikeus

Jokaisella on oikeus tarkastaa itseään koskevat henkilötiedot. Henkilötietolain mukaan jokaisella on oikeus saada tietää, mitä häntä koskevia henkilötietoja henkilörekisteriin on talletettu tai, ettei rekisterissä ole häntä koskevia tietoja. Rekisterinpitäjän on samalla ilmoitettava rekisteröidylle rekisterin säännönmukaiset tietolähteet sekä mihin henkilörekisterin tietoja käytetään ja säännönmukaisesti luovutetaan.

Tiedot tulee antaa ilman aiheetonta viivytystä, ymmärrettävässä muodossa ja pyydettäessä kirjallisena. Terveydenhuollossa menettelytapana on ensisijaisesti henkilökohtainen käynti ymmärrettävyyden varmistamiseksi. Tarkastusoikeus on maksuton kerran vuodessa toteutettuna.

Tiedon korjaaminen

Rekisterinpitäjän on viipymättä oikaistava rekisterissä oleva käsittelyn tarkoituksen kannalta virheellinen, tarpeeton, puutteellinen tai vanhentunut henkilötieto. Rekisterinpitäjän tulee huolehtia virheellisen tiedon korjaamisesta oma-aloitteisesti tai rekisteröidyn vaatimuksesta. Tietojen korjausvaatimus tehdään kirjallisesti.

Tietosuojaohje

Potilaan hoidon toteutusta varten talletettavien potilasasiakirjojen ja -tietojen lainmukainen käsittely edellyttää prosessien määrittelyä, toiminnan tarpeiden sekä niihin liittyvien henkilötietojen käsittelyn ja potilaiden oikeuksien toteutuksen suunnittelua ja lainmukaisuuden varmistamista. Tietojen käsittelyyn liittyvät tietosuoja- ja muut riskit tulee myös selvittää. Potilastietojen käsittelyyn vaikuttavat terveydenhuollon lainsäädännön lisäksi yleisinä säädöksinä aina henkilötietolaki ja arkistolaki. Lait edellyttävät hyvän tietojenkäsittelytavan ja hyvän tiedonhallintatavan luomista.

Henkilöstöllä tulee olla riittävät ja asianmukaiset tiedot potilastietojen käsittelystä. Jokaisen rekisterinpitäjän eli fysioterapeuttiyrittäjän tulee laatia henkilöstölleen potilastietojen käsittelyyn ja tietosuojaan liittyvät määräykset ja ohjeet.

Tietosuojaohjeen nimi voi olla esimerkiksi ”xx:n fysioterapiayrityksen potilastietojen käsittelyä, käyttöä ja hallintaa koskevat tietosuojaohjeet”. Ohjeista tulee ilmetä niiden antaja ja antamispäivä sekä voimassaolo. Ohjeiden tarkoituksena varmistaa, että henkilöstöllä on asianmukaiset tiedot henkilötietojen käsittelystä ja siihen vaikuttavasta lainsäädännöstä. Ohjeiden tarkoituksena on myös varmistaa henkilökunnan oikeusturvan toteutuminen potilastietojen käsittelyssä.

Ohjeet voivat olla kaksiosaiset. Ensimmäiseen osaanon kopioitu asiaan liittyviä keskeisimpiä säännöksiä sekä eri viranomaisten määräyksiä, ohjeita ja suosituksia.

  • perustuslain yksityiselämää koskeva säännös
  • henkilötietolaki
  • laki potilaan asemasta ja oikeuksista
  • laki yksityisestä terveydenhuollosta
  • laki terveydenhuollon ammattihenkilöistä
  • arkistolaki
  • sosiaali- ja terveysministeriön opas potilasasiakirjojen laatimisesta ja säilyttämisestä
  • tietosuojavaltuutetun toimiston ohjeet ja mallit www.tietosuoja.fi

Toinen osa muodostuu fysioterapiayrityksen rekisterinpitoa koskevista ohjeista

  • potilasrekisteri ja sen käyttötarkoitus
  • käyttäjille laadittu kuvaus rekisteritietojen käsittelystä
  • rekisteriseloste
  • potilaan oikeudet mm. informointivelvoite, tarkastusoikeus,
  • potilasasiakirjojen laatiminen ja tietosisältö

 

Rekisterit ja tietosuoja

Emmi Aalkivi

Erityisasiantuntija
(yksityinen sektori, kirjaaminen)

p. 045 7884 3359
emmi.aalkivi@suomenfysioterapeutit.fi

» Lähetä suojattu sähköposti