Rekisteri- ja tietosuojaseloste

                       

Henkilötietolain (523/99) 10 §:n edellyttämä rekisteriseloste.


Tämä on DiabetesSara Oy:n henkilötietolain (10 ja 24 §) ja EU:n yleisen tietosuoja-asetuksen (GDPR) mukainen rekisteri- ja tietosuojaseloste. 

Laadittu 03.10.2018. Päivitetty 11.3.2021


Yksityisyytesi suojaaminen

 

DiabetesSara Oy pitää asiakkaiden yksityisyyttä erittäin tärkeänä. Terveydenhuollossa tapahtuvaa asiakastietojen käsittelyä ohjaa kansallinen potilas- ja terveydenhuollon lainsäädäntö, kansallinen tietosuojalainsäädäntö ja EU:n yleinen tietosuoja-asetus. Olemme DiabetesSarassa sitoutuneet tietosuojaan ja suojaamaan asiakkaiden yksityisyyttä DiabetesSaran palveluiden käyttäjinä ja noudattamaan potilastietojen käsittelyä ja tietosuojaa koskevaa lainsäädäntöä. DiabetesSara on rekisterinpitäjänä vastuussa tietosuojalainsäädännön ja tietosuojaperiaatteiden noudattamisesta kaikessa henkilötietojen käsittelyssä. Yksityiselämän suojaaminen on tärkeä osa DiabetesSaran vastuullisen liiketoiminnan periaatteita. Tämä tietosuojaseloste koskee DiabetesSaran asiakkaiden henkilötietojen käsittelyä, ja selosteen tarkoituksena on antaa tietoja rekisteröidyille tietosuojalainsäädännön edellyttämällä tavalla. Tämä tietosuojaseloste koskee DiabetesSaran potilasrekisteriä ja potilasrekisterin sisältämiä potilastietoja ja muita henkilötietoja, kuten verkkokaupan asiakasrekisteriä. DiabetesSara käsittelee kaikkia henkilötietoja pelkästään digitaalisesti.


Rekisterinpitoa koskevat yleiset tiedot

 

Henkilörekisterin nimi: 

DiabetesSara Oy:n asiakasrekisteri

Rekisterinpitäjä: 

DiabetesSara Oy. Y-tunnus 2915899-5. Ajotie 7, 68380 Ullava. www.diabetessara.fi 

Rekisterinpitäjän tietosuojavastaava rekisteriä koskevissa asioissa: 

Teija Vörlin, Ajotie 7, 68380 Ullava, 050-5734222, [email protected]

 

 

Henkilötietojen käsittelyn tarkoitus ja käsittelyn perusteet

 

DiabetesSara käsittelee asiakastietoja ainoastaan siihen tarkoitukseen, johon ne on kerätty. Potilastietojen käsittelyn tarkoitus on hoidon mahdollistaminen ja edistäminen. Oikeus potilastietojen käsittelyyn perustuu lakiin tai potilaan suostumukseen. Rekistereihin tallennettuja tietoja käytetään potilaan hoitoon ja ohjaukseen tai hoidon suunnitteluun, toteuttamiseen ja seurantaan sekä muihin lain ja suostumusten mukaisiin käyttötarkoituksiin.

Koska potilastiedot sisältävät arkaluonteisia henkilötietoja niin käsittelemme potilas- ja henkilötietoja vain silloin kun se on tarpeellista ja tarkoituksenmukaista, ja aina lainsäädännön mukaisesti. 

Potilasrekisterin ylläpitäminen perustuu potilaslakiin ja potilasasiakirjoja koskevaan sosiaali- ja terveysministeriön asetukseen. DiabetesSaran potilasrekisterin sisältämien tietojen käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi ja hoitosuhteeseen perustuvaan DiabetesSaran oikeutettuun etuun. 

 

Rekisterin tietolähteet ja tietosisältö

 

DiabetesSaran potilasrekisterin sisältämät henkilötiedot saadaan DiabetesSaran terveyspalveluita ostavilta tahoilta (yksilö, yritys tai organisaatio). Kun asiakastaho solmii sopimuksen DiabetesSaran kanssa, asiakastaho toimittaa DiabetesSaran palveluita tarvitsevien henkilöiden henkilötiedot DiabetesSaralle lainsäädännön asettamissa rajoissa. Lisäksi tietoja saadaan potilaalta itseltään eri muodoissa tapahtuvien potilaskontaktien kautta sekä hoitohenkilökunnalta, jotka laativat kirjauksia ja tekevät tutkimus- ja hoitopäätöksiä osallistuessaan potilaan hoitoon. Tietoja voidaan saada asiakkaan suostumuksella myös toisilta terveydenhuollon yksiköiltä tai ammattihenkilöiltä esimerkiksi kansallisen terveysarkiston (KANTA) kautta. 

Lakisääteisen velvoitteen perusteella kirjaamme kaikki tiedot, jotka ovat tarpeen potilaan hoidon suunnittelemiseksi, järjestämiseksi, toteuttamiseksi ja seurannan turvaamiseksi. Näihin tietoihin lukeutuu muun muassa esitiedot sekä tutkimuksen ja hoidon yhteydessä kirjattavat terveystiedot. Rekisteri sisältää myös muita potilaan hoidon kannalta oleellisia terveydenhuollon toteutukseen liittyviä tietoja. Hoitoon osallistuvan terveydenhoitohenkilöstön tiedot ja potilaan ajanvaraustiedot tallennetaan.

Asiakkaasta muun muassa tallennettavia tietoja:

 

- Asiakkaan yksilöintitiedot, kuten; nimi, henkilötunnus, sukupuoli, kieli, osoite, ikä, puhelinnumero, sähköpostiosoite ja muut tarpeelliset yhteystiedot. Asiakkaan mahdollisesti nimeämä lähiomainen ja hänen henkilötietonsa. 

- Rekisteröidyn terveyttä koskevat tiedot, sekä muut rekisteröidyn käyttäjän terveydentilaa koskevat tiedot, jotka rekisteröity käyttäjä antaa itse DiabetesSaran palveluiden käytön yhteydessä. 

- Tietoja rekisteröidyn käyttämistä palveluista.

- Rekisteröidyn suostumuksia ja rekisteröidyn tekemiä muita valintoja koskevat tiedot.

- Vakuutusyhtiötiedot

- Maksutiedot

- Tunnistamis- ja varmentamisvälineiden ja -palveluiden käyttöön liittyvät tiedot

- Tiedon käsittelyyn liittyviä tietoja, kuten tallennuspäivämäärä, tietolähde ja lokitiedot

- Rekisteröidyn käyttäjän ja hoitohenkilökunnan välillä käytyä viestintää koskevat tiedot

- Terveydenhuollon ammattilaisten kirjaamat muut potilaan hoidon kannalta välttämättömät tiedot, kuten työtehtävissä laatimat tiedot.

 

Rekisterin suojaaminen

 

Rekisteriä suojaavien toimien tarkoituksena on turvata DiabetesSaran palveluiden luottamuksellisuus, tietojen saatavuus sekä rekisteröityjen oikeuksien toteutuminen.

Potilastiedon kohdalla kyse on niin sanotusta erityisestä henkilötiedosta, jolla tarkoitetaan arkaluonteista tietoa. Arkaluonteisen tiedon suojaamiseen on kiinnitettävä erityistä huomioita. DiabetesSara noudattaa tiukasti lainsäädännön asettamia huolellisuus- ja suojaamisuusvelvoitteita sekä hyvää tiedonhallintatapaa käsitellessään potilastietoja. 

DiabetesSaran potilasrekisteriin tallennetut potilastiedot ovat lain nojalla salassa pidettäviä. Potilastietoihin on pääsy ainoastaan sillä henkilöstöllä, jolla on työtehtäviensä perusteella tarve käsitellä potilastietoja. Sähköisesti käsiteltäviin tietoihin pääsee ainoastaan henkilökohtaisella käyttäjätunnuksella ja salasanalla. Rekisteri sijaitsee salasanasuojatulla palvelimella. DiabetesSaran ylin johto päättää käyttöoikeuksien antamisesta DiabetesSaran työntekijöille potilasrekisteritietoihin siinä laajuudessa, kuin työtehtävät sitä edellyttävät. Potilastietojen käyttöä valvotaan seuraamalla muun muassa lokitietoja. 

DiabetesSara ei luovuta potilastietoja sivullisille. 

DiabetesSaran potilasrekisteri ei lähtökohtaisesti sisällä manuaalista aineistoa. Potilasrekisterin tekninen ylläpito tapahtuu ohjelmistotuottajan toimesta varmuuskopioituna pilvipalveluna. 

DiabetesSara kehittää ja ylläpitää henkilöstön ymmärrystä tietosuojasta mm. osana uuden työntekijän perehdytystä ja tarjoamalla mahdollisuuksia kouluttautumiseen. Salassa pidettävien potilastietojen käsittelyyn osallistuvat henkilöt allekirjoittavat salassapitositoumuksen ennen pääsyoikeuden saamista suojattavaan tietoon. Salassapito- ja vaitiolovelvollisuus jatkuu palvelussuhteen päätyttyäkin.

 

Tietojen luovutukset ja siirrot

 

DiabetesSaran potilasrekisterin potilastiedot ovat salassa pidettäviä, ja DiabetesSaran henkilökunnalla on salassapitovelvollisuus. 

Potilastietoja luovutetaan ensisijaisesti potilaan kirjallisella suostumuksella. Potilastietoja voidaan luovuttaa myös nimenomaisen lainsäännöksen perusteella.

DiabetesSara voi lisäksi luovuttaa potilastietoja seuraaville tahoille: 

• Jatkohoitotilanteessa tietoja voidaan luovuttaa potilaan yksilöimälle toiselle terveydenhuollon toimintayksikölle tai terveydenhuollon ammattihenkilölle potilaan suullisella potilasasiakirjoihin merkityllä suostumuksella. 

• Potilaan tutkimuksen ja hoidon järjestämiseksi tai toteuttamiseksi välttämättömiä tietoja voidaan luovuttaa toiselle suomalaiselle tai ulkomaiselle terveydenhuollon toimintayksikölle tai terveydenhuollon ammattihenkilölle ilman potilaan suostumusta, jos potilaalla ei ole mielenterveydenhäiriön, kehitysvammaisuuden tai muun vastaavan syyn vuoksi edellytyksiä arvioida annettavan suostumuksen merkitystä eikä hänellä ole laillista edustajaa, taikka jos suostumusta ei voida saada potilaan tajuttomuuden tai muun siihen verrattavan syyn vuoksi. 

• Kansallinen terveysarkisto (KANTA-arkisto). 

Potilastiedot siirretään potilaan itse suorittaman hyväksynnän jälkeen KANTAarkistoon ja potilaan tulee hallinnoida näitä tietoja OMAKANTA -järjestelmästä www.omakanta.fi

• Vakuutusyhtiölle, jos potilas on antanut kirjallisen suostumuksen tai tietojen luovuttamiseen soveltuu nimenomainen lainsäännös. 

• Potilaan huoltajalle, muulle lailliselle edustajalle tai potilaan lähiomaiselle, jos potilas on antanut tähän suostumuksensa. 

• Tajuttomuuden tai muun siihen verrattavan syyn vuoksi hoidettavana olevan potilaan lähiomaiselle tai muulle hänen läheiselleen tieto potilaan henkilöstä ja hänen terveydentilastaan, jollei ole syytä olettaa, että potilas kieltäisi näin menettelemästä. 

DiabetesSara ei siirrä potilastietoja EU/ETA-alueen ulkopuolelle, ellei se ole DiabetesSaran tai sen yhteistyökumppanin teknisen toteutuksen varmistamiseksi tarpeellista. Mahdollisten siirtojen kohdalla DiabetesSara noudattaa voimassa olevaa lainsäädäntöä.

 

Henkilötietojen käsittelyyn liittyvät rekisteröidyn oikeudet

 

Potilaan oikeus saada pääsy tietoihin (tarkastusoikeus)

Jokaisella potilaalla on oikeus tarkastaa DiabetesSaran potilastietorekisteriin tallennetut potilasta itseään koskevat henkilötiedot. Potilaalla on myös oikeus tarkastaa potilastietojensa käsittelyä koskevat lokitiedot. Tarkastuspyyntö tehdään lähettämällä tarkastuspyyntö kirjallisesti allekirjoitettuna DiabetesSara Oy:lle. Yhteystiedot löytyvät tästä selosteesta. Pyynnön voi myös esittää henkilökohtaisesti jokaiselle DiabetesSaran työntekijälle. Potilaan henkilöllisyys varmennetaan luotettavalla tavalla riippumatta siitä, millä edellä mainituilla tavoilla pyyntö tehdään. Tarkastuspyynnön voi tehdä maksutta kerran vuodessa. Tarkastuspyyntöön vastataan viivytyksettä, yleensä kahden viikon kuluttua pyynnön esittämisestä. Tarkastusprosessin hoitaa, ja tiedot luovuttaa terveydenhuollon palveluista vastaava johtaja.

Potilaan oikeus vaatia tiedon oikaisemista tai käsittelyn rajoittamista

DiabetesSaralla on velvollisuus ilman aiheetonta viivytystä oma-aloitteisesti tai potilaan vaatimuksesta oikaistava tai täydennettävä DiabetesSaran potilasrekisterissä oleva virheellinen henkilötieto. Jokaisella asiakkaalla on oikeus saada epätarkka ja virheellinen tieto oikaistuksi. Asiakkaalla on myös oikeus saada puutteelliset henkilötiedot täydennettyä. Tietojen korjauspyyntö tehdään ottamalla yhteyttä DiabetesSara tietosuojavastaavaan tai lähettämällä pyyntö kirjallisesti allekirjoitettuna DiabetesSara Oy:lle. Korjauspyyntö on yksilöitävä ja perusteltava. Potilaan henkilöllisyys varmennetaan luotettavalla tavalla riippumatta siitä, millä edellä mainituilla tavoilla pyyntö tehdään. Tarkastusprosessin hoitaa ja virheellisen tiedon korjaamisesta vastaa terveydenhuollon palveluista vastaava johtaja. Potilaalla on myös oikeus vaatia käsittelyn rajoittamista. Tämä oikeus voi tulla kyseeseen esimerkiksi silloin, kun potilas kiistää henkilötietojensa paikkansapitävyyden ja potilas odottaa DiabetesSaran vastausta tietojen oikaisemista koskevaan pyyntöön. 

Asiakkaalla on oikeus kieltää rekisterinpitäjää käsittelemästä häntä itseään koskevia tietoja suoramainontaa, etämyyntiä ja muuta suora- markkinointia sekä markkina- ja mielipidetutkimusta tai muuta tutkimusta varten. Tietojen korjauspyyntö tehdään ottamalla yhteyttä DiabetesSara tietosuojavastaavaan tai lähettämällä pyyntö kirjallisesti allekirjoitettuna DiabetesSara Oy:lle. Pyynnön voi myös esittää henkilökohtaisesti DiabetesSaran työntekijälle.

Potilaan oikeus tehdä valitus valvontaviranomaiselle

Potilaalla on oikeus tehdä valitus toimivaltaiselle valvontaviranomaiselle, jos rekisterinpitäjä ei ole noudattanut soveltuvaa tietosuojasääntelyä toiminnassaan. Suomessa toimivaltainen valvontaviranomainen on tietosuojavaltuutettu.

 

Henkilötietojen säilytysaika

 

Potilasrekisteriin tallennettujen potilastietojen säilytysaika on säädetty sosiaali- ja terveysministeriön asetuksessa 298/2009. Säilytysajan päätyttyä potilastiedot hävitetään. Potilastietojen käsittelyä koskeva lokitiedot säilytetään vähintään 12 vuotta niiden syntymisestä.

 

Tietoturvaloukkaus, informointivelvollisuus ja yhteydenotot

 

Jos DiabetesSara havaitsee henkilötietojen tietoturvaloukkauksen, on sen ilmoitettava siitä ilman aiheetonta viivytystä ja viimeistään 72 tunnin sisällä loukkauksen ilmitulosta tietosuojavaltuutetulle ja rekisteröidylle, mikäli tietosuojaloukkauksesta aiheutuu todennäköisesti luonnollisen henkilön oikeuksiin ja vapauksiin kohdistuvaa riskiä. DiabetesSara suojaa kaikki henkilötiedot niin, että suojaustoimenpiteet vastaavat henkilötietojen käsittelyyn liittyvää riskiä. DiabetesSara on varautunut mahdollisiin tietoturvaloukkauksiin laatimalla toimintaohjeet henkilöstölle tietoturvaloukkauksia varten.

Mikäli sinulla on kysyttävää potilastietojesi käsittelystä tai omien oikeuksiesi käyttämisestä, voit olla yhteydessä DiabetesSara tietosuojavastaavaan [email protected].

 Arkaluonteisia tietoja ei kuitenkaan tule lähettää sähköpostitse. Arkaluonteista sähköpostiviestintää varten DiabetesSara Oy:llä on käytössä suojattu sähköpostiyhteys, jonne tunnistaudutaan vahvalla tunnistautumisella. Salatun sähköpostisoitteen saamiseksi ota yhteyttä [email protected]