Lainsäädäntö henkilötietojen käsittelystä muuttuu 25. toukokuuta 2018. Tärkein muutos on osoitusvelvollisuus, että tietosuoja-asiat on asetuksen mukaisesti hoidettu. Lue, mitä pitää tietää ja miten varautua.
Olemme Receptumissa valmistautuneet EU:n tietosuoja-asetuksen vaatimiin muutoksiin jo vuodesta 2016. Receptumissa onkin huolehdittu, että kaikkia sen palveluita voi käyttää uuden lainsäädännön mukaisesti ja että Receptumin asiakkaiden ja heidän asiakkaidensa henkilötietoja käsitellään asetuksen velvoitteet huomioiden. Kun perusta on kunnossa, on helppo hoitaa käytännöt kuntoon.
Apteekeille henkilötietojen käsittelyä ohjaavan asetuksen mukanaan tuoma suurin muutos on osoitusvelvollisuus: ihmisille on pyydettäessä voitava osoittaa, että heidän henkilötietojensa tallentaminen ja käsittely on tehty asetuksen mukaisesti.
Keräsimme oheen Apteekkariliiton asiantuntijakumppanimme kanssa tärkeimmät asiat, jotka apteekeissa on syytä tietää tietosuoja-asetuksesta sen muuttuessa velvoittavaksi.
1. Mikä on EU:n tietosuoja-asetus eli GDPR?
EU:n yleinen tietosuoja-asetus GDPR (General Data Protection Regulation) tuli voimaan toukokuussa 2016. Se tulee velvoittavaksi 25.5.2018 alkaen. Kyseessä on asetus, joka koskee kaikkia EU:n alueella toimivia yrityksiä, jotka käsittelevät henkilötietoja. Asetus korvaa vuonna 1995 annetun henkilötietolain.
2. Mikä kaikki on henkilötietoa?
Kaikki tieto, josta voi tunnistaa henkilön tai saada selville kenestä on kyse, on henkilötietoa.
Apteekissa tyypillistä yksilöivää henkilötietoa ovat reseptit, laskutustiedot, tilaus- ja toimituslistat, kanta-asiakasrekisteri sekä henkilöstöä koskevat tiedot, kuten palkka- ja työlistat.
Henkilötietoa voi olla esimerkiksi digitaalisessa muodossa tietokoneella, lokitiedoissa, valvontakameroissa tai tulosteina ja muistilapuilla.
3. Mitkä ovat tärkeimmät asiat muistaa tietosuoja-asetuksesta?
Asiakkaan kannalta on tärkeää, että hänelle kerrotaan pyydettäessä, mitä henkilötietoja hänestä on talletettu, miten ne käsitellään ja minne ne mahdollisesti siirtyvät.
Suostumukseen perustuvien tietojen osalta on pystyttävä myös osoittamaan jälkikäteen, että tietojen tallettamiseen on kysytty henkilöiden suostumus.
Apteekin henkilötietojen käsittelyyn liittyvät menettelyt ja niihin liittyvät ohjeistukset pitää olla dokumentoitu. Lain noudattaminen ei enää riitä, vaan rekisterinpitäjän pitää pystyä pyydettäessä myös osoittamaan, että henkilötietoja käsitellään asetuksen mukaisesti.
4. Milloin henkilötietojen tallettamiseen tarvitaan suostumus?
Suostumus tarvitaan, jos henkilötietojen käsittelylle ei löydy asetuksen mukaista perustetta. Tällainen peruste voi olla laki reseptinkäsittelyssä, sopimus kanta-asiakkuuden tai laskutuksen yhteydessä tai rekisterinpitäjän oikeutettu etu, kun kyseessä on vaikkapa kameravalvonta.
Henkilö voi myös peruuttaa milloin tahansa antamansa suostumuksen, jolloin suostumuksen perusteella kerättävien henkilötietojen käsittely on lopetettava ja nämä tiedot poistettava asianmukaisesti.
5. Kuka saa käsitellä henkilötietoja?
Apteekissa pitää olla dokumentoituna, kuka saa käsitellä minkäkinlaisia tietoja ja millä perustein. Kaikilla ei voi olla pääsyä kaikkiin tietoihin. Käyttöoikeuksia on hyvä olla eritasoisia ja ne pitää kirjata. MAXX-järjestelmään käyttöoikeudet on helppo asettaa valmiiksi, jolloin tietoihin ei pääse käsiksi vahingossa ja niiden käyttö dokumentoituu automaattisesti.
Työnantajan olisi hyvä tehdä myös salassapitositoumus henkilöstönsä kanssa. Tällöin tietojen käsittelyyn liittyvät periaatteet tulevat huomioiduksi.
6. Mitä ja miten tietoja tallennetaan?
Vain sellaista tietoa voi kerätä, jonka käyttötarkoitus on perusteltavissa. Henkilöillä pitää olla mahdollisuus saada tieto, mitä tietoja heistä on talletettu ja miksi. Tietojen käyttötarkoitusta ei voi myöskään muuttaa.
Myös tietojen säilytysaika on määriteltävä käyttötarkoituksen perusteella ja kerrottava rekisteröidylle. Tietojen on oltava ajantasaisia ja tarpeettomien tietojen hävittämisen pitää olla systemaattista.
Henkilötietojen käsittelyä helpottaa, kun tietojärjestelmillä voidaan automatisoida asiakkuuden elinkaaren hallintaa sekä esimerkiksi muistuttaa farmaseuttia asiakastietojen päivittämisestä asioinnin yhteydessä. Paperisena talletettujen tietojen osalta tämä on työläämpää.
7. Miten varmistetaan, että yhteistyökumppanit käsittelevät henkilötietoja oikein?
Tietojenkäsittelysopimus pitää tehdä niiden yhteistyökumppaneiden kanssa, joilla on pääsy henkilötietoihin. Päävastuu tiedoista on kuitenkin rekisterinpitäjällä. Mikäli tietoja luovutetaan eteenpäin muuhun kuin lakiin perustuen, myös luovutuksista olisi hyvä sopia erikseen.
Tietojenkäsittelysopimuspohja on saatavilla Apteekkariliiton GDPR-sivuilta Salkku-palvelusta. Receptumin ja apteekkien välinen sopimus puolestaan päivittyy tietosuojaliitteellä.
8. Kenen vastuulla on apteekissa tietosuoja-asetuksen noudattaminen
Viimekädessä vastuussa on apteekkari, mutta apteekissa pitää olla valittu myös tietosuojavastaava. Hyvä olisi olla myös tietosuojaryhmä. Näin tietosuoja-asiat eivät rasita liikaa yhtä henkilöä, käsitellään monipuolisesti ja pysyvät hallussa myös henkilövaihdoksien yhteydessä.
9. Miten pitää menetellä, jos tietoja vuotaa tai niitä käsitellään väärin?
Mikäli tietoja vuotaa, niitä on käsitelty väärin tai tapahtuu tietomurto, asiasta on ilmoitettava 72 tunnin sisällä tietosuojaviranomaiselle ja niille, joita asia koskee.
10. Mitä tapahtuu, jos ei noudata tietosuoja-asetusta?
Apteekeille ikävintä on maineen menetys, sillä apteekkitoiminta perustuu luottamukseen. Selvissä, toistuvissa rikkomuksissa seurauksena on sakkoja. Tällaisessa tapauksessa virheitä on pitänyt jättää tietoisesti ja toistuvasti korjaamatta.
11. Mitä hyötyä tietosuoja-asetuksesta on apteekeille?
Se pakottaa luomaan läpinäkyvät ja toimivat prosessit ja helpottaa esimerkiksi kanta-asiakasrekisterien käyttöä markkinointiin, kun suostumukset on asianmukaisesti hankittu. Tärkein muutos entiseen on, että apteekissa on henkilötietojen käsittelyyn liittyvät toimet dokumentoitu hyvin ja ne on osoitettavissa pyydettäessä.
Näin varaudut apteekissa tietosuoja-asetukseen
- Selvittäkää apteekissa, kuka ja millä perustein saa käsitellä apteekissa henkilötietoja ja mihin kaikkialle tietoja on kerätty ja millaisin suostumuksin. Hyvä huomioida myös rekisterit, joiden ylläpito on ulkoistettu.
- Päivittäkää apteekin prosessit tietosuoja-asetuksen mukaisiksi. Hankkikaa kaikilta tarvittavilta henkilöiltä lupa tietojen keräämiseen ja henkilökunnalta salassapitosopimukset.
- Nimetkää apteekkiin tietosuojavastaava, mielellään myös tietosuojatiimi.
- Tarkistakaa, että kaikkien asiakkaiden, palveluntuottajien ja toimittajien kanssa on ajanmukainen sopimus ja että henkilötietojen käyttö on kumppaneillakin GDPR-asetuksen vaatimusten mukaista.
- Varmistakaa, että asiakkaan on käsittelyn yhteydessä mahdollista helposti saada tieto siitä, miten ja kuka hänen tietojaan käsittelee.
- Pitäkää huolta, että voitte löytää ja poistaa tarvittaessa yksittäisen henkilön tiedot ja vastata muutoinkin rekisteröidyn oikeuksiin (oikeus tietojen siirtoon, oikeus saada tiedot korjatuksi jne.). MAXXissa tämä onnistuu helposti. Esimerkiksi paperilla olevien tietojen käsittely on työläämpää.
- Dokumentoikaa apteekin tietosuoja- ja turvakäytännöt omavalvontasuunnitelmaan.
- Hyvä tietoturva on kaiken a ja o. Kun tietoturva-asiat ovat kunnossa, myös tietosuoja hoituu varmemmin.
Jutun asiantuntijoina ovat kehittämispäällikkö, proviisori Ari Jansen Apteekkariliitosta ja Helena Ruotsalainen Receptumista.
— Artikkeli jatkuu kuvan jälkeen —
Receptumin tietoturvavastaava Helena Ruotsalainen, tietoliikenneasiantuntija Tuomas Miskala ja yhteistyökumppani Tuomas Miettinen F-Securesta kouluttamassa Receptumin tietoturvapäivillä 2018.
Näin Receptum auttaa ja palvelee tietosuoja- ja -turva-asioissa
- Apteekki saa tietoturvan helppona palveluna.
- Eriytetty tietoverkko suojaa asiakastietoa pitämällä sen erillään muista liiketoimintaa tukevista palveluista.
- MAXXiin integroitu F-Securen tietoturvapilvi estää tallentamasta haitallisia dokumentteja ja linkkejä MAXXin tietokantaan.
- Etävarmistuspalvelu varmuuskopioi kriittisen tieto turvallisesti toiseen sijaintiin.
- Salattu sähköpostipalvelu mahdollistaa suojatun ja turvallisen viestinnän asiakkaiden ja yhteistyökumppaneiden kanssa.
- MAXX-kotiyhteys mahdollistaa turvallisen etätyöskentelyn.
- Käytöstä poistuneiden laitteiden tietoturvallinen hävitys.
- MAXX-järjestelmään integroituun kameravalvontaan ei ole ulkopuolisilla pääsyä. Valvontakuvien väärinkäyttö on estetty suojatulla mediatyypillä.
- Monipuoliset koulutukset ja webinaarit tietosuoja- ja turva-asioissa.
MAXX on valmis tietosuoja-asetuksen velvoitteisiin
MAXXiin on jo tehty muutoksia, jotka antavat apteekeille valmiudet hoitaa rekisterinpitäjän velvoitteet vaivattomasti ja asetuksen mukaisesti. Receptum toimittaa tarvittavat dokumentaatiot palveluista ja MAXXista asiakkailleen.
Receptumin ja apteekkien välinen sopimus päivittyy tietosuojaliitteellä asetuksen mukaiseksi. Receptum vastaa asetuksen mukaisesti myös kaikista alihankkijoistamme ja heidän GDPR-valmiuksistaan.
