Tietosuoja-asetuksen noudattamisen on oltava apteekeissa tapa toimia, mutta miten saada koko henkilökunta sitoutettua? Proviisori Reetta Nikkasen mukaan paras tapa on ottaa kaikki mukaan jo suunnitteluun.
Proviisori Reetta Nikkanen on jo vuosia perehtynyt tietosuojaan ja hänelle on tärkeää, että se myös hoidetaan kunnolla. Hänestä onkin tullut jo jonkinmoinen tietoturvan ja -suojan lähettiläs, joka on toiminut useammassa apteekissa tietosuojavastaavana ja kouluttanut henkilökuntaa tiedostamaan myös tietosuojan sudenkuopat. Nyt hän tekee tätä työtä muun muassa Porvoon III Kevätkummun apteekissa ja Turun Nova apteekissa. Receptumin tietoturvapäivillä 15.2. hän kävi päivittämässä osaamistaan 225 muun apteekkilaisen kanssa.
”Apteekeissa on totuttu tietosuojan tärkeyteen työn puolesta. Sähköisen reseptin tulo velvoitti myös omavalvontaan. Monesti tietosuoja-asiat jäävät silti vain asioiden kirjaamiseen, eikä tietosuoja- ja turva-asioita ole välttämättä viety täydessä mittakaavassa käytäntöön”, Reetta Nikkanen pohtii.
Toukokuun 25. päivänä velvoittavaksi muuttuva EU:n tietosuoja-asetus GDPR edellyttää kuitenkin, että pelkät ohjeistukset eivät enää riitä. Asetuksen mukaisista tietosuojakäytännöistä on tultava tapa toimia. Siihen Nikkanen tarjoaa reseptiksi yksinkertaisia toimintaohjeita ja kaikkien osallistamista niiden tekemiseen ja toteuttamiseen.
Aloittakaa tietojen ja käyttäjähallinnan kartoituksista
Vaikka tietosuoja-asetuksen monipolviset ohjeet voivat tuntua uuvuttavilta, perustyö on lopulta yksinkertaista. Reetta Nikkanen vinkkaa, että työn voi aloittaa esimerkiksi käymällä koko henkilökunnan kanssa läpi, minne kaikkialle henkilötietoja on talletettu ja kenellä on käyttäjäoikeudet tietoihin ja millä perusteella. Nämä asiat on helppo kontrolloida MAXXissa. Seuraavaksi onkin hyvä siirtyä toimintamallien dokumentoimiseen.
”Kun kaikki saavat miettiä, miten käytännöt saadaan toteutettua, niihin on myös helpompi sitoutua. On myös hyvä puhua miksi asetuksia pitää noudattaa ja kertoa seurauksista, jos apteekki ei pysty osoittamaan noudattaneensa asetusta. Apteekkari on viime kädessä vastuussa, että asetusta noudatetaan. Pahimmillaan rikkomuksista voi joutua maksamaan sakkoa jopa 4 prosenttia apteekin vuosituloista”, Nikkanen kertoo.
Vanhasta pitää oppia pois
Monesti uudet käytännöt vaativat vanhasta pois oppimista Reetta Nikkasen mukaan.
“Voi myös olla, että pienessä apteekissa tunnetaan kaikki alueen asiakkaat, eikä esimerkiksi kysellä henkilöllisyystodistusten perään, kun tytär tulee hakemaan vanhan äitinsä lääkkeitä”, Nikkanen antaa esimerkiksi.
Kaikkia tietosuojavaaroja ei välttämättä heti huomata. Siksikin Nikkasen mielestä on hyvä, että niin tietosuoja- kuin tietoturvariskejäkin on miettimässä mahdollisimman moni apteekissa.
“Henkilötietoja käsitellään todella monessa yhteydessä ja niitä voivat nähdä monet henkilöt. Joskus vahingossakin. Esimerkiksi jos asiakastilassa on edes hetken valvomattomana tietokone, siihen kirjautuminen täytyy tapahtua tunnuksilla ja rajatuilla käyttöoikeuksille, etteivät asiakkaat pääse vahingossakaan arkaluontoisiin henkilötietoihin käsiksi”, Nikkanen pohtii.
Monissa apteekeissa asiakirjoja tulostetaan ja henkilötietoja kirjataan yhä erilaisille papereille ja lapuille. Niissä olevan tiedon tietosuoja ja asianmukainen ja oikein ajastettu hävittäminen on Nikkasen mukaan paljon vaativampaa kuin jos käyttää esimerkiksi MAXXin palvelutapauksia ja infoja sekä ajastaa vielä määräaikaisten tietojen hävityksen automatisoidusti.
“Lokitiedoista on myös huomattavasti helpompi seurata tietojen käsittelyä kuin mapeista vaikka nämä olisivat asianmukaisesti lukittujen ovien takana”, Nikkanen sanoo. Tietosuojakäytäntöjen päivitys onkin aina myös mahdollisuus apteekin prosessien kehittämiseen.
Kirjautumiskäytännöt tarkemmiksi
Kotiinviemisiksi Receptumin tietoturvapäiviltä Reetta Nikkanen aikoo viedä muun muassa käytännön, että ainakin apteekkarin ja proviisorin koneille luodaan omat windows-tunnukset ja iltaisin kaikilta koneilta kirjaudutaan ulos windowsia myöten. Myös yhteistyökumppanien kanssa tehtyjen sopimusten tietosuojamenettelyt tarkistetaan ja päivitetään tarvittaessa.
Nikkanen piti hyvänä myös tietoturvapäivillä esiin tullutta muistutusta, että apteekeissakin on hyvä ottaa käyttöön yhteiset pelisäännöt netin käytöstä. “Jopa tuttujen verkkosivujen mainoksista voi tarttua matkaan haittaohjelma”, Nikkanen toteaa.
Reetta Nikkasen vinkit tietosuojakäytäntöjen jalkauttamiseen
- Perusta tietosuojatiimi ja anna kaikille mahdollisuus osallistua yhteisten käytäntöjen luomiseen.
- Tee selkeät ja lyhyet ohjeet.
- Perustele hyvin, miksi asiat on tehtävä tietyllä tavalla.
- Seuratkaa, että käytäntöjä noudatetaan ja puhukaa, miten niissä onnistuttu.
- Tietosuoja- ja tietoturvaosaaminen pitää olla osa kaikkien tekemistä ja osaamista.
- Perehdyttäkää aina myös uudet työntekijät.
- Oppikaa virheistä tai läheltä piti -tilanteista!
- Tietosuoja- ja tietoturva-asioiden huomioiminen pitää olla osa jokapäiväistä arkea. Hyvin hoidettu tietoturva on edellytys hyvin hoidetulle tietosuojalle.