Into Security

SOTE-tietoturva – osa 6: Rekisterinpitäjyys: keitä luovutusilmoitus koskee?

Tämä on SOTE-tietoturva – opastusta sääntelyn ja käytäntöjen ymmärtämiseen -blogisarjamme osa 6.

  • Milloin on kyse paikallisesta tietojen luovutuksesta?
  • Kuka toimii rekisterinpitäjänä yksityisellä lääkäriasemalla?
  • Milloin työterveyshuollossa tarvitaan luovutusilmoitus?
  • Voiko yksityinen palveluntuottaja toimia hyvinvointialueen lukuun?

Käsittelemme usein näitä kysymyksiä tietoturva-arvioinnin yhteydessä. Tietoturvallisuuden arvioinnit sisältävät vaatimuksia rekisterien erotteluun, kansalaisen suostumusten ja kieltojen hallintaan, tietojen luovutuksiin eri rekisterien välillä sekä luovutusilmoitukseen. Rekisterinpitäjyyden määrittäminen, suostumusten ja kieltojen hallinta sekä paikallisesti tapahtuvien tietojen luovutuksien tunnistaminen voivat olla haastavia, ja väärät tulkinnat voivat johtaa siihen, että asiakastietolain velvoittamia luovutusilmoituksia (LILM) jätetään tekemättä. 

Asia on tärkeä, koska asiakas- ja hyvinvointitiedon käytön ja luovutuksen seuranta on lakiin perustuva velvoite. Jokainen Kanta-palvelujen ulkopuolella tapahtuva tietojen luovutus edellyttää luovutusilmoituksen tekemistä. Tyypillisesti törmäämme tilanteisiin, joissa luovutusilmoituksen muodostamisen tulisi tapahtua, mutta sitä ei ole tunnistettu eikä toiminto ole käytössä järjestelmän toiminnassa – ja järjestelmätoimittajan on lähdettävä rakentamaan ratkaisua velvoitteen täyttämiseksi. 

Järjestelmätoimittajan on ensin ymmärrettävä mitä paikalliset tietojen luovutukset ovat ja miten rekisterinpitäjyys määräytyy, jotta luovutusilmoituksen voi muodostaa vaatimusten mukaisesti.

Käyn seuraavassa läpi, miten rekisterinpitäjyys määräytyy eri tilanteissa ja milloin luovutusilmoitus todella tarvitaan.

Peruslähtökohtana paikallinen tietojenluovutus

Jos potilas- tai asiakastietoja luovutetaan rekisterinpitäjien välillä sähköisesti tai kirjallisesti eikä se tapahdu Kanta-palveluiden kautta, on kyseessä paikallisesti tapahtuva tietojen luovutus, josta on muodostettava Kanta-palveluihin toimitettava luovutusilmoitus. 

Sosiaali- ja terveyspalveluja tuottavilla yksityisillä ja julkisilla palvelunantajilla on tyypillisesti käytössään useita eri järjestelmiä eri käyttötarkoituksiin. Eri järjestelmien välille rakennetaan tyypillisesti integraatioita, joiden kautta asiakas- ja potilastietoja siirretään järjestelmien välillä. Jos järjestelmien rekisterinpitäjä vaihtuu ja tietojen luovutus ei tapahdu Kanta-palveluiden kautta, on muodostettava luovutusilmoitus Kanta-palveluihin. Luovutusilmoituksen muodostaminen on tietoja luovuttavan järjestelmän vastuulla. Tietojen luovutuksen yhteydessä on tarkastettava kansalaisen suostumukset ja kiellot. 

Sähköinen tietojenluovutus voi käytännössä tapahtua esimerkiksi yhden järjestelmän sisällä, kun kaksi eri rekisterinpitäjää katselevat saman kansalaisen tietoja. Se, missä vaiheessa tietojen luovutus tapahtuu riippuu siitä, minkä rekisterinpitäjän rekisterin alle kyseisen kansalaisen tiedot on tallennettu.

Käydään seuraavaksi läpi, miten rekisterinpitäjyys eroaa julkisella ja yksityisellä sektorilla sekä työterveyshuollossa.

Julkinen sektori ja hyvinvointialueet

Julkisella puolella hyvinvointialueet, Helsingin kaupunki ja HUS toimivat kukin rekisterinpitäjänä. Rekisterinpitäjällä on yksi potilasrekisteri, johon se tallentaa kaikki toiminnassaan syntyvät potilasasiakirjat.

Hyvinvointialue, Helsingin kaupunki tai HUS toimii rekisterinpitäjänä myös niissä tapauksissa, joissa yksityinen palveluntuottaja toimii sen lukuun, esimerkiksi palveluseteli- tai ostopalvelutilanteissa. Käytännössä yksityinen palveluntuottaja tuottaa tietoja, jotka tallennetaan alkuperäisen rekisterinpitäjän rekisteriin, minkä vuoksi tietojen luovutusta ei katsota tapahtuvan – molemmat käsittelevät siis saman rekisterinpitäjän tietoja. Palveluseteli- ja ostopalvelutilanteissa muodostetaan ostopalveluvaltuutus (OSVA) Kanta-palveluihin.

Työterveyshuolto on aina oma rekisterinpitäjänsä

Työterveyshuollon järjestävä palvelunantaja on aina oma rekisterinpitäjänsä. Se palvelunantaja, jonka kanssa työnantaja on tehnyt sopimuksen työterveyshuollon palveluista, on rekisterinpitäjä. Jos hyvinvointialue, Helsingin kaupunki tai HUS tuottaa ja toteuttaa työterveyshuollon palveluita, on niissä syntyneet tiedot tallennetava erilliseen työterveyshuollon rekisteriin. 

Työterveyshuollon tuottaja voi olla esimerkiksi yksityinen palvelunantaja tai julkinen palvelunantaja. Työnantaja voi myös itse tuottaa työterveyshuollon, jolloin se toimii itse rekisterinpitäjänä. 

Yksityinen sektorin erityispiirteet 

Yksityisellä sektorilla asiakastietojen rekisterinpitäjä on Valviran toimiluvan saanut terveydenhuollon palvelunantaja, jonka kanssa kansalainen on tehnyt sopimuksen palvelun toteuttamisesta. Palvelunantajana toimii joko organisaatio tai itsenäisesti ammattiaan harjoittava terveydenhuollon ammattilainen.

Jokainen yksityinen terveydenhuollon palvelunantaja on omien potilasasiakirjojensa rekisterinpitäjä. Rekisterinpitäjiä ovat myös lääkäriasemat, lääkäriasemien tiloissa toimivat yritykset ja ammatinharjoittajat.

Yhteisrekisterit lääkäriasemilla

Yksityisellä sektorilla on tyypillisesti käytössä yhteisrekisteri. Kun sama tietojärjestelmä sisältää useamman palvelunantajan rekisterin tietoja, puhutaan yhteisrekisteristä. Esimerkiksi tyypillisesti yksityisellä lääkäriasemalla on käytössään yksi potilastietojärjestelmä, jota käyttävät useat eri rekisterinpitäjät. Yhteisrekisteriin tallennetut merkinnät ovat myöhemmin muiden kansalaisen hoitoon osallistuvien rekisterinpitäjien käytössä, jos asiakas on antanut suostumuksensa tietojen yhteiskäyttöön lääkäriaseman sisällä.

Esimerkiksi yhden ison terveyspalveluyrityksen sisällä samoissa tiloissa voi olla neljän tyyppisiä rekisterinpitäjiä:

  1. yrityksen oma henkilöstö
  2. lääkäripalvelu- tai vastaava yritys
  3. itsenäisesti ammattiaan harjoittava terveydenhuollon ammattilainen
  4. työterveyshuolto

Vaikka kansalaisten tiedot tallennettaisiin samaan tietojärjestelmään, toimivat palvelunantajat omassa toiminnassaan kirjattavien potilastietojen rekisterinpitäjinä. 

Milloin tarvitaan luovutusilmoitus?

Luovutusilmoitus muodostetaan aina kun potilas- tai asiakastietoja luovutetaan eri rekisterinpitäjien välillä järjestelmän sisällä, järjestelmien välillä tai kirjallisesti. Jos tietojen luovutus tapahtuu Kanta-palveluiden kautta, ei luovutusilmoitusta tarvitse muodostaa. 

Yksityisellä sektorilla samaa potilastietojärjestelmää käyttävien eri rekisterinpitäjien välillä tapahtuu paikallinen tietojen luovutus, esimerkiksi kun ammatinharjoittaja katselee työterveyshuollon tai yrityksessä työskentelevän ammattilaisen tekemiä potilastietoja. Näistä on muodostettava luovutusilmoitus Kanta-palveluihin. Tietojen luovutuksen yhteydessä on aina tarkastettava kansalaisen suostumus ja huomioitava mahdolliset kiellot ja niiden vaikutukset tietojen luovuttamiseen. 

Kansalaisen suostumukset ja kiellot voidaan tarkastaa Kanta-palveluista ja jos kansalainen on antanut suostumuksensa yhteisrekisterin käyttöön, ovat yhteisrekisteriin tallennetut merkinnät muiden kansalaisen hoitoon osallistuvien rekisterinpitäjien käytössä. Luovutusilmoitus on muodostettava siitä huolimatta, vaikka asiakas olisi antanut siihen suostumuksensa. 

Toisen lukuun toimiminen

Yksityisessä terveydenhuollossa palvelunantajat voivat toimia toisen palvelunantajan lukuun, jolloin rekisterinpitäjänä toimii se palvelunantaja, jolle toinen palvelunantaja tuottaa palvelua.

Käytännön esimerkki vastaavasta tilanteesta on, kun ammatinharjoittajan tekemän lähetteen perusteella laboratorio- tai kuvantamispalvelut tuottavat palvelun ammatinharjoittajan lukuun. Kun laboratorio- tai kuvantamispalveluiden työntekijä katselee ammatinharjoittajan rekisteriin tallennettuja tietoja, ei luovutusilmoitusta tarvitse muodostaa. 

Se kenen lukuun palvelut on tuotettu, vaikuttaa siihen mihin rekisteriin tiedot kuuluvat. Esimerkiksi jos ammatinharjoittaja katselee lääkäriaseman rekisteriin tallennettuja laboratoriotietoja, tapahtuu paikallinen tietojen luovutus, josta muodostetaan luovutusilmoitus – vaikka se tapahtuisi samassa potilastietojärjestelmässä ja kansalainen olisi antanut suostumuksensa yhteisrekisterin käyttöön. Tyypillisesti terveyspalvelua tuottavien yrityksien kyseisen toteutustavan tarkastaminen rajataan tietoturvallisuuden arvioinnin ulkopuolelle, koska arviointi kohdistuu tiettyyn tietojärjestelmään eikä palvelunantajaan. 

Suostumukset ja luovutusluvat

Kansalaisen suostumukset, kiellot ja luovutusluvat voidaan tarkastaa Kanta-palveluista tai kansalainen voi antaa suostumuksensa tietojensa yhteiskäyttöön terveyspalvelua tuottavan yrityksen sisällä.

Yksityisessä terveydenhuollossa lääkäriasemat voivat toimia EU:n tietosuoja-asetuksen mukaisen suostumuksen perusteella silloin, kun Kanta-palvelujen luovutuslupa ei sovellu käytäntöihin. Tyypillisesti lupa pyydetään kansalaisen ensimmäisten ajanvarausten aikana ja saatu suostumus on voimassa asiakassuhteen aja sekä kansalaisen on mahdollista muuttaa antamaansa lupaa jälikäteen. 

Käytännön vaikutus järjestelmiin

Järjestelmän suunnittelussa huomioitavaa

1. Rekisterinpitäjien tunnistaminen

  • Tunnistettava, missä kontekstissa järjestelmää käytetään ja mitä rekisterinpitäjiä se voi sisältää 
  • Tunnistettava tilanteet, joissa on kyse paikallisesta tietojen luovutuksesta
  • Tunnistettava tilanteet, joissa ei ole kyse paikallisesta tietojen luovutuksesta

2. Luovutusilmoitusten automaatio

  • Mahdollistaa luovutusilmoituksen muodostaminen
  • Luotava tapa, miten luovutusilmoitus toimitetaan Kanta-palveluihin 
  • Tunnistaa tilanteet, joissa luovutusilmoitusta ei tarvita

3. Suostumusten hallinta

  • Kanta-palveluista luovutuslupien ja kieltojen tarkastaminen
  • EU:n tietosuoja-asetuksen mukaisten suostumusten hallinta

Yleisimmät virheoletukset

Neljä tavanomaisinta kompastuskiveä rekisterinpitäjän määrittelyssä ovat: 

Oletus 1: ”Sama järjestelmä = sama rekisterinpitäjä”

Vaikka tiedot olisivat samassa järjestelmässä, voivat sitä käyttävät palvelunantajat toimia eri rekisterinpitäjinä. Yhteisrekisterien käyttö on varsin tavallista. Yksityisellä sektorilla ammatinharjoittajat ovat aina oma rekisterinpitäjänsä ja vaatii luovutusilmoituksen, jos ammatinharjoittaja on hyödyntänyt muiden lääkäriasemalla työskentelevien rekisterinpitäjien käyntikirjauksia käytetyssä asiakas- tai potilastietojärjestelmässä.

Oletus 2: ”Yksityinen toimija = aina oma rekisterinpitäjä”

Yksityinen toimija voi toimia toisen lukuun, jolloin toimeksiantaja on rekisterinpitäjä, kuten ostopalvelutilanteissa. Myös yksityisen sektorin ammatinharjoittaja voi toimia toimeksiantajan lukuun ostopalvelutilanteissa.

Oletus 3: ”Kaikki tietojen katselu vaatii luovutusilmoituksen”

Luovutusilmoitusta ei tarvitse muodostaa: 1) jos järjestelmän käyttäjät kuuluvat saman rekisterinpitäjän alle, 2) toimitaan vastaavan rekisterinpitäjän lukuun, 3) tietoja luovutetaan kahden järjestelmän välillä saman rekisterinpitäjän alla tai 4) tietojen luovutus tapahtuu Kanta-palveluiden kautta. 

Oletus 4: ”Tietojen luovuttaminen kansalaiselle vaatii luovutusilmoituksen”

Aikaisemmin kansalaiselle luovutetuista asiakirjoista tuli muodostaa luovutusilmoitus Kanta-palveluihin. Nykyisten THL:n määrittelyiden mukaan luovutusilmoitusta ei vastaavissa tapauksissa ole välttämätöntä muodostaa, jos palvelunantajalla on tapa todentaa, että kansalaiselle on luovutettu kopio häntä koskevasta asiakirjasta, esimerkiksi luovutuslokin avulla. 

Käytännön muistilista järjestelmätuottajalle

Järjestelmätoimittajan on selvittävä ja ymmärrettävä seuraavat asiat:

Mikä on järjestelmän käyttökonteksti:

  • Julkiset sosiaali-, terveyden, ja/tai terveyshuollon palvelut
  • Yksityiset sosiaali-, terveyden, ja/tai terveyshuollon palvelut
  • Apteekkitoiminta
  • Digitaaliset palvelut kansalaisille
  • Ammatinharjoittamisoikeus

Järjestelmää käyttävät rekisterinpitäjät:

  • Julkinen vs. yksityinen sektori
  • Työterveyshuolto
  • Palveluseteli/ostopalvelu-tilanteet

Tunnista tietojen luovutustavat: 

  • Rekisterinpitäjien välinen paikallinen tietojen luovutus järjestelmän sisällä
  • Tietojen luovutus kahden eri järjestelmän välillä 
  • Kanta-palveluiden kautta tapahtuva tietojen luovutus

Miten suostumukset hallitaan?

  • Kanta-palvelujen luovutusluvat, kiellot ja suostumukset
  • EU:n tietosuoja-asetuksen mukaiset suostumukset ja kiellot

Lämmin kiitos, että luit blogisarjani viimeisen osan! Toivon, että sarjasta oli apua SOTE-tietoturvan hahmottamisessa. Jos mieleesi nousee aiheita, joista haluaisit lukea lisää tulevissa kirjoituksissa, kuulisin niistä erittäin mielelläni!

Sarjan aiemmat osat löydät täältä →

Osa 1: Sote-järjestelmien luokittelu

Osa 2: Sote-tietoturvan käsitteistä

Osa 3: Vastuunjako

Osa 4: Sote-tietoturvakartoitus

Osa 5: Modulaariset järjestelmät ja integraatiot

Tarvitsetko apua rekisterinpitäjyyden määrittämisen ymmärtämisessä? Olen Heidi Saikkonen ja erikoistunut SOTE-järjestelmien regulaatioon. Otathan yhteyttä, jos haluat keskustella  järjestelmäsi toiminnoista ja niiden vaatimustenmukaisuudesta!

sote-tietoturva tietoturva-auditointi tietoturvallisuus