Tietosuoja-asetusta lähestytään monessa organisaatiossa juristilähtöisesti, koska kysymys on lainsäädännöstä ja sen soveltamisesta käytäntöön.

Tietosuoja-asetusta lähestytään monessa organisaatiossa juristilähtöisesti, koska kysymys on lainsäädännöstä ja sen soveltamisesta käytäntöön. Myös Helsingin kaupungin tietosuojavastaava on juristi. Meillä Työterveys Helsingissä GDPR:n käytännön toimet ovat tietohallinnon vastuulla. Tietosuojan työryhmässä on mukana hallintohenkilöstöä mm. sopimushallinnosta, henkilöstöhallinnosta, terveydenhoidosta ja tietohallinnosta. 

Henkilöasiakkaita meillä on yli 40 000 eli lähes koko kaupungin ja sen tytäryhtiöiden henkilöstö. Juridiikkaan on tarvittaessa saatavissa apua Kaupungin oikeuspalveluilta. Päävastuun kantaa johtokunta ja sen delegoimana toimitusjohtajamme. 

Sopimushallinnossa työtä teettävät henkilötietoja sisältävät tietojärjestelmät, joita koskevat sopimukset tulee saattaa nykyisen asetuksen mukaisiksi. Myös hankinnoissa on huomioitava tietosuoja-asetus. Henkilöstöhallinto analysoi oman henkilörekisterimme. Meidän tapauksessamme tämä työ tehdään pääosin Kaupungin kanslian toimesta, koska kaupungilla on yksi yhteinen henkilötietojärjestelmä ja siihen liittyvä rekisteriseloste. Työterveydessä keskeinen rekisteri on potilastietorekisteri. Vaikka potilastietoja sisältäviä tietojärjestelmiä on useita, niin tarvitaan vain yksi rekisteriseloste, joka kattaa tietoja useista tietojärjestelmistä. Kaikki muutkin olemassa olevat rekisteriselosteet on sovittu uusittaviksi. Terveydenhuollossa on ollut tiukat vaatimukset tietosuojan suhteen jo vuosia, joten tehtävänä on lähinnä varmistaa tietojen kattavuus ja uusia rekisteriselosteen muoto.

Tietoteknisesti isoimmat haasteet liittyvät lokitietoihin, niiden olemassaoloon, käsittelyyn ja säilyttämiseen. Näiltä osin meillä on kaupunkitasoinen projekti menossa, missä selvitetään jokaisen henkilötietoja sisältävän järjestelmän lokitietojen riittävyys suhteessa nykyisen tietosuoja-asetuksen vaatimuksiin. Järjestelmätoimittajat vastaavat omalta osaltaan näihin haasteisiin. Tässä kokonaisuudessa ei tulla välttymään tietojärjestelmäprojekteilta, sillä varmasti löytyy järjestelmiä, joihin lisälokitusta on rakennettava. Myös tietojen säilytys ja lokitietojen säilytysajat poikkeavat terveydenhuollossa yleisistä säilytysajoista.  Terveydenhuollon omavalvontasuunnitelmat on tarkistettava ja dokumentoitava toteutetut toimenpiteet sekä havainnot tarkemmin kuin aikaisemmin.

Tietosuojaa ei ole ilman tietoturvallisuutta, viittaan esimerkiksi fyysiseen tietoturvaan kuten ovien ja työasemien asianmukaiseen lukitukseen. Erityistä huomiota kiinnitetään potilastietojen tietoturvalliseen käsittelyyn. Tietoturvallisuus on osana kevään aikana koko henkilöstölle pidettävää pakollista tietosuojakoulutusta.   

Tietosuoja-asetus on läpinäkyvyyden kannalta hyvä asia, koska kansalaisen oikeuksia omiin tietoihinsa selkeytetään. Toisaalta tietosuoja-asetus tuo tiukennuksia käsittelyyn ja lisääntyvää valvontaa, joka puolestaan voi rajoittaa asioiden tekemistä. Tietojenkäsittelyssä on entistä tarkemmin pohdittava, mitä tietoja voidaan käyttää ja mitä ei. Myös tietopyyntöprosessien läpivienti on suunniteltava sujuvaksi, jotta vastaukset pystytään antamaan asetuksen vaatimassa ajassa.

Maaliskuussa 2018 on annettu hallituksen esitys uudeksi tietosuojalaiksi. Lailla täydennettäisiin ja täsmennettäisiin Euroopan unionin yleistä tietosuoja-asetusta. Samalla kumottaisiin henkilötietolaki sekä laki tietosuojalautakunnasta ja tietosuojavaltuutetusta. Jos lainsäädäntö selkiytyy ja osa laeista yhdistyy yhteen lakiin, niin kehitys on tervetullutta. Terveydenhuoltoon jää kuitenkin runsaasti säädöksiä, joiden käytäntöön vieminen ja henkilöstölle kouluttaminen on erityisen tärkeää osana tietosuojakoulutusta sekä perehdyttämisprosessia. Asetuksen tuomat sanktiot ohjaavat myös toimijoita hoitamaan tietosuojan kokonaisuudessaan mahdollisimman hyvin.

Rajoittaako tiukentuva tietosuoja Euroopan laajuisesti tietojen käyttöä ja saattaako se meidät eurooppalaiset huonompaan kilpailuasemaan Aasian ja Yhdysvaltojen kanssa, missä tiedon hyödyntämistä ei rajoiteta eurooppalaisen tietosuojan tapaan? Aika näyttää, miten riittävä avoimuus ja tiukentuvat tietosuojakäytännöt tulevat sopimaan yhteen.

Teksti: Lea Virtanen