MyData tuo mahdollisuuksia mutta ei ratkaise kaikkia ongelmia henkilötietojen suojassa digitalisoituvissa sosiaali- ja terveyspalveluissa
Lisensoitu Creative Commons Nimeä 4.0 Kansainvälinen -lisenssillä.
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Oikeudet omiin sote-tietoihin 2016-12
1. Oikeudet omiin sote-tietoihin
Henkilötietojen suoja digitalisoituvissa sote-palveluissa
Olli Pitkänen
Tutkimusjohtaja
IPR University Center
16.12.2016
Lisensoitu Creative Commons Nimeä 4.0 Kansainvälinen -
lisenssillä.
2. Taustaa
• Sosiaali- ja terveydenhuollossa täytyy käsitellä paljon
tavallisten ihmisten tietoja
• Jotta sote-järjestelmä olisi tehokas, lääkärille helposti potilaan
laboratoriokokeiden tulokset ja sosiaalivirkailijalle tieto mitä tukitoimia tälle
henkilölle on aikaisemmin kohdistettu.
• Sote-palveluiden tuottamiseen saattaa osallistua useita yrityksiä,
viranomaisia ja kolmannen sektorin toimijoita.
• Tieto voi myös liikkua yhdellä sote-alueella olevalta organisaatiolta toiselle
sote-alueelle.
• Sote-palveluiden asiakkaiden tiedot saattavat olla hyvin
henkilökohtaisia ja yksityisiä, arkaluonteisiakin.
• Ongelmana sote-tietojen osalta siis on mitä suurimmassa
määrin tietojen käsittelyn tehokkuuden sovittaminen
yhteen yksityisyyden ja tietosuojan vaatimusten kanssa.
16.12.2016
Lisensoitu Creative Commons
Nimeä 4.0 Kansainvälinen -lisenssillä.
2
3. Lainsäädäntökehikko
• Sote-maailmassa henkilötietojen käsittelyä koskee
monimutkainen lainsäädäntöviidakko
• Henkilötietolaki, 25.5.2018 alkaen EU:n yleinen tietosuoja-
asetus: yleiset säännöt henkilötietojen käsittelylle.
• Huomattava määrä erityislainsäädäntöä, mm
• laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä
(”asiakastietolaki”, 159/2007),
• laki sähköisestä lääkemääräyksestä (”lääkemääräyslaki” tai ”eReseptilaki”,
61/2007),
• laki sosiaalihuollon asiakasasiakirjoista (254/2015)
• tulossa oleva laki sosiaali- ja terveystietojen tietoturvallisesta
hyödyntämisestä
16.12.2016
Lisensoitu Creative Commons
Nimeä 4.0 Kansainvälinen -lisenssillä.
3
4. MyData ratkaisuna sote-tietojen
ongelmiin
• MyData: ihmiskeskeinen lähestymistapa henkilötiedon
hallintaan ja käsittelyyn.
• Yksilöt saavat oikeuden ja pääsyn heistä kerättyihin tietoihin ja
heillä on mahdollisuus sallia tietojensa luovuttaminen
hyödyllisiin palveluihin.
• Esimerkiksi hajallaan eri toimijoilla olevia sote-tietoja voidaan
yhdistää ja jalostaa asiakkaan suostumuksella.
• Hän voi erityisen MyData-operaattorin avulla kontrolloida sitä,
kuka voi luovuttaa mitäkin hänen tietojaan kenelle ja mihin
tarkoitukseen.
• Hyödyllinen henkilötietojen käyttäminen helpottuu ja
uudenlaiset tietoja yhdistelevät palvelut tulevat mahdollisiksi ja
hyödyttävät asiakasta samalla, kun hänen yksityisyytensä
kuitenkin säilyy.
16.12.2016
Lisensoitu Creative Commons
Nimeä 4.0 Kansainvälinen -lisenssillä.
4
5. MyDatan rajoista sote-tietojen
käsittelyssä
• Oikeudellisesti MyData perustuu kahteen oleelliseen tekijään:
• henkilöllä täytyy itsellään olla pääsy omiin tietoihinsa
• henkilötietojen käsittelyn tulee perustua hänen suostumukseensa.
• Tarkastusoikeus: jokaisella tulee olla oikeus saada tietää, mitä häntä
koskevia tietoja jossain käsitellään.
• Tietosuoja-asetus: rajoitettu oikeus siirtää omat henkilötietonsa
yhdestä palvelusta toiseen.
• Molemmat oikeudet antavat vain kertaluonteisen pääsyn staattiseen,
hetkelliseen kuvaan henkilötiedoista
• kumpikaan niistä ei takaa, että ihminen voi sallia omien muuttuvien tietojensa jatkuvan
uudelleenkäyttämisen toisessa palvelussa.
• Sote-palveluiden asiakkaalla on yleensä laaja pääsy omiin tietoihinsa,
mutta sitä voidaan myös rajoittaa ja erityisesti se on tarkoitettu
muuhun kuin MyData-henkiseen tietojen uudelleenkäyttämiseen.
16.12.2016
Lisensoitu Creative Commons
Nimeä 4.0 Kansainvälinen -lisenssillä.
5
6. MyData ja suostumus
16.12.2016
Lisensoitu Creative Commons Nimeä
4.0 Kansainvälinen -lisenssillä.
6
• Laissa on lueteltu henkilötietojen käsittelylle useita laillisia
edellytyksiä. Suostumus on niistä vain yksi.
• Suomessa yleisin edellytys on ollut asiallinen yhteys.
• Palveluntarjoaja on voinut käsitellä tarvittavia asiakastietoja ilman suostumusta.
• Tietosuoja-asetuksessa yhtenä edellytyksenä henkilötietojen käsittelylle on että
käsittely on tarpeen palveluntarjoajan oikeutettujen etujen toteuttamiseksi. Saattaa
entisestään vähentää suostumuksen tarvetta.
• Viranomaisilla usein lakiin perustuva velvollisuus – ei tarvita
suostumusta.
• Jos suostumusta ei välttämättä tarvita, henkilötietojen käsittelyä ei
kannata perustaa siihen, koska suostumuksen voi peruuttaa.
• Sote-tiedot voivat koskea useita henkilöitä, esim samassa taloudessa
asuvia ihmisiä, jotka saaneet sosiaalipalveluita, tai sukulaisia, joilla
samanlainen geneettinen alttius sairastua. Kukaan ei yksinään voi
antaa suostumusta muitakin ihmisiä koskevien henkilötietojen
käsittelyyn.
7. Yhteenveto
• MyData-lähestymistapa voisi helpottaa sote-tietojen käsittelyä
• Jos asiakkaalle annetaan kontrolli henkilötietojen käsittelyyn, hän voi
suostumuksellaan sallia tietojen siirron joustavasti
• Asiakkaalla täytyy olla pääsy tietoihinsa ja henkilötietojen käsittelyn
täytyy perustua asiakkaan suostumukseen.
• Kumpikaan näistä edellytyksistä ei aina täyty sote-palveluissa.
• Ihmisillä laaja oikeus saada itseään koskevia tietoja mutta sote-
palvelun tarjoajilla ei ole velvollisuutta antaa tietoja jatkuvasti online.
• Monissa sote-palveluissa henkilötietojen käsittely ei voi perustua
yksinomaan suostumukselle.
• Palveluntarjoajien voitava hyödyntää myös muita laillisia edellytyksiä,
jolloin MyData-ajattelun kulmakivenä oleva suostumus ei olekaan
käytettävissä.
16.12.2016
Lisensoitu Creative Commons
Nimeä 4.0 Kansainvälinen -lisenssillä.
7