Dataskyddsbeskrivning / Patient- och klientuppgiftsregistret

Personuppgiftansvarig

Sibbo kommun, Social- och hälsovårdsutskottet
Sibbo kommun, PB 7, 04131 Sibbo
Växel +358 9 23531

Registrets ansvarsperson

Servicedirektör / chefläkare

Kontaktperson i registerärenden

Servicedirektör för tjänster för personer i arbetsför ålder / chefläkare
Nickby social- och hälsostation PB 7, 04131 Sibbo
Växel +358 9 23531
anders.mickos@sibbo.fi

Hur behandlar vi dina personuppgifter och på vilka grunder?

Behandlingen av uppgifter grundar sig på utförande av lagstadgade uppgifter.
I kapitel 2 i hälso- och sjukvårdslagen preciseras de uppgifter som hör till kommunens främjande av hälsa och välfärd:
• hälsorådgivning och hälsoundersökningar (13 §), inklusive mun- och tandvård
• screening (14 §)
• rådgivningsbyråtjänster (15 §)
• skolhälsovård (16 §)
• studerandehälsovård (17 §)
Kommunens uppgifter för ordnande av sjukvårdstjänster fastställs i kapitel 3 i hälso- och sjukvårdslagen:
• sjukvård (24 §)
• hemsjukvård (25 §)
• mun- och tandvård (26 §)
• mentalvårdsarbete (27 §)
• sådant alkohol- och drogarbete, som ges som en del av hälsovården (28 §)
• medicinsk rehabilitering (29 §)
I lagen om stödjande av den äldre befolkningens funktionsförmåga och om social- och hälsovårdstjänster för äldre (980/2012) preciseras kommunens skyldigheter vad gäller främjande av hälsa och välfärd för äldre.

Orsaken till att registret förs: Patient-/klientförhållande
Registret innehåller uppgifter som är nödvändiga för ordnande och uppföljning av patienternas och klienternas vård. Patientuppgifterna används för att förebygga, undersöka och vårda sjukdomar och klientuppgifterna för att planera, genomföra och uppfölja vård och omsorg. Därtill används registret för att planera tjänsterna samt för undervisning, forskning, statistik och fakturering.
Det patient- och klientregister som Sibbo kommuns social- och hälsovårdsutskott upprätthåller utgör en del av den offentliga hälsovårdens register över patientuppgifter för sjukvårdsdistriktet (Helsingfors och Nylands sjukvårdsdistrikt) enligt det som avses i 9 § i hälso- och sjukvårdslagen. Sibbo kommun är personuppgiftsansvarig vad gäller de patientuppgifter och patienthandlingar som uppkommit i kommunens egen verksamhet.
Följande lagar är väsentliga för verksamheten och styr den:
– EU:s allmänna dataskyddsförordning 679/2016
– Dataskyddslag 1050/2018
– Lag om offentlighet i myndigheternas verksamhet 621/1999
– Förvaltningslag 434/2003
– Hälso- och sjukvårdslag 1326/2010
– Socialvårdslag 1301/2014
– Social- och hälsovårdsministeriets förordning om journalhandlingar 298/2009
– Lag om patientens ställning och rättigheter 785/1992
– Lag om klientens ställning och rättigheter inom socialvården 812/2000
– Lag om klienthandlingar inom socialvården 254/2015
– Lag om elektronisk behandling av klientuppgifter inom social- och hälsovården 159/2007
– Lag om stödjande av den äldre befolkningens funktionsförmåga och om social- och hälsovårdstjänster för äldre 980/2012
– Statistiklag 280/2004
– Lag om elektroniska recept (61/2007)
– Lag om yrkesutbildade personer inom hälso- och sjukvården (559/1994)
– Arkivlag 831/1994
– Folkhälsolag (66/1972)

Vilka personuppgifter behandlar vi?

Uppgifter i elektronisk format
1. Uppgifter som lagras i patient- och klientdataregistret Mediatri
Basuppgifter:
• efternamn och samtliga förnamn
• personbeteckning
• adressuppgifter och hemkommun
• telefonnumren
• av personen själv utsedd nära anhörig och/eller kontaktperson, vårdnadshavare till en minderårig person samt deras kontaktuppgifter
• intressebevakare och kontaktuppgifter
• faktureringsadress, om inte personens hemadress

Nödvändiga och behövliga uppgifter som rör patientens/klientens hälsa och sjukdom:
• kontakt och bedömning av vårdbehovet
• hälsouppgifter och som är nödvändiga för att planera, ordna och genomföra vård
• hälsorådgivning
• begäran om och svar på laboratorie- och röntgenundersökningar
• uppgifter om medicinska risker
• åtgärdsdokument (bl.a. mun- och tandvård)
• uppgifter gällande funktionsförmågan
• remisser, vårdrespons och konsultationer
• intyg, utlåtanden och beslut
• övriga uppgifter som är nödvändiga för vården
• förteckning över överlämnande av patientuppgifter

Administrativa uppgifter och uppgifter gällande patientfakturering:
• uppgifter om tidsbeställning och uppgifter om ankomst av remiss
• uppgifter relaterade till beslut om betalningar
• patientinformation, samtycken samt förbud
• övriga viljeyttringar

Socialarbete (socialvårdens register)
Socialvårdens register är för tillfället inte i bruk
• samtycken och förbud mellan registren

Användarlogg
• Uppgifter om de personer som behandlar patientens/klientens uppgifter
• Uppgifter om de personer som har beviljats användarrättigheter

Vem får behandla dina personuppgifter?

Förvaring, arkivering och förstöring av registeruppgifter förekommer enligt lag och organisationsspecifika anvisningar som baserar sig på lagen. Personuppgifter som sparats i registret är sekretessbelagda. Arbetstagare som behandlar eller tittar på uppgifterna har sekretess- och tystnadsplikt. Sekretess- och tystnadsplikten fortsätter även efter det att anställningsförhållandet har upphört. Uppgifter får behandlas enbart av personer som deltar i vården eller utför till dess hörande uppgifter i verksamhetsenheten i fråga.
Förvaring, arkivering, förstöring och annan behandling av uppgifterna styrs av arkivbildningsplanen och av dataskydds- och datasäkerhetsanvisningarna.
A Manuellt material
Manuellt material (pappersdokument) förvaras i låsta utrymmen och deras användning övervakas. Uppgifterna arkiveras i patientspecifika mappar i enlighet med arkivlagen.
B ADB-register
Uppgifterna samlas in i elektroniska databaser som är skyddade med brandväggar, lösenord och andra tekniska lösningar. De tekniska apparater med vilka systemet används finns i skyddade och övervakade lokaler.
Endast vissa på förhand bestämda personer har tillgång till uppgifterna. Användarrättigheterna beviljas enligt arbetsuppgifter. Samtliga användare skriver under ett dataskyddsavtal. Lösenord till systemen ska regelbundet bytas ut till nya. Användarrättigheterna passiveras när arbetsförhållandet tar slut. För att följa med och övervaka användningen och behandlingen av registeruppgifterna förs en användarlogg.
Förvaring, arkivering och förstöring av registeruppgifter förekommer enligt lag och organisationsspecifika anvisningar som baserar sig på lagen. Uppgifter som sparats i registret är sekretessbelagda.
Klienter/patienter kan sköta vissa ärenden på internet via elektroniska ärendetjänster (till exempel elektroniska blanketter) med hjälp av stark autentisering.

Köpservice
När kommunen köper tjänster av utomstående serviceproducenter ingår man ett avtal med serviceproducenten för att se till att dataskyddet och datasäkerheten genomförs.
Serviceproducenten ser till och ansvarar för att tjänsteutbudet och verksamheten genomförs enligt gällande bestämmelser om sekretess, tystnadsplikt, dataskydd och datasäkerhet samt enligt gällande bestämmelser om utlämnande av sekretessbelagda uppgifter.

Hur samlar vi in personuppgifter som behövs för behandlingen?

Uppgifterna fås och upprätthålls genom information från klienten/ patienten och/eller hans representant samt utgående från information som uppkommer i vårdenheten. Uppgifter kan fås från myndigheter och andra instanser med klientens skriftliga godkännande eller på lag baserad rätt att få uppgifter. Informationen bör i första hand begäras av klienten eller patienten själv. Patienten ska få veta om uppgifter skaffas på basis av en särskild bestämmelse i lagen.
Enligt 9 § i hälso- och sjukvårdslagen får patientuppgifter i olika verksamhetsenheter som finns i ett gemensamt register för patientuppgifter (Helsingfors och Nylands sjukvårdsdistrikt) användas i den omfattning som vården kräver utan separat samtycke av patienten efter att patienten har informerats om det gemensamma registret för patientuppgifter och då patienten är i en vårdrelation med Sibbo kommuns hälsocentral. Dessutom förutsätts det att patienten inte har förbjudit att hans eller hennes uppgifter används på en annan verksamhetsenhet. Patienten får göra eller återkalla ett dylikt förbud när som helst. Om uppgifter skaffas per teknologisk förbindelse från andra patientregister än Helsingfors och Nylands sjukvårdsdistrikts patientregister, ska man få patientens samtycke för detta.
Man får också patientuppgifter till systemet för patientuppgifter i samband med patientens vårdrelation från Folkpensionsanstaltens patientuppgiftsarkiv (Kanta), om patienten inte efter informeringen om Kantatjänsterna har förbjudit överföring av uppgifterna. Patienten informeras om Kantatjänsterna då patienten är på kundbesök inom hälsovården eller besöker Folkpensionsanstaltens Mina Kanta-webbplats.
Person- och adressuppgifter för kunder bosatta i Sibbo fås ur befolkningsregistret en gång i veckan. Adressuppgifter för personer som har spärrmarkering av adress uppdateras inte automatiskt i systemet. Övriga behövliga basuppgifter införs i systemet då vårdrelationen inleds.

Överför kommunen dina personuppgifter till tredje parter?

Uppgifter som ingår i patienthandlingar är sekretessbelagda (lag om patientens ställning och rättigheter 653/2000, 13 §). Personuppgifter ur registret utlämnas inte till utomstående utan patientens samtycke. Med utomstående avses personer som inte vid verksamhetsenheten deltar i vården av patienten eller i andra uppgifter i samband med vården. Tystnadsplikten kvarstår efter det anställningsförhållandet eller uppdraget har upphört.

Patientuppgifter får lämnas (lag om patientens ställning och rättigheter 653/2000, 13 §, 13 a § och 13 b §):
Med patientens samtycke. Om patienten saknar förutsättningar att bedöma betydelsen av ett sådant samtycke, får uppgifterna lämnas med skriftligt samtycke av patientens lagliga företrädare.

Uppgifter som ingår i journalhandlingarna får lämnas om det uttryckligen särskilt föreskrivs i lag om utlämnande av uppgifter eller rätt att få del av uppgifter.

Enligt 9 § i hälso- och sjukvårdslagen får patientuppgifter i olika verksamhetsenheter som finns i ett gemensamt register för patientuppgifter (Helsingfors och Nylands sjukvårdsdistrikt) lämnas utan separat samtycke av patienten efter att patienten har informerats om det gemensamma registret för patientuppgifter och då patienten är i en vårdrelation med den vårdenhet inom hälsovården som behöver uppgifterna.

De patientuppgifter som sparats i Folkpensionsanstaltens arkiv för patientuppgifter (Kanta) kan användas av den registerförare som sparat uppgifterna. Om patientuppgifter söks från någon annan registerförares register, är det fråga om överlåtelse, för vilken det krävs ett samtycke av patienten. Ett samtycke som patienten har gett gäller tillsvidare och samtycket omfattar alla patientuppgifter som redan finns i systemet samt patientuppgifter som senare sparas i systemet. Patienten kan dock begränsa omfattningen av sitt samtycke med ett förbud som patienten gör separat. Förbudet kan riktas på uppgifterna för en specifik servicehändelse eller tjänsteleverantör. Patienten hanterar synligheten av sina uppgifter med Folkpensionsanstaltens Mina Kanta eller hos den registerförare som sparat uppgifterna i fråga. Folkpensionsanstalten ansvarar för förvaltningen och registerförandet av Kantatjänsterna.

Registeruppgifter överlämnas på begäran till myndigheter som enligt lag har rätt till registrets uppgifter. Den som begär överlämning av uppgifter ska påvisa det lagrum som begäran grundar sig på.

Uppgifter överlämnas till myndigheter som upprätthåller nationella register för forsknings-, planerings- och statistikändamål samt för uppföljning av smittosamma sjukdomar. (Lag om riksomfattande personregister för hälsovården 3 § samt Lag om smittsamma sjukdomar, kapitel 4)
• vårdanmälningsregistret
• registret över födda barn
• registret över aborter
• registret över steriliseringar
• registret över cancersjukdomar
• registret över medfödda missbildningar
• registret över synskador

Register som Fimea upprätthåller är
• registret över biverkningar
• narkotikatillsynsregistret

(Lag om riksomfattande personregister för hälsovården 556/1989, 3 §)
Lag om ändring av statistiklagen 361/2013,
Lag om Institutet för hälsa och välfärd 31.10.2008/668).

Överförs dina uppgifter utanför EU och EES?

Registeruppgifter överförs inte utanför EU eller det Europeiska ekonomiska samarbetsområdet.
Överföring av personuppgifter utanför Europeiska unionen kräver i princip kundens/patientens samtycke. Därtill ska man se till att dataskyddsnivån är tillräckligt hög i det land som uppgifterna överförs till.

Ingår automatiskt beslutsfattande eller profilering i behandlingen?

Mediatri är kopplat till ett stödsystem för beslutfattande som upprätthålls av Duodecim. Systemet analyserar uppgifterna och ger användaren råd och anvisningar omgående under vårdsituationen. Uppgifter som överförs från patientjournalen till stödsystemet för beslutfattande pseudonymiseras.

Hur länge lagras dina personuppgifter?

Vid lagringen följs de förvaringstider som anges i lagarna.
Social- och hälsovårdsministeriets förordning om journalhandlingar 298/2009, 23 §
Lag om elektronisk behandling av klientuppgifter inom social- och hälsovården 159/2007
Lag om klientens ställning och rättigheter 785/1995
Lag om klienthandlingar inom socialvården 254/2015
Arkivlag 831/1994

Hur skyddas dina personuppgifter?

Förvaring, arkivering och förstöring av registeruppgifter förekommer enligt lag och organisationsspecifika anvisningar som baserar sig på lagen. Personuppgifter som sparats i registret är sekretessbelagda. Arbetstagare som behandlar eller tittar på uppgifterna har sekretess- och tystnadsplikt. Sekretess- och tystnadsplikten fortsätter även efter det att anställningsförhållandet har upphört. Uppgifter får behandlas enbart av personer som deltar i vården eller utför till dess hörande uppgifter i verksamhetsenheten i fråga.
Förvaring, arkivering, förstöring och annan behandling av uppgifterna styrs av arkivbildningsplanen och av dataskydds- och datasäkerhetsanvisningarna.
A Manuellt material
Manuellt material (pappersdokument) förvaras i låsta utrymmen och deras användning övervakas. Uppgifterna arkiveras i patientspecifika mappar i enlighet med arkivlagen.
B ADB-register
Uppgifterna samlas in i elektroniska databaser som är skyddade med brandväggar, lösenord och andra tekniska lösningar. De tekniska apparater med vilka systemet används finns i skyddade och övervakade lokaler.
Endast vissa på förhand bestämda personer har tillgång till uppgifterna. Användarrättigheterna beviljas enligt arbetsuppgifter. Samtliga användare skriver under ett dataskyddsavtal. Lösenord till systemen ska regelbundet bytas ut till nya. Användarrättigheterna passiveras när arbetsförhållandet tar slut. För att följa med och övervaka användningen och behandlingen av registeruppgifterna förs en användarlogg.
Förvaring, arkivering och förstöring av registeruppgifter förekommer enligt lag och organisationsspecifika anvisningar som baserar sig på lagen. Uppgifter som sparats i registret är sekretessbelagda.
Klienter/patienter kan sköta vissa ärenden på internet via elektroniska ärendetjänster (till exempel elektroniska blanketter) med hjälp av stark autentisering.

Köpservice
När kommunen köper tjänster av utomstående serviceproducenter ingår man ett avtal med serviceproducenten för att se till att dataskyddet och datasäkerheten genomförs.
Serviceproducenten ser till och ansvarar för att tjänsteutbudet och verksamheten genomförs enligt gällande bestämmelser om sekretess, tystnadsplikt, dataskydd och datasäkerhet samt enligt gällande bestämmelser om utlämnande av sekretessbelagda uppgifter.