Dataskyddsbeskrivning

INFORMERING OCH BEHANDLINGSÅTGÄRDER I PATIENTREGISTRET
Upprättat: 24.5.2018/J. Toikander
Uppdaterat: 7.12.2018/J. Toikander
Godkänt: 11.12.2018/P. Nykänen
EU:s allmänna dataskyddsförordning (679/2016)
Personuppgiftslagen (523/1999)

1. Personuppgiftsansvarig

Finlands Hudsjukhus Ab, FO-nummer 2801520-4
Salomonsgatan 1, 00100 Helsingfors, tfn 010 4192 000

2. Registrets namn

Finlands Hudsjukhus Ab:s patientregister.
Patientregister som förs centraliserat i Finlands Hudsjukhus Ab av självständiga yrkesutövare inom hälsovården som verkar där (eller av företag för vars räkning yrkesutövaren verkar).

3. Person som ansvarar för registerärendena och kontaktinformation

Finlands Hudsjukhus Ab
Salomonsgatan 1, 2:a vån., 00100 Helsingfors
010 4192 000
Ledande läkare Carl Kyrklund
Kontaktperson:
Ansvarig skötare Sanna Liukkonen
sanna.liukkonen@ihosairaala.fi
010 4192 000

4. Patientregistrets syfte med behandling av personuppgifter samt grunder för att använda och föra patientregistret

Syftet med att hålla det centraliserat förda patientregistret är kundrelationen. Patientregistrets syfte är att undersöka kunders hälsotillstånd och/eller sjukdomar, planering av vården, genomförande och uppföljning samt behandling av de uppgifter som uppkommer av detta.
Registeruppgifterna används vid behov också för behandling av respons/reklamationer (om den registrerade har uppgett sina uppgifter i samband med reklamationen), vid officiell begäran om utredning och vid behandling av farosituationer (om det finns kännedom om den registrerade).
Behandlingen av personuppgifter baserar sig den personuppgiftsansvarigas lagstadgade skyldighet att behandla personuppgifter, på patientens samtycke eller annat sakligt samband. Med patientregistret säkerställs också tillsynen av verksamheten hos den inom hälsovård yrkesutbildade personalen samt att lagar, förordningar och bestämmelser som getts om privat hälsovårdsverksamhet verkställs.
Registret används också för skötsel, upprätthållande, utveckling och statistikföring av den personuppgiftsansvarigas kundrelationer. Dessutom kan den personuppgiftsansvariga använda registret för utveckling av sin affärsverksamhet och sina tjänster samt för marknadsföringsundersökning och/eller mätning av kundmängder.
Lagstiftning som styr förandet av patientregistret:
Social- och hälsovårdsministeriets förordning om journalhandlingar (298/2009), Lag om patientens ställning och rättigheter (785/1992), Lag om privat hälso- och sjukvård (152/1990), Lag om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007), Lag om yrkesutbildade personer inom hälso- och sjukvården (559/1994) samt EU:s allmänna dataskyddsförordning (679/2016) och Personuppgiftslagen (523/1999).

5. Uppgiftsinnehållet i registret

Basuppgifter om den registrerade:
Namn
Personbeteckning
Kontaktinformation (bl.a. adress, telefonnummer, e-postadress)
Minderårig persons vårdnadshavare eller den närmaste anhörig som den registrerade uppgett (namn och kontaktinformation)
De samtycken som den registrerade gett gällande behandling och överlåtelse av uppgifter.
Lagenliga journalhandlingar med vård och undersökningsuppgifter:
Uppgifter som uppkommer vid undersökning av hälsotillstånd och/eller sjukdom, planering, genomförande och uppföljning av vård
Uppgifter från laboratorieundersökningar och remisser samt undersökningsresultat från centrallaboratoriet
Diagnos-, recept-, remiss- och utlåtandeuppgifter
Handlingar eller andra uppgifter i anslutning till vården som den registrerade själv skickat (t.ex. fotografier, uppgifterna sparas elektroniskt i patientsystemet)
Tidpunkten för anteckningar i journalhandlingar, antecknarens namn och befattning samt syftet med journalhandlingarna

6. Regelmässiga uppgiftskällor

Uppgifter som den registrerade själv eller som vårdnadshavare för minderårig person uppgett. Korrektheten i personuppgifterna kontrolleras vid besöket.
Dessutom uppgifter, utredningar och utlåtanden i patientregistret som uppkommit i samband med undersökningar och vård.
Uppgifter och/eller handlingar som med den registrerades samtycke inskaffats från arkivtjänsten Kanta eller andra verksamhetsenheter inom hälsotjänster.

7. Regelmässigt utlämnande av uppgifter

Lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården förpliktar den personuppgiftsansvariga att överföra anteckningar i journalhandlingar till tjänsten Kanta (159/2007) för arkivering.
I tjänsten Mina Kanta kan en person själv se sina uppgifter samt fastställa vilka parter som genom tjänsten Kanta får se den registrerades patient- och receptuppgifter. (mer information https://www.kanta.fi/)
Patientuppgifter är konfidentiella och de personer som deltar i behandlingen av dem har sekretess- och tystnadsplikt.
I annat fall överlåts patientuppgifter i första hand med ett skriftligt samtycke av patienten.
Patientuppgifter överlåts till personen själv, om det inte finns lagliga hinder för detta. Om patienten inte har förutsättningar att bedöma betydelsen av att ge sitt samtycke, kan uppgifter överlåtas med personens lagliga företrädares skriftliga samtycke.
Patientuppgifter kan överlåtas utifrån specialbestämmelser i lagstiftningen till myndigheter: riksdagens justitieombudsman, Tillstånds- och tillsynsverket för socialvården, Regionförvaltningsverket och försäkringsanstalter.
Polisen har utan hinder av tystnadsplikten rätt att på motiverad begäran få uppgifter om tillståndshavarens hälsotillstånd bl.a. för prövning av giltigheten för kör- eller skjutvapenstillstånd, om det finns orsak att misstänka att tillståndshavaren inte längre uppfyller förutsättningarna för att få tillståndet.
Dessutom kan patientuppgifter utan hinder av tystnadsplikten överlåtas till myndigheter som för nationella register: Till registret över cancer- och smittsamma sjukdomar hos Institutet för hälsa och välfärd samt till Säkerhets- och utvecklingscentret för läkemedelsområdet Fimeas register över läkemedelsbiverkningar.
Samtycke förutsätts inte för överlåtelse av nödvändiga och ovillkorliga uppgifter för ordnandet av vård och undersökningar i en annan verksamhetsenhet inom hälsovården, om personen på grund av psykisk hälsa, utvecklingshämning eller annan motsvarande orsak inte har förutsättningar att bedöma sitt samtycke eller om personen inte har en laglig företrädare. Eller om samtycke inte kan fås på grund av den registrerades medvetslöshet eller av annan därmed jämför orsak.
Uppgifter i registret överlåts inte till områden utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet.
Överlåtelse av uppgifter genomförs alltid som pappersutskrifter av elektroniska journalhandlingar i samband med ett personligt besök eller genom blankett om begäran av patienthandling som den registrerade har undertecknat. Den registrerades identitet kontrolleras alltid innan uppgifterna överlåts.

8. Den registrerades rättigheter

Utan hinder av sekretessbestämmelser har patienten/kunden rätt att få veta vilka uppgifter som sparats om honom eller henne i patientregistret (EU:s allmänna dataskyddsförordning, 26-28§).
Tjänsten Mina Kanta
Den registrerade kan enklast och snabbast se och granska sina uppgifter (patientanteckningar, undersökningsresultat och recept) i tjänsten Mina Kanta. I tjänsten Mina Kanta kan den registrerade fastställa och begränsa vem/vilka parter som genom tjänsten Kanta får se de patient- och receptuppgifter som överförts dit. (mer information https://www.kanta.fi/)
Rätt att kontrollera/att få tillträde till uppgifter
Patienten har rätt att se patientuppgifter somgäller honom eller henne själv och att få dem skriftligt.
Begäran att få tillträde och kontrollera uppgifter görs med den registrerades blankett för begäran av patienthandling. Blanketten skickas till den kontaktperson som anges i punkt 2 i beskrivningen. Identiteten hos den person som lämnar kontrollbegäran kontrolleras alltid innan uppgifterna överlåts. Begäran om tillträde/kontroll verkställs utan onödigt dröjsmål och uppgifterna överlåts i lättförståelig form. Vid behov förklarar en yrkesutbildad person uppgifterna. Den registrerades blankett för begäran av patienthandling kan skrivas ut via Hudsjukhusets webbsidor eller så fås den i samband med ett personligt besök på begäran hos Läkarcentralens kundservice.
Rätt till korrigering av uppgifter (rättelse)
Den personuppgiftsansvariga ska utan obefogat dröjsmål på yrkande av den registrerade rätta, radera eller komplettera en personuppgift som ingår i ett personregister och som med hänsyn till ändamålet med behandlingen är oriktig, onödig, bristfällig eller föråldrad. (Personuppgiftslagen 29§).
Om rättelseyrkandet är befogat, meddelas patienten om att den uppgift som sparats i journalhandlingarna har rättats. Rättelserna görs med iakttagande av de anvisningar som getts i social- och hälsovårdsministeriets förordning om journalhandlingar (298/2009). Om det inte finns grund till rättelseyrkande, ges i ärendet ett intyg över vägran, i vilket motiveras orsaken till vägran.
Ett rättelseyrkande ska alltid framföras skriftligt, med blanketten för rättelseyrkande. Blanketten skickas till den kontaktperson som nämnts i punkt 2 i beskrivningen. Identiteten på den person som framför rättelseyrkandet kontrolleras alltid innan man vidtar åtgärder. Den registrerades blankett för rättelseyrkande kan skrivas ut via Hudsjukhusets webbsidor eller så fås den i samband med ett personligt besök på begäran hos Läkarcentralens kundservice.
Rätten att begränsa behandlingen av patientuppgifter
Lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården förpliktar den personuppgiftsansvariga att överföra anteckningar i journalhandlingar till tjänsten Kanta (159/2007) för arkivering.
I tjänsten Mina Kanta kan den registrerade själv fastställa och begränsa vilka parter som genom tjänsten Kanta får se de patient- och receptuppgifter som överförts dit. (mer information https://www.kanta.fi/)
Begräsningar i det patientregister som centraliserats till Hudsjukhuset kan fastställas med den registrerades personliga begäran genom sekretessbeläggning av det ifrågavarande besöket eller så kan den registrerade förbjuda att dennas uppgifter sparas i det gemensamma registret. Så här kan man göra exempelvis i en situation där patienten väntar på den personuppgiftsansvarigas svar på en begäran om rättelse eller korrigering av hans eller hennes uppgifter. Innan åtgärder vidtas kontrolleras den registrerades identitet.
Minderårigs rättigheter
En minderårigs rättigheter att få uppgifter som gäller honom eller henne själv fastställs utifrån de allmänna bestämmelserna som fastställer rätten att få föra talan. En person under 15 år, som med tanke på åldern och utvecklingsnivån kan besluta om sin vård får självständigt utnyttja sin granskningsrätt. Om en minderårig som är förmögen att självständigt besluta om sin vård förbjuder att uppgifterna överlåts till vårdnadshavare, då har vårdnadshavaren inte rätt till granskning av eller tillträde till den minderårigas patientregisteruppgifter.
Samtycken och förbud
Samtliga uppgifter som sparats i Finlands Hudsjukhus Ab:s patientregister är sekretessbelagda och den registrerade behöver inte nödvändigtvis framföra ett separat, uttryckligt förbud mot att överlåta uppgifter.
Den registrerade har rätt att förbjuda den personuppgiftsansvariga från att behandla uppgifter som gäller honom eller henne själv för direktmarknadsföring, distansförsäljning, annan direktmarknadsföring samt för marknads- och opinionsundersökningar liksom för personmatriklar och släktforskning
En patient/kund kan när som helst återkalla ett samtycke som han eller hon gett.
Rätt att lämna besvär till tillsynsmyndighet
Den registrerade har rätt att lämna in ett besvär/klagomål till tillsynsmyndighet om den registrerade anser att man vid behandlingen av personuppgifter som gäller honom eller henne bryter mot lagstiftningen.

9. Förvaring, arkivering och förstörande av patientregisteruppgifter

Alla patientuppgifter antecknas och sparas i det elektroniska patientsystem som förs centraliserat. Patientuppgifter överförs lagenligt till det riksomfattande Kanta-arkivet (Lag om elektronisk behandling av klientuppgifter inom social- och hälsovården, 159/2007).
Finlands Hudsjukhus Ab har inte patientuppgiftsregister utanför det elektroniska patientsystemet.
De basdatablanketter som skrivs ur patientuppgiftssystemet och som de registrerade undertecknat förvaras i låsförsedda arkivskåp, till vilka endast utsedda personer har tillträde till. Basuppgiftsblanketterna förstörs efter den lagenliga förvaringstiden, så att inte utomstående eller obehöriga får tillträde till uppgifterna.
Vid förvaring, arkivering och förstöring av patientregisteruppgifter iakttas givna förordningar och bestämmelser (Social- och hälsovårdsministeriets förordning om journalhandlingar 298/2009, Lag om patientens ställning och rättigheter 785/1992, Lag om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007), Arkivlagen 831/1994).

10. Allmän beskrivning om skyddet av patientregistret, tekniska och organisatoriska skyddsåtgärder

Patientuppgifter får endast behandlas av yrkesutbildade personer inom hälsovården och som deltar i vården. Uppgifterna behandlas i den omfattning som arbetsuppgifterna och vårdsituationen det kräver. Personalen har i anslutning till användningen av systemet fått en nödvändig utbildning och inskolning i användningen av systemet i början av anställningen. Systemutbildning av nya personer ingår i inskolningen. Det har säkerställts att yrkesutövarna kan använda systemet. Patientregistersystemets systemadministratörer har fått utförligare utbildning/inskolning som ordnats av systemleverantören.
Den personuppgiftsansvariga har på ett behörigt sätt skyddat uppgifterna tekniskt och organisatoriskt.
De uppgifter som sparats i det elektroniska patientregistersystemet har skyddats med användarnas personliga åtkomsträttigheter, som har fastställts i den omfattning som arbetsuppgifterna förutsätter och med beaktande att god praxis för antecknande av journalhandlingar kan genomföras. Åtkomsträttigheter ges efter det att arbetsavtal/mottagningsavtal för yrkesutövare har ingåtts. Åtkomsträttigheterna är personliga och lösenorden till dem ska bytas regelbundet. Åtkomsträttigheterna och behandlingen av de uppgifter som sparats i patientsystemet följs upp genom loggen.
Alla som behandlar patientregisteruppgifter binds av sekretess och tystnadsplikt samt av den lagstiftning som styr branschen och de allmänna dataskyddsanvisningarna under anställningen och efter den. Åtkomsträttigheterna tas bort genast efter det att anställningen och/eller mottagningsavtalet har upphört.

11. Registerförvaltning

För det centraliserade upprätthållandet av registret svarar Finlands Hudsjukhus Ab.
Den personuppgiftsansvariga följer lagstiftningen om dataskyddet och förändringar i myndighetsanvisningar samt förbehåller sig rätten att uppdatera denna beskrivning.
Hudsjukhusets dataskyddsombud är Jenny Toikander, jenny.toikander@ihosairaala.fi.

15. Blanketter

Nedan finns de blanketter för granskningsbegäran och rättelseyrkande som avses i personuppgiftslagen:
Den registrerades begäran av journalhandlingar
Blankett för yrkande av rättelse i registeruppgifter
Blanketterna ska skickas undertecknade till adressen:
Finlands Hudsjukhus Ab
Salomonsgatan 1
00100 Helsingfors