Dataskyddsbeskrivning hälsostationer, munhälsovård och öppen rehabilitering

Dataskyddsbeskrivning Behandling av personuppgifter, hälsostationer, munhälsovård och öppen rehabilitering

Publicerad: 8.3.2021

1. Registrets namn

Patientregister

2. Personuppgiftsansvarig

Esbo stads hälsovård

PB 202 (Teknikvägen 15)

02070 Esbo stad

3. Ansvarig person för registret

Hälsovårdsdirektören

Esbo stads social- och hälsovårdssektor

PB 202, 02070 Esbo stad

tfn 09 816 21 (växel)

4. Kontaktpersoner för registret

Hälsostationer:

Hälsovårdsdirektörens sekreterare

Esbo stads social- och hälsovårdssektor, PB 202, 02070 Esbo stad

Telefon: 09 816 21 (växel)

Munhälsovård:

Byråsekreteraren inom ansvarsområdet för munhälsovårdens ledande övertandläkare

Esbo stads social- och hälsovårdssektor, PB 202, 02070 Esbo stad

Telefon: 09 816 21 (växel)

Öppen rehabilitering:

Byråsekreteraren inom ansvarsområdet för öppen rehabilitering

Esbo stads social- och hälsovårdssektor, PB 202, 02070 Esbo stad

Telefon: 09 816 21 (växel)

5. Dataskyddsombud

Stadens dataskyddsombud

PB 12, 02070 Esbo stad

tietosuoja@espoo.fi

6. För vilket ändamål behandlas personuppgifter?

Ändamålet med behandlingen av personuppgifter i registret är att ordna vården för patienterna inom hälsovården enligt hälso- och sjukvårdslagen.

I en del av tjänsterna skickas en påminnelse om tidsbokningen per sms till patienten. Patienten har rätt att förbjuda att sms sänds. Patienten kan meddela förbud i Esbos digitala portal medborgarnas hälsovårdstjänst Tidsbokning på webben(extern länk) eller meddela sitt ärende i samband med ett besök vid ett verksamhetsställe.

Esbo behandlar patienternas personuppgifter för följande användningsändamål:

  • ordnande, planering, genomförande, uppföljning och rådgivning gällande undersökning och vård av patienten,
  • genomförande av stödtjänster inom social- och hälsovården (bland annat fakturering, applikationsstöd),
  • planering, statistikföring, uppföljning och utvärdering av social- och hälsovårdens verksamhet på det sätt som föreskrivs i lagen om sekundär användning av personuppgifter inom social- och hälsovården eller någon annanstans i lagstiftningen,
  • informationsledning inom social- och hälsovården på det sätt som föreskrivs i lagen om sekundär användning av personuppgifter inom social- och hälsovården och
  • vetenskaplig forskning på det sätt som föreskrivs i lagen om sekundär användning av personuppgifter inom social- och hälsovården på basis av separata beslut av Esbo eller Findata.

7. Vilken är grunden för behandlingen av personuppgifter?

Esbo har skyldighet att erbjuda hälsovårdstjänster bland annat för kommuninvånarna. Ordnandet av hälsovårdstjänster förutsätter behandling av patienternas personuppgifter. Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar Esbo.

Central lagstiftning

  • EU:s allmänna dataskyddsförordning (särskilt artikel 6.1 c och artikel 9.2 h)
  • Dataskyddslagen (1050/2018)
  • Lagen om sekundär användning av personuppgifter inom social- och hälsovården (552/2019)
  • Lagen om offentlighet i myndigheternas verksamhet (621/1999)
  • Lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007)
  • Hälso- och sjukvårdslagen (1326/2010)
  • 3 kap. i folkhälsolagen (66/1972)
  • Lagen om patientens ställning och rättigheter (785/1992)
  • Lagen om elektroniska recept (61/2007)
  • 2 kap. i förordningen om offentlighet och god informationshantering i myndigheternas verksamhet (1030/1999)
  • Förvaltningslagen (434/2003)

8. Vilka uppgifter behandlas?

I patientregistret ingår patientuppgifter inom hälso- och sjukvårdstjänster som tillhandahålls inom hälsostationerna, munhälsovården och rehabiliteringen.

Esbo sparar i patientregistret följande uppgifter:

  • basuppgifter om patienten (person- och kontaktuppgifter och uppgifter om anhöriga),
  • uppgifter om ordnande av vården (bland annat tidsboknings- och köuppgifter, uppgifter om bokning av vård, uppgifter om besök och vårdperioder i ämbetsverkets egna verksamhetsenheter samt vårdenheter som staden har ett avtal med samt namn- och tjänsteuppgifter om dem som gjort anteckningarna),
  • uppgifter om hälsa och sjukdom (uppgifter om medicinska risker, besöks- och vårdperiodsuppgifter som gäller hälsorådgivning, diagnoser, planering av vården, vårdens förlopp, uppföljning och utvärdering av vården, begäran om laboratorie- och röntgenundersökningar och svaren på dessa, uppgifter om funktionsförmåga, utlåtanden och utfärdade intyg, konsultationsbegäran och -svar (även från enheter utanför ämbetsverket, t.ex. svar från sjukvårdsdistriktet HUS), remisser och vårdrespons samt slututlåtanden om vården) och
  • administrativa uppgifter och uppgifter om patientfakturering.

De uppgifter om hälso- och sjukvårdstjänster som gäller patienter och som behandlas i Esbos köpta tjänster och servicesedelverksamhet hör till Esbos patientregister.

Patientregistret är en del av den kommunala hälso- och sjukvårdens gemensamma register för patientuppgifter för området för sjukvårdsdistriktet (HUS) enligt 9 § i hälso- och sjukvårdslagen.

Uppgifternas offentlighet och konfidentialitet

Uppgifterna om patientförhållande är sekretessbelagda enligt 24 § i lagen om offentlighet i myndigheternas verksamhet (621/1999).

9. Varifrån fås uppgifterna?

Regelmässiga uppgiftskällor:

  • patienten, dennes lagliga företrädare eller en anhörig,
  • uppgifter om behandlingen av patientens vård som baserar sig på iakttagelser av en anställd,
  • befolkningsregistercentralens uppgifter om områdets befolkning,
  • uppgifter om bilddiagnostiska och laboratorieundersökningar fås från tjänsteproducenterna,
  • uppgifter om tjänster som skaffats med servicesedel fås från tjänsteproducenterna,
  • i fråga om hälso- och sjukvårdstjänster de patientuppgifter som producerats av andra verksamhetsenheter som hör till sjukvårdsdistriktet HUS gemensamma register,
  • i fråga om hälso- och sjukvårdstjänster de uppgifter i Kanta som fåtts med patientens eller patientens lagliga företrädares samtycke och
  • uppgifter som erhållits med patientens eller dennes lagliga företrädares samtycke bland annat av enheter eller anställda inom social- och hälsovården eller skolväsendet.

Inom hälso- och sjukvårdstjänsterna har patienten rätt att förbjuda att uppgifter inom den kommunala primärvården och den specialiserade sjukvården inom sjukvårdsdistriktets (HUS) område lämnas ut inom sjukvårdsdistriktets område. Mer information om detta finns under punkt 13.9 i denna dataskyddsbeskrivning. Utlämnandet av uppgifter via det riksomfattande patientdataarkivet till andra aktörer inom hälso- och sjukvården grundar sig på patientens eller dennes lagliga företrädares samtycke.

Esbo kan med stöd av lagstiftningen inhämta uppgifter om patientens ekonomi (bl.a. inkomstuppgifter) ur det riksomfattande inkomstregistret.

Esbos rätt att få uppgifter om patienten kan också grunda sig på annan lagstiftning.

10. Lämnas uppgifter ut eller överförs de utanför staden?

Esbo kan lämna ut uppgifter om patienten med uttryckligt samtycke av patienten eller dennes lagliga företrädare. Esbo är med stöd av lagstiftningen skyldigt att lämna ut uppgifter om patienter bland annat till andra myndigheter. I Esbo säkerställs innan uppgifter lämnas ut att den som begär uppgifter har rätt att få de uppgifter som hen begärt med stöd av lagstiftningen.

Esbo lämnar ut uppgifter om patienten till serviceproducenter (bland annat i fråga om köpta tjänster), om det är nödvändigt för att producera hälso- och sjukvårdstjänster för patienten. Esbo lämnar ut uppgifter om patienten med stöd av lagstiftningen till tillsynsmyndigheten (bland annat regionförvaltningsverket, riksdagens justitieombudsman).

Uppgifter om patienten lämnas ut till Findata med stöd av lagen om sekundär användning av personuppgifter inom social- och hälsovården för vetenskaplig forskning, statistikföring, utvecklings- och innovationsverksamhet, undervisning, myndighetsstyrning och myndighetstillsyn inom social- och hälsovården samt myndigheternas planerings- och utredningsuppgifter.

Esbo lämnar med stöd av lagen om sekundär användning av personuppgifter inom social- och hälsovården ut uppgifter om patienten till den som ansöker om uppgifter för vetenskaplig forskning, statistikföring, undervisning, myndighetsstyrning och myndighetstillsyn inom social- och hälsovården samt för myndighetens planerings- och utredningsuppgift, när ansökan gäller endast Esbos material. Esbo får lämna ut uppgifter om patienten i enlighet med lagen om sekundär användning av personuppgifter inom social- och hälsovården för informationsledning inom social- och hälsovården i Esbo.

11. Överförs uppgifter utanför EU/EES-området?

Esbo överför i regel inte uppgifter om patienter till länder utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet. Exempelvis serversalarna för de datasystem som Esbo använder är belägna i EU- eller EES-länder.

Esbo överför uppgifter om patienter till länder utanför EU- eller EES-området bland annat vid utbyte av information mellan myndigheter med stöd av lag. Esbo överför uppgifter om patienten utanför EU och EES endast om det mottagande landet enligt kommissionens beslut har ansetts säkerställa en adekvat skyddsnivå eller om överföringen omfattas av lämpliga skyddsåtgärder som avses i EU:s allmänna dataskyddsförordning (2016/679).

12. Hur länge kommer uppgifterna att lagras?

Förvaringstider för patientuppgifter:

  • journalhandlingar: i regel 120 år efter patientens födelse eller 12 år efter patientens död (journalhandlingar som uppkommit före 1.5.1999 eller som gäller patienter som avlidit före 1.5.1999: i regel 100 år efter födelsen eller 20 år efter döden),
  • journalhandlingar för personer födda den 18 och 28 dagen i månaden: varaktigt,
  • material som överförts till och lagrats i det riksomfattande patientdataarkivet: varaktigt med undantag för verifikationer och
  • material som gäller klientavgifter: 10 år.

Grunder för förvaringstiderna:

  • Social- och hälsovårdsministeriets förordning om journalhandlingar (298/2009),
  • Arkivverkets beslut 16.2.2009 (AL/14372/07.01.01.03.01/2008): Potilasasiakirjojen pysyvä säilytys 2009,
  • Valtionarkiston päätös kunnallisten asiakirjojen hävittämisestä osa 2. Terveydenhuollon asiakirjat. 14.4.1989 ISBN 951-861-419-9,
  • Arkistolaitoksen päätös 3.9.2001 KA 158/43/01: Pysyvästi säilytettävät kunnalliset tuki- ja ylläpitotehtävien asiakirjat och
  • Kuntaliitto: Kunnallisten asiakirjojen säilytysajat. Määräykset ja suositukset. Taloushallinto 2.

13. Hur skyddas uppgifterna?

Personuppgifter om patienten finns i patientdatasystemet Lifecare och Esbos portal Medborgarnas hälsovårdstjänst. För uppföljning av tjänsten och processerna lagras uppgifter också på personalens personliga L-station på datorn. Uppgifter om patienten finns också i pappersform.

Uppgifterna i patientdatasystemet överförs till Kanta-arkivet i den omfattning som bestäms i lagen. Enligt förordningen om journalhandlingar ska uppgifterna skickas till arkivet inom fem dygn efter att servicehändelsen avslutats. Viljeförklaringar, förbud och samtycken överförs direkt till Kanta.

De anställda som behandlar uppgifter om patienten har lagstadgad tystnadsplikt. Tystnadsplikten fortsätter även efter att anställningsförhållandet upphört.

Digitalt material

IT-utrustningen ligger i skyddade och övervakade lokaler. De apparater och program som Esbo stads social- och hälsovårdssektor använder är skyddade och säkrade enligt stadens datasäkerhetsprinciper.

Behandlingen av patientens personuppgifter bygger på en patientrelation eller ett annat sakligt samband. Arbetstagarnas användarrättigheter baserar sig på personliga användarrättigheter, och Esbo övervakar användningen av dem bland annat via logguppgifter. Varje anställd godkänner en användnings- och sekretessförbindelse för uppgifterna och datasystemen. Esbos datasystem kräver att lösenordet regelbundet byts. Cheferna beslutar om beviljande och indragning av användarrättigheter. Esbo inaktiverar användarrättigheterna när den anställdas anställningsförhållande upphör.

De anställda loggar in med personliga certifikatkort i patientdatasystemet Lifecare.

Manuellt material

I Esbos verksamhetsenheter förvaras handlingarna i övervakade lokaler och/eller i låsbara skåp. Esbo överför de arkiverade handlingarna via Esbo social- och hälsovårdssektors slutarkiv till stadsarkivet.

14. Den registrerades rättigheter

14.1 Hur kan jag kontrollera mina uppgifter?

Den registrerade, det vill säga patienten, eller dennes lagliga företrädare har rätt att få veta om Esbo behandlar personuppgifter som gäller patienten. Om Esbo behandlar personuppgifter som gäller patienten, har patienten eller dennes lagliga företrädare rätt att få en kopia av de personuppgifter som behandlas.

En utomstående (det vill säga någon annan än patienten eller dennes lagliga företrädare) har inte rätt att kontrollera uppgifterna, även om personuppgifter om honom eller henne kan vara sparade i de personuppgifter som gäller patienten.

I regel kan patienten söka sina patientuppgifter inom hälso- och sjukvårdstjänsterna i OmaKanta. På mottagningen kan den anställda på patientens begäran skriva ut anteckningarna endast för besöket i fråga. Rätten till kontroll av uppgifter enligt EU:s allmänna dataskyddsförordning och utlämnandet av anteckningarna för ett besök är olika saker.

Patienten eller dennes lagliga företrädare kan göra en begäran om kontroll i samband med ett personligt besök eller genom en handling som sänds per post eller genom att besöka registraturen eller en servicepunkt. Esbo har för begäran utarbetat en blankett som patienten eller dennes lagliga företrädare kan använda när de begär uppgifter. Blanketten fås vid social- och hälsovårdssektorns verksamhetsenheter och den finns också på Esbo stads webbplats Klienters och patienters rätt till information. Om patienten eller dennes lagliga företrädare skickar en begäran per post, riktas begäran till: Esbo stads social- och hälsovårdssektor, Begäranden om uppgifter, PB 202, 02070 Esbo stad eller Esbo stads social- och hälsovårdssektor, Munhälsovård/ kundservicecentralen, Begäranden om uppgifter, PB 2131, 02070 Esbo stad (uppgifter om munhälsovård).

Esbo lämnar uppgifterna utan onödigt dröjsmål och under alla omständigheter senast en månad efter att ha mottagit begäran. Esbo kan vid behov förlänga tidsfristen med högst två månader. Vid förlängningen av tidsfristen beaktar Esbo hur komplicerade begärandena är och hur många de är. Esbo ska underrätta den som begär om uppgifterna om förlängningen av tidsfristen och orsakerna till förlängningen inom en månad från mottagandet av begäran. Esbo meddelar om vägran senast inom en månad från det att begäran inkommit.

I EU:s allmänna dataskyddsförordning, dataskyddslagen och den nationella speciallagstiftningen finns bestämmelser om situationer där den personuppgiftsansvarige kan låta bli att lämna ut de uppgifter som patienten eller dennes lagliga företrädare begär. Om Esbo inte lämnar ut de begärda uppgifterna till patienten eller dennes lagliga företrädare, ska Esbo utan dröjsmål och senast inom en månad från mottagandet av begäran underrätta den som begär uppgifterna om orsakerna till att uppgifterna inte lämnas ut och informera om patientens eller dennes lagliga företrädares möjlighet att inge klagomål hos dataombudsmannen och använda andra rättsmedel.

Begäran om egna uppgifter är i princip avgiftsfri. Om begärandena från patienten eller dennes lagliga företrädare är uppenbart ogrundade eller orimliga, särskilt på grund av deras repetitiva art, får Esbo antingen ta ut en rimlig avgift som täcker de administrativa kostnaderna för att tillhandahålla uppgifterna eller meddelandena eller vidta den åtgärd som begärts; eller vägra att lämna ut de begärda uppgifterna.

14.2. När kan jag kräva att mina uppgifter rättas?

Den registrerade, det vill säga patienten eller dennes lagliga företrädare har rätt att kräva att Esbo utan onödigt dröjsmål rättar inexakta eller felaktiga personuppgifter som rör patienten. Patienten eller dennes lagliga företrädare har rätt att få bristfälliga uppgifter kompletterade. Esbo gör ändringarna så att uppgifterna om rättelsen, den som rättar och datumet för rättelsen framgår av registren och så att den ursprungliga anteckningen kan läsas efteråt. Esbo är skyldigt att underrätta de mottagare till vilka Esbo har lämnat ut uppgifter om patienten om att uppgifterna har rättats. Esbo har ingen anmälningsskyldighet, om anmälandet är omöjligt eller orsakar oskäligt besvär.

Esbo utför begäran utan onödigt dröjsmål och under alla omständigheter senast en månad efter att ha mottagit begäran. Esbo kan vid behov förlänga tidsfristen med högst två månader. Vid förlängningen av tidsfristen beaktar Esbo hur komplicerade begärandena är och hur många de är. Esbo ska underrätta den som begär uppgifterna om förlängningen av tidsfristen och orsakerna till förlängningen inom en månad från mottagandet av begäran. Esbo meddelar om vägran senast inom en månad från det att begäran inkommit.

Patienten eller dennes lagliga företrädare kan göra en begäran i samband med ett personligt besök eller genom en handling som sänds per post eller genom att besöka registraturen eller en servicepunkt. För begäran har det tagits fram en blankett som patienten eller dennes lagliga företrädare kan använda när de begär rättelse av personuppgifter om patienten. Blanketten fås av Esbo stads social- och hälsovårdssektors verksamhetsenheter, och den finns också på Esbo stads webbplats Klienters och patienters rätt till information. Om patienten eller dennes lagliga företrädare skickar en begäran per post, riktas begäran till: Esbo stads social- och hälsovårdssektor, Begäranden om uppgifter, PB 202, 02070 eller Esbo stads social- och hälsovårdssektor, Munhälsovård/ kundservicecentralen, Begäranden om uppgifter, PB 2131, 02070 Esbo stad (uppgifter om munhälsovård). Esbo stad I begäran ska patienten eller dennes lagliga företrädare noggrant specificera och motivera vilka uppgifter han eller hon kräver att rättas, vilka uppgifter patienten eller dennes lagliga företrädare anser vara rätta samt hur rättelsen ska genomföras.

Om Esbo inte godkänner patientens eller dennes lagliga företrädares begäran om rättelse av uppgifterna, ska Esbo skriftligen underrätta patienten eller dennes lagliga företrädare om detta. Esbo berättar samtidigt varför kravet inte har godkänts och ger anvisningar om patientens eller dennes lagliga företrädares möjlighet att inge klagomål hos dataombudsmannen och använda andra rättsmedel.

14.3. När kan jag kräva att mina uppgifter raderas?

Patienten eller dennes lagliga företrädare har rätt att utan onödigt dröjsmål få personuppgifter om patienten raderade, om de förutsättningar som anges i artikel 17 i EU:s allmänna dataskyddsförordning uppfylls. Patienten eller dennes lagliga företrädare har i regel inte rätt att få personuppgifter om patienten raderade inom hälso- och sjukvården, eftersom Esbo har en lagstadgad skyldighet att behandla uppgifterna (bland annat registreringsskyldighet och arkiveringsskyldighet). Patienten eller dennes lagliga företrädare har rätt att få personuppgifter om patienten raderade närmast när uppgifterna redan från början har varit onödiga med tanke på deras användningsändamål. Esbo är skyldigt att underrätta de mottagare till vilka Esbo har lämnat ut uppgifter om patienten om att uppgifterna har raderats. Esbo har ingen anmälningsskyldighet, om anmälandet är omöjligt eller orsakar oskäligt besvär.

Begärandena riktas till: Esbo stads social- och hälsovårdssektor, Begäranden om uppgifter, PB 202, 02070 Esbo stad eller Esbo stads social- och hälsovårdssektor, Munhälsovård/ kundservicecentralen, Begäranden om uppgifter, PB 2131, 02070 Esbo stad (uppgifter om munhälsovård).

14.4. När kan jag kräva att behandlingen av mina uppgifter begränsas?

Patienten eller dennes lagliga företrädare har rätt att kräva att Esbo begränsar behandlingen av personuppgifter som gäller patienten, om patienten eller dennes lagliga företrädare bestrider att de personuppgifter som gäller patienten är korrekta. Esbo ska då i regel begränsa behandlingen av personuppgifter som gäller patienten till dess att Esbo har säkerställt att personuppgifterna är korrekta. I dataskyddsförordningen föreskrivs det om vissa undantag från begränsningsskyldigheten, med stöd av vilka Esbo i vissa situationer kan behandla patientens personuppgifter som har begränsats. Esbo ska underrätta patienten eller dennes lagliga företrädare om att begränsningen upphävs innan begränsningen upphävs.

Begärandena riktas till: Esbo stads social- och hälsovårdssektor, Begäranden om uppgifter, PB 202, 02070 Esbo stad eller Esbo stads social- och hälsovårdssektor, Munhälsovård/ kundservicecentralen, Begäranden om uppgifter, PB 2131, 02070 Esbo stad (uppgifter om munhälsovård).

14.5 Rätt att göra invändningar

Att Esbo behandlar patientens personuppgifter inom hälso- och sjukvårdstjänsterna grundar sig på iakttagandet av lagstadgade skyldigheter. Därför har patienten eller dennes lagliga företrädare inte rätt att göra invändningar.

14.6 Rätt till dataportabilitet

Att Esbo behandlar patientens personuppgifter inom hälso- och sjukvårdstjänsterna grundar sig på iakttagandet av lagstadgade skyldigheter. Därför har patienten eller dennes lagliga företrädare inte rätt att överföra uppgifter från ett system till ett annat.

14.7 Rätt att inte bli föremål för automatiserat beslutsfattande

Patienten har i princip rätt att inte bli föremål för sådana beslut som enbart grundar sig på automatiserad behandling och som har rättsverkningar för patienten eller som på motsvarande sätt har betydande konsekvenser för patienten. Esbo använder inte automatiserat beslutsfattande vid ordnandet av hälso- och sjukvårdstjänster.

14.8 Inlämning av klagomål

Patienten eller dennes lagliga företrädare har rätt att lämna in ett klagomål till tillsynsmyndigheten, om patienten eller dennes lagliga företrädare upplever att behandlingen av personuppgifter strider mot dataskyddslagstiftningen. Patienten eller dennes lagliga företrädare kan lämna in ett klagomål till dataombudsmannens byrå: www.tietosuoja.fi.

Rätten att inge klagomål hos dataombudsmannen begränsar inte andra administrativa prövningsförfaranden eller rättsmedel som patienten eller dennes lagliga företrädare har till sitt förfogande.

14.9 Förbudsrätt i fråga om patientuppgifter inom hälso- och sjukvården

Hälso- och sjukvårdens patientuppgifter är sekretessbelagda. De överlåts endast med patientens uttryckliga samtycke eller på lagstadgade grunder.

Patientens samtycke krävs inte för att patientuppgifter ska få användas av verksamhetsenheter inom hälso- och sjukvården som har anslutit sig till det gemensamma registret för patientuppgifter (i Esbo HUS-området). Patienten har emellertid rätt att förbjuda att uppgifter som har registrerats av en annan verksamhetsenhet inom det gemensamma registret används. Patienten får när som helst meddela eller återkalla förbudet. Om uppgifter från en annan verksamhetsenhet inom hälso- och sjukvården behövs för att kunna vårda patienten, ska patienten själv se till att uppgifterna överlåts. Patienten kan också återta ett förbud.