Joni komulainen oper_kevatseminaari_2016

EU:n tietosuoja-asetus ja Sote-uudistus haastavat tietoturva- ja tietosuojakäytännöt

16.3.2016 klo 12.20–12.50

THL / OPER - OTK Joni Komulainen 16.3.2016 1

1. EU:n tietosuojauudistus haasteena

• Euroopan parlamentti, neuvosto ja komissio ovat kolmikantaneuvotteluissa päässeet sopuun EU:n tietosuojauudistuksesta. Uudistuksen sisältö on sinetöity lopullisesti EU:n ministerineuvostossa.

• Uudistuksesta on käyty neuvotteluja jo lähes neljä vuotta.

• EU:n ns. tietosuojapakettiin kuuluu 1. yleisesti sovellettava tietosuoja-asetus ja 2. direktiivi, jota lainvalvonta- ja oikeusviranomaiset soveltavat käsitellessään henkilötietoja.

• Molempia säädöksiä aletaan soveltaa vuonna 2018.

16.3.2016 THL / OPER - Joni Komulainen 2

EU:n tietosuojauudistus

• Henkilötietojen suojaa koskevan sääntelyn uudistaminen ja nykyaikaistaminen oli tarpeen, koska henkilötietoja kerätään yhä enemmän teknologisen kehityksen ja globalisoitumisen myötä.

• Korkeatasoisella tietosuojalla voidaan parantaa luottamusta sähköisiin palveluihin ja kehittää EU:n digitaalisia sisämarkkinoita.

• Tietosuoja-asetus koskee kaikkien kansalaisten henkilötietojen käsittelyä. Yhdenmukainen henkilötietolainsäädäntö EU:ssa tukee rajat ylittävää kaupankäyntiä. Kansalaisen on helpompi luottaa esimerkiksi verkkokauppoihin, kun hän tietää, että hänen henkilötietojaan käsitellään kaupanteon yhteydessä asianmukaisesti.



• Tietosuoja-asetuksessa määritellyt rekisteröidyn oikeudet vastaavat suurelta osin nykysääntelyä: henkilöllä on jatkossakin oikeus esimerkiksi tarkastaa itseään koskevat tiedot. Rekisterinpitäjän on oikaistava virheelliset tiedot ja poistettava esimerkiksi tarpeeton tai vanhentunut henkilötieto.

• Henkilön oikeutta saada omat tietonsa poistettua (Right to be forgotten) ei kuitenkaan sovelleta lakisääteisiin rekistereihin.

• Tietosuojavastaavien asettaminen.


EU:n tietosuojauudistus • Asetus rajoittaa lasten henkilötietojen käsittelyä

ilman vanhempien suostumusta. Alle 16-vuotiaat eivät siten voi käyttää esimerkiksi sosiaalisen median palveluja ilman vanhempien lupaa. Jäsenvaltio voi päättää myös alemmasta ikärajasta, alimmillaan se voi olla 13 vuotta.

• Tietosuoja-asetuksen puitteissa on mahdollista jatkaa nykyisen kaltaista biopankkitoimintaa, palkkatilastointia ja sukututkimusta.

• Asetukseen onkin sisällytetty artikla, joka mahdollistaa kansallisen julkisuuslain yhteensovittamisen tietosuoja-asetuksen kanssa. Näin hallinnon läpinäkyvyys ja asiakirjojen julkisuus voidaan säilyttää Suomessa.


EU:n tietosuojauudistus • Suomessa tietosuojavaltuutetun toimisto on

viranomainen, jonka tehtäviin kuuluu mm. valvoa asetuksen soveltamista. Tietosuojavaltuutetun arvion mukaan uudet tehtävät kasvattavat toimiston resurssitarvetta noin 5 -7,5 henkilötyövuodella.

• Tietosuojaviranomainen voi määrätä rekisterinpitäjälle sakkoa.

• Sanktioitavat teot on jaettu kolmeen luokkaan, joissa sakon määrä voi olla enintään 10 miljoonaa tai 20 miljoonaa euroa.

• Tämän lisäksi sakko voidaan määrätä kokonaisliikevaihdon (4 %) perusteella. Sakkojen ohella on käytettävissä myös lievempiä keinoja, kuten huomautus.


EU:n tietosuojauudistus • Suomalaisille yrityksille aiheutuu uusia kustannuksia

muun muassa velvollisuudesta nimittää tietosuojavastaava sekä velvollisuudesta ilmoittaa tietoturvaloukkauksista.

• EU:n tietosuojasääntelyn yhdenmukaisen soveltamisen varmistamiseksi perustetaan Euroopan tietosuojaneuvosto. Se voi tehdä sitovia päätöksiä asioissa, joissa on kyse henkilötietojen käsittelystä useamman jäsenvaltion alueella.

• Tietosuoja-asetuksella kumotaan nykyinen EU:n henkilötietodirektiivi ja asetusta sovelletaan Suomessa sellaisenaan.


Eräitä asetukseen sisältyviä muutoksia: • Compliance (sääntöjen noudattaminen)

• Accountability (tietotilinpäätös)

- Tilintekokykyisyys eli sinun tulee osoittaa, että noudatat lakeja

• Privacy by design (ennakkoon suunnitteleminen)

Ks. Henkilötietolain 6 §

• Privacy by default (oletusarvoinen ja sisäänrakennettu)

Nyt kun kuluttaja asioi rekisterinpitäjän kanssa, niin huolehtii esim. oman sähköpostin tietoturvasta

Asetuksella rekisterinpitäjä velvoitetaan rakentamaan tietoturvallinen suojattu palvelu


Eräitä asetukseen sisältyviä muutoksia: • Entistä tarkempia määritelmiä erilaisista käsitteistä

kuten suostumus, geneettiset tiedot, biometriset tiedot jne.

• Selkeämpiä sääntöjä henkilötietojen käsittelijöiden vastuusta, erityisesti rekisterinpitäjien, mutta myös rekisterinpidossa avustavien osalta.

• Privacy be design tarkoittaa; että organisaatiolle ei riitä, että se noudattaa asetusta, vaan organisaation on pystyttävä osoittamaan, että tietosuojasäännökset huomioidaan rekisterinpitäjän toiminnassa.

• Data breach notification: Ilmoitusvelvollisuus vähäistä suurempien tietoturvaloukkausten tapahtuessa.


Eräitä asetukseen sisältyviä muutoksia: • Right to data portability: Oikeus saada itseään

koskevat tiedot koneluettavassa muodossa. Asetuksen mukaan rekisteröidyllä olisi oikeus siirtää henkilötietonsa ja kaikki muut rekisteröidyn antamat tiedot toiseen järjestelmään silloin, kun rekisteröity itse on antanut henkilötiedot ja kun niiden käsittely perustuu suostumukseen tai sopimukseen. Siirto-oikeutta ei sovelleta julkisella sektorilla.

• Jokainen tietosuojaviranomainen on toimivaltainen oman jäsenvaltionsa alueella. Kun kyse on jäsenvaltioiden rajat ylittävästä henkilötietojen käsittelystä, on rekisterinpitäjän päätoimipaikan tietosuojaviranomainen yleensä toimivaltainen käsittelemään asiaa.

• .


Eräitä asetukseen sisältyviä muutoksia: • Data breach notification: Oikeus saada tieto siitä,

että omiin tietoihin on murtauduttu: esim. yritysten ja organisaatioiden on ilmoitettava kansalliselle tietosuojaviranomaiselle vakavista tietosuojaloukkauksista mahdollisimman pian, jotta käyttäjät voivat toteuttaa tarvittavat toimenpiteet.

• Riskipohjainen lähestymistapa Compliance: Sääntöjen avulla vältetään raskaat, kaikille samat velvoitteet, ja räätälöidään ne sen sijaan riskien perusteella erikseen.

• Jos tietopyynnöt ovat ilmeisen aiheettomia tai ylimitoitettuja, pk-yritykset voivat veloittaa maksun tietojen toimittamisesta.



• Tietosuoja-asetus edellyttää kuitenkin Suomessa myös lainsäädäntötoimenpiteitä, sillä jäsenvaltiot voivat antaa asetusta tarkentavaa lainsäädäntöä erityisesti julkisella sektorilla. Myös julkishallinnolle asetus merkitsee uusia kustannuksia mm. tietosuojavastaavan nimittämiseen liittyen.

• Oikeusministeriö vastaa Suomessa asetuksen täytäntöönpanon edellyttämistä lainsäädäntötoimista.


Valmistautuminen asetuksen voimaan tuloon: • OM on asettanut työryhmän selvittämään EU:n

yleisen tietosuoja-asetuksen edellyttämien kansallisten lainsäädäntötoimenpiteiden tarvetta ja valmistelemaan tietosuoja-asetuksen edellyttämiä muutoksia henkilötietojen käsittelystä annettuun yleiseen kansalliseen lainsäädäntöön sekä koordinoimaan asiasta annetun erityislainsäädännön tarkistamiseksi tarpeellista lainvalmistelutyötä.

• Työryhmän toimikausi on 17.2.2016 -16.2.2018.

• Työryhmän tulee laatia ehdotuksensa lainsäädännön muutoksiksi hallituksen esityksen muotoon. Työryhmän tulee saada mietintönsä lainsäädännön muutosehdotuksista valmiiksi 31.5.2017 mennessä.


Valmistautuminen asetuksen voimaan tuloon: • Organisaation henkilötietojen käsittelyyn liittyvien

toimintatapojen läpikäynti ja sopeuttaminen uutta asetusta vastaavaksi on hyvä aloittaa ajoissa.

• Monet asetukseen sisältyvät velvoitteet sisältyvät jo nykyisin Suomen henkilötietolakiin.

• Tietojen korkea laatu ja toimivat lainmukaiset menettelytavat tietojen käsittelyssä vaikuttavat positiivisesti kaikkiin organisaation toiminnan osa-alueisiin

• Riskien minimointi, hyvän maineen rakentaminen, kansalaisten ja kuluttajien luottamuksen säilyttäminen ovat asioita, joista on tulossa ratkaisevan tärkeitä kaikkien sektoreiden toiminnan menestymiselle.


Valmistautuminen asetuksen voimaan tuloon: • Suurin osa tietosuoja-asetusten vaateista täyttyy

pitämällä huolta, että nykyiset tietosuoja- ja tietoruvakäytännöt ovat ajantasaisia

• Seuraa lainsäädäntötyötä

• Seuraa OM:n työryhmän työtä

• Seuraa Tietosuojavaltuutetun toimiston, OM:n, STM:n ja THL:n ja muiden viranomaisten ohjeistuksia ja määräyksiä

• Huolehdi henkilökunnan kouluttamisesta

• Tietosuoja- ja tietoturva-asiat ydinjohdon asialistalle!


Valmistautuminen asetuksen voimaan tuloon:

Tietosuojavaltuutettu Reijo Aarnio blogissaan 1.3.2016:

” On myös huomattava, että oikeusministeriön työryhmä ei voi ainoastaan keskittyä tietosuoja-asetukseen, vaan se joutuu väistämättä linjaamaan osaltaan koko hallinnon kehittämistä ja liiketoiminnan edellytyksiä.

Työryhmä on siis pantu paljon vartijaksi.

Lisämausteensa ja vaikeusasteensa tuo aikataulutus. Digitalisaatiokehitys ei joutaisi oikein odottamaan.”


2. Sote-uudistus haasteena

• Sote-uudistus on sosiaali- ja terveydenhuollon palvelurakenteen uudistus.

• Tavoitteena on kaventaa ihmisten hyvinvointi- ja terveyseroja, parantaa palvelujen yhdenvertaisuutta ja saatavuutta sekä hillitä kustannuksia.

• Julkisten sosiaali- ja terveyspalvelujen järjestämisvastuu siirtyy kunnilta ja kuntayhtymiltä merkittävästi suuremmille itsehallintoalueille, maakunnille.

• Sosiaali- ja terveyspalvelut yhdistetään kaikilla tasoilla asiakaslähtöisiksi kokonaisuuksiksi ja peruspalveluja vahvistetaan.


Sote-uudistus haasteena

• Sosiaali- ja terveydenhuollon monikanavainen rahoitus yksinkertaistetaan ja lisätään ihmisten valinnanvapautta palveluissa.

• Uudistuksella kurotaan umpeen iso osa julkisen talouden kestävyysvajeesta. Hallituksen 10 miljardin euron säästötavoitteesta noin 3 miljardia euroa on tarkoitus saada sote-uudistuksesta.

• Rakenteiden ja rahoituksen uudistamisen lisäksi nykyaikaistetaan sosiaali- ja terveydenhuollon ohjausta ja toimintamalleja perusteellisesti. Tavoitteena ovat nykyistä asiakaslähtöisemmät, vaikuttavammat, kustannustehokkaammat ja paremmin yhteen sovitetut palvelut.



Valmisteluryhmät

• http://alueuudistus.fi/soteuudistus/valmisteluryhmat

• Sote-uudistusta valmistellaan perhe- ja peruspalveluministeri Juha Rehulan johdolla. Poliittiset linjaukset käsitellään reforministeriryhmässä ja hallitus päättää niistä.

• STM:llä ja VM:llä on yhteinen virkamiesohjausryhmä ja projektiryhmä valmistelemassa sote-uudistusta ja aluehallintouudistusta. Ryhmien tehtävänä on valmistella ja toteuttaa sote-uudistus rahoitusratkaisuineen sekä siihen liittyvä itsehallintoalueiden perustaminen.


http://alueuudistus.fi/soteuudistus/valmisteluryhmat


Valmisteluryhmät

• Projektiryhmän alaisuudessa toimii eri asiakokonaisuuksia valmistelevia ryhmiä. Ne valmistelevat mm. aluejakoja, järjestämis- ja voimaanpanolakia, itsehallintoaluelakia ja rahoitussäännöksiä. Valmisteluryhmien tiedot löytyvät vasemmalta valikosta.

• Sote- ja aluehallintouudistuksen projektijohtaja on alivaltiosihteeri Tuomas Pöysti. Projektijohtaja raportoi suoraan ministereille ja vastaa projektia koskevien asioiden esittelystä ohjausryhmälle ja reformiministerityöryhmälle.

• Hankkeella on myös parlamentaarinen seurantaryhmä.



Väliaikaishallinto

• Kesällä 2017 käynnistyy maakuntien väliaikaishallinto valmistelemaan uuden toiminnan aloittamista vuonna 2019.

• Väliaikaishallinnossa on tarkoitus nojautua mahdollisimman pitkälti maakunnissa nyt sovittaviin uusiin rakenteisiin.

• Sosiaali- ja terveyspalvelut kootaan kaikilla tasoilla yhden järjestäjän eli maakunnan alaisuuteen.

• Palvelu- ja hoitoketjut uudistetaan mahdollisimman asiakaskeskeisiksi ja kustannustehokkaiksi. Alueellinen suunnittelu mahdollistaa paikallisten erityispiirteiden huomioon ottamisen.


Väliaikaishallinto • Sosiaali- ja terveyspalvelujen jatkuvuuden

turvaamiseksi on tärkeää suunnitella huolellisesti myös tietohallinnon ja ICT-palveluiden siirtymävaihe ja välttämättömät investoinnit. Valtakunnallista ohjausta vahvistetaan. Tämä suunnittelu etenee parhaillaan omassa valmisteluryhmässään.

• Maakuntia aiotaan kannustaa myös kokeiluilla tapahtuvaan kehittämiseen. Tällaisia kokeiluja voidaan tehdä esimerkiksi palvelujen digitalisaatiosta ja valinnanvapaudesta.

• Muutostukeen aiotaan sisällyttää myös tietopankki, johtamisvalmennusta ja viestinnällistä tukea alueille. Keskeisenä kumppanina on Kuntaliitto. Myös henkilöstöjärjestöt ja sosiaali- ja terveysalan kansalaisjärjestöt halutaan mukaan muutoksen suunnitteluun.


Työryhmät tietosuoja- ja tietoturva-asioiden miettimistä varten?

• Mitään erillistä työryhmää tietosuoja- ja tietoturva-asioiden miettimistä varten ei ole asetettu.

• Seuraavissa työryhmissä asiakokonaisuutta tultaneen (=tulisi) kuitenkin käsittelemään:

1. Asiakastietolakiryhmä

2. Sote-uudistuksen järjestämistyölakiryhmä (siellä ei ole tämä kyllä merkittävässä roolissa)

3. Digitalisaatio-työryhmä

• Asia tulisi ottaa esille muutostukityöryhmässä

• Konkreettinen tekeminen ja muutos tehdään kuitenkin alueilla



• Seuraa eri valmisteluryhmien työtä ks. http://alueuudistus.fi/soteuudistus/valmisteluryhmat

• Seuraa lausunnolle tulevia lakeja:

Sote-järjestämislaki,

Maakuntalaki

Järjestämislain ja maakuntalain voimaanpanolaki

Asiakastietolain kokonaisuudistus,

Toissijaisen käytön laki,

Laki yksityisistä sosiaali- ja terveyspalveluista



Sote-uudistus haasteena Maakuntien valtionosuuslaki (valtionrahoitus

maakunnille

Uusi kuntien peruspalveluiden valtionosuuslaki

Tuloverolain ja muun verolainsäädännön muutokset

Valtiontalouden tarkastusvirastosta annetun lain, vaalilain ja vaalirahoituslain sekä hallintolain, julkisuuslain, kielilain, tietohallintolain yms. hallinto-oikeudellisen ja informaatio-oikeudellisen yleislainsäädännön muutokset, viranhaltijoita sekä virka- ja työehtosopimusjärjestelmää sekä eläkejärjestelmää henkilöstösiirtojen johdosta koskevat muutokset


Asiakastietolakityöryhmä • 1) lakiin lisätään sosiaalihuollon kansallisia

tietojärjestelmäpalveluita koskevat säännökset sekä sosiaali- ja terveydenhuollon asiakas- ja potilastietojen yhteiskäyttöä koskevat säännökset

• 2) Mahdollistetaan sosiaalihuollon asiakastietojen kansallisen arkistoinnin, tietojen luovutuksen, kansalaisen katselun ja hallinnan omiin tietoihinsa sekä sosiaali- ja terveydenhuollon asiakas- ja potilastietojen yhteiskäytön yhteisissä palveluissa tietoturvallisella ja kustannustehokkaalla tavalla.

• Lisäksi työryhmän tehtävänä on valmistella jatkosuunnitelma asiakas- ja potilastietoja koskevan lainsäädännön yhtenäistämisestä


Yksityisen sosiaali- ja terveydenhuollon lainsäädännön työryhmä • 1)Selvittää, arvioida ja tehdä esitys yksityisten sosiaali-

ja terveyspalvelujen lupamenettelyjä koskeviksi säännöksiksi.

• 2)Selvittää, arvioida ja tehdä esitys yksityisten sosiaali- ja terveyspalvelujen valvontaa koskeviksi säännöksiksi

• 3)Selventää palvelujen tuottajia koskevaa sääntelyä.

• 4)Selventää potilasrekistereihin liittyvää lainsäädäntöä.

• 5)Selventää eri viranomaisten työnjakoon ja toimivaltaan liittyvä sääntely (ml. viranomaisten rekisterit, toiminnasta perittävät maksut).

• 6)Arvioitava ja tehtävä esitys siitä, yhdistetäänkö yksityisiä sosiaali- ja terveyspalveluja koskeva lainsäädäntö samaan lakiin.



• Sosiaali- ja terveydenhuollon täydellinen vertikaalinen ja horisontaalinen integraatio?

• Itsehallintoalue tuottaa tarvittavat palvelut itse tai yhdessä muiden itsehallintoalueiden kanssa, lisäksi se voi käyttää yksityisen tai kolmannen sektorin palveluita ja järjestämistehtävä ja tuotanto erillään itsehallintoalueen sisäisessä organisaatiossa

• Itsehallintoalue on henkilötietolain (523/1999) 3 §:n 4 kohdassa tarkoitettu rekisterinpitäjä sen järjestämisvastuulle kuuluvassa toiminnassa syntyneille sosiaali- ja terveydenhuollon asiakas- ja potilasasiakirjoille? Vrt. asiakastietolaki ja yksityisiä sosiaali- ja terveydenhuoltoa koskeva lainsäädäntö


Sote-uudistus haasteena • Sote-tietojen yhteiskäyttö

• Informointi-, suostumus- ja kieltopykäläviidakon järkevöittäminen

• Itsehallintoalueilla asiakastiedon tehtävänmukainen käyttöoikeuksin määritelty käyttö tulee korostumaan ja luovutusten merkitys vähenee

• Käyttölokien seurannan merkitys kasvaa

• Lokien automaattisen seurannan merkitys kasvaa

• Lokien seuranta kansalaisen käyttöliittymän kautta

• Lokien laadun merkitys entisestään korostuu

• PHR (omatietovaranto), kyberturvallisuus



• Maakuntien ja soten muodostuminen ei periaatteessa muuta tilannetta tietosuojan- ja tietoturvan periaatteiden osalta mitenkään

• Jatkossa tulee miettiä, miten nämä hoidetaan maakunnan /sote-järjestäjän tasolla ja miten palveluntuottajien tasolla ja mitä yhteistyötä tässä tarvitaan.

• Tämän miettiminen ja ohjeistaminen on minusta pitkälti STMn jaTHLn tehtävää yhteistyössä kaikkien toimijoiden ja keskeisten viranomaisten kanssa.



• Seuraa tietosuojavaltuutetun toimiston, THL:n, STM:n ja OM:n internet –sivuja ja ohjeistuksia ja määräyksiä

• Seuraa OM:n työryhmää, joka selvittää EU:n yleisen tietosuoja-asetuksen edellyttämien kansallisten lainsäädäntötoimien tarvetta ja valmistelee lainmuutoksia

• Pidä huolta ajantasaisista tietosuoja- ja tietoturvakäytänteistä

• Ydinjohto mukaan!

• Tietosuoja- ja tietoturvakäytänteet pitää olla suunniteltuja ja käytössä heti alusta lähtien.


Toimenpiteitä (Tietosuojavaltuutettu Reijo Aarniota mukaillen)

• Arvio nykytilanne, henkilötietolaki oppaaksi

• Määrää tietosuojan isäntä; tietosuojavastaava

• Analysoi henkilötietovarastosi ja –prosessit sekä eliminoi uhat

• Tee riskiarvio; arvio myös sopimuksesi

• Laadi toimintaohjeet ja -ohjelmat eri tilanteiden varalta; esim. tietoturva, -vuodot, rekisteröidyn oikeudet jne.

• Huolehdi tietoturvasta, käytä salauksia

• Omavalvontasuunnitelmat!

• Huolehdi henkilöstön osaamisesta



• Valvo henkilötietojen käyttöä

• Käytä henkilötietolakia apunasi

• Tunnista muu lainsäädäntö

• Luo sisäinen ja ulkoinen raportointijärjestelmä;

Laadi tietotilinpäätös! (tietosuojavaltuutetun toimisto on julkaissut oppaan tietotilinpäätöksen tekemisestä)

• Muista ettet voi ulkoistaa vastuutasi

• Rakenna luottamus: accountability, privacy by design, sertifikaatit, auditoinnit,



• Seuraa kv- lainsäädäntöä:

EU-USA safe harbor ”jatkot”

Soveltamisala

EUCJ:n tuomiot kuten esim. Google

Asenne: Tietosuoja on menestystekijä!

Ks. THL/OPER Määräykset ja ohjeet


https://www.thl.fi/fi/web/tiedonhallinta-sosiaali-ja-terveysalalla/tiedon-ja-vaatimusten-yhdenmukaistaminen/maaraykset-ja-ohjeet

Tiedoksi

• TSV:n toimistossa ollaan päivittämässä sosiaalihuoltoa koskevia tietosuojaoppaita.

• Tällä hetkellä TSV:n kotisivuilla on oppaat -kohdassa seuraavat, sosiaalihuoltoa koskevat oppaat "Henkilötietolaki ja asiakastietojen käsittely kunnallisessa sosiaalihuollossa", "Henkilötietolaki ja asiakastietojen käsittely yksityisessä sosiaalihuollossa" ja "Sähköpostin käytöstä sosiaalihuollossa". (lisäksi kotisivuilla on vielä "malli sosiaalihuollon asiakkaiden informoinnista", jota ei tässä yhteydessä olla päivittämässä.)

• Uusi opasluonnos on ainakin työnimeltään "Sosiaalihuollon asiakastietojen käsittelystä" ja siihen on sisällytetty kaikki edellä mainitut kolme opasta.


Yhteistyössä, OPER

Kiitos! – ([email protected])

16.3.2016 38 THL / OPER - OTK Joni Komulainen

Health & Medicine

Joni komulainen oper_kevatseminaari_2016