Organisaation on varmistettava, että asiakkaiden asettamat sopimusvelvoitteet välitetään käytetyille alihankkijoille ja muille yhteistyökumppaneille.

Kumppaniorganisaatioiden asetettujen velvoitteiden noudattaminen on tarkistettava säännöllisesti. Jokaisella kumppanilla on oltava nimetty yhteyshenkilö, ja tarvittavien yhteystietojen on oltava ajan tasalla.

Organisaatiomme on määritellyt, tuleeko tietosuojavastaava nimittää, ja tarvittaessa tehnyt nimityksen.

Tietosuojavastaava on nimitettävä, jos:

• organisaatio käsittelee laajamittaisesti arkaluontoisia tietoja
• organisaatio seuraa ihmisiä laajamittaisesti, säännöllisesti ja järjestelmällisesti
• organisaatio on julkishallinnon toimija

Nimittämisen lisäksi oleellista on säännöllisesti arvioida, toimiiko tietosuojavastaava tietosuoja-asetuksen määräämässä asemassa ja toteuttaen asetuksen määräämiä tehtäviä.

Under HIPAA, a covered entity may revise any policy or procedure that does not materially affect the Notice of Privacy Practices at any time. However, to remain compliant: The revised policy or procedure must continue to meet all HIPAA standards, requirements, and implementation specifications. The changes must be fully documented before they take effect, in accordance with HIPAA’s documentation requirements. This provision allows flexibility for internal policy updates while maintaining compliance and accountability.

Kun suojattuun terveystietoon (PHI) liittyvä yksityisyyden suojan loukkaus tapahtuu joko organisaation tai sen liikekumppanin toimesta, organisaation on ryhdyttävä pikaisesti toimiin tiedossa olevien haitallisten vaikutusten vähentämiseksi niin paljon kuin kohtuudella on mahdollista. Tähän kuuluu tapauksen tutkiminen, vaikutusten ymmärtäminen asianomaisiin henkilöihin kohdistuvien vaikutusten osalta ja toimenpiteiden toteuttaminen vahinkojen minimoimiseksi.

The organization must maintain up-to-date policies and procedures to remain compliant with applicable laws and privacy requirements. This includes:

• Promptly revising and implementing policies and procedures to reflect changes in law or regulations.
• Updating the Notice of Privacy Practices when privacy practices change, ensuring compliance with all applicable standards and implementation requirements.
• Reserving the right in the notice to apply privacy practice changes retroactively to existing protected health information (PHI), if applicable.
• Documenting all changes and ensuring new policies are not enforced before the revised notice becomes effective.

If law enforcement asks you to delay required information breach notifications to protect an investigation or national security:

• Securely record the official’s statement (note if oral or written), their identity, and the agreed-upon delay period. Be mindful of specific time limits for oral requests under applicable regulations (e.g., HIPAA's initial 30-day limit for oral requests unless a written extension is provided).
• Delay sending notifications for the specified time and document this.
• Send all required notifications once the authorized delay period ends or is extended per the official's instruction.

When a privacy violation occurs (such as unauthorized access, use, or sharing of personal health information), the organization must quickly identify any possible harm caused. The organization should detect and report the privacy violation as soon as possible, early identification is key. The faster the organization knows about the harm, the better it can respond and reduce the impact.

Ennen suojattujen terveystietojen (PHI) luovuttamista säänneltyjen tahojen on tarkistettava tietoja pyytävän henkilön tai organisaation henkilöllisyys ja valtuudet. Tähän kuuluu henkilöllisyyden, laillisten asiakirjojen tai virallisen aseman tarkistaminen erityisesti silloin, kun kyseessä on ei-rutiininomainen tai arkaluonteinen luovutus.

Dokumentoi kaikki vastaanotetut yksityisyyden suojaa koskevat valitukset, mukaan lukien kunkin valituksen yksityiskohdat, valituksen tutkimiseksi toteutetut toimet, havainnot sekä lopullinen ratkaisu tai käsittely.

Osoita myös prosessi, jonka avulla yksilöt voivat tehdä valituksia.

Organisaatiolla on oltava menettely, jolla käsitellään rekisterinpitäjältä tulevia henkilötietojen käsittelyä koskevia ohjeita. Menettelyllä on varmistettava:

• Vastaanotetut ohjeet dokumentoidaan
• Ohjeet pannaan täytäntöön ja täytäntöönpanoa ylläpidetään
• Tiedot erotellaan asiakkaittain, projekteittain tai muulla erityisellä tavalla ryhmiteltyinä.

Organisaation olisi määritettävä henkilötietojen käsittelyyn liittyvät vastuut ja roolit selkeästi yhteisrekisterinpitäjien kanssa. Määrittelyyn on sisällyttävä vaatimukset liittyen henkilötietojen suojaamiseen ja käsittelyn turvallisuuteen.

Organisaatio voi esimerkiksi tehdä sopimuksen eri yhteisrekisteripitäjien kanssa tai dokumentoida kirjallisesti yhteisrekisterinpitäjyyteen liittyvät menettelyt sekä julkaista ne verkossa ja asettaa saataville toimipisteissä.

Organisaatio määrittelee käsittelemiensä henkilötietojen osalta, toimiiko organisaatio rekisterinpitäjänä, yhteisrekisterinpitäjänä vai henkilötietojen käsittelijänä.

Digiturvamallissa tietovarannot, joiden osalta organisaatio toimii rekisterinpitäjänä, dokumentoidaan Tietovarannot-listaan. Ulkoiset tietovarannot -listassa on tarkoitus dokumentoida tietovarannot, joiden osalta organisaatio toimii itse henkilötietojen käsittelijänä.

Käsiteltäessä erityisiin henkilötietoryhmiin kuuluvia tai rikostuomioihin ja rikoksiin liittyviä henkilötietoja organisaatio toteuttaa asianmukaiset ja erityiset toimenpiteet rekisteröidyn oikeuksien suojaamiseksi.

Näitä erityisiä toimenpiteitä voivat olla mm.:

• käsittelyn tarkempi lokitus
• erityisiä henkilötietoja käsittelevän henkilöstön tarkempi ohjeistaminen
• tarkempi pääsynhallinta liittyviin henkilötietoihin
• henkilötietojen pseudonymisointi liittyvissä käsittelytoimissa
• henkilötietojen salaus liittyvissä käsittelytoimissa
• käsittelyyn liittyvien järjestelmien tietoturvatarkistukset
• tietosuojan vaikutustenarvioinnin toteuttaminen
• muut tietojen turvallisuutta parantavat toimenpiteet

Organisaation on kuultava relevanttia tietosuojaviranomaista ennen henkilötietojen käsittelyn aloittamista, kun vaikutustenarviointi osoittaa, että käsittely aiheuttaisi korkean riskin rekisteröidylle, eikä rekisterinpitäjä ole omilla toimenpiteillään saanut riskiä alhaisemmaksi.

Tietosuojaviranomaista on kuultava esimerkiksi silloin, kun rekisteröidyt voisivat joutua kärsimään huomattavista tai peruuttamattomista seurauksista, joita he eivät välttämättä pysty torjumaan.

Pilvipalvelut eivät välttämättä aina poista kaikkia käyttäjien poistamia tietoja esim. suorituskykyongelmien vuoksi.

Organisaatiolla tulee olla käytössä teknisiä toimenpiteitä sen varmistamiseksi, että aina kun asiakkaalle osoitetaan tallennustilaa, kyseisellä tallennustilalla aiemmin olleet tiedot eivät näy uudelle asiakkaalle.

Kun henkilötietoja siirretään verkon kautta, organisaatiolla on oltava asianmukaiset valvontatoimenpiteet sen varmistamiseksi, että tiedot saapuvat aiottuun määränpäähänsä.

Organisaation on määriteltävä, miten tehdään säännöllistä henkilötietojen käytön seurantaa (esim. tietoja voivat katsella ja käsitellä vain siihen oikeutetut henkilöt) ja miten toimitaan, jos väärinkäytöksiä ilmenee.

Organisaation on julkistettava tietosuojavastaavan yhteystiedot (esim. organisaation verkkosivulla) ja ilmoitettava ne valvontaviranomaiselle.

Henkilötietoja käsitteleviltä kumppaneilta kerätään tietosuojasitoumukset, joiden kautta he vakuuttavat henkilötietojen oikeaoppista käsittelyä. Nämä sitoumukset voivat olla osa henkilötietojen käsittelystä tehtävää sopimusta.

Organisaatio on itse lisäksi määritellyt toimintatavat näiden sitoumusten valvontaan kumppanien osalta sekä tarvittaviin toimenpiteisiin ryhtymiseen.

Tietosuoja-asetusta sovelletaan EU:ssa olevia rekisteröityjä koskevien henkilötietojen käsittelyyn, jota suorittava organisaatio ei ole sijoittautunut EU:n alueelle, jos käsittely liittyy

• tavaroiden tai palvelujen tarjoamiseen näille rekisteröidyille unionissa riippumatta siitä, edellytetäänkö rekisteröidyltä maksua; tai
• näiden rekisteröityjen käyttäytymisen seurantaan siltä osin kuin heidän käyttäytymisensä tapahtuu unionissa

Näissä tapauksissa organisaation on nimettävä kirjallisesti edustaja unionin aluetta varten, mikäli henkilötietojen käsittely ei ole satunnaista.

Edustajan on oltava sijoittautunut johonkin jäsenvaltioista, joissa ovat ne rekisteröidyt, joiden henkilötietoja käsitellään. Edustajalle on annettava toimivaltuudet siihen, että erityisesti valvontaviranomaiset ja rekisteröidyt ottavat edustajaan yhteyttä kaikissa kysymyksissä, jotka liittyvät henkilötietojen käsittelyyn.