Organisaation olisi laadittava prosessi turvaluokiteltujen tietojen jakamiseksi ulkomaisten viranomaisten tai kansainvälisten järjestöjen kanssa. Prosessissa on varmistettava, että Ruotsin ja vastaanottajan välillä on voimassa oleva kansainvälinen turvallisuussopimus ennen tietojen luovuttamista. Jos tällaista sopimusta ei ole, tietojen luovuttaminen voi tapahtua vain, jos erityiset syyt on yksilöity, arvioitu ja virallisesti dokumentoitu.

Organisaation on ylläpidettävä jäsenneltyä menettelyä, jolla vastataan viranomaisten esittämiin tietojen luovutuspyyntöihin. Menettelyllä on varmistettava, että:

• Jokainen pyyntö tarkistetaan lailliseksi, tarpeelliseksi ja asianmukaisesti valtuutetuksi.
• Kaikki pyynnön yksityiskohdat ja organisaation vastaus dokumentoidaan selkeästi.
• ainoastaan pyynnön kannalta merkitykselliset erityyppiset henkilötiedot yksilöidään ja luovutetaan täsmällisesti.
• Julkisen turvallisuuden, lainsäädännön noudattamisen tai terveyden ja turvallisuuden suojelun kaltaisista syistä tapahtuvassa luovuttamisessa noudatetaan samoja todentamis- ja vastuullisuusvaatimuksia.

Ennen henkilötietojen siirtämistä tai luovuttamista valtion ulkopuolelle organisaation on suoritettava ja dokumentoitava riskinarviointi laillisen ja turvallisen käsittelyn varmistamiseksi, erityisesti silloin, kun siirto koskee arkaluonteisia tai laajamittaisia tietoja tai kun se tapahtuu lainsäädännön nojalla.

Arvioinnin on oltava:

• Määriteltävä siirron tarkoitus ja oikeusperusta.
• Kuvata sen laajuus ja sovelletut suojatoimet.
• Arvioida rekisteröidyille mahdollisesti aiheutuvat riskit tai haitat.
• varmistettava, että siirretään vain välttämättömät vähimmäistiedot.
• Vahvistettava, että suojatoimilla säilytetään vaadittu yksityisyyden suojan ja tietosuojan taso.

Organisaation on myös varmistettava, että siirrot eivät heikennä:

• rekisteröityjen oikeuksia, mukaan lukien suostumuksen peruuttaminen.
• sen kykyä raportoida tietoturvaloukkauksista, tuhota tietoja tai valvoa turvatoimia.

Siirrot on keskeytettävä välittömästi, jos ne aiheuttavat suuria yksityisyyden suojaan liittyviä riskejä, vaarantavat kansallisen turvallisuuden tai elintärkeät edut tai jos suojatoimet menettävät merkityksensä. Keskeytetyt siirrot on arvioitava uudelleen ennen niiden jatkamista tai tulevia siirtoja.

Organisaation on laadittava ja ylläpidettävä dokumentoitua menettelyä pseudonymisoinnin ja muiden yksityisyyden suojaa parantavien tekniikoiden toteuttamiseksi henkilötietoja käsiteltäessä. Näillä toimenpiteillä pyritään minimoimaan yksilöiden tunnistamisen riski tietojen käsittelyn, jakamisen tai luovuttamisen aikana.

Menettelyn olisi sisällettävä seuraavat keskeiset vaatimukset:

• Korvaa, peitä tai poista tunnisteet ja tietoelementit, jotka voisivat paljastaa yksilön henkilöllisyyden.
• Varmistetaan, että uudelleen tunnistaminen on mahdollista vain valtuutetuissa ja valvotuissa olosuhteissa.
• Sovelletaan riskitasoon ja käsittelytoimien luonteeseen sopivia pseudonymisointimenetelmiä.
• Dokumentoidaan ja tarkistetaan säännöllisesti pseudonymisointimenettelyt ja suojatoimet tehokkuuden varmistamiseksi.
• Varmistetaan johdonmukainen soveltaminen kaikissa järjestelmissä ja käsittelytoimissa henkilötietojen luottamuksellisuuden, eheyden ja turvallisuuden säilyttämiseksi.

Tuotteisiin on sisällyttävä käyttäjän mahdollisuus valita, tallentaako järjestelmä asiaankuuluvan sisäisen toiminnan (tai ainakin käyttäjän on nimenomaisesti annettava suostumuksensa tällaiseen tallentamiseen).

Organisaation on annettava potilaalle 12 kuukauden aikana ensimmäinen selvitys luovutuksista maksutta. Jos sama potilas esittää 12 kuukauden aikana uusia pyyntöjä, potilaalle on ilmoitettava etukäteen mahdollisista kohtuullisista, kustannusperusteisista maksuista ja annettava potilaalle mahdollisuus muuttaa tai peruuttaa pyyntö ennen maksujen perimistä.

Suojattuja terveystietoja (PHI) voidaan luovuttaa lainvalvontaviranomaisille tietyin oikeudellisin edellytyksin, mukaan lukien:

• Vastaaminen tuomioistuimen määräyksiin, etsintäkuulutuksiin, haasteisiin tai muihin laillisiin menettelyihin.
• tiedossa olevista tai epäillyistä rikoksista tai epäilyttävistä kuolemantapauksista ilmoittaminen laitoksen tiloissa.
• Epäiltyjen, uhrien tai todistajien tunnistamisessa tai paikantamisessa avustaminen.

Tällaisessa tietojen luovuttamisessa yksilön yksityisyyden suoja on tasapainossa yleisen turvallisuuden ja oikeudellisten tarpeiden kanssa.

Organisaatio voi käyttää tai luovuttaa suojattuja terveystietoja yksilöimättömien tietojen luomiseen tai luovuttaa niitä liikekumppanille tätä tarkoitusta varten. Jos anonymisoituja tietoja yksilöidään uudelleen, niihin sovelletaan jälleen HIPAA:n mukaista täydellistä yksityisyyden suojaa.

Suojattuja terveystietoja (PHI) voidaan luovuttaa terveydenhuollon valvontaviranomaisille, jotka suorittavat lakisääteisiä auditointeja, tutkimuksia, tarkastuksia, lisensointimenettelyjä tai kurinpitomenettelyjä, vaatimustenmukaisuuden tarkastuksia ja kansalaisoikeuksien valvontatoimia. Nämä luovutukset ovat välttämättömiä vastuuvelvollisuuden ylläpitämiseksi terveydenhuollon tarjoamisessa ja ammatillisten standardien, terveydenhuoltosäädösten sekä kansalaisoikeussuojien noudattamisen varmistamiseksi.

Suojattuja terveystietoja (PHI) voidaan luovuttaa tutkimustarkoituksiin ilman yksilöllistä suostumusta, jos seuraavat ehdot täyttyvät: IRB:n (Institutional Review Board) tai tietosuojaneuvoston hyväksyntä, yksityisyyden suojaan liittyvien riskien minimoimiseksi toteutettavat suojatoimet, suostumuksen poikkeaminen tai muuttaminen minimiriskikriteerien mukaisesti sekä tiukat tarpeellisuus- ja rajoitusvaatimukset kuolleisiin henkilöihin kohdistuvalle tutkimukselle ja valmistelututkimukselle. Tutkimusluovutukset tukevat lääketieteen kehitystä noudattaen eettisiä ja tietosuojaa koskevia normeja.

Säänneltyjen tahojen on poistettava suojattujen terveystietojen (PHI) henkilöllisyyden tunnistetiedot ennen tietojen käyttämistä tai luovuttamista HIPAA:n suojan ulkopuolella. Tämä voidaan toteuttaa poistamalla kaikki 18 tunnistetietoa Safe Harbor -menetelmän mukaisesti tai käyttämällä asiantuntijamääritystä, jossa pätevä asiantuntija toteaa, että uudelleentunnistamisen riski on hyvin pieni. Molemmat menetelmät on dokumentoitava. Asianmukainen tunnistetietojen poistaminen mahdollistaa tietojen toissijaisen käytön rikkomatta Tietosuojasääntöä.

PHI voidaan luovuttaa henkilön tai yleisön terveyteen tai turvallisuuteen kohdistuvan vakavan ja välittömän uhan estämiseksi tai vähentämiseksi. Tällaiset luovutukset tehdään vilpittömässä mielessä henkilöille tai yhteisöille, jotka pystyvät kohtuudella estämään tai vähentämään uhkaa, ja ne ovat välttämättömiä yleisen suojelun ja hätätilanteisiin vastaamisen kannalta.

Kun anonymisoituja tietoja tunnistetaan uudelleen, säänneltyjen tahojen on toteutettava valvontatoimia yksityisyyden suojaamisen varmistamiseksi. Tähän sisältyy yksilöllisen koodin tai tunnisteen antaminen, jota ei voida johtaa suojatuista terveystiedoista (PHI) tai joka ei liity suojattuihin terveystietoihin, sekä uudelleentunnistamiseen käytettävän avaimen säilyttäminen turvallisesti ja erillään.

Organisaation on varmistettava, että se käyttää ja luovuttaa suojattuja terveystietoja (PHI) vain sallittuihin tarkoituksiin.

Sallittuihin tarkoituksiin kuuluvat:

• hoito
• maksu
• terveydenhuollon toiminta
• yleisen edun mukaiset toimet
• lain noudattaminen
• tutkimus

Käyttö ja luovuttaminen ovat mahdollisia rekisteröidyn nimenomaisella suostumuksella, edellyttäen HIPAA:n määrittelemien suojatoimien ja sopimusrajoitusten noudattamista.

Organisaatio voi luovuttaa suojattuja terveystietoja (PHI) kaltoinkohtelun, laiminlyönnin tai perheväkivallan ilmoittamiseksi. Suojattujen terveystietojen luovuttamisesta ja tähän vaatimukseen liittyvistä poikkeuksista on ilmoitettava rekisteröidyille viipymättä.

Tällaisia luovutuksia voidaan tehdä, kun laki sitä vaatii tai sallii ja kun luovutus on välttämätöntä yksilön tai muiden suojelemiseksi vahingolta. Nämä toimenpiteet ovat ratkaisevan tärkeitä haavoittuvassa asemassa olevien henkilöiden suojelemiseksi, jotka eivät ehkä pysty suojelemaan itseään.

HIPAA:n noudattamiseksi organisaation ja liiketoimintayhteistyökumppanin on rajoitettava suojattujen terveystietojen käyttö, luovuttaminen tai pyytäminen niin vähäiseksi kuin on tarpeen aiotun tarkoituksen saavuttamiseksi.

• kun tietojen luovuttaminen tapahtuu hoitoa varten
• kun tietoja luovutetaan yksilölle
• kun tietojen luovuttaminen on sallittua tai sitä vaaditaan laissa.

Organisaatio voi käyttää ja luovuttaa suojattuja terveystietoja (PHI) ilman yksilön lupaa keskeisiin tarkoituksiin, kuten hoitoon, maksamiseen ja terveydenhuollon toimintaan. Jos pelkkä suostumus ei kuitenkaan riitä, esimerkiksi PHI:n käyttämiseksi markkinointiin, useimmille tutkimustoimille on saatava yksilöltä nimenomainen HIPAA:n mukainen lupa. Tietojen luovuttaminen toiselle suojatulle yhteisölle on sallittua vain, jos kyseisellä yhteisöllä on suora suhde henkilöön ja jos PHI liittyy tähän suhteeseen. Kaikki käyttötarkoitukset ja luovutukset on rajoitettava asianmukaisesti välttämättömään vähimmäismäärään, ja ne on dokumentoitava potilaan odotusten ja HIPAA-standardien mukaisesti.

Kun organisaatio vastaanottaa luovuttamista koskevan selvityspyynnön, sen on laadittava ja toimitettava selvitys potilaalle 60 päivän kuluessa. Jos 60 päivän määräaikaa ei pystytä noudattamaan, potilaalle on annettava kirjallinen selitys viivästyksestä ja uusi odotettu valmistumispäivä alkuperäisen 60 päivän määräajan kuluessa, jolloin voidaan käyttää yhtä 30 päivän pidennystä.

Suojattuja terveystietoja (PHI) voidaan luovuttaa kansanterveysviranomaisille valtuutettuja kansanterveystoimia varten. Tähän sisältyy toimintaa, joka liittyy seuraaviin:

• tautien ehkäisyyn
• terveysvalvontaan
• kansanterveysuhkien tutkimiseen
• haittatapahtumien seurantaan

Tällaiset luovutukset tukevat yhteisön terveyttä ja hyvinvointia mahdollistamalla tehokkaan reagoinnin terveysriskeihin.

Suojattuja terveystietoja (PHI) voidaan jakaa oikeuslääkäreille, ruumiinavaajille ja hautausurakoitsijoille esimerkiksi kuolinsyyn selvittämiseksi tai laillisten tehtäviensä hoitamiseksi.

Lisäksi tietoja voidaan luovuttaa elintenhankintaorganisaatioille elinten, silmien tai kudosten luovutusprosessien tukemiseksi.

Säänneltyjen tahojen on varmistettava, että suojattujen terveystietojen (PHI) käyttö, luovuttaminen ja pyytäminen rajoitetaan tarkoituksen saavuttamiseksi välttämättömään vähimmäismäärään. Politiikoissa on arvioitava, mitä tietoja tarvitaan, luokiteltava käyttöoikeustasot rooleihin ja vastuualueisiin perustuen, arvioitava muut kuin rutiininomaiset luovutuspyynnöt erikseen ennalta määriteltyjen kriteerien perusteella luovutettavien tietojen rajoittamiseksi ja koulutettava henkilöstöä soveltamaan tätä periaatetta päivittäisessä toiminnassa.

Jos laki niin vaatii, organisaation on luovutettava suojattuja terveystietoja (PHI). Nämä luovutukset on tehtävä tiukasti sovellettavien liittovaltion, osavaltion tai paikallisten säännösten mukaisesti. Luovutettavien tietojen tulee rajoittua siihen vähimmäismäärään, joka on tarpeen lakisääteisen velvoitteen täyttämiseksi, ja näin varmistetaan, että yksityisyyden suoja säilyy myös pakollisissa luovutuksissa.

Organisaatio tarjoaa rekisteröidylle pyyntöä vastaan selkeän listauksen hänen henkilötietojensa luovutuksista kolmansille osapuolille.

Listauksesta käy ilmi etenkin, mitä henkilötietoja on luovutettu, mille organisaatiolle, millä perusteella ja milloin.

Organisaatio on tunnistanut mahdolliset lainkäyttöalueiden väliset henkilötietojen siirrot.

Henkilötietojen siirroille lainkäyttöalueiden välillä on tunnistetut ja dokumentoidut oikeusperusteet.

Organisaation tulisi määrittää ja dokumentoida valtiot ja kansainväliset organisaatiot, joille henkilötietoja voidaan siirtää.

Valtiot ja kansainväliset organisaatiot, joille normaalitilanteissa voidaan siirtää henkilötietoja, tulee kommunikoida rekisteröidyille.

Organisaation tulisi tallentaa henkilötietojen siirrot kolmanislle osapuolille ja kolmansilta osapuolilta. Organisaation olisi myös varmistettava asiaan kuuluvien tahojen yhteistyö myös tulevaisuudessa rekisteröityihin liittyvien velvotteita koskevien pyyntöjen toteuttamisen mahdollistamiseksi.

Siirtoja koskevissa tallenteissa on huomioitava tietojen minimoinnin periaate ja säilytettävä vain varsinaisesti tarvittu tieto.

Organisaation tulisi tallentaa henkilötietojen luovutusta kolmansille osapuolille koskevat tiedot. Tietoihin kuuluu mitä henkilötietoja, kenelle ja milloin on luovutettu.

Organisaation tulisi hylätä kaikki oikeudellisesti ei-sitovat henkilötietojen luovutuspyynnöt, mutta hyväksyttävä kaikki sopimuksissa määritellyt henkilötietojen luovutuspyynnöt, jotka asiakas on hyväksynyt. Asiaankuuluvalta asiakkaalta on kysyttävä ennen henkilötietojen luovuttamista.

Tietovarannon tiedot ovat lähtökohtaisesti vain kyseisen rekisterinpitäjän käytössä ja samalla vastuulla. Mikäli luovutat tietoja eteenpäin toiselle organisaatiolle muuta käyttöä varten, siitä on informoitava selkeästi ja kerrottava mm. luovutuksen vastaanottaja sekä peruste.

Henkikötietojen käsittelijät (esim. tietojärjestelmien toimittajat, muut henkilötietojen käsittelijät) sekä henkilötietojen käsittelyyn liittyvät sopimukset on kartoitettu. Dokumentaatio sisältää mm.:

• Käsittelijän nimen ja sijainnin
• Henkilötietojen käsittelyn luonne ja tarkoitus
• Sopimuksen statuksen

Tietosuoja-asetus määrittelee edellytykset henkilötietojen lainmukaiselle siirtämiselle EU:n tai ETA:n ulkopuolelle.

Organisaatio dokumentoi kaikki tietosiirrot ja niissä sovellettavat siirtoperusteet. Tietosiirtoja voi syntyä esimerkiksi tietojärjestelmän, tietoja käsittelevän kumppanin tai tietoluovutuksen vastaanottajan sijainnin perusteella.