.png)
Henkilötietojen käsittelystä on toimitettava rekisteröidylle tietosuoja-asetuksen määrittelemät tiedot tiiviissä, ymmärrettävässä ja helposti saatavilla olevassa muodossa. Usein tämä toteutetaan joko rekisterikohtaisina tai muuten koottuina tietosuojaselosteina, jotka julkaistaan esimerkiksi organisaation verkkosivulla.
Tietosuojan vastuuhenkilö varmistaa, että selosteissa on viestitty tietosuoja-asetuksen (artikla 13) vaatimat asiat. Kun henkilötietoja eri ole kerätty rekisteröidyltä itseltään, selosteissa on kerrottava perussisällön lisäksi:
Organisaation on yksilöitävä ne erityiset tietueet, joihin hyväksytty muutos vaikuttaa, ja liitettävä korjaus tai linkitettävä se nimettyyn rekisterikokonaisuuteen sisältyvään PHI-tietueeseen.
Kun pääsy evätään (kokonaan tai osittain), on annettava ajoissa kirjallinen, selkokielinen epäämisilmoitus, jossa mainitaan epäämisen syy, oikeus uudelleentarkasteluun ja ohjeet valituksen tekemiseen. Jos pääsy suojattuihin terveystietoihin evätään osittain, on annettava pääsy kaikkiin muihin pyydettyihin suojattuihin terveystietoihin, joita ei ole evätty.
Organisaation on yksilöitävä ja toimitettava kaikki tiedot kaikista jäljitettävissä olevista yksilön suojattujen terveystietojen (PHI) luovutuksista, jotka on tehty pyyntöä edeltävien kuuden vuoden aikana, lukuun ottamatta luovutuksia, jotka on tehty hoitoa, maksua tai terveydenhuollon toimintoja varten; luovutuksia, jotka on tehty yksilölle tai valtuutuksella; luovutuksia laitoshakemistoja varten tai yksilön hoitoon osallistuville henkilöille; luovutuksia kansallista turvallisuutta tai tiedustelutarkoituksia varten tai tiettyjä lainvalvontaviranomaisten tai rangaistuslaitosten tekemiä luovutuksia.
Organisaation on varmistettava, että sen ryhmämuotoisen terveydenhuoltosuunnitelman (Group Health Plan) asiakirjoissa edellytetään, että suunnitelman järjestäjän on suojattava kaikki sähköiset suojatut terveystiedot (ePHI), joita se luo, vastaanottaa, ylläpitää tai siirtää. Näissä asiakirjoissa on määrättävä, että suunnitelman järjestäjän on:
Näiden suojatoimien on oltava riittävät estämään HIPAA-säännösten tahalliset tai tahattomat rikkomukset ja rajoittamaan ePHI:n tahattomia luovutuksia.
Organisaation on kuitattava ja käsiteltävä toiselta säännellyltä taholta saapunut muutosilmoitus. Päivitettävä määritelty rekisterikokonaisuus sisällyttämällä siihen muutos ilmoituksen tehneen säännellyn tahon ilmoittamalla tavalla.
The organization must allow individuals to inspect and obtain copies of their protected health information (PHI) from a designated record set upon request.
Processes should be put in place to notify the individual of the denial and inform them of their right to have the denial reviewed (for reviewable grounds).The request should be reviewed and decision made to either grant or deny access within 30 calendar days of receiving it.
Käsittelee yksittäisen henkilön muutospyynnön ja tekee siitä päätöksen (hyväksyy tai hylkää) 60 päivän kuluessa sen vastaanottamisesta. Jos 60 päivän määräaikaa ei pystytä noudattamaan, annetaan henkilölle kirjallinen ilmoitus, jossa selitetään viivästyksen syy ja odotettu valmistumispäivä, ja määräaikaa pidennetään enintään 30 päivällä.
Organisaation on säilytettävä asiaankuuluvat asiakirjat, tallenteet ja vastuuhenkilöt sekä kirjattava niiden henkilöiden tai toimistojen viralliset nimikkeet (tarvittaessa), jotka vastaavat asiaankuuluvien asiakirjojen tai tallenteiden vastaanottamisesta ja käsittelystä.
Organisaation on pidettävä kirjaa suojattujen terveystietojen (PHI) luovutuksista. Tämä dokumentaatio toimii HIPAA-asetuksen edellyttämänä kirjallisena kirjanpitona kyseisenä ajanjaksona tehdyistä luovutuksista, mukaan lukien liikekumppaneiden tekemät luovutukset.
Asiakirjoihin on sisällyttävä:
Tapauksissa, joissa organisaatio on luovuttanut useita tietoja samalle vastaanottajalle samaa tarkoitusta varten, asiakirjoissa voidaan luetella ensimmäinen luovutus, luovutustiheys ja viimeisen luovutuspäivämäärä.
Organisaation on toimitettava henkilölle hyvissä ajoin kirjallinen epäämisilmoitus, jossa selitetään peruste, hänen oikeutensa esittää erimielisyysilmoitus ja valitusmenettely; tämän jälkeen alkuperäinen muutospyyntö ja epäämisilmoitus on yhdistettävä asianomaiseen PHI-tietoon.
Jos organisaatio harkitsee epäämistä, sen olisi annettava luvan saaneen terveydenhuollon ammattilaisen määrittää, vaarantaako pääsy suojattuihin terveystietoihin (PHI) todennäköisesti henkilön tai toisen henkilön hengen tai turvallisuuden taikka aiheuttaako se merkittävää haittaa kyseiselle henkilölle tai toiselle henkilölle. Jos ammattilainen tekee tällaisen määrityksen, yksilön pyyntö saada pääsy tietoihin evätään.
If the individual submits a written disagreement, append it to the record, The organization must prepare a written rebuttal if desired (providing a copy to the individual), and link both to the PHI. For all future disclosures of the relevant PHI, include the amendment request, denial, disagreement (if any), and rebuttal (if any), or a summary of these, particularly if a disagreement exists or if requested by the individual when no disagreement was filed, ensuring separate transmission if standard transactions are insufficient.
Jos taholla ei ole hallussaan PHI-tietoja, mutta se tietää niiden sijainnin, ilmoita asiasta yksilölle; jos kieltäytymistä tarkastellaan, siirrä asia riippumattomalle terveydenhuollon ammattilaiselle ja noudata lopullista päätöstä.
The organization may only use or disclose information in ways consistent with their Notice of Privacy Practices (NPP).
A process should be implemented to receive and review individual requests for alternative methods or locations for receiving their confidential information, make reasonable efforts to accommodate these requests, and establish a procedure for requiring written requests and alternative contact details when necessary.
Organisaation on ilmoitettava henkilölle, että hänen muutospyyntönsä on hyväksytty, ja varmistettava hänen suostumuksensa siihen, että muutoksesta tiedotetaan muille asianomaisille henkilöille tai yhteisöille. pyrittävä kohtuullisin keinoin ilmoittamaan asiasta viipymättä henkilöille, jotka henkilö on nimenomaisesti yksilöinyt, sekä muille henkilöille tai yhteisöille, joiden tiedetään saaneen alkuperäiset, muuttamattomat tiedot tai luottavan niihin.
The organization must be able to disclose relevant information to the individual upon request and have procedures defined for this.
In certain situations, a covered entity may disclose protected health information without the consent of the individual when required by law enforcement or other regulations.
Organisaation on määriteltävä kunkin pyynnön osalta, onko suojattu terveystieto (PHI) muuta kuin organisaation luomaa (ja onko sen laatija saatavilla), onko PHI muuta kuin osa määriteltyä rekisterikokonaisuutta, onko PHI muuta kuin tietoa, johon yksilöillä on oikeus tutustua, tai onko PHI jo nyt tarkka ja täydellinen. Arvioinnin perusteella joko tehdään pyydetty muutos PHI:hin tai annetaan yksilölle virallinen kirjallinen kieltäytymistodistus, jossa selitetään päätöksen perusteet ja yksilön muut oikeudet.
The organization should enable data subjects to request processing restrictions, evaluate these requests against defined conditions, and promptly communicate the decision (acceptance or refusal) back to the data subject. The policy must also:
Organisaation olisi hyväksyttävä yksilöiden pyynnöt muuttaa suojattuja terveystietojaan (PHI) ja arvioitava, ovatko kyseiset tiedot säännellyn tahon luomia, ovatko ne osa nimettyä rekisterikokonaisuutta ja kuuluvatko ne käyttöoikeuksien piiriin.
Jos pyydetään kirjallista muutospyyntöä perusteluineen, näistä vaatimuksista on ilmoitettava etukäteen.
The organization must develop an NPP written in plain language that informs individuals of:
The NPP must be promptly revised and redistributed whenever there is a material change to privacy practices, the individual’s rights, or the organizations legal duties. The updated NPP must still meet all clarity and content requirements.
Organisaation on annettava yksityishenkilöille selkeä ja ytimekäs tietosuojailmoitus (NPP), jossa kerrotaan, miten heidän terveystietojaan voidaan käyttää tai jakaa, heidän oikeutensa näihin tietoihin sekä organisaation tietosuojakäytännöt ja vastuu tietojen suojaamisesta.
Myöntäessään pääsyn pyydettyihin suojattuihin terveystietoihin (PHI) organisaation on varmistettava, että tiedot toimitetaan yksilön pyytämässä muodossa, jos se on mahdollista (muussa tapauksessa yhteisesti sovitussa muodossa tai sähköisessä muodossa, jos se on mahdollista ja pyydetty).
PHI-kopioiden saatavuus on myös varmistettava ajoissa ja sopivasti. Kopiot on lähetettävä toiselle nimetylle henkilölle, jos yksilö sitä kirjallisesti pyytää. Yksilön suostumuksella voidaan periä vain kohtuullinen, kustannusperusteinen maksu esimerkiksi työstä, tarvikkeista, postimaksusta tai yhteenvedoista.
The organization may disclose relevant PHI to a patient’s family members, close friends, or caregivers involved in their care or payment for care, provided the patient agrees or does not object when given the opportunity. This may include information about the patient’s location, condition, or death. If the patient is present and capable, agreement may be express, implied by lack of objection, or inferred from the circumstances.
In cases where the patient is incapacitated or unavailable (e.g., emergencies), providers may use professional judgment to determine whether the disclosure is in the individual’s best interest, limiting information to what is directly relevant to the person’s involvement in the patient’s care or situation. After the patient’s death, disclosures to personal representatives or family members may be made consistent with any known preferences; if no preferences are known, disclosures may be made only to individuals with an existing relationship and only to the extent it is in the deceased’s best interest.
The organization must obtain a valid, plain-language written authorization from an individual before using or disclosing PHI for purposes not otherwise permitted by HIPAA, such as marketing, most research, or sharing with third parties. The authorization must clearly identify the disclosing covered entity and each recipient, and the individual must receive a copy of the signed authorization.
The authorization must contain these core elements:
It must also inform individuals of their right to revoke the authorization in writing at any time, and state that revocation will not affect actions taken in reliance on the authorization before receipt of the revocation.
The organization ensures that all patients with whom it has a direct treatment relationship are provided with a Notice of Privacy Practices at the first point of service delivery. In emergency situations, the notice is provided as soon as reasonably practicable after the emergency treatment.
The organization must make a good faith effort to obtain a written acknowledgment of receipt from the patient. The Notice of Privacy Practices must be available in a physical format at every service delivery site and prominently displayed in a public area.
For organizations that maintain a website providing information about their services or benefits, the Notice of Privacy Practices must be prominently posted on the website and made available electronically through it.
If the organization chooses to provide the notice electronically via email, it must first obtain the individual's agreement to receive an electronic notice. Should the email delivery fail, the organization is required to provide a paper copy of the notice. All individuals retain the right to request and receive a paper copy of the notice at any time.
Organisaatio on luonut ja viestinyt rekisteröidyille prosessin, jonka kautta he voivat ilmoittaa tietosuojaan liittyvistä kysymyksistä, valituksista tai kiista-asioista.
Organisaatiolla on toimintasäännöt tähän kanavaan saapuvien asioiden käsittelyyn, ratkaisemiseen sekä viestintään. Esille nousevat validit asiat voidaan käsitellä esimerkiksi yleisen poikkeamien hallintaprosessin kautta.
Organisaation täytyy määritellä toimintatavat, joiden avulla rekisterinpitäjälle tiedotetaan kaikista henkilötietojen käsittelijöistä ennen tietojen käsittelyn aloittamista.
Ilmoituksen on sisällettävä käsittelijöiden käsittelevät tiedot sekä käyttötarkoitukset, joihin he tietoja käsittelevät.
Organisaatiolla on oltava selkeät toimintatavat tilanteisiin, joissa organisaatiota pyydetään lain perusteella luovuttamaan henkilötietoja viranomaisille. Kertaluonteisista tietoluovutuksista on lisäksi pidettävä listausta.
Organisaation on kiinnitettävä erityistä huomiota näistä tilanteista tiedottamiseen sekä tiedottamisen aikatauluun kiinnostuneille asiakkaille, mikäli tämä ei esimerkiksi käynnissäolevan tutkinnan tai muun lakisääteisen seikan vuoksi ole lainvastaista.
Nämä toimintatavat on pyydettäessä pystyttävä kuvailemaan kiinnostuneelle asiakkaalle. Toimintatavat ja ilmoittamiseen liittyvät sitoumukset on kuvattava mm. tarjottavista digipalveluista tehdyissä sopimuksissa.
Kun henkilötietojen käsitellään rekisteröidyn suostumuksen perusteella, organisaation tulisi tarjota rekisteröidyille selkeä prosessi suostumuksen muokkaamiseen tai perumiseen. Muokkaaminen voi tarkoittaa myös henkilötietojen käsittelyn rajoittamista, mikä voi vaikuttaa rekisterinpitäjän oikeuteen poistaa kysessä olevia tietoja.
Prosessiin tulisi sisältyä muokkaamispyyntöjen kirjaaminen suostumuksen kirjaamista vastaavalla tavalla. Muutokset suostumukseen tulee kommunikoida kaikkiin asianmukaisiin järjestelmiin, valtuutetuille käyttäjille sekä kolmansille osapuolille. Prosessissa pitäisi myös määritellä vasteaika, jossa pyynnöt tulisi käsitellä.
Huom.! Eri lainkäyttöalueilla voi olla rajoituksia siihen, miten ja koska rekisteröity voi suostumustaan muokata.
Rekisteröidyille tulisi tarjota selkeä keino, jolla he voivat esittää vastalauseen henkilötietojen käsittelylle.
Toteutustapa käsittelyn vastustamiseen voi vaihdella, mutta sen tulisi olla linjassa tarjottavan palvelun käyttötavan suhteen (esim. verkkopalveluissa myös käsittelyn vastustamisen tulisi olla mahdollista verkossa).
Rekisteröidyille tulisi tarjota organisaation toimesta mekanismi, jolla he voivat tarkastella ja korjata henkilötietojaan.
Organisaatiolla tulee olla ennalta suunnitellut menettelytavat tilanteisiin, joissa kolmansille osapuolille on ilmoitettava jaettujen henkilötietojen muutoksista, poistoista ja kielloista.
Nämä osapuolet voivat olla esimerkiksi tietoja käsitteleviä kumppaneita tai organisaatiota, joille henkilötietoja on luovutettu eteenpäin.
Organisaation on kyettävä toimittamaan rekisteröidylle kopio käsiteltävistä henkilötiedoista rekisteröidyn pyynnöstä.
Organisaation on suunniteltava ennakkoon prosessi, jolla kopio henkilötiedoista saadaan toimitettua jäsennellyssä ja yleisesti käytössä olevassa muodossa sekä turvallisesti rekisteröidylle.
Toimiessaan yhteisrekisterinpitäjänä organisaatio määrittelee läpinäkyvällä järjestelyllä muiden yhteisrekisterinpitäjien kanssa rekisterinpitäjien velvoitteiden noudattamisesta sekä rekisteröityjen informoinnista.
Organisaatio voi esimerkiksi tehdä sopimuksen eri yhteisrekisteripitäjien kanssa tai dokumentoida kirjallisesti yhteisrekisterinpitäjyyteen liittyvät menettelyt sekä julkaista ne verkossa ja asettaa saataville toimipisteissä.
The organisation has determined the legal basis for the purposes for which the personal data it has identified are used, taking into account the rights of the data subject in relation to that processing.
The data subject cannot exercise all his or her rights in all situations. The rights that may be exercised by the data subject depend on the basis on which the personal data in question are processed. An organisation can make use of guidance from data protection authorities on how the basis of processing affects the available rights. There may also be exceptions to these rights in specific legislation governing the organisation, or it may be possible to refuse to exercise them on strong grounds in individual cases.
Tietolähteiden ymmärtäminen on tärkeää tietojen virtauksen ymmärtämiseksi. Tietosuojaviestinnässä on lisäksi pystyttävät viestimään henkilötietojen lähteet tapauksissa, joissa tietoja ei ole kerätty suoraan rekisteröidyltä itseltään.
Aina kun käsittelemme henkilötietoja, rekisteröidyllä on tiettyjä oikeuksia, mm. saada pääsy tietoihinsa ja tietyissä tilanteissa vastustaa käsittelyä tai saada tietonsa poistetuksi.
Olemme suunnitelleet toimintatavat näitä tilanteita varten, jotka voivat sisältää mm.:
Kun kyse ei ole tietosuoja-asetuksen määrittelemistä erityistilanteista, mutta jokin seuraavista perusteista täyttyy, rekisteröidyllä on oikeus saada henkilötietonsa poistetuksi:
Tiedostamme, missä tilanteissa "oikeus tulla unohdetuksi" toteutuu toiminnassamme. Olemme suunnitelleet toimintatavat näitä tilanteita varten, jotka voivat sisältää mm.:
Organisaatio on määritellyt tavat, joilla rekisteröidyn ymmärrys hänen antamansa suostumuksen vaikutuksista varmistetaan.
Rekisteröidylle kommunikoidaan selvästi vähintään seuraavat näkökulmat:
Organisaatio on määritellyt selkeät toimintatavat, joita se noudattaa rekisteröityjen informoimisessa tietosuojapyyntöjen (esim. oikeus tietoihin pääsyyn tai korjaamiseen) toteuttamisesta kieltäytyessä. Rekisteröidyille on näissä tilanteissa selkeästi viestittävä syyt, joiden perusteella pyynnön toteuttamisesta kieltäydyttiin.
Henkilötietojen käsittelyn käyttötarkoitukset muuttuvat toiminnan kehittyessä. Tietosuojaviestinnän tulee pysyä mukana ja vastata todellista käsittelyn tilaa.
Varmistamme säännöllisesti, että kaikki käyttötarkoitukset on mainittu viestinnässä (esim. tietosuojaselosteissa), käsittely on kuvattu todenmukaisesti ja viestintä toimitetaan rekisteröidyille vaadittujen aikamääreiden puitteissa.
Tietosuojaviestinnän tulisi olla tiivistä sekä helposti ymmärrettävää ja sen tulisi olla helposti saatavilla. Tietosuojaviestinnän kehittämiseksi testaamme eri käyttötarkoituksiin liittyvää viestintäämme antamalla vedoksen tietosuojaviestinnästä luettavaksi rekisteröityjen joukosta valitulle testiryhmälle, ja muokkaamalla viestintää palautteen perusteella.
Rekisteröidyllä on oikeus saada rekisterinpitäjälle toimittamansa henkilötiedot jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa sekä halutessaan siirtää kyseiset tiedot toiselle rekisterinpitäjälle. Tämä voi tarkoittaa esimerkiksi tapaa ladata kerralla verkkopalveluun lisättyjä tietoja yleisessä muodossa (esim. XLS, XML, JSON).
Oikeutta sovelletaan kun seuraavat ehdot toteutuvat:
Oikeus ei kata sellaisia tietoja, jotka rekisterinpitäjä on itse luonut rekisteröidyn toimittamien tietojen pohjalta (esim. terveyttä koskevat arviot) tai jotka on koostettu rekisteröidyn tarkkailusta muodostuneiden tietojen analysoinnista (kuten profilointi).
Organisaatiomme on tiedostanut tilanteet, joissa rekisteröidyllä on oikeus siirtää tietonsa. Olemme suunnitelleet toimintatavat näitä tilanteita varten, jotka voivat sisältää mm.:
Organisaation käsittelemät henkilötiedot on kartoitettu ja dokumentoitu. Dokumentaatio sisältää mm.:
Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.
.png)
Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.
.svg)
.svg)
