Sisältökirjasto
Norm for informasjonssikkerhet
4.2.4: Retting og sletting i behandlingsrettet helseregister
Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Norge)
4.2.4

Retting og sletting i behandlingsrettet helseregister

Aloita ilmainen kokeilu

Vaatimuksen kuvaus

Den registrerte har rett til å få uriktige eller ufullstendige opplysninger rettet uten ugrunnet opphold.

1. Rettingen skal skje ved at oppføringen føres på nytt, eller ved at en datert rettelse tilføyes. Retting skal ikke skje ved at opplysninger slettes.

Dersom opplysningene er feilaktige eller misvisende og føles belastende for den det gjelder, eller de åpenbart ikke er nødvendige for å gi helsehjelp, kan pasienten kreve at opplysningene slettes.

Retting og sletting skal som hovedregel utføres av den som har signert opplysningene. Dersom slik retting eller sletting vanskelig kan gjøres av helsepersonellet som har signert opplysningene, kan retting eller sletting gjøres av helsepersonell utpekt av den dataansvarlige.

Opplysninger som er ført på feil person, skal slettes med mindre allmenne hensyn tilsier at sletting ikke bør foretas.

Dataansvarlig skal underrette enhver mottaker som har fått utlevert personopplysninger som i etterkant er rettet eller slettet, om enhver retting eller sletting av personopplysningene. Dataansvarlig skal underrette den registrerte om nevnte mottakere dersom den registrerte anmoder om det.

Dersom krav om retting eller sletting avslås, skal pasienten orienteres om klageadgangen.

Dataansvarlig bør gi elektronisk svar dersom personopplysninger behandles elektronisk.

Kuinka täyttää vaatimus

Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Norge)

4.2.4: Retting og sletting i behandlingsrettet helseregister

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset

Menettely terveysrekisterien tietojen korjaamiseen ja poistamiseen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tietosuoja
Informointi ja tietopyynnöt
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
4.2.4: Retting og sletting i behandlingsrettet helseregister
Norm for informasjonssikkerhet
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Menettely terveysrekisterien tietojen korjaamiseen ja poistamiseen
1. Tehtävän vaatimuskuvaus

Organisaation olisi laadittava selkeä prosessi, jonka avulla käsitellään hoitokeskeisten terveysrekisterien tietojen korjaamista tai poistamista koskevia pyyntöjä. Prosessilla on varmistettava, että

  • Korjaukset tehdään lisäämällä uusi, päivätty merkintä, ei poistamalla alkuperäistä tietoa.
  • Tiedot poistetaan vain tietyin edellytyksin, esimerkiksi jos ne on merkitty väärälle henkilölle tai jos ne ovat todistettavasti tarpeettomia terveydenhuollon tarjoamisen kannalta.
  • Vastuu korjausten tai poistojen tekemisestä on selkeästi annettu, mieluiten alkuperäisen merkinnän tehneelle terveydenhuollon ammattihenkilölle.
  • Korjauksesta tai poistosta ilmoitetaan kaikille alkuperäisten tietojen vastaanottajille.
  • Rekisteröidylle ilmoitetaan hänen oikeudestaan hakea muutosta, jos hänen pyyntönsä hylätään.

Henkilötietojen oikeellisuuden varmistaminen ja dokumentointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tietosuoja
Sisäänrakennettu ja oletusarvoinen tietosuoja
6
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
A.7.4.3: Accuracy and quality
ISO 27701
TSU-12: Täsmällisyys
Julkri
P7.1: Collection and maintainment of accurate and relevant personal information
SOC 2
Article 7.1: Right to request correction of personal data
PDPL
Article 22.1-4: Correction of personal data
PDPL
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Henkilötietojen oikeellisuuden varmistaminen ja dokumentointi
1. Tehtävän vaatimuskuvaus

Organisaatiolla tulisi olla prosessi henkilötietojen täsmällisyyden ja oikeellisuuden säännölliseen arviointiin, tarpeellisten päivitysten tekemiseen sekä oikaisuista ilmoittamiseen tiedon vastaanottajille.

Mitä tärkeämpää tiedon täsmällisyys on, sitä enemmän rekisterinpitäjän on tehtävä toimenpiteitä tietojen oikeellisuuden varmistamiseksi. Tietojen oikeellisuuden varmistaminen on erityisen tärkeää silloin, kun henkilötietojen perusteella tehdään yksilön kannalta olennaisia päätöksiä. Tällöin epätäsmälliset ja virheelliset tiedot voivat vakavalla tavalla vaarantaa rekisteröidyn oikeuksia (esim. johtaa vääriin hoitopäätöksiin).

Prosessi tietosuojapyyntöjen vastaanottamiseen ja käsittelyyn

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tietosuoja
Informointi ja tietopyynnöt
45
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
15. Rekisteröidyn oikeus saada pääsy tietoihin
GDPR
16. Oikeus tietojen oikaisemiseen
GDPR
18. Oikeus käsittelyn rajoittamiseen
GDPR
19. Henkilötietojen oikaisua tai poistoa tai käsittelyn rajoitusta koskeva ilmoitusvelvollisuus
GDPR
21. Vastustamisoikeus
GDPR
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Prosessi tietosuojapyyntöjen vastaanottamiseen ja käsittelyyn
1. Tehtävän vaatimuskuvaus

Aina kun käsittelemme henkilötietoja, rekisteröidyllä on tiettyjä oikeuksia, mm. saada pääsy tietoihinsa ja tietyissä tilanteissa vastustaa käsittelyä tai saada tietonsa poistetuksi.

Olemme suunnitelleet toimintatavat näitä tilanteita varten, jotka voivat sisältää mm.:

  • tavat, joilla rekisteröity voi tietopyyntöjä lähettää
  • tavat, joilla tietopyynnön lähettäjän henkilöllisyys tarkistetaan
  • henkilöt, jotka auttavat rekisterin yhteyshenkilöä pyynnön käsittelyssä
  • tavat, joilla tiedot toimitetaan rekisteröidylle turvallisesti

Tietojen poistoprosessit ja "oikeus tulla unohdetuksi"

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tietosuoja
Informointi ja tietopyynnöt
10
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
17. Oikeus tietojen poistamiseen (”oikeus tulla unohdetuksi”)
GDPR
A.7.3.6: Access, correction and/or erasure
ISO 27701
A.8.2.3: Marketing and advertising use
ISO 27701
TSU-19.4: Rekisteröidyn oikeudet - Tietojen oikaiseminen, poistaminen, siirtäminen, käsittelyn rajoittaminen ja vastustaminen
Julkri
P4.3: Secure disposal of personal information
SOC 2
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietojen poistoprosessit ja "oikeus tulla unohdetuksi"
1. Tehtävän vaatimuskuvaus

Kun kyse ei ole tietosuoja-asetuksen määrittelemistä erityistilanteista, mutta jokin seuraavista perusteista täyttyy, rekisteröidyllä on oikeus saada henkilötietonsa poistetuksi:

  • käsittely on perustunut suostumukseen (eikä muuta perustetta käsittelylle ole) ja rekisteröity peruu suostumuksensa
  • rekisteröity vastustaa henkilötietojensa käsittelyä suoramarkkinoinnin tarkoituksiin tai käyttää vastustamisoikeuttaan muutoin, eikä käsittelyyn ole olemassa perusteltua syytä
  • henkilötiedot on kerätty tietoyhteiskunnan palvelujen tarjoamisen yhteydessä

Tiedostamme, missä tilanteissa "oikeus tulla unohdetuksi" toteutuu toiminnassamme. Olemme suunnitelleet toimintatavat näitä tilanteita varten, jotka voivat sisältää mm.:

  • tavat, joilla rekisteröity voi pyytää tietojen poistamista
  • tavat, joilla tietopyynnön lähettäjän henkilöllisyys tarkistetaan
  • henkilöt, jotka auttavat rekisterin yhteyshenkilöä pyynnön käsittelyssä
  • tavat, joilla tiedot poistetaan turvallisesti ja pysyvästi sekä rekisteröityä tiedotetaan

Suostumuksen edellytysten dokumentointi relevanteille käyttötarkoituksille

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tietosuoja
Käsittelyperiaatteet ja osoitusvelvollisuus
20
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
7. Suostumuksen edellytykset
GDPR
17. Oikeus tietojen poistamiseen (”oikeus tulla unohdetuksi”)
GDPR
A.7.2.3: Determine when and how consent is to be obtained
ISO 27701
A.7.2.4: Obtain and record consent
ISO 27701
A.7.3.4: Providing mechanism to modify or withdraw consent
ISO 27701
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Suostumuksen edellytysten dokumentointi relevanteille käyttötarkoituksille
1. Tehtävän vaatimuskuvaus

Mikäli organisaatiomme toteuttaa henkilötietojen käsittelyä, jossa oikeusperusteena on rekisteröidyltä saatu suostumus, meidän on varmistettava suostumuksen edellytysten täyttyminen. Lainmukaisen suostumuksen edellytyksiä ovat:

  • Rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn
  • Suostumuksen antamista koskeva pyyntö on esitettävä selvästi erillään muista asioista helposti ymmärrettävässä muodossa
  • Rekisteröity voi peruuttaa suostumuksensa milloin tahansa ja on saanut ohjeet tämän tekemiseen ennen suostumuksen antamista
  • Suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antaminen

Tietosuojavastaava voi olla vastuussa suostumuksen edellytysten arvioinnista. Tärkeää on myös huomioida muuten, soveltuuko suostumus yleensäkin käsittelyn oikeusperusteeksi.

Politiikkaan sisältyviä tietoturvatehtäviä

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset
No items found.

Autamme täyttämään vaatimukset tehokkaasti Universal cyber compliance language -teknologialla

Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.

Tietoturvakehikoilla on yleensä yhteinen ydin. Kaikki kehikot kattavat perusaiheita, kuten riskienhallinnan, varmuuskopioinnin, haittaohjelmat, henkilöstön tietoisuuden tai käyttöoikeuksien hallinnan omissa osioissaan.
Digiturvamallin "universal cyber compliance language" -teknologia luo teille yksittäisen suunnitelman ja varmistaa, että kehikkojen yhteiset osat tehdään vain kerran. Te voitte keskittyä suunnitelman toteuttamiseen, me automatisoimme compliance-osan - nykyisiä ja tulevia vaatimuksia päin.
Aloita ilmainen kokeilu
Tutustu Digiturvamalliin
Aloita ilmainen kokeilu
Digiturvamallin avulla rakennat tietoturvallisen ja halutut vaatimukset täyttävän organisaation. Halusitko kehittää tietoturvan hallintaa yleisesti, raportoida omasta NIS2-valmiudesta tai hankkia ISO 27001 -sertifioinnin, Digiturvamalli yksinkertaistaa koko prosessia.
AI-pohjaiset parannussuositukset ja käyttäjäystävällinen työkalu varmistavat, että organisaationne voi olla luottavainen vaatimusten täyttymisestä ja keskittyä oman tietoturvan jatkuvaan parantamiseen.
Selkeä suunnitelma vaatimusten täyttämiseen
Aktivoi teille tärkeät vaatimuskehikot ja jalkauta niiden vaatimukset täyttäviä selkeitä toimenpiteitä.
Uskottavat raportit todisteiksi hyvästä tietoturvasta
Etene tehtävien avulla varmistaaksesi turvallisen toiminnan. Luo ammattimaisia ​​raportteja muutamalla napsautuksella.
AI-avusteiset parannussuositukset
Keskity vaikuttavimpiin parannuksiin Digiturvamallin suositusten avulla.

Aloita jo tänään

Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.

Ilmainen 14 päivän kokeilu
Varaa palaveri
EtusivuHinnastoAsiakkaatTiimiTietoturvaVaraa demoVaraa palaveriKirjauduKokeile
Kuinka se toimii?
YhteenvetoTietoturvatehtävät ja toteutusDokumennoin työkalutHenkilöstön digiturvaohjeetAutomatisoitu raportointi
Käyttötavat
Kehikon mukaanKaikki vaatimuskehikotISO 27001TiedonhallintalakiNIS2-direktiiviNIST CSFCSA CCMISO 27701GDPR, Tietosuoja-asetusISO 27017ISO 27018
Teeman mukaanTietoturvariskien hallintaHenkilöstön tietoisuusCompliance-raportointiHallintakeinojen toteutusSuojattavan omaisuuden hallintaDynaamiset politiikkadokumentitTietosuojan hallinta
Resurssit
AkatemiaWebinaaritTilaa uutiskirjeOhjekeskusBlogiTrust centerVideokurssitViikon digiturvauutisetKäyttöehdotTietosuojaselosteetSisältöpankki: ISO 27001Sisältöpankki: GDPRSisältöpankki: KatakriSisältöpankki: TiedonhallintalakiLabs
Ota yhteyttä
+358 10 231 6010
tiimi@digiturvamalli.fi
Labs
Tarjolla kielillä:
Digiturvamalli tunnetaan kansainvälisesti nimellä Cyberday
© Cyberday Oy, Kalevantie 2 33100 Tampere, Suomi
Digiturvamalli.fi - Moderni alusta tietoturvan hallintaan ja sertifiointiin