Kirjalliset ohjeet asiakas- ja potilastietojen käsittelystä tulee olla annettu ja niiden jakelukanavat selvitetty niitä käsitteleville työntekijöille.

Ohjeistuksissa käsitellään vähintään seuraavia teemoja:

• Asiakas- ja potilastietojärjestelmien turvallinen käyttö
• Asiakas- ja potilastietojen turvallinen käsittely
• Salassapito
• Tietojen oikeaoppinen luovuttaminen
• Käsittelyyn liittyvä lainsäädäntö

Organisaation olisi laadittava menettelyt muistutusten ja kutsujen lähettämiseksi potilaille. Näillä menettelyillä on varmistettava, että:

• Potilaan suostumus saadaan ennen muistutusten tai kutsujen lähettämistä.
• Viestinnässä ei paljasteta mitään yksityiskohtia potilaan terveydentilasta tai muista henkilökohtaisista olosuhteista.

Organisaation olisi laadittava menettelyt, joilla potilaille tiedotetaan ja heiltä saadaan suostumus ennen tietojen jakamista integroidun terveys- ja hoitoasiakirjojen järjestelmän kautta. Menettelyissä on määriteltävä, miten ja milloin suostumus hankitaan, ja varmistettava, että potilaille tiedotetaan seuraavista asioista:

• itse integroidusta dokumentointijärjestelmästä.
• oikeudesta vastustaa jakamista.
• Tietorajoitusten näkyvyys.
• säännöt, jotka koskevat rajoitettuihin tietoihin pääsyä hätätilanteessa.

Organisaation olisi laadittava ja dokumentoitava menettelyt, joilla arvioidaan potilaan kykyä antaa suostumus. Näissä menettelyissä on määriteltävä:

• Miten arvioidaan, pystyykö lapsi antamaan suostumuksensa itsenäisesti.
• Kriteerit ja prosessi sen määrittämiseksi, onko aikuinen potilas kykenemätön antamaan suostumuksensa.
• Menetelmä, jolla selvitetään potilaan toiveet tietojen jakamisesta silloin, kun potilas ei voi antaa suoraa suostumusta.

Organisaation on varmistettava, että suostumus henkilötietojen käsittelyyn saadaan pätevästi, tietoon perustuvalla ja todennettavalla tavalla. Suostumus olisi annettava vapaaehtoisesti, ja käsittelyn tarkoituksesta olisi annettava selkeä selitys ennen sen keräämistä, ja se on saatava vain täysin oikeustoimikelpoisilta henkilöiltä.

Jokainen käsittelytarkoitus edellyttää erillistä suostumusta, ja organisaation on pidettävä tarkkaa kirjanpitoa, josta käy ilmi, milloin, miten ja mitä tarkoitusta varten suostumus on annettu.

Selkeä suostumus on saatava, kun käsitellään arkaluonteisia tai luottotietoja tai kun käytetään automaattista päätöksentekoa, jolla on oikeudellisia tai merkittäviä vaikutuksia yksilöihin.

Organisaation on laadittava selkeä prosessi, jolla käsitellään tietosuojapyyntöjä ja -suostumuksia, joita lailliset holhoojat tekevät sellaisten henkilöiden puolesta, jotka eivät ole täysin tai osittain oikeustoimikelpoisia.

Prosessilla on varmistettava seuraavat seikat:

• Vahvistetaan edunvalvojan henkilöllisyys ja vahvistetaan hänen laillinen valtuutensa asianmukaisilla asiakirjoilla tai virallisella todisteella ennen pyyntöjen tai suostumusten käsittelyä.
• Varmistetaan, että kaikki toimet, jotka perustuvat edunvalvojan suostumukseen, eivät aiheuta haittaa tai vaikuta kielteisesti henkilön yksityisyyteen, oikeuksiin tai hyvinvointiin.
• Edellytetään, että edunvalvojat toimivat ainoastaan edustamansa henkilön edun mukaisesti käyttäessään oikeuksiaan tai antaessaan suostumuksensa.
• Hyväksyä edunvalvojan suostumukset tai pyynnöt ja toimia niiden mukaisesti vain silloin, kun ne ovat sovellettavien lakien ja tietosuojasäännösten mukaisia.
• Kun henkilö saavuttaa täyden oikeustoimikelpoisuuden, anna hänelle mahdollisuus käyttää itsenäisesti tietosuojaoikeuksiaan ja hallinnoida tai peruuttaa kaikki hänen puolestaan aiemmin annetut suostumukset.
• Kirjataan ja ylläpidetään kaikki tarkistukset, suostumukset ja toimet vaatimustenmukaisuuden ja vastuuvelvollisuuden osoittamiseksi.