Skip to main content
BusinessFinland

Potilastietojen käsittelysopimus Suomi

Reviewed by the Forms Legal Editorial Team·Last updated
Key takeaways

Potilastietojen käsittelysopimus on kirjallinen sopimus terveydenhuollon rekisterinpitäjän ja sen käyttämän henkilötietojen käsittelijän välillä. Sopimus vaaditaan aina, kun ulkopuolinen palveluntarjoaja — kuten tietojärjestelmätoimittaja, laboratorio tai laskutuspalvelu — käsittelee potilasasiakirjoja rekisterinpitäjän puolesta. GDPR:n (679/2016) 28 artikla velvoittaa tähän nimenomaisesti, eikä suullinen sopimus täytä vaatimusta.

Legal basis: GDPR (679/2016) 28 artikla; Tietosuojalaki (1050/2018); Laki potilaan asemasta ja oikeuksista (785/1992); Asetus potilasasiakirjoista (298/2009)

potilastietojen kasittelysopimus — free, fillable template; download as PDF or Word.

Mitä potilastietojen käsittelysopimus tarkoittaa

Terveydenhuollon toimintayksiköt keräävät ja säilyttävät huomattavia määriä arkaluonteisia henkilötietoja: diagnooseja, lääkemääräyksiä, hoitosuunnitelmia ja tutkimustuloksia. Kun osa näiden tietojen käsittelystä siirretään ulkopuoliselle taholle, syntyy käsittelysuhde, josta GDPR 28 artikla edellyttää kirjallista sopimusta.

Rekisterinpitäjä on se taho — yleensä terveydenhuollon toimintayksikkö, lääkäriasema tai yksityinen ammatinharjoittaja — joka määrittelee, miksi ja miten potilastietoja käsitellään. Käsittelijä puolestaan on ulkopuolinen toimija, joka käsittelee tietoja rekisterinpitäjän lukuun ilman, että sillä on omaa itsenäistä tarkoitusta tietojen käytölle. Tämä roolien erottelu on käsittelysopimuksen perusta.

Tietosuojalaki (1050/2018) täydentää GDPR:ää kansallisella tasolla erityisesti arkaluonteisten terveystietojen osalta. Laki potilaan asemasta ja oikeuksista (785/1992) sääntelee, kenen oikeudesta potilastietoja ylipäätään saa käsitellä ja missä tarkoituksessa: potilaalla on oikeus tietää, kuka hänen tietojaan käsittelee ja millä perusteella. Sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettu lainsäädäntö täsmentää, mitä tietoja potilasasiakirjoihin on kirjattava ja kuinka pitkään niitä on säilytettävä.

Käsittelysopimus ei ole pelkkä hallinnollinen muodollisuus. Parhaimmillaan se on konkreettinen väline, jolla rekisterinpitäjä varmistaa, että käsittelijä noudattaa samaa lainsäädäntöä ja toimii ainoastaan rekisterinpitäjän antamien kirjallisten ohjeiden mukaisesti. Sopimus myös luo selkeän vastuunjaon: jos tietoturvaloukkaus tapahtuu käsittelijän toiminnassa, sopimuksesta nähdään välittömästi, mitä velvoitteita käsittelijällä oli ja miten se toimi.

Milloin sopimus tarvitaan

Käsittelysopimus on laadittava aina ennen kuin käsittelijä saa pääsyn potilastietoihin. Kynnys on matala: riittää, että ulkopuolisella taholla on tekninen tai fyysinen mahdollisuus päästä tietoihin käsiksi. Tyypillisiä tilanteita ovat:

Potilastietojärjestelmän tai sähköisen arkiston hankinta ulkopuoliselta toimittajalta, jonka henkilöstöllä on tekninen pääsy tietoihin ylläpidon tai tukipalvelun yhteydessä. Järjestelmätoimittajan huoltoteknikko, joka kirjautuu etäyhteydellä palvelimelle, toimii käsittelijänä — vaikka hän ei varsinaisesti lukisi yksittäisiä potilaskirjauksia.

Laboratorio- tai kuvantamispalveluiden ostaminen, kun palveluntarjoaja vastaanottaa tunnistettavia lähetteitä ja palauttaa vastaustiedostoja. Pilvipalveluiden tai etävarmuuskopiointipalveluiden hyödyntäminen potilasasiakirjojen säilytyksessä on erityisen yleinen tilanne, jossa käsittelysopimus jää helposti tekemättä, vaikka se on lakisääteisesti pakollinen.

Laskutus- tai perintäpalvelun käyttö, jolloin potilaan henkilö- ja hoitotietoja siirtyy palveluntarjoajalle. Myös siivous- tai turvallisuuspalvelun hankkiminen tiloihin, joissa potilasasiakirjoja säilytetään paperisessa muodossa, voi edellyttää käsittelysopimusta, jos henkilöstöllä on todellinen mahdollisuus päästä asiakirjoihin käsiksi.

Rekisterinpitäjä ei voi delegoida omaa tietosuojavastuutaan pelkällä viittauksella käsittelijän omiin tietosuojakäytäntöihin tai palveluehtoihin. GDPR 28 artikla edellyttää nimenomaisesti, että sopimus laaditaan kirjallisessa muodossa — sähköinen asiakirja kelpaa, mutta suullinen sopimus ei täytä vaatimusta.

Sopimuksen keskeinen sisältö

Lain vaatimukset täyttävä käsittelysopimus sisältää vähintään seuraavat osat:

Käsittelyn kohde ja tarkoitus. Sopimuksessa on yksilöitävä, mitä potilastietoja käsitellään, missä tarkoituksessa ja kuinka kauan. Epämääräinen kuvaus "terveydenhuollon tiedot" ei riitä — on mainittava käsiteltävät tietotyypit, käsittelytoimet ja käsittelyn kesto.

Käsittelijän velvollisuudet. GDPR 28 artikla luettelee käsittelijälle kuuluvat velvoitteet: käsittelijä saa toimia ainoastaan rekisterinpitäjän kirjallisten ohjeiden mukaisesti, varmistaa henkilöstönsä salassapitovelvollisuuden, toteuttaa asianmukaiset tekniset ja organisatoriset turvatoimet sekä auttaa rekisterinpitäjää rekisteröidyn oikeuksien toteuttamisessa. Käsittelijän on myös avustettava rekisterinpitäjää vaikutustenarvioinnissa, jos käsittely sitä edellyttää.

Alikäsittelijät. Jos käsittelijä aikoo käyttää alikäsittelijöitä — esimerkiksi omia pilvipalveluntarjoajiaan tai teknistä tukihenkilöstöä — sopimuksessa on sovittava tästä. Rekisterinpitäjällä on oikeus hyväksyä tai vastustaa alikäsittelijöitä, ja käsittelijän on ilmoitettava suunnitelluista muutoksista etukäteen.

Tietoturva. Sopimuksessa on viitattava käytettäviin teknisiin ja organisatorisiin toimenpiteisiin. Potilastietojen erityisen arkaluonteisen luonteen vuoksi vaatimustaso on korkea — pelkkä yleinen maininta tietoturvasta ei täytä velvoitetta.

Tietojen palautus tai tuhoaminen. Käsittelysuhteen päätyttyä käsittelijän on joko palautettava kaikki potilastiedot rekisterinpitäjälle tai tuhottava ne, ellei lainsäädäntö edellytä säilyttämistä. Potilasasiakirjoille säädetyt lakisääteiset säilytysajat on otettava huomioon palautus- tai tuhoamisvelvoitetta määritellessään.

Tarkastusoikeus. Rekisterinpitäjällä on GDPR 28 artiklan nojalla oikeus tarkastaa, noudattaako käsittelijä sopimusta. Käytännössä tarkastuksen toteuttamistavasta — esimerkiksi auditoinnista tai kirjallisesta selvityksestä — kannattaa sopia etukäteen, jotta oikeus ei jää pelkäksi muodollisuudeksi.

Miten sopimus laaditaan käytännössä

Sopimuksen laadinta kannattaa aloittaa kartoittamalla kaikki tahot, joille potilastietoja siirtyy tai jotka pääsevät niihin käsiksi. Usein tällaisia käsittelijöitä on enemmän kuin ensi alkuun arvioitiin — mukaan lukien pilvipalveluntarjoajat, IT-huoltoyhtiöt ja ulkoistetut laskutuspalvelut.

Kun käsittelijät on tunnistettu, jokaiselle laaditaan yksilöllinen sopimus tai käytetään toimittajan tarjoamaa sopimusmallia, joka tarkistetaan GDPR 28 artiklan vaatimusten näkökulmasta. Valmis Potilastietojen käsittelysopimus Suomi -mallipohja nopeuttaa prosessia merkittävästi, koska se kattaa jo lakisääteiset vähimmäisvaatimukset ja on muokattavissa vastaamaan toimintayksikön tarpeita.

Sopimukseen kirjataan konkreettisesti, mitä tietoja käsitellään, miten tietoturva varmistetaan ja miten poikkeustilanteissa toimitaan. On suositeltavaa sopia myös siitä, kuinka käsittelijä ilmoittaa rekisterinpitäjälle havaitsemistaan tietoturvaloukkauksista. GDPR asettaa rekisterinpitäjälle ilmoitusvelvollisuuden valvontaviranomaiselle, ja tämä edellyttää, että käsittelijä raportoi havaituista loukkauksista viipymättä — sopimuksessa on hyvä täsmentää, mitä viipymättä tarkoittaa käytännössä.

Allekirjoittamisen jälkeen sopimus on säilytettävä huolellisesti. Valvontaviranomainen voi pyytää sopimuksia nähtäväksi tarkastuksen yhteydessä. Sähköinen allekirjoitus on hyväksyttävä, ja sopimukset kannattaa arkistoida siten, että ne ovat tarvittaessa nopeasti löydettävissä.

Käsittelysopimukset eivät ole kertakäyttöisiä asiakirjoja. Toimintaympäristö muuttuu — uusia käsittelijöitä tulee, vanha palvelu laajenee, alikäsittelijät vaihtuvat. Sopimukset on katselmoitava säännöllisesti ja aina, kun käsittelytoimet muuttuvat olennaisesti.

Yleisimmät virheet

Sopimus puuttuu kokonaan tai on vanhentunut. Tämä on yleisin puute, erityisesti pitkäaikaisten toimittajien kanssa, joiden kanssa yhteistyö on alkanut ennen GDPR:n soveltamisen alkamista. Olemassa olevat sopimukset on päivitettävä vastaamaan nykyistä lainsäädäntöä, mutta käytännössä päivitys jää usein tekemättä kiireisessä arjessa.

Liian yleinen sopimusmuotoilu. Sopimuksessa lukee vain, että "käsittelijä noudattaa tietosuojalainsäädäntöä". GDPR 28 artikla vaatii konkreettista sisältöä käsittelyn kohteesta, tarkoituksesta, kestosta ja käsittelijän velvollisuuksista — yleinen lupaus ei riitä.

Alikäsittelijät jätetty huomioimatta. Toimittaja voi käyttää omia alihankkijoitaan — esimerkiksi pilvipalveluja tai teknistä tukihenkilöstöä — ilman, että rekisterinpitäjä on asiasta tietoinen. Sopimuksessa on nimenomaisesti sovittava alikäsittelijöiden käytöstä ja ilmoitusvelvollisuudesta.

Sopimuksesta puuttuu säilytysajan määrittely. Potilasasiakirjoja koskeva lainsäädäntö velvoittaa rekisterinpitäjän säilyttämään asiakirjat laissa säädetyn ajan. Jos käsittelijällä on kopioita tai varmuuskopioita näistä asiakirjoista, sopimuksessa on oltava selvät ohjeet siitä, mitä aineistolle tehdään käsittelysuhteen päättyessä.

Tietoturvaloukkauksien raportointivelvoite puuttuu. Jos sopimuksessa ei määritellä, miten ja missä ajassa käsittelijän on ilmoitettava havaitsemistaan tietoturvaloukkauksista, rekisterinpitäjä saattaa saada tiedon liian myöhään täyttääkseen omat ilmoitusvelvollisuutensa.

Tarkastusoikeudesta ei sovita. Rekisterinpitäjällä on lakisääteinen velvollisuus valvoa käsittelijää. Jos sopimuksessa ei ole sovittu tarkastusmenettelystä, oikeuden toteuttaminen käytännössä muuttuu vaikeaksi ja saattaa johtaa riitoihin.

Sopimuksia ei päivitetä muutosten yhteydessä. Palvelun laajentuminen, uudet tietotyypit tai alikäsittelijöiden vaihtuminen voivat tehdä alkuperäisen sopimuksen riittämättömäksi. Säännöllinen katselmointi on osa vastuullista tietosuojatyötä.

Käsittelysopimus osana tietosuojan kokonaisuutta

Potilastietojen käsittelysopimus ei toimi yksinään. Se on osa laajempaa tietosuojan hallintamallia, johon kuuluu muun muassa rekisteriseloste, tietoturvakäytännöt, henkilöstön koulutus ja sisäiset ohjeet tietopyyntöjen käsittelyyn. Kun nämä elementit ovat kunnossa ja toisiinsa kytkeytyneet, käsittelysopimus täyttää todellisen tarkoituksensa: se antaa rekisterinpitäjälle näytön siitä, että ulkoistettua tietojenkäsittelyä on johdettu vastuullisesti.

Laki potilaan asemasta ja oikeuksista (785/1992) korostaa potilaan itsemääräämisoikeutta ja oikeutta tietoihin omasta hoidostaan. Potilaalla on oikeus tarkastaa omat tietonsa ja pyytää niiden oikaisemista. Käsittelysopimus tukee näiden oikeuksien toteutumista käytännössä, koska siinä sovitaan, miten käsittelijä avustaa rekisterinpitäjää tietopyyntöihin vastaamisessa. Jos käsittelijällä on tallennettuna potilastietoja, joihin potilas pyytää pääsyä, käsittelijän on kyettävä toimittamaan tiedot rekisterinpitäjälle nopeasti.

Potilasasiakirjoja koskeva lainsäädäntö velvoittaa kirjaamaan potilasasiakirjoihin tietyt tiedot hoidon jatkuvuuden turvaamiseksi. Käsittelysopimuksessa voidaan täsmentää, millä teknisillä ja organisatorisilla keinoilla käsittelijä varmistaa, että asiakirjojen eheys ja luettavuus säilyvät koko lakisääteisen säilytysajan. Tämä on erityisen tärkeää, kun potilasasiakirjoja säilytetään sähköisessä muodossa pilvipalveluissa, joiden tekniset alustat voivat muuttua vuosien kuluessa.

Valvonta ja seuraukset laiminlyönnistä

Tietosuojavaltuutettu valvoo Suomessa GDPR:n ja Tietosuojalain (1050/2018) noudattamista. Valvontaviranomainen voi tarkastaa organisaatioiden käsittelysopimukset osana laajempaa tarkastusta tai yksittäisen kantelun johdosta. Myös potilaat voivat tehdä kantelun tietosuojavaltuutetulle, jos epäilevät, että heidän tietojaan on käsitelty lain vastaisesti. Laki potilaan asemasta ja oikeuksista (785/1992) turvaa potilaan oikeuden tietää, miten hänen tietojaan käsitellään, ja käsittelysopimus on yksi keskeinen tapa osoittaa, että rekisterinpitäjä on täyttänyt velvollisuutensa.

Puutteellinen tai kokonaan puuttuva käsittelysopimus on GDPR:n vastainen ja voi johtaa hallinnolliseen seuraamusmaksuun. Potilastietojen erityinen arkaluonteisuus — ne kuuluvat GDPR:n erityisten henkilötietoryhmien piiriin — korostaa velvoitteiden vakavuutta. Valvontaviranomainen arvioi laiminlyönnin vakavuuden tapauskohtaisesti, mutta toistuvat tai järjestelmälliset puutteet johtavat tyypillisesti ankarampiin seuraamuksiin kuin yksittäinen ja välittömästi korjattu virhe.

Käytännön suosituksena: tee sopimuksista elävä osa organisaation tietosuojakäytäntöjä. Pidä yllä ajantasaista listaa kaikista käsittelijöistä, tarkista sopimukset vuosittain ja dokumentoi tarkastukset sekä niistä syntyneet toimenpiteet. Näin yksittäinen puute havaitaan ennen kuin siitä tulee valvontaviranomaisen ongelma — ja potilaiden luottamus tietojen asianmukaiseen käsittelyyn säilyy.

Need the document itself? Download the free template →

This article is general information, not legal advice — see our accuracy & editorial policy. Confirm the cited law is current before relying on it.

More legal guides