Patient Data Processing Agreement Finland

Potilastietojen käsittelysopimus Suomessa on EU:n yleisen tietosuoja-asetuksen (GDPR 679/2016) 28 artiklan mukainen kirjallinen sopimus, jonka terveydenhuollon toimintayksikkö rekisterinpitäjänä tekee sellaisen ulkopuolisen tahon kanssa, joka käsittelee potilastietoja rekisterinpitäjän puolesta. Sopimusta kutsutaan yleisesti DPA-sopimukseksi (Data Processing Agreement) tai henkilötietojen käsittelysopimukseksi.

Potilastiedot ovat GDPR (679/2016) 9 artiklan mukaisia erityisiä henkilötietoja (terveystietoja), joihin kohdistuu tiukennettu suojavaatimus. Terveyden- ja sairaanhoitoon liittyvä tietojen käsittely on sallittua 9 artiklan 2 h kohdan nojalla (lääketieteellinen diagnoosi, hoito, terveydenhuollon tarjoaminen), mutta käsittely on tehtävä ammatillisen salassapitovelvollisuuden alaisena (laki terveydenhuollon ammattihenkilöistä 559/1994, 17 §; potilaslaki 785/1992, 13 §).

Käytännön tilanteita, joissa potilastietojen käsittelysopimus tarvitaan Suomessa: potilastietojärjestelmän (EHR, Electronic Health Records) toimittaja käsittelee potilastietoja pilvipalvelussaan; ulkoistettu laboratoriopalvelu käsittelee potilasnäytteiden tuloksia; IT-huoltoyritys ylläpitää terveydenhuollon tietojärjestelmää ja pääsee käsiksi potilastietoihin; keikkalääkäri tai ammatinharjoittaja käyttää lääkäriaseman potilastietojärjestelmää; tilitoimisto tai laskutuspalvelu käsittelee potilasrekisteriä laskutusta varten; kuvantamiskeskus käsittelee lähetekeskuksen potilaiden radiologisia tutkimuksia.

Suomessa potilasasiakirjojen käsittelyä säätelee potilasasiakirja-asetus (298/2009), jonka mukaan potilasasiakirjoja säilytetään pääsääntöisesti 12 vuotta potilaan kuolemasta tai 100 vuotta syntymästä. Kanta-palvelu (Kansallinen Terveys- ja hyvinvointiarkisto) on Suomessa kansallinen potilastietojen arkistointipalvelu, johon yksityisten terveydenhuollon palveluntuottajien on liityttävä (terveydenhuoltolaki 1326/2010, 9 §). Kanta-palvelu on Terveyden ja hyvinvoinnin laitoksen (THL) ylläpitämä.

Potilastietojen käsittelysopimus eroaa tavallisesta GDPR:n mukaisesta tietojenkäsittelysopimuksesta (fi-tietojenkasittelysopimus) siinä, että se kattaa erityisesti terveystietojen suojan lisävaatimukset, potilasasiakirja-asetuksen säilytysajat, Kanta-palvelun vaatimukset ja potilaslain mukaisen ammatillisen salassapitovelvollisuuden.

Potilastietojen käsittelysopimus Suomessa on tarpeen useissa tilanteissa, joissa terveydenhuollon toimintayksikkö käyttää ulkopuolisia palveluja.

Potilastietojärjestelmä (EHR). Yksityinen lääkäriasema hankkii pilvipalvelupohjaisen potilastietojärjestelmän (esimerkiksi Mediatri, Acute, Finstar, CGI Potti, Diarium, tai kansainvälinen järjestelmä kuten Epic). Potilastietojärjestelmän toimittaja on henkilötietojen käsittelijä, jonka kanssa on laadittava GDPR 28 artiklan mukainen käsittelysopimus ennen käyttöönottoa.

Laboratoriopalvelujen ulkoistaminen. Yksityinen lääkäriasema ulkoistaa laboratorionäytteiden analysoinnin laboratorioyritykselle (esimerkiksi Fimlab, HUSLAB, Synlab). Laboratorio käsittelee potilasnäytteiden tuloksia rekisterinpitäjän puolesta; DPA-sopimus on tarpeen.

Kuvantamispalvelujen ostaminen. Radiologin kuvanluennan ulkoistaminen telemediiniselle palveluntuottajalle: lähettävä lääkäriasema on rekisterinpitäjä; teleradiologiayritys on käsittelijä. Erityistilanne: kuvantamistietoja voidaan käsitellä Suomen ulkopuolella (teleradiologia) – ETA-alueen ulkopuolinen siirto vaatii GDPR V luvun mukaisen siirtomekanismin.

IT-palvelut ja tietojärjestelmien ylläpito. IT-huoltoyritys tai tietojärjestelmäkonsultti pääsee käsiksi potilastietojärjestelmään ylläpidon yhteydessä. Etätuki tai etäyhteys potilastietoihin sisältävään palvelimeen. DPA-sopimus on laadittava, vaikka pääsy olisi teknistä ja lyhytaikaista.

Laskutuspalvelujen ulkoistaminen. Tilitoimisto tai laskutuspalvelu käsittelee potilasrekisteriä (potilaan henkilötunnus, diagnoosi, toimenpidekoodi) laskutuksen yhteydessä. Vaikka laskutuksen tarkoituksena ei olisi potilaan terveyden käsittely, diagnoosi- ja toimenpidetiedot ovat terveystietoja.

Potilastietojen käsittelysopimus Suomessa sisältää GDPR (679/2016) 28 artiklan, tietosuojalain (1050/2018) ja potilasasiakirja-asetuksen (298/2009) edellyttämät elementit.

Osapuolten yksilöinti. Rekisterinpitäjän toiminimi, Y-tunnus, tietosuojavastaavan tiedot (GDPR 37 artikla: nimettävä, jos laajamittainen terveystietojen käsittely). Henkilötietojen käsittelijän toiminimi, Y-tunnus, toimialakuvaus ja tietosuojavastuuhenkilön tiedot.

Käsittelyn kohde ja tarkoitus. Käsiteltävien potilastietojen tyypit (GDPR 30 artikla: rekisteröintimerkinnöissä mainittava). Käsittelyn tarkoitus (hoito, laskutus, ajanvaraus, arkistointi). Käsittelyn oikeusperuste GDPR 9 artiklan mukainen terveystietoja koskeva peruste (9(2)(h)). Käsittelyn kesto (sopimuksen voimassaoloaika + potilasasiakirjojen lakisääteiset säilytysajat).

Käsittelijän velvollisuudet (GDPR 28 artikla). Käsittely ainoastaan rekisterinpitäjän ohjeiden mukaan. Salassapitovelvollisuus. Tekniset ja organisatoriset turvatoimet (GDPR 32 artikla). Avustaminen rekisteröidyn oikeuksien toteuttamisessa (GDPR 15-22 artiklat). Avustaminen GDPR 32-36 velvoitteiden täyttämisessä. Tietojen poistaminen tai palauttaminen sopimuksen päättyessä. Tarkastusoikeuden salliminen.

Alihankkijat (GDPR 28(2)). Alikäsittelijän käyttö vain rekisterinpitäjän kirjallisella luvalla. Alikäsittelijään sovelletaan samoja velvoitteita. Lisää sopimuspohjia löytyy osoitteesta forms-legal.com.

Tietoturvatoimenpiteet. Tekniset: salaus (AES-256 tai vastaava), kaksivaiheinen tunnistautuminen, pääsynhallinta, varmuuskopiointi, lokitiedostot. Organisatoriset: henkilöstön koulutus, tietoturvaohje, tietosuoja by design and by default (GDPR 25 artikla).

Tietoturvaloukkaus. Ilmoitusvelvollisuus 24 tunnin kuluessa (Rekisterinpitäjälle, joka ilmoittaa Tietosuojavaltuutetulle 72 tunnin kuluessa, GDPR 33 artikla). Ilmoituksen sisältö.

Tiedonsiirto ETA-alueen ulkopuolelle. Siirtomekanismi: riittävyyspäätös, vakiosopimuslausekkeet (SCC), sitovat yrityssäännöt (BCR). Pilvipalvelujen palvelinten sijainti.

Potilasasiakirjojen erityisvaatimukset. Kanta-palveluun liittyminen (terveydenhuoltolaki 1326/2010, 9 §). Säilytysajat (298/2009). Tietojen palauttaminen tai poistaminen sopimuksen päättyessä.

Potilastietojen käsittelysopimus Suomessa laaditaan seuraavien vaiheiden mukaisesti ennen henkilötietojen käsittelyn aloittamista.

Vaihe 1 – Tunnista rekisterinpitäjä ja käsittelijä. Rekisterinpitäjä: terveydenhuollon toimintayksikkö (lääkäriasema, hammaslääkäriasema, fysioterapiaklinikka), joka vastaa potilasrekisteristä. Käsittelijä: ulkopuolinen taho, joka käsittelee potilastietoja rekisterinpitäjän puolesta ilman itsenäistä tarkoituksenmäärittämisoikeutta. Huomio: jos ulkopuolinen taho päättää itsenäisesti käsittelyn tarkoituksesta (esimerkiksi tutkimuslaitos), se voi olla rekisterinpitäjä tai yhteisrekisterinpitäjä (GDPR 26 artikla), ei käsittelijä.

Vaihe 2 – Tarkista tietosuojavastaavan nimeämistarve. GDPR 37 artiklan mukaan tietosuojavastaava on nimitettävä, jos käsitellään laajamittaisesti erityisiä henkilötietoja (terveystietoja). Yksityisellä lääkäriasemalla tai muulla terveydenhuollon yrityksellä, joka käsittelee useamman sadan potilaan tietoja säännöllisesti, on yleensä nimitettävä tietosuojavastaava. Tietosuojavastaavan tiedot (nimi, yhteystiedot) on ilmoitettava Tietosuojavaltuutetulle.

Vaihe 3 – Kuvaa käsittelyn kohde täsmällisesti. Listaa kaikki käsiteltävät potilastietotyypit: diagnoositiedot (ICD-10-koodit), hoitomerkinnät, lääkemääräykset, laboratoriotulokset, kuvantamistulokset, potilaan yhteystiedot, henkilötunnus, laskutustiedot. GDPR 30 artiklan mukainen käsittelytoimien rekisteri on pidettävä ajan tasalla.

Vaihe 4 – Kirjaa tekniset ja organisatoriset turvatoimenpiteet. GDPR 32 artikla: turvatoimenpiteiden on vastattava riskitasoa. Terveydenhuollossa suositellut toimenpiteet: tiedonsalaus siirron ja säilytyksen aikana (HTTPS/TLS, AES-256); kaksivaiheinen tunnistautuminen (2FA) potilastietojärjestelmään; pääsynhallinta (roolipohjainen, principle of least privilege); lokitiedostot (kuka käsitteli mitä tietoa, milloin); automaattinen varmuuskopiointi; tietoturvaloukkausten havaitsemis- ja reagointiprosessit.

Vaihe 5 – Sovi alikäsittelijöistä. Listaa kaikki tiedossa olevat alikäsittelijät (pilvipalveluntarjoaja, tietoliikenneyritys, teleradiologiapalvelu) ja pyydä rekisterinpitäjältä hyväksyntä. Etukäteinen yleinen hyväksyntä voidaan antaa sopimuksessa, mutta muutoksista on ilmoitettava.

Vaihe 6 – Tarkista ETA-alueen ulkopuolisten siirtojen tilanne. Jos potilastietoja käsitellään ETA-alueen ulkopuolella (esimerkiksi amerikkalaisen pilvipalveluntarjoajan EU-palvelimilla, mutta emoyhtiö pystyy lukemaan tietoja USA:sta): tarkista EU:n riittävyyspäätösten ajantasaisuus (Schrems II jälkeen: Privacy Shield ei enää voimassa; Data Privacy Framework voimassa 2023 alkaen USA:n osalta); vakiosopimuslausekkeet (SCC) EU:n komission päätösten mukaisesti.

Vaihe 7 – Allekirjoita sopimus ennen käsittelyn aloittamista. GDPR 28 artiklan mukainen sopimus on oltava voimassa ennen kuin käsittelijä alkaa käsitellä potilastietoja. Kirjallinen muoto pakollinen (sähköinen allekirjoitus pätevä, eIDAS 910/2014).

Potilastietojen käsittelysopimus Suomessa on usean sääntelykehyksen piirissä.

GDPR (679/2016) 28 artikla. Rekisterinpitäjä saa käyttää ainoastaan käsittelijöitä, jotka toteuttavat riittävät tekniset ja organisatoriset toimenpiteet. Käsittelysopimuksen pakolliset lausekkeet: käsittely ainoastaan rekisterinpitäjän ohjeiden mukaan; salassapitovelvollisuus; turvatoimenpiteiden toteuttaminen (32 artikla); alikäsittelijöiden käytön rajoittaminen; avustaminen rekisteröidyn oikeuksien toteuttamisessa; tietojen poistaminen tai palauttaminen; tarkastusoikeus.

GDPR (679/2016) 9 artikla. Terveystieto on erityinen henkilötieto; käsittely on sallittua vain 9(2)(h) kohdan mukaiseen tarkoitukseen (lääketieteellinen hoito) ja ammatillisen salassapitovelvollisuuden alaisena. Käsittelijällä ja alikäsittelijöillä on oltava riittävä salassapitovelvollisuus.

Tietosuojalaki (1050/2018). 6 §: henkilötunnuksen käsittely – terveydenhuollossa sallittu ilman erityistä suostumusta. 29 §: terveystietojen käsittely – sallittua terveydenhuollon tarjoamista varten. Tietosuojavaltuutettu (TSV) valvoo GDPR:n noudattamista Suomessa; hallinnollinen sakko enintään 20 miljoonaa euroa tai 4 % liikevaihdosta.

Asetus potilasasiakirjoista (298/2009). Potilasasiakirjojen sisältövaatimukset, säilytysajat (liite), käsittelyoikeudet. Kanta-palveluun liittyminen (terveydenhuoltolaki 1326/2010, 9 §). Potilasasiakirjojen luovuttamisrajoitukset (13-16 §).

Laki potilaan asemasta ja oikeuksista (785/1992). Salassapitovelvollisuus (13 §). Potilaan tiedonsaantioikeus omista tiedoistaan (12 §). Tietojen luovuttaminen sivullisille: vain potilaan suostumuksella tai lakiin perustuvalla velvoitteella (13 §). Potilaalle on ilmoitettava käsittelysopimuksista, jotka vaikuttavat hänen tietoihinsa.

Laki terveydenhuollon ammattihenkilöistä (559/1994). Ammatillinen salassapitovelvollisuus (17 §): koskee kaikkia terveydenhuollon ammattihenkilöitä sopimuskauden ajan ja viiden vuoden ajan sen jälkeen. Velvollisuus ulottuu myös ammatinharjoittajiin, jotka ovat käsittelijöitä.

Säteilylaki (859/2018). Röntgenkuvat ja kuvantamistulokset: erityisvaatimukset säilytykselle (vähintään 10 vuotta) ja siirtämiselle. Säteilyturvakeskus (STUK) valvoo kuvantamislaitteiden käyttöä.

Potilastietojen käsittelysopimus Suomessa heikkenee seuraavien yleisten virheiden vuoksi.

Virhe 1 – DPA-sopimus puuttuu kokonaan. Ulkopuolinen IT-palveluntarjoaja tai potilastietojärjestelmän toimittaja aloittaa potilastietojen käsittelyn ilman GDPR 28 artiklan mukaista sopimusta. Tämä on GDPR-rikkomus, josta Tietosuojavaltuutettu voi määrätä hallinnollisen sakon. DPA-sopimus on laadittava ennen käsittelyn aloittamista.

Virhe 2 – Tietosuojavastaavaa ei ole nimitetty. Laajamittaisesti terveystietoja käsittelevä terveydenhuollon toimintayksikkö ei ole nimittänyt tietosuojavastaavaa (GDPR 37 artikla). Tietosuojavastaavan nimeämisvelvollisuuden laiminlyönti on Tietosuojavaltuutetun valvonnan kohde.

Virhe 3 – ETA-alueen ulkopuolinen siirto ilman siirtomekanismia. Potilastietoja siirretään ETA-alueen ulkopuoliselle palveluntarjoajalle ilman GDPR V luvun mukaista siirtomekanismia. Erityisen tavallinen tilanne: amerikkalaisen pilvipalvelun (AWS, Google Cloud, Microsoft Azure) käyttö ilman asianmukaista arviointia EU:n tiedonsiirtosääntöjen noudattamisesta.

Virhe 4 – Tietoturvaloukkausilmoitusmenettely puuttuu. Sopimuksessa ei ole selkeää menettelyä tietoturvaloukkauksen ilmoittamiseksi. GDPR 33 artikla velvoittaa ilmoittamaan Tietosuojavaltuutetulle 72 tunnin kuluessa; käsittelijän on ilmoitettava rekisterinpitäjälle viipymättä havaitsemisesta. Ilman sopimuksessa sovittua menettelyä ilmoitus voi viivästyä.

Virhe 5 – Potilasasiakirjojen poistaminen sopimuksen päättyessä unohdetaan. Sopimuksen päättyessä käsittelijä ei poista tai palauta potilastietoja rekisterinpitäjälle GDPR:n ja potilasasiakirja-asetuksen (298/2009) mukaisesti. Tietojen säilyttäminen tarpeettomasti on GDPR:n säilyttämisen rajoittamisperiaatteen (5 artikla, e kohta) vastaista.