Tietosuoja

 Tätä artikkelia tai sen osaa on pyydetty päivitettäväksi, koska sen sisältö on osin vanhentunut.
Voit auttaa Wikipediaa parantamalla artikkelia. Lisää tietoa saattaa olla keskustelusivulla.
Tarkennus: Artikkelissa ei tarkastella riittävästi vuonna 2018 voimaan tullutta EU:n tietosuojauudistusta
Tässä artikkelissa tai sen osassa aihetta käsitellään lähinnä Suomen tai suomalaisten näkökulmasta.
Voit auttaa Wikipediaa parantamalla artikkelin näkökulmaa yleismaailmallisemmaksi. Lisää tietoa saattaa olla keskustelusivulla.
Täsmennys: Artikkeli kertoo Suomen tietosuojapolitiikasta.
Tämän artikkelin tai sen osan määritelmä puuttuu tai on huonosti laadittu.
Voit auttaa Wikipediaa parantamalla artikkelin määritelmää. Lisää tietoa saattaa olla keskustelusivulla.
Tarkennus: Artikkelin määritelmä on ei kuvaa tarpeeksi selkeästi tietosuojan yleismaailmallisuutta.

Tietosuoja (engl. data protection) on osa perustuslain takaamaa yksityisyyden suojaa. Tietosuojan tarkoituksena on varmistaa, että organisaatiot käsittelevät henkilötietoja lainmukaisesti ja vain silloin, kun niiden käsittelyyn on lainmukainen peruste. Rekisteröidyllä on myös oikeus tarkastaa kunkin organisaation hallussa olevat henkilötietonsa ja tarvittaessa korjata niitä.[1]

EU:n yleistä tietosuoja-asetusta [2] alettiin soveltaa vuonna 2018. Asetuksen tavoitteena on parantaa henkilötietojen suojaa koko EU:n alueella. Asetusta täydentää kansallinen tietosuojalaki,[3] joka tuli voimaan vuoden 2019 alussa.

Tietosuoja-asetus velvoittaa organisaatiot ilmoittamaan tietosuojavaltuutetun toimistolle toiminnassaan tapahtuneista tietoturvaloukkauksista. Tietoturvaloukkauksella tarkoitetaan tapahtumaa, jossa henkilötietoja esimerkiksi päätyy vääriin käsiin, tuhoutuu tai katoaa. Jos tietoturvaloukkauksesta koituu rekisteröidyille korkea riski (esimerkiksi mahdollisuus, että luottokorttitietoja voidaan käyttää väärin), myös heille on ilmoitettava viipymättä.[4]

Tietosuojavaltuutettu on tietosuojalainsäädännön noudattamista valvova viranomainen, joka voi antaa rekisteröidyn oikeuksia koskevia määräyksiä ja joka käsittelee organisaatioilta tulleet ilmoitukset tietoturvaloukkauksista. Tietosuojavaltuutetun toimiston seuraamuskollegio voi lisäksi määrätä organisaatioille hallinnollisia sakkoja tietosuoja-asetuksen noudattamatta jättämisestä. Jos tietosuojarikkomuksessa epäillään rikosta, asia kuuluu poliisille.

Sosiaali- ja terveydenhuollon potilastiedot

Esimerkiksi Helsingin kaupunki on myöntänyt sadoille työntekijöille oikeuden katsella potilastietojärjestelmä Pegasoksen niin sanottuja selainnäkymiä, joiden kautta saa näkyviin myös muiden kuin omien potilaiden kaikki elinaikaiset diagnoosit ja lääkitystiedot. Selainnäkymien väärinkäyttöä ei voida valvoa, sillä niiden käytöstä ei jää jälkeä lokitietoihin toisin kuin potilasrekisterin normaalista katselusta. Kyseinen käytäntö rikkoo lakiakenen mukaan? myös siltä osin, että jokaisessa potilastietojärjestelmässä on oltava ominaisuus, joka tallentaa tietojen katsojan henkillöllisyyden.[5][6].

Potilastiedon Kanta-arkiston projektipäällikkönä ja Helsingin sosiaali- ja terveysviraston potilastietokannan vastuupääkäyttäjänä työskennellyt Antti Lähteenmäki huomautti kaupunkia ja Valviraa vuonna 2014 edellä kuvatuista teknisistä ja organisatoristia tietoturvaongelmista. Kaupunki ei ole silti pyytänyt Pegasos-järjestelmän toimittajaa korjaamaan tietoturva-aukkoa tai poistanut työntekijöiltään selainnäkymän katseluoikeutta.[5][6]

Suomessa tulee säännöllisesti ilmi tapauksia, joissa on urkittu yksityisyyden suojan piiriin kuuluvia potilastietoja. Esimerkiksi Etelä-Karjalan sosiaali- ja terveyspiiri Eksote kertoi vuonna 2015, että sen palveluksessa ollut työntekijä oli urkkinut luvatta yli 500 potilaan tietoja. Normaalisti tietojen katselijan henkilöllisyys kirjautuu tietojärjestelmän niin sanottuihin lokitietoihin, jolloin asiatonta katselua voi yrittää valvoa esimerkiksi pistokokeiden avulla.[5]

Julkisella puolella havaittuun urkintaan puututaan ja urkinnasta tehdään rikosilmoituksia. Ilmitulleista tapauksista syyteharkintaan saakka päätyy vuosittain jopa kolmesataa, joista käräjille asti etenee noin sata. Uhrien määrä voi olla monikymmenkertainen, sillä urkkija ei useinkaan tyydy kalastelemaan tietoja vain yhdestä ihmisestä.[6].

Standardit

Kansainväliset standardisoimisjärjestöt ISO ja IEC ovat julkaisseet vuonna 2012 yleisen tietosuojaa käsittelevän standardin ISO/IEC 29100, jonka Standardisoimisliitto on vahvistanut kansalliseksi standardiksi SFS-ISO/IEC 29100. Aiheesta on myös muita kansainvälisiä ISO/IEC-standardeja. Näistä on tietoja SFS:n verkkosivuilla. [7]

Katso myös

Kirjallisuutta

  • Andreasson, Ari ym.: Osaava tietosuojavastaava. Helsinki : Tietosanoma, 2017. ISBN 978-951-885-419-0.
  • Hanninen, Minna ym.: Henkilötietojen käsittely : EU-tietosuoja-asetuksen vaatimukset. Helsinki : Kauppakamari, 2017. ISBN 978-952-246-483-5.
  • Kuula, Arja: Tutkimusetiikka: Aineiston hankinta, käyttö ja säilytys. Tampere: Vastapaino, 2006. ISBN 951-768-172-0.
  • Pahlman, Irma (toim.): Asiakastietojen käsittely, salassapito ja asiakkaan tiedonsaantioikeus sosiaali- ja terveydenhuollossa. 
Helsinki : Edita, 2010.
  • Pulkkinen, Otto (toim.): Tietosuojalait. Helsinki : Edita, 2016. ISBN 978-951-37-6966-6.

Lähteet

  1. Tietosuojavaltuutetun toimisto: Tunne oikeutesi tietosuoja.fi. 31.7.2019.
  2. EU:n yleinen tietosuoja-asetus eur-lex.europa.eu. 31.7.2019.
  3. Tietosuojalaki 1050/2018 finlex.fi. 31.7.2019. Arkistoitu 22.7.2019.
  4. Tietosuojavaltuutetun toimisto: Tietoturvaloukkaukset tietosuoja.fi. 31.7.2019.
  5. a b c Potilastietojärjestelmissä merkittäviä tietosuojaongelmia – ”Hyvin arkaluontoista tietoa voi urkkia varsin tehokkaasti”. Anu Silfverberg, Helsingin Sanomat 18.7.2016.
  6. a b c Lääkäri: Potilastietoja voi urkkia järjestelmästä vailla jäljen häivää. Merja Niilola. Yle uutiset 12.11.2016.
  7. Suomen Standardisoimisliitto sfs.fi. 31.7.2019.
Tämä lakiin tai oikeuteen liittyvä artikkeli on tynkä. Voit auttaa Wikipediaa laajentamalla artikkelia.