EU:n tietosuoja-asetus ja sen vaikutukset HILKKA- JA Nappula-asiakkaisiin

- Kirjoittanut Johanna Tanninen, markkinointi- ja viestintäjohtaja

EU:n tietosuoja-asetus voimaan toukokuussa 2018

Uusi EU:n tietosuoja-asetus (GDPR)  tulee voimaan 25.5.2018 alkaen kahden vuoden siirtymäajan jälkeen. Asetuksen tarkoituksena on parantaa EU:n kansalaisten oikeuksia tietosuojaan sekä omien henkilötietojen luottamukselliseen käsittelyyn. Asetus yhtenäistää eri EU maiden hajanaiset tietosuojakäytännöt yhteen malliin.

Monet periaatteet säilyvät ennallaan, mutta tietosuoja-asetus tuo myös uusia tietosuojaa ja henkilötietojen käsittelyä koskevia velvoitteita, joihin rekisterinpitäjien ja henkilötietojen käsittelijöiden on valmistauduttava. Tietosuoja-asetuksen rikkomisesta voi seurata muun muassa sakkoja tai henkilötietojen käsittelykielto.

Asetuksen ydinkohtia ovat mm.

  • asetuksen peruskäsitteet kuten henkilötieto, rekisteröity, suostumus, rekisterinpitäjä, käsittely, käsittelijä jne.
  • henkilötietoja koskevat periaatteet
  • henkilötietojen käsittelyn lainmukaisuus
  • rekisteröidyn oikeudet
  • rekisterinpitäjän ja henkilötietojen käsittelijän yleiset velvollisuudet
  • henkilötietojen käsittelyn turvallisuus
  • rekisterinpitäjän informointivelvoite tietoturvaloukkauksesta eli ilmoittaminen valvontaviranomaiselle 72 tunnin kuluessa tai rekisteröidylle

Suomessa hallitus on antanut eduskunnalle ehdotuksen uudeksi tietosuojalaiksi, joka yhdessä EU:n yleisen tietosuoja-asetuksen kanssa korvaisivat nykyisen henkilötietolain. Tietosuojalaki tulisi voimaan EU:n tietosuoja-asetuksen soveltamisen alkaessa 25.5.2018.

Tietosuojavaltuutetun sivuilta löytyy hyviä oppaita ja tietoa asetuksesta. Muusta sote-tietojen käsittelyyn liittyvästä lainsäädännöstä voit lukea mm. Fondian Pauliina Puustjärven kirjoittamasta blogista.

Fastroi on ottanut käyttöön IT2018-sopimusehdot

Fastroi Oy on ottanut käyttöön IT-alan yleiset IT2018-sopimusehdot, jotka ovat juuri uudistuneet. Keskeisimpänä muutoksena IT2018-ehdoissa olivat mm. kokonaan uudet henkilötietojen käsittelyä koskevat erityisehdot (EHK). Näitä ehtoja voi soveltaa päivitettäessä voimassaolevia sopimuksia asetusta vastaaviksi sekä uusia sopimuksia solmittaessa. Henkilötietojen käsittelyä koskeville erityisehdoille on tehty nyt laajemmat käyttöohjeet, jossa selvitetään kohta kohdalta, mistä seikoista henkilötietojen käsittelyn osalta voidaan sopia toisin ja mitkä kohdat tulevat suoraan pakottavasta lainsäädännöstä.

Tietosuoja-asetus velvoittaa sopimaan henkilötietojen käsittelystä kirjallisin sopimuksin, kun henkilötietojen käsittelijä käsittelee henkilötietoja rekisterinpitäjän lukuun. Asiakkaillemme tämä tarkoittaa käytännössä sitä, että aloitamme päivittämään asiakassopimuksiamme IT2018-ehtojen mukaisiksi vuoden 2018 aikana.

Tietosuoja-asetukseen valmistautuminen HILKKA- tai Nappula-järjestelmän osalta

Aluksi asiakkaidemme tulisi selventää onko organisaatio rekisterinpitäjä vai -käsittelijä. Jos organisaatio käyttää HILKKA- tai Nappula-järjestelmää, se toimii itse rekisterinpitäjänä ja/tai toisen rekisterinpitäjän lukuun henkilötietoja käsittelevänä tahona.

  • Organisaatio toimii itse rekisterinpitäjänä silloin, kun se käsittelee itsemaksavien asiakkaidensa tietoja.
  • Organisaatio toimii toisen rekisterinpitäjän lukuun henkilötietoja käsittelevänä tahona silloin, kun palvelun järjestämisvastuu on erilaisissa ostopalveluissa varsinaisella rekisterinpitäjällä. Tällaisia tilanteita ovat esim. kunnan ulkoistussopimuksiin, palveluseteleihin ja maksusitoumuksiin liittyvät palvelujen tuottamistilanteet.

Henkilötietojen käsittelyssä noudatettavat käytännöt ja vaatimukset tulee määritellä palvelunjärjestäjän (kunta) ja palveluntuottajan (esim. yksityinen yritys) välisellä sopimuksella. Kuntaliitto on julkaissut tätä varten ohjeen, jossa tätä kuvataan tarkemmin.

Fastroi toimii asiakkaidensa sosiaali- ja terveyspalveluissa tehtävän asiakastiedon käsittelyn suhteen aina vain henkilötietoja käsittelevänä tahona. Henkilötietojen käsittelyssä noudatettavat käytännöt ja vaatimukset sovitaan IT2018 mukaisesti.

Asiakkaan on huolehdittava järjestelmän osalta mm. seuraavat asiat:

  • asiakkaan omasta tietoturvasta (laitekanta ja virusturva)
  • rekisterinpitäjän vastuulla on ollut aiemmin rekisteri-/tietoturvaselosteen tekeminen nykyisen henkilötietolain mukaisesti, mutta sellaisenaan . Uuden tietosuoja-asetuksen mukaisesti kaikkien rekisterinpitäjien on tarkistettava informointikäytäntönsä (kts. informointivelvoite) ja päivitettävä ne vastaamaan tietosuoja-asetuksen vaatimuksia 25.5.2018 mennessä. Organisaatioille ohjeita informointivelvoitteeseesta löytyy täältä, siinä on annettu yksityiskohtaisempia ohjeita ja esimerkkejä läpinäkyvästä informoinnista.
  • tietojen käsittelijän on noudatettava rekisterinpitäjän ohjeita (esim. kunta tai kaupunki) ja sovittava ostopalvelun ostajan kanssa rekisterin käsittelyohjeista
  • käyttäjähallinta (oltava henkilökohtaiset käyttäjätunnukset ja käyttäjän oikeudet on annettu vain tarkoituksenmukaisiin tietoihin)
  • salasanat (henkilökohtaiset, sekä ohjeistus salasanoista ja kuinka vaihdetaan)
  • oikeiden asiakastietojen säilyttämisestä (maksaja arkistoi)
  • lokitiedot ovat saatavilla (GDPR edellyttää että lokitiedoista voidaan tehdä pistotarkastuksia)
  • asiakastiedot pitää olla arkistoitavissa (kuinka otetaan uloskirjaus)
  • valmius tiedottaa tietoturvaloukkauksesta valvontaviranomaiselle tai rekisteröidylle 72 tunnin kuluessa

Tarkemmat tiedot tietosuoja-asetukseen löytyy tietosuojavaltuutetun nettisivuilta.

Fastroi on valmistautunut tietosuoja-asetukseen

HILKKA-ja Nappula-järjestelmät tarjotaan pilvipalveluna ja Fastroi huolehtii ohjelmistojen tietoturvasta. Järjestelmissämme on huomioitu GDPR:n vaatimukset. Fastroin pilvipalvelun tarjoajien tietoturva on myös GDPR:n edellyttämällä tasolla. Fastroi toimii asiakasorganisaatioidensa asiakastiedon käsittelyn suhteen henkilötietojen käsittelijänä. Käsittelyn vastuut sovitaan Fastroin ja asiakasorganisaation välisellä sopimuksella.

Tietoturvaloukkauksissa Fastroi on tietojen käsittelijänä velvollinen ilmoittamaan tapauksesta asiakasorganisaatiolle ilman aiheetonta viivytystä. Asiakasorganisaatio vastaa edelleen ilmoituksesta rekisteröidyille ja tarvittaessa rekisterinpitäjälle ja valvontaviranomaisille. Silloin jos tietoturvaloukkaus kohdistuu asiakastietoihin, joissa Fastroi itse on rekisterinpitäjä, Fastroi ilmoittaa loukkauksesta sekä valvontaviranomaisille että rekisteröidyille

Yritykseemme on nimetty tietosuojavastaava ja olemme tarkentaneet tietoturva-ohjeistusta 2017-2018 aikana. Fastroin henkilöstölle on annettu koulutusta tietoturvasta,  tietosuoja-asetuksesta ja sen vaatimuksista. Luonnollisesti olemme tarkentaneet myös omien henkilö- ja asiakasrekisterien osalta niiden tietoturvaa ja käsittelyn ohjeistusta.

Yhteydenotot tietosuojakysymyksissä

Toivomme, että asiakkaamme ottaisivat yhteyttä ensisijaisesti myynnin yhteyshenkilöönne Fastroilla tai tekniseen tukeemme EU GDPR kysymyksissä.

Asiakkaan tulee huomioida, että tietosuoja-asetukseen liittyvissä tai muissa järjestelmän tukipyyntötilanteissa, asiakas ei saa lähettää yksilöiviä henkilötietoja tukipyyntöjärjestelmän kautta tai sähköpostilla Fastroille.

Seuraavassa blogissamme käsittelemme meille tulleita kysymyksiä aiheesta.

Kategoriat: HILKKA, Nappula, Yritys