Digihyvinvointi

Osa palveluista on tarjolla Espoon, Karkkilan, Vihdin ja Lohjan asukkaille. Järjestelmää kehitetään syksyn aikana niin, että osa palveluista on käytettävissä kaikille Uudenmaan alueella asuville, kotipaikkakunnasta riippumatta. Päivitämme tälle sivulle tiedon palvelujen laajenemisesta mahdollisimman pian.

Digihyvinvointi-sovellus tarkistaa kotikuntasi Digi- ja väestötietoviraston suomi.fi-tunnistautumispalvelusta. Näin pääset automaattisesti oman kotikuntasi palvelujonoon.

Huomaathan, että palvelu ei ole käytettävissäsi, jos

• jos sinulla on turvakielto, koska sovellus ei silloin saa tunnistautumisessa tarvittavia tietoja suomi.fi-tunnistautumispalvelusta.

Chat-vastaanotolla tarjottavat palvelut ja niiden aukioloajat ovat aluksi kuntakohtaiset.

Voit lähettää chat-vastaanotolle viestejä milloin tahansa, mutta terveydenhuollon ammattilaisen tavoitat chat-vastaanotolla seuraavasti:

• Äitiys- ja lastenneuvolat ma-pe klo 8.30-13.30.
• Opiskeluterveydenhuolto ma-pe klo 9-13.
• Koronaneuvonta ma-pe klo 7-16.
• Seniorineuvonta Nestori ma-pe klo 9-15.

• ma-to 8-15, pe 8-13
• Hengitystieoireet
• Muut oireet ja sairaanhoito
• Reseptin uusinta
• Vastaanottoajan peruuttaminen

• to 8.30-15, ke ja pe 8.30-13
• Hengitystieoireet
• Muut oireet ja sairaanhoito
• Reseptin uusinta
• Tutkimustulokset
• Vastaanottoajan siirto tai peruuttaminen

Voit käyttää

1. web-sovellusta osoitteessa digihyvinvointi.lu-palvelut.fi tai
2. Digihyvinvointi-mobiilisovellusta, jonka voi ladata ilmaiseksi App Storesta (IOS-laitteet) tai Google Play -kaupasta (Android-laitteet).

Jos käytät web-sovellusta, sinun pitää hyväksyä espoo.fi-sivustolla kaikki evästeet ennen kuin siirryt sovellukseen.

1. Avaa Digihyvinvointi-sovellus.
2. Tunnistaudu palveluun.
3. Valitse asioitko itsesi vai toisen henkilön puolesta. 
4. Vastaa sinulle esitettäviin esitietokysymyksiin.
5. Ammattilainen aloittaa kanssasi chat-keskustelun. Jos palvelussa on ruuhkaa, voit joutua odottamaan hetken keskustelun alkamista.
6. Saat hoito-ohjeet, reseptit ja muut tarpeelliset ohjeet. Jos asiaasi ei voida hoitaa loppuun asti chat-vastaanotolla, ohjaamme sinut oikeaan paikkaan.

Voit asioida chat-vastaanotolla toisen henkilön puolesta. Sovellus tarkistaa huoltajuustiedot suomi.fi-valtuudet-palvelusta.

Huomaathan, että

• mahdolliset huollonjakosopimukset saattavat estää lapsen puolesta asioimisen.
• et voi asioida chat-vastaanotolla, jos sinulla tai henkilöllä, jonka puolesta asioit, on turvakielto, koska sovellus ei silloin saa tunnistautumisessa tarvittavia tietoja suomi.fi-tunnistautumispalvelusta.

Näissä käyttöehdoissa sekä erillisessä tietosuojaselosteessa kerrotaan chat-vastaanottopalvelun käyttöön liittyvät ehdot. Ennen kuin pääset käyttämään palvelua, sinun on hyväksyttävä palvelun käyttöehdot ja tietosuojaselosteessa esitetty kuvaus henkilötietojen käsittelystä. Lue käyttöehdot ja tietosuojaseloste huolellisesti ennen kuin ryhdyt käyttämään palvelua. Käyttöehdot ovat voimassa toistaiseksi. Jos käyttöehdot muuttuvat, ilmoitamme siitä palvelun käyttäjille. Jos jatkat palvelun käyttöä muutosten jälkeen, tulkitsemme, että olet hyväksynyt muuttuneet ehdot.

Chat-vastaanottopalvelussa voit keskustella pikaviestitoiminnallisuuden avulla sosiaali- ja terveydenhuollon ammattihenkilöiden kanssa. Voit asioida omasta puolestasi tai toisen henkilön puolesta.

Aluksi voimme pyytää sinua täyttämään kyselyn, jossa kysymme sinulta tietoja oireistasi. Terveydenhuollon ammattilainen saa yhteenvedon vastauksistasi, jonka jälkeen hän liittyy keskusteluun. Keskustelun päätteeksi saat arvion hoidon tarpeesta ja tarvittaessa sinut ohjataan eteenpäin oikeaan palveluun.

Voi olla, ettemme pysty vastamaan viesteihisi heti. Siksi chat-vastaanotto ei sovellu erittäin kiireellisten asioiden hoitoon. Mikäli olosi on erittäin huono tai epäilet vakavaa sairautta, ota heti yhteyttä kotikuntasi terveyskeskuspäivystykseen tai soita 112. 

Digihyvinvointi-sovellus on tuotettu Länsi-Uudenmaan sote -hankkeessa. Osa palveluista on tarjolla Espoon, Karkkilan, Vihdin ja Lohjan asukkaille, mutta jotkin palveluista ovat käytettävissä kaikille Uudenmaan alueella asuville riippumatta siitä, mikä kotipaikkakuntasi on. Palvelu on osa kunnan tuottamia sosiaali- ja terveydenhuollon palveluja ja kunnat vastaavat palvelun sisällöstä.

Sinun on rekisteröidyttävä käyttäjäksi, kun käytät sovellusta ensimmäisen kerran. Voit käyttää palvelua web-sovelluksella osoitteessa digihyvinvointi.lu-palvelut.fi(ulkoinen linkki)  tai ladata mobiilisovelluksen sovelluskaupasta IOS- tai Android-älypuhelimelle. Sinun on tunnistauduttava Digi- ja väestötietoviraston ylläpitämässä suomi.fi-tunnistautumispalvelussa: tunnistautumista varten tarvitset verkkopankkitunnukset, mobiilivarmenteen tai varmennekortin. Palvelua ei voi käyttää nimettömänä. Jos sinulla on turvakielto, et voi käyttää palvelua.

Voit asioida chat-vastaanotolla toisen henkilön puolesta. Mahdolliset huollonjakosopimukset saattavat estää lapsen puolesta asioimisen.

Käyttäjänä vastaat siitä, että palvelussa antamasi tiedot ovat oikein. Vastaat myös siitä, että et lähetä palveluun epäasiallista, häiritsevää tai lainvastaista sisältöä. Oirekyselyyn antamistasi vastauksista ja keskustelustasi ammattilaisen kanssa kirjataan kooste kunnan potilastietojärjestelmään.

Palvelusta perittävät maksut ovat kuntakohtaisia. Palvelusta voidaan veloittaa kunnan terveysasemapalveluiden maksuhinnaston mukainen enimmäismaksu. Maksullisuudesta ilmoitetaan sinulle sovelluksessa.

Digihyvinvointi-sovelluksessa tarjottavien palveluiden valikoimaa kehitetään jatkuvasti, jonka vuoksi palveluiden sisältö voi muuttua. Palveluntarjoajalla on oikeus ilman ennakkoilmoitusta muuttaa palvelun käyttöehtoja, palveluvalikoimaa, palvelun käytöstä syntyviä maksuja, palveluaikoja, palvelun ulkoasua tai muuta palvelun ominaisuutta. Palveluntarjoajalla on oikeus sulkea palvelu ruuhka-aikana jonotustilanteen hallitsemiseksi, keskeyttää palvelun tarjoaminen huolto- ja päivitystoimien ajaksi tai kokonaan lopettaa palvelun tarjoaminen muusta syytä johtuen.

Tietosuojaselosteen julkaisupäivämäärä: 19.11.2021

1. Rekisterinpitäjä

Espoon terveyspalvelut

Osoite: PL 202 (Tekniikantie 15), 02070 Espoon kaupunki

2. Rekisterin vastuuhenkilö

Terveyspalvelujen johtaja

Osoite: Espoon kaupungin sosiaali- ja terveystoimi, PL 202, 02070 Espoon kaupunki

puh. 09 816 21 (vaihde)

3. Rekisterin yhteyshenkilö

Terveyspalvelujen johtajan sihteeri

Osoite: Espoon kaupungin sosiaali- ja terveystoimi, PL 202, 02070 Espoon kaupunki Puhelin: 09 816 21 vaihde

4. Tietosuojavastaava

Espoon kaupungin tietosuojavastaava

Osoite: PL 12, 02070 Espoon kaupunki

Puh. 09 816 21 (vaihde)

Sähköpostiosoite: tietosuoja@espoo.fi

5. Mihin tarkoitukseen henkilötietoja käsitellään?

Tämä tietosuojaseloste liittyy Digihyvinvointi-sovelluksen chat-vastaanottopalveluun. Chat-vastaanottopalvelussa henkilö voi viestiä pikaviestitoiminnallisuuden avulla sosiaali- ja terveydenhuollon ammattihenkilöiden kanssa omiin tai puolesta-asioitavan asioihin tai oireisiin liittyvistä aiheista.  Palvelua voi käyttää web-sovelluksella tai sovelluskaupasta ladattavalla mobiilisovelluksella. Palvelun käyttäminen edellyttää käyttäjäksi rekisteröitymistä henkilön itsensä toimesta. Palvelussa käsiteltäviä henkilötietoja käytetään sosiaali- ja terveydenhuollon palveluiden järjestämiseksi ja toteuttamiseksi. Sosiaali- ja terveydenhuollon ammattihenkilö kirjaa chat-vastaanottopalvelussa käydystä keskustelusta yhteenvedon kunnan asiakas- tai potilastietojärjestelmään. Järjestelmätoimittaja ja toimittajan alihankkijat käsittelevät rekisteröityjen henkilötietoja palveluun liittyvissä tukitehtävissä tai teknisissä ylläpitotehtävissä.

Espoo käsittelee henkilötietoja seuraaviin käyttötarkoituksiin:

• potilaan tutkimuksen ja hoidon järjestäminen, suunnittelu, toteutus, seuranta, neuvonta,

• terveydenhuollon tukipalvelujen toteuttaminen (mm. sovellustuki)

• sosiaali- ja terveydenhuollon toiminnan suunnittelu, tilastointi, seuranta ja arviointi toisiolaissa tai muualla lainsäädännössä säädetyllä tavalla,

• sosiaali- ja terveydenhuollon tietojohtaminen toisiolaissa säädetyllä tavalla ja

• tieteellinen tutkimus toisiolaissa säädetyllä tavalla erillisten Espoon tai Findatan päätösten perusteella.

6. Mikä on henkilötietojen käsittelyperuste?

 Espoolla on velvollisuus tarjota terveydenhuollon palveluja mm. kuntalaisille. Terveydenhuollon palvelujen järjestäminen edellyttää potilaiden henkilötietojen käsittelyä. Käsittely on tarpeen Espoon lakisääteisen velvoitteen noudattamiseksi.

Keskeinen lainsäädäntö

• Tietosuojalaki (1050/2018)
• Laki sosiaali- ja terveystietojen toissijaisesta käytöstä (552/2019, toisiolaki)
• Laki viranomaisten toiminnan julkisuudesta (621/1999)
• Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007)
• Terveydenhuoltolaki (1326/2010)
• Kansanterveyslaki 3 luku (66/1972)
• Valtioneuvoston asetus neuvolatoiminnasta, koulu- ja opiskeluterveydenhuollosta sekä lasten ja nuorten ehkäisevästä suun terveydenhuollosta (338/2011)
• Laki potilaan asemasta ja oikeuksista (785/1992)
• Laki sähköisestä lääkemääräyksestä (61/2007)
• Asetus viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta 2 luku (1030/1999)
• Hallintolaki (434/2003)
• EU:n yleinen tietosuoja-asetus (etenkin 6 artiklan 1 kohdan c alakohta ja 9 artiklan 2 kohdan h alakohta).

7. Mitä tietoja käsitellään?

Espoo tallentaa käytön perusteella seuraavia tietoja:

• Tunnistamiseen ja yksilöimiseen liittyviä tietoja, kuten:
  • Koko nimi (etunimet ja sukunimi)
  • Henkilötunnus (rekisteröidyn yksilöimiseksi)
  • Puolesta-asioitavan koko nimi (etunimet ja sukunimi)
  • Puolesta-asioitavan henkilötunnus (puolesta-asioitavan tunnistamiseksi)
  • Kotikunta (asiointioikeuden tarkistamiseksi)
• Yhteydenpitoon liittyviä tietoja, kuten:
  • Puhelinnumero
  • Viestiasetukset (ilmoitusten lähettämiseksi)
  • Ilmoitustunniste (mille laitteelle ilmoitukset lähetetään)
• Suostumuksiin liittyviä tietoja, kuten:
  • Suostumukset (henkilötietojen käsittely ja käyttöehdot)
• Muita henkilön sovelluksen kautta antamia tietoja kuten:
  • Henkilön sovelluksessa syöttämiä chat-keskustelutietoja
  • Henkilön sovelluksessa syöttämiä oirekyselyiden vastauksia
  • Henkilön sovelluksessa mahdollisesti lataamia kuvia tai liitetiedostoja
  • Henkilön sovelluksessa tekemien tehtävien aikaleimoja
  • Henkilön muita sovelluksen kautta omaehtoisesti antamia tietoja
• Ajanvaraus- ja käyntitietoja

TIETOJEN JULKISUUS JA SALASSAPIDETTÄVYYS:

Tiedot ovat salassa pidettäviä.

SALASSAPIDON PERUSTEET:

Potilassuhdetta koskevat tiedot ovat salassa pidettäviä viranomaisen toiminnasta julkisuudesta annetun lain (621/1999) 24 §:n, potilaan asemasta ja oikeuksista annetun lain (785/1992) 13 §:n ja terveydenhuollon ammattihenkilöistä annetun lain (559/1994) 17 §:n nojalla.

8. Mistä tiedot saadaan?

Henkilötiedot saadaan suoraan henkilöltä itseltään tai puolesta-asioivalta henkilöltä. Suomi.fi-palvelun kautta saadaan henkilöllisyyden ja puolesta-asioinnin valtuutuksen varmistamiseksi tarvittavat tunnistetiedot.

Henkilöltä itseltään saadaan esimerkiksi seuraavat tiedot; puhelinnumero, asiointikieli, viestiasetukset, suostumukset ja muut henkilön sovelluksen kautta antamat terveys- ja hyvinvointi tiedot, jotka liittyvät asiointiin mm. oirekyselyyn annetut vastaukset, chat-keskustelussa annetut tiedot sekä liitetiedostot.

Suomi.fi-palvelun kautta saadaan esimerkiksi seuraavat tiedot; koko nimi, henkilötunnus, kotikunta, sähköinen asiointitunnus ja puolesta-asioitavan koko nimi ja henkilötunnus.

Muita säännönmukaisia tietolähteitä ovat:

• potilaan, huoltajan, edunvalvojan tai omaisen antamat tarpeelliset terveystiedot
• työntekijän havaintoihin ja tutkimukseen perustuvat potilaan hoitoon liittyvät tiedot
• potilaan tai tämän laillisen edustajan suostumuksella tai lain perusteella saadut tiedot sosiaali-, terveys- ja koulutoimen yksiköiltä tai työntekijöiltä, kuten sosiaalityöltä, lastensuojelulta, varhaiskasvatukselta, lastenneuvolalta, kouluterveydenhuollolta, koulun opettajilta ja erityisopettajilta, koulupsykologeilta ja -kuraattoreilta.

Terveydenhuollon palveluissa potilaalla on oikeus kieltää sairaanhoitopiirin (HUS) alueen kunnallisen perusterveydenhuollon ja erikoissairaanhoidon tietojen luovutus sairaanhoitopiirin alueella. Tietojen luovutus valtakunnallisen potilastiedon arkiston kautta toisille terveydenhuollon toimijoille perustuu potilaan tai tämän laillisen edustajan antamaan suostumukseen.

Espoon oikeus saada potilasta koskevia tietoja voi perustua myös muuhun lainsäädäntöön.

9. Luovutetaanko tai siirretäänkö tietoja kaupungin ulkopuolelle?

Tiedot ovat siltä osin Digihyvinvointi-järjestelmää tuottavien järjestelmätoimittajien ja näiden alihankkijoiden käytettävissä, kun se on välttämätöntä järjestelmään liittyvissä tukitehtävissä tai teknisissä ylläpitotehtävissä. Espoo voi luovuttaa potilasta koskevia tietoja potilaan tai tämän laillisen edustajan nimenomaisella suostumuksella. Espoolla on velvollisuus lainsäädännön perusteella luovuttaa potilasta koskevia tietoja mm. toisille viranomaisille. Espoossa varmistetaan ennen tietojen luovuttamista, että tietojen pyytäjällä on oikeus saada lainsäädännön perusteella pyytämänsä tiedot. Potilasta koskevia tietoja luovutetaan Findatalle toisiolain perusteella tieteellistä tutkimusta, tilastointia, kehittämis- ja innovaatiotoimintaa, opetusta, sosiaali- ja terveydenhuollon viranomaisohjausta ja -valvontaa sekä viranomaisen suunnittelu- ja selvitystehtävää varten. Lisäksi Espoo luovuttaa toisiolain perusteella potilasta koskevia tietoja hakijalle tieteellistä tutkimusta, tilastointia, opetusta, sosiaali- ja terveydenhuollon viranomaisohjausta ja -valvontaa sekä viranomaisen suunnittelu- ja selvitystehtävää varten silloin, kun hakemus kohdistuu ainoastaan Espoon aineistoon. Espoo voi luovuttaa potilasta koskevia tietoja toisiolain mukaisesti Espoon sosiaali- ja terveydenhuollon tietojohtamista varten.

10. Siirretäänkö tietoja EU/ETA-alueen ulkopuolelle?

Espoo ei pääsääntöisesti siirrä potilasta koskevia tietoja Euroopan unionin tai Euroopan talousalueen ulkopuolelle. Esimerkiksi Espoon käyttämien asiakas- ja potilastietojärjestelmien konesalit sijaitsevat EU- tai ETA-maissa. Espoo siirtää potilasta koskevia tietoja EU- tai ETA-maiden ulkopuolelle mm. lain perusteella käytävässä viranomaisten välisessä tietojenvaihdossa. Espoo siirtää potilasta koskevia tietoja EU ja ETA-maiden ulkopuolelle vain, jos vastaanottavan maan on komission päätöksellä katsottu varmistavan riittävän tietosuojan tason tai siirto toteutetaan EU:n yleisessä tietosuoja-asetuksessa (2016/679) mainittuja muita asianmukaisia suojatoimia soveltaen.

11. Kuinka kauan tietoja säilytetään?

Digihyvinvointi-sovelluksessa säilytetään chat-vastaanottopalvelun tapahtumatietoja viiden vuoden ajan niiden syntymisestä, jonka jälkeen tiedot poistetaan järjestelmätoimittajan toimesta. Tapahtumatiedot ovat tietoja, jotka liittyvät kyseiseen asiointitapahtumaan, joita ovat esimerkiksi; henkilötiedot, oirekysely ja siihen annetut vastaukset, chat-keskusteluhistoria, mahdolliset liitetiedostot ja tapahtumien aikaleimat.

Digihyvinvointi-sovellukseen käyttäjäksi rekisteröitymisen yhteydessä syntynyt käyttäjätili poistetaan viiden vuoden kuluttua käyttäjän viimeisestä aktiivisuudesta sovelluksessa. Käyttäjätiliin liittyviä tietoja ovat esimerkiksi seuraavat tiedot; nimi, henkilötunnus, kotikunta, sähköinen asiointitunnus, puhelinnumero, asiointikieli, viestiasetukset ja suostumukset.

Sosiaali- ja terveydenhuollon ammattihenkilön chat-vastaanottokeskustelusta kirjaama yhteenveto tallennetaan Espoon potilastietojärjestelmään potilastietona. Potilastietojen osalta noudatetaan alla mainittuja potilastietojen säilytysaikoja sekä -perusteita.

Henkilötietojen käsittelijä- ja käyttäjälokitus tehdään potilastietojen käyttöön liittyvien sääntöjen ja määräysten mukaisesti. Lokitiedot säilytetään vähintään laissa määrätyn ajan.

Potilastietojen säilytysajat:

• potilasasiakirjat: pääsääntöisesti 120 vuotta potilaan syntymästä tai 12 vuotta potilaan kuolemasta (ennen 1.5.1999 kertyneet tai ennen 1.5.1999 menehtyneitä potilaita koskevat potilasasiakirjat: pääsääntöisesti 100 vuotta syntymästä tai 20 vuotta kuolemasta)
• 18. ja 28. päivänä syntyneiden potilasasiakirjat: pysyvästi
• valtakunnalliseen potilastiedon arkistoon siirretyt ja tallennetut tietoaineistot: pysyvästi tositteita lukuun ottamatta ja
• asiakasmaksuihin liittyvä aineisto: 10 vuotta.

Perusteet säilytysajoille ovat seuraavat:

• Sosiaali- ja terveysministeriön asetus potilasasiakirjoista (298/2009)
• Arkistolaitoksen päätös 16.2.2009 (AL/14372/07.01.01.03.01/2008): Potilasasiakirjojen pysyvä säilytys 2009
• Valtionarkiston päätös kunnallisten asiakirjojen hävittämisestä osa 2. Terveydenhuollon asiakirjat. 14.4.1989 ISBN 951-861-419-9.
• Arkistolaitoksen päätös 3.9.2001 KA 158/43/01: Pysyvästi säilytettävät kunnallisen tuki- ja ylläpitotehtävien asiakirjat ja
• Kuntaliitto: Kunnallisten asiakirjojen säilytysajat. Määräykset ja suositukset. Taloushallinto 2

12. Miten tietoja suojataan?

Tietotekniset laitteet sijaitsevat suojatuissa ja valvotuissa tiloissa. Espoon sosiaali- ja terveystoimen käyttämät laitteet ja ohjelmistot on suojattu ja varmistettu kaupungin tietoturvaperiaatteiden mukaisesti. Espoon järjestelmät vaativat salasanan vaihdettavaksi määräajoin.

Ammattilaisten suorittama tietojen käsittely perustuu potilassuhteeseen tai muuhun asialliseen yhteyteen. Käyttöoikeudet järjestelmään annetaan rajatusti vain niille ammattilaisille, joille se on välttämätöntä hoidon tarjoamiseksi tai vastaavasti niihin liittyvien tukitehtävien tai teknisten ylläpitotehtävien suorittamiseksi. Esimiehet päättävät käyttöoikeuksien myöntämisestä ja poistamisesta. Espoo passivoi käyttöoikeudet työntekijän työsuhteen päättyessä. Työntekijöiden käyttöoikeudet perustuvat henkilökohtaisiin käyttöoikeuksiin, ja Espoo valvoo niiden käyttöä lokitietojen kautta, eli jokaisesta henkilötietojen käsittelyn kerrasta ja käsittelijästä jää lokimerkintä. Jokainen työntekijä hyväksyy tietojen ja tietojärjestelmien käyttö- ja salassapitositoumuksen. Potilasta koskevia tietoja käsittelevillä työntekijöillä on lakisääteinen vaitiolovelvollisuus. Salassapito- ja vaitiolovelvollisuus jatkuu palvelussuhteen päättymisen jälkeenkin. Käsittelyssä noudatetaan arkaluonteisten terveystietojen käsittelyn protokollia ja prosesseja. Tietoja käsittelevät henkilöt on koulutettu ja ohjeistettu käsittelemään henkilötietoja erityisellä huolellisuudella ja mahdollisimman turvallisesti.

Järjestelmän ylläpitoon käytettyjä palveluita, palvelimia ja ohjelmistoja päivitetään säännöllisesti, ja palvelun laajuuteen kuuluvien laitteiden ja ohjelmistojen haavoittuvuuksia ja tietoturvapoikkeamia seurataan aktiivisesti.

13. Rekisteröidyn oikeudet

Tarkempi ohjeistus tietosuoja-asetuksen mukaisten tietopyyntöjen osoittamisesta löytää täältä.

Rekisteröidyllä, eli potilaalla, tai tämän laillisella edustajalla on oikeus saada tieto siitä, käsitteleekö Espoo potilasta koskevia henkilötietoja. Jos Espoo käsittelee potilasta koskevia henkilötietoja, on potilaalla tai tämän laillisella edustajalla oikeus saada jäljennös käsiteltävistä henkilötiedoista. Pääsääntöisesti potilas voi hakea terveydenhuollon palveluja koskevat potilastietonsa OmaKannasta. Vastaanotolla työntekijä voi pyynnöstä tulostaa potilaalle vain kyseisen käyntikerran kirjaukset. EU:n yleisen tietosuoja-asetuksen mukainen tietojen tarkastusoikeus ja käyntikerran kirjausten luovuttaminen ovat eri asioita. Edunvalvoja voi tarkistaa päämiehensä tiedot, jos tarkastusoikeuden käyttö sisältyy edunvalvonnasta annettuun päätökseen. Edunvalvojan tulee toimittaa rekisteritietojen tarkastuspyynnön yhteydessä kopio edunvalvontapäätöksestä.

Myös edunvalvontavaltuutetulla on oikeus tarkistaa edunvalvottavan tiedot, jos tarkastusoikeuden käyttö sisältyy edunvalvontavaltuutukseen. Digi- ja väestötietoviraston tai maistraatin on tullut vahvistaa edunvalvontavaltuutus. Edunvalvontavaltuutetun tulee toimittaa rekisteritietojen tarkastuspyynnön yhteydessä kopio edunvalvontavaltuutuksesta sekä Digi- ja väestötietoviraston tai maistraatin edunvalvontavaltuutuksen vahvistamispäätöksestä.

Ulkopuolisella (eli muilla kuin potilaalla tai tämän laillisella edustajalla) ei ole tarkastusoikeutta, vaikka häntä koskevia henkilötietoja voi olla tallennettuna potilasta koskeviin henkilötietoihin. Potilas tai tämän laillinen edustaja voi tehdä tarkastuspyynnön henkilökohtaisesti käynnin yhteydessä tai postin kautta lähetettävällä asiakirjalla tai käymällä kirjaamossa tai asiointipisteessä. Espoo on laatinut pyyntöä varten lomakkeen, jota potilas tai tämän laillinen edustaja voi käyttää tietoja pyytäessään. Lomakkeen saa sosiaali- ja terveystoimen toimintayksiköistä, ja se löytyy Espoon internet sivuilta. Mikäli potilas tai tämän laillinen edustaja haluaa tehdä rekisteritietojen tarkastuspyynnön vapaamuotoisella asiakirjalla, tulee potilaan tai tämän laillisen edustajan kirjata pyyntöön, mitkä henkilötiedot halutaan tarkastaa, halutaanko tarkastaa kaikki henkilötiedot vai tiedot tietyltä ajanjaksolta, pyytäjän nimi ja henkilötunnus sekä pyytäjän yhteystiedot. Mikäli pyytäjä pyytää muita kuin omia henkilötietojaan tarkastettavaksi, tulee pyyntöön kirjata sen henkilön nimi ja henkilötunnus, jonka tietoja pyydetään. Mikäli potilas tai tämän laillinen edustaja lähettää pyynnön postitse, pyyntö osoitetaan: Espoon kaupungin sosiaali- ja terveystoimi, Tietopyynnöt, PL 2550, 02070 Espoon kaupunki. Espoo tarkastaa pyytäjän henkilöllisyyden kuvallisesta henkilöllisyystodistuksesta, jos potilas tai tämän laillinen edustaja toimittaa rekisteritietojen tarkastuspyynnön henkilökohtaisesti toimintayksikköön, kirjaamoon tai asiointipisteeseen.

Espoo toimittaa tiedot ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Espoo voi tarvittaessa jatkaa määräaikaa enintään kahdella kuukaudella. Espoo ottaa huomioon määräajan jatkamisessa pyyntöjen monimutkaisuuden ja määrän. Espoo ilmoittaa tietojen pyytäjälle määräajan pidentämisestä ja määräajan pidentämisen syyt kuukauden kuluessa pyynnön vastaanottamisesta. Espoo ilmoittaa kieltäytymisestä viimeistään kuukauden kuluessa pyynnön saapumisesta. Espoo luovuttaa pääsääntöisesti pyydetyt tiedot potilaan tämän laillisen edustajan väestötietojärjestelmän mukaiseen osoitteeseen.

EU:n yleisessä tietosuoja-asetuksessa, tietosuojalaissa ja kansallisessa erityislainsäädännössä on säädetty niistä tilanteista, jolloin rekisterinpitäjä voi jättää luovuttamatta potilaan tai tämän laillisen edustajan pyytämät tiedot. Jos Espoo ei luovuta potilaalle tai tämän lailliselle edustajalle pyydettyjä tietoja, Espoo ilmoittaa viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta tietojen pyytäjälle syyt tietojen luovuttamatta jättämiselle ja kertoo potilaan tai tämän laillisen edustajan mahdollisuudesta tehdä valitus tietosuojavaltuutetulle ja käyttää muita oikeussuojakeinoja.

Omien tietojen pyytäminen on lähtökohtaisesti maksutonta. Jos potilaan tai tämän laillisen edustajan pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti jos niitä esitetään toistuvasti, Espoo voi joko periä kohtuullisen maksun ottaen huomioon tietojen tai viestien toimittamisesta tai pyydetyn toimenpiteen toteuttamisesta aiheutuvat hallinnolliset kustannukset; tai kieltäytyä luovuttamasta pyydettyjä tietoja.

Rekisteröidyllä, eli potilaalla, tai tämän laillisella edustajalla on oikeus vaatia, että Espoo oikaisee ilman aiheetonta viivytystä potilasta koskevat epätarkat ja virheelliset henkilötiedot. Potilaalla tai tämän laillisella edustajalla on oikeus saada täydennetyiksi puutteelliset tiedot. Espoo tekee muutokset siten, että rekistereihin jää näkyviin tiedot tehdystä korjauksesta, tekijästä ja korjauspäivämäärästä ja niin, että alkuperäinen merkintä on mahdollista nähdä jälkikäteen. Espoolla on velvollisuus ilmoittaa tietojen oikaisusta niille vastaanottajille, joille Espoo on luovuttanut potilasta koskevia tietoja. Espoolla ei ole ilmoittamisvelvollisuutta, jos ilmoittaminen on mahdotonta taikka vaatii kohtuutonta vaivaa.

Espoo toteuttaa pyynnön ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Espoo voi tarvittaessa jatkaa määräaikaa enintään kahdella kuukaudella. Espoo ottaa huomioon määräajan jatkamisessa pyyntöjen monimutkaisuuden ja määrän. Espoo ilmoittaa tietojen pyytäjälle määräajan pidentämisestä ja määräajan pidentämisen syyt kuukauden kuluessa pyynnön vastaanottamisesta. Espoo ilmoittaa kieltäytymisestä viimeistään kuukauden kuluessa pyynnön saapumisesta.

Jollei Espoo hyväksy potilaan tai tämän laillisen edustajan vaatimusta tiedon oikaisemista, Espoo ilmoittaa asiasta kirjallisesti potilaalle tai tämän lailliselle edustajalle. Espoo kertoo samalla ne syyt, joiden vuoksi vaatimusta ei ole hyväksytty ja ohjeistaa potilaan tai tämän laillisen edustajan mahdollisuudesta tehdä valitus tietosuojavaltuutetulle ja käyttää muita oikeussuojakeinoja. Espoo voi korjata potilastietoja myös täydentämällä niitä potilaan tai tämän laillisen edustajan näkemyksellä asiasta.

Potilaalla tai tämän laillisella edustajalla on oikeus saada poistettua potilasta koskevat henkilötiedot ilman aiheetonta viivytystä, jos EU:n yleisen tietosuoja-asetuksen 17 artiklassa säädetyt edellytykset täyttyvät. Potilaalla tai tämän laillisella edustajalla ei ole pääsääntöisesti oikeutta saada potilasta koskevia henkilötietoja poistettua terveydenhuollossa, koska Espoolla on lakisääteinen velvollisuus käsitellä tietoja (mm. kirjaamisvelvollisuus ja arkistointivelvollisuus). Potilaan tai tämän laillisen edustajan oikeus saada poistettua potilasta koskevia henkilötietoja on lähinnä silloin, kun tiedot ovat jo alun perin olleet tarpeettomia niiden käyttötarkoituksen kannalta. Espoolla on velvollisuus ilmoittaa tietojen poistosta niille vastaanottajille, joille Espoo on luovuttanut potilasta koskevia tietoja. Espoolla ei ole ilmoittamisvelvollisuutta, jos ilmoittaminen on mahdotonta taikka vaatii kohtuutonta vaivaa. Potilas tai tämän laillinen edustaja voi lähettää vaatimukset tietojen poistamisesta osoitteeseen Espoon kaupungin sosiaali- ja terveystoimi, Tietopyynnöt, PL 2550, 02070 Espoon kaupunki.

Potilaalla tai tämän laillisella edustajalla on oikeus vaatia Espoota rajoittamaan potilasta koskevien henkilötietojen käsittelyä, jos potilas tai tämän laillinen edustaja kiistää potilasta koskevien henkilötietojen paikkansapitävyyden. Tällöin Espoon on pääsääntöisesti rajoitettava potilasta koskevien henkilötietojen käsittelyä siihen saakka, kunnes Espoo on varmistanut henkilötietojen paikkansapitävyyden. Rajoittamisvelvollisuuteen on säädetty tietosuoja-asetuksessa tiettyjä poikkeuksia, joiden perusteella Espoo voi käsitellä potilaan rajoituksen alaisia henkilötietoja tietyissä tilanteissa. Espoon on ilmoitettava potilaalle tai tämän lailliselle edustajalle rajoituksen poistamisesta ennen rajoituksen poistamista. Potilas tai tämän laillinen edustaja voi lähettää vaatimukset tietojen käsittelyn rajoittamisesta osoitteeseen Espoon kaupungin sosiaali- ja terveystoimi, Tietopyynnöt, PL 2550, 02070 Espoon kaupunki.

Potilaalla tai tämän laillisella edustajalla on oikeus tehdä Suomessa valitus tietosuojavaltuutetulle, jos potilas tai tämän laillinen edustaja katsoo, että Espoo ei noudata tietosuojalainsäädäntöä käsitellessään potilasta koskevia henkilötietoja. Tarkempi ohjeistus valituksen tekemiseen löytyy tietosuojavaltuutetun toimiston internet-sivuilta https://tietosuoja.fi/etusivu(ulkoinen linkki). Valitusoikeus tietosuojavaltuutetulle ei rajoita muita potilaan tai tämän laillisen edustajan käytössä olevia hallinnollisia muutoksenhakukeinoja tai oikeussuojakeinoja.

Tietosuojaselosteen julkaisupäivämäärä 3.11.2021.

1. Rekisterinpitäjä

Perusturvakuntayhtymä Karviainen

PL 114  03100 Nummela

2. Rekisterin vastuuhenkilö

Terveyspalvelujen johtaja

Osoite: Nummenselkä 2, 03100 Nummela

Puh. 09 4258 2000 (vaihde)

3. Rekisterin yhteyshenkilö

Terveyspalvelukeskuksen  palvelupäällikkö

Osoite: Nummenselkä 2, 03100 Nummela

Puh. 09 4258 2000(vaihde)

4. Tietosuojavastaava

Karviaisen tietosuojavastaava

Osoite: PL 114 03100 Nummela

Puh. 09 816 21 (vaihde)

Sähköpostiosoite: tietosuojavastaaava@karviainen.fi

5. Mihin tarkoitukseen henkilötietoja käsitellään?

Tämä tietosuojaseloste liittyy Digihyvinvointi-sovelluksen chat-vastaanottopalveluun. Chat-vastaanottopalvelussa henkilö voi viestiä pikaviestitoiminnallisuuden avulla sosiaali- ja terveydenhuollon ammattihenkilöiden kanssa omiin tai puolesta-asioitavan asioihin tai oireisiin liittyvistä aiheista.  Palvelua voi käyttää web-sovelluksella tai sovelluskaupasta ladattavalla mobiilisovelluksella. Palvelun käyttäminen edellyttää käyttäjäksi rekisteröitymistä henkilön itsensä toimesta. Palvelussa käsiteltäviä henkilötietoja käytetään sosiaali- ja terveydenhuollon palveluiden järjestämiseksi ja toteuttamiseksi. Sosiaali- ja terveydenhuollon ammattihenkilö kirjaa chat-vastaanottopalvelussa käydystä keskustelusta yhteenvedon kunnan asiakas- tai potilastietojärjestelmään. Järjestelmätoimittaja ja toimittajan alihankkijat käsittelevät rekisteröityjen henkilötietoja palveluun liittyvissä tukitehtävissä tai teknisissä ylläpitotehtävissä.

PTKY Karviainen käsittelee potilaiden henkilötietoja seuraaviin käyttötarkoituksiin:

• potilaan tutkimuksen, hoidon ja kuntoutuksen järjestäminen, suunnittelu, toteutus, seuranta, neuvonta ja laadunvalvonta
• sosiaali- ja terveydenhuollon tukipalvelujen toteuttaminen (mm. laskutus, sovellustuki)
• sosiaali- ja terveydenhuollon toiminnan suunnittelu, tilastointi, seuranta ja arviointi toisiolaissa tai muualla lainsäädännössä säädetyllä tavalla sosiaali- ja terveydenhuollon tietojohtaminen toisiolaissa säädetyllä tavalla ja
• tieteellinen tutkimus toisiolaissa säädetyllä tavalla erillisten PTKY Karviaisen tai Findatan päätösten perusteella.

6. Mikä on henkilötietojen käsittelyperuste?

Ptky karviasella on velvollisuus tarjota terveydenhuollon palveluja mm. kuntalaisille. Terveydenhuollon palvelujen järjestäminen edellyttää potilaiden henkilötietojen käsittelyä. Käsittely on tarpeen Karviaisen lakisääteisen velvoitteen noudattamiseksi.

Keskeinen lainsäädäntö:

• EU:n yleinen tietosuoja-asetus (etenkin 6 artiklan 1 kohdan c alakohta ja 9 artiklan 2 kohdan h alakohta)
• Tietosuojalaki (1050/2018)
• Laki sosiaali- ja terveystietojen toissijaisesta käytöstä (552/2019, toisiolaki)
• Laki viranomaisten toiminnan julkisuudesta (621/1999)
• Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007)
• Terveydenhuoltolaki (1326/2010)
• Kansanterveyslaki 3 luku (66/1972)
• Valtioneuvoston asetus neuvolatoiminnasta, koulu- ja opiskeluterveydenhuollosta sekä lasten ja nuorten ehkäisevästä suun terveydenhuollosta (338/2011)
• Laki potilaan asemasta ja oikeuksista (785/1992)
• Laki sähköisestä lääkemääräyksestä (61/2007)
• Asetus viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta 2 luku (1030/1999)
• Hallintolaki (434/2003)
• EU:n yleinen tietosuoja-asetus (etenkin 6 artiklan 1 kohdan c alakohta ja 9 artiklan 2 kohdan h alakohta).

7. Mitä tietoja käsitellään?

Karviainen tallentaa käytön perusteella seuraavia tietoja:

• Tunnistamiseen ja yksilöimiseen liittyviä tietoja, kuten:
  • Koko nimi (etunimet ja sukunimi)
  • Henkilötunnus (rekisteröidyn yksilöimiseksi)
  • Puolesta-asioitavan koko nimi (etunimet ja sukunimi)
  • Puolesta-asioitavan henkilötunnus (puolesta-asioitavan tunnistamiseksi)
  • Kotikunta (asiointioikeuden tarkistamiseksi)
• Yhteydenpitoon liittyviä tietoja, kuten:
  • Puhelinnumero
  • Viestiasetukset (ilmoitusten lähettämiseksi)
  • Ilmoitustunniste (mille laitteelle ilmoitukset lähetetään)
• Suostumuksiin liittyviä tietoja, kuten:
  • Suostumukset (henkilötietojen käsittely ja käyttöehdot)
• Muita henkilön sovelluksen kautta antamia tietoja kuten:
  • Henkilön sovelluksessa syöttämiä chat-keskustelutietoja
  • Henkilön sovelluksessa syöttämiä oirekyselyiden vastauksia
  • Henkilön sovelluksessa mahdollisesti lataamia kuvia tai liitetiedostoja
  • Henkilön sovelluksessa tekemien tehtävien aikaleimoja
  • Henkilön muita sovelluksen kautta omaehtoisesti antamia tietoja
• Ajanvaraus- ja käyntitietoja

TIETOJEN JULKISUUS JA SALASSAPIDETTÄVYYS:

Tiedot ovat salassa pidettäviä.

SALASSAPIDON PERUSTEET:

Potilassuhdetta koskevat tiedot ovat salassa pidettäviä viranomaisen toiminnasta julkisuudesta annetun lain (621/1999) 24 §:n, potilaan asemasta ja oikeuksista annetun lain (785/1992) 13 §:n ja terveydenhuollon ammattihenkilöistä annetun lain (559/1994) 17 §:n nojalla.

8. Mistä tiedot saadaan?

Henkilötiedot saadaan suoraan henkilöltä itseltään tai puolesta-asioivalta henkilöltä. Suomi.fi-palvelun kautta saadaan henkilöllisyyden ja puolesta-asioinnin valtuutuksen varmistamiseksi tarvittavat tunnistetiedot.

Henkilöltä itseltään saadaan esimerkiksi seuraavat tiedot; puhelinnumero, asiointikieli, viestiasetukset, suostumukset ja muut henkilön sovelluksen kautta antamat terveys- ja hyvinvointi tiedot, jotka liittyvät asiointiin mm. oirekyselyyn annetut vastaukset, chat-keskustelussa annetut tiedot sekä liitetiedostot.

Suomi.fi-palvelun kautta saadaan esimerkiksi seuraavat tiedot; koko nimi, henkilötunnus, kotikunta, sähköinen asiointitunnus ja puolesta-asioitavan koko nimi ja henkilötunnus.

Muita säännönmukaisia tietolähteitä ovat:

• potilaan, huoltajan, edunvalvojan tai omaisen antamat tarpeelliset terveystiedot
• työntekijän havaintoihin ja tutkimukseen perustuvat potilaan hoitoon liittyvät tiedot
• potilaan tai tämän laillisen edustajan suostumuksella tai lain perusteella saadut tiedot sosiaali-, terveys- ja koulutoimen yksiköiltä tai työntekijöiltä, kuten sosiaalityöltä, lastensuojelulta, varhaiskasvatukselta, lastenneuvolalta, kouluterveydenhuollolta, koulun opettajilta ja erityisopettajilta, koulupsykologeilta ja -kuraattoreilta.

Terveydenhuollon palveluissa potilaalla on oikeus kieltää sairaanhoitopiirin (HUS) alueen kunnallisen perusterveydenhuollon ja erikoissairaanhoidon tietojen luovutus sairaanhoitopiirin alueella. Tietojen luovutus valtakunnallisen potilastiedon arkiston kautta toisille terveydenhuollon toimijoille perustuu potilaan tai tämän laillisen edustajan antamaan suostumukseen.

PTKY Karviaisen oikeus saada potilasta koskevia tietoja voi perustua myös muuhun lainsäädäntöön.

9. Luovutetaanko tai siirretäänkö tietoja kaupungin ulkopuolelle?

Tiedot ovat siltä osin Digihyvinvointi-järjestelmää tuottavien järjestelmätoimittajien ja näiden alihankkijoiden käytettävissä, kun se on välttämätöntä järjestelmään liittyvissä tukitehtävissä tai teknisissä ylläpitotehtävissä.

PTKY Karviainen voi luovuttaa potilasta koskevia tietoja potilaan tai tämän laillisen edustajan nimenomaisella suostumuksella. PTKY Karviaisella on velvollisuus lainsäädännön perusteella luovuttaa potilasta koskevia tietoja mm. toisille viranomaisille. PTKY Karviaisessa varmistetaan ennen tietojen luovuttamista, että tietojen pyytäjällä on oikeus saada lainsäädännön perusteella pyytämänsä tiedot.

Lisäksi PTKY Karviainen luovuttaa palveluntuottajille (mm. ostopalveluissa) potilasta koskevia tietoja, jos se on välttämätöntä potilaan terveydenhuollon palvelun tuottamiseksi. PTKY Karviainen luovuttaa potilasta koskevia tietoja lainsäädännön perusteella myös valvontaviranomaiselle (mm. AVI, EOA).

Potilasta koskevia tietoja luovutetaan Findatalle toisiolain perusteella tieteellistä tutkimusta, tilastointia, kehittämis- ja innovaatiotoimintaa, opetusta, sosiaali- ja terveydenhuollon viranomaisohjausta ja -valvontaa sekä viranomaisen suunnittelu- ja selvitystehtävää varten. Lisäksi PTKY Karviainen luovuttaa toisiolain perusteella potilasta koskevia tietoja hakijalle tieteellistä tutkimusta, tilastointia, opetusta, sosiaali- ja terveydenhuollon viranomaisohjausta ja -valvontaa sekä viranomaisen suunnittelu- ja selvitystehtävää varten silloin, kun hakemus kohdistuu ainoastaan PTKY Karviaisen aineistoon. PTKY Karviainen voi luovuttaa potilasta koskevia tietoja toisiolain mukaisesti PTKY Karviaisen sosiaali- ja terveydenhuollon tietojohtamista varten.

10. Siirretäänkö tietoja EU/ETA-alueen ulkopuolelle?

PTKY Karviainen ei pääsääntöisesti siirrä potilasta koskevia tietoja Euroopan unionin tai Euroopan talousalueen ulkopuolelle. Esimerkiksi PTKY Karviaisen käyttämien asiakas- ja potilastietojärjestelmien konesalit sijaitsevat EU- tai ETA-maissa.

PTKY Karviainen siirtää potilasta koskevia tietoja EU- tai ETA-maiden ulkopuolelle mm. lain perusteella käytävässä viranomaisten välisessä tietojenvaihdossa. PTKY Karviainen siirtää potilasta koskevia tietoja EU ja ETA-maiden ulkopuolelle vain, jos vastaanottavan maan on komission päätöksellä katsottu varmistavan riittävän tietosuojan tason tai siirto toteutetaan EU:n yleisessä tietosuoja-asetuksessa (2016/679) mainittuja muita asianmukaisia suojatoimia soveltaen.

11. Kuinka kauan tietoja säilytetään?

Digihyvinvointi-sovelluksessa säilytetään chat-vastaanottopalvelun tapahtumatietoja viiden vuoden ajan niiden syntymisestä, jonka jälkeen tiedot poistetaan järjestelmätoimittajan toimesta. Tapahtumatiedot ovat tietoja, jotka liittyvät kyseiseen asiointitapahtumaan, joita ovat esimerkiksi; henkilötiedot, oirekysely ja siihen annetut vastaukset, chat-keskusteluhistoria, mahdolliset liitetiedostot ja tapahtumien aikaleimat.

Digihyvinvointi-sovellukseen käyttäjäksi rekisteröitymisen yhteydessä syntynyt käyttäjätili poistetaan viiden vuoden kuluttua käyttäjän viimeisestä aktiivisuudesta sovelluksessa. Käyttäjätiliin liittyviä tietoja ovat esimerkiksi seuraavat tiedot; nimi, henkilötunnus, kotikunta, sähköinen asiointitunnus, puhelinnumero, asiointikieli, viestiasetukset ja suostumukset.

Sosiaali- ja terveydenhuollon ammattihenkilön chat-vastaanottokeskustelusta kirjaama yhteenveto tallennetaan PTKY Karviaisen  potilastietojärjestelmään potilastietona. Potilastietojen osalta noudatetaan alla mainittuja potilastietojen säilytysaikoja sekä -perusteita.

Henkilötietojen käsittelijä- ja käyttäjälokitus tehdään potilastietojen käyttöön liittyvien sääntöjen ja määräysten mukaisesti. Lokitiedot säilytetään vähintään laissa määrätyn ajan.

Potilastietojen säilytysajat:

• potilasasiakirjat: pääsääntöisesti 120 vuotta potilaan syntymästä tai 12 vuotta potilaan kuolemasta (ennen 1.5.1999 kertyneet tai ennen 1.5.1999 menehtyneitä potilaita koskevat potilasasiakirjat: pääsääntöisesti 100 vuotta syntymästä tai 20 vuotta kuolemasta)
• 18. ja 28. päivänä syntyneiden potilasasiakirjat: pysyvästi
• valtakunnalliseen potilastiedon arkistoon siirretyt ja tallennetut tietoaineistot: pysyvästi tositteita lukuun ottamatta ja
• asiakasmaksuihin liittyvä aineisto: 10 vuotta.

Perusteet säilytysajoille ovat seuraavat:

• Sosiaali- ja terveysministeriön asetus potilasasiakirjoista (298/2009)
• Arkistolaitoksen päätös 16.2.2009 (AL/14372/07.01.01.03.01/2008): Potilasasiakirjojen pysyvä säilytys 2009
• Valtionarkiston päätös kunnallisten asiakirjojen hävittämisestä osa 2. Terveydenhuollon asiakirjat. 14.4.1989 ISBN 951-861-419-9.
• Arkistolaitoksen päätös 3.9.2001 KA 158/43/01: Pysyvästi säilytettävät kunnallisen tuki- ja ylläpitotehtävien asiakirjat ja
• Kuntaliitto: Kunnallisten asiakirjojen säilytysajat. Määräykset ja suositukset. Taloushallinto 2

12. Miten tietoja suojataan?

Tietotekniset laitteet sijaitsevat suojatuissa ja valvotuissa tiloissa. PTKY Karviasen sosiaali- ja terveystoimen käyttämät laitteet ja ohjelmistot on suojattu ja varmistettu kuntayhtymän tietoturvaperiaatteiden mukaisesti. PTKY Karviaisen järjestelmät vaativat salasanan vaihdettavaksi määräajoin.

Työntekijöiden potilasta koskevien henkilötietojen käsittely perustuu potilassuhteeseen tai muuhun asialliseen yhteyteen. Käyttöoikeudet Terveyskylä-ratkaisuun annetaan rajatusti vain niille ammattilaisille, joille se on välttämätöntä joko hoidon tarjoamiseksi tai digihoitopolkuun tai asiakashallintajärjestelmään liittyvien tukitehtävien tai teknisten ylläpitotehtävien suorittamiseksi. Esimiehet päättävät käyttöoikeuksien myöntämisestä ja poistamisesta. PTKY Karviainen passivoi käyttöoikeudet työntekijän työsuhteen päättyessä. Työntekijöiden käyttöoikeudet perustuvat henkilökohtaisiin käyttöoikeuksiin, ja PTKY Karviainen valvoo niiden käyttöä lokitietojen kautta, eli jokaisesta henkilötietojen käsittelyn kerrasta ja käsittelijästä jää lokimerkintä. Jokainen työntekijä hyväksyy tietojen ja tietojärjestelmien käyttö- ja salassapitositoumuksen. Potilasta koskevia tietoja käsittelevillä työntekijöillä on lakisääteinen vaitiolovelvollisuus. Salassapito- ja vaitiolovelvollisuus jatkuu palvelussuhteen päättymisen jälkeenkin. Käsittelyssä noudatetaan arkaluonteisten terveystietojen käsittelyn protokollia ja prosesseja. Tietoja käsittelevät henkilöt on koulutettu ja ohjeistettu käsittelemään henkilötietoja erityisellä huolellisuudella ja mahdollisimman turvallisesti.

Palvelun ylläpitoon käytettyjä palveluita, palvelimia ja ohjelmistoja päivitetään säännöllisesti, ja palvelun laajuuteen kuuluvien laitteiden ja ohjelmistojen haavoittuvuuksia ja tietoturvapoikkeamia seurataan aktiivisesti.

13. Rekisteröidyn oikeudet

Tarkempi ohjeistus tietosuoja-asetuksen mukaisten tietopyyntöjen osoittamisesta: https://karviainen.fi/asiointi/tietosuoja/(ulkoinen linkki)

Rekisteröidyllä, eli potilaalla, tai tämän laillisella edustajalla on oikeus saada tieto siitä, käsitteleekö Karviainen potilasta koskevia henkilötietoja. Jos Karviainen käsittelee potilasta koskevia henkilötietoja, on potilaalla tai tämän laillisella edustajalla oikeus saada jäljennös käsiteltävistä henkilötiedoista. Pääsääntöisesti potilas voi hakea terveydenhuollon palveluja koskevat potilastietonsa OmaKannasta. Vastaanotolla työntekijä voi pyynnöstä tulostaa potilaalle vain sen käyntikerran kirjaukset. EU:n yleisen tietosuoja-asetuksen mukainen tietojen tarkastusoikeus ja käyntikerran kirjausten luovuttaminen ovat eri asioita. Edunvalvoja voi tarkistaa päämiehensä tiedot, jos tarkastusoikeuden käyttö sisältyy edunvalvonnasta annettuun päätökseen. Edunvalvojan tulee toimittaa rekisteritietojen tarkastuspyynnön yhteydessä kopio edunvalvontapäätöksestä.

Myös edunvalvontavaltuutetulla on oikeus tarkistaa edunvalvottavan tiedot, jos tarkastusoikeuden käyttö sisältyy edunvalvontavaltuutukseen. Digi- ja väestötietoviraston tai maistraatin on tullut vahvistaa edunvalvontavaltuutus. Edunvalvontavaltuutetun tulee toimittaa rekisteritietojen tarkastuspyynnön yhteydessä kopio edunvalvontavaltuutuksesta sekä Digi- ja väestötietoviraston tai maistraatin edunvalvontavaltuutuksen vahvistamispäätöksestä.

Ulkopuolisella (eli muilla kuin potilaalla tai tämän laillisella edustajalla) ei ole tarkastusoikeutta, vaikka häntä koskevia henkilötietoja voi olla tallennettuna potilasta koskeviin henkilötietoihin. Potilas tai tämän laillinen edustaja voi tehdä tarkastuspyynnön henkilökohtaisesti käynnin yhteydessä tai postin kautta lähetettävällä asiakirjalla tai käymällä kirjaamossa tai asiointipisteessä. Karviainen on laatinut pyyntöä varten lomakkeen, jota potilas tai tämän laillinen edustaja voi käyttää tietoja pyytäessään. Lomakkeen saa sosiaali- ja terveystoimen toimintayksiköistä, ja se löytyy Karviaisen internet-sivuilta https://karviainen.fi/asiointi/tietosuoja/(ulkoinen linkki)

Mikäli potilas tai tämän laillinen edustaja haluaa tehdä rekisteritietojen tarkastuspyynnön vapaamuotoisella asiakirjalla, tulee potilaan tai tämän laillisen edustajan kirjata pyyntöön, mitkä henkilötiedot halutaan tarkastaa, halutaanko tarkastaa kaikki henkilötiedot vai tiedot tietyltä ajanjaksolta, pyytäjän nimi ja henkilötunnus sekä pyytäjän yhteystiedot. Mikäli pyytäjä pyytää muita kuin omia henkilötietojaan tarkastettavaksi, tulee pyyntöön kirjata sen henkilön nimi ja henkilötunnus, jonka tietoja pyydetään. Mikäli potilas tai tämän laillinen edustaja lähettää pyynnön postitse, pyyntö osoitetaan: Ptky Karviainen kirjaamo, PL 114 , 03101 Nummela. Karviainen tarkastaa pyytäjän henkilöllisyyden kuvallisesta henkilöllisyystodistuksesta, jos potilas tai tämän laillinen edustaja toimittaa rekisteritietojen tarkastuspyynnön henkilökohtaisesti toimintayksikköön, kirjaamoon tai asiointipisteeseen.

Karviainen toimittaa tiedot ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Karviainen voi tarvittaessa jatkaa määräaikaa enintään kahdella kuukaudella. Karviainen ottaa huomioon määräajan jatkamisessa pyyntöjen monimutkaisuuden ja määrän. Karviainen ilmoittaa tietojen pyytäjälle määräajan pidentämisestä ja määräajan pidentämisen syyt kuukauden kuluessa pyynnön vastaanottamisesta. Karviainen ilmoittaa kieltäytymisestä viimeistään kuukauden kuluessa pyynnön saapumisesta. Karviainen luovuttaa pääsääntöisesti pyydetyt tiedot potilaan tämän laillisen edustajan väestötietojärjestelmän mukaiseen osoitteeseen.

EU:n yleisessä tietosuoja-asetuksessa, tietosuojalaissa ja kansallisessa erityislainsäädännössä on säädetty niistä tilanteista, jolloin rekisterinpitäjä voi jättää luovuttamatta potilaan tai tämän laillisen edustajan pyytämät tiedot. Jos Karviainen ei luovuta potilaalle tai tämän lailliselle edustajalle pyydettyjä tietoja, Karviainen ilmoittaa viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta tietojen pyytäjälle syyt tietojen luovuttamatta jättämiselle ja kertoo potilaan tai tämän laillisen edustajan mahdollisuudesta tehdä valitus tietosuojavaltuutetulle ja käyttää muita oikeussuojakeinoja.

Omien tietojen pyytäminen on lähtökohtaisesti maksutonta. Jos potilaan tai tämän laillisen edustajan pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti jos niitä esitetään toistuvasti, Karviainen voi joko periä kohtuullisen maksun ottaen huomioon tietojen tai viestien toimittamisesta tai pyydetyn toimenpiteen toteuttamisesta aiheutuvat hallinnolliset kustannukset; tai kieltäytyä luovuttamasta pyydettyjä tietoja.

Rekisteröidyllä, eli potilaalla, tai tämän laillisella edustajalla on oikeus vaatia, että Karviainen oikaisee ilman aiheetonta viivytystä potilasta koskevat epätarkat ja virheelliset henkilötiedot. Potilaalla tai tämän laillisella edustajalla on oikeus saada täydennetyiksi puutteelliset tiedot. Karviainen tekee muutokset siten, että rekistereihin jää näkyviin tiedot tehdystä korjauksesta, tekijästä ja korjauspäivämäärästä ja niin, että alkuperäinen merkintä on mahdollista nähdä jälkikäteen. Karviaisella on velvollisuus ilmoittaa tietojen oikaisusta niille vastaanottajille, joille Karviainen on luovuttanut potilasta koskevia tietoja. Karviaisella ei ole ilmoittamisvelvollisuutta, jos ilmoittaminen on mahdotonta taikka vaatii kohtuutonta vaivaa.

Karviainen toteuttaa pyynnön ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Karviainen voi tarvittaessa jatkaa määräaikaa enintään kahdella kuukaudella. Karviainen ottaa huomioon määräajan jatkamisessa pyyntöjen monimutkaisuuden ja määrän. Karviainen ilmoittaa tietojen pyytäjälle määräajan pidentämisestä ja määräajan pidentämisen syyt kuukauden kuluessa pyynnön vastaanottamisesta. Karviainen ilmoittaa kieltäytymisestä viimeistään kuukauden kuluessa pyynnön saapumisesta.

Jollei Karviainen hyväksy potilaan tai tämän laillisen edustajan vaatimusta tiedon oikaisemista, Karviainen ilmoittaa asiasta kirjallisesti potilaalle tai tämän lailliselle edustajalle. Karviainen kertoo samalla ne syyt, joiden vuoksi vaatimusta ei ole hyväksytty ja ohjeistaa potilaan tai tämän laillisen edustajan mahdollisuudesta tehdä valitus tietosuojavaltuutetulle ja käyttää muita oikeussuojakeinoja. Karviainen voi korjata potilastietoja myös täydentämällä niitä potilaan tai tämän laillisen edustajan näkemyksellä asiasta.

Potilaalla tai tämän laillisella edustajalla on oikeus saada poistettua potilasta koskevat henkilötiedot ilman aiheetonta viivytystä, jos EU:n yleisen tietosuoja-asetuksen 17 artiklassa säädetyt edellytykset täyttyvät. Potilaalla tai tämän laillisella edustajalla ei ole pääsääntöisesti oikeutta saada potilasta koskevia henkilötietoja poistettua terveydenhuollossa, koska Karviaisella on lakisääteinen velvollisuus käsitellä tietoja (mm. kirjaamisvelvollisuus ja arkistointivelvollisuus). Potilaan tai tämän laillisen edustajan oikeus saada poistettua potilasta koskevia henkilötietoja on lähinnä silloin, kun tiedot ovat jo alun perin olleet tarpeettomia niiden käyttötarkoituksen kannalta. Karviaisella on velvollisuus ilmoittaa tietojen poistosta niille vastaanottajille, joille Karviainen on luovuttanut potilasta koskevia tietoja. Karviaisella ei ole ilmoittamisvelvollisuutta, jos ilmoittaminen on mahdotonta taikka vaatii kohtuutonta vaivaa. Potilas tai tämän laillinen edustaja voi lähettää vaatimukset tietojen poistamisesta osoitteeseen PTKY Karviainen Kirjaamo, PL 114, 03100 Nummela

Potilaalla tai tämän laillisella edustajalla on oikeus vaatia Karviaiselta rajoittamaan potilasta koskevien henkilötietojen käsittelyä, jos potilas tai tämän laillinen edustaja kiistää potilasta koskevien henkilötietojen paikkansapitävyyden. Tällöin Karviaisen on pääsääntöisesti rajoitettava potilasta koskevien henkilötietojen käsittelyä siihen saakka, kunnes Karviainen on varmistanut henkilötietojen paikkansapitävyyden. Rajoittamisvelvollisuuteen on säädetty tietosuojaasetuksessa tiettyjä poikkeuksia, joiden perusteella Karviainen voi käsitellä potilaan rajoituksen alaisia henkilötietoja tietyissä tilanteissa. Karviaisen on ilmoitettava potilaalle tai tämän lailliselle edustajalle rajoituksen poistamisesta ennen rajoituksen poistamista. Potilas tai tämän laillinen edustaja voi lähettää vaatimukset tietojen käsittelyn rajoittamisesta osoitteeseen PTKY Karviainen kirjaamo, PL 114, 03101 Nummela

Potilaalla tai tämän laillisella edustajalla on oikeus tehdä Suomessa valitus tietosuojavaltuutetulle, jos potilas tai tämän laillinen edustaja katsoo, että Karviainen ei noudata tietosuojalainsäädäntöä käsitellessään potilasta koskevia henkilötietoja. Tarkempi ohjeistus valituksen tekemiseen löytyy tietosuojavaltuutetun toimiston internet-sivuilta https://tietosuoja.fi/etusivu(ulkoinen linkki). Valitusoikeus tietosuojavaltuutetulle ei rajoita muita potilaan tai tämän laillisen edustajan käytössä olevia hallinnollisia muutoksenhakukeinoja tai oikeussuojakeinoja.

Tietosuojaselosteen julkaisupäivämäärä: 03.11.2021

1. Rekisterinpitäjä

Lohjan sosiaali- ja terveyslautakunta

PL 71 (Karstuntie 4), 08100 Lohja

2. Rekisterin vastuuhenkilö

Sosiaali- ja terveysjohtaja

Tuula Suominen

Osoite: Lohjan kaupunki, PL 71, 08100 Lohja

Puh. 019 3690 (vaihde)

3. Rekisterin yhteyshenkilö

Sanna Lundström

Osoite: Lohjan kaupunki, PL 71, 08100 Lohja

Puh. 019 3690 (vaihde)

4. Tietosuojavastaava

Lohjan kaupungin tietosuojavastaava

Osoite: Karstuntie 4, PL 71, 08100 Lohja

Puh. 019 3690 (vaihde)

Sähköpostiosoite: kirjaamo@lohja.fi

5. Mihin tarkoitukseen henkilötietoja käsitellään?

Tämä tietosuojaseloste liittyy Digihyvinvointi-sovelluksen chat-vastaanottopalveluun. Chat-vastaanottopalvelussa henkilö voi viestiä pikaviestitoiminnallisuuden avulla sosiaali- ja terveydenhuollon ammattihenkilöiden kanssa omiin tai puolesta-asioitavan asioihin tai oireisiin liittyvistä aiheista.  Palvelua voi käyttää web-sovelluksella tai sovelluskaupasta ladattavalla mobiilisovelluksella. Palvelun käyttäminen edellyttää käyttäjäksi rekisteröitymistä henkilön itsensä toimesta. Palvelussa käsiteltäviä henkilötietoja käytetään sosiaali- ja terveydenhuollon palveluiden järjestämiseksi ja toteuttamiseksi. Sosiaali- ja terveydenhuollon ammattihenkilö kirjaa chat-vastaanottopalvelussa käydystä keskustelusta yhteenvedon kunnan asiakas- tai potilastietojärjestelmään. Järjestelmätoimittaja ja toimittajan alihankkijat käsittelevät rekisteröityjen henkilötietoja palveluun liittyvissä tukitehtävissä tai teknisissä ylläpitotehtävissä.

Lohja käsittelee henkilötietoja seuraaviin käyttötarkoituksiin:

• potilaan tutkimuksen ja hoidon järjestäminen, suunnittelu, toteutus, seuranta, neuvonta,

• terveydenhuollon tukipalvelujen toteuttaminen (mm. sovellustuki)

• sosiaali- ja terveydenhuollon toiminnan suunnittelu, tilastointi, seuranta ja arviointi toisiolaissa tai muualla lainsäädännössä säädetyllä tavalla,

• sosiaali- ja terveydenhuollon tietojohtaminen toisiolaissa säädetyllä tavalla ja

• tieteellinen tutkimus toisiolaissa säädetyllä tavalla erillisten Lohjan tai Findatan päätösten perusteella.

6. Mikä on henkilötietojen käsittelyperuste?

Lohjalla on velvollisuus tarjota terveydenhuollon palveluja mm. kuntalaisille. Terveydenhuollon palvelujen järjestäminen edellyttää potilaiden henkilötietojen käsittelyä. Käsittely on tarpeen Lohjan lakisääteisen velvoitteen noudattamiseksi.

Keskeinen lainsäädäntö

• Tietosuojalaki (1050/2018)
• Laki sosiaali- ja terveystietojen toissijaisesta käytöstä (552/2019, toisiolaki)
• Laki viranomaisten toiminnan julkisuudesta (621/1999)
• Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007)
• Terveydenhuoltolaki (1326/2010)
• Kansanterveyslaki 3 luku (66/1972)
• Valtioneuvoston asetus neuvolatoiminnasta, koulu- ja opiskeluterveydenhuollosta sekä lasten ja nuorten ehkäisevästä suun terveydenhuollosta (338/2011)
• Laki potilaan asemasta ja oikeuksista (785/1992)
• Laki sähköisestä lääkemääräyksestä (61/2007)
• Asetus viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta 2 luku (1030/1999)
• Hallintolaki (434/2003)
• EU:n yleinen tietosuoja-asetus (etenkin 6 artiklan 1 kohdan c alakohta ja 9 artiklan 2 kohdan h alakohta).

7. Mitä tietoja käsitellään?

Lohja tallentaa käytön perusteella seuraavia tietoja:

• Tunnistamiseen ja yksilöimiseen liittyviä tietoja, kuten:
  • Koko nimi (etunimet ja sukunimi)
  • Henkilötunnus (rekisteröidyn yksilöimiseksi)
  • Puolesta-asioitavan koko nimi (etunimet ja sukunimi)
  • Puolesta-asioitavan henkilötunnus (puolesta-asioitavan tunnistamiseksi)
  • Kotikunta (asiointioikeuden tarkistamiseksi)
• Yhteydenpitoon liittyviä tietoja, kuten:
  • Puhelinnumero
  • Viestiasetukset (ilmoitusten lähettämiseksi)
  • Ilmoitustunniste (mille laitteelle ilmoitukset lähetetään)
• Suostumuksiin liittyviä tietoja, kuten:
  • Suostumukset (henkilötietojen käsittely ja käyttöehdot)
• Muita henkilön sovelluksen kautta antamia tietoja kuten:
  • Henkilön sovelluksessa syöttämiä chat-keskustelutietoja
  • Henkilön sovelluksessa syöttämiä oirekyselyiden vastauksia
  • Henkilön sovelluksessa mahdollisesti lataamia kuvia tai liitetiedostoja
  • Henkilön sovelluksessa tekemien tehtävien aikaleimoja
  • Henkilön muita sovelluksen kautta omaehtoisesti antamia tietoja
• Ajanvaraus- ja käyntitietoja

TIETOJEN JULKISUUS JA SALASSAPIDETTÄVYYS:

Tiedot ovat salassa pidettäviä.

SALASSAPIDON PERUSTEET:

Potilassuhdetta koskevat tiedot ovat salassa pidettäviä viranomaisen toiminnasta julkisuudesta annetun lain (621/1999) 24 §:n, potilaan asemasta ja oikeuksista annetun lain (785/1992) 13 §:n ja terveydenhuollon ammattihenkilöistä annetun lain (559/1994) 17 §:n nojalla.

8. Mistä tiedot saadaan?

Henkilötiedot saadaan suoraan henkilöltä itseltään tai puolesta-asioivalta henkilöltä. Suomi.fi-palvelun kautta saadaan henkilöllisyyden ja puolesta-asioinnin valtuutuksen varmistamiseksi tarvittavat tunnistetiedot.

Henkilöltä itseltään saadaan esimerkiksi seuraavat tiedot; puhelinnumero, asiointikieli, viestiasetukset, suostumukset ja muut henkilön sovelluksen kautta antamat terveys- ja hyvinvointi tiedot, jotka liittyvät asiointiin mm. oirekyselyyn annetut vastaukset, chat-keskustelussa annetut tiedot sekä liitetiedostot.

Suomi.fi-palvelun kautta saadaan esimerkiksi seuraavat tiedot; koko nimi, henkilötunnus, kotikunta, sähköinen asiointitunnus ja puolesta-asioitavan koko nimi ja henkilötunnus.

Muita säännönmukaisia tietolähteitä ovat:

• potilaan, huoltajan, edunvalvojan tai omaisen antamat tarpeelliset terveystiedot
• työntekijän havaintoihin ja tutkimukseen perustuvat potilaan hoitoon liittyvät tiedot
• potilaan tai tämän laillisen edustajan suostumuksella tai lain perusteella saadut tiedot sosiaali-, terveys- ja koulutoimen yksiköiltä tai työntekijöiltä, kuten sosiaalityöltä, lastensuojelulta, varhaiskasvatukselta, lastenneuvolalta, kouluterveydenhuollolta, koulun opettajilta ja erityisopettajilta, koulupsykologeilta ja -kuraattoreilta.

Terveydenhuollon palveluissa potilaalla on oikeus kieltää sairaanhoitopiirin (HUS) alueen kunnallisen perusterveydenhuollon ja erikoissairaanhoidon tietojen luovutus sairaanhoitopiirin alueella. Tietojen luovutus valtakunnallisen potilastiedon arkiston kautta toisille terveydenhuollon toimijoille perustuu potilaan tai tämän laillisen edustajan antamaan suostumukseen.

Lohjan oikeus saada potilasta koskevia tietoja voi perustua myös muuhun lainsäädäntöön.

9. Luovutetaanko tai siirretäänkö tietoja kaupungin ulkopuolelle?

Tiedot ovat siltä osin Digihyvinvointi-järjestelmää tuottavien järjestelmätoimittajien ja näiden alihankkijoiden käytettävissä, kun se on välttämätöntä järjestelmään liittyvissä tukitehtävissä tai teknisissä ylläpitotehtävissä. Lohja voi luovuttaa potilasta koskevia tietoja potilaan tai tämän laillisen edustajan nimenomaisella suostumuksella. Lohjalla on velvollisuus lainsäädännön perusteella luovuttaa potilasta koskevia tietoja mm. toisille viranomaisille. Lohjalla varmistetaan ennen tietojen luovuttamista, että tietojen pyytäjällä on oikeus saada lainsäädännön perusteella pyytämänsä tiedot. Potilasta koskevia tietoja luovutetaan Findatalle toisiolain perusteella tieteellistä tutkimusta, tilastointia, kehittämis- ja innovaatiotoimintaa, opetusta, sosiaali- ja terveydenhuollon viranomaisohjausta ja -valvontaa sekä viranomaisen suunnittelu- ja selvitystehtävää varten. Lisäksi Lohja luovuttaa toisiolain perusteella potilasta koskevia tietoja hakijalle tieteellistä tutkimusta, tilastointia, opetusta, sosiaali- ja terveydenhuollon viranomaisohjausta ja -valvontaa sekä viranomaisen suunnittelu- ja selvitystehtävää varten silloin, kun hakemus kohdistuu ainoastaan  Lohjan aineistoon. Lohja voi luovuttaa potilasta koskevia tietoja toisiolain mukaisesti Lohjan sosiaali- ja terveydenhuollon tietojohtamista varten.

10. Siirretäänkö tietoja EU/ETA-alueen ulkopuolelle?

Lohja ei pääsääntöisesti siirrä potilasta koskevia tietoja Euroopan unionin tai Euroopan talousalueen ulkopuolelle. Esimerkiksi Lohjan käyttämien asiakas- ja potilastietojärjestelmien konesalit sijaitsevat EU- tai ETA-maissa. Lohja siirtää potilasta koskevia tietoja EU- tai ETA-maiden ulkopuolelle mm. lain perusteella käytävässä viranomaisten välisessä tietojenvaihdossa. Lohja siirtää potilasta koskevia tietoja EU ja ETA-maiden ulkopuolelle vain, jos vastaanottavan maan on komission päätöksellä katsottu varmistavan riittävän tietosuojan tason tai siirto toteutetaan EU:n yleisessä tietosuoja-asetuksessa (2016/679) mainittuja muita asianmukaisia suojatoimia soveltaen.

11. Kuinka kauan tietoja säilytetään?

Digihyvinvointi-sovelluksessa säilytetään chat-vastaanottopalvelun tapahtumatietoja viiden vuoden ajan niiden syntymisestä, jonka jälkeen tiedot poistetaan järjestelmätoimittajan toimesta. Tapahtumatiedot ovat tietoja, jotka liittyvät kyseiseen asiointitapahtumaan, joita ovat esimerkiksi; henkilötiedot, oirekysely ja siihen annetut vastaukset, chat-keskusteluhistoria, mahdolliset liitetiedostot ja tapahtumien aikaleimat.

Digihyvinvointi-sovellukseen käyttäjäksi rekisteröitymisen yhteydessä syntynyt käyttäjätili poistetaan viiden vuoden kuluttua käyttäjän viimeisestä aktiivisuudesta sovelluksessa. Käyttäjätiliin liittyviä tietoja ovat esimerkiksi seuraavat tiedot; nimi, henkilötunnus, kotikunta, sähköinen asiointitunnus, puhelinnumero, asiointikieli, viestiasetukset ja suostumukset.

Sosiaali- ja terveydenhuollon ammattihenkilön chat-vastaanottokeskustelusta kirjaama yhteenveto tallennetaan Lohjan potilastietojärjestelmään potilastietona. Potilastietojen osalta noudatetaan alla mainittuja potilastietojen säilytysaikoja sekä -perusteita.

Henkilötietojen käsittelijä- ja käyttäjälokitus tehdään potilastietojen käyttöön liittyvien sääntöjen ja määräysten mukaisesti. Lokitiedot säilytetään vähintään laissa määrätyn ajan.

Potilastietojen säilytysajat:

• potilasasiakirjat: pääsääntöisesti 120 vuotta potilaan syntymästä tai 12 vuotta potilaan kuolemasta (ennen 1.5.1999 kertyneet tai ennen 1.5.1999 menehtyneitä potilaita koskevat potilasasiakirjat: pääsääntöisesti 100 vuotta syntymästä tai 20 vuotta kuolemasta)
• 18. ja 28. päivänä syntyneiden potilasasiakirjat: pysyvästi
• valtakunnalliseen potilastiedon arkistoon siirretyt ja tallennetut tietoaineistot: pysyvästi tositteita lukuun ottamatta ja
• asiakasmaksuihin liittyvä aineisto: 10 vuotta.

Perusteet säilytysajoille ovat seuraavat:

• Sosiaali- ja terveysministeriön asetus potilasasiakirjoista (298/2009)
• Arkistolaitoksen päätös 16.2.2009 (AL/14372/07.01.01.03.01/2008): Potilasasiakirjojen pysyvä säilytys 2009
• Valtionarkiston päätös kunnallisten asiakirjojen hävittämisestä osa 2. Terveydenhuollon asiakirjat. 14.4.1989 ISBN 951-861-419-9.
• Arkistolaitoksen päätös 3.9.2001 KA 158/43/01: Pysyvästi säilytettävät kunnallisen tuki- ja ylläpitotehtävien asiakirjat ja
• Kuntaliitto: Kunnallisten asiakirjojen säilytysajat. Määräykset ja suositukset. Taloushallinto 2

12. Miten tietoja suojataan?

Tietotekniset laitteet sijaitsevat suojatuissa ja valvotuissa tiloissa. Lohjan sosiaali- ja terveystoimen käyttämät laitteet ja ohjelmistot on suojattu ja varmistettu kaupungin tietoturvaperiaatteiden mukaisesti. Lohjan järjestelmät vaativat salasanan vaihdettavaksi määräajoin.

Ammattilaisten suorittama tietojen käsittely perustuu potilassuhteeseen tai muuhun asialliseen yhteyteen. Käyttöoikeudet järjestelmään annetaan rajatusti vain niille ammattilaisille, joille se on välttämätöntä hoidon tarjoamiseksi tai vastaavasti niihin liittyvien tukitehtävien tai teknisten ylläpitotehtävien suorittamiseksi. Esimiehet päättävät käyttöoikeuksien myöntämisestä ja poistamisesta. Lohja passivoi käyttöoikeudet työntekijän työsuhteen päättyessä. Työntekijöiden käyttöoikeudet perustuvat henkilökohtaisiin käyttöoikeuksiin, ja Lohja valvoo niiden käyttöä lokitietojen kautta, eli jokaisesta henkilötietojen käsittelyn kerrasta ja käsittelijästä jää lokimerkintä. Jokainen työntekijä hyväksyy tietojen ja tietojärjestelmien käyttö- ja salassapitositoumuksen. Potilasta koskevia tietoja käsittelevillä työntekijöillä on lakisääteinen vaitiolovelvollisuus. Salassapito- ja vaitiolovelvollisuus jatkuu palvelussuhteen päättymisen jälkeenkin. Käsittelyssä noudatetaan arkaluonteisten terveystietojen käsittelyn protokollia ja prosesseja. Tietoja käsittelevät henkilöt on koulutettu ja ohjeistettu käsittelemään henkilötietoja erityisellä huolellisuudella ja mahdollisimman turvallisesti.

Järjestelmän ylläpitoon käytettyjä palveluita, palvelimia ja ohjelmistoja päivitetään säännöllisesti, ja palvelun laajuuteen kuuluvien laitteiden ja ohjelmistojen haavoittuvuuksia ja tietoturvapoikkeamia seurataan aktiivisesti.

13. Rekisteröidyn oikeudet

Tarkempi ohjeistus(ulkoinen linkki) tietosuoja-asetuksen mukaisten tietopyyntöjen osoittamisesta. 

Rekisteröidyllä, eli potilaalla, tai tämän laillisella edustajalla on oikeus saada tieto siitä, käsitteleekö Lohja potilasta koskevia henkilötietoja. Jos Lohja käsittelee potilasta koskevia henkilötietoja, on potilaalla tai tämän laillisella edustajalla oikeus saada jäljennös käsiteltävistä henkilötiedoista. Pääsääntöisesti potilas voi hakea terveydenhuollon palveluja koskevat potilastietonsa OmaKannasta. Vastaanotolla työntekijä voi pyynnöstä tulostaa potilaalle vain kyseisen käyntikerran kirjaukset. EU:n yleisen tietosuoja-asetuksen mukainen tietojen tarkastusoikeus ja käyntikerran kirjausten luovuttaminen ovat eri asioita. Edunvalvoja voi tarkistaa päämiehensä tiedot, jos tarkastusoikeuden käyttö sisältyy edunvalvonnasta annettuun päätökseen. Edunvalvojan tulee toimittaa rekisteritietojen tarkastuspyynnön yhteydessä kopio edunvalvontapäätöksestä.

Myös edunvalvontavaltuutetulla on oikeus tarkistaa edunvalvottavan tiedot, jos tarkastusoikeuden käyttö sisältyy edunvalvontavaltuutukseen. Digi- ja väestötietoviraston tai maistraatin on tullut vahvistaa edunvalvontavaltuutus. Edunvalvontavaltuutetun tulee toimittaa rekisteritietojen tarkastuspyynnön yhteydessä kopio edunvalvontavaltuutuksesta sekä Digi- ja väestötietoviraston tai maistraatin edunvalvontavaltuutuksen vahvistamispäätöksestä.

Ulkopuolisella (eli muilla kuin potilaalla tai tämän laillisella edustajalla) ei ole tarkastusoikeutta, vaikka häntä koskevia henkilötietoja voi olla tallennettuna potilasta koskeviin henkilötietoihin. Potilas tai tämän laillinen edustaja voi tehdä tarkastuspyynnön henkilökohtaisesti käynnin yhteydessä tai postin kautta lähetettävällä asiakirjalla tai käymällä kirjaamossa tai asiointipisteessä. Lohja on laatinut pyyntöä varten lomakkeen, jota potilas tai tämän laillinen edustaja voi käyttää tietoja pyytäessään. Lomakkeen saa sosiaali- ja terveystoimen toimintayksiköistä, ja se löytyy Lohjan internet-sivuilta https://www.lohja.fi/sosiaali-ja-terveyspalvelut/terveyspalvelut-2/hallinto-ja-palaute/(ulkoinen linkki). Mikäli potilas tai tämän laillinen edustaja haluaa tehdä rekisteritietojen tarkastuspyynnön vapaamuotoisella asiakirjalla, tulee potilaan tai tämän laillisen edustajan kirjata pyyntöön, mitkä henkilötiedot halutaan tarkastaa, halutaanko tarkastaa kaikki henkilötiedot vai tiedot tietyltä ajanjaksolta, pyytäjän nimi ja henkilötunnus sekä pyytäjän yhteystiedot. Mikäli pyytäjä pyytää muita kuin omia henkilötietojaan tarkastettavaksi, tulee pyyntöön kirjata sen henkilön nimi ja henkilötunnus, jonka tietoja pyydetään. Mikäli potilas tai tämän laillinen edustaja lähettää pyynnön postitse, pyyntö osoitetaan: Lohjan kaupunki/Kirjaamo, Karstuntie 4 PL 71, 08100 Lohja. Lohja tarkastaa pyytäjän henkilöllisyyden kuvallisesta henkilöllisyystodistuksesta, jos potilas tai tämän laillinen edustaja toimittaa rekisteritietojen tarkastuspyynnön henkilökohtaisesti toimintayksikköön, kirjaamoon tai asiointipisteeseen.

Lohja toimittaa tiedot ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Lohja voi tarvittaessa jatkaa määräaikaa enintään kahdella kuukaudella. Lohja ottaa huomioon määräajan jatkamisessa pyyntöjen monimutkaisuuden ja määrän. Lohja ilmoittaa tietojen pyytäjälle määräajan pidentämisestä ja määräajan pidentämisen syyt kuukauden kuluessa pyynnön vastaanottamisesta. Lohja ilmoittaa kieltäytymisestä viimeistään kuukauden kuluessa pyynnön saapumisesta. Lohja luovuttaa pääsääntöisesti pyydetyt tiedot potilaan tämän laillisen edustajan väestötietojärjestelmän mukaiseen osoitteeseen.

EU:n yleisessä tietosuoja-asetuksessa, tietosuojalaissa ja kansallisessa erityislainsäädännössä on säädetty niistä tilanteista, jolloin rekisterinpitäjä voi jättää luovuttamatta potilaan tai tämän laillisen edustajan pyytämät tiedot. Jos Lohja ei luovuta potilaalle tai tämän lailliselle edustajalle pyydettyjä tietoja, Lohja ilmoittaa viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta tietojen pyytäjälle syyt tietojen luovuttamatta jättämiselle ja kertoo potilaan tai tämän laillisen edustajan mahdollisuudesta tehdä valitus tietosuojavaltuutetulle ja käyttää muita oikeussuojakeinoja.

Omien tietojen pyytäminen on lähtökohtaisesti maksutonta. Jos potilaan tai tämän laillisen edustajan pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti jos niitä esitetään toistuvasti, Lohja voi joko periä kohtuullisen maksun ottaen huomioon tietojen tai viestien toimittamisesta tai pyydetyn toimenpiteen toteuttamisesta aiheutuvat hallinnolliset kustannukset; tai kieltäytyä luovuttamasta pyydettyjä tietoja.

Rekisteröidyllä, eli potilaalla, tai tämän laillisella edustajalla on oikeus vaatia, että Lohja oikaisee ilman aiheetonta viivytystä potilasta koskevat epätarkat ja virheelliset henkilötiedot. Potilaalla tai tämän laillisella edustajalla on oikeus saada täydennetyiksi puutteelliset tiedot. Lohja tekee muutokset siten, että rekistereihin jää näkyviin tiedot tehdystä korjauksesta, tekijästä ja korjauspäivämäärästä ja niin, että alkuperäinen merkintä on mahdollista nähdä jälkikäteen. Lohjalla on velvollisuus ilmoittaa tietojen oikaisusta niille vastaanottajille, joille Lohja on luovuttanut potilasta koskevia tietoja. Lohjalla ei ole ilmoittamisvelvollisuutta, jos ilmoittaminen on mahdotonta taikka vaatii kohtuutonta vaivaa.

Lohja toteuttaa pyynnön ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Lohja voi tarvittaessa jatkaa määräaikaa enintään kahdella kuukaudella. Lohja ottaa huomioon määräajan jatkamisessa pyyntöjen monimutkaisuuden ja määrän. Lohja ilmoittaa tietojen pyytäjälle määräajan pidentämisestä ja määräajan pidentämisen syyt kuukauden kuluessa pyynnön vastaanottamisesta. Lohja ilmoittaa kieltäytymisestä viimeistään kuukauden kuluessa pyynnön saapumisesta.

Jollei Lohja hyväksy potilaan tai tämän laillisen edustajan vaatimusta tiedon oikaisemista, Lohja ilmoittaa asiasta kirjallisesti potilaalle tai tämän lailliselle edustajalle. Lohja kertoo samalla ne syyt, joiden vuoksi vaatimusta ei ole hyväksytty ja ohjeistaa potilaan tai tämän laillisen edustajan mahdollisuudesta tehdä valitus tietosuojavaltuutetulle ja käyttää muita oikeussuojakeinoja. Lohja voi korjata potilastietoja myös täydentämällä niitä potilaan tai tämän laillisen edustajan näkemyksellä asiasta.

Potilaalla tai tämän laillisella edustajalla on oikeus saada poistettua potilasta koskevat henkilötiedot ilman aiheetonta viivytystä, jos EU:n yleisen tietosuoja-asetuksen 17 artiklassa säädetyt edellytykset täyttyvät. Potilaalla tai tämän laillisella edustajalla ei ole pääsääntöisesti oikeutta saada potilasta koskevia henkilötietoja poistettua terveydenhuollossa, koska Lohjalla on lakisääteinen velvollisuus käsitellä tietoja (mm. kirjaamisvelvollisuus ja arkistointivelvollisuus). Potilaan tai tämän laillisen edustajan oikeus saada poistettua potilasta koskevia henkilötietoja on lähinnä silloin, kun tiedot ovat jo alun perin olleet tarpeettomia niiden käyttötarkoituksen kannalta. Lohjalla on velvollisuus ilmoittaa tietojen poistosta niille vastaanottajille, joille Lohja on luovuttanut potilasta koskevia tietoja. Lohjalla ei ole ilmoittamisvelvollisuutta, jos ilmoittaminen on mahdotonta taikka vaatii kohtuutonta vaivaa. Potilas tai tämän laillinen edustaja voi lähettää vaatimukset tietojen poistamisesta osoitteeseen Lohjan kaupunki/Kirjaamo, Karstuntie 4 PL 71, 08100 Lohja .

Potilaalla tai tämän laillisella edustajalla on oikeus vaatia Lohjaa rajoittamaan potilasta koskevien henkilötietojen käsittelyä, jos potilas tai tämän laillinen edustaja kiistää potilasta koskevien henkilötietojen paikkansapitävyyden. Tällöin Lohjan on pääsääntöisesti rajoitettava potilasta koskevien henkilötietojen käsittelyä siihen saakka, kunnes Lohja on varmistanut henkilötietojen paikkansapitävyyden. Rajoittamisvelvollisuuteen on säädetty tietosuoja-asetuksessa tiettyjä poikkeuksia, joiden perusteella Lohja voi käsitellä potilaan rajoituksen alaisia henkilötietoja tietyissä tilanteissa. Lohjan on ilmoitettava potilaalle tai tämän lailliselle edustajalle rajoituksen poistamisesta ennen rajoituksen poistamista. Potilas tai tämän laillinen edustaja voi lähettää vaatimukset tietojen käsittelyn rajoittamisesta osoitteeseen Lohjan kaupunki/Kirjaamo, Karstuntie 4 PL 71, 08100 Lohja

Potilaalla tai tämän laillisella edustajalla on oikeus tehdä Suomessa valitus tietosuojavaltuutetulle, jos potilas tai tämän laillinen edustaja katsoo, että Lohja ei noudata tietosuojalainsäädäntöä käsitellessään potilasta koskevia henkilötietoja. Tarkempi ohjeistus valituksen tekemiseen löytyy tietosuojavaltuutetun toimiston internet-sivuilta https://tietosuoja.fi/etusivu(ulkoinen linkki). Valitusoikeus tietosuojavaltuutetulle ei rajoita muita potilaan tai tämän laillisen edustajan käytössä olevia hallinnollisia muutoksenhakukeinoja tai oikeussuojakeinoja.