Siirry sisältöön

Tietosuoja­seloste

Tämä asiakirja sisältää EU:n yleisen tietosuoja-asetuksen (2016/679) mukaisesti rekisteröidylle toimitettavat tiedot.

1. Rekisterinpitäjän yhteystiedot

Rekisterinpitäjä on: iipelä Oy
Y-tunnus 3590738-2
Pasuunatie 11 a 3, p. 040 611 6890

Tietosuojavastaavan yhteystiedot:
Sirpa Impinen (ikääntyneiden palvelut)
Pasuunatie 11 a 3, 00420
info@iipela.fi

Kati Vartiainen (Toimintaterapia)
Soittajankuja 3, 00430 Helsinki
kati.vartiainen@htt.fi

2. Rekisterin nimi

iipelä Oy asiakas- ja laskutusrekisteri
Helsingin toimintaterapia Oy asiakas- ja laskutusrekisteri

3. Henkilötietojen käsittelyn tarkoitus

Henkilötietoja käsitellään asiakkaan hoidon järjestämiseksi, suunnittelemiseksi, toteuttamiseksi ja niihin liittyvien tehtävien hoitamiseksi. Henkilötietoja käsitellään hoitoon liittyvässä laskuttamisessa.

4. Henkilötietojen käsittelyn oikeusperuste

Tietojen käsittelyn perusteena on EU:n yleisen tietosuoja-asetuksen 6 artiklan 1 c-kohta (käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi) ja 9 artiklan 2 h-kohta (terveydenhuollon suorittamiseksi).

Keskeiset lait:

  • EU:n yleinen tietosuoja-asetus (2016/679)
  • Terveydenhuoltolaki (1326/2010)
  • Laki potilaan asemasta ja oikeuksista (785/1992)
  • Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007)
  • STM:n asetus potilasasiakirjoista (298/2009)
  • Laki terveydenhuollon ammattihenkilöistä (559/1994)

5. Rekisterin tietosisältö

  • Asiakkaan yksilöidyt tiedot: Nimi, henkilötunnus, osoitetiedot ja yhteyshenkilön/huoltajan tiedot
  • Hoitoon liittyvät tiedot: suunnitteluun ja toteutukseen tarvittavat kuntoutusjakson toteumatiedot ja kuntoutus-, arviointi- ja tavoitepalautteet
  • Suostumustiedot: potilastiedon käsittelystä ja luovuttamisesta
  • Laskutukseen liittyvä

6. Säännönmukaiset tietolähteet

Rekisteriin liitettävät tiedot ovat peräisin asiakkaalta tai hänen omaiseltaan saatuja tietoja tai asiakkaan muusta ympäristöstä hänen tai omaisen kirjallisella suostumuksen pohjalta (terapiasopimus). Hoitojaksolta syntyneitä tietoja.

7. Säännönmukaiset tietojen luovuttamiset

Rekisteritietoja luovuttaessa noudatetaan henkilötietolakia potilaan asemasta ja oikeuksista (785/1992). Huomioiden lakiin tehdyt lisäykset (653/2000). Muille tahoille tietoja luovutetaan vain asiakkaan tai hänen omaisensa suostumuksella tai viranomaiselle tämän esittäessä lainkohdan, johon luovutus perustuu.

8. Tietojen siirto EU tai ETA alueiden ulkopuolelle

Tietoja ei siirretä EU tai ETA alueiden ulkopuolelle

9. Käsittelyssä käytettävät järjestelmät

Rekisterinpitäjällä on sopimus Finnish Net Solutions Oy:n (1733917-4) kanssa, joka tuottaa Diarium-potilastietojärjestelmäohjelmiston. Potilastietoja käsitellään sähköisessä muodossa. Diarium ohjelmisto tuote täyttää A-luokan tietojärjestelmä vaatimukset.

Vaatimuksenmukaisuustodistuksen sertifikaattinumero on FI160613-21. Ajanvaraustiedot, kirjaukset, palautteet ja laskutus, tehdään kaikki Diarium-ohjelmalla. Diariumiin tallennetaan myös skannattuina muilta tahoilta saatuja asiapapereita, jotka liittyvät olennaisesti hoitojaksoon. Toiminnassa syntyy myös manuaalista aineistoa, joka terapiajakson päätteeksi tallennetaan sähköiseen muotoon osaksi potilaskertomusta. Kanta potilastiedon arkistoon kirjataan hoitojaksolta rakenteisella kirjauksella käyntikerroilta tiedot. Asiakas voi ne sieltä lukea.

10. Rekisterin suojauksen periaatteet

A Manuaalinen aineisto
Hoitosuhteesta syntyneiden asiakirjoja säilytetään hoitojakson aikana Helsingin toimintaterapia Oy:n erillisessä lukitussa tilassa ja siellä lukollisessa kaapissa, johon on pääsy vain Helsingin toimintaterapia Oy:ssa toimivilla terapeuteilla. Hoitojakson päätteeksi asiakirjat skannataan sähköisesti potilastietojärjestelmään.

B Sähköinen aineisto
Sähköisessä muodossa tietoja käsitellään vain henkilökohtaisilla salasanoilla ja käyttäjätunnuksilla suojatuilla laitteilla. Käyttäjällä on järjestelmän sisään kirjautuessaan käytössä kaksivaiheinen tunnistautuminen, väliaikainen salasana. Kaikesta järjestelmässä tapahtuvista toiminnoista jää lokitietoja. Potilastietoja säilytetään sähköisinä Diarium- järjestelmässä ja tallennettuihin tietoihin pääsee vain kuntouttava terapeutti tai yrityksen niiden käsittelyyn oikeutettu henkilö. Hoitojakson pääteeksi kirjallinen hoitopalaute lähetään asiakkaan suostumuksella niiden organisaatiotahojen omiin sähköisiin järjestelmiin, joilla sellainen on. Näistä organisaatiotahoista on informoitu asiakkaalle tai hänen omaiselleen.

11. Rekisteröidyn oikeudet

Tietojen tarkastusoikeus (15 artikla)
Rekisteröidyllä on oikeus tarkastaa itseään koskevat henkilötiedot.
Oikeus tiedon oikaisemiseen (16 artikla) tai poistamiseen (17 artikla)
Rekisteröidyllä on oikeus pyytää tietojensa oikaisemista tai poistamista.
Oikeus tehdä valitus valvontaviranomaiselle (77 artikla)
Rekisteröidyllä on oikeus tehdä valitus Tietosuojavaltuutetun toimistoon, mikäli rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä on rikottu voimassa olevaa tietosuojalainsäädäntöä.

12. Henkilötietojen käsittelyn tarkoitus ja käsittelyn peruste

Henkilötietoja käsittelyn peruste ja tarkoitus on sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetun lain (ns. asiakastietolaki, laki 703/2023) edellyttämän potilas- ja asiakasrekisterin ylläpitäminen: EU:n yleisen tietosuoja-asetuksen 6 artiklan 1 c) alakohta (käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi). Muiden henkilötietojen osalta käsittelyperuste on asetuksen 6 artiklan 1 b alakohta (käsittely on tarpeen sopimuksen täytäntöönpanemiseksi).

Potilasrekisteriin kuuluvat mm. potilaan nimi, henkilötunnus, kotiosoite, muut yhteystiedot sekä kaikki hoidon järjestämisessä ja toteuttamisessa käytettäviä, laadittuja tai saapuneita asiakirjoja taikka teknisiä tallenteita, jotka sisältävät asiakkaan terveydentilaa koskevia tai muita henkilökohtaisia tietoja. Näin kerättyjä tietoja käytetään terveydenhuollon palveluiden tuottamiseen ja siihen kiinteästi liittyviin toimintoihin. Asiakkaan yhteystietoja voidaan käyttää lain sallimalla tavalla myös palveluiden markkinointiin. Sähköinen suoramarkkinointi kuluttaja-asiakkaalle edellyttää erillistä suostumusta.

Rekisterinpitäjä voi käyttää potilastietojen käsittelyssä alihankkijoita, kuten sähköisiä potilastietojärjestelmiä tuottavia yrityksiä tai muita terveydenhuollon palveluntuottajia. Tällöin sopimuskumppanin kanssa laaditaan EU:n tietosuoja-asetuksen 28 artiklan ja yllä mainitun asiakastietolain edellyttämä sopimus henkilötietojen käsittelystä.

Potilastiedot ovat lakisääteisen salassapitovelvollisuuden piirissä (asiakastietolaki 4 § ja 5 § sekä rikoslain 38 luvun 1 ja 2 §). Potilastietoja ei luovuteta sivullisille ilman lakiin perustuvaa syytä tai asiakkaan nimenomaista ja erikseen saatua suostumusta. Sivullisella tarkoitetaan muita kuin asianomaisessa toimintayksikössä tai sen toimeksiannosta potilaan hoitoon tai siihen liittyviin tehtäviin osallistuvia henkilöitä.

Säännönmukaisesti asiakkaiden henkilötietoja luovutetaan edellä mainittujen perusteiden täyttyessä seuraaville tahoille: Kansaneläkelaitos KELA, hyvinvointialueet palveluiden järjestäjänä, asiakas ja/tai hänen omaisensa. Rekisteriin liitettävät tiedot ovat peräisin asiakkaalta tai hänen omaiseltaan tai asiakkaan muusta ympäristöstä saatuja tietoja (terapiasopimus, hoitojakso).

13. Henkilötietojen säilytysaika

Potilastietoja säilytetään niin pitkään kuin yllä mainittu asiakastietolaki sekä sen säilytysliite edellyttävät. Pääsääntöisesti potilastietoja säilytetään asetuksen mukaisesti 12 vuotta potilaan kuolemasta tai, mikäli kuolemasta ei ole tietoa, 120 vuotta potilaan syntymästä.

14. Rekisteröidyn oikeudet

Rekisteröitynä sinulla on tietosuoja-asetuksen mukainen oikeus pyytää sinusta kerättyjä tietoja nähtäville sekä oikeus pyytää kyseisten tietojen oikaisemista, poistamista tai pyytää käsittelyn rajoittamista sekä vastustaa tietojen käsittelyä. Mikäli kyseessä on sähköisesti tuotettu tieto, jonka käsittely perustuu sopimukseen, on sinulle myös oikeus saada sinusta kerätyt automaattisesti käsitellyt tiedot siirretyiksi sähköisesti järjestelmästä toiseen.

Siltä osin kuin tietojen säilytys perustuu lakiin, ei rekisteröidyllä ole ehdotonta oikeutta vaatia potilastietoja poistettavaksi tai oikeutta vastustaa tai rajoittaa tietojen lakisääteistä käsittelyä tietosuoja-asetuksen sallimalla tavalla. Hoidon yhteydessä annettavat pakolliset tiedot on lueteltu yllä viitatun asiakastietolain 27 §:ssä.

15. Oikeus peruuttaa suostumus

Potilastietojen käsittely ei perustu rekisteröidyn suostumukseen, vaan on rekisterinpitäjän lakisääteinen velvollisuus. Milloin (muiden kuin lakisääteisten potilas-) tietojen käsittely perustuu suostumukseen, on sinulla rekisteröitynä oikeus peruuttaa tällainen suostumus milloin tahansa. Suostumuksen peruuttaminen ei vielä kuitenkaan lopeta henkilötietojen käsittelyä, mikäli käsittelylle on muu tietosuoja-asetuksen 6 artiklassa mainittu tai lainsäädännöllä säädetty peruste.

16. Oikeus tehdä valitus valvontaviranomaiselle

Rekisteröitynä sinulla on oikeus tehdä tietojesi käsittelystä valitus valvontaviranomaiselle. Toimivaltainen valvontaviranomainen Suomessa on tietosuojavaltuutetun toimisto www.tietosuoja.fi

17. Henkilötietojen antaminen on palvelun suorittamisen lakisääteinen edellytys

Henkilötietojen (nimi, yhteystiedot, kotipaikka, henkilötunnus jne.) antaminen on terveydenhuollon palveluiden antamisen edellytys ja perustuu potilaan asemasta ja oikeuksista annettuun lakiin ja asetukseen. Potilastietojen tallentamisesta lakisääteiseen kansalliseen Kanta-arkistoon informoidaan yllä mainitun asiakastietolain edellyttämällä tavalla Kelan Kanta-palveluiden omilla materiaaleilla tai suullisesti. Annettu Kanta-informointi kirjataan aina suoraan Kanta-palveluihin erilleen palveluntuottajan potilasrekisteristä.

18. Automaattinen päätöksenteko tai profilointi

Rekisterinpitäjän hallinnoimien henkilötietojen käsittelyyn ei liity automaattista päätöksentekoa tai profilointia.

19. Tietojen käyttötarkoituksen muutoksesta on ilmoitettava asiakkaalle

Jos rekisterinpitäjä aikoo käsitellä henkilötietoja edelleen muuhun tarkoitukseen kuin siihen, johon henkilötiedot alun perin kerättiin, on rekisterinpitäjän tietosuoja-asetuksen mukaisesti ilmoitettava rekisteröidylle ennen kyseistä jatkokäsittelyä tästä muusta tarkoituksesta ja annettava kaikki asiaankuuluvat lisätiedot tietosuoja-asetuksen mukaisesti.

Tämän lisäksi on huomioitava, että lakisääteisten potilastietojen käyttötarkoituksen on muutoksen jälkeenkin oltava potilassalaisuutta koskevan lainsäädännön sallimat.