Dataskydd och datasäkerhet

Pihlajalinna-koncernens dataskydds- och datasäkerhetspolicy

Uppdaterad 21.4.2020

INLEDNING

I Pihlajalinna-koncernen (”Pihlajalinna”) respekterar vi våra kunders, patienters, partners och anställdas integritet. I denna dataskydds- och datasäkerhetspolicy framgår hur bolagen som hör till Pihlajalinna-koncernen samlar, använder och hanterar olika personuppgifter och försäkrar personlig integritet. Dataskydds- och datasäkerhetspolicyn definierar de principer, ansvarsområden, skyldigheter, tillvägagångssätt samt uppföljningen och tillsynen som följs i koncernen för att förverkliga och utveckla dataskyddet och -säkerheten. Denna policy kompletteras av detaljerade bestämmelser och anvisningar.

Pihlajalinnas register innehåller uppgifter som berör patienter, kunder, anställda, intressenter, leverantörer och verksamheten som ska skyddas på basen av lagstiftningen. Hantering av personuppgifter regleras av EU:s dataskyddsförordning samt relaterad lokal lagstiftning. Patientuppgifter kopplade till hälsovårdstjänster och kunduppgifter kopplade till socialtjänster omfattas av speciallagstiftning.

Dataskydds- och datasäkerhetspolicyn som har bearbetats av Pihlajalinnas styrgrupp och fastställts av verkställande direktören omfattar alla databehandlingsuppgifter kopplad till all verksamhet inom koncernen. Alla Pihlajalinnas anställda och alla som använder datasystemen ska känna till denna policy och följa anvisningar och bestämmelser som angivits på basen av den.

Pihlajalinnas utomstående aktörer, leverantörer och andra utomstående aktörer ska också förbinda sig till att följa lagstiftningen, denna dataskydds- och datasäkerhetspolicy samt anvisningar angående dataskyddet och -säkerheten som villkor för att få tillgång till Pihlajalinnas datasystem och den datamängd de innehåller i enlighet med sina uppgifter. Då Pihlajalinna fungerar som registeransvarig förutsätter detta att leverantörerna undertecknar ett separat avtal (eller en bilaga) för hantering av personuppgifter. Enskilda personer som hanterar uppgifter ska underteckna dataskyddsavtalet. Då Pihlajalinna-koncernen eller koncernbolaget fungerar som registerförare ingår man ett separat avtal om hantering av personuppgifter.

Dataskydd avser integritetsskydd vid hantering av personuppgifter.
Dataskydd och datasäkerhet i enlighet med en godkänd dataskydds- och datasäkerhetspolicy ska ingå som en naturlig del i all verksamhet. Utveckling och underhåll av dataskyddet och datasäkerheten är en del av Pihlajalinna-koncernens och koncernbolagets allmänna säkerhetsfunktion, riskhantering och interna kontroll.

DATASKYDDS- OCH DATASÄKERHETSARBETE

Syftet med dataskydds- och datasäkerhetsarbetet är att säkra lagenlig hantering av personuppgifter, säkerställa att koncernens eller koncernbolagets datasystem och datanät fungerar utan avbrott, förhindra säkerhetsöverträdelser samt utomståendes obehöriga tillträde till datasystemen och/eller obehörig användning av dem, förhindra oavsiktlig eller avsiktlig förstörelse eller förvrängning av uppgifter samt minimera skadorna som uppstår. Därtill förbereder man sig för hotsituationer som avbryter verksamheten och deras lösningar.

Som serviceproducent av social- och hälsovårdstjänster fungerar Pihlajalinna i enlighet med praxis med höjd datasäkerhetsnivå.

ORGANISATION OCH ANSVAR

Dataskyddet och -säkerheten styrs och övervakas av Pihlajalinnas verkställande direktör. Verkställande direktören besluter om målen, organisationen, resurserna och befogenheterna för utvecklingen av den övergripande säkerhetens olika delområden. Pihlajalinnas medicinska direktör fungerar som dataskyddschef och utser dataskyddsombuden. Dataskyddschefen rapporterar till verkställande direktören. Chefen för ICT utser datasäkerhetschefen. Datasäkerhetschefen rapporterar till verkställande direktören och utser datasäkerhetsombudet.

Dataskyddschefen ansvarar för uppgifter i enlighet med EU:s dataskyddsförordning samt lokal lagstiftning. Datasäkerhetschefen ansvarar för datasäkerhetsarbetet i sin helhet inom ramen för de resurser och befogenheter som han eller hon fått av koncernens ledning. Datasäkerhetschefen ansvarar också för kommunikation av datasäkerhetsärenden.

Visionerna för Pihlajalinnas centrala funktioner representeras av dataskydds- och datasäkerhetsgruppen, som utses av dataskydds- och datasäkerhetscheferna. Dataskydds- och datasäkerhetsgruppen bearbetar riktlinjerna och anvisningarna innan de framförs till ledningen för godkännande. Dataskydds- och datasäkerhetsgruppen består åtminstone av dataskyddschefen, datasäkerhetschefen, dataskyddsombudet ( -ombuden), datasäkerhetsombudet, de huvudsakliga användarna av koncernens egna patientdatasystem samt representanter för personal- och fastighetsförvaltningen.

Gruppmedlemmarnas uppgifter är:
• Gruppmedlemmarna ansvarar för förberedelserna för ärenden inom sitt eget ansvarsområde
• Dataskyddsombudets uppgifter är fastställda i EU:s dataskyddsförordning
• Datasäkerhetsombudet ansvarar för fastställande, bedömning och rapportering av datasäkerheten. Datasäkerhetsombudet ansvarar för utarbetandet av utvecklingsplaner för datasäkerheten, övervakning av genomförandet, främjande av kunskap om datasäkerhet och ett datasäkert arbetssätt i koncernen och i tjänster den köper samt rapportering till ledningen.
• Datasäkerhetsombudet ansvarar för dator- och programvarusäkerheten
• Representanten för fastighetsförvaltningen ansvarar för den utrymmes- och utrustningstekniska säkerheten
• Representanten för personalförvaltningen ansvarar för personalsäkerheten för datasäkerhetens del
• Dataskyddschefen fungerar som ordförande för dataskydds- och datasäkerhetsgruppen. Om han eller hon har förhinder fungerar datasäkerhetschefen som ordförande

Varje Pihlajalinnas register som innehåller personuppgifter har en registeransvarig person, vars ansvar beskrivs i EU:s dataskyddsförordning och den lokala lagstiftningen.

Alla Pihlajalinnas datasystem har en ägande enhet och ansvarsperson. Till skyldigheterna som datasystemens ansvarsperson har hör att definiera kraven (t.ex. allvarlighet, kontinuitetsplanering och säkerhetskopieringssätt) som fastställs för datasystemens funktion och säkerhet samt beviljande och översyn av användarrättigheter.

För genomgång, kommunikation och övervakning av dataskyddsärenden i den egna enheten ansvarar enhetens chef/chefer och för patientuppgifternas dataskydd ansvara enhetens ansvariga läkare.

Pihlajalinnas alla anställda, personer som hanterar personuppgifter eller andra uppgifter, upprätthåller eller använder datasystemen eller datanät är för sin egen del ansvarig för förverkligandet av dataskyddet och -säkerheten samt för att se till att anvisningarna följs. Alla personer är skyldig att rapportera hot och avvikelser kopplade till dataskyddet och -säkerheten till dataskydds- eller datasäkerhetsombudet.

GENOMFÖRANDE

Grunden för genomförandet av dataskyddet och -säkerheten är denna Pihlajalinnas skriftliga dataskydds och -säkerhetspolicy, som ges till kännedom till koncernens alla anställda och datasystemens användare.

Pihlajalinnas dataskydds- och säkerhetsprinciper är baserade på EU:s dataskyddsförordning och nationell lagstiftning. Genomförandet och upprätthållandet av dataskyddet och -säkerheten beskrivs detaljerat i separata anvisningar. Att uppnå dataskyddets och -säkerhetens mål är en pågående process.
Användarnas verksamhet styrs med fastställda och tillgängliga anvisningar samt dataskydds- och datasäkerhetsutbildning.

UPPFÖLJNING OCH ÖVERVAKNING

Cheferna, den ansvariga läkaren och ansvarspersonen vid Pihlajalinnas koncernbolag har som uppgift att övervaka att dataskyddet och datasäkerheten genomförs i den egna enheten.

Datasäkerhetsombudets uppgift är att följa och övervaka genomförandet av Pihlajalinnas datasäkerhet och vid behov vidta åtgärder för att förbättra datasäkerheten.

DATAINSAMLING, KÄLLOR OCH DATAGRUPPER

Datans insamlingsmetoder, källor och datagrupperna som består av registrerade beskrivs separat i varje enskilt registers dataskyddsbeskrivning.

UTLÄMNANDE AV UPPGIFTER TILL KUNDER OCH ÖPPENHET GENTEMOT REGISTRERADE

Utlämnande av uppgifter till kunder och öppenhet gentemot registrerade beskrivs för varje enskilt register i dataskyddsbeskrivningen.

SAMARBETE MED OLIKA INTRESSEGRUPPER OCH MYNDIGHETER

Pihlajalinna samarbetar med olika intressegrupper och myndigheter i enlighet med EU:s dataskyddsförordning, den lokala lagstiftningen och speciallagstiftning.

INTERNATIONALISM

Pihlajalinna överför i huvudsak inte personuppgifter utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet. I samband med eventuella överföringar iakttas giltiga lagar och förordningar.

MYNDIGHET SOM ÖVERVAKAR DATASKYDDET

Dataombudsmannen är en myndighet som styr, råder och övervakar hantering av personuppgifter i enlighet med personuppgiftslagen. Dataombudsmannen använder beslutanderätt i frågor som gäller genomförandet av tillgång till registrerade uppgifter och korrigering av uppgifter samt ger lösningar om registerföring och genomförandet av registrerades rättigheter.

UPPDATERING AV DATASKYDDS- OCH DATASÄKERHETSPRINCIPER

Dataskydds- och datasäkerhetsprinciperna överensstämmer med vår aktuella praxis. Vi uppdaterar vår praxis regelbundet och minst en gång per år.