Tietosuoja
Laadittu: 2023-11-01, päivitetty: 2023-12-28
Potilas- ja asiakasrekisterinpito ja rekisterinpidon keskeiset periaatteet
Rekisterin nimi
Suomen Nettilääkäri Oy:n potilas- ja asiakasrekisteri.
Rekisterinpitäjä
Suomen Nettilääkäri Oy
Lapinlahdenkatu 16, 00180 Helsinki
Henkilötietojen käsittelijät
- Atostek Oy, Hermiankatu 3 A, 33720 Tampere
ERA, Kanta -potilastiedon arkisto ja reseptikeskus -liityntä. - Carecode Oy, Lapinlahdenkatu 16, 00180 Helsinki
Lääkäri.chat, etävastaanottoalusta. - Stripe Payments Europe Limited, Irlanti
Stripe-maksupalvelu maksujen välittämiseksi.
Tietosuojaan liittyvät yhteydenotot
tietosuoja@nettilaakari.fi tai postitse.
Henkilötietojen käsittelyn tarkoitukset ja käsittelyn lainmukainen peruste (GDPR 6 ja 9 artiklat)
- Terveydenhuollon palveluiden tarjoaminen perustuen lakiin.
- Ammattihenkilöiden toiminnan ja työnlaadun varmistaminen perustuen lakiin.
- Oman toiminnan ja palveluiden suunnittelu, kehittäminen, hallinta, seuranta ja raportointi, laadun varmistaminen sekä tietojohtaminen perustuen lakiin tai Rekisterinpitäjän oikeutettuun etuun.
- Tilastointi perustuen suostumukseen, lakiin, yleiseen etuun tai Rekisterinpitäjän oikeutettuun etuun.
- Asiakasyhteydenottojen, palautteiden, virallisten selvityspyyntöjen ja vaaratapahtumien käsittely perustuen lakiin tai Rekisterinpitäjän oikeutettuun etuun.
- Kirjautuneelle asiakkaalle tarkoitettujen digitaalisten palveluiden tarjoaminen perustuen lakiin, asiakkaan ja Rekisterinpitäjän väliseen sopimukseen tai asiakkaan antamaan suostumukseen.
- Laskutus, maksaminen ja perintä perustuen lakiin tai asiakkaan ja Rekisterinpitäjän väliseen sopimukseen.
- Tietoteknisessä palvelussa (esim. verkkopalvelu, sovellus) tai laitteessa ilmenneen virhetilanteen selvittäminen ja korjaaminen perustuen Rekisterinpitäjän oikeutettuun etuun.
- Rekisterinpitäjän ja asiakkaan oikeusturvan varmistaminen sekä lakiin perustuvien ja viranomaismääräysten/ -ohjeiden mukaisten velvoitteiden hoitaminen, väärinkäytösten todentaminen ja käytön valvonta perustuen lakiin tai oikeutettuun etuun.
Rekisterin tietosisältö (rekisteriin sisältyvät henkilötiedot sekä potilas- ja asiakastiedot)
- Perustiedot (nimi, henkilötunnus, yhteystiedot, ammatti sekä muut tunnistetiedot, potilaan nimeämä lähiomainen yhteystietoineen, alaikäisen potilaan huoltajat yhteystietoineen).
- Terveystiedot.
- Laskutus- ja maksutiedot.
- Kirjautuneen asiakkaan digitaalisten palveluiden (etävastaanoton) tiedot.
- Asiakasyhteydenottojen, palautteiden, virallisten selvityspyyntöjen ja vaaratapahtumien tiedot.
- Suostumukset ja kiellot.
Mistä henkilötiedot saadaan?
Käsiteltävät henkilötiedot kerätään pääsääntöisesti asiakkaalta itseltään, potilaan huoltajalta tai muulta lailliselta edustajalta. Henkilötietoja kerätään myös tutkimuksen ja hoidon yhteydessä hoitohenkilökunnalta. Henkilötietoja saadaan myös toisilta terveydenhuollon toimintayksiköiltä tai terveydenhuollon ammattihenkilöiltä potilaan suostumuksella tai lakiin perustuen.
Henkilötiedon säilytysaika ja säilytysajan määrittämisen kriteerit
Henkilötietojen säilytysaika määräytyy henkilötiedon käsittelyn tarkoituksen ja/tai henkilötiedon perusteella. Henkilötietojen säilytysaikaan vaikuttaa myös lainsäädännössä asetetut velvoitteet henkilötietojen säilyttämiseen sekä muut säilytysaikaa määrittävät määräajat (esim. kanneaika tai syyteoikeuden vanhentumisaika) erilaisten toimenpiteiden toteuttamiselle.
- Potilastietoja eli potilaan hoitoon liittyviä tietoja säilytetään potilasasiakirjoista annetun sosiaali- ja terveysministeriön asetuksen mukaisesti pääsääntöisesti 12 vuotta potilaan kuolemasta tai, jos siitä ei ole tietoa, 120 vuotta potilaan syntymästä.
- Asiakaspalvelutapahtumien tallenteita säilytetään lähtökohtaisesti enintään kuusi kuukautta.
Henkilötietojen vastaanottajat (ne tahot, joille henkilötietoja luovutetaan)
Kelan Reseptikeskus
Sähköiset reseptit tallentuvat Kansaneläkelaitoksen (Kela) Reseptikeskukseen, jonka rekisterinpitäjinä toimivat yhdessä Kela, apteekit, sähköisiä lääkemääräyksiä laativat palvelunantajat ja itsenäiset lääkkeen määrääjät. Kela toimii lakisääteisesti rekisteröityjen yhteyspisteenä Reseptikeskuksen osalta. Lisätietoja www.kanta.fi/tietosuojaselosteet.
Kanta -potilastiedon arkisto
Potilasasiakirjoissa olevia hoitotietoja ja tutkimustuloksia tallennetaan lakisääteisesti Kelan ylläpitämään Kanta-palveluiden valtakunnalliseen potilastiedon arkistointipalveluun. Kela tuottaa kyseisistä tiedoista yhteenvetoja, joita terveydenhuollon palvelunantajat voivat käyttää tiedonhallintapalvelun kautta potilaan hoidon toteuttamista varten. Kela ja terveydenhuollon palvelunantajat toimivat yhdessä tiedonhallintapalvelun rekisterinpitäjinä. Kela toimii lakisääteisesti rekisteröityjen yhteyspisteenä tiedonhallintapalvelun osalta. Asiakas voi katsella yhteenvetotietoja OmaKanta -palvelussa (kanta.fi/omakanta). Lisätietoja www.kanta.fi/tietosuojaselosteet.
Toinen terveydenhuollon toimintayksikkö/organisaatio/hoitopaikka tai terveydenhuollon ammattihenkilö
Hoidon järjestämiseksi tarpeellisia tietoja voidaan luovuttaa terveydenhuollon toimijalle, potilaan antaman suullisen tai kirjallisen suostumuksen tai asiayhteydestä muuten ilmenevän, potilasasiakirjaan merkittävän suostumuksen mukaisesti.
Kansaneläkelaitos (Kela)
Terveydenhuollon palveluja koskevaan maksuun liittyviä tarpeellisia tietoja hoitokäynnillä tehdyistä Kela-korvattavista toimenpiteistä ja lähetteistä luovutetaan Kansaneläkelaitokselle (Kela), jos asiakas haluaa Rekisterinpitäjän hakevan Kela-korvausta puolestaan.
Viranomaiset ja yhteisöt
Viranomaisille tai yhteisöille, joilla on lakiin perustuva tiedonsaantioikeus, tietoja luovutetaan kirjallisen ja yksilöidyn pyynnön perusteella asian vaatimassa muodossa ja laajuudessa, tai asiakkaan suostumuksen perusteella.
Lisäksi henkilötietoja luovutetaan tietyissä tilanteissa itsenäisinä rekisterinpitäjinä toimiville palveluntarjoajille, kuten maksu-, rahoitus- tai perintäpalveluiden tuottajille.
Tietojen siirto EU:n tai ETA:n ulkopuolelle
Maksutietoja (Stripe) voidaan välittää EU:n ja ETA:n ulkopuolelle. Siirtomekanismeina toimivat tällöin Data Privacy Framework ja mallisopimuslausekkeet.
Mitään muita henkilötietoja ei siirretä EU:n tai ETA:n ulkopuolelle.
Rekisterin suojauksen periaatteet
Rekisterinpitäjä käyttää asianmukaisia fyysisiä, teknisiä ja hallinnollisia suojakeinoja tietojen suojaamiseksi väärinkäytöksiltä. Tällaisia keinoja ovat muun muassa tietoverkkoliikenteen kontrollointi ja suodattaminen, salaustekniikoiden ja turvallisten laitetilojen käyttö, asianmukaiset lukitusjärjestelyt ja kulunvalvonta, hallittu käyttöoikeuksien myöntäminen ja niiden käytön valvonta, henkilötietojen käsittelyyn osallistuvan henkilöstön ohjeistaminen sekä palvelujen suunnittelussa, toteuttamisessa ja ylläpidossa tapahtuva riskienhallinta. Rekisterinpitäjä valitsee käyttämänsä alihankkijat huolellisesti ja huolehtii sopimus- ja muilla järjestelyillä siitä, että tietoja käsitellään myös niiden toimesta lainsäädännön ja hyvän tietosuojakäytännön mukaan.
Henkilötietojen käsittelyyn ei sisälly automaattista päätöksentekoa
Rekisteröidyn oikeudet
Oikeus saada pääsy tietoihin (EU 2016/679:n 15. artikla)
- Rekisteröidyllä on oikeus saada tietää, käsitelläänkö hänen henkilötietojaan ja tutustua itseään koskeviin tietoihin.
- Rekisteröity voi tarkastella ja tutustua tietoihinsa kirjautumalla Lääkäri.chattiin sekä OmaKanta -palvelussa. Lisäksi rekisteröity voi tehdä henkilötietojen tarkastuspyynnön.
Oikeus tehdä valitus valvontaviranomaiselle (EU 2016/679:n 77. artikla)
Rekisteröidyllä on oikeus tehdä kantelu valvovalle viranomaiselle (Suomessa tietosuojavaltuutettu), mikäli rekisteröity katsoo, että henkilötietojen käsittelyssä on rikottu tietosuojalainsäädäntöä. Ohjeistus ilmoituksen tekemiseen löytyy tietosuojavaltuutetun verkkosivuilta: tietosuoja.fi.
Oikeus vaatia tiedon korjaamista (EU 2016/679:n 16. artikla)
Rekisteröidyllä on oikeus pyytää virheellisten ja puutteellisten tietojen oikaisua.
Oikeus poistaa tiedot (EU 2016/679:n 17. artikla)
Rekisteröidyllä on oikeus pyytää henkilötietojen poistoa. Poistopyyntöjä toteutetaan lainsäädännön mahdollistamissa rajoissa. Terveydentilaa koskevien tietojen osalta Rekisterinpitäjällä on lakisääteinen velvoite säilyttää tietoja potilasasiakirjoista annetun sosiaali- ja terveysministeriön asetuksen mukaisesti.
Oikeus siirtää tiedot järjestelmästä toiseen (EU 2016/679:n 20. artikla)
Rekisteröidyllä on oikeus pyytää tietojen siirtoa järjestelmästä toiseen, jos tiedot ovat rekisteröidyn itse toimittamia ja henkilötietojen käsittely perustuu suostumukseen tai sopimukseen. Potilastietojen osalta siirto-oikeus ei ole sovellettavissa.