Mehiläinen konsernin potilasrekisterien tietosuojaseloste
Pvm: 20.2.2023
1 Rekisterinpitäjät
Mehiläisen tuottamien terveyspalvelujen osalta, joissa Mehiläinen on rekisterinpitäjä (mm. työterveyshuollon palvelut), rekisterinpitäjänä toimii Mehiläinen Oy, tai muu Mehiläinen konserniin kuuluva yhtiö, kuten esimerkiksi Fysios Oy tai Tutoris Oy. Kaikki rekisterinpitäjät ovat tavoitettavissa Mehiläinen Oy kautta:
Mehiläinen Oy
Pohjoinen Hesperiankatu 17
00260 Helsinki
Y- tunnus 1927556-5
Terveyspalvelut, joita tuottaa Mehiläisessä toimiva itsenäinen ammatinharjoittaja (tai yhtiö, jonka lukuun ammatinharjoittaja toimii):
Kyseinen potilasta hoitava ammatinharjoittaja (tai yhtiö, jonka lukuun ammatinharjoittaja toimii) on rekisterinpitäjä.
Ammatinharjoittaja on luovuttanut rekisterin teknisen ylläpidon Mehiläiselle.
2 Yhteyshenkilö rekistereitä koskevissa asioissa
Tietosuojavastaava Kim Klemetti, tietosuoja@mehilainen.fi, puhelinvaihde 010 414 0112 (pvm/mpm).
3 Potilasrekisterin käyttötarkoitus ja potilastietojen käsittelyn peruste
Potilastietojen käsittely perustuu lakiin (mm. potilaslaki 785/1992, potilasasiakirja-asetus 94/2022 ja toisiolaki 552/2019) tai potilaan suostumukseen. Käsittelyssä noudatetaan EU:n tietosuoja-asetusta (GDPR).
Potilasrekisteriin tallennettuja tietoja käytetään potilaan hoidon järjestämiseen, suunnitteluun, toteuttamiseen ja seurantaan, potilashallinnassa sekä muihin lain ja suostumusten mukaisiin käyttötarkoituksiin.
Työterveyden potilastiedot säilytetään yksityisvastaanottojen potilastiedoista erillisenä siten, että näiden tietojen käyttö hoidon osalta muussa kuin työterveyshuollossa edellyttää potilaan suostumusta. Hallinnolliset potilasasiakirjat säilytetään säädetysti erillään potilasasiakirjoista.
Toisiolain mukaisesti potilastietoja käytetään mm. välttämättömään tietojohtamiseen, viranomaisvalvontaan sekä kehittämis- ja innovaatiotoimintaan ja mahdolliseen tieteelliseen tutkimukseen erillisellä luvalla.
4 Potilasrekisteriin tallennetut tiedot
Potilaan nimeämä lähiomainen, alaikäisen potilaan huoltaja, potilaan laillinen edustaja.
Potilaan hoidon järjestämisen, suunnittelun, toteuttamisen ja seurannan turvaamiseksi tarpeelliset tiedot, kuten tutkimuksessa ja hoidossa syntyvät terveystiedot sekä esitiedot.
Muut hoidon kannalta välttämättömät tiedot, esim. sairaanhoitajan, terveydenhoitajan, suuhygienistin, ravitsemusterapeutin, psykologin ym. työtehtäviss ä laatimat tiedot.
Mahdolliset tietojen luovutuksia koskevat tiedot ja luovutusten perusteet.
Työterveyden potilasrekisterissä myös potilaan työnantaja sekä työpaikkaan mahdollisesti liittyvät terveysriskit.
Tieto siitä, salliiko potilas muiden Mehiläisessä häntä hoitavien lääkäreiden nähdä toisen yksityislääkärin tekemät sairauskertomusmerkinnät silloin, kun se on hänen hoitonsa kannalta tarpeellista.
Tieto siitä, salliiko potilas muiden Mehiläisessä häntä hoitavien yksityislääkäreiden nähdä Mehiläisen työterveyshuollon rekisterissä mahdollisesti olevat sairauskertomusmerkinnät silloin, kun se on hänen hoitonsa kannalta tarpeellista.
Potilaan hoitoon osallistuvan terveydenhoitohenkilöstön tiedot ja potilaan ajanvaraustiedot tallennetaan potilasrekisterin osarekisteriksi.
Samoin potilaan tutkimuksessa ja hoidossa syntyvät laboratorio-, röntgen- ja sydäntutkimusten tulokset talletetaan potilasrekisteriin sen osarekisteriksi. Laboratoriotutkimuksista ylläpidetään myös omaa potilasrekisteristä erillään olevaa rekisteriä laboratoriojärjestelmässä.
Sähköisen rekisterin lisäksi ylläpidetään osarekisterinä erillistä paperilla olevaa perustietorekisteriä, joka voi sisältää myös tiedot potilaan antamista suostumuksista ja kielloista potilastietojen luovuttamiseen.
4.1 Säännönmukaiset tietolähteet
Potilas, potilaan huoltaja, potilaan laillinen edustaja tai lähiomainen.
Hoitohenkilökunta ja terveydenhuollon ammattihenkilöt.
Potilaan suostumuksella tietoja voidaan saada myös toisilta terveydenhuollon toimintayksiköiltä tai ammattihenkilöiltä esimerkiksi kansallisen terveysarkiston (KANTA) kautta.
4.2 Säilytysaika
Potilasrekisteriin tallennettujen henkilötietojen säilytysajoissa noudatetaan kulloinkin voimassa olevaa sääntelyä potilastietojen säilytysajoista.
Potilasasiakirjojen säilytysaika on säädetty sosiaali- ja terveysministeriön asetuksella potilasasiakirjoista (94/2022). Säilytysaika on pääsääntöisesti 12 vuotta potilaan kuolemasta.
5 Potilastietojen luovuttaminen
Potilastiedot ovat salassa pidettäviä ja henkilökunnalla on salassapitovelvollisuus.
- Potilaan tai hänen laillisen edustajansa suostumuksella.
- Nimenomaisen lainsäännöksen nojalla.
5.1 Potilastietojen säännönmukainen luovuttaminen/luovutuksensaajaryhmät
Potilastietoja voidaan luovuttaa ainoastaan rekisteröidyn suostumuksella tai lainsäädännön perusteella.
Säännönmukaisia luovutuksensaajia ovat muun muassa seuraavat:
- Terveydenhuollon viranomaiset, joilla on lakiin perustuva oikeus saada terveystietoja viran-omaistehtävän suorittamiseksi. Tällaisia viranomaisia ovat esimerkiksi Terveyden ja Hyvin-voinnin laitos THL, lääkealan turvallisuus- ja kehittämiskeskus Fimea, sosiaali- ja terveysalan tietolupaviranomainen Findata sekä Kansaineläkelaitos Kela.
- Jatkohoitotilanteessa potilaan suullisella potilasasiakirjoihin merkityllä suostumuksella voidaan luovuttaa tietoja potilaan yksilöimälle toiselle terveydenhuollon toimintayksikölle tai terveydenhuollon ammattihenkilölle.
- Potilaan tutkimuksen ja hoidon järjestämiseksi tai toteuttamiseksi välttämättömiä tietoja voidaan luovuttaa toiselle suomalaiselle tai ulkomaiselle terveydenhuollon toimintayksikölle tai terveydenhuollon ammattihenkilölle myös ilman potilaan suostumusta, jos potilaalla ei ole mielenterveyshäiriön, kehitysvammaisuuden tai muun vastaavan syyn vuoksi edellytyksiä arvioida annettavan suostumuksen merkitystä eikä hänellä ole laillista edustajaa, taikka jos suostumusta ei voida saada potilaan tajuttomuuden tai muun siihen verrattavan syyn vuoksi.
- Kansallinen reseptikeskus (Kanta-arkisto).
- Potilaan kirjallisella suostumuksella tai nimenomaisen lainsäännöksen perusteella voidaan luovuttaa tietoja vakuutusyhtiölle.
- Potilaan huoltaja, muu laillinen edustaja sekä potilaan lähiomainen, jos potilas on antanut tähän suostumuksensa. Jos alaikäinen potilas ikäänsä ja kehitystasoonsa nähden kykenee päättämään hoidostaan, hänellä on kuitenkin oikeus kieltää terveydentilaansa ja hoitoansa koskevien tietojen antaminen huoltajalleen tai muulle lailliselle edustajalleen.
- Tajuttomuuden tai muun siihen verrattavan syyn vuoksi hoidettavana olevan potilaan lähiomaiselle tai muulle hänen läheiselleen voidaan antaa tieto potilaan henkilöstä ja hänen terveydentilastaan, jollei ole syytä olettaa, että potilas kieltäisi näin menettelemästä.
6 Potilastietojen sijainti ja siirrot
Käsittelemme kaikkia potilas- ja muita henkilötietoja pääsääntöisesti Euroopan unionin tai Euroopan talousalueen sisällä.
Henkilötietoja voidaan tarvittaessa siirtää myös Euroopan unionin tai Euroopan talousalueen ulkopuolelle tietosuojasäätelyn mukaisesti, mikäli tämä on tarpeen esimerkiksi tutkimuspalvelun hankkimiseksi. Rekisteröidyllä on mahdollisuus tiedustella tutkimusnäytteen analysoinnin tutkimuskohtaista sijaintia ennen tutkimusta lähetteen laativalta terveydenhuollon ammattilaiselta.
Euroopan unionin ja Euroopan talousalueen ulkopuolisille tutkimuslaitoksille toimitettavat tiedot pyritään siirtämään mahdollisuuksien mukaan siten, että yksittäinen potilas ei ole tutkimuslaitoksen tunnistettavissa.
Covid-19-näytteenottojen osalta analysointikapasiteetti Suomessa ja Euroopassa on rajallinen. Poikkeuksellisen tilanteen johdosta merkittävä osa Covid-19-näytteistämme saatetaan analysoida Euroopan unionin ja Euroopan talousalueen ulkopuolisissa tutkimuslaitoksissa. Kulloinkin käytössämme olevia tutkimuslaitoksia ja niiden sijaintia voit tiedustella lähetteen antavalta ammattilaiselta. Covid-19-tutkimuksien osalta käytettävä tutkimuslaitos ei ole potilaan valittavissa, sillä ohjaamme näytteet analysoitaviksi kulloisenkin tilanteen kannalta tarkoituksenmukaisimpaan laitokseen.
6.1 Alihankkijat
Käytämme toiminnassamme yhteistyökumppaneita alihankkijoinamme, joille siirrämme tarvittavia tietoja esimerkiksi diagnostisia tutkimuksia varten. Tällaiset yhteistyökumppanit käsittelevät henkilötietoja henkilötietojen käsittelijöinä Mehiläisen lukuun, Mehiläisen antamien ohjeiden ja määräysten mukaisesti. Pyrimme käyttämään ensisijaisesti EU/ETA-alueen sisällä toimivia yhteistyökumppaneita.
7 Potilastietojen käyttö ja suojaamisen yleiset periaatteet
Potilastiedot on säädetty salassa pidettäviksi. Potilastietoja ei saa luovuttaa sivullisille.
Potilastietoja voivat käyttää ainoastaan asianomaisessa toimintayksikössä tai sen toimeksiannosta potilasta hoitavat tai siihen liittyviin tehtäviin osallistuvat henkilöt. Rekisterinpitäjän ylin johto päättää organisatorisista ratkaisuista ja antaa käyttöoikeudet työntekijöille potilasrekisteritietoihin siinä laajuudessa kuin työtehtävät ja säädökset sitä edellyttävät.
Vanhat ja mahdollisesti sähköisen potilastietojärjestelmän ohella syntyvät paperikortistot pidetään lukituissa ja valvotuissa tiloissa.
Sähköisesti käsiteltäviin tietoihin on pääsy vain siihen oikeutetun työntekijän henkilökohtaisella käyttäjätunnuksella ja salasanalla. Potilastietojen käyttöä valvotaan lokitietoja seuraamalla.
8 Profilointi
Osana työterveyspalveluita, työterveyshuoltolain ja -asetuksen sekä hyvän työterveyshuoltokäytännön mukaisesti ja soveltuvin osin nimenomaisen suostumuksen perusteella Mehiläinen voi hyödyntää työterveyskäyntien yhteydessä tallennettuja potilastietoja henkilön työkyvyn tuen tarpeen arvioimiseksi sekä työkyvyn ja terveyden edistämiseksi. Analysoimme automatisoidusti työterveyskäyntien yhteydessä syntynyttä tietoa henkilön tuen tarpeen tunnistamiseksi. Analysoinnin tulokset ovat vain työterveyshuollon käytössä, eikä niitä luovuteta eteenpäin esimerkiksi työnantajalle. Mahdolliset jatkotoimet sovitaan rekisteröidyn asiakkaan kanssa.
9 Rekisteröidyn oikeudet
9.1 Rekisteröidyn oikeus saada pääsy tietoihin (tarkastusoikeus)
Potilaalla on oikeus tarkastaa itseään koskevat potilasrekisteritiedot. Tarkastuspyyntö tulee tehdä tämän tietosuojaselosteen kohdan 8 mukaisesti. Tarkastusoikeus voidaan evätä laissa säädetyin perustein. Tiedot antaa terveydenhuollon toimintayksikön määräämä lääkäri tai muu terveydenhuollon ammattihenkilö, joka tekee merkinnän tarkastusoikeuden käyttämisestä potilasrekisteriin. Tiedot luovutetaan potilaalle kirjallisena. Tarkastusoikeuden käyttäminen on lähtökohtaisesti maksutonta.
9.2 Rekisteröidyn oikeus vaatia tiedon oikaisemista, poistamista tai käsittelyn rajoittamista
Rekisterinpitäjän on ilman aiheetonta viivytystä oma-aloitteisesti tai potilaan vaatimuksesta oikaistava, poistettava tai täydennettävä potilasrekisterissä oleva, käsittelyn tarkoituksen (potilasrekisterin käyttötarkoitus) kannalta, virheellinen, tarpeeton, puutteellinen tai vanhentunut henkilötieto.
Rekisteröidyllä on myös oikeus vaatia rekisterinpitäjää rajoittamaan henkilötietojensa käsittelyä esimerkiksi siinä tilanteessa, kun rekisteröity odottaa Mehiläisen vastausta tietojensa oikaisemista tai poistamista koskevaan pyyntöön. Rekisteröidyillä on oikeus kieltäytyä itseensä kohdistuvista profilointitoimista.
Tiedon korjaamisen ja käsittelyn rajoittamisen toteuttaminen ja organisointi
- Korjauspyyntö ja käsittelyn rajoittamista koskeva pyyntö tehdään kirjallisesti ja osoitetaan rekisterinpitäjälle tämän tietosuojaselosteen kohdan 9 mukaisesti, sekä toimitetaan lisäksi aina henkilökohtaisesti toimintayksikköön. Potilaan henkilöllisyys varmennetaan luotettavalla tavalla.
- Mikäli potilaan vaatimus on oikeutettu, korjauksen ja mahdolliset toimenpiteet käsittelyn rajoittamiseksi tekee henkilö, jolla on potilasrekisteritietojen korjauksen tekoon erityinen oikeus.
- Mahdolliset virheelliset merkinnät korjataan siten, että alkuperäinen ja korjattu merkintä ovat myöhemmin luettavissa. Korjauksen tekijän nimi, virka-asema, korjauksentekopäivä ja korjauksen peruste tulee merkitä potilasasiakirjoihin. Jos hoidon kannalta tarpeeton tieto poistetaan, potilasasiakirjoihin tehdään merkitä siitä, korjauksen tekijästä ja poistamisajankohdasta potilasasiakirja-asetukseen mukaisesti.
9.3 Rekisteröidyn oikeus tehdä valitus valvontaviranomaiselle
Rekisteröidyllä on oikeus tehdä valitus toimivaltaiselle valvontaviranomaiselle, jos rekisterinpitäjä ei ole noudattanut toiminnassaan soveltuvaa tietosuojasääntelyä.
9.4 Kanta-arkisto
Mehiläinen on liittynyt Kanta-arkistoon 21.4.2016 ja sen jälkeen syntyneet potilastiedot tallennetaan Kanta-arkistoon ja potilaan tulee hallinnoida näitä tietoja OmaKanta -järjestelmän kautta.
10 Yhteydenotot
Kaikissa henkilötietojen käsittelyyn liittyvissä kysymyksissä ja omien oikeuksien käyttämiseen liittyvissä tilanteissa rekisteröidyn tulee ottaa yhteyttä Mehiläiseen OmaMehiläinen-palvelussa, Mehiläisen palvelupisteessä tai postitse osoitteeseen: Mehiläinen Oy / Potilasrekisteri, Pohjoinen Hesperiankatu 17 C, 00260 Helsinki. Mehiläinen voi tarvittaessa pyytää rekisteröityä täsmentämään pyyntöään kirjallisesti ja rekisteröidyn henkilöllisyys voidaan tarpeen vaatiessa varmentaa ennen muihin toimenpiteisiin ryhtymistä.