Dataskyddsbeskrivning för Mehiläinenkoncernens patientregister
Datum: 20.2.2023
1 Personuppgiftsansvariga
I fråga om hälsotjänster som Mehiläinen producerar och för vilka Mehiläinen är personuppgiftsansvarig (bl.a. tjänster inom företagshälsovård), är den personuppgiftsansvariga Mehiläinen Oy, eller ett annat bolag som tillhör Mehiläinenkoncernen, till exempel Fysios Oy eller Tutoris Oy. Alla personuppgiftsansvariga kan nås via Mehiläinen Oy:
Mehiläinen Oy
Norra Hesperiagatan 17
00260 Helsingfors
FO-nummer 1927556-5
Hälsotjänster som tillhandahålls av en enskild yrkesutövare (eller det företag för vars räkning yrkesutövaren agerar) som verkar i Mehiläinen:
Yrkesutövaren (eller det företag för vars räkning yrkesutövaren agerar) som behandlar patienten i fråga är personuppgiftsansvarig.
Yrkesutövaren har överlämnat det tekniska underhållet av registret till Mehiläinen.
2 Kontaktperson i registerärenden
Dataskyddsombud Kim Klemetti, tietosuoja@mehilainen.fi, telefonväxel 010 414 0112 (lna/msa) (0,0835 €/samtal + 0,1669 €/min).
3 Patientregistrets användningsändamål och grunden för behandlingen av patientuppgifter
Behandlingen av patientuppgifter grundar sig på lagen (bl.a. lagen om patientens ställning och rättigheter 785/1992, förordningen om patientjournalhandlingar 94/2022 och lagen om sekundär användning av personuppgifter inom social- och hälsovården 552/2019) eller patientens samtycke. Behandlingen sker i enlighet med EU:s dataskyddsförordning (GDPR).
De uppgifter som förts in i patientregistret används för att arrangera, planera, genomföra och utvärdera vården av patienten, vid patienthantering samt för andra ändamål i enlighet med lagen och samtycken.
Patientuppgifter för företagshälsovård lagras separat från patientuppgifter för privata mottagningar på ett sådant sätt att användningen av dessa uppgifter för behandling inom annan vård än företagshälsovården kräver patientens samtycke. Administrativa patientjournaler lagras som föreskrivet separat från patientjournaler.
Patientuppgifter används i enlighet med lagen om sekundär användning av personuppgifter inom social- och hälsovården bl.a. för nödvändig ledning med information, myndighetstillsyn samt utveckling- och innovationsverksamhet, samt med separat tillstånd för eventuell vetenskaplig forskning.
4 Uppgifter som registrerats i patientregistret
Patientens namn, personbeteckning och kontaktuppgifter.
En av patienten namngiven nära anhörig, en minderårig patients vårdnadshavare, patientens lagliga företrädare.
Uppgifter som är nödvändiga för att säkerställa att man kan arrangera, planera, genomföra och följa upp patientens vård, till exempel hälsouppgifter som uppstår vid undersökningar och vård samt preliminära uppgifter.
Andra uppgifter som är nödvändiga för vården, till exempel uppgifter som sjukskötare, hälsovårdare, munhygienister, näringsterapeuter, psykologer etc. har antecknat i sitt arbete.
Eventuell information om utlämnande av uppgifter och grunder för utlämnandet.
I företagshälsovårdens patientregister finns även patientens arbetsgivare och eventuella hälsorisker som är kopplade till arbetsplatsen.
Information om huruvida patienten tillåter att andra läkare som vårdar patienten på Mehiläinen får se en annan privatläkares patientjournalanteckningar när detta behövs för patientens vård.
Information om huruvida patienten tillåter att andra privatläkare som vårdar patienten på Mehiläinen får se eventuella patientjournalanteckningar i Mehiläinens företagshälsovårdsregister när detta behövs för patientens vård.
Uppgifterna om den hälso- och sjukvårdspersonal som deltar i patientens vård och patientens tidsbokningsuppgifter sparas som ett delregister i patientregistret.
På samma sätt sparas resultaten från de laboratorie-, röntgen- och hjärtundersökningar som uppstår i undersökningen och vården av patienten som ett delregister i patientregistret. Ett separat register från patientregistret om laboratorieundersökningar upprätthålls också i laboratoriesystemet.
Förutom det elektroniska registret förs ett skilt basuppgiftsregister som är ett delregister på papper och som också kan innehålla uppgifter om patientens samtycken och förbud om utlämnande av patientuppgifter.
4.1 Regelmässiga informationskällor
Patienten, patientens vårdnadshavare, patientens lagliga företrädare eller nära anhöriga.
Vårdpersonal och yrkesutbildade personer inom hälso- och sjukvård.
Med patientens samtycke kan uppgifter även fås av andra verksamhetsenheter eller yrkesutbildade personer inom hälso- och sjukvården, till exempel via det nationella hälsoarkivet (Kanta).
4.2 Lagringstid
När det gäller lagringstiderna för de personuppgifter som har förts in i patientregistret iakttas gällande bestämmelser om lagringstider för patientuppgifter.
Lagringstiden för patientjournaler fastställs i social- och hälsovårdsministeriets förordning om patientjournaler (94/2022). Som regel är lagringstiden 12 år från patientens död.
5 Utlämnande av patientuppgifter
Patientuppgifter är sekretessbelagda och personalen har tystnadsplikt.
Patientuppgifter kan lämnas ut:
- Med samtycke från patienten eller en laglig företrädare för patienten.
- Med stöd av uttrycklig lagstiftning.
5.1 Regelmässigt utlämnande av patientuppgifter samt grupper av mottagare
Patientuppgifter kan endast lämnas ut med den registrerades samtycke eller på grundval av lagstiftning.
Regelmässiga mottagare är bland annat följande:
- Hälso- och sjukvårdsmyndigheter som har en lagligenlig rätt att få hälsouppgifter för att utföra sina tillsynsuppgifter. Till dessa myndigheter hör till exempel Institutet för hälsa och välfärd (THL), säkerhets- och utvecklingscentret för läkemedelsområdet Fimea, tillståndsmyndigheten för social- och hälsovårdsdata Findata och Folkpensionsanstalten FPA.
- Vid fortsatt vård kan uppgifter lämnas ut till en annan verksamhetsenhet eller till en yrkesutbildad person inom hälso- och sjukvården som specificerats av patienten om patienten har gett sitt muntliga samtycke till detta och om en anteckning om samtycket har gjorts i patientjournalen.
- Uppgifter som är nödvändiga för att ordna eller genomföra undersökningar och vård av patienten kan även utan patientens samtycke lämnas ut till en annan finländsk eller utländsk verksamhetsenhet inom hälso- och sjukvården eller en yrkesutbildad person inom hälso- och sjukvården om patienten på grund av en psykisk störning, utvecklingsstörning eller annan motsvarande orsak inte har förutsättningar att bedöma betydelsen av samtycket eller inte har någon laglig företrädare eller om patienten på grund av medvetslöshet eller av annan därmed jämförbar orsak inte kan ge sitt samtycke.
- Nationella receptcentret (Kanta-arkivet).
- Uppgifter kan lämnas ut till ett försäkringsbolag med patientens skriftliga samtycke eller med stöd av en uttrycklig bestämmelse i lagen.
- Patientens vårdnadshavare, en annan laglig företrädare för patienten och en nära anhörig till patienten, om klienten har gett sitt samtycke till detta. Om en minderårig patient med beaktande av ålder och utveckling kan fatta beslut om sin vård har patienten emellertid rätt att förbjuda att uppgifter om patientens hälsotillstånd och vård ges till patientens vårdnadshavare eller någon annan laglig företrädare.
- Om en patient vårdas på grund av medvetslöshet eller annan därmed jämförbar orsak kan uppgifter om patientens person och patientens hälsotillstånd lämnas ut till en nära anhörig eller en annan närstående person om det inte finns skäl att anta att patienten skulle förbjuda detta.
6 Placering och överföring av patientuppgifter
Som regel behandlar vi alla patient- och andra personuppgifter inom Europeiska unionen eller Europeiska ekonomiska samarbetsområdet.
Vid behov kan personuppgifter också överföras utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet, i enlighet med dataskyddsbestämmelserna, om detta är nödvändigt för att till exempel erhålla en undersökningstjänst. Innan undersökningen har den registrerade haft möjlighet att fråga om den undersökningsspecifika platsen för analysen av undersökningsprovet av den hälso- och sjukvårdspersonal som förbereder remissen.
Överföring av uppgifter till forskningsinstitut utanför Europeiska unionen och Europeiska ekonomiska samarbetsområdet ska i möjligaste mån ske på ett sådant sätt att den enskilda patienten inte kan identifieras av forskningsinstitutet.
När det gäller Covid-19-provtagning är analyskapaciteten i Finland och Europa begränsad. På grund av en exceptionell situation kan en betydande andel av våra Covid-19-prover analyseras av forskningsinstitut utanför Europeiska unionen och Europeiska ekonomiska samarbetsområdet. Du kan fråga om vilka forskningsinstitut som är tillgängliga för oss och var de befinner sig hos den yrkesperson som tillhandahåller remissen. När det gäller Covid-19-undersökningar är det forskningsinstitut som används inte valbart, eftersom vi riktar proverna för analys till det institut som är bäst lämpat för situationen.
6.1 Underleverantörer
I vår verksamhet använder vi samarbetspartner som underleverantörer till vilka vi överför nödvändiga uppgifter, till exempel för diagnostiska undersökningar. Sådana samarbetspartner behandlar personuppgifter som personuppgiftsbiträden för Mehiläinens räkning i enlighet med Mehiläinens anvisningar och bestämmelser. Vi strävar efter att i första hand använda samarbetspartner som verkar inom EU/EES.
7 Allmänna principer för användning och skydd av patientuppgifter
Patientuppgifter är sekretessbelagda enligt lag. Patientuppgifter får inte lämnas ut till tredje part.
Patientuppgifter får endast användas av de personer som vårdar patienten i verksamhetsenheten eller på uppdrag av den eller som deltar i uppgifter som hänför sig till vården. Den personuppgiftsansvariges högsta ledning fattar beslut om organisatoriska lösningar och fastställer nyttjanderättigheter för personalen till patientregisteruppgifterna i den utsträckningen som uppgifterna och bestämmelserna kräver.
Gamla pappersregister och pappersregister som eventuellt uppstår vid sidan av det elektroniska patientdatasystemet förvaras i låsta och övervakade utrymmen.
Endast de anställda som är behöriga och som har ett personligt användarnamn och lösenord har tillgång till de uppgifter som behandlas elektroniskt. Användningen av patientuppgifter övervakas med hjälp av loggdata.
8 Profilering
Som en del av företagshälsovårdstjänsterna får Mehiläinen i enlighet med lagen och förordningen om företagshälsovård samt i enlighet med god företagshälsovårdspraxis och vid tillämpliga fall på grundval av uttryckligt medgivande utnyttja patientuppgifter som registrerats i samband med företagshälsovårdsbesök för att bedöma behovet av stöd för personens arbetsförmåga och för att främja arbetsförmågan och hälsan. Vi analyserar den information som genereras under företagshälsovårdsbesök på ett automatiserat sätt för att identifiera en persons behov av stöd. Resultaten av analysen används endast av företagshälsovården och överförs inte till exempelvis arbetsgivaren. Eventuella ytterligare åtgärder avtalas med den registrerade kunden.
9 Den registrerades rättigheter
9.1 Den registrerades rätt till tillgång till uppgifter (rätt till insyn)
Patienten har rätt att kontrollera de uppgifter i patientregistret som rör honom eller henne. Begäran om insyn ska göras i enlighet med punkt 8 i denna dataskyddsbeskrivning. Rätten till insyn kan förvägras på de grunder som anges i lagen. Uppgifterna lämnas ut av en namngiven läkare i företagshälsovårdens verksamhetsenhet eller av en annan yrkesutbildad person inom hälso- och sjukvården. Denna person gör en anteckning i patientregistret om att rätten till insyn har utövats. Uppgifterna överlåts till patienten skriftligen. Rätten till insyn kan i princip utövas avgiftsfritt.
9.2 Den registrerades rätt till rättelse, radering och begränsning av behandling
Den personuppgiftsansvarige ska utan obefogat dröjsmål på eget initiativ eller om klienten så kräver det rätta, radera eller komplettera en personuppgift i patientregistret som med tanke på ändamålet med behandlingen (ändamålet med patientregistret) är felaktig, onödig, bristfällig eller föråldrad.
Den registrerade har även rätt att kräva att den personuppgiftsansvarige begränsar behandlingen av den registrerades personuppgifter, till exempel i en situation där den registrerade inväntar Mehiläinens svar på en begäran om rättelse eller radering av sina uppgifter. Registrerade har rätt att vägra profilering som är riktad mot den registrerade.
Genomförande och organisering av rättelser och begränsning av behandlingen
- En begäran om rättelse eller begränsning av behandlingen ska lämnas skriftligen till den personuppgiftsansvarige i enlighet med punkt 9 i denna dataskyddsbeskrivning. Dessutom ska begäran alltid lämnas personligen till verksamhetsenheten. Patientens identitet verifieras på ett tillförlitligt sätt.
- Om patientens krav är berättigat ska rättelsen och eventuella åtgärder för begränsning av behandlingen genomföras av en person som har särskild behörighet att korrigera uppgifter i patientregistret.
- Eventuella felaktiga uppgifter korrigeras på ett sådant sätt att de ursprungliga och korrigerade uppgifterna kan läsas vid ett senare tillfälle. Namnet på och tjänsteställningen för den som gjort rättelsen, rättelsedatumet och grunden för rättelsen ska antecknas i patientjournalerna. Om en uppgift som är onödig med tanke på vården raderas, görs i journalhandlingarna en anteckning om raderingen, den som utförde raderingen och tidpunkten för raderingen i enlighet med social- och hälsovårdsministeriets förordning om journalhandlingar.
9.3 Den registrerades rätt att anföra besvär hos en tillsynsmyndighet
Den registrerade har rätt att anföra besvär hos en behörig tillsynsmyndighet om den personuppgiftsansvarige inte har följt tillämpliga dataskyddsbestämmelser i sin verksamhet.
9.4 Kanta-arkivet
Mehiläinen har anslutit sig till Kanta-arkivet 21.4.2016 och de patientuppgifter som genereras därefter sparas i Kanta-arkivet. Patienten ska administrera dessa uppgifter via Mina Kanta-systemet.
10 Kontakt
I alla frågor som rör behandlingen av personuppgifter och situationer som gäller utövande av de egna rättigheterna ska den registrerade kontakta Mehiläinen i MinMehiläinen-tjänsten, på Mehiläinens serviceställe eller per post på adressen: Mehiläinen Oy / Patientregister, Norra Hesperiagatan 17 C, 00260 Helsingfors. Mehiläinen kan vid behov be den registrerade att skriftligen precisera sin begäran, och den registrerades identitet kan vid behov verifieras innan andra åtgärder vidtas.