Yleensä asiakkaamme ovat rekisterinpitäjiä ja Ajas on tiedon käsittelijä. Tarjoamme asiakkaillemme ohjeita tietosuoja-asioissa. Tietosuojan päivittäminen ja siitä huolehtiminen on jatkuva prosessi. Jollet ole ehtinyt päivittää käytäntöjäsi ajan tasalle vielä 25.5 mennessä, toimenpiteitä ei ole syytä pystäyttää vaan päin vastoin nyt on syytä tarttua rohkeasti toimeen.
Virallisia ohjeita aiheeseen löytyy Tietosuojavaltuutetun toimiston sivustolta, joka on tietosuojan valvontaviranomainen Suomessa. Käytämme ensisijaisena lähteenä viranomaisen tarjoamaa tietoa. tietosuoja.fi/organisaatiot
Täydennämme ohjeita ja tietoja parhaamme mukaan aina kun viranomaiset tarkentavat omia ohjeitaan.
Lyhyesti periaatteelliset ohjeet Ajas-käyttäjille ovat:
- Osoita noudattavasi tietosuojasäännöksiä. Laadi seloste käsittelytoimista ja perustele miksi käsittelet tietoa.
- Kerro asiakkaalle, että tallennat hänen tietonsa ja käsittelet niitä.
- Kerro rekisteröidylle hänen oikeutensa. Rekisteröidyllä on oikeus nähdä hänestä tallennetut tiedot sekä pyytää rekisterinpitäjää poistamaan kaikki tietonsa. Tietoja ei kuitenkaan tarvitse poistaa muun muassa, mikäli jokin muu, kuten potilastietoja koskeva lainsäädäntö velvoittaa ne säilyttämään. Ajas tarjoaa helpottavat työkalut kumpaankin toimenpiteeseen.
- Hanki tietosuojavastaava, mikäli käsittelette arkaluonteisia tietoja, kuten tietoja potilaan terveydestä. Samoin tietosuojavastaava tulee nimittää mikäli seuraatte ihmisiä laajamittaisesti ja järjestelmällisesti.
- Valmistaudu huolehtimaan tietoturvaloukkauksen jälkitoimista. Henkilötietojen tietoturvaloukkauksesta täytyy ilmoittaa valvontaviranomaiselle, jos loukkauksesta voi aiheutua riski luonnollisten henkilöiden oikeuksille ja vapauksille. Suomessa valvontaviranomaisena toimii tietosuojavaltuutetun toimisto. Tietoturvaloukkaus on tapahtunut jos henkilötietoja tuhoutuu, häviää, muuttuu, henkilötietoja luovutetaan luvattomasti tai niihin pääsee käsiksi taho, jolla ei ole käsittelyoikeutta. Rekisterinpitäjän tulee ilmoittaa asiasta Tietosuojavaltuutetun toimistolle. Ajas ilmoittaa tietoturvaloukkauksen havaitessaan asiasta rekisterinpitäjälle. Laadithan sisäiset ohjeet toiminnasta tietoturvaloukkauksen varalta.
Lisäksi käytännön ohjeita
- Käytä riittävän monimutkaisia salasanoja. Salasanan tulisi olla mahdoton arvata ja riittävän pitkä, jotta sitä ei voida selvittää kokeilemalla missään järjellisessä ajassa.
- Huolehdi siitä että muilla ei ole pääsyä koneelle, kun olet kirjautuneena järjestelmään.
- Käytä vain henkilökohtaisia tunnuksia, ei kaikille tai useille henkilöille jaettuja tunnuksia. Tällöin esimerkiksi yhden henkilön salasanojen vuotaminen saadaan nopeasti havaittua sekä paikannettua ja haitat minimoitua. Asiakaspalvelumme auttaa tässä tarvittaessa. Suosittelemme myös siirtymään Ajas Touch -järjestelmän käyttöön.
- Huolehdi käyttäjien oikeuksien hallinnoinnissa siitä, että tietoon pääsee käsiksi vain sovitut henkilöt. Jos asiakkaan antamat tiedot ovat koko organisaation nähtävissä, yrityksesi tulee informoida asiakasta siitä rekisteriselosteessa.
- Hoitoalalla hoitotiedot tulisi tallentaa Kanta-arkistoon, joka huolehtii erittäin arkaluonteisen tiedon käsittelystä.
- Jos asiakkaan tiedot saavat näkyä vain potilaalle ja häntä hoitavalle henkilölle, huolehdi siitä että otat korotetun turvallisuustason käyttöön. Tähän tarjoamme lisää ohjeita pian.
Muita ohjeita tarjoamme suoraan asiakkaillemme ja päivitämme tietosuojaohjeistuksia jatkuvasti. Julkaisemme myös lähiaikoina ominaisuuksia, jotka auttavat esimerkiksi markkinointilupien pyytämisessä ja käsittelyssä. Olemme tällä viikolla julkaisseet mm. Ajas Touchin asiakaskortin Toiminnot-valikossa erityiset GDPR-työkalut.
Pyydämme seuraamaan tiedotustamme.
Tutustu myös:
- Yleinen kuvaus toimintaperiaatteistamme tietosuojan osalta.