Hieroja ja GDPR

Tästä on puhuttu viimeisen parin vuoden aikana niin paljon eri ammattiryhmien kohdalla, erityisesti digitaalisella puolella ja verkkokauppiaiden maailmassa. Viimeisen puolen vuoden aikana monet kollegani ovat kyselleet mitä olen tehnyt tai tulen tekemään EU:n tietosuoja-asetukseen (eli GDPR:iin) liittyen. Pyrin koostamaan asioita yksinkertaistettuna, joita itse olen hierojana joutunut miettimään. En ole lainoppinut, joten sopivat lasit päässä on teksti hyvä lukea. Teksti on tarkoitettu lähinnä hierojalle (yrittäjinä) ja muulle terveydenhuollon ammattilaisille, mutta avaa myös asioita sellaisen asiakkaana.

MIKÄ ON GDPR JA MITÄ SIITÄ HYÖDYTÄÄN?

GDPR, General Data Protection Regulation on EU:n tietosuoja-asetus, joka tuli voimaan parisen vuotta sitten toukokuussa 2016. Asetukseen sisältyy kahden vuoden siirtymäaika, joka päättyy kirjoituksesta parin kuukauden päästä 25.5.2018. Siihen mennessä tämän mukaiset jutut täytyy olla kunnossa.

Kyseinen asetus koskee siis yksityishenkilöiden tietojen käsittelyä. Vaikka asetus lisää varmasti jokaisen yrittäjän kohdalla työtä, parantaa se silti sinunkin tilannettasi yksityishenkilönä. Yritysten tietojen käsittelyyn tämä kyseinen asetus ei vaikuta.

Muutokset hierojan asiakkaille ja sinulle yksityishenkilönä

  • Parantaa oikeuttasi pitää omasta yksityisyydestäsi huolta
  • Sinulla on oikeus kieltää henkilötietojesi käsittely
  • Sinulla on oikeus tulla “unohdetuksi”
  • Saat paremmin tietoja kun henkilötietojasi käsitellään
  • Voit siirtää halutessasi tietosi palveluntarjoajalta toiselle
  • Tietoturvaloukkauksen (esim. tietojen vuodon sattuessa)  ilmoitetaan siitä sinulle

Muutokset hierontayrittäjälle

  • Suunnittelee tietosuojakysymykset kaikessa toiminnassansa entistäkin tarkemmin
  • Mahdollistetaan edellä mainitut listauksen toimet asiakkaille hänen niin pyytäessä
  • Pystyy todistamaan jälkikäteen, että on toimittu asetuksen mukaan
  • Jos useamman henkilön yritys tai toimipiste, täytyy erikseen nimetä tietosuojavastaava
    • Tämä siitä syystä, että terveydenhuollossa käsitellään arkaluontoista tietoa kuten terveystietoja
  • Voi saada sanktion tai sakon, jos asetusta ei noudateta

KEITÄ HIEROJIA TÄMÄ SITTEN KOSKEE?

Yksinkertaistettuna voisi sanoa, että asetus koskee kaikkia hierojia joilla on asiakkaita. Eli kaikki, jotka käsittelevät jollain lailla henkilötietoja ja meidän tapauksessa lisäksi terveystietoja. Ja koska laki velvoittaa pitää kirjaa potilaista ja käynneistä, kertyy heistä rekisteri.

Tietyt lait ja asetukset ovat koskettaneet hierojia terveydenhuollon ammattilaisina jo ennen kyseisen asetuksen voimaantuloa ja samankaltaisia asioita on  nyt tullut muillekin yrittäjille tehtävälistoilleen. Meille se vaan hieman tarkentuu ja työmäärä ei ole ihan niin suuri.

 

KONKREETTISET ASIAT GDPR:IIN LIITTYEN

REKISTERISELOSTEET

Tämä on koskenut aiemman lainsäädännön mukaan meitä jo pitkään. Meillä on täytynyt olla suunniteltuna jo rekisteriseloste henkilörekistereistä, jonka sisällön henkilötietolain 10§ määrittää. Tämä on tyypillisesti tehtynä potilasrekisteristä. Kaikista rekistereistä täytyy muodostaa rekisteriselosteensa, jotka sisältävät henkilötietoja. Henkilötiedoiksi riitää mikä tahansa henkilöä yksilöivä tieto, kuten nimi, sähköpostiosoite tai syntymäaika.

Rekistereitä voi olla vaikkapa:

  • Potilasrekisteri
  • Markkinointirekisteri tai uutiskirjerekisteri
  • Ajanvarausrekisteri

Rekisteriselosteet täytyy olla selkeästi näkyvillä ja luettavissa. Vaikkapa nettisivulla tai tilasi ilmoitustaululla.

HENKILÖREKISTERIT

Henkilörekisteri muodostuu kaikista kirjauksista jotka sisältää henkilötietoja. Tehtiinpä ne sitten ruutupaperille, ajanvarauskalenteriin, markkinoinnin sähköpostilistoihin tai sähköiseen potilasrekisteriin.

Laki määrittää  tietojen säilytysajat. Potilastietoja säilytetään siihen saakka kunnes potilaan kuolemasta on kulunut 12 vuotta tai jos siitä ei ole tietoa, 120 vuotta syntymästä. Muiden rekisterien tietoja säilytetään 12 vuotta viimeisestä kirjaamisesta. Tiedot voidaan tietysti poistaa tai tietoja muuttaa, jos rekisteröity niin pyytää. Asiakkaalla on luonnollisesti myös oikeus saada tietää mitä tietoja rekisterissä hänestä on. Jatkuva asiakassuhde on kuitenkin peruste tietojen säilyttämiseksi. Rekistereihin ei saa säilyttää sellaista tietoa, joka sinne ei kuulu. Tietojen tulee lisäksi olla täsmällisiä ja paikkaansa pitäviä (vrt. ikä ja syntymävuosi).

Alkulistauksessa mainitaan myös tietoturvaloukkaukset. Tämä tarkoittaa tilannetta, jossa vaikkapa asiakastietoja varastetaan tai tietojärjestelmääsi murtaudutaan. Tällaisen sattuessa siitä täytyy ilmoittaa rekisterissä oleville.

HENKILÖTIETOJEN KÄYTTÄMINEN

Henkilötietoja ei saa käyttää mihinkään ulkopuoliseen ilman lupaa. Jos olet kerännyt sähköpostiosoitteita ajanvarauksen yhteydessä varausvahvistuksen lähettämiseksi, et saa markkinoida sähköpostitse kaurapusseja tai hierontatarjouksia myöhemmin (vaikka hän olisi asiakkaasi). Tämän kaltaiseen markkinointiin tarvitaan aktiivinen lupa. Ei riitä, että asian erikseen kieltää vaikkapa varauksen yhteydessä. Eikä rasti saa olla valmiina ruudussa:

Minulle ei saa lähettää markkinointiviestejä ○
Minulle saa lähettää markkinointiviestejä ○

Tietojen luovuttaminen kolmannelle osapuolelle vaatii samaan tapaan luvan erikseen.

TIETOJEN SÄILYTTÄMINEN

Henkilötietoja pitää säilyttää asianmukaisella tavalla, kuten lukitussa tai valvotussa tilassa. Tietoja ei myöskään tule olla sellaisten henkilöiden saatavilla, joiden varsinaisiin tehtäviin se ei kuulu. Tilanne voisi tulla kyseeseen vaikkapa potilasrekisterin ylläpitämisessä yrityksessä, jossa hierojia ja kosmetologeja toimii samassa tilassa.

Jos rekisteri on sähköinen, täytyy huolehtia tietojen tallennuspaikasta. Useat sähköiset rekisterien ylläpitävät yritykset ovat huolehtineet GDPR:n tulosta, varsinkin jos ne toimivat EU:n alueella. Heiltä kannattaa selvittää onko heidän järjestelmänsä asetuksen mukainen. Jos palveluntarjoaja on EU:n tai ETA:n ulkopuolella, täytyy heidänkin toimia kyseisen asetuksen mukaan jos heidän palveluitaan haluaa vielä käyttää. Näin ei kuitenkaan välttämättä ole.

MITÄ OLEN ITSE TEHNYT?

Oman webhotellin palvelin (eli sivujeni tallennuspaikka) siirtyy ennen määräaikaa Suomen maaperälle helpottaakseni hieman hommia (ei toki ainoa syy siirtoon). Sivuilleni olen myös asentanut SSL-salauksen (HTTPS sivujen osoitteen alussa), koska verkkokauppani muodostaa osan asiakasrekisteristä ja ajanvarausjärjestelmäni toimii omien nettisivujeni päällä muodostaen ajanvarausrekisterin. Tällöin tietojen salauskin on huomioitu asianmukaisesti.

Päivitin potilasrekisterin rekisteriselostetta muutaman vuoden jälkeen ja laadin uudet rekisterit muistakin rekistereistä, mm. markkinointirekisteristä. Rekisteriselosteet ovat selkeästi näkyvillä liiketilassani sekä nettisivuillani. Olen siirtymässä oman ajankäytön säästämisen vuoksi paperisesta versiosta vähitellen sähköiseen potilas- ja asiakasrekisteriin. Paperinen rekisteri täytyy silti luonnollisesti säilyttää. Sähköinen rekisteri toi samalla muutoksia rekisteriselosteeseen. Varmistin omalta palveluntarjoajaltani etukäteen, että heidän järjestelmänsä on tietosuoja-asetuksen mukainen.

Ajanvarauksen yhteyteen olen luonut ilmoituksen ajanvarausrekisterin ylläpidosta ja mahdollisesti lisään sinne kysymyksen markkinoinnista. Samankaltaisen setin lisään verkkokauppani tilauksen teon yhteyteen.

Tietoturvan olen hoitanut asianmukaisesti. Paperiset rekisterit ovat lukitussa tilassa ja valvonnan alaisena. Tietotekniikan tietoturva on toteutettu vahvoilla salasanoilla, virustorjunnalla, palomuurilla ja langattoman verkon vahvalla salauksella. Arkaluontoinen tieto suojataan erillisellä salauksella (kryptauksella).

Kategoriat Yrittäjyys.