TORI-TERVEYDEN ASIAKASREKISTERIN TIETOSUOJASELOSTE
Tässä asiakirjassa selvitetään muun muassa rekisterinpitäjän yhteystiedot, rekisteröityjen henkilöiden oikeudet, rekisteriin tallennettavat henkilötiedot ja tietojen tallentamisen tarkoitus sekä tietojen suojaamisen ja luovuttamisen periaatteet. Henkilötietorekistereistä tulee laatia rekisteriselosteet nojaten henkilötietolakiin sekä Euroopan Unionin yleiseen tietosuoja-asetukseen. Tämä tietosuojaseloste toimii laajennettuna rekisteriselosteena, ja se pidetään yrityksen tiloissa vapaasti saatavilla. Jokaisen rekisteriin rekisteröidyn henkilön on syytä tutustua huolella tähän tietosuojaselosteeseen.
REKISTERIN NIMI
Hämeenlinnan Tori-Apteekin terveyspiste Tori-Terveys (myöhemmin ”Rekisteri”).
REKISTERINPITÄJÄ
Rekisteriä pitää Pharmacy Advisory Custom Shop Oy (myöhemmin ”Yritys”).
Yhteystiedot:
Pharmacy Advisory Custom Shop Oy
c/o Hämeenlinnan Tori-Apteekin Tori-terveys
Hallituskatu 9, 13100 Hämeenlinna
p. 03 630 600
Sähköposti: toriapteekki.hml@toriapteekki.fi
​
REKISTERIN YHTEYSHENKILÖ
Rekisteriin liittyvissä kysymyksissä ja muissa rekisteriä koskevissa asioissa tulee ottaa yhteyttä Yrityksen toimitusjohtajaan ja Hämeenlinnan Tori-Apteekin apteekkariin Jukka Niemeen.
Jukka Niemi
Hallituskatu 9, 13100 Hämeenlinna
p. 03 630 600
Sähköposti: toriapteekki.hml@toriapteekki.fi
YRITYKSEN TIETOSUOJAVASTAAVA
Yrityksen tietosuojavastaavana toimii Laura Toivonen.
REKISTERIN JULKISUUS
Rekisterin sisältämät tiedot on rajoitettu Yrityksen tiedoiksi. Rekisterin henkilötietoihin pääsee käsiksi vain Yrityksen tietosuojavastaavan valtuuttamalla käyttöoikeudella, ja rekisterin tietojärjestelmien käyttäjätunnuksien julkisuutta rajoitetaan tietosuojallisista syistä. Tietojärjestelmien käyttö perustuu salasanoihin ja Sote-ammattikorttiin, joilla rajataan sekä Yrityksen että edellä mainittujen apteekkien työntekijöiden pääsy vain heidän työnsä kannalta oleellisiin tietoihin.
​
Ajanvaraustiedot
Hämeenlinnan Tori-Apteekin henkilökunta pääsee varaaman asiakkaille aikoja Hämeenlinnan Tori-Apteekin Tori-Terveyteen. Edellä mainittu henkilökunta näkee rekisteröityjen asiakkaiden nimen, henkilötunnuksen, yhteystiedot ja heille varatut palvelut. Apteekin henkilökunta ei näe asiakkaalle kirjattuja terveystietoja. Asiakkaiden terveystietoja pääsee selaamaan ja käsittelemään vain Tori-Terveyden sairaanhoitaja Sote-ammattikortin/salasanatunnistautumisen kautta.
Yrityksen käyttämä ajanvaraus- ja potilastietojärjestelmä on Ajas asiakashallinta jonka toimittaa Eneroc Oy. Koska Eneroc Oy vastaa järjestelmän teknisestä hallinnoinnista ja teknisestä tuesta, on Eneroc Oy:n työntekijöillä mahdollisuus selata Rekisterin tietoja suorittaessaan työtehtäviään. Yrityksen ja Eneroc Oy:n välillä on tehty sopimus henkilötietojen lainmukaisesta ja luottamuksellisesta käsittelystä.
​
Potilastiedot
Tori-Terveydessä vastaanotettujen potilaiden potilastiedot tallennetaan Ajas asiakashallintajärjestelmään. Terveystietoja tietoja pääsevät käsittelemään vain Tori-Terveyden sairaanhoitaja. Sairaanhoitajalla on pääsy kaikkien potilaiden tietoihin. Järjestelmän käyttö perustuu henkilökohtaiseen käyttäjätunnukseen ja salasanaan tai Sote-ammattikorttiin.
Yrityksen Tori-Terveys käyttää potilastietojärjestelmää Ajas, jonka toimittaa Eneroc Oy:n tytäryhtiö Ajas Oy (myöhemmin ”Ajas”). Koska Ajas vastaa järjestelmän teknisestä hallinnoinnista ja teknisestä tuesta, on Ajasin työntekijöillä mahdollisuus selata Rekisterin tietoja suorittaessaan työtehtäviään. Yrityksen ja Ajasin välillä on tehty sopimus henkilötietojen lainmukaisesta ja luottamuksellisesta käsittelystä.
Alkaen 5.9.2022, Ajas on ollut sertifioitu A1 luokan potilastietojärjestelmä, joka käyttää Atostekin eRA -välityspalvelua Kanta-liitynnän toteuttamiseen.
Ajas-järjestelmässä oletusarvoisesti potilastietomerkinnät tallentuvat vain Kantaan. Jos Ajas-järjestelmään tallennetaan esimerkiksi luonnoksia palveluntarjoajan tarpeen niin edellyttäessä, se tallentuu kryptattuna ja kryptausavaimet säilytetään erillään. Potilaskirjaukset ja henkilötiedot ovat näin erillään toisistaan.
HENKILÖTIETOJEN KÄSITTELYN TARKOITUS
Henkilötietoja kerätään tiettyä, nimenomaista ja laillista tarkoitusta varten. Koska Tori-Terveys harjoittaa vastaanottotoimintaa, sitoo kertyvää potilastietoa Suomen lain asettama arkistointivelvoite. Kaikki henkilötiedot kerätään terveydenhuoltotoimintaa ohjaavan lain edellyttämässä laajuudessa (nimi, henkilötunnus, osoite, puhelinnumero).
Tori-Terveyden asiakkaiden yksilöinti- ja ajanvaraustietoja käsitellään vastaanottoaikojen varaamiseksi, asiakkuuden hallintaa varten sekä tarvittaessa suoritettavaa asiakasviestintää varten (ajanvarauksen peruutukset ja siirrot. Asiakkaan puhelinnumeroa ja sähköpostiosoitetta ei käytetä suoramarkkinointiin.
Rekisteriin kerätään edellä mainittuja henkilötietoja asiakkaiden suostumuksella. Asiakas antaa suostumuksensa tietojensa tallentamiseen sähköiseen ajanvarausjärjestelmään tehdessään varauksen ajanvarausjärjestelmän kautta tai varatessaan aikaa puhelimitse, jolloin henkilökuntaan kuuluva henkilö lisää tiedot ajanvarausjärjestelmään. Sairaanhoitaja kerää suullisia suostumuksia vastaanotollaan. Yritys edellyttää, että suostumukset annetaan aidosti ja totuudenmukaisesti. Henkilötietoja käsitellään tämän tietosuojaselosteen mukaisesti eikä niitä missään tilanteessa luovuteta, muuteta tai siirretä eri tavalla kuin tässä tietosuojaselosteessa on mainittu.
REKISTERIN TIETOSISÄLTÖ
Potilaan tiedot
Potilastietojärjestelmään kirjataan vastaanotetun henkilön nimi ja henkilötunnus. Tarvittaessa myös puhelinnumero ja osoitetiedot voidaan tallentaa. Lisäksi voidaan tallentaa mitä tahansa sekalaista terveystietoa, jonka sairaanhoitaja katsoo vaikuttavan potilaalle annettavaan hoitoon ja neuvontaan. Tällaisia tietoja voivat olla esimerkiksi perussairaudet, allergiat, yliherkkyydet ja suunnitellun hoidon vasta-aiheisuus.
​
Potilaskertomus
Hoitokäynnin jälkeen potilastietojärjestelmään kirjataan potilaskertomus, joka sisältää esitiedot (anamneesi), annetun hoidon tarvikkeineen ja annetun lääkehoidon eräkirjauksineen. Potilaskertomus laaditaan siinä laajuudessa, kuin sairaanhoitaja katsoo tarpeelliseksi pyrkien kuitenkin aina tallennettavan tiedon määrän minimoimiseen.
SÄÄNNÖNMUKAISET TIETOLÄHTEET
Säännönmukainen tieto kerätään suullisesti asiakkaalta suoraan tai asiakkaan huoltajalta. Potilastiedot kerätään ilman suostumusta, sillä niiden tallentaminen perustuu arkistointivelvoitteeseen ja on Tori-Terveyden palvelujen käyttämisen edellytys.
TIETOJEN SÄÄNNÖNMUKAISET LUOVUTUKSET
Yritys on tehnyt päätöksen luovuttaa sen hallussa olevia tietoja vain yrityskaupan yhteydessä. Liiketoimintaa myydessä potilasasiakirjat eivät kuitenkaan ole kauppatavaraa. Tori-Terveyden asiakkailla on hoitosuhde Yrityksen kanssa, ja Yritys jatkaa potilastietojen rekisterinpitäjänä, vaikka Tori-Terveyden toiminta siirtyisikin toiseen omistukseen. Yrityksellä on vastuu potilasasiakirjojen säilyttämisestä niiden arkistointivelvoitteen loppumiseen saakka.
Yritys luovuttaa yksittäistapauksessa asiakkaan tai sidosryhmän tiedot osoitetulle osapuolelle, jos asianomainen pyytää Yritystä toimimaan edellä mainitulla tavalla tai jos lainsäädäntöön perustuen lainvoimainen viranomainen vaatii Yritystä luovuttamaan erikseen yksilöidyn tiedon Yrityksen hallussa olevasta tietokannasta.
TIETOJEN SIIRTO KOLMANTEEN MAAHAN TAI KANSAINVÄLISELLE JÄRJESTÖLLE
Yritys on tehnyt päätöksen olla siirtämättä Yrityksen hallussa olevia tietoja automaattisesti kolmansiin maihin tai kansainväliselle järjestölle. Yritys luovuttaa yksittäistapauksessa tiedot kolmansiin maihin tai kansainväliselle järjestölle, jos asiakas tai sidosryhmä on tähän tarkoitukseen antanut Yritykselle mandaatin toimia edellä mainitulla tavalla ja Yritys on yhdessä tietosuojavastaavan sekä Suomen tietosuojaviranomaisen kanssa suorittanut riskiperusteiden ja laatujärjestelmän arvioinnin kolmannen maan tietoturvatason todellisesta tasosta.
REKISTERIN SUOJAUKSEN PERIAATTEET
Yritys ottaa huomioon Rekisterin suojauksessa teknisen turvallisuuden ja hallinnolliset sekä tietotekniset vaatimukset. Yritys suojaa Rekisterin perustuen suorittamansa riskiarvioinnin tuloksiin. Vain erikseen nimetyt henkilöt käsittelevät Rekisteriin tallennettuja tietoja.
Tilat, joissa käsitellään henkilötietoja, on suojattu asianmukaisella rakenteellisella suojauksella ja liiketilavartioinnilla. Yrityksen ulkopuoliset henkilöt pääsevät näihin tiloihin vain jatkuvan valvonnan alaisina tai salassapitosopimuksen allekirjoitettuaan. Yrityksen liiketilat lukitaan Yrityksen ollessa kiinni ja liiketilaa vartioidaan liiketunnistimilla, valvontakameroilla ja murtohälytysjärjestelmällä. Rekisterin digitaalinen aineisto koostuu Ajas-potilastietojärjestelmän sisältämistä henkilötiedoista. Digitaalinen aineisto suojataan Yrityksen päätteiden käyttäjäsuojauksella sekä sisäverkon suojauksella, joka koostuu virustorjunnasta ja ohjelmallisista palomuureista. Digitaalisen aineiston fyysiset komponentit suojataan toimitilaturvallisuudella ja kulunvalvonnalla.
Sähköisen ajanvarausjärjestelmän käyttäjätunnuksia Hämeenlinnan Tori-Apteekin työntekijöille. Kyseisen apteekin henkilöstön käyttämät käyttäjätunnukset oikeuttavat heitä pelkästään näkemään listauksen Rekisteröidyistä ja varaamaan uusia aikoja. Pelkästään Tori-Terveyden sairaanhoitaja voi tarkastella Rekisteröityjen muita henkilötietoja. Tarkasteluoikeus rajataan käyttäjätunnuksilla ja salasanoilla.
Sähköisen potilastietojärjestelmän palvelin sijaitsee Ajasin tiloissa ja on Ajasin ylläpitämä. Järjestelmän tietojen säilytyksestä ja varmuuskopioinnista vastaa Ajas. Henkilötiedot salataan sekä siirtojen että säilytyksen aikana.
Ajasin ajantasainen tietosuojakäytäntö on luettavissa osoitteessa:
https://www.ajas.fi/tietosuojaseloste/
https://www.ajas.fi/ajas-ja-gdpr/
REKISTERÖIDYN OIKEUDET
Tarkastusoikeus
Rekisteröidyllä on oikeus tarkastaa, mitä häntä koskevia tietoja rekisteriin on tallennettu. Lisäksi hänellä on riittävän tarkan ja yksilöidyn tarkastuspyynnön tehtyään oikeus saada tietoonsa itseään koskevat ja tallenteiden sisältämät tiedot. Tarkastuspyyntö tulee osoittaa kirjallisesti ja allekirjoitettuna suljetussa kirjekuoressa toimitusjohtaja Jukka Niemelle.
Oikeus vaatia tiedon korjaamista ja poistamista
Yrityksellä on omatoimisen toiminnan kautta velvoite varmistua Rekisteriin tallennettavien tietojen asiallisuudesta ja oikeellisuudesta, sekä korjata jälkikäteen havaitut virheet. Yrityksen on korjattava Rekisteröidyn osoittama virheellinen tieto Rekisterissä, jos Rekisteröity kykenee riittävän vankoilla todisteilla todistamaan tiedon virheelliseksi, ja jos tiedon korjaamisella on selkeä vaikutus kyseisen tiedon käyttämiseen tulevaisuudessa.
Yritys ei ole velvollinen korjaamaan Rekisterin vanhentuneita tietoja, joita säilytetään vain arkistointitarkoituksessa. Yritys ei myöskään ole velvollinen tarkastamaan ja ylläpitämään säilytettävien henkilötietojen ajantasaisuutta, sillä tietoja tallennetaan Rekisteriin suoritekohtaisesti. Rekisteröity ei voi vaatia Yritystä poistamaan sellaisia tietoja Rekisteristä, joita säilytetään viranomaisten vaatimuksesta (Tietojen poistaminen ja säilytysaika).
Muut henkilötietojen käsittelyyn liittyvät oikeudet
Rekisteröidyllä on oikeus vaatia henkilötietojen käsittelyn rajoittamista. Rekisteröidyllä on myös oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle. Lisäksi rekisteröidyllä on oikeus vastustaa tietojen käsittelyä, automaattista päätöksentekoa ja profilointia.
REKISTERIIN TALLENNETTAVIEN INFORMOINTI
Asiakasta on tiedotettu rekisteröimisestä aikaa varatessaan ja asiakkaalle on tehty selväksi, että hän voi koska tahansa pyytää tietojen poistamista. Rekisteröitymisen yhteydessä tarjotaan nähtäväksi tämä tietosuojaseloste. Ajantasainen seloste on aina saatavilla sekä Hämeenlinnan Tori-Apteekin Tori-Terveydestä että apteekin nettisivuilta.
​
TIETOJEN POISTAMINEN JA SÄILYTYSAIKA
Yritys poistaa rekisteristä asiakkaan tiedot, kun tietojen käsittelylle ei ole enää liiketoiminnallista perustetta tai jos asianomainen itse lakiin perustuen vaatii Yritystä poistamaan häntä koskevat tiedot. Tiedot tuhotaan poistamalla sähköisestä ajanvarausjärjestelmästä, kun tietojen käsittelylle tai säilyttämiselle ei ole enää perustetta.
Tiettyjä Rekisteriin tallennettavia henkilötietoja koskee laissa määrätty arkistointivelvoite. Näitä tietoja ei poisteta Rekisteröidyn pyynnöstä. Tiedot hävitetään arkaluontoisen materiaalin hävitysvaatimuksia noudattaen välittömästi, kun tietojen arkistointivelvoite lakkaa.
Rekisteriin tallennettujen tietojen arkistointivelvoitteet ovat seuraavat:
Rekisteröityjen nimi ja henkilötunnus sekä kaikki heidän potilastietonsa ja potilaskertomukset lasketaan lain määrittelemiksi ”potilasasiakirjoiksi”, joita säilytetään
12 vuotta potilaan kuolemasta (Sosiaali- ja terveysministeriön asetus potilasasiakirjoista 298/2009). Jos kuolemasta ei ole tietoa, säilytetään tietoja 120 vuotta potilaan syntymästä.
Potilasasiakirjoja ei kuitenkaan poisteta edellä mainittujen määräaikojen kuluttua, jos laissa määrätään eri tavalla tai toimivaltainen viranomainen on käynnistänyt prosessin, joka edellyttää Yritystä säilyttämään tietoja tai muu taho on hakenut Suomen oikeudelta turvasuojaamispäätöstä tiedoille.
TIETOSUOJASELOSTEEN HYVÄKSYNTÄ
Tietosuojaseloste on hyväksytty jatkuvana ja tarkastettu 30.7.2024