·

Teknologian käyttöönotto

Terveydenhuolto

Klinisti

GDPR-vaatimustenmukaisuus terveydenhuollossa: käytännön opas kliinikoille

Ymmärrä kliinikkojen GDPR-velvoitteet: lailliset perusteet, potilaan oikeudet, tietojen jakaminen, tekoälytyökalut ja käytännön vaatimustenmukaisuuden vaiheet päivittäisessä kliinisessä työssä

Terveydenhuollon ammattilainen varmistaa potilastietojen yksityisyyden ja turvallisuuden

Yleisen tietosuoja-asetuksen (GDPR) velvoitteet koskevat jokaista potilastietoja käsittelevää henkilöä, eivät vain tiedonhallintatiimiä tai lakiosastoja. Perusterveydenhuollossa, erikoissairaanhoidossa ja yksityisessä terveydenhuollossa työskenteleville kliinikoille rutiininomainen toiminta, kuten sairauskertomusmerkintöjen kirjoittaminen, lähetteen lähettäminen tai kolmannen osapuolen tekoälylääkäriavustajan käyttö, sisältää kaikki erityisiä oikeudellisia vastuita. Näiden vastuiden ymmärtäminen käytännön tasolla on tärkeää, kun digitaaliset terveystyökalut, etävastaanotot ja rajat ylittävät tietovirrat ovat muuttuneet kliinisen työn vakiintuneiksi piirteiksi.

Miksi terveystiedot saavat erityissuojaa GDPR:n nojalla

GDPR:n 9 artiklan mukaan terveystiedot luokitellaan henkilötietojen "erityiseksi kategoriaksi", joka saa korkeamman oikeudellisen suojan kuin tavalliset henkilötiedot, kuten nimi tai osoite. Tämä luokittelu heijastaa lääketieteellisten tietojen erityistä arkaluonteisuutta ja mahdollisuutta vakavaan haittaan, kuten syrjintään, leimautumiseen tai taloudelliseen vahinkoon, jos ne paljastetaan ilman lupaa.

Käytännössä tämä tarkoittaa, että terveystietojen käsittely vaatii paitsi 6 artiklan mukaisen laillisen perusteen (joka koskee kaikkia henkilötietoja), myös erillisen lisäedellytyksen 9 artiklan 2 kohdan nojalla. Kliinikoiden kannalta merkityksellisimpiä näistä edellytyksistä ovat lääketieteellinen hoito ja kansanterveys. Vaatimus täyttää molemmat tasot samanaikaisesti on perustavanlaatuinen vaatimustenmukaisuusvelvoite, joka koskee jokaista kliinistä kohtaamista.

Euroopan tietosuojavaltuutettu on johdonmukaisesti korostanut, että erityiskategoria-asema edellyttää myös organisaatioilta tietosuojan huomioimista suunnittelusta lähtien sekä vankkoja suojatoimia. Tämä koskee paitsi aktiivisen väärinkäytön välttämistä, myös syrjivän profiloinnin estämistä ja tietojen suojaamista koko niiden elinkaaren ajan, mukaan lukien kliiniset tutkimukset ja mobiiliterveyssovellukset.

Vuonna 2025 julkaistu vertaisarvioitu vertaileva analyysi vahvisti, että GDPR edellyttää kattavia vastuullisuustoimenpiteitä lääketieteellisille tiedoille ja että terveystiedot ovat lisäeettisten ja ammatillisten suojatoimien alaisia tavallisille henkilötiedoille vaadittavien toimien lisäksi verrattavissa puitteissa, kuten HIPAA:ssa (Health Insurance Portability and Accountability Act).

Lailliset perusteet, joita kliinikot tosiasiallisesti käyttävät

Suurin osa kliinisestä tietojenkäsittelystä suorissa hoitoympäristöissä perustuu yhteen kahdesta ensisijaisesta laillisesta perusteesta:

  • GDPR:n 9 artiklan 2 kohdan h alakohta kattaa käsittelyn, joka on tarpeen ennaltaehkäisevää tai työterveyshuoltoa, lääketieteellistä diagnoosia, terveydenhuollon tai sosiaalihuollon tarjoamista tai hoitoa taikka terveydenhuollon tai sosiaalihuollon järjestelmien hallinnointia varten. Tämä on ensisijainen peruste rutiininomaisille sairauskertomusmerkinnöille, lähetteille ja moniammatillisille tiimikeskusteluille.

  • 6 artiklan 1 kohdan c alakohta kattaa käsittelyn, joka on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi (esimerkiksi ilmoitettavien tautien pakollinen ilmoittaminen).

  • 6 artiklan 1 kohdan e alakohta kattaa käsittelyn, joka on tarpeen yleistä etua koskevan tehtävän suorittamiseksi, jota sovelletaan ensisijaisesti kansallisen terveyspalvelun ja julkisesti rahoitettujen terveydenhuolto-organisaatioiden toimintaan.

Kuten heyDatan vaatimustenmukaisuusohjeistus lääkärikäytännöille toteaa, nimenomaista suostumusta ei aina vaadita. Lääketieteellinen tarve ja lakisääteinen velvoite ovat päteviä ja sopivia vaihtoehtoja suurimmassa osassa suoria hoitoskenaarioita. Kliinikoiden ei tarvitse hankkia erillistä GDPR-suostumuslomaketta potilaalta ennen sairauskertomusmerkinnän kirjoittamista tai epikriisin lähettämistä toiselle hoitavalle kliinikolle.

Potilaan suostumus kliinisissä ympäristöissä: milloin sitä tarvitaan ja milloin ei

Yksi sitkeimmistä väärinkäsityksistä kliinisissä ympäristöissä on, että GDPR vaatii nimenomaisen potilaan suostumuksen kaikkeen tietojenkäsittelyyn. Suorassa hoidossa näin ei ole. Dratan terveydenhuollon vaatimustenmukaisuusopas tekee selväksi, että suostumus on vain yksi useista pätevistä laillisista perusteista ja että monissa kliinisissä yhteyksissä se ei ole sopivin.

GDPR:n mukaisen suostumuksen on oltava vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen. Kliinisessä suhteessa, jossa potilaan ja klinikon välillä on luontainen valta-asetelma, suostumukseen ensisijaisena laillisena perusteena luottaminen rutiininomaisten hoitotietojen osalta voi olla ongelmallista. Potilaat saattavat tuntea, etteivät voi kieltäytyä vaikuttamatta hoitoonsa.

Suostumus on sopiva laillinen peruste, kun:

  • Käsitellään tietoja tutkimustarkoituksiin, joita ei kata erillinen tutkimuseettinen viitekehys

  • Käytetään potilastietoja markkinointiin tai kaupalliseen viestintään

  • Jaetaan tunnistettavia tietoja kolmansille osapuolille suoran hoitotiimin ulkopuolelle hoitoon liittymättömiin tarkoituksiin

  • Otetaan käyttöön valinnaisia digitaalisia terveystyökaluja, jotka käsittelevät henkilötietoja enemmän kuin on kliinisesti tarpeen

Rutiininomaisiin sairauskertomusmerkintöihin, lähetteisiin, epikriiseihin ja moniammatilliseen viestintään 9 artiklan 2 kohdan h alakohta tarjoaa laillisen perusteen ilman erillistä suostumusta, edellyttäen että käsittely on tarpeen kliiniseen tarkoitukseen nähden ja oikeasuhteista.

Mikä lasketaan GDPR-rikkomukseksi kliinisessä yhteydessä

Henkilötietojen tietoturvaloukkaus määritellään GDPR:ssä henkilötietojen tahattomaksi tai laittomaksi tuhoamiseksi, häviämiseksi, muuttamiseksi, luvattomaksi luovuttamiseksi tai niihin luvattomaksi pääsyksi. Terveydenhuollossa loukkaukset eivät usein johdu ulkoisista kyberhyökkäyksistä, vaan syntyvät jokapäiväisistä kliinisistä työnkuluista.

Yleisiä esimerkkejä kliinisessä käytännössä:

  • Väärin osoitetut potilaskirjeet tarkoittavat kliinisiä tietoja sisältävän kirjeen lähettämistä väärään osoitteeseen tai väärän potilaan tietojen liittämistä sähköpostiin

  • Suojaamaton potilastietojärjestelmän käyttöoikeus tarkoittaa kliinisen työaseman jättämistä kirjautuneena ja valvomatta jaetussa ympäristössä

  • Suulliset paljastukset julkisissa tiloissa tarkoittavat tunnistettavien potilastietojen käsittelyä käytävillä, odotustiloissa tai puhelimessa, missä muut voivat kuulla

  • Tietojen jakaminen ilman lupaa tarkoittaa potilastietojen välittämistä kolmannelle osapuolelle (mukaan lukien perheenjäsen) ilman dokumentoitua laillista perustetta

  • Vaatimustenmukaisuutta noudattamattomien viestintätyökalujen käyttö tarkoittaa sitä, että kuluttajatason alustat, kuten Zoom tai WhatsApp, eivät sovellu tunnistettavien kliinisten tietojen välittämiseen, koska ne eivät täytä GDPR:n tietoturva- ja tietojenkäsittelysopimusvaatimuksia

GDPR:n mukaan loukkaukset, jotka todennäköisesti aiheuttavat riskin yksityishenkilöille, on ilmoitettava asianomaiselle valvontaviranomaiselle 72 tunnin kuluessa siitä, kun organisaatio on tullut niistä tietoiseksi. Loukkaukset, jotka aiheuttavat suuren riskin yksityishenkilöille, on myös ilmoitettava suoraan asianomaisille. GDPR Registerin terveydenhuollon ohjeistus toteaa, että tämä 72 tunnin kello alkaa, kun organisaatio, ei välttämättä yksittäinen kliinikko, tulee ensimmäisen kerran tietoiseksi, mikä tekee nopeasta sisäisestä ilmoittamisesta olennaista.

Potilastietojen jakaminen: lähetteet, epikriisit ja kolmannet osapuolet

Potilastietojen jakaminen suoran hoitotiimin sisällä, mukaan lukien yleislääkäreiden, erikoislääkäreiden, sairaanhoitajien ja muiden potilaan hoitoon osallistuvien terveydenhuollon ammattilaisten välillä, on yleensä laillista 9 artiklan 2 kohdan h alakohdan nojalla, edellyttäen että jakaminen on tarpeen kliiniseen tarkoitukseen nähden ja oikeasuhteista. Toimintaperiaate on "tarpeellinen tieto": vain vastaanottavan klinikon rooliin potilaan hoidossa liittyvät tiedot tulisi jakaa.

Käytännössä tämä tarkoittaa:

  • Lähetteen tulisi sisältää kliiniset tiedot, jotka vastaanottava erikoislääkäri tarvitsee, ei potilaan koko sairaushistoriaa

  • Epikriisi tulisi lähettää yleislääkärille ja asianomaisille hoitotiimin jäsenille, ei jaettavaksi laajemmin ilman kliinistä perustetta

  • Tietojen jakaminen potilaan työnantajalle, vakuutusyhtiölle tai asianajajalle vaatii nimenomaisen potilaan suostumuksen tai erillisen laillisen perusteen

Kun jaetaan tietoja kolmannen osapuolen järjestelmien, kuten potilastietojärjestelmien, diagnostisten laboratorioiden tai etälääketiedepalveluiden kanssa, tietojenkäsittelysopimus on oltava voimassa ennen tietojen siirtämistä. Tämä on GDPR:n 28 artiklan mukainen sopimusvaatimus, ja tietojenkäsittelysopimuksen puuttuminen on vaatimustenmukaisuuden laiminlyönti riippumatta siitä, tapahtuuko loukkaus.

Potilaan ilmoittamista ei yleensä vaadita jakamiseen suoran hoitotiimin sisällä, edellyttäen että organisaation tietosuojaseloste, jonka potilaat saavat rekisteröitymisen tai ensimmäisen yhteydenoton yhteydessä, kuvaa tarkasti, miten heidän tietojaan käytetään hoitotarkoituksiin.

GDPR ja kliiniset tekoälytyökalut: mitä kliinikoiden tulisi kysyä ennen niiden käyttöä

Tekoälylääkäriavustajien, Ambient Voice Technology (AVT) -teknologian ja muiden kolmannen osapuolen kliinisten ohjelmistojen käyttöönotto tuo mukanaan erityisiä GDPR-velvoitteita, jotka kliinikoiden ja heidän organisaatioidensa on käsiteltävä ennen käyttöönottoa, ei sen jälkeen.

Jokainen työkalu, joka käsittelee potilastietoja terveydenhuolto-organisaation puolesta, on GDPR:n mukainen tietojenkäsittelijä. Tämä tarkoittaa, että terveydenhuolto-organisaation (rekisterinpitäjänä) on varmistettava, että:

  • Tietojenkäsittelysopimus on voimassa toimittajan kanssa

  • Toimittaja käsittelee tietoja vain rekisterinpitäjän dokumentoiduilla ohjeilla

  • Asianmukaiset tekniset ja organisatoriset turvatoimet ovat käytössä, mukaan lukien salaus, pääsynhallinta ja auditointiloki

  • Datan sijainti on selkeästi määritelty, mikä on erityisen merkityksellistä EU-pohjaisille organisaatioille, joissa toimittajan käsittelemät potilastiedot Euroopan talousalueen (ETA) ulkopuolella olevilla palvelimilla voivat edellyttää lisäsiirtosuojatoimia

Vertaisarvioitu katsaus tekoälypohjaisiin terveydenhuollon laitteisiin havaitsi, että kliinisen tekoälyn hallintakehysten on käsiteltävä tietojen minimointi, käyttötarkoituksen rajoittaminen ja vastuullisuusmekanismit ydinvaatimuksina.

Tutkimus yksityisyyttä suojaavan tekoälyn käyttöönotosta kliinisissä ympäristöissä on osoittanut, että paikalliset, offline-tekoälyjärjestelmät voivat noudattaa tiukkoja tietosuojavaatimuksia säilyttäen samalla kliinisen hyödyllisyyden. Tämä lähestymistapa voi vähentää pilvipohjaisen käsittelyn rajat ylittäviin siirtoihin liittyviä riskejä riippuen kyseisen työkalun erityisestä arkkitehtuurista ja käyttöönottomallista.

Ennen minkään tekoälykliinisen työkalun käyttöönottoa kliinikoiden ja heidän organisaatioidensa tulisi kysyä:

  • Missä potilastietoja käsitellään ja tallennetaan? Tapahtuuko se ETA:n sisällä vai sisältääkö käsittely siirtoja kolmansiin maihin?

  • Onko toimittajalla ISO 27001 -sertifikaatti tai vastaava tunnustettu tietoturvastandardi? ISO 27001 on kansainvälisesti tunnustettu tietoturvan hallintastandardi.

  • Onko tietosuojaa koskeva vaikutustenarviointi (DPIA) suoritettu? GDPR edellyttää DPIA:ta, strukturoitua yksityisyysriskien arviointia, kaikelle käsittelylle, joka todennäköisesti aiheuttaa suuren riskin, mikä sisältää laajamittaisen terveystietojen käsittelyn tekoälyjärjestelmillä.

  • Mikä on toimittajan tietojen säilytys- ja poistopolitiikka? Voidaanko tiedot poistaa pyynnöstä, ja onko tämä dokumentoitu?

  • Onko työkalu rekisteröity lääkinnälliseksi laitteeksi, jos sovellettavissa EU MDR:n (Euroopan lääkinnällisen laitteen asetus) nojalla?

Dratan ohjeistus toteaa, että DPIA:ta tulisi käsitellä elävänä asiakirjana, jota tarkastellaan ja päivitetään aina, kun käsittelytoiminta muuttuu olennaisesti, ei suoritettavana kerran hankinnassa ja arkistoitavana.

Monet kliiniset ympäristöt toimivat aika- ja resurssipaineiden alaisina, mikä tekee perusteellisesta toimittajan due diligence -tarkastuksesta haastavaa. Näissä yhteyksissä organisaatioiden saattaa olla tarpeen priorisoida riskiperusteista lähestymistapaa ja kohdistaa tiukin tarkastelu niihin työkaluihin, jotka käsittelevät arkaluonteisimpia tietoja laajimmassa mittakaavassa.

Potilaiden oikeudet, joita kliinikot todennäköisesti kohtaavat

Potilailla on GDPR:n nojalla määritelty joukko oikeuksia, joiden toteuttaminen terveydenhuolto-organisaatioiden on lain mukaan mahdollistettava. Kliinisessä käytännössä yleisimmin kohdattavat oikeudet ovat:

Oikeus saada pääsy tietoihin (tietosubjektin tietopyyntö): Potilailla on oikeus saada kopio henkilötiedoistaan, mukaan lukien sairauskertomusmerkinnät, kuukauden kuluessa pyynnön esittämisestä. Tätä ajanjaksoa voidaan pidentää kahdella kuukaudella monimutkaisissa tai lukuisissa pyynnöissä ilmoittamalla siitä potilaalle. Kliinikoiden tulisi olla tietoisia siitä, että pääsypyynnöt on täytettävä, vaikka tiedot olisivat kliinisesti arkaluonteisia, mutta kolmannen osapuolen tiedot (kuten tiedot toisesta potilaasta) tulisi peittää.

Oikeus oikaista tiedot: Potilaat voivat pyytää virheellisten henkilötietojen korjaamista. Kliinisessä yhteydessä tämä saattaa tarkoittaa asiallisen virheen korjaamista tiedoissa, mutta se ei oikeuta potilasta vaatimaan klinikon ammatillisen mielipiteen tai kliinisen arvion muuttamista.

Oikeus tietojen poistamiseen ("oikeus tulla unohdetuksi"): Tämä oikeus on merkittävästi rajoitettu terveydenhuollossa. GDPR Registerin sektoriohjeistus vahvistaa, että oikeus poistamiseen ei koske tilanteita, joissa käsittely on tarpeen terveydenhuollon tarjoamiseksi tai joissa säilyttäminen vaaditaan lailla, mikä sairauskertomusmerkintöjen osalta on lähes aina tilanne. Potilaat eivät voi vaatia sairauskertomusmerkintöjensä poistamista sovellettavan säilytysajan aikana.

Oikeus tietojen siirrettävyyteen: Potilailla on oikeus saada tietonsa jäsennellyssä, yleisesti käytetyssä, koneellisesti luettavassa muodossa. Tämä on merkityksellistä digitaalisen terveydenhuollon yhteyksissä ja yhä tärkeämpää, kun potilaille suunnatut portaalit ja sovellukset yleistyvät.

Tietojen minimointi kliinisessä dokumentaatiossa

GDPR:n 5 artiklan 1 kohdan c alakohdassa esitetty tietojen minimointiperiaate edellyttää, että henkilötietojen on oltava asianmukaisia, olennaisia ja rajoitettuja siihen, mikä on tarpeen niihin tarkoituksiin, joita varten niitä käsitellään. Kliinikoiden osalta tällä on suoria vaikutuksia siihen, miten sairauskertomusmerkinnät kirjoitetaan ja jäsennetään.

Käytännössä tietojen minimointi tarkoittaa:

  • Kliinisten tietojen kirjaamista, jotka ovat tarpeen turvallisen, jatkuvan hoidon tukemiseksi, ei kattavia elämäkerrallisia tai sosiaalisia yksityiskohtia, jotka eivät ole kliinisesti merkityksellisiä

  • Kolmannen osapuolen tietojen (kuten perheenjäsenten tietojen) rutiininomaisen sisällyttämisen välttämistä, ellei se ole suoraan merkityksellistä kliiniselle kuvalle

  • Strukturoitujen mallipohjien käyttöä, jotka ohjaavat täyttämään merkitykselliset kentät vapaamuotoisten merkintöjen sijaan, jotka saattavat sisältää ylimääräisiä henkilötietoja

  • Sen tarkastelua, mitä tietoja potilastietojärjestelmät esitäyttävät tai automaattisesti keräävät, ja sen varmistamista, että se heijastaa todellista kliinistä tarvetta

DPO Consultingin vuoden 2025 terveydenhuollon opas tunnistaa tietojen minimoinnin yhdessä käyttötarkoituksen rajoittamisen kanssa kahdeksi useimmiten huomiotta jätetyksi periaatteeksi kliinisissä ympäristöissä, erityisesti organisaatioissa, jotka siirtyvät paperipohjaisista digitaalisiin tietoihin, joissa lisätietojen keräämisen helppous voi ylittää kliinisen perustelun sen tekemiselle.

Sairauskertomusmerkintöjen säilytysajat Euroopassa

GDPR ei määrää erityisiä säilytysaikoja sairauskertomusmerkinnöille. Ne määräytyvät kansallisen terveydenhuollon lainsäädännön mukaan, joka on etusijalla tällä alueella. GDPR edellyttää, että tietoja ei säilytetä pidempään kuin on tarpeen niiden tarkoitukseen ja että säilytysajat dokumentoidaan organisaation käsittelytoimien rekisteriin (RoPA).

Havainnollistavia kansallisia säilytysvaatimuksia ovat:

  • Englanti (NHS): Aikuispotilaiden tiedot on yleensä säilytettävä vähintään kahdeksan vuotta viimeisen merkinnän jälkeen. Lapsiin liittyvät tiedot on säilytettävä, kunnes potilas täyttää 25 vuotta tai kahdeksan vuotta kuoleman jälkeen sen mukaan, kumpi on myöhemmin.

  • Saksa: Sairauskertomusmerkinnät ovat säilytysvelvoitteiden alaisia §630f BGB:n nojalla (kymmenen vuotta sairauskertomusmerkinnöille) ja lisäsektorikohtaisten sääntöjen mukaan. Kiteworksin vuoden 2026 analyysi toteaa, että Saksa määrää myös rikosoikeudellisen vastuun §203 StGB:n nojalla potilastietojen laittomasta paljastamisesta terveydenhuollon ammattilaisten toimesta.

  • Ranska: Tiedot säilytetään Code de la Santé Publiquen mukaan, yleinen vähimmäisaika on kaksikymmentä vuotta viimeisestä hoitojaksosta.

  • Alankomaat: WGBO (Wet op de geneeskundige behandelingsovereenkomst) edellyttää säilyttämistä vähintään kaksikymmentä vuotta kirjaamispäivästä.

Käytännön seuraus kliinikoiden kannalta on, että oikeus poistamiseen, vaikka potilas sen pätevästikin esittäisi, ei voi ohittaa lakisääteisiä säilytysvelvoitteita. Potilas, joka pyytää sairauskertomusmerkintöjensä poistamista sovellettavan säilytysajan aikana, voidaan laillisesti evätä tällä perusteella, edellyttäen että kieltäytyminen ilmoitetaan selkeästi ja vaaditun aikarajan sisällä.

Kiteworksin tutkimus on dokumentoinut kansallisten terveysviranomaisten korjaavia toimia ympäri Eurooppaa viime vuosina johtuen vaatimustenmukaisuuden puutteista, joita GDPR yksinään ei käsittele, muistutus siitä, että kansallinen lainsäädäntö on ymmärrettävä asetuksen rinnalla.

Kuka on vastuussa: rekisterinpitäjä vs. tietojenkäsittelijä terveydenhuollossa

Rekisterinpitäjän ja tietojenkäsittelijän välisen eron ymmärtäminen on olennaista vastuullisuuden ja tietoon perustuvien päätösten tekemisen kannalta toimittajan valinnassa ja kliinisten työkalujen käyttöönotossa.

Rekisterinpitäjä: Taho, joka määrittää henkilötietojen käsittelyn tarkoitukset ja keinot. Terveydenhuollossa tämä on tyypillisesti NHS-säätiö, terveyskeskus, sairaala tai yksityinen klinikka, ei yksittäinen kliinikko. Rekisterinpitäjä kantaa ensisijaisen oikeudellisen vastuun GDPR-vaatimustenmukaisuudesta.

Tietojenkäsittelijä: Mikä tahansa taho, joka käsittelee henkilötietoja rekisterinpitäjän puolesta. Tämä sisältää potilastietojärjestelmien toimittajat, diagnostiset laboratoriot, pilvitallennuspalveluntarjoajat, tekoälytyökalujen toimittajat ja etälääketieteen alustat. Tietojenkäsittelijöiden on toimittava vain rekisterinpitäjän dokumentoiduilla ohjeilla, ja ne ovat GDPR:n 28 artiklan mukaisten sitovien sopimusvelvoitteiden alaisia.

Ero on tärkeä useista käytännön syistä:

  • Vastuullisuus: Jos tietojenkäsittelijällä tapahtuu loukkaus, rekisterinpitäjä voidaan silti pitää vastuullisena, jos se ei suorittanut riittävää due diligence -tarkastusta tai varmistanut, että asianmukaiset sopimussuojatoimet olivat käytössä.

  • Toimittajan valinta: Tietojenkäsittelijän valitseminen, jolla on ISO 27001 -sertifikaatti, selkeä datan sijaintipolitiikka ja joka voi osoittaa GDPR:n tietojenkäsittelijävelvoitteiden noudattamisen, on rekisterinpitäjätason vastuu.

  • Alitietojenkäsittelijät: Tietojenkäsittelijät voivat käyttää alitietojenkäsittelijöitä (esimerkiksi tekoälytoimittajan käyttämä pilvi-infrastruktuurin tarjoaja), mutta vain rekisterinpitäjän luvalla, ja tietojenkäsittelijä pysyy vastuussa alitietojenkäsittelijän vaatimustenmukaisuudesta.

Accountable HQ:n vuoden 2026 tarkistuslista suosittelee, että organisaatiot ylläpitävät ajantasaista toimittajarekisteriä ja suorittavat säännöllisiä tarkastuksia kaikista aktiivisista tietojenkäsittelysopimuksista, mukaan lukien toimittajan käytöstä poistamisen menettelyt varmistaakseen, että tiedot poistetaan tai palautetaan sopimuksen päättyessä.

Käytännön toimenpiteet, joita kliinikot voivat tehdä pysyäkseen vaatimustenmukaisina päivittäin

GDPR-vaatimustenmukaisuus kliinisessä käytännössä ei vaadi oikeudellista asiantuntemusta. Se vaatii johdonmukaisia toimintatapoja ja tietoisuutta siitä, missä riski syntyy. Seuraavat vaiheet heijastavat yksittäisille kliinikoille suoraan merkityksellisimpiä velvoitteita.

Turvallinen pääsy ja todennus

  • Kirjaudu aina ulos kliinisistä työasemista tai lukitse ne poistuessasi, vaikka vain hetkeksi

  • Älä koskaan jaa kirjautumistietoja kollegoiden kanssa, edes paineen alaisissa tilanteissa

  • Käytä vain organisaation hyväksymiä laitteita ja verkkoja potilastietoihin pääsemiseen

Tietojen jakaminen ja viestintä

  • Jaa vain vähimmäismäärä tarvittavia tietoja lähettäessäsi, eskaloidessasi tai kommunikoidessasi kollegoiden kanssa

  • Älä käytä henkilökohtaisia sähköpostitilejä, kuluttajaviestisovelluksia tai hyväksymättömiä alustoja potilastietojen välittämiseen

  • Varmista vastaanottaja ennen minkään potilasviestinnän lähettämistä, sillä väärin osoitettu kirjeenvaihto on yksi yleisimmistä loukkaustyypeistä terveydenhuollossa

Potilaiden oikeuspyyntöjen käsittely

  • Ole tietoinen siitä, että potilaat voivat esittää tietosubjektin tietopyyntöjä suullisesti tai kirjallisesti, ja kirjaa sekä eskaloi nämä viipymättä asianomaiselle tiedonhallinnan yhteyshenkilölle

  • Älä jätä huomiotta tai viivytä pääsypyyntöjä. Yhden kuukauden vastausaika alkaa välittömästi

  • Ymmärrä, että poistopyyntöjä voidaan yleensä evätä sairauskertomusmerkintöjen osalta lakisääteisen säilytysajan aikana, mutta niihin on vastattava muodollisesti

Uusien kliinisten työkalujen arviointi

  • Ennen minkään kolmannen osapuolen ohjelmiston käyttöönottoa, joka käsittelee potilastietoja, varmista, että tietojenkäsittelysopimus on voimassa ja että DPIA on suoritettu

  • Kysy toimittajilta suoraan datan sijainnista, alitietojenkäsittelijöistä ja tietoturvasertifikaateista

  • Eskalaa asia tiedonhallintaasi tai tietosuojavastaavallesi, jos näihin kysymyksiin ei voida vastata selkeästi

Dokumentaatio ja koulutus

  • Tutustu organisaatiosi tietosuojaselosteeseen ja tietojen säilytyspolitiikkaan, sillä ne määrittelevät laillisen käsittelyn rajat ympäristössäsi

  • Osallistu tietosuojakoulutukseen, mukaan lukien skenaariopohjaiset harjoitukset, jotka kattavat loukkausten tunnistamisen ja reagoinnin

  • Jos olet epävarma siitä, onko tietty tietojen jakaminen tai käsittelytoiminta laillista, pyydä ohjausta organisaatiosi tietosuojavastaavalta ennen jatkamista

Terveystietojen sääntelymaisema kehittyy edelleen, ja Euroopan terveystietoavaruuden viitekehys tuo uusia välineitä tietojen jakamiseen ja hallintaan, jotka ovat vuorovaikutuksessa olemassa olevien GDPR-velvoitteiden kanssa tavoilla, joita kansalliset sääntelyviranomaiset ja tuomioistuimet edelleen tulkitsevat. Tietoisena pysyminen kehityksestä sekä EU- että kansallisella tasolla on yhä enemmän osa vastuullista kliinistä käytäntöä, eikä tehtävä, joka voidaan delegoida kokonaan vaatimustenmukaisuustiimeille.

Usein kysytyt kysymykset

▶ Miksi terveystiedot saavat vahvemman suojan GDPR:n nojalla kuin muut henkilötiedot?

Yleisen tietosuoja-asetuksen 9 artiklan mukaan terveystiedot luokitellaan henkilötietojen "erityiseksi kategoriaksi". Tämä heijastaa lääketieteellisten tietojen erityistä arkaluonteisuutta ja mahdollisuutta vakavaan haittaan, kuten syrjintään, leimautumiseen tai taloudelliseen vahinkoon, jos ne paljastetaan ilman lupaa. Terveystietojen käsittely vaatii 6 artiklan mukaisen laillisen perusteen täyttämisen ja erillisen lisäedellytyksen 9 artiklan 2 kohdan nojalla. Tavalliset henkilötiedot, kuten nimi tai osoite, vaativat vain 6 artiklan perusteen.

▶ Tarvitsevatko kliinikot potilaan suostumuksen ennen sairauskertomusmerkintöjen kirjoittamista tai lähetteen lähettämistä?

Eivät. Rutiininomaisiin sairauskertomusmerkintöihin, lähetteisiin, epikriiseihin ja moniammatilliseen viestintään GDPR:n 9 artiklan 2 kohdan h alakohta tarjoaa laillisen perusteen ilman erillistä potilaan suostumusta. GDPR:n mukaisen suostumuksen on oltava vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen. Kliinisessä suhteessa, jossa on luontainen valta-asetelma, suostumukseen ensisijaisena perusteena luottaminen rutiininomaisten hoitotietojen osalta voi olla ongelmallista. Suostumus on sopivampi tutkimukseen, markkinointiin tai tietojen jakamiseen kolmansille osapuolille suoran hoitotiimin ulkopuolelle hoitoon liittymättömiin tarkoituksiin.

▶ Mikä lasketaan GDPR-rikkomukseksi kliinisessä ympäristössä?

Henkilötietojen tietoturvaloukkaus kattaa henkilötietojen tahattoman tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai niihin luvattoman pääsyn. Terveydenhuollossa yleisiä esimerkkejä ovat potilaskirjeen lähettäminen väärään osoitteeseen, kliinisen työaseman jättäminen kirjautuneena ja valvomatta, tunnistettavien potilastietojen käsittely käytävällä tai odotustilassa sekä kuluttajatason alustojen, kuten Zoomin tai WhatsAppin, käyttö kliinisten tietojen välittämiseen. Loukkaukset, jotka todennäköisesti aiheuttavat riskin yksityishenkilöille, on ilmoitettava asianomaiselle valvontaviranomaiselle 72 tunnin kuluessa siitä, kun organisaatio on tullut niistä tietoiseksi.

▶ Mitä GDPR-velvoitteita sovelletaan, kun potilastietoja jaetaan muiden kliinikoiden kanssa?

Potilastietojen jakaminen suoran hoitotiimin sisällä on yleensä laillista 9 artiklan 2 kohdan h alakohdan nojalla, edellyttäen että jakaminen on tarpeen kliiniseen tarkoitukseen nähden ja oikeasuhteista. Toimintaperiaate on "tarpeellinen tieto": vain vastaanottavan klinikon rooliin liittyvät tiedot tulisi jakaa. Lähetteen tulisi sisältää se, mitä vastaanottava erikoislääkäri tarvitsee, ei potilaan koko sairaushistoriaa. Tietojen jakaminen potilaan työnantajalle, vakuutusyhtiölle tai asianajajalle vaatii nimenomaisen potilaan suostumuksen tai erillisen laillisen perusteen.

▶ Mitä GDPR-tarkastuksia kliinikoiden tulisi suorittaa ennen tekoälylääkäriavustajan käyttöönottoa?

Mikä tahansa työkalu, joka käsittelee potilastietoja terveydenhuolto-organisaation puolesta, on GDPR:n mukainen tietojenkäsittelijä. Ennen käyttöönottoa kliinikoiden ja heidän organisaatioidensa tulisi varmistaa, että tietojenkäsittelysopimus on voimassa toimittajan kanssa, että potilastietoja käsitellään vain dokumentoiduilla ohjeilla ja että asianmukaiset turvatoimet, mukaan lukien salaus ja pääsynhallinta, ovat käytössä. On myös syytä selvittää, missä potilastietoja käsitellään ja tallennetaan, onko toimittajalla ISO 27001 -sertifikaatti, onko tietosuojaa koskeva vaikutustenarviointi suoritettu ja onko työkalu rekisteröity lääkinnälliseksi laitteeksi, jos sovellettavissa EU MDR:n nojalla.

▶ Voiko potilas pyytää sairauskertomusmerkintöjensä poistamista GDPR:n nojalla?

Oikeus poistamiseen on merkittävästi rajoitettu terveydenhuollossa. Se ei koske tilanteita, joissa käsittely on tarpeen terveydenhuollon tarjoamiseksi tai joissa säilyttäminen vaaditaan lailla. Sairauskertomusmerkintöjen osalta lakisääteiset säilytysvelvoitteet pätevät lähes aina. Potilas, joka pyytää poistamista sovellettavan säilytysajan aikana, voidaan laillisesti evätä tällä perusteella, edellyttäen että kieltäytyminen ilmoitetaan selkeästi ja vaaditun aikarajan sisällä. Säilytysajat vaihtelevat maittain: Englanti vaatii vähintään kahdeksan vuotta viimeisen merkinnän jälkeen aikuisten tiedoille, Ranska vaatii kaksikymmentä vuotta viimeisestä hoitojaksosta ja Alankomaat vaativat kaksikymmentä vuotta kirjaamispäivästä.

▶ Mikä on ero rekisterinpitäjän ja tietojenkäsittelijän välillä terveydenhuollossa?

Rekisterinpitäjä määrittää henkilötietojen käsittelyn tarkoitukset ja keinot. Terveydenhuollossa tämä on tyypillisesti NHS-säätiö, terveyskeskus, sairaala tai yksityinen klinikka. Tietojenkäsittelijä käsittelee henkilötietoja rekisterinpitäjän puolesta. Tämä sisältää potilastietojärjestelmien toimittajat, diagnostiset laboratoriot, tekoälytyökalujen toimittajat ja etälääketieteen alustat. Rekisterinpitäjä kantaa ensisijaisen oikeudellisen vastuun GDPR-vaatimustenmukaisuudesta. Jos tietojenkäsittelijällä tapahtuu loukkaus, rekisterinpitäjä voidaan silti pitää vastuullisena, jos se ei suorittanut riittävää due diligence -tarkastusta tai varmistanut, että asianmukaiset sopimussuojatoimet olivat käytössä.

▶ Mitä tietojen minimointi tarkoittaa sille, miten kliinikot kirjoittavat sairauskertomusmerkintöjä?

GDPR:n 5 artiklan 1 kohdan c alakohta edellyttää, että henkilötietojen on oltava asianmukaisia, olennaisia ja rajoitettuja siihen, mikä on tarpeen niiden käsittelytarkoituksiin. Kliinikoiden osalta tämä tarkoittaa turvallisen, jatkuvan hoidon tukemiseen tarvittavien tietojen kirjaamista kattavien elämäkerrallisten tai sosiaalisten yksityiskohtien sijaan, jotka eivät ole kliinisesti merkityksellisiä. Se tarkoittaa myös kolmannen osapuolen tietojen, kuten perheenjäsenten tietojen, rutiininomaisen sisällyttämisen välttämistä, ellei se ole suoraan merkityksellistä kliiniselle kuvalle. Strukturoitujen mallipohjien käyttö, jotka ohjaavat täyttämään merkitykselliset kentät, voi auttaa välttämään ylimääräisten henkilötietojen keräämistä.

▶ Mitä potilaiden oikeuksia GDPR:n nojalla kliinikot todennäköisimmin kohtaavat?

Kliinisessä käytännössä yleisimmin kohdattavat oikeudet ovat oikeus saada pääsy tietoihin, oikeus oikaista tiedot, oikeus tietojen poistamiseen ja oikeus tietojen siirrettävyyteen. Potilailla, jotka esittävät tietosubjektin tietopyynnön, on oikeus saada kopio henkilötiedoistaan, mukaan lukien sairauskertomusmerkinnät, kuukauden kuluessa. Oikeus oikaisuun antaa potilaille mahdollisuuden pyytää asiallisten epätarkkuuksien korjaamista, mutta se ei oikeuta potilasta vaatimaan klinikon ammatillisen mielipiteen muuttamista. Oikeus poistamiseen on merkittävästi rajoitettu terveydenhuollon ympäristöissä, joissa lakisääteiset säilytysvelvoitteet pätevät.

▶ Mitä käytännön toimenpiteitä yksittäiset kliinikot voivat tehdä pysyäkseen GDPR-vaatimustenmukaisina päivittäin?

Johdonmukaiset toimintatavat vähentävät suurinta osaa päivittäisestä vaatimustenmukaisuusriskistä. Kirjaudu aina ulos kliinisistä työasemista tai lukitse ne poistuessasi, vaikka vain hetkeksi. Älä koskaan jaa kirjautumistietoja kollegoiden kanssa. Jaa vain vähimmäismäärä tarvittavia tietoja lähettäessäsi tai kommunikoidessasi kollegoiden kanssa. Älä käytä henkilökohtaisia sähköpostitilejä tai kuluttajaviestisovelluksia potilastietojen välittämiseen. Varmista vastaanottaja ennen minkään potilasviestinnän lähettämistä. Kirjaa ja eskaloi tietosubjektin tietopyynnöt viipymättä, sillä yhden kuukauden vastausaika alkaa välittömästi. Ennen minkään kolmannen osapuolen ohjelmiston käyttöönottoa, joka käsittelee potilastietoja, varmista, että tietojenkäsittelysopimus on voimassa ja että tietosuojaa koskeva vaikutustenarviointi on suoritettu.

Aloita Tandemin käyttö jo tänään

Liity tuhansien sote-ammattilaisten joukkoon ja nauti huolettomasta kirjaamisesta.

Aloita Tandemin käyttö jo tänään

Liity tuhansien sote-ammattilaisten joukkoon ja nauti huolettomasta kirjaamisesta.

Aloita Tandemin käyttö jo tänään

Liity tuhansien sote-ammattilaisten joukkoon ja nauti huolettomasta kirjaamisesta.