Tietosuoja sosiaali- ja terveydenhuollossa

Lainsäädäntö

Sosiaalihuollon asiakasta koskevien tietojen käsittelystä ja suojaamisesta säännellään henkilötietolain (523/1999) 5 §:n ja 32 §:n lisäksi sosiaalihuollon asiakkaan asemasta ja oikeuksista annetussa laissa (812/2000).

Asiakaslain 3 luvussa säädetään asiakastietojen salassapidosta, vaitiolovelvollisuudesta ja salassa pidettävien tietojen luovuttamisesta. Asiakastietojen sähköisestä käsittelystä säädetään sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetussa laissa (159/2007).

Kun kunta ostaa palvelun yksityiseltä palveluntuottajalta, asiakirjat ovat viranomaisen asiakirjoja ja niiden käsittelyyn sovelletaan myös lakia viranomaisten toiminnan julkisuudesta (621/1999)

Julkisuuslaki on julkisuus- ja salassapitosäännösten osalta yleislaki, jota sovelletaan täydentävästi aina, kun asiakaslaissa ei ole nimenomaan säädetty toisin.

Terveyden ja hyvinvoinnin laitos THL antoi helmikuussa 2014 ohjeen 6/2013 sosiaalihuollossa syntyvien potilastietojen erottamisesta terveydenhuollon potilasrekistereihin kuuluvista ja valtakunnalliseen potilastiedon arkistoon tallennettavista potilastiedoista.

Tiedot pidettävä salassa

Sosiaali- ja terveydenhuollon asiakkaita ja potilaita koskevat tiedot ovat salassa pidettäviä. Palveluntuottaja pitää asiakas- ja potilastiedoista henkilörekisteriä. Lisäksi tietosuojamääräyksiä liittyy yrityksen palveluksessa olevan henkilöstön työsuhteisiin.

Henkilötietoja sisältäviä asiakirjoja ja tietojärjestelmiä saa käyttää vain asiakas- ja potilassuhteen hoitamiseen siinä laajuudessa, kun asian hoitaminen ja työtehtävät edellyttävät.

Tietosuojavaltuutetun toimisto on antanut yksityiskohtaiset ohjeet asiakas- ja potilastietojen käsittelystä ja niihin liittyvistä menettelyistä. Tietoa löytyy oppaasta ”Henkilötietolaki ja asiakastietojen käsittely yksityisessä sosiaalihuollossa”.

Katso myös opas ”Henkilötietojen käsittely suostumuksen perusteella”

Henkilörekisteri ja KanTa-hanke

Yksityisiä sosiaalipalveluja annettaessa asiakkaiden tiedoista muodostuu henkilötietolain 10 §:ssä tarkoitettu henkilörekisteri tai henkilörekistereitä.

Rekisterinpitäjän on laadittava jokaisesta henkilörekisteristä rekisteriseloste ja informoitava asiakkaita henkilötietojen tulevasta käsittelystä sekä rekisteröidyn oikeuksista. Informoinnissa voi käyttää tietosuojaselostetta, jossa rekisteriselosteeseen on yhdistetty rekisteröidyn oikeuksista kertova osuus