Palvelun tuottajan tietokanta

Tietosuojavaltuutetun kannanotto 26.3.2001
Dnro 163/41/2001

ERI TERVEYDENHUOLLON TOIMINTAYKSIKÖIDEN POTILASREKISTERITIETOJEN TALLETTAMINEN SAMAAN ULKOPUOLISEN PALVELUN TUOTTAJAN YLLÄPITÄMÄÄN TIETOKANTAAN

Ratkaistava ongelma
Onko useiden terveydenhuollon toimintayksikköjen potilasrekisterin tietojen tallettaminen samaan ulkopuolisen palvelujen tuottajan ylläpitämään tietojärjestelmään/tietokantaan laillista.

Kannanotto
Hankittaessa potilastietojen säilyttämis- ja ylläpitopalveluja terveydenhuollon toimintayksikön lukuun ulkopuoliselta palvelujen tuottajalta, kysymys on kyseisen toimintayksikön (rekisterinpitäjän) rekisteristä tai osarekisteristä. Toimeksiantopalvelut ostanut toimintayksikkö käyttää kyseiseen henkilötietojen käsittelyyn nähden määräysvaltaa. Toimeksi saaneen palvelun tuottajan velvoitteet määräytyvät sopimuksen perusteella sopimusvastuuna. Palvelun tuottajaa sitovat kuitenkin suoraan lain nojalla terveydenhuollon salassapitovelvoitteet sekä henkilötietolain suojaamis- ja huolellisuusvelvoitteet.

Jos palvelun tuottaja samanaikaisesti tuottaa palveluja muille toimintayksiköille, eri toiminta-yksiköiden potilastiedot tulee pitää järjestelmässä/tietokannassa erikseen ja eri rekistereinä. Eri toimintayksiköiden (rekisterinpitäjien) rekistereitä/rekisterien tietoja ei saa yhdistää samaksi rekisteriksi. Tietoja voidaan luovuttaa potilaan asemasta ja oikeuksista annetun lain 13 §:n perusteella toiselle samalta palvelujen tuottajalta tietojenkäsittelypalvelut hankkineelle toimintayksikölle vain potilaan asianmukaisen suostumuksen perusteella. Palveluntuottajan järjestelmien ja sovellusten ominaisuuksien tulee kuitenkin turvata salassapito-, tietosuoja- sekä tietoturvavaatimusten toteutuminen sekä mm. tietolähde ja –luovutusmerkintöjä koskevien määräysten huomioon ottaminen (potilasasiakirjojen laatimista ym. koskeva asetus 99/2001).

Toimeksiantopalvelujen tuottaja voi olla myös sairaanhoitopiiri. Tällöin se toimii vastaavassa asemassa kuin yksityinen palvelujen tuottaja ja on mm. velvollinen tekemään henkilötietolain 36 ja 37 §:ssä tarkoitetun toimintailmoituksen tietosuojavaltuutetulle. Myös toimeksiantopalvelut ostanut toimintayksikkö on henkilötietolain perusteella velvollinen tekemään tietojenkäsittelypalvelujen ulkoistamista koskevan ilmoituksen.

Sovelletut säännökset
Henkilötietolaki: 3.1 § 4 kohta, 5 §, 8 §, 32 §, 36 § ja 37 §
Erityislait: Potilaslaki 13 §, julkisuuslaki 5.2 §



 
Julkaistu 27.1.2014