Gemensamt personuppgiftsansvarig
Folkpensionsanstalten
Nordenskiöldsgatan 12, 00250 Helsingfors
Postadress PB 450, 00056
Telefon 020 634 11
Person som sköter registerärenden eller kontaktperson
Om kunden har frågor om registerärenden i anslutning till Informationshanteringstjänsten, kan kunden kontakta Kanta-tjänsternas kundsupport på adressen asiakaspalvelu@kanta.fi.
I ärenden som gäller den registrerades rättigheter kan den registrerade skicka förfrågningar per e-post till Kanta-tjänsternas dataskyddsombud på adressen tietosuoja@kanta.fi.
Registrets namn
Informationshanteringstjänsten
Syftet med behandlingen av personuppgifter / registrets användningsändamål
Informationshanteringstjänsten är en riksomfattande informationssystemtjänst, med vars hjälp uppgifter som är centrala för en patients vård eller för handläggningen av en klients ärende vid tillfället i fråga sammanställs av de kunduppgifter som finns arkiverade. I tjänsten administreras också handlingar som ska upprätthållas.
Varje tillhandahållare av social- och hälsovårdstjänster samt Folkpensionsanstalten (nedan FPA) är gemensamt personuppgiftsansvariga för Informationshanteringstjänsten.
FPA ansvarar för användbarheten av Kanta-tjänsterna och de uppgifter som lagrats i dem. FPA ansvarar för bevarande av de uppgifter som lagrats i Kanta och i anslutning till detta ansvarar FPA för handlingarnas integritet, oförvanskade form, förstörande och oavvislighet. Dessutom ansvarar FPA för att förstöra uppgifterna efter att förvaringstiden har gått ut (lag om behandling av kunduppgifter inom social- och hälsovården 703/2023 23 §, 66 §). Tjänstetillhandahållare som för in uppgifter som ska sammanställas i Informationshanteringstjänsten ansvarar för att uppgifterna är korrekta och för den personuppgiftsansvariges övriga skyldigheter.
FPA är i artikel 26.1 i dataskyddsförordningen avsedd kontaktpunkt. Beträffande Informationshanteringstjänsten ansvarar FPA i egenskap av kontaktpunkt för att fullgöra och genomföra den informationsskyldighet som personuppgiftsansvariga ålagts i dataskyddslagstiftningen. FPA är också primär kontaktpunkt i begäranden som gäller de registrerades utövande av sina rättigheter och förmedlar vid behov begäran till rätt instans.
Lagstiftningen om gemensamt personuppgiftsansvar samt de tillvägagångssätt som ska följas vid gemensamt personuppgiftsansvar har behandlats i handlingen Beskrivning av det gemensamma personuppgiftsansvaret för tjänster i anslutning till Kanta-tjänsterna (pdf).
FPA genomför behandlingen av personuppgifter i enlighet med EU:s allmänna dataskyddsförordning och andra lagar som reglerar behandlingen av personuppgifter.
Tjänstetillhandahållare inom hälso- och sjukvården får använda uppgifter som lagrats i Informationshanteringstjänsten och som är synliga via den för att genomföra och ordna patientens vård. Tjänstetillhandahållaren har rätt att behandla uppgifter via Informationshanteringstjänsten under de förutsättningar som föreskrivs i kunduppgiftslagen (703/2023). Se till exempel 8 kap. 9 § i kunduppgiftslagen.
Uppgifter om samtycken och viljeyttringar som lagrats i Informationshanteringstjänsten kan på de villkor som bestäms i lag bland annat användas för vetenskaplig forskning, rapportering och statistik. Förvaringstiderna för journalhandlingar bestäms enligt bilagan till kunduppgiftslagen.
Patientens uppgifter som sparats i Informationshanteringstjänsten förvaras i 12 år efter patientens död. Om dödsdatumet inte är känt eller om det är fråga om ett barn som avlidit före 18 års ålder, förvaras uppgiften i 120 år efter patientens födelse.
Registrets datainnehåll
Informationshanteringstjänsten sammanställer ur journalhandlingar de patientuppgifter som är centrala för att tillhandahålla hälso- och sjukvård och skapar sammanställningar av dem för tjänstetillhandahållare som genomför patientens vård.
Centrala patientuppgifter är: diagnoser och besöksorsaker, risker, laboratorieresultat, vaccinationer, åtgärder, medicineringsuppgifter, fysiologiska mätningar och bilddiagnostiska undersökningar som dokumenterats med åtgärdskoder, uppgifter om funktionsförmågan, tidsbokningsuppgifter samt en plan för undersökning, vård och medicinsk rehabilitering eller någon annan motsvarande plan enligt 4 a § i lagen om patientens ställning och rättigheter (785/1992).
Regelmässiga uppgiftskällor
Tillhandahållare av hälso- och sjukvårdstjänster som anslutit sig till Kanta-tjänsten sparar journalhandlingar i Patientdatalagret. Centrala patientuppgifter sammanställs ur journalhandlingar som sparats i Patientdatalagret.
Regelmässig utlämning av uppgifter och dataöverföring utanför EU och Europeiska ekonomiska samarbetsområdet
Tillhandahållare av hälso- och sjukvårdstjänster kan använda sammanställningar av patientuppgifter som finns i Informationshanteringstjänsten för att genomföra patientens vård. Förbud som en patient meddelat visas inte via Informationshanteringstjänsten.
Via Informationshanteringstjänsten får uppgifter lämnas ut på det sätt som föreskrivs i kunduppgiftslagen. Utlämnande av uppgifter förutsätter tillstånd av patienten och att vårdrelationen mellan patienten och den som framställt begäran om utlämnande har säkerställts datatekniskt.
Patientuppgifter som ingår i Informationshanteringstjänsten får med patientens samtycke lämnas ut via Kanta-tjänsterna till en tjänsteproducent inom hälso- och sjukvården i EU-länderna för ordnande och tillhandahållande av elektroniska hälso- och sjukvårdstjänster. (Kunduppgiftslagen 60 §)
I bilaga 1 i slutet av dataskyddsbeskrivningen finns en sammanställning av de situationer då uppgifter enligt kunduppgiftslagen och övrig lagstiftning kan lämnas ut från Informationshanteringstjänsten samt av grunderna för utlämnande av uppgifter och utlämningssättet.
Uppgifter överförs inte utanför EU och Europeiska ekonomiska samarbetsområdet.
Principer för skydd av registret
Uppgifterna i Informationshanteringstjänsten är sekretessbelagda och gäller enskilda personers hälsotillstånd.
Organisatoriska skyddsprinciper
FPA och en tjänstetillhandahållare inom social- och hälsovården ska ha en informationssäkerhetsplan för att säkerställa dataskyddet och informationssäkerheten. FPA och en tjänstetillhandahållare inom social- och hälsovården ska ha ett namngivet dataskyddsombud.
FPA och en tjänstetillhandahållare inom social- och hälsovården ska ge skriftliga anvisningar om behandlingen av kunduppgifter, de förfaringssätt som ska iakttas och se till att personalen har tillräcklig sakkunskap och kompetens vid behandlingen av kunduppgifter i den egna verksamheten.
Personuppgiftsansvariga ska på eget initiativ vidta nödvändiga åtgärder om någon lagstridigt har läst, använt eller lämnat ut uppgifter från Informationshanteringstjänsten.
För uppföljningen och övervakningen har en tjänstetillhandahållare inom social- och hälsovården som använder Informationshanteringstjänsten rätt att få logguppgifter av FPA till den del personalen vid verksamhetsenheten i fråga har läst och behandlat uppgifter i Informationshanteringstjänsten.
Tekniska skyddsprinciper
Läsning, lagring och annan behandling av uppgifterna i Informationshanteringstjänsten förutsätter en stark identifieringsmetod som specificerar den som behandlar uppgifterna samt att tillhandahållaren av hälso- och sjukvårdstjänster samt FPA administrerar åtkomsträttigheterna som hänför sig till systemet.
Myndigheten för digitalisering och befolkningsdata svarar för autentiserings- och certifikattjänsterna i fråga om Kanta-tjänsterna.
Tillhandahållarna av hälso- och sjukvårdstjänster samt FPA svarar för egen del för administreringen av åtkomsträttigheterna.
Logguppgifter om all läsning, behandling och utlämnande av uppgifter i Informationshanteringstjänsten inom social- och hälsovården sparas i Informationshanteringstjänsten.
FPA har lagstadgade uppgifter och nödvändiga underhållsuppgifter för vilka FPA:s tekniska administratör har en med hjälp av åtkomsträttigheter begränsad åtkomst till Informationshanteringstjänsten. FPA ansvarar för administrationen av åtkomsträttigheter för Informationshanteringstjänstens systemansvarige.
Fysiska skyddsprinciper
Uppgifterna i Informationshanteringstjänsten är tekniskt skyddade mot ändring och radering.
FPAs lokaler med utrustning och uppgifterna finns fysiskt i Finland. FPAs tekniska administratörer har begränsat tillträde till de lokaler som de behöver ha tillträde till för att kunna sköta sina arbetsuppgifter.
Rätt att få tillgång till egna uppgifter
Enligt artikel 15 i EU:s allmänna dataskyddsförordning (2016/679) har den registrerade rätt att ta del av sina egna uppgifter i Informationshanteringstjänsten.
Kunden har möjlighet att via tjänsten MittKanta läsa en sammanställning av de uppgifter som sparats i Informationshanteringstjänsten.
Tjänstetillhandahållaren är personuppgiftsansvarig för de uppgifter som uppkommit i tjänstetillhandahållarens verksamhet och ansvarar som gemensamt personuppgiftsansvarig för att de uppgifter som sammanställs från Informationshanteringstjänsten är korrekta. Om kunden utövar sin rätt att kontrollera uppgifter, riktas begäran om detta till den tjänstetillhandahållare som ansvarar för att de införda uppgifterna är korrekta samt för den personuppgiftsansvariges övriga skyldigheter. Tjänstetillhandahållaren ska förse kunden med de uppgifter som sparats om honom eller henne i enlighet med dataskyddsförordningen.
Om begäran om insyn gäller patientuppgifter som sammanställts av Informationshanteringstjänsten, ska begäran om insyn riktas till den tjänstetillhandahållare i vars verksamhet patientuppgifterna har uppkommit och till vars registerföring de hör. Vid behov kan FPA överföra en begäran om insyn till en behörig instans. Begäran om information kan också formuleras fritt per telefon eller e-post. Begäran riktas till FPA:s registratorskontor per e-post (kirjaamo@kela.fi) eller per post till FPA registratorskontor, PB 450, 00056 FPA.
Svaret på begäran skickas inom en månad från att begäran har inkommit för behandling. Om uppgifterna av motiverat skäl inte kan lämnas inom denna tidsfrist, kan behandlingen av ärendet förlängas med högst två månader.
Svaret på begäran om kontroll av uppgifter lämnas i regel avgiftsfritt.
Rätt att begära rättelse av felaktiga uppgifter
Enligt artikel 16 i EU:s allmänna dataskyddsförordning (2016/679) har den registrerade rätt att få felaktiga personuppgifter som rör honom eller henne rättade.
Personen kan med en fullmakt eller som laglig företrädare för en myndig person begära att felaktiga uppgifter rättas. Vårdnadshavaren kan begära att felaktiga uppgifter om en minderårig rättas.
En felaktig patientuppgift rättas i den enhet hos tjänstetillhandahållaren inom social- och hälsovården där den felaktiga dokumentationen har gjorts. Tjänstetillhandahållare ansvarar alltid för innehållet i uppgifterna de dokumenterat och att uppgifterna är korrekta. En begäran om rättelse som gäller en felaktig uppgift riktas till den dataskyddsansvarige hos tjänstetillhandahållaren inom social- och hälsovården.
FPA fungerar som den registrerades kontaktpunkt i egenskap av gemensamt personuppgiftsansvarig för Informationshanteringstjänsten. FPA kan ta emot en begäran om rättelse gällande en felaktig uppgift och förmedla den till tjänstetillhandahållaren inom hälso- och sjukvården som dokumenterat uppgiften för korrigering. Begäran om rättelse kan skickas skriftligt per e-post till FPA:s registratorskontor (kirjaamo@kela.fi) eller per post (FPA registratorskontor, PB 450, 00056 FPA).
Om begäran om rättelse inte kan bifallas ger FPA kunden ett intyg över vägran. I intyget över vägran anges orsakerna till att kundens eller dennes lagliga företrädares krav inte har godkänts. Kunden kan efter att ha fått intyget över vägran föra ärendet vidare till den behöriga tillsynsmyndigheten för behandling.
Rätt att klaga hos tillsynsmyndigheten
Om en kund anser att de tillämpliga dataskyddsreglerna överträds vid behandlingen av hans eller hennes personuppgifter, har kunden rätt att anföra klagomål hos den behöriga tillsynsmyndigheten i enlighet med artikel 77 i dataskyddsförordningen och 21 § i dataskyddslagen. I Finland är dataombudsmannen tillsynsmyndighet.
Övriga rättigheter i anslutning till behandling av personuppgifter
I tjänsten MittKanta kan kunden läsa de uppgifter som sammanställts i Informationshanteringstjänsten och se till vilken tjänstetillhandahållare uppgifterna har lämnats ut.
Kunden har rätt att få veta till vem uppgifter som lagrats om honom eller henne i Informationshanteringstjänsten har lämnats ut. Kunden får veta detta genom att göra en begäran om logguppgifter till FPA.
Begäran om logguppgifter kan göras med blanketten för begäran om logguppgifter som finns tillgänglig på hälso- och sjukvårdsenheter som anslutit sig till Kanta-tjänsterna, på FPA:s byråer och på webbplatsen www.kanta.fi. Begäran om logguppgifter riktas till FPA. Begäran om logguppgifter kan också formuleras fritt per telefon eller e-post. Begäran riktas per e-post till FPA:s registratorskontor per e-post (kirjaamo@kela.fi) eller per post (FPA registratorskontor, PB 450, 00056 FPA).
Tillhandahållare av social- och hälsovårdstjänster är personuppgiftsansvariga för användningsloggar som uppkommit i deras verksamhet. Om kundens begäran om logguppgifter gäller användningslogguppgifter, riktas begäran till tjänstetillhandahållaren i fråga. Kunden har inte rätt att utan särskild orsak få logguppgifter som är äldre än två år. Kunden får inte för något annat ändamål än för att utreda eller utöva sina rättigheter i anslutning till behandlingen av sina kunduppgifter använda eller lämna vidare logguppgifter som han eller hon fått.
Om kunden på grundval av logguppgifterna anser att hans eller hennes uppgifter har använts eller lämnats ut utan tillräckliga grunder, kan kunden vända sig till vederbörande tjänstetillhandahållare och begära en utredning av saken.
Kunden har rätt att få samma uppgifter på nytt om det finns grundad anledning till det med tanke på kundens intressen och rättigheter. För de uppgifter som lämnas ut på nytt får FPA ta ut en avgift som motsvarar kostnaderna för utlämnandet av uppgifterna.
FPA:s verksamhet och underhållet av Kanta-tjänsterna grundar sig på nationell lagstiftning. Av dessa orsaker tillämpas inte den registrerades rätt att radera uppgifter med stöd av artikel 17 i EU:s allmänna dataskyddsförordning och den registrerades rätt att överföra uppgifter från ett system till ett annat med stöd av artikel 20 i EU:s allmänna dataskyddsförordning på uppgifterna i Informationshanteringstjänsten. Den nationella lagstiftningen reglerar förvaringstiden för uppgifterna som sparats i Informationshanteringstjänsten, varefter uppgifterna förstörs.