Rekisteri- ja tietoturvaseloste

(päivitetty 8.11.2017)

Rekisterin pitäjä

NeuroInnovation Oy
Pellonperäntie 1 B, 00830 Helsinki

Yhteyshenkilö rekisteriä koskevissa asioissa

Filip Scheperjans
Pellonperäntie 1 B, 00830 Helsinki
050-3081860, filip.scheperjans@parkinsonranneke.fi

Rekisterin nimi

Asiakasrekisteri

Henkilötietojen käsittelyn tarkoitus

Henkilötietoja käsitellään asiakassuhteen hoitamiseksi.

Rekisterin tietosisältö, pitämisen peruste ja suojaustaso

Verkkosivuston palvelimella

Potilaiden tiedot

  • Etunimi, sukunimi, henkilötunnus, puhelinnumero, sähköpostiosoite, kotiosoite
  • Terveydenhuollon yksiköt, joihin potilas on liitetty
  • Lääkitys

Terveydenhuollon ammattilaisten tiedot

  • Etunimi, sukunimi, yksilöintitunnus, erikoisala, syntymäaika, puhelinnumero, sähköpostiosoite
  • Terveydenhuollon yksiköt, joihin ammattilainen on liitetty (tehdään aina NeuroInnovationin toimesta tarkistuksen jälkeen)

Terveydenhuollon yksiköiden tiedot

  • Nimi, osoite

PKG rekisteröinnit

  • Tilaajan tiedot
  • Potilaan tiedot
  • Lääkitys
  • Kysymyksenasettelu
  • Kliiniset tiedot Parkinson-oireista
  • PKG raportit
  • Tutkimuslausunnot

Peruste rekisterin pitämiseen

  • Tarpeen palvelun tuottamista varten
    • Tarvitaan tietoja potilaista, yhteistyökumppaneista ja kliinisistä oireista PKG rekisteröintien suorittamista ja tulkintaa varten
    • Jos potilas on antanut suostumuksen, voidaan käyttää potilaiden/asiakkaiden yhteystietoja myös markkinointiin
  • Tarpeen arkistointivaatimusten täyttämiseksi

Suojaustaso

  • Pääsy suljettuun sivustoon vain käyttäjätunnuksella ja salasanalla.
  • Potilaan tiedot ja tutkimukset näkevät vain potilas itse, NeuroInnovationin administraattorit ja lausujat sekä näiden toimipisteiden ammattilaiset, joihin potilaan tili on yhdistetty. Potilas pystyy itse hallitsemaan, mihin toimipisteisiin hänen tili on yhdistetty.
  • Tietokannassa potilaiden henkilötietoja ovat kryptattu.
  • Tietojenkäsittelijä: verkkosivusto sijaitsee Seravo Oy:n palvelimella
    • WordPressin säännölliset päivitykset
    • WP-palvelun valvonta toimii vuorokauden ympäri, viikon jokaisena päivänä, ja hälyttää ongelmatilanteista automaattisesti.
    • Seravo Oy tiedottaa kaikista tietoturvaloukkauksista, joissa NeuroInnovation Oy:llä voi rekisterinpitäjänä olla velvollisuus tiedottaa rekisteröidyille tietoturvaloukkauksesta. NeuroInnovation Oy tiedottaa näistä tapauksista asiakkailleen.
    • Huolehtii päivittäisestä varmuuskopioinnista
    • Kaikki verkkoyhteydet, joissa liikkuu käyttäjätunnuksia ja salasanoja, ovat suojattuja https-yhteyksiä.
    • Palvelinten ylläpito sekä Seravon henkilökunnan että asiakkaiden itsensä toimesta on mahdollista vain suojatuilla SSH- ja SFTP-yhteyksillä ja suojaamaton FTP-käyttö on kokonaan estetty. Asiakasympäristöissä on vakiona sekä WordPressin että SSH/SFTP-kirjautumisten lokitus auditoitavuuden edistämiseksi, moninaiset tietoturvaskannaukset ovat automaattisia ja säännöllisiä.
    • Palvelimet sijaitsevat Suomessa, Viestintäviraston määräyksiä täyttävissä palvelinsaleissa.

OneDrive for Business pilvessä

Potilaat

  • ”vanhat” tilaukset ennen uuteen verkkosivustoon siirtymistä
  • Henkilötiedot, osoitteet, puhelinnumero, sähköposti
  • Hoitavan neurologin nimi ja yhteystiedot
  • PKG raportit ja lausunnot

Peruste rekisterin pitämiseen

  • Tarpeen palvelun tuottamista varten
    • Tarvitaan tietoja potilaista, yhteistyökumppaneista ja kliinisistä oireista PKG rekisteröintien suorittamista ja tulkintaa varten
  • Tarpeen arkistointivaatimusten täyttämiseksi

Suojaustaso

  • Pääsy vain käyttäjätunnuksella ja salasanalla
  • Pääsy asiakastietoihin vain tilauksia käsittelevillä työntekijöillä
  • Käytetään suojattuja https-yhteyksiä
  • Tietojenkäsittelijä: Microsoft Oy
    • Palomuurein, salasanoin ja muilla teknisillä keinoilla suojattu

Outlook palvelimella

Potilaat

  • Viestinvaihto asiakkaiden kanssa
  • Vanhat PKG tilaukset (vain verkkosivupäivitykseen asti)
  • Pääsy asiakastietoihin vain tilauksia käsittelevillä työntekijöillä
  • Käytetään suojattuja yhteyksiä
  • Tietojenkäsittelijä: Microsoft Oy
    • Palomuurein, salasanoin ja muilla teknisillä keinoilla suojattu

Global Kineticsin Corporationin palvelimella

Kirjanpitojärjestelmän palvelimella

Asiakkaat

  • Nimi, osoite, henkilötunnus / y-tunnus, tilitiedot, laskut
  • Tilaukset

Peruste rekisterin pitämiseen

  • Tarpeen laskutusta ja kirjanpitoa varten

Suojaustaso

  • Pääsy vain käyttäjätunnuksella ja salasanalla
  • Pääsy asiakastietoihin vain työntekijöillä, jotka käsittelevät laskuja
  • Käytetään suojattuja https-yhteyksiä
  • Tietojenkäsittelijä: Procountor Oy
    • Palomuurein, salasanoin ja muilla teknisillä keinoilla suojattu

Säännönmukaiset tietolähteet

Tietoja saadaan asiakkailta itseltään, kun rekisteröityvät asiakkaiksi. Muut tiedot kuten mittaustulokset ja lausunnot kertyvät rekisterinpitäjän omassa toiminnassa. Lisäksi otetaan vastaan tiedot asiakkaita tutkimuksiin lähettävien lääkäreiden tekemistä tutkimuspyynnöistä/lähetteistä.

Salassa pidettävyys ja tietojen arkaluonteisuus, säilyttäminen

Kerätyt tiedot ovat mm. potilaiden henkilötietoja ja sairauteen liittyviä tietoja ja tutkimustuloksia. Kyseessä ovat näin ollen arkaluonteiset tiedot ja potilastiedot ovat salassa pidettäviä. Potilaan perustiedot ja keskeiset hoitotiedot sisältävät asiakirjat säilytetään sähköisessä muodossa vähintään 12 vuotta potilaan kuolemasta tai, jos siitä ei ole tietoa, 120 vuotta potilaan syntymästä.

Tietovarantojen väliset tietovirrat

Tietojen käsittely tapahtuu pääosin verkkosivustolla.

Kirjanpitoa varten asiakasatiedot siirretään käsin Procountor järjestelmään.

Laskuihin siirretään potilaiden nimet ja henkilötunnukset.

Potilaat ja heihin linkitetyt terveydenhuollon toimijat voivat ladata tutkimustulokset verkosta omiin rekistereihinsä (sairaalat, yksityislääkärit), https-yhteys.

PKG rannekkeen ohjelmoinnin yhteydessä lähetetään lääkitystiedot ja kliiniset tiedot potilaasta Global Kineticisin palvelimelle (SSL suojattu yhteys). Samalla tavalla lähetetään mittauksen raakatiedot palvelimelle analysoitavaksi. Palvelimelta palautuu tutkimusraportti sähköpostitse.

  • Tässä toiminnassa potilaiden henkilötiedot ovat koodatussa muodossa

Tietojen käsittelyssä noudatettavat menettelytavat ja periaatteet, tietojen säännönmukaiset luovutukset

Henkilö- ja potilastiedot käsitellään vain palvelun tuottamisen ja kehittämisen sekä laadun varmistamisen yhteydessä.

Tiedot tutkimustuloksista ja -lausunnoista luovutetaan asiakkaille ja heidän suostumuksella myös lähettävälle lääkärille. Lisäksi henkilötiedot ja tiedot tehdyistä tutkimuksista voidaan luovuttaa Kelalle sairausvakuutuskorvauksia varten.

Anonymisoituja PKG raportteja ja tilastotietoja tutkittujen potilaiden oireista ja löydöksistä voidaan käyttää esityksissä, julkaisuissa sekä laadunvalvonnassa.

Tutkimustarkituksessa tiedot saatetaan siirtää myös EU:n sisällä ja ulkopuolella. Siinä tapauksessa henkilötiedot ovat koodatussa muodossa, joten henkilöt eivät ole identifioitavissa. Koodiavain pidetään aineistosta erillisena.

 

Henkilökunnan tieto tietokäsiteltävien tietojen julkisuudesta, salassapidosta ja tietojen suojaamisessa noudatettavista menettelyistä sekä tietoturvallisuusjärjestelyistä ja tehtävänjaosta

Työntekijät ovat terveydenhuollon ammattilaisia ja vaitiolovelvollisia.

Työntekijät saavat koulutusta tietojärjestelmä- tai menettelytapojen määräyksiin ja muutoksiin liittyen.

Tietojen käsittelyprosessien valvomiseksi tehtyjä toimenpiteitä

Kaikissa yllä kuvatuissa järjestelmissä ja tietovarannoista sisäänkirjautuminen logataan.

Pidetään lokia tutkimustulosten syöttämisestä ja lataamisesta (= luovutuksesta). Logataan käyttäjä, aikaleima, sekä ladattu tiedosto.

Lokitiedot säilytetään eheinä ja muuttumattomina vähintään 12 vuotta niiden syntymisestä.

Terveydenhuollon ammattilaisten ammattioikeudet tarkistetaan käyttäjätilin luonnin yhteydessä Terhikki rekisteristä ennen kuin heille annetaan lukuoikeus oman yksikön potilaiden tietoihin.

Rekisteröityjen oikeuksien toteutuminen

Rekisteröityjen oikeuksien toteutumista arvioidaan henkilötietolain mukaisen tarkastusoikeus- ja virheenkorjauspyyntöjen lukumäärän ja pyyntöihin annettujen vastausten perusteella.

Rekisteri- ja tietosuojaseloste on saatavilla verkkosivuilla.

Rekisteröidyn oikeus saada pääsy tietoihin

Asiakkaat voivat nähdä tietonsa suoraan omien käyttäjätiliensä kautta. He voivat myös saada tietonsa CSV tai XLS formaatissa.

Tutkimustulokset ovat ladattavissa PDF formaatissa.

Oikeus tietojen oikaisemiseen ja oikeus tulla unohdetuksi

Jos asiakas havaitsee, että hänestä kerätyt tiedot ovat virheellisiä, näitä korjataan mahdollisuuksien mukaan.

Asiakkaan näin vaatiessa poistetaan tietokannoista kaikki hänen tietonsa paitsi lain mukaan säilytettäviä potilasasiakirjoja.

Oikeus käsittelyn rajoittamiseen ja rekisterinpitäjän velvollisuus ilmoittaa rajoituksesta

Asiakkaan tietojen aktiivinen käsittely rajoitetaan, jos rekisteröity esittää henkilötietojen oikaisua tai poistoa koskevan pyynnön ja näin ollen kiistää henkilötietojen paikkaansa pitävyyden.

Siinä tapauksessa tiedot siirretään toiseen käsittelyjärjestelmään, johon pääsy on vain pääkäyttäjillä. Tämä järjestelmä toimii ainoastaan arkistona eikä siinä olevia tietoja käsitellä ilman asiakkaan suostumusta.

Oikeus siirtää tiedot järjestelmästä toiseen

Jos asiakas haluaa siirtää NeuroInnovation Oy:lle toimittamansa häntä koskevat henkilötiedot toiselle rekisterinpitäjälle, luovutetaan nämä tiedot CSV tai XLS formaatissa. Tutkimustulokset luovutetaan PDF formaatissa.

NeuroInnovation Oy säilyttää sen jälkeen kuitenkin edelleen lain mukaan säilytettäviä potilasasiakirjoja.