Mehiläinens integritetspolicy för vård- och socialtjänster

Denna integritetspolicy gäller de kunder till vård- och socialtjänster som produceras av Mehiläinen Oy och dess dotterbolag, för vilka Mehiläinen Oy eller dess dotterbolag agerar som personuppgiftsansvarig.

Mehiläinen Oy
Norra Hesperiagatan 17
00260 Helsingfors
FO-nummer 1927556-5

När det gäller offentligt finansierade socialtjänster och offentliga hälsovårdstjänster är det vanligtvis den offentliga beställaren, till exempel välfärdsområdet, som agerar som personuppgiftsansvarig. Om kundrelationen baseras på ett uppdrag från en offentlig beställare, såsom ett välfärdsområde, eller om kunden har beviljats en servicecheck av den offentliga beställaren, är det den offentliga beställaren som agerar som personuppgiftsansvarig. För dessa kunduppgifter följs den personuppgiftsansvariges integritetspolicy och de arbetsmodeller som beskrivs där. För de register som nämns ovan, vänligen kontakta den offentliga beställarens socialtjänst direkt. I detta fall agerar Mehiläinen Oy eller dess dotterbolag som personuppgiftsbiträde när det behandlar personuppgifter för att genomföra tjänster enligt avtalet med den offentliga beställaren. Mehiläinen Oy eller dess dotterbolag agerar dock också som personuppgiftsansvarig i den mån de behandlar personuppgifter för att uppfylla de lagstadgade uppgifter och krav som åläggs Mehiläinen.

Behandlingen av kunduppgifter baseras främst på lagstiftning. Dessutom kan behandlingen av personuppgifter, till exempel överföring av personuppgifter, baseras på kundens samtycke.

Uppgifter om socialvårdskunder behandlas särskilt för planering, genomförande, organisering, uppföljning, övervakning och utvärdering av kundens vård, samt för andra användningsändamål enligt lagstiftningen relaterad till socialvård.

Uppgifter som lagras i kundregistret används för planering, genomförande och utvärdering av kundens vård och rehabilitering, för andra användningsändamål enligt lagstiftningen och samtycken, samt för att genomföra Mehiläinen eller dess dotterbolags lagstadgade uppgifter och krav. Dessutom behandlas personuppgifter för sekundär användning av information enligt sekundär användning av personuppgifter inom social- och hälsovården, där behandlingsgrunden är allmänt intresse.

När den offentliga beställaren är personuppgiftsansvarig, bevaras dessa kunduppgifter separat och överförs till den personuppgiftsansvarige för arkivering när kund- eller avtalsförhållandet upphör.

• Kundens namn, personnummer, kontaktuppgifter;
• Kundens närmaste anhörig, vårdnadshavare för minderårig kund, kundens lagliga företrädare samt eventuella andra kontaktpersoner/-organ som kunden har angett;
• Uppgifter som är nödvändiga för att säkerställa arrangemang, planering, genomförande och uppföljning av kundens vård och rehabilitering, såsom uppgifter och hälsouppgifter som uppstår i samband med undersökning och vård samt förhandsuppgifter;
• Uppgifter om tjänstens varaktighet, faktureringsuppgifter och faktureringsadresser;
• Övriga uppgifter som är nödvändiga för vården, till exempel uppgifter som upprättats av sjuksköterskor, hälsovårdare, dietister, psykologer och andra i sina arbetsuppgifter;
• Eventuella uppgifter om utlämning av uppgifter och grunderna för utlämningen;
• Uppgifter om den person som har genomfört kundens vård och rehabilitering;
• I barnskyddsenheter, grundskolebetyg och individuell plan för organisering av undervisningen;
• Alla uppgifter i kundregistret bildar en logisk helhet. Uppgifter som bokförs av hälsovårdspersonal som deltar i kundens vård och rehabilitering lagras i samma register som en delregister;
• Förutom det elektroniska registret kan det finnas separata pappersbaserade delregister som kan innehålla till exempel uppgifter om kundens samtycke och förbud mot utlämning av kunduppgifter, undertecknade hyres- och tjänsteavtal, medicinlistor, promenadlistor, vätskelistor eller andra liknande listor som säkerställer genomförandet av vård och rehabilitering.

Personuppgifter erhålls regelbundet från följande källor:

• Kunden, kundens vårdnadshavare, kundens lagliga företrädare eller närmaste anhörig;
• Vårdpersonal och yrkesverksamma inom hälso- och socialvården.
• Med kundens samtycke kan uppgifter också erhållas från andra socialvårds- eller hälsovårdsenheter eller yrkesverksamma, till exempel via det nationella hälsoregistret (KANTA).

Lagringstiderna för personuppgifter som lagras i kundregistret följer den aktuella regleringen om lagringstider. Lagringstiderna bestäms enligt tillämplig lagstiftning. Lagringstiden beror bland annat på typen av personuppgift.

Kunduppgifter är konfidentiella och personalen har tystnadsplikt.

Kunduppgifter kan utlämnas:

• Med kundens eller hans/hennes lagliga företrädares uttryckliga individuella samtycke;
• Enligt en uttrycklig lagbestämmelse.

När den aktuella tjänsten tillhandahålls enligt ett uppdragsavtal från den offentliga beställaren, agerar uppdragsgivaren som personuppgiftsansvarig. Då bestämmer den offentliga beställaren om all utlämning av uppgifter, även när det finns en lagstadgad grund för detta.

6.1 Regelbundna utlämnanden av kunduppgifter/kategorier av mottagare

Till Institutet för hälsa och välfärd och Läkemedelsverket Fimea för forsknings-, planerings-, statistik- och tillsynsuppgifter samt till Fimea för övervakning av narkotika.

Andra möjliga mottagare:

• I en uppföljningsvårdssituation kan uppgifter överföras till en annan social- eller hälsovårdsenhet eller hälsovårdspersonal som kunden har identifierat, med kundens muntliga samtycke som noterats i kunddokumenten.
• Uppgifter som är nödvändiga för att organisera eller genomföra kundens undersökning och vård kan utlämnas till en annan finsk eller utländsk hälsovårdsenhet eller hälsovårdspersonal även utan patientens samtycke, om patienten på grund av psykisk störning, utvecklingsstörning eller annan liknande orsak inte har förutsättningar att bedöma innebörden av det givna samtycket och han/hon inte har en laglig företrädare, eller om samtycke inte kan erhållas på grund av kundens medvetslöshet eller annan jämförbar orsak.
• Nationella hälsoregistret (KANTA-arkivet).
• Med kundens skriftliga samtycke eller enligt en uttrycklig lagbestämmelse kan uppgifter utlämnas till försäkringsbolaget.
• Kundens vårdnadshavare, annan laglig företrädare samt kundens närmaste anhörig, om kunden har gett sitt uttryckliga individuella samtycke till detta. Om en minderårig kund med hänsyn till sin ålder och utvecklingsnivå är kapabel att besluta om sin vård, har han/hon dock rätt att förbjuda att uppgifter om hans/hennes hälsotillstånd och vård ges till hans/hennes vårdnadshavare eller annan laglig företrädare.
• Dessutom kan uppgifter om kunden och hans/hennes hälsotillstånd ges till den medvetslösa eller av annan jämförbar orsak vårdade kundens närmaste anhöriga eller annan närstående, om det inte finns anledning att anta att kunden skulle förbjuda detta.

Kunduppgifter är sekretessbelagda och får inte lämnas ut till utomstående utan lagstadgad grund.

Kunduppgifter får endast användas av personer i den berörda verksamhetsenheten eller av personer som på uppdrag av enheten vårdar kunden eller deltar i relaterade uppgifter, och endast i den omfattning som deras arbetsuppgifter kräver. Det högsta ledarskapet för registerhållaren beslutar om organisatoriska lösningar och bestämmer nivåerna av användarrättigheter som beviljas anställda. För att få användarnamn krävs att man undertecknar ett sekretessavtal.

Gamla och eventuella papperskortregister som uppstår vid sidan av det elektroniska kundinformationssystemet hålls låsta och övervakade.

Till elektroniskt behandlade uppgifter har endast behörig personal tillgång med personligt användarnamn och lösenord. Användningen av kunduppgifter övervakas genom att följa logguppgifter.

När tjänsten baseras på ett offentligt uppdrag eller en tjänstesedel som beviljats av den offentliga beställaren, ska de registrerades begäran skickas till den offentliga beställaren. De registrerades begäran behandlas av den offentliga beställaren. Punkterna 8.1 - 8.7 nedan gäller endast behandling av personuppgifter under Mehiläinens personuppgiftsansvar.

8.1 Den registrerades rätt att få tillgång till uppgifter (rätt till insyn)

Kunden har rätt att få bekräftelse från Mehiläinen om personuppgifter som rör honom eller henne behandlas eller inte. Om hans eller hennes personuppgifter behandlas har kunden rätt att få information om behandlingen av sina personuppgifter, till exempel syftet med behandlingen och de berörda personuppgiftsgrupperna. Mehiläinen informerar om behandlingen av personuppgifter i sina integritetspolicyer. Den registrerade kan också kontakta Mehiläinen om behandlingen av personuppgifter enligt avsnitt 9 i denna dataskyddsbeskrivning.

Den registrerade har rätt att granska vilka uppgifter som behandlas om honom eller henne. En begäran om granskning kan göras enligt avsnitt 9 i denna integritetspolicy. Rätten att granska kan nekas på lagstadgade grunder. I princip är utövandet av granskningsrätten kostnadsfritt. Mehiläinen kan dock under vissa förutsättningar ta ut en rimlig avgift baserad på administrativa kostnader från den registrerade.

8.2 Den registrerades rätt att kräva rättelse, radering eller begränsning av behandlingen

Den registrerade har rätt att kräva rättelse av felaktiga uppgifter som rör honom eller henne. En begäran om rättelse kan göras till Mehiläinen enligt punkt 9 i denna integritetspolicy.

Personuppgifter kan i regel inte raderas eftersom deras behandling baseras på lagstiftning och de omfattas av en lagstadgad bevarandeplikt. För andra uppgifter har den registrerade under vissa förutsättningar rätt att få sina personuppgifter raderade, till exempel om behandlingen baseras på den registrerades samtycke och den registrerade återkallar sitt samtycke och det inte finns någon annan laglig grund för behandlingen.

Den registrerade har också rätt att kräva att personuppgiftsansvarig begränsar behandlingen av sina personuppgifter, till exempel när den registrerade väntar på Mehiläinens svar på en begäran om rättelse eller radering av uppgifter.

Genomförande och organisering av rättelse och begränsning av behandlingen

• En begäran om rättelse och en begäran om begränsning av behandlingen görs skriftligen och riktas till personuppgiftsansvarig enligt punkt 9 i denna integritetspolicy. Kundens identitet verifieras på ett tillförlitligt sätt.

Om kundens begäran är berättigad, korrigeras uppgifterna och eventuella åtgärder för att begränsa behandlingen genomförs. Eventuella felaktiga anteckningar överstryks eller flyttas till en bakgrundsfil så att både den felaktiga och den korrigerade anteckningen kan läsas senare. I dokumenten anges namnet på den som gjort rättelsen, tjänsteställning och datum för rättelsen.

8.3 Den registrerades rätt att motsätta sig behandlingen av personuppgifter

Den registrerade har rätt att när som helst på grund av sin personliga specifika situation motsätta sig behandlingen av personuppgifter som rör honom eller henne, när behandlingen baseras på allmänt intresse. Den registrerade har till exempel rätt att motsätta sig behandlingen av sina personuppgifter för informationshantering. Den registrerade kan framföra sitt motstånd enligt avsnitt 9 i denna integritetspolicy. I samband med begäran ska den registrerade specificera den specifika situationen som han eller hon grundar sitt motstånd på. Mehiläinen kan vägra att genomföra en begäran om motstånd på lagstadgade grunder.

8.4 Den registrerades rätt att överföra uppgifter från ett system till ett annat

I den mån den registrerade själv har tillhandahållit Mehiläinen med uppgifter som behandlas på grundval av den registrerades samtycke och behandlingen utförs automatiskt, har den registrerade rätt att få sådana uppgifter i ett strukturerat, allmänt använt och maskinläsbart format och rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig.

8.5 Den registrerades rätt att göra ett klagomål till tillsynsmyndigheten

Den registrerade har rätt att göra ett klagomål till den behöriga tillsynsmyndigheten (i Finland till dataombudsmannens byrå) om personuppgiftsansvarig inte har följt tillämplig dataskyddslagstiftning i sin verksamhet.

8.6 Andra rättigheter

Om personuppgifter behandlas på grundval av den registrerades samtycke, har den registrerade rätt att när som helst återkalla sitt samtycke genom att meddela detta till Mehiläinen enligt punkt 9 i denna integritetspolicy. Återkallandet av samtycke påverkar dock inte lagligheten av den samtyckebaserade behandlingen som utförts före återkallandet.

8.7 KANTA-arkivet

Mehiläinen anslöt sig till KANTA-arkivet den 21 april 2016 för hälsovårdstjänster. Däremot förs inte uppgifter om vård- och socialtjänstkunder till KANTA-arkivet.

För offentliga social- och hälsovårdstjänster ber vi er rikta förfrågningar och begäran om behandling av personuppgifter till varje offentlig beställares hälso- eller socialvård enligt varje offentlig beställares instruktioner och praxis.

Om kontakten gäller behandling av personuppgifter under Mehiläinens personuppgiftsansvar, kan du vända dig till Mehiläinens team för hantering av hälsouppgifter i frågor som rör dina egna patient- och personuppgifter. 
terveystiedot@mehilainen.fi

Observera att begäran om beställning, korrigering och logguppgifter relaterade till patient- och personuppgifter endast kan tas emot skriftligen. Din identitet kommer att verifieras på Mehiläinens verksamhetsställe med ett fotoförsett identitetskort eller alternativt via MinMehiläinen online-tjänsten. På detta sätt säkerställer vi att uppgifter endast lämnas ut till personer som har rätt till det.

Du kan också göra en begäran om information genom att besöka närmaste Mehiläinens verksamhetsställe, där din identitet kommer att verifieras med ett fotoförsett identitetskort. Du hittar närmaste Mehiläinens verksamhetsställe på vår webbplats på https://www.mehilainen.fi/haku?k=toimipisteet.

Om du skickar känsliga uppgifter via e-post kan du vid behov använda Mehiläinens säkerhetspost.

Dataskyddsombud

Mehiläinens dataskyddsombud är Kim Klemetti (tietosuoja@mehilainen.fi).