Ajas ja tietosuoja-asetus (GDPR)

Johdanto

Euroopan merkittävin uudistus tietosuojaan tuli voimaan 25.5.2018 siirtymäajan päättyessä. EU:n tietosuoja-asetus (GDPR) korvasi vuonna 1995 voimaan tulleen tietosuojadirektiivin. GDPR vahvistaa yksilön oikeuksia heihin liittyvän tiedon osalta ja yhdistää tietosuojalakeja Euroopan sisällä riippumatta tiedon käsittelymaasta. Tietosuoja-asetus jättää kuitenkin tietyissä kysymyksissä kansalliselle lainsäädännölle liikkumavaraa, jonka perusteella jäsenmaa voi tarkentaa velvoitteita tai poiketa niistä.

Tietosuoja-asetuksessa säädetään henkilötietojen käsittelyä koskevista periaatteista, jotka ohjaavat rekisterinpitäjää käsittelemään henkilötietoja rekisteröidyn oikeuksia ja vapauksia kunnioittavalla tavalla. Periaatteet vastaavat monelta osin Suomen kansallisen, jo aiemmin voimassa olleen henkilötietolain periaatteita, vaikka asetuksessa osaa näistä periaatteista on täsmennetty.

Tietosuojan kunnioittamisesta on huolehdittu Suomessa laajasti muun muassa rakentamalla Kanta-arkisto, joka helpottaa tietosuojan yhdenmukaista käsittelyä hoitoalalla.

Ajas on saanut A-luokan (A1) sertifikaatin, joka vaaditaan Kantaan liittyviltä järjestelmiltä. Se omalta osaltaan osoittaa asiakkaille myös tietoturvan ja tietosuojan kunnioittamisen.

Eneroc Oy ja sen tytäryhtiö Ajas Oy on sitoutunut noudattamaan GDPR-asetusta kaikissa toiminnassaan ja pilvipalveluissa, kuten myös Suomen kansallista lainsäädäntöä Suomessa toimivien asiakkaidemme osalta. Olemme pyrkineet ja pyrimme auttamaan tuotteidemme käyttäjiä lakien ja asetusten noudattamisessa tarjoamalla tiukkaa yksityisyyden suojaa sekä huolehtimalla tietoturvasta kaikilla palvelimillamme.

Mitä sinun tarvitsee huomioida?

Ajas Oy:n asiakkaat eli palveluntarjoajat toimivat tyypillisesti rekisterinpitäjänä käyttäessään Ajas-palveluita asiakastietojen käsittelyyn ja kirjaamiseen. Rekisterinpitäjän tulee määritellä tarkoitus eli syy henkilökohtaisten tietojen käsittelylle. Ajas on tiedon käsittelijä, joka prosessoi ja tallentaa tietoa rekisterinpitäjän toiminnan taustalla.

Rekisterinpitäjät ovat vastuussa siitä, että tietosuojaperiaatteita noudatetaan kaikissa henkilötietojen käsittelyvaiheissa. Rekisterinpitäjää koskevan osoitusvelvollisuuden johdosta rekisterinpitäjän on kyettävä osoittamaan, että periaatteita noudatetaan. Rekisterinpitäjän on arvioitava, mitä periaatteet käytännössä tarkoittavat ja miten ne toteutuvat omassa toiminnassa. Periaatteiden noudattamisen osoittaminen edellyttää rekisterinpitäjältä muun  muassa henkilötietojen aiempaa tarkempaa suunnittelua ja dokumentointia.

Jos olet rekisterinpitäjä, Ajas tarjoaa sinulle myös pohjan tietosuoja- ja rekisteriselosteeksi, jonka avulla säästät aikaa ja vaivaa selosteen laatimisessa. Muistathan käyttää kaikessa toiminnassa henkilökohtaisia tunnuksia ja kaksivaiheista tunnistautumista sen organisaation sisällä, jossa toimit.

Eneroc Oy:n, Ajas Oy:n ja alihankkijoiden sitoutuminen tietosuoja-asetukseen

Muiden asioiden ohessa rekisterinpitäjää vaaditaan käyttämään palveluita, jotka tarjoavat riittävät takeet siitä että niiden organisaatio ja palvelut noudattavat tietosuoja-asetusta. Käyttäessäsi Ajas-tuotteita voit huomioida seuraavat asiat.

Tieto, luotettavuus ja resurssit

Eneroc ja sen tytäryhtiö Ajas palkkaavat tietoturvaa koskeviin tehtäviin insinöörejä ja sitä korkeammin koulutettuja ohjelmistoalan ammattilaisia, jotka huolehtivat tiedon, sovellusten ja verkon turvallisuudesta. Henkilöstölle on annettu ohjeeksi jatkuvasti kehittää turvallisuutta ja parantaa tietosuojaa. Lisäksi palvelinten virustorjunta, palomuurit ja käyttöjärjestelmä päivitetään aina siten, että niissä ei ole tunnettuja tietoturva-aukkoja. Konsernin käytössä on oma lakimies, jolta voidaan pyytää konsultaatiota aina tarvittaessa tietosuoja- ja lakiasioihin liittyen. Pyrimme tekemään jatkuvasti parhamme, että asiakkaamme pystyvät täyttämään velvollisuutensa rekisterinpitäjänä.

Tietosuojaan sitoutuminen

Olemme sitoutuneet noudattamaan EU:n yleistä tietosuoja-asetusta sekä kansallista tietosuojalakia ja keräämme jatkuvasti palautetta asiakkailtamme ja seuraamme viranomaistiedotteita. Sopimuksemme ovat tietosuoja-asetuksen mukaisia. Olemme myös laatineet ohjeita sekä valmiita vastauksia tietosuojaa koskeviin kysymyksiin.

Suunnittelemme ja toteutamme jatkuvasti myös tietosuoja-asetuksen noudattamista helpottavia toimintoja, kuten hyväksynnät ja markkinointiluvat sekä mahdollisuudet tarjota asiakkaalle oikeus poistua rekisteristä ja tulla unohdetuksi sekä saada lista hänestä tallennetuista rekisterimerkinnöistä. Tietojen muutokset ja katselukerrat rekisteröidään ja tieto niistäkin voidaan luovuttaa asiakkaalle. Ajas on liittynyt Kanta-arkistoon, jonka avulla rekisterinpitäjä voi huolehtia myös hoitoalan potilastietoja koskevasta erityislainsäädännöstä.

Kaikki tieto, jonka rekisterinpitäjä ja sen asiakkaat tallentavat järjestelmäämme, käsitellään huomioiden tietojenkäsittelysopimukset ja käyttäjän ohjeet.

Henkilöstön vaitiolovelvollisuus
Vaadimme kaikkia työntekijöitämme hyväksymään ja allekirjoittamaan vaitiolosopimuksen, jossa henkilöstömme sitoutuvat olemaan kertomatta vaitiolon piiriin kuuluvia asioita kellekään tai millekään taholle.

Tietojen säilytysajoissa ja poistopolitiikassa noudatetaan potilasasiakirjoista ja käyttölokitiedoista asetettuja lakeja ja viranomaisvaatimuksia.

Alihankkijoiden käyttö

Eneroc Oy ja Ajas Oy huolehtivat palvelinten ylläpidosta pääosin itse, mutta käytämme kuitenkin alihankkijoita osassa palvelun tuotantoa. Valitsemme alihankkijat huolella ja edellytämme myös heiltä lainsäädännön sekä tietosuoja-asetuksen tarkkaa noudattamista.

Palveluiden turvallisuus

Tietosuoja-asetuksen mukaan henkilötiedon käsittelijän ja rekisterinpitäjän tulee toteuttaa kelvollinen tekninen ja organisaation mittausmenetelmät varmistaakseen turvallisuuden tason. Eneroc ja Ajas huolehtivat yhdessä siitä että tiedon turvallisesta säilyttämisestä ja tiedon hallinnoinnista pidetään huolta koko tiedon elinkaaren ajan. Henkilötiedot säilytetään Suomessa. Järjestelmään tallennettavaa muuta tietoa, kuten esimerkiksi salattuja binääritiedostoja voidaan säilyttää myös muualla EU-alueella.

Palveluiden liikenne tapahtuu korkean turvaluokan HTTPS-protokollan salauksella. Data säilytetään ja sitä hallinnoidaan turvallisesti. Tiedon tallennuksessa hyödytetään hyväksi tunnettuja kryptausmenetelmiä.

Tietoturvaominaisuuksiemme perusta on kerroksittaisuus. Yhdessä suojauksessa oleva heikkous ei tarjoa mahdolliselle hakkerille pääsyä kaikkeen tietoon vaan ainoastaan yhden pykälän korkeammalle.

Tavoitettavuus

Ajas-tuotteiden palvelinalusta on redundanttinen. Verkko on kahdennettu, kuten myös  palvelimen muut komponentit. Levyjärjestelmä, suorittimet, muistit ja muut komponentit on hajautettu palvelinsalin sisällä ja rikkoutunut korvautuu automaattisesti toisella. Katkokset ovat hyvin harvinaisia. Normaalisti tekninen vika aiheuttaa ainoastaan palvelun toiminnan hidastumisen eikä lamauta koko palvelua.

Testaus

Ajas-tuotteisiin käytetään automaattisia testaus- ja vikadiagnostiikkatyökaluja. Järjestelmävirheistä lähtee ylläpitäjille automaatisesti virheraportti, joiden avulla voimme puuttua mahdolliseen ongelmaan jo ennen kuin ne näkyvät käyttäjille.

Kulunvalvonta

Käyttämissämme palvelinsaleissa on kulunvalvonta ja niihin ei pääse muita kuin valtuutetut henkilöt, jotka täyttävät turvallisuusvaatimukset. Palvelinsalit sijaitsevat EU-alueella ja niissä noudatetaan EU tietosuoja-asetuksia. Myös toimitiloissamme on kulunvalvonta, murtohälyttimet sekä sopimus vartiointipalvelun kanssa.

Teemme jatkuvasti parhaamme yleisesti hyväksi tunnettuja menetelmiä hyödyntäen, voidaksemme huolehtia ja auttaa rekisterinpitäjiä huolehtimaan omasta ja asiakkaidensa tietoturvasta.

Tekstiä on täydennetty 14.3.2024.