Perustelut
Asian valmistelija: juristi (tietosuojavastaava) Veera Välitalo
Tietotilinpäätös on keskeinen osa tietosuojan toteuttamisen seurantaa ja EU:n yleisen tietosuoja-asetuksen (EU 2016/679, jatkossa tietosuoja-asetus) määrittelemää osoitusvelvollisuutta (5 artikla). Osoitusvelvollisuuden mukaan rekisterinpitäjän on kyettävä osoittamaan, että se noudattaa henkilötietojen käsittelyssä tietosuojalainsäädäntöä. Vantaan ja Keravan hyvinvointialueella rekisterinpitäjän velvollisuuksista huolehtii aluehallitus (hallintosääntö 2 §). Lisäksi hallintosäännön ja aluehallituksen 28.2.2023 § 50 hyväksymän tietosuoja- ja tietoturvapolitiikan mukaan hyvinvointialueen toimialat vastaavat tietosuojan järjestämisestä ja tietosuojan resursseista omalla toimialallaan.
Tietotilinpäätös toimii paitsi osoitusvelvollisuuden osoittamisen välineenä myös sisäisen ja ulkoisen valvonnan raporttina. Tietotilinpäätöksellä voidaan lisätä luottamusta siihen, että organisaatiossa noudatetaan tietosuojalainsäädäntöä. Sisäisenä valvonnan raporttina tietotilinpäätös tarjoaa rekisterinpitäjälle ja sen johdolle ajantasaisen tilannekuvan henkilötietojen käsittelyn nykytilasta sekä arvion tietosuojan toteutumisesta. Tämä on tärkeää, koska se auttaa tunnistamaan kehittämistarpeita ja suunnittelemaan tarvittavia toimenpiteitä. Tavoitteena on tukea ja parantaa tietosuojatyön tekemistä sekä lisätä tekemisen vaikuttavuutta.
Vuoden 2024 tietotilinpäätös on Vantaan ja Keravan hyvinvointialueen ensimmäinen tietotilinpäätös. Tietotilinpäätös koostaa yhteen valittujen pääkohtien kautta tietosuojan tilannekuvan aikavälillä 1.1.–31.12.2024. Vuoden 2024 tietotilinpäätöksen valittuja pääkohtia ovat hyvinvointialueen tietosuoja- ja tietoturvakoulutukset, tietosuojan vaikutustenarvioinnit, tietosuojaselosteet sekä henkilötietojen käsittelystä syntyvien lokitietojen kerääminen ja valvonta.
Tietotilinpäätös sisältää hyvinvointialueen tietosuojavastaavan vuosikatsauksen, jossa tarkastellaan hyvinvointialueen tietosuojan tilannetta edellä mainittujen pääkohtien kautta. Näiden lisäksi tietosuojavastaava raportoi henkilötietojen tietoturvaloukkauksista. Tietotilinpäätökseen sisältyy myös hyvinvointialueen toimialojen tuottamat osuudet ennalta annettujen aiheiden ja kysymysten perusteella. Lisäksi toimialoilla on ollut mahdollisuus nostaa esille muita tärkeinä pitämiään asioita. Näin saadaan kokonaiskuva asioiden tilasta koko hyvinvointialueella. Lisäksi kirjaamoa pyydetty vastaamaan kysymyksiin koskien asiakkaiden esittämiä tietosuojaan liittyviä toimenpidepyyntöjä.
Tietosuojavastaavan raportissa tuodaan esiin, että hyvinvointialueen pakollisten tietosuoja- ja tietoturvakoulutusten suoritusprosentit ovat alhaisia, mutta koulutusjärjestelmän tuottama arvosana hyvinvointialueen tietosuojaosaamisen tasosta vaihtelee hyvän ja kiitettävän välillä. Vuonna 2024 käyttöönotettu ilmoituskanava henkilötietojen tietoturvaloukkauksille on saavuttanut henkilöstön hyvin ja suurin osa loukkauksista johtuu inhimillisistä virheistä arjen työssä. Tietosuojaan liittyviä toimenpidepyyntöjä käsiteltiin vuonna 2024 yhteensä 1143 kappaletta, joista valtaosa oli henkilötietojen tarkastuspyyntöjä. Tietosuojaan liittyvät toimenpidepyynnöt on käsitelty hyvinvointialueella pääosin kuukauden aikarajan puitteissa. Sosiaali- ja terveydenhuollon asiakastietojen käytön omavalvonnassa asiakastietojen väärinkäyttöä havaittiin vain yhdessä tapauksessa ja tarvittaviin toimenpiteisiin ryhdyttiin.
Vuonna 2025 kehityskohteina ovat erityisesti pakollisten tietosuoja- ja tietoturvakoulutusten suoritusprosenttien kasvattaminen, tietosuojaselosteiden saavutettavuuden parantaminen ja tietosuojan vaikutustenarviointiprosessin tehostaminen.
Ehdotus
Aluehallitus päättää hyväksyä liitteenä olevan tietotilinpäätöksen 2024.
Päätös
Päätösehdotus hyväksyttiin yksimielisesti.
Lisätietoja päätöksestä antaa hyvinvointialuejohtaja Timo Aronkytö, timo.aronkyto@vakehyva.fi.