My Nightingale tietosuojaseloste
Päivitetty 16.6.2021
1. Rekisterinpitäjä ja yhteystiedot rekisteriasioissa
Nightingale Health Oyj (y-tunnus 1750524-0)
Mannerheimintie 164a, 00300 Helsinki
Puh. +358 20 730 1810
Tietosuojavastaavan sähköposti: privacy@nightingalehealth.com
2. Mihin tarkoituksiin ja millä perusteella käsittelemme henkilötietojasi?
Rekisteri on perustettu Nightingale Health Oyj:n tarjoamaa My Nightingale -palvelua varten (”Palvelu”). Käsittelemme tietojasi seuraaviin käyttötarkoituksiin:
- Palvelun tarjoamiseen, järjestämiseen, suunnitteluun, kehittämiseen ja toteutukseen (ml. Palvelun ostaminen, käyttäjätilin luominen, Nightingale Kitin lähetys ja rekisteröiminen, näytteenotto, näytteiden analysointi ja tulosten toimittaminen);
- Asiakassuhteen hoitoon ja kehittämiseen (ml. asiakaspalvelu ja -viestintä, asiakaspalautteet sekä sähköinen suoramarkkinointi) sekä Palvelun laskuttamiseen ja maksujen prosessointiin;
- Palvelun ja sen käytön seurantaan, laadunvalvontaan sekä terveydenhuollon ammattihenkilöiden toiminnan valvontaan ja mahdollisten vahinkojen tai kanteiden selvittämiseen;
- Toiminnan suunnitteluun, tilastointiin ja arviointiin; ja
- Tuotteiden ja palveluiden kehittämiseen ja parantamiseen anonymisoidussa muodossa siten, että henkilö ei ole enää tunnistettavissa, ellei toisin sovita erillisellä suostumuksella.
Henkilötietojen käsittely perustuu lakeihin ja asetuksiin, kuten:
- EU:n tietosuoja-asetus 2016/679, 6 artiklan 1 a), b), c) ja f) kohdat
- laki potilaan asemasta ja oikeuksista 17.8.1992/785
- laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 9.2.2007/159
- sosiaali- ja terveysministeriön asetus potilasasiakirjoista 30.3.2009/298
sekä suostumukseen, sopimukseen ja Nightingale Health Oyj:n oikeutettuun etuun (ml. toiminnan suunnittelu ja raportointi, markkinointi ja perintä).
3. Millaisia henkilötietoja käsittelemme ja mistä keräämme tiedot?
Käsittelemme seuraavia henkilötietoja:
Perustiedot:
- Asiakkaan yksilöimiseksi ja asioinnin järjestämiseksi tarvittavat henkilötiedot:
- Nimi ja henkilötunnus tai muu tunniste henkilön yksilöimiseksi
- Yhteystiedot, kuten osoite, puhelinnumero ja sähköposti
- Asiakkaan luoma salasana Palveluun
- Nightingale Kit -kotitestilaitteen tunniste
- Maksutiedot, kuten luottokorttitiedot
- Tieto annetuista suostumuksista ja kielloista.
Palvelua varten tarvittavat terveystiedot:
- Palvelutapahtumat ja niihin liittyvät potilastiedot sekä muut terveystiedot (ml. näytteenottopäivä, näytetyyppi, näytteen yksilöivä tunniste, sukupuoli, syntymäaika, tieto mahdollisesta lääkityksestä tai muusta kliinisesti merkityksellisestä tiedosta);
- Verinäyte ja siitä saatavat tiedot sekä niistä johdetut analyysit ja tulokset.
- Palvelun järjestämisen, suunnittelun, toteuttamisen ja seurannan turvaamiseksi vaadittavat tarpeelliset muut tiedot.
Asiakashistoriaan liittyvät tiedot:
- Ajanvaraukseen, yhteydenottoihin, Palvelun ja verkkosivujen käyttöön (ml. evästeet evästeselosteessamme todetuin tavoin), palautteisiin, asiakaskyselyihin, laskutukseen ja perintään liittyvät tiedot.
Rekisteriin tallennettavat henkilötiedot kerätään ensisijaisesti sinulta itseltäsi ja antamastasi verinäytteestä. Tietoja voidaan päivittää julkisista rekistereistä kuten väestörekisteristä.
4. Mille tahoille luovutamme tietoja ja siirrämmekö tietoa EU:n tai ETA:n ulkopuolelle?
Terveystiedot ovat salassa pidettäviä. Tietoja käsittelevillä on salassapito- ja vaitiolovelvollisuus. Terveystietoja voidaan luovuttaa asiakkaan kirjallisella suostumuksella tai laissa säädetyn mukaisesti. Suostumusta tietojen luovuttamiseen voi milloin tahansa rajata tai peruuttaa kokonaan.
Lainsäädännön perusteella meillä on joko oikeus tai velvollisuus luovuttaa tietoja esim. seuraaville tahoille:
- Valvontaviranomaiset kuten mm. aluehallintovirasto, tietosuojavaltuutetun toimisto, Valvira, kuntien sosiaaliviranomaiset, oikeusviranomaiset.
Käytämme ulkopuolisia palveluntarjoajia IT- ja markkinointijärjestelmien, potilastietojärjestelmän sekä asiakastietojärjestelmän hallintaan. Solmimme kaikkien palveluntarjoajien kanssa sopimuksen henkilötietojen käsittelystä ja edellytämme yhteistyökumppaneidemme käsittelevän henkilötietoja vain siinä määrin kuin se on tarpeen ko. palvelun tuottamiseksi.
Emme siirrä potilastietojasi EU:n tai ETA-alueen ulkopuolelle. Ulkopuoliset palveluntarjoajamme voivat kuitenkin käsitellä muita henkilötietojasi EU:n tai ETA-alueen ulkopuolella. Siinä tapauksessa huolehdimme riittävistä ja asianmukaisista suojatoimista soveltuvan tietosuojalainsäädännön mukaisesti.
5. Miten suojaamme tietoja ja kuinka kauan säilytämme niitä?
Sisäinen organisaatiomme on rakennettu vastaamaan EN ISO 13485 sertifioidun laatujärjestelmämme ja ISO/IEC 27001:2013 sertifioidun tietoturvallisuuden hallintajärjestelmämme vaatimuksia ja toimintaamme sovellettavaa tietosuojalainsäädäntöä. Käytämme asianmukaisia fyysisiä, teknisiä ja hallinnollisia suojakeinoja tietojen suojaamiseksi väärinkäytöksiltä. Tällaisia keinoja ovat mm. tietoverkkoliikenteen kontrollointi ja suodattaminen, salaustekniikoiden, turvallisten laitetilojen käyttö, asianmukainen kulunvalvonta, hallittu käyttöoikeuksien myöntäminen ja niiden käytön valvonta, henkilötietojen käsittelyyn osallistuvan henkilöstön ohjeistaminen sekä palvelujemme suunnittelussa, toteuttamisessa ja ylläpidossa tapahtuva riskienhallinta. Henkilötietoja käsittelevät ainoastaan sellaiset henkilöt, joille se on työtehtävien hoitamisen vuoksi tarpeellista. Salassa pidettävien potilastietojen ja asiakirjojen säilytykseen käytetään potilastietojärjestelmää, johon myönnetään oikeudet roolipohjaisesti työtehtävien perusteella. Manuaalinen aineisto arkistoidaan lukittuun tilaan, johon on pääsy vain EN ISO 13485 laatujärjestelmän mukaisesti rajatuilla henkilöillä.
Paperimuodossa oleva aineisto säilytetään lukituissa tiloissa, joihin on pääsy vain ko. asioita tai asiakirjoja käsittelevillä henkilöillä.
Varmistamme meidän lukuumme henkilötietoja käsittelevien alihankkijoiden kanssa tehtävillä tietojenkäsittelysopimuksilla tietosuojan toteutumisen.
Potilastietoja säilytetään niin kauan kuin on tarpeen ottaen huomioon laista ja asetuksista (kuten laki potilaan asemasta ja oikeuksista sekä sosiaali- ja terveysministeriön asetus potilasasiakirjoista) noudatettavaksi tulevat säilytysajat. Säilytysaika on pääsääntöisesti 12 vuotta potilaan kuolemasta tai, jos siitä ei ole tietoa, 120 vuotta potilaan syntymästä. Verinäytteet säilytetään laadunvalvontatarkoitusta varten kolme kuukautta mittauksesta, jonka jälkeen verinäytteet joko anonymisoidaan tai hävitetään EN ISO 13485 laatujärjestelmän prosessia noudattaen. Muilta osin henkilötietoja säilytetään niin kauan kuin se on tarpeellista edellä kohdassa 2 mainittujen käyttötarkoituksien toteuttamiseksi, minkä jälkeen ne joko poistetaan tai anonymisoidaan.
6. Oikeutesi rekisteröitynä tietojen käsittelyyn liittyen
Rekisteröitynä sinulla on seuraavat oikeudet tietyin lainsäädännöstä johtuvin rajoituksin:
- Oikeus saada pääsy henkilötietoihin
- Oikeus epätarkkojen tai virheellisten henkilötietojen oikaisemiseen ja tietyissä tapauksissa myös oikeus henkilötietojen poistamiseen, esim. rekisterin käyttötarkoituksen kannalta turhat ja väärät tiedot
- Oikeus käsittelyn rajoittamiseen, esim. henkilötietojen paikkansa pitämättömyyden tai käsittelyn lainvastaisuuden perusteella
- Vastustamisoikeus esim. silloin, kun henkilötietojen käsittelyn perusteena on oikeutettu etu henkilökohtaiseen erityiseen tilanteeseesi liittyvällä perusteella tai aina, kun henkilötietoja käsitellään suoramarkkinointia varten
- Oikeus siirtää henkilötiedot järjestelmästä toiseen
- Oikeus potilasrekisterin lokitietoihin. Asiakastietolain (laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 9.2.2007/159) mukaisesti voit pyytää omia potilastietojasi koskevat lokitiedot. Oikeutta saada lokitietoja voidaan rajoittaa, jos lokitietojen luovuttajan tiedossa on, että lokitietojen antamisesta saattaisi aiheutua vakavaa vaaraa henkilön terveydelle tai hoidolle taikka jonkun muun oikeuksille. Myöskään kahta vuotta vanhempia lokitietoja ei ole oikeutta saada, jollei siihen ole erityistä syytä.
- Suostumuksen peruuttaminen
Voit milloin tahansa peruuttaa suostumuksen tai rajata sitä silloin, kun henkilötietojesi käsittely perustuu suostumukseen. Suostumuksen peruuttamisella ei ole vaikutusta ennen peruutusta tehtyyn tietojenkäsittelyn laillisuuteen.
Voit käyttää oikeuksiasi toimittamalla vapaamuotoisen kirjallisen tietopyynnön ja/tai vaatimuksen, joka käsitellään aina tapauskohtaisesti, sähköpostitse tai kirjeitse edellä kohdassa 1 mainittuihin osoitteisiin.
Lisäksi sinulla on oikeus tehdä valitus valvontaviranomaiselle, erityisesti siinä EU-jäsenvaltiossa, jossa vakinainen asuinpaikkasi tai työpaikkasi on taikka jossa väitetty rikkominen on tapahtunut, jos katsot, että sinua koskevien henkilötietojen käsittelyssä rikotaan EU:n tietosuoja-asetusta.