Användarvillkor för digitala ärendehanteringstjänst

Personuppgiftsansvarig

Österbottens välfärdsområde
Sandviksgatan 2–4
65130 Vasa
Telefonnummer: 06 218 1111, e-post: registrator@ovph.fi

Ansvarig för registret och kontaktperson i registerärenden

Ansvarig för registret
Kathy Guss, överskötare
Telefonnummer: +358 40 138 4890, e-post: kathy.guss@ovph.fi

Kontaktperson
Sofi Nyman, digichef
Telefonnummer: +358 40 149 5210, e-post: sofi.nyman@ovph.fi
Sonja Friman
Telefonnummer: +358 40 180 1400, e-post: sonja.friman@ovph.fi

Enhet
Kund- och resurscentret
Sandviksgatan 2–4, 65130 Vasa

Dataskyddsombud

Tuija Viitala, telefonnummer: 06 213 1840
Sandviksgatan 2–4, 65130 Vasa
E-postadressen har formen fornamn.efternamn@ovph.fi

Anne Korpi, telefonnummer: +358 40 183 2211
Dammbrunnsvägen 4, 65100 Vasa
E-postadressen har formen fornamn.efternamn@ovph.fi

Ändamål med behandlingen av personuppgifter

Syftet med lagen om behandling av kunduppgifter inom social- och hälsovården (703/2023) är att förenhetliga behandlingen av kunduppgifter inom social- och hälsovården vid både ordnandet och tillhandahållandet av social- och hälsovårdstjänster.
Syftet med programmet Smart Symtom Check är att stödja dokumenteringen av patientuppgifter och bedömningen av vårdbehov. Det används i sjukskötarens chatt och som stöd i telefontjänsten för bedömning av vårdbehov. Med hjälp av programmet ställs frågor om anledningen till att kunden kontaktar vården i form av en blankett för förhandsuppgifter. Utifrån svaren får den yrkesutbildade personen i förväg en rapport med nyttig information om kunden som hen kan spara i patientuppgifterna.
På basis av de insamlade uppgifterna ger programmet även ytterligare information, till exempel länkar, bilder, videor, triage-rekommendationer, förslag på yrkesutbildade personer inom hälso- och sjukvården som är lämpliga för situationen, koder för statistikföring, vårdrekommendationer och anvisningar. Till sist rekommenderas dock att patientens situation alltid ska bedömas av en yrkesutbildad person inom hälso- och sjukvården. I Österbottens välfärdsområde tar en yrkesutbildad person emot en sammanfattning som genereras i chatten utifrån de uppgifter som patienten angett.
Programmet kan användas av patienter samt yrkesutbildade personer inom hälso- och sjukvården.
Målgruppen är alla patienter som kontaktar bedömningen av vårdbehov och sjukskötarens chatt. Programmet Smart Symptom Check är CE-märkt.
Syftet med behandlingen av uppgifter hänför sig till programmets användningsändamål. Målet med behandlingen är att stödja bedömningen av vårdbehov.
Programmet Smart Symptom Check kan huvudsakligen användas på två sätt: 1) Patienten/kunden identifierar sig och fyller i en symtomenkät via kundorganisationens digitala plattform, och 2) yrkesutbildade personer inom hälso- och sjukvården använder symtomenkäten som stöd för sitt arbete via ett separat webbaserat användargränssnitt.

De personuppgifter som behandlas och lagras är i stora drag likadana i de båda ovanstående fallen. Ur JST Healthcare Solutions Oy:s perspektiv är det inte möjligt att utifrån uppgifterna i databasen identifiera vilket användningssätt som har tillämpats för att generera uppgifterna.

Syftet med behandlingen av personuppgifter är att ge användaren möjlighet att ta hand om sin hälsa eller sjukdom. Med tanke på kundsäkerheten är det nödvändigt att kunden identifierar sig i tjänsten genom stark autentisering. Registeruppgifterna kan överföras till ett kund- eller patientdatasystem med iakttagande av lagstiftningen för social- och hälsovården (lagen om behandling av kunduppgifter inom social- och hälsovården 703/2023).
För yrkesutbildade personer inom hälso- och sjukvården visas alltid först den sammanfattning som Smart Symtom Check har genererat. Personen kan sedan välja huruvida hen vill använda programmet AI Text för att omarbeta sammanfattningen. Yrkesutbildade personer inom hälso- och sjukvården använder AI Text för att stödja och underlätta dokumenteringen av patientuppgifter.
En yrkesutbildad person inom hälso- och sjukvården granskar alltid text som genererats av AI innan hen använder den i någon form. Denna granskningsprocess är välbekant för de yrkesutbildade inom hälso- och sjukvården som granskar dikterade texter. Dikterade texter skrivs ner av antingen en människa eller en särskild programvara (taligenkänningsteknik). Såväl människor som taligenkänningsprogram kan göra fel, så risken med att använda AI med tanke på eventuella fel anses ligga på samma nivå.

Rättslig grund för behandlingen av personuppgifter

För att använda sjukskötarens chatt krävs alltid att kunden identifierar sig genom stark autentisering i tjänsten suomi.fi.
Kunden kan ansluta sig till tjänsten genom att starta ett chattsamtal med vårdpersonalen, antingen i Österbottens välfärdsområdes mobilapplikation eller på välfärdsområdets webbplats. För att starta ett chattsamtal krävs alltid identifiering via suomi.fi, varefter blanketten för förhandsuppgifter i Smart Symptom Check öppnas.

Personuppgifter som behandlas

De uppgifter som lagras i Smart Symtom Check-programmets databas kommer från enskilda patientsessioner. De personuppgifter som lagras är patientens ålder (årtalet) och kön samt svaren som angetts på blanketten för förhandsuppgifter. Svaren sparas i formen Ja/Nej/Jag vet inte. En del av frågorna innehåller även preciserande frågor om till exempel hur länge symtomet pågått eller fritt formulerade tilläggsuppgifter. Även dessa tilläggsuppgifter lagras i databasen. Kunden ska inte under några omständigheter ange sin personbeteckning i fritextfält.
Programmet AI Text behandlar de sammanfattningar som Smart Symtom Check genererar och som en yrkesutbildad person inom hälso- och sjukvården kopierar och klistrar in i ett textfält i AI Text. Programmet används inte för något annat ändamål. Inga andra uppgifter (till exempel personbeteckningar eller andra personuppgifter) matas in i AI Text än de sammanfattningar som Smart Symtom Check genererar.

Lagringstid för personuppgifter

De sessionsuppgifter som samlas in i Smart Symptom Check lagras i högst 24 timmar i databasen och i tio år som säkerhetskopior. Logguppgifterna lagras i tolv månader. Säkerhetskopiorna av data är krypterade.

JST Healthcare Solutions Oy lagrar inte de uppgifter som behandlas i AI Text i någon form. För att upptäcka eventuella missbruk sparar Microsoft Azure OpenAI dock alla inmatade texter och genererade innehåll på ett säkert sätt i upp till 30 dagar. Microsoft Azure OpenAI:s kontroll av missbruk (abuse monitoring) syftar till att upptäcka fall där upprepat innehåll och/eller beteende tyder på att tjänsten används på ett sätt som kan strida mot användarvillkoren eller andra tillämpliga produktvillkor (till exempel brottslig verksamhet).

Registeruppgifterna kan överföras till ett klient- eller patientdatasystem med iakttagande av lagstiftningen för social- och hälsovården. Patientuppgifterna förvaras i enlighet med bilagan till social- och hälsovårdsministeriets förordning om journalhandlingar (94/2022) samt lagen om behandling av kunduppgifter inom social- och hälsovården (703/2023). Socialvårdens klientuppgifter förvaras i enlighet med lagen om behandling av kunduppgifter inom social- och hälsovården (703/2023) samt arkivverkets beslut AL/20064/07.01.01.03.01/2014. Uppgifterna raderas när det inte längre finns någon laglig grund för att behandla dem.

Utlämnande av personuppgifter

Personuppgifter får lämnas ut utanför verksamhetsenheten endast med patientens samtycke eller med stöd av lagen (lagen om behandling av kunduppgifter inom social- och hälsovården 703/2023, 8 kap.). Uppgifter kan lämnas ut till myndigheter som enligt lag är ålagda att upprätthålla nationella register inom hälso- och sjukvården för forsknings-, planerings- och statistikföringssyften samt till myndigheter som övervakar hälso- och sjukvårdens verksamhet (lagen om behandling av kunduppgifter inom social- och hälsovården 703/2023, 9 kap.).

Överföring av personuppgifter utanför EU eller EES

Inga uppgifter lämnas ut regelmässigt. Uppgifter kan lämnas ut endast med den registrerades uttryckliga samtycke eller till myndigheter som har lagstadgad rätt till uppgifterna. Vad gäller programmet Smart Symtom Check lämnas inga uppgifter ut utanför Europeiska unionen (EU) eller Europeiska ekonomiska samarbetsområdet (EES).

Uppgifterna i programmet AI Text lagras i det Azure-område där kundens tjänsteresurs har tagits i bruk, i detta fall EES-området. Inspektörer som bedömer eventuella missbruk får tillgång till uppgifter endast när systemet för kontroll av missbruk har markerat uppgifterna i fråga. De personliga inspektörerna är behöriga anställda hos Microsoft. För Azure OpenAI som tagits i bruk inom EES-området befinner sig Microsofts behöriga anställda i EES-området.

Microsoft Azure OpenAI är Microsofts EU Data Boundary-tjänst. I denna tjänst lagras och behandlas personuppgifter i princip alltid inom EES. I begränsade undantagsfall kan även personuppgifter i tjänsten EU Data Boundary överföras från Microsoft Ireland Operations Ltd till Microsoft Corporation i USA. Om personuppgifter i begränsade undantagsfall överförs till Microsoft Corporation enligt ovan, är grunden för överföringen de standardiserade dataskyddsbestämmelser som antagits av Europeiska kommissionen. En kompletterande skyddsåtgärd vid överföringar är att Microsoft Corporation omfattas av ramverket för dataskydd mellan EU och USA.

Principer för skydd av informationsmaterial

För att säkerställa datas säkerhet samt personuppgifternas konfidentialitet, integritet och tillgänglighet tillämpas lämpliga tekniska och organisatoriska åtgärder.

a)    Manuellt informationsmaterial

Nej

b)    Digitalt informationsmaterial

Digitala data lagras i en molntjänst på det sätt som beskrivs nedan. Yrkesutbildade personer loggar in i tjänsten via ett ad-användargränssnitt. Kunden använder stark autentisering.

Den smarta SaaS-tjänst som tillhandahåller programmet Smart Symtom Check produceras av det finländska företaget Magic Cloud Oy på servrar i Östra Nyland. Magic Cloud Oy:s informationssäkerhetscertifikat följer standarden ISO 27001 samt omfattar Magic Clouds datacentral- och molntjänster med anknytande stödfunktioner och -processer.

Programmet AI Text kan användas endast av dem som har behörighet till Smart Symtom Check. Dessutom är tillträdet till verktyget begränsat med en AWS Cognito-inställning som företaget administrerar.

Användaren kopierar och klistrar in sammanfattningen som Smart Symtom Check har genererat i AI Text. När användaren klickar för att omarbeta texten i användargränssnittet, skickas sammanfattningen via Magic Cloud Oy:s servrar genom Microsoft Azure OpenAI:s API till språkmodellen Open AI gpt-4o, som skräddarsytts för ändamålet. Tjänsten Microsoft Azure OpenAI som JST Healthcare Solutions Oy använder produceras på en datacentral i Gävle i Sverige (Sweden Central). Den omarbetade texten skickas tillbaka till användaren från Microsoft Azure via Magic Cloud Oy:s servrar.

Inmatade sammanfattningar och AI-genererade texter

• delas inte med andra som använder Microsoft Azure
• delas inte med OpenAI
• används inte för utveckling av OpenAI:s AI-modeller
• används inte för utveckling av Microsofts eller tredje parters tjänster eller produkter
• används inte för automatisk förbättring av Azure OpenAI-modeller.

Tjänsten Azure OpenAI administreras helt och hållet av Microsoft. Microsoft tillhandahåller OpenAI-modeller i Azure-miljön, och tjänsten interagerar inte med någon tjänst som upprätthålls av OpenAI (till exempel ChatGPT eller OpenAI API).

Dina dataskyddsrättigheter

Rätt att kontrollera, korrigera och/eller komplettera felaktiga uppgifter

Du har rätt att få veta om vi behandlar personuppgifter som gäller dig och att få en kopia av dina personuppgifter.

Du har rätt att begära att vi korrigerar eller kompletterar felaktiga uppgifter om dig.

Rätt till radering av uppgifter

I vissa situationer har du rätt att begära att Österbottens välfärdsområde raderar personuppgifter som gäller dig om följande uppfylls:

• Österbottens välfärdsområde behöver inte längre dina personuppgifter för det ursprungliga ändamålet.
• Du återkallar ditt samtycke och det finns ingen annan rättslig grund för att behandla dina uppgifter.
• Du motsätter dig behandlingen av dina uppgifter och det finns inga berättigade skäl till den.
• Dina personuppgifter har behandlats på olagligt sätt.
• Dina personuppgifter ska raderas på basis av lagstiftning.

Rätt att begränsa behandlingen av uppgifter

Du har rätt att i följande situationer begära att behandlingen av dina personuppgifter begränsas:

• Du anser att uppgifterna är felaktiga.
• Dina uppgifter behandlas i strid med lagen, men du vill inte att de raderas helt och hållet.

• Österbottens välfärdsområde behöver inte längre dina uppgifter för det ursprungliga ändamålet, men du behöver dem för att fastställa, göra gällande eller försvara ett rättsligt anspråk.
• Du har motsatt dig behandlingen av dina uppgifter (begärt att de inte alls ska behandlas), men det slutliga beslutet är fortfarande föremål för prövning.

Rätt till överföring av uppgifter

Du har rätt att få de personuppgifter om dig som du har lämnat till Österbottens välfärdsområde i ett strukturerat, allmänt förekommande och maskinläsbart format och/eller begära att de överförs till en annan personuppgiftsansvarig.

Rätt att begära ut uppgifter

Du kan göra anspråk på dina rättigheter genom att lämna en skriftlig begäran per post eller e-post. Kontaktuppgifterna finns i punkten Ansvarig för registret och kontaktperson i registerärenden. Observera att du ska använda skyddad e-post om du skickar känsliga personuppgifter.

Uppgifterna och åtgärderna är avgiftsfria för den registrerade, förutom om begäran är uppenbart ogrundad eller orimlig och i synnerhet om samma person framför begäranden upprepade gånger.

Anmälan till dataombudsmannen

Du har rätt att göra en anmälan till dataombudsmannen om du anser att behandlingen av dina personuppgifter strider mot tillämpliga dataskyddsbestämmelser.

Kontakta dataombudsmannen först om den personuppgiftsansvarige vägrar att tillmötesgå din begäran och det enligt dig inte finns några grunder för vägran. Dataombudsmannen tar i regel inte ställning i fall där den registrerade inte själv har varit i kontakt med den personuppgiftsansvarige.

Läs mer: https://tietosuoja.fi/sv/kann-till-dina-rattigheter

Personuppgiftsansvarig

Österbottens välfärdsområde
Sandviksgatan 2–4
65130 Vasa
Telefonnummer 06 218 1111, e-post kirjaamo@ovph.fi

Registrets ansvars- och kontaktpersoner

Ansvarsperson
Kathy Guss, överskötare
Telefonnummer: +358401384890, e-post: kathy.guss@ovph.fi
Paula Olin, chef för hemvård
Telefonnummer: +358 401450410, e-post: paula.olin@ovph.fi
Kontaktperson
Sofi Nyman, digichef
Telefonnummer +358401495210, e-post: sofi.nyman@ovph.fi
Sonja Friman
Telefonnummer +358401801400, e-post: sonja.friman@ovph.fi
Enhet
Kund- och resurscenter
Hem- och boendeservice
Sandviksgatan 2–4 65130 Vasa

Dataskyddsombud

Tuija Viitala, telefonnummer +35862131840
Sandviksgatan 2–4 65130 Vasa
e-postadressen har formatet fornamn.efternamn@ovph.fi
Anne Korpi, telefonnummer +358401832211
Dammbrunnsvägen 4, 65100 Vasa
e-postadressen har formatet fornamn.efternamn@ovph.fi

Syftet med behandlingen av personuppgifter

Syftet med lagen om behandling av kunduppgifter inom social- och hälsovården (703/2023) är att förenhetliga behandlingen av klientuppgifter inom social- och hälsovården vid både ordnandet och tillhandahållandet av social- och hälsovårdstjänster.

Syftet med den digitala plattformen och mobilapplikationstjänsten eKonsultaatio är att vårda (social- och hälsovårdstjänster), utveckla och upprätthålla klientrelationen. Den digitala tjänsten omfattar chattjänster, icke-brådskande meddelanden, förhandsuppgiftsformulär, videomottagningar och distansbesök. Stark användarautentisering i tjänsten är nödvändig med tanke på klientsäkerheten.  

Syftet med behandlingen av personuppgifter är att ge användaren möjlighet att sköta hälso- eller sjukvårdsärenden eller socialvårdens klientärenden.

Behandlingen av personuppgifter grundar sig i första hand på klientrelationen mellan den personuppgiftsansvarige och den registrerade, som bildas när den registrerade börjar använda den elektroniska ärendehanteringstjänsten och samtidigt ger ett separat samtycke till användningen av tjänsten. Tjänsten är i första hand avsedd för den personuppgiftsansvariges klienter.

Uppgifterna från den digitala tjänsten kan överföras till ett klient- eller patientdatasystem i enlighet med social- och hälsovårdslagstiftningen. Lag om behandling av klientuppgifter inom social- och hälsovården (703/2023).

Rättslig grund för behandling av personuppgifter

Första gången klienten loggar in i mobilapplikationen krävs autentisering via Suomi.fi-identifikation. Efter detta kan klienten skapa en egen inloggningskod.

Det går att ansluta till tjänsten via webbplatsen för Österbottens välfärdsområde genom att starta en chattkonversation med en yrkesperson. Alla funktioner i webbläsarversionen kräver inte stark autentisering.

Personuppgifter som behandlas

Följande personuppgifter lagras i registret:

• Klientens identifierings- och kontaktuppgifter: förnamn, efternamn, personnummer, adress, postnummer och hemkommun 
• Uppgifter som skapats och sparats av klienten: e-post och telefonnummer till klienten och närmast anhörig 
• Meddelanden (innehållet i det meddelande som personen skickat och svaret på det) 
• Serviceuppgifter (uppgifter om tjänster som den registrerade har begärt och använt, uppgifter om de personer som har behandlat den registrerade, såsom yrkespersoner, tjänster, verksamhetsenheter) 

Uppgifter för utrustningsregister, ifall kunden använder utrustning från Österbottens välfärdsområde (distansbesök), ingås ett separat avtal om detta (teknologiavtal).

Förvaringstid för personuppgifter

Personuppgifterna lagras i enlighet med informationshanteringsplanen. Förvaringstiden baseras på arkivlagen och speciallagar och på vilket behov verksamheten har att dokumentera och garantera såväl myndigheters som enskilda personers och sammanslutningars rättssäkerhet. Personuppgifterna på plattformen lagras i minst två (2) år. Patientuppgifter lagras i enlighet med bilagan till social- och hälsovårdsministeriets förordning om journalhandlingar (94/2022) och lagen om behandling av kunduppgifter inom social- och hälsovården (703/2023). Klientuppgifter inom socialvården lagras i enlighet med lagen om behandling av kunduppgifter inom social- och hälsovården 703/2023 och arkivverkets beslut (AL/20064/07.01.01.03.01/2014). Uppgifterna raderas när det inte längre finns någon rättslig grund för att behandla dem.  

Utlämnande av personuppgifter

Personuppgifter får endast lämnas ut utanför verksamhetsenheten med kundens samtycke eller enligt lag. Lag om behandling av kunduppgifter inom social- och hälsovården (703/2023) kapitel 8.

Uppgifterna kan lämnas ut till de myndigheter som upprätthåller nationella hälsovårdsregister för forsknings-, planerings- och statistikändamål samt till de myndigheter som övervakar hälsovårdsverksamheten, enligt vad som krävs enligt lag. Lag om behandling av kunduppgifter inom social- och hälsovården (703/2023) kapitel 9.

Överföring av uppgifter utanför EU eller EES

Inget regelmässigt utlämnande av uppgifter. Uppgifter kan endast lämnas ut med den registrerades uttryckliga samtycke eller till myndigheter som har lagstadgad rätt till det. Uppgifter lämnas inte ut utanför EU eller Europeiska ekonomiska samarbetsområdet.

Principer för skydd av informationsmaterial

Datasäkerheten för informationsmaterial samt personuppgifternas konfidentialitet, integritet och tillgänglighet säkerställs genom lämpliga tekniska och organisatoriska åtgärder.

a) Manuellt informationsmaterial
Nej
b) Digitalt informationsmaterial
Digitalt informationsmaterial lagras i en molntjänst. Inloggning för yrkesverksamma via ad-användargränssnitt. Klienten använder stark autentisering. Österbottens välfärdsområde för ett register över utrustning som lånats ut till kunder (distansbesök). Registret förs för att möjliggöra fjärrhantering av enheterna, programuppdateringar och teknisk support.

Dina dataskyddsrättigheter

Rätt att kontrollera, korrigera och/eller komplettera av oriktig uppgift  

Du har rätt att få veta om vi hanterar personuppgifter om dig och få kopia av dina personuppgifter.

Du har rätt att be oss korrigera eller komplettera oriktiga uppgifter om dig.  

Stryka uppgifter 

I en del situationer har du rätt att be Österbottens välfärdsområde stryka uppgifter om dig om något av följande uppfylls:  

• Österbottens välfärdsområde behöver inte längre dina uppgifter för ursprungligt ändamål.  
• Du tar tillbaka samtycket du gett och ingen annan laglig grund finns för hanteringen av dina uppgifter.  
• Du motsätter dig hanteringen av dina uppgifter och ingen grundad anledning för hanteringen finns.  
• Dina uppgifter har hanterats lagstridigt.  
• Dina uppgifter ska strykas på grundval av lagstiftning.  

Begränsning av uppgifter 

Du har rätt att be att behandlingen av dina personuppgifter begränsas i vissa situationer:  

• Du anser att uppgifterna är oriktiga.  
• Dina uppgifter hanteras lagstridigt men du vill inte att de stryks helt.  
• Österbottens välfärdsområde behöver inte längre dina uppgifter för ursprungligt ändamål, men du behöver dem för att skriva, framföra eller försvara yrkande.  
• Du har motsatt dig hanteringen av dina uppgifter (bett att de inte alls skulle behandlas), men slutligt beslut övervägs ännu.  

Överföring av uppgifter 

Du har rätt att få uppgifter om dig som du lämnat till Österbottens välfärdsområde i utformad, allmänt använd och maskinläsbar form och eller begära att de överförs till annan registeransvarig.  

Begäran om uppgifter 

Du kan framföra skriftlig begäran om dina rättigheter per post eller e-post. Kontaktuppgifterna finns i punkten registrets ansvars- eller kontaktperson. Beakta att när du sänder ömtåliga personuppgifter ska du använda säker e-post.  

Uppgifterna och åtgärderna är avgiftsfria för den registrerade förutom om begäran är uppenbart ogrundad eller orimlig och i synnerhet om den framförs upprepade gånger. 

Anmälan till dataombudsman  

Du har rätt att göra anmälan till dataombudsmannen om du anser att man bryter mot tillämplig dataskyddsreglering vid hanteringen av dina personuppgifter.  

Ta kontakt med dataombudsmannen först om registeransvarig avslår din begäran och du anser att inga grunder finns för avslaget. Dataombudsmannen tar i princip inte ställning i sådana fall där man inte själv kontaktat den registeransvarige. 

Läs mera: https://tietosuoja.fi/sv/kann-till-dina-rattigheter