TURVALLISUUSSOPIMUS PALVELUSETELIPALVELUT

TURVALLISUUSSOPIMUS PALVELUSETELIPALVELUT

Yrityksen nimi                    Y-tunnus            

Tämä turvallisuussopimus täsmentää Eksoten yleistä palveluseteliohjetta. Palveluntuottaja sitoutuu tämän turvallisuussopimuksen ehtoihin palvelusetelipalveluja tuottaessaan Eksoten hyväksymänä palvelusetelituottajana. Tämän sopimuksen ehtoja henkilötietojen käsittelystä ja tietosuojasta sovelletaan ensisijaisesti suhteessa palveluseteliohjeeseen.

Tässä turvallisuussopimuksessa määritellään Eksotea ja Palveluntuottajaa sitovasti ne henkilötietojen käsittelyä ja tietosuojaa koskevat sopimusehdot, joiden mukaisesti Palveluntuottaja Eksoten toimeksiannosta käsittelee henkilötietoja Eksoten puolesta palvelusetelipalveluja tuottaessaan. Tällä sopimuksella ei kuitenkaan poiketa lainsäädännön asettamista pakottavista velvoitteista.

Näissä ehdoissa kuvatuista Palveluntuottajan toimenpiteistä ja velvollisuuksista ei suoriteta erillistä korvausta, ellei toisin ole sovittu.

1 Käsittelytoimien kuvaus

Tässä kuvataan käsittelytoimet, joita Palveluntuottaja henkilötietojen käsittelijänä tekee Eksoten puolesta tuottaessaan palvelusetelin toimintaohjeen mukaista palvelua Eksoten lukuun, henkilötietojen tyypit sekä käsiteltävät henkilötiedot. Tämän turvallisuussopimuksen tavoite, tarkoitus ja luonne on varmistaa, että palvelussa noudatetaan henkilötietojen käsittelyssä voimassa olevaa tietosuojalainsäädäntöä ja että henkilötietojen käsittelijä noudattaa Eksoten antamia ohjeita. Tällä varmistetaan henkilötietojen elinkaaren kattava tietosuoja ja tietoturvallisuus, Palveluntuottajan toiminnan vaatimustenmukaisuus ja palvelun jatkuvuus häiriötilanteissa.

Osapuolet ovat sopineet, että Palveluntuottaja tuottaa Eksoten järjestämisvastuulla olevia lakisääteisiä ja Eksoten henkilörekisteriin kuuluvia palveluja, jonka vuoksi Palveluntuottajan on käsiteltävä alla kuvattuja henkilötietoja. Palveluntuottaja käsittelee henkilötietoja vain niiden palvelusetelien (yksi tai useampi palveluseteli) osalta, joihin Palveluntuottaja on hyväksytty palveluja tuottamaan.

Henkilötietoja käsitellään seuraaville rekisteröityjen ryhmille ja henkilötietojen tyypeille:

- omaishoidon palveluseteli, omaishoidon palvelusetelin asiakkaat

- lapsiperheiden tilapäinen kotipalvelu, lapsiperheiden tilapäisen kotipalvelun palvelusetelin asiakkaat

- henkilökohtainen apu, henkilökohtaisen avun palvelusetelin asiakkaat

- kotiutus, kotiutuksen palvelusetelin asiakkaat

- kuntouttava työtoiminta, kuntouttavan työtoiminnan palvelusetelin asiakkaat

- ikääntyneille suunnattu tuettu asuminen, ikääntyneille suunnatun tuetun asumisen palvelusetelin asiakkaat

- henkilökohtainen budjetti, henkilökohtaisen budjetin palvelusetelin asiakkaat

- ikääntyneiden palveluasuminen ja tehostettu palveluasuminen, ikääntyneiden palveluasumisen ja tehostetun palveluasumisen palvelusetelin asiakkaat

- puheterapia, puheterapia palvelusetelien asiakkaat

- suun terveydenhuolto, suun terveydenhuollon palvelusetelin asiakkaat

- vammaispalvelujen tehostettu palveluasuminen, vammaispalvelujen tehostetun palveluasumisen palvelusetelin asiakkaat

- yleislääkärin palveluseteli, yleislääkärin palvelusetelin asiakkaat

Käsiteltäviä tietoja ovat:

- Asiakkaan yksilöinti ja yhteystiedot (esim. nimi, henkilötunnus, kotiosoite, sähköpostiosoite, puhelinnumero, paikannustiedot)

- Palveluseteli-palvelun järjestämistä ja toteuttamista koskevat asiakas ja/tai potilastiedot

Palveluntuottaja käsittelee edellä mainittuja yksilöityjä henkilötietoja tuottaessaan palvelusetelipalveluja. Palveluntuottajalla on oikeus käsitellä Eksoten aineistoon sisältyviä henkilötietoja vain palveluseteliohjeessa mainitulla perusteella ja vain sopimuksen täyttämisen mukaisessa tarkoituksessa ja laajuudessa sekä vain siinä määrin ja niin kauan, kuin se on sopimuksen kohteen toteuttamiseksi välttämätöntä. Henkilötiedot palautetaan Eksotelle tässä sopimuksessa sovitun sekä muiden mahdollisten Eksoten antamien ohjeiden mukaisesti.

2 Määritelmät

2.1 Henkilötieto tarkoittaa kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

2.2 Käsittely (tietojen käsittely) tarkoittaa toimintoja, joita kohdistetaan henkilötietoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti. Tietojen käsittelyä on mm: haku, järjestäminen, jäsentäminen, kerääminen, kopiointi, kysely, käyttö, levitys, luovutus, lukeminen, muokkaus, muuttaminen, poisto, rajoittaminen, siirtäminen, suojaaminen, säilyttäminen, tallentaminen, tuhoaminen, yhdistäminen sekä muut tietoihin kohdistuvat toimenpiteet.

2.3 Palvelu tarkoittaa sitä palvelua, josta Palveluntuottaja tuottaa palvelusetelipalveluna Eksoten lukuun

2.4 Henkilötietojen tietoturvaloukkauksella tarkoitetaan tapahtumaa, jonka seurauksena henkilötietoja tuhoutuu, häviää, muuttuu, henkilötietoja luovutetaan luvattomasti tai niihin pääsee käsiksi taho, jolla ei ole käsittelyoikeutta.

2.5 Rekisterinpitäjällä tarkoitetaan Eksotea ja Käsittelijällä Palveluntuottajaa. Palveluntuottaja toimii

rekisterinpitäjänä itsemaksavien asiakkaiden osalta.

3 Alihankkijat

Tässä turvallisuussopimuksessa Palveluntuottajalle ja Palveluntuottajan palveluksessa oleville henkilöille asetetut velvoitteet koskevat myös Palveluntuottajan alihankkijoita ja niiden palveluksessa olevia henkilöitä siltä osin kuin ne osallistuvat palvelun toteuttamiseen.

Palveluntuottajan on tiedotettava alihankkijoille näistä velvoitteista, ja Palveluntuottaja vastaa siitä, että alihankkijat ja niiden palveluksessa olevat henkilöt noudattavat niitä. Palveluntuottaja vastaa käyttämänsä alihankkijan osuudesta kuten omastaan.

Palveluntuottaja vastaa omalla kustannuksellaan henkilökuntansa ja käyttämiensä alihankkijoiden riittävästä kouluttamisesta tietosuojaan ja tietoturvaan liittyvissä asioissa.

Palveluntuottaja ei saa käyttää toisen henkilötietojen käsittelijän palveluja (alihankkija) henkilötietojen käsittelijöinä ilman Xxxxxxx etukäteen antamaa kirjallista lupaa EU:n tietosuoja-asetuksen 28 artiklan perusteella.

Palveluntuottajalla on velvollisuus ilmoittaa kaikista suunnitelluista henkilötietojen käsittelijämuutoksista eikä käsittelijää saa vaihtaa ja käyttää ilman Eksoten etukäteen antamaa kirjallista lupaa. Palveluntuottaja tekee alihankkijan kanssa kirjallisen sopimuksen, jossa se sitouttaa käyttämänsä alihankkijat noudattamaan omalta osaltaan sopimuksessa Palveluntuottajalle asetettuja velvoitteita sekä Eksoten antamia kulloinkin voimassa olevia henkilötietojen käsittelyyn liittyviä ohjeita. Palveluntuottaja varmistaa, että sopimuksen mukainen Eksoten tarkastusoikeus voidaan ulottaa alihankkijaan.

4 Vastuut ja velvollisuudet

Henkilötietojen käsittelijän (Palveluntuottaja) velvollisuudet ja vastuut on määritelty EU:n tietosuoja-asetuksen 28 artiklassa.

4.1 Velvollisuus noudattaa Eksoten antamia ohjeita

Palveluntuottaja käsittelee henkilötietoja sopimuksen ja Eksoten antaman ohjeistuksen mukaisesti.

Palveluntuottajan on viipymättä ilmoitettava Eksotelle, jos Palveluntuottaja epäilee, että sopimus tai sopimuksen kohteen toteuttamisessa käytettävä palveluseteliohjeistus tai käytäntö rikkoo

tietosuojalainsäädäntöä tai on puutteellinen. Eksotella on oikeus muuttaa, täydentää ja päivittää henkilötietojen käsittelyä ja tietosuojaa koskevia ohjeitaan.

Sopijapuolilla voi olla erillisiä tietosuojaan liittyviä sisäisiä ohjeita. Sopijapuolten tulee noudattaa niitä siltä osin kuin ne eivät ole ristiriidassa sopimuksen kanssa. Sopijapuolet pyrkivät mahdollisuuksien mukaan huomioimaan toistensa tietosuojaan liittyvät sisäiset ohjeet.

4.2 Velvollisuus noudattaa lainsäädäntöä

Sopijapuolet sitoutuvat noudattamaan tietoturvallisuudesta, tietosuojasta, julkisuudesta ja salassapidosta annettua lainsäädäntöä sekä lainsäädännön nojalla annettuja viranomaismääräyksiä.

Palveluntuottaja vakuuttaa tuntevansa esimerkiksi tietosuoja-asetuksen sisällön, mukaan lukien muun muassa 28 ja 32 artiklassa henkilötietojen käsittelijälle asetetut velvollisuudet. Palveluntuottajan tietosuojalainsäädännön vastaista tahallista tai törkeän huolimatonta menettelyä pidetään perusteena peruuttaa palveluntuottajan hyväksyminen.

Palveluntuottaja varmistaa, että kaikki sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä Eksoten henkilötietoja, ovat sitoutuneet noudattamaan salassapitoehtoja tai heitä koskee lakisääteinen salassapitovelvollisuus.

Palveluntuottaja varmistaa, että jokainen sen alaisuudessa toimiva henkilö, jolla on pääsy Eksoten henkilötietoihin, on tietoinen henkilötietojen käsittelyyn liittyvistä velvoitteistaan ja käsittelee niitä ainoastaan sopimuksen, näiden erityisehtojen ja Eksoten ohjeiden mukaisesti.

Palveluntuottaja esittää pyynnöstä viivytyksettä yksilöityinä henkilöt, jotka käsittelevät Eksoten henkilötietoja.

4.3 Toimet tietosuojalainsäädännön vaatimusten noudattamisen turvaamiseksi

Palveluntuottajan tulee arvioida henkilötietojen käsittelyyn rekisteröityjen kannalta liittyvät riskit sekä toteuttaa riittävät tekniset ja organisatoriset toimet sen varmistamiseksi, että henkilötietojen käsittely täyttää tietosuojalainsäädännön vaatimukset ja sillä varmistetaan rekisteröidyn oikeuksien suojelu.

Palveluntuottaja sitoutuu tarvittaessa avustamaan Tilaajaa Tietosuojalainsäädännön mukaisen tietosuojaa koskevan vaikutustenarvioinnin tekemisessä ja mahdollisessa ennakkokuulemisessa tietosuoja-asetuksen 35– 36 artiklan mukaisesti.

Palveluntuottaja huolehtii esimerkiksi käsittelemiensä henkilötietojen asianmukaisesta suojaamisesta varmistaakseen niiden luottamuksellisuuden, eheyden ja saatavuuden sekä noudattaa sopimuksen kohteen toteuttamisessa sisäänrakennetun ja oletusarvoisen tietosuojan periaatetta.

Sopijapuolet vastaavat siitä, että sopimuksen mukaiset tehtävät tehdään huolellisesti ja ettei Eksoten aineiston tai luottamuksellisten tietojen luottamuksellisuus, saatavuus tai eheys vaarannu sopijapuolten henkilöstön huolimattomuuden, virheellisten työtapojen tai muun sopimuksen vastaisen toiminnan johdosta.

4.4 Tietosuojaan ja tietoturvallisuuteen liittyvät tehtävät, vastuut ja raportointi

Sopijapuolten tulee määritellä organisaatiossaan tietosuojaan ja -turvallisuuteen liittyvät tehtävät ja vastuut sekä nimetä kokemukseltaan ja pätevyydeltään riittävät vastuuhenkilöt ja ilmoittaa heidän yhteystietonsa toiselle sopijapuolelle.

Tietosuojavastaava

Palveluntuottajalla tulee olla nimetty tietosuojavastaava, jonka tehtävien hoidosta Palveluntuottaja on velvollinen raportoimaan Eksotelle tarvittaessa. Lisäksi on huolehdittava tietoturvasta.

Sama henkilö voi toimia tietosuoja- ja tietoturvavastaavana, mikäli hänellä on siihen osaaminen.

Tietosuojavastaavan tehtävät määritellään EU:n tietosuoja-asetuksessa. Tietosuojavastaava huolehtii, että tässä palvelussa noudetaan hyvää tietojen käsittelytapaa. Palveluntuottaja ei veloita erikseen tietosuoja- ja tietoturvavastaavan toiminnasta.

Eksoten tietosuojavastaava on Xxxxx Xxxxxxx, p. 040 651 1974, xxxxxxxxxx@xxxxxx.xx

Raportointi

Palveluntuottaja laatii pyydettäessä raportin, josta tulee ilmetä, kuinka lainsäädäntöä ja tietosuojaperiaatteita on noudatettu. Raportissa tulee olla vähintään seuraavat tiedot:

tietoturvallisuustoimenpiteet EU:n tietosuoja-asetuksen 32 artiklan mukaisesti, ohjelmistoturvallisuus ja jatkuvuuden varmistaminen, tietoturvapoikkeamat (lukumäärä, aiheet/syyt ja tehdyt korjaustoimenpiteet sekä tieto, onko toimenpiteet loppuun suoritettu ja mitkä ovat keskeneräisiä ja näiden valmistumisajankohta).

Raportin laatiminen kuuluu palvelun hintaan.

Raportti ja muita palvelun tuottamiseen liittyviä asioita käsitellään tarvittaessa pidettävässä seurantakokouksessa.

Seloste henkilötietojen käsittelytoimista

Palveluntuottajan henkilötietojen käsittelijänä on ylläpidettävä selostetta käsittelytoimista, josta ilmenee EU:n tietosuoja-asetuksen 30 artiklan 2 a-d kohdissa mainitut tiedot.

Eksotella on oikeus pyytää Palveluntuottajaa toimittamaan seloste aina, kun Eksote katsoo siihen olevan tarvetta.

Lisätietoa selosteen laatimisesta ja mallipohja löytyy tietosuojavaltuutetun toimiston verkkosivuilta: xxxxx://xxxxxxxxxx.xx/xxxxxxxxxxxxxxx-xxxxxxxxxxxx-xxxxxxx-xxxxxxxxxxxxxxxxx

4.5 Tietoturvaloukkaukset

Palveluntuottajalla on velvollisuus ilmoittaa Eksotelle tietoturvaloukkauksista EU:n tietosuoja-asetuksen 33 artiklassa määritellyin tiedoin ilman aiheetonta viivytystä, viimeistään 24 tunnin sisällä saatuaan sen tietoonsa. Ilmoitus tehdään ensisijaisesti palvelusetelin yhteyshenkilölle ja kiireellisissä tapauksissa lisäksi Eksoten tietosuojavastaavalle (xxxxxxxxxx@xxxxxx.xx).

Tilaaja ilmoittaa tietoturvaloukkauksesta rekisteröidylle tietosuoja-asetuksen 34 artiklan mukaisesti.

Palveluntuottajan on lisäksi ilmoitettava välittömästi, mikäli hän havaitsee organisaatiossaan tapahtuneen tietojen väärinkäytöksiä. Palveluntuottaja aloittaa viipymättä korjaustoimenpiteet, jotka kuuluvat palvelun hintaan. Vahingot tulee minimoida.

Tietoturvaa koskevat tietoturvaloukkaukset ovat esimerkiksi järjestelmissä, sovelluksissa ja laitteissa ilmenneet loukkaukset, esimerkiksi tietomurrot, salaisen tiedon paljastuminen esimerkiksi haittaohjelman takia. Lisäksi kyse voi olla esimerkiksi toimitiloihin kohdistuneesta murrosta.

Tietosuojaloukkauksia voivat olla esimerkiksi tiedon virheellinen säilytys esim. tietosuojajätettä löytyy roskakorista tai lukitsemattomasta tilasta, asiakaskirje on postitettu väärään osoitteeseen, tieto on välittynyt ulkopuoliselle varomattoman puhelun johdosta.

4.6 Tietosuoja-asetuksen mukainen vahingonkorvaus

Rekisteröidyn oikeus korvauksiin (EU:n tietosuoja-asetus 79–82 artiklat)

Jokaisella rekisteröidyllä (asiakkaalla/potilaalla) on oikeus tehokkaisiin oikeussuojakeinoihin, jos tietosuoja- asetusta ei ole noudatettu ja hänen oikeuksiaan on loukattu. Jos asiakkaalle/potilaalle aiheutuu asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, on hänellä oikeus saada korvausta rekisterinpitäjältä tai henkilötietojen käsittelijältä. Rekisterinpitäjän ja henkilötietojen käsittelijän vastuu on täysimääräinen aineellisesta ja aineettomasta vahingosta. Mikäli toinen Sopijapuoli maksaa täyden korvauksen aiheutuneesta vahingosta, on toisella Sopijapuolella oikeus periä toiselta Sopijapuolelta se osuus korvauksesta, joka vastaa Sopijapuolen osuutta vahingosta.

Korvausvelvollisuus rekisteröidylle on sillä Sopijapuolella, joka on loukannut rekisteröidyn oikeuksia ja aiheuttanut vahinkoa. Palveluntuottaja voi vapautua korvausvastuusta, jos se osoittaa, ettei ole millään tavalla aiheuttanut vahinkoa. Mikäli Eksote maksaa tai määrätään maksamaan korvaus rekisteröidylle ja korvauksen maksamisen jälkeen osoittautuu, että vahingon on aiheuttanut Palveluntuottaja, on Eksotella oikeus periä vastaava summa Palveluntuottajalta. Mikäli vahingon on aiheuttanut Palveluntuottajan alihankkija, vastaa Palveluntuottaja alihankkijan toiminnasta kuin omastaan ja on korvausvelvollinen Eksotelle alihankkijan aiheuttamista vahingoista.

Vahingonkorvaus

Xxx Xxxxxxxxxxxxxxxx tai alihankkija on toiminut tietosuoja-asetuksen tai muun tietosuojalainsäädännön tai sopimuksen ja/tai Eksoten ohjeiden vastaisesti ja tästä on aiheutunut Eksotelle tai rekisteröidylle aineellista tai aineetonta vahinkoa, on Palveluntuottaja velvollinen korvaamaan kyseisen vahingon täysimääräisesti

4.7 Palveluntuottajan avustamis- ja tiedonantovelvollisuus

Sopijapuolet pyrkivät kaikin käytettävissään olevin kohtuullisin keinoin myötävaikuttamaan sopimuksen kohteen toteuttamisessa laadukkaan tietosuojan tasoon ja toisen sopijapuolen mahdollisuuteen omalta osaltaan ylläpitää sitä vähintään kulloinkin voimassa olevan lainsäädännön määrittämällä tasolla.

Rekisteröityjen tietopyynnöt tulee toimittaa viipymättä Eksoten kirjaamoon. Tietopyyntöjä ovat asiakas- tai potilastietojen ja lokitietojen tarkastuspyynnöt. Palveluntuottaja ei itse vastaa näihin pyyntöihin.

Palveluntuottaja avustaa Eksotea, jotta Eksote pystyy täyttämään velvollisuutensa vastata näihin pyyntöihin.

Palveluntuottajan tulee myös pyynnöstä tehdä EU:n tietosuoja-asetuksen 31 artiklan mukaista yhteistyötä valvontaviranomaisen kanssa sen tehtävien suorittamiseksi. Palveluntuottajan tulee antaa Eksotelle kaikki tiedot, jotka ovat tarpeen tietosuojalainsäädännössä asetettujen velvoitteiden noudattamisen osoittamista varten. Palveluntuottajan tulee jatkuvasti ylläpitää mainittuja tietoja ja arvioida toimenpiteiden riittävyyttä. Palveluntuottaja sallii Eksoten tai sen valtuuttaman auditoijan suorittamat tarkastukset sekä osallistuu niihin.

Palveluntuottajan tulee oma-aloitteisesti ilmoittaa Eksotelle henkilötietojen käsittelypaikat ja niiden muutokset, elleivät ne selvästi ilmene sopimuksesta tai Eksoten käytettävissä olevasta dokumentaatiosta.

4.8 Henkilötietojen käsittely ulkomailla

Jos nimenomaisesti ei ole toisin sovittu, Palveluntuottaja ei saa käsitellä Eksoten aineiston sisältämiä henkilötietoja ETA-alueen ulkopuolella.

4.9 Eksoten aineiston palauttaminen ja hävittäminen

Palveluntuottaja toimittaa palvelun yhteydessä syntyneet asiakas- ja potilasasiakirjat palvelun päätyttyä Eksoten arkistoon tietoturvallisesti. Kaikista mahdollisista tietojen siirrosta aiheutuvista kuluista vastaa Palveluntuottaja.

Tiedot toimitetaan Eksotelle ensisijaisesti paperimuodossa. Potilas- ja asiakastiedot palautetaan täydellisinä (kaikki asiakirjat). Sähköisiin järjestelmiin tehdyt kirjaukset tulostetaan paperille. Suoraan Eksoten tietojärjestelmiin tallennettuja tietoja ei tarvitse tulostaa tai siirtää. Muussa kuin paperimuodossa tapahtuvasta siirrosta on sovittava Eksoten arkiston kanssa. Tiedot on oltava järjestettynä asiakaskohtaisesti henkilöt eroteltuna. Luovutuksesta laaditaan siirtoluettelo. Eksote voi antaa tietojen toimittamisesta tarkempia ohjeistuksia.

Palveluntuottaja vastaa siitä, että sen haltuun ei toimeksiannon päättyessä jää Eksoten lukuun säilytettyjen henkilötietojen kopioita eikä tallenteita.

Sopimuksen voimassaoloaikana Palveluntuottaja ei saa poistaa Eksoten lukuun käsittelemiään henkilötietoja ilman Eksoten nimenomaista pyyntöä.

Henkilötietoja sisältävät jätteet, esim. käytetty dosetti, tulee hävittää tietoturvallisesti.

5 Sopimuksen voimaantulo

Tämä sopimus tulee voimaan, kun molemmat Sopijapuolet ovat sen asianmukaisesti allekirjoittaneet. Tätä sopimusta on tehty kaksi (2) yhdenmukaista kappaletta, yksi (1) kummallekin sopijapuolelle.

Pyydämme palauttamaan toisen kappaleen allekirjoitettuna osoitteella:

Etelä-Karjalan sosiaali- ja terveyspiiri kirjaamo

Xxxxx Xxxxxxx katu 3, 53130 Lappeenranta Paikka ja aika

Etelä-Karjalan sosiaali- ja terveyden- Yritys Oy / Palveluntuottaja huollon kuntayhtymä

Etunimi Sukunimi Etunimi Sukunimi

nimike nimike