Asiakasrekisterin tietosuojaseloste

Tämä tietosuojaseloste kuvaa, miten Premius Kuntoutus Oy käsittelee asiakkaidensa henkilötietoja kuntoutus- ja terapiapalveluiden tuottamisessa. Seloste on laadittu EU:n yleisen tietosuoja-asetuksen (GDPR, 2016/679) 13 artiklan vaatimusten mukaisesti.

1. Rekisterinpitäjä

Premius Kuntoutus Oy

Y-tunnus: 1823042-9

Sarvijaakonkatu 5 B, 33540 Tampere

Toimipisteet: Tampere, Kangasala, Seinäjoki

Verkkosivut: premius.fi

Toimitusjohtaja: Pirta Piiroinen

2. Tietosuojavastaava

Premius Kuntoutus Oy:n tietosuojavastaava (DPO):

Petri Korhonen

Sähköposti: tietosuojavastaava@premius.fi

Tietosuojavastaava vastaa tietosuoja-asetuksen mukaisten velvoitteiden toteutumisen valvonnasta organisaatiossa, neuvoo rekisteröityjä ja henkilöstöä tietosuojakysymyksissä sekä toimii yhteyshenkilönä tietosuojaviranomaisille.

3. Selosteen kattavuus

Tämä seloste koskee Premius Kuntoutus Oy:n asiakas- ja potilasrekisteriä, johon kuuluvat:

• Diarium-potilastietojärjestelmä, joka sisältää potilaskertomukset, hoito- ja kuntoutussuunnitelmat sekä ajanvarauskalenterin
• Acute-potilastietojärjestelmä, jota käytetään lääkäritoiminnassa

Premius Kuntoutus Oy:n verkkosivuilla on käytössä Bookle-ajanvarauspalvelu, jonka kautta asiakkaat voivat tehdä ajanvarauksia vahvalla tunnistautumisella. Booklen kautta tehdyt ajanvaraukset tallennetaan Diariumin kalenteriin, joka on osa potilastietojärjestelmää. Ajanvaraukset siirretään Kanta-palveluihin vuoden 2026 aikana osana lakisääteistä asiakastietoarkistointia.

Tämän selosteen ulkopuolelle jäävät:

• Premius Kuntoutus Oy:n verkkosivuilla kerätyt tiedot, joista on erillinen markkinointirekisterin tietosuojaseloste. Verkkosivuilla ei käsitellä potilastietoja eikä sivuille kirjauduta. Ajanvarauspalveluun tunnistaudutaan suoraan vahvalla tunnistautumisella, eikä tunnuksia tai tietoja tallenneta verkkosivuille.
• Premius Plus -hyvinvointialustan tiedot, joista on oma tietosuojaselosteensa. Premius Plus -alustaan ei kerätä potilastietoja.
• Henkilöstörekisteri, josta on erillinen tietosuojaseloste.
• Ammatinharjoittajien itsenäisesti tekemä työ siltä osin kuin sitä ei kirjata Premius Kuntoutus Oy:n potilastietojärjestelmiin.

4. Henkilötietojen käsittelyn tarkoitus

Henkilötietoja käsitellään seuraaviin tarkoituksiin:

• Kuntoutus- ja fysioterapiapalveluiden tuottaminen
• Hoidon ja kuntoutuksen suunnittelu, toteutus, seuranta ja arviointi
• Ajanvaraus ja asiakkaan tavoittaminen hoitoon liittyvissä asioissa
• Lakisääteisten kirjaamisvelvoitteiden täyttäminen
• Hoidon jatkuvuuden varmistaminen ja tiedonkulku hoitoon osallistuvien välillä
• Laskutus ja korvausten hakeminen Kelalta, hyvinvointialueilta tai vakuutusyhtiöiltä
• Potilasasiakirjojen arkistointi Kanta-palveluun lainsäädännön mukaisesti
• Asiakaspalautteen kerääminen ja palvelun laadun varmistaminen

5. Käsittelyn oikeusperuste

Henkilötietojen käsittely perustuu seuraaviin oikeusperusteisiin:

Lakisääteinen velvoite (GDPR 6 artiklan 1 kohdan c alakohta)

Käsittelyn pääasiallinen oikeusperuste on lakisääteinen velvoite, joka pohjautuu seuraaviin säädöksiin:

• Laki potilaan asemasta ja oikeuksista (785/1992)
• Sosiaali- ja terveysministeriön asetus potilasasiakirjoista (94/2022)
• Laki sosiaali- ja terveydenhuollon asiakastietojen käsittelystä (703/2023)
• Laki yksityisestä terveydenhuollosta (152/1990)
• Laki terveydenhuollon ammattihenkilöistä (559/1994)

Erityisten henkilötietoryhmien käsittelyn peruste (GDPR 9 artiklan 2 kohdan h alakohta)

Terveystietojen käsittely on tarpeen ennaltaehkäisevän tai työterveydenhuollon, lääketieteellisen diagnoosin tekemisen sekä terveys- tai sosiaalihuollollisen hoidon ja palvelun tarjoamisen vuoksi. Käsittelyä koskee terveydenhuollon ammattihenkilön salassapitovelvollisuus.

Sopimukseen perustuva käsittely (GDPR 6 artiklan 1 kohdan b alakohta)

Käsittely perustuu sopimukseen tilanteissa, joissa hoito tuotetaan hyvinvointialueen, vakuutusyhtiön tai muun vastaavan tahon kanssa tehdyn palvelusopimuksen perusteella.

Suostumukseen perustuva käsittely (GDPR 6 artiklan 1 kohdan a alakohta)

Suostumusta käytetään oikeusperusteena tilanteissa, joissa tietoja vastaanotetaan tai luovutetaan toiselle terveydenhuollon yksikölle eikä luovutukselle ole muuta lainmukaista perustetta.

6. Käsiteltävät henkilötiedot

Asiakasrekisteriin kerätään seuraavia tietoja:

Yksilöinti- ja yhteystiedot

• Nimi
• Henkilötunnus
• Syntymäaika
• Sukupuoli
• Osoite
• Puhelinnumero
• Sähköpostiosoite

Asiakkuuteen liittyvät tiedot

• Asiakasnumero
• Asiakkuuden alkamisajankohta
• Käytetty palvelu

Yhteyshenkilön tiedot

• Huoltajan, lähiomaisen tai laillisen edustajan nimi ja yhteystiedot
• Tarvittaessa edunvalvojan tiedot

Hoitoon ja kuntoutukseen liittyvät terveystiedot (erityiset henkilötietoryhmät)

• Diagnoosit ja oirekuvaukset
• Lähetteet ja lääkärinlausunnot
• Erityistyöntekijöiden lausunnot
• Hoito- ja kuntoutussuunnitelmat
• Kirjaukset hoidon toteutuksesta
• Käytetyt kuntoutus- ja terapiamenetelmät
• Mittaustulokset ja arviot
• Hoidon vaikuttavuuden seuranta
• Tarvittaessa lääkitystä koskevat tiedot

Maksamiseen liittyvät tiedot

• Maksusitoumukset (Kela, hyvinvointialue, vakuutusyhtiö, työnantaja tai yksityishenkilö)
• Laskutustiedot

Ajanvaraustiedot

• Varatut ajat ja niiden toteutuminen
• Peruutukset
• Booklen kautta tehdyn ajanvarauksen yhteydessä syntyvä tunnistautumistieto

Lokitiedot

• Tieto siitä, kuka on käsitellyt asiakkaan tietoja, milloin ja mistä järjestelmästä

7. Säännönmukaiset tietolähteet

Tietoja saadaan ensisijaisesti asiakkaalta itseltään. Lisäksi tietoja voidaan saada:

• Asiakkaan huoltajalta, lailliselta edustajalta tai lähiomaiselta
• Premius Kuntoutus Oy:n hoitohenkilökunnalta ja muilta terveydenhuollon ammattilaisilta hoidon yhteydessä
• Asiakkaan suostumuksella muilta terveydenhuollon toimintayksiköiltä tai ammattihenkilöiltä
• Kanta-palveluiden välityksellä lain salliessa
• Lähettäviltä tahoilta (Kela, hyvinvointialueet, vakuutusyhtiöt) maksusitoumusten ja hoitoonohjausten yhteydessä

8. Henkilötietojen vastaanottajat

Henkilötietoja luovutetaan ainoastaan lainsäädännön perusteella tai asiakkaan suostumuksella. Säännönmukaisia vastaanottajia ovat:

• Kanta-palvelut (Potilastiedon arkisto ja Sosiaalihuollon asiakastiedon arkisto): potilasasiakirjojen lainsäädännön mukainen arkistointi asiakastietolain (703/2023) mukaisesti
• Kela: kuntoutuksen korvaushakemukset ja Kela-tuettuun kuntoutukseen liittyvät tiedot
• Hyvinvointialueet: palvelusopimusten edellyttämät tiedot
• Vakuutusyhtiöt: maksusitoumukseen ja vakuutuskorvaukseen liittyvät tiedot
• Lähettävät lääkärit ja sairaalat: hoidon jatkuvuuden varmistamiseksi asiakkaan suostumuksella
• Viranomaiset lainmukaisten velvoitteiden täyttämiseksi

Potilastietoja koskee terveydenhuollon ammattihenkilön salassapitovelvollisuus, eikä tietoja luovuteta ulkopuolisille muutoin kuin laissa määrätyissä tilanteissa tai asiakkaan nimenomaisella suostumuksella.

9. Henkilötietojen käsittelijät

Premius Kuntoutus Oy on tehnyt GDPR 28 artiklan mukaisen henkilötietojen käsittelysopimuksen (DPA) seuraavien käsittelijöiden kanssa:

• Nordhealth Finland Oy (Y-tunnus 1733917-4), joka tuottaa Diarium-potilastietojärjestelmän
• Vitec Acute Oy (Y-tunnus 1836942-0), joka tuottaa Acute-potilastietojärjestelmän
• Asema 10 Oy (Y-tunnus 2675702-8), joka tuottaa Bookle-ajanvarauspalvelun ja välittää verkkosivuilla tehdyt ajanvaraukset Diariumin kalenteriin
• Avoki Finland Oy (Y-tunnus 2133677-7), joka vastaa tietoverkkojen ja työasemien teknisestä ylläpidosta
• Premius Kuntoutus Oy:n tiloissa työskentelevät ammatinharjoittajat, jotka kirjaavat Premius Kuntoutus Oy:n asiakkaiden hoitotapahtumat Premius Kuntoutus Oy:n potilastietojärjestelmiin

Kaikkien käsittelijöiden kanssa on solmittu kirjallinen käsittelysopimus, jossa määritellään käsittelyn kohde, kesto, luonne ja tarkoitus, käsiteltävien henkilötietojen tyyppi sekä rekisteröityjen ryhmät. Käsittelijöitä sitoo sama salassapitovelvollisuus kuin rekisterinpitäjän henkilökuntaa.

10. Tietojen siirto EU/ETA-alueen ulkopuolelle

Asiakasrekisterin tietoja ei siirretä Euroopan unionin tai Euroopan talousalueen ulkopuolelle. Käytössä olevat potilastietojärjestelmät (Diarium ja Acute) ovat Kanta-sertifioituja, ja niissä käsiteltävät tiedot säilytetään Suomessa. Myös Bookle-ajanvarauspalvelun tiedot säilytetään Suomessa.

11. Henkilötietojen säilytysajat

Henkilötietoja säilytetään vain niin kauan kuin niiden käyttötarkoitus tai lainsäädäntö edellyttää.

• Potilasasiakirjat: STM:n asetuksen 94/2022 mukaisesti, pääsääntöisesti 12 vuotta potilaan kuolemasta tai mikäli kuolinaika ei ole tiedossa, 120 vuotta potilaan syntymästä
• Ajanvaraustiedot: kun ajanvaraustieto on siirretty Kanta-palveluun, siihen sovelletaan samoja säilytysaikoja kuin muihin asiakastietoihin
• Laskutus- ja kirjanpitotiedot: kirjanpitolain (1336/1997) mukaisesti pääsääntöisesti kuusi vuotta tilikauden päättymisestä
• Lokitiedot: asiakastietolain (703/2023) ja Kanta-määräysten mukaisesti vähintään 12 vuotta

Säilytysajan päätyttyä tiedot poistetaan tai anonymisoidaan asianmukaisesti. Paperiset asiakirjat hävitetään tietoturvallisesti silppurissa tai tietosuojaroskakorin kautta.

12. Henkilötietojen suojaaminen

Premius Kuntoutus Oy on toteuttanut GDPR 32 artiklan mukaiset tekniset, organisatoriset ja fyysiset toimenpiteet henkilötietojen suojaamiseksi.

Tekniset toimenpiteet

• Kanta-sertifioidut potilastietojärjestelmät (Diarium ja Acute)
• Henkilökohtaiset käyttäjätunnukset ja vahvat salasanat
• Kaksivaiheinen tunnistautuminen (MFA) potilastietojärjestelmässä
• Roolipohjaiset käyttöoikeudet vähimmän oikeuden periaatteella
• Salatut tiedonsiirrot
• Lokitietojen tallentaminen ja seuranta jokaisesta tietojen käsittelytapahtumasta
• Säännölliset varmuuskopioinnit ja palautustestit palveluntarjoajien toteuttamana
• Palomuurit ja virussuojaus
• Säännölliset järjestelmäpäivitykset

Organisatoriset toimenpiteet

• Henkilöstön säännöllinen tietosuoja- ja tietoturvakoulutus
• Salassapitositoumukset osana työsopimusta
• Tieto-omaisuuden luokittelu ja luokittelun mukainen käsittely
• Henkilötietojen käsittelysopimukset (DPA) kaikkien käsittelijöiden kanssa
• Säännölliset sisäiset tietosuoja-auditoinnit
• Vaikutustenarvioinnit (DPIA) tarpeen mukaan
• Poikkeamien hallintaprosessi ja 72 tunnin ilmoitusvelvollisuuden noudattaminen
• Vuosittainen tietotilinpäätös

Fyysiset toimenpiteet

• Älyavainjärjestelmä ja kulunvalvonta
• Kameravalvonta toimitiloissa
• Murtohälytysjärjestelmät
• Tilojen lukitus ja arkistotilojen suojaus
• SOTE-ammattikortti ja turvatulostus
• Tietosuojaroskakorit ja asiakirjasilppurit paperisten asiakirjojen hävittämiseen

13. Rekisteröidyn oikeudet

Rekisteröidyllä on EU:n tietosuoja-asetuksen mukaiset oikeudet henkilötietojensa käsittelyssä. Osa oikeuksista on rajoitettu, koska potilastietojen käsittely perustuu lakisääteiseen velvoitteeseen.

Oikeus saada tietoja käsittelystä (GDPR 13 ja 14 artiklat)

Tämä seloste täyttää informointivelvoitteen.

Oikeus tarkastaa tiedot (GDPR 15 artikla)

Rekisteröidyllä on oikeus saada tieto siitä, käsitelläänkö häntä koskevia henkilötietoja, ja saada jäljennös käsiteltävistä tiedoista.

Oikeus tietojen oikaisuun (GDPR 16 artikla)

Rekisteröidyllä on oikeus pyytää virheellisten tai epätarkkojen tietojen oikaisemista. Potilaskirjausten osalta oikaisu tarkoittaa virheellisen tiedon korjaamista, ei terveydenhuollon ammattilaisen tekemän kliinisen arvion muuttamista.

Oikeus tietojen poistamiseen (GDPR 17 artikla)

Tämä oikeus on olennaisesti rajoitettu, koska potilasasiakirjojen säilyttäminen perustuu lakisääteiseen velvoitteeseen. Tietoja ei voida poistaa STM:n asetuksessa 94/2022 määriteltyjen säilytysaikojen aikana.

Oikeus käsittelyn rajoittamiseen (GDPR 18 artikla)

Rekisteröity voi pyytää käsittelyn rajoittamista tietyissä tilanteissa, esimerkiksi tietojen oikeellisuuden selvittämisen ajaksi.

Oikeus siirtää tiedot järjestelmästä toiseen (GDPR 20 artikla)

Tämä oikeus ei pääsääntöisesti sovellu potilasrekisteriin, koska käsittely perustuu lakisääteiseen velvoitteeseen, ei sopimukseen tai suostumukseen.

Vastustamisoikeus (GDPR 21 artikla)

Tämä oikeus ei sovellu lakisääteiseen velvoitteeseen perustuvaan käsittelyyn.

Oikeus peruuttaa suostumus (GDPR 7 artiklan 3 kohta)

Mikäli käsittely perustuu suostumukseen, rekisteröity voi peruuttaa suostumuksensa milloin tahansa. Peruuttaminen ei vaikuta ennen peruuttamista tehtyyn käsittelyyn.

Oikeuksien käyttäminen

Tarkastus- ja muut oikeuksien käyttöön liittyvät pyynnöt tehdään kirjallisesti Premius Kuntoutus Oy:n asiakaspalvelusta saatavalla lomakkeella. Henkilöllisyys varmistetaan kuvallisella henkilöllisyystodistuksella (ajokortti, henkilökortti tai vastaava). Tietoja ei luovuteta puhelimitse ilman luotettavaa tunnistautumista.

Pyynnöt käsitellään ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Käsittelyaikaa voidaan pidentää enintään kahdella kuukaudella, mikäli pyyntö on monimutkainen tai pyyntöjä on paljon. Pidennyksestä ilmoitetaan rekisteröidylle.

14. Automaattinen päätöksenteko ja profilointi

Premius Kuntoutus Oy ei tee asiakkaiden henkilötietoihin perustuvaa GDPR 22 artiklan mukaista automaattista päätöksentekoa tai profilointia, johon liittyy oikeusvaikutuksia tai vastaavia merkittäviä vaikutuksia.

Premius Kuntoutus Oy seuraa tekoälyn käyttömahdollisuuksia terveydenhuollossa. Mahdollinen tekoälyn käyttöönotto edellyttää aina vaikutustenarvioinnin (DPIA) tekemistä ja EU:n tekoälysäädöksen (AI Act, asetus 2024/1689) vaatimusten noudattamista. Potilastietoa ei käsitellä tekoälysovelluksissa.

15. Oikeus tehdä valitus valvontaviranomaiselle

Mikäli rekisteröity katsoo, että hänen henkilötietojensa käsittelyssä on rikottu tietosuoja-asetusta, hänellä on oikeus tehdä valitus valvontaviranomaiselle. Suomessa valvontaviranomainen on:

Tietosuojavaltuutetun toimisto

Käyntiosoite: Lintulahdenkuja 4, 00530 Helsinki

Postiosoite: PL 800, 00531 Helsinki

Puhelinvaihde: 029 566 6700

Sähköposti: tietosuoja@om.fi

Verkkosivut: tietosuoja.fi

Valitus voidaan tehdä myös siinä EU:n jäsenvaltiossa, jossa rekisteröidyllä on vakituinen asuinpaikka tai työpaikka, tai jossa väitetty rikkomus on tapahtunut.

Tietosuojapoikkeamista voi ilmoittaa myös suoraan Premius Kuntoutus Oy:n tietosuojavastaavalle osoitteeseen tietosuojavastaava@premius.fi.

16. Selosteen päivittäminen

Tätä tietosuojaselostetta voidaan päivittää tarpeen mukaan, esimerkiksi lainsäädännön muuttuessa tai käsittelytoimissa tapahtuvien muutosten yhteydessä. Olennaisista muutoksista tiedotetaan Premius Kuntoutus Oy:n verkkosivuilla. Voimassa oleva versio on saatavilla osoitteesta premius.fi/tietosuojaseloste/.

Selosteen versio: 2.2

Päivitetty: 20.5.2026

Premius Kuntoutus Oy:n yleisiin varaus- ja käyttöehtoihin voi tutustua tästä.