– Henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön. Potilastiedot ovat henkilötietoja, ja niiden käsittelyyn sovelletaan EU:n yleistä tietosuoja-asetusta, jota täydennetään ja täsmennetään kansallisella lainsäädännöllä.

Tietosuojaperiaatteiden mukaan henkilötietoja on

• käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi
• käsiteltävä luottamuksellisesti ja turvallisesti
• kerättävä ja käsiteltävä tiettyä, nimenomaista ja laillista tarkoitusta varten
• kerättävä vain tarpeellinen määrä henkilötietojen käsittelyn tarkoitukseen nähden
• päivitettävä aina tarvittaessa ‒ epätarkat ja virheelliset henkilötiedot on poistettava tai oikaistava viipymättä
• säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten.

Potilastiedot ovat salassa pidettäviä. Niitä voi luovuttaa sivulliselle eli muulle kuin samassa terveydenhuollon toimintayksikössä potilaan hoitoon tai siihen liittyviin tehtäviin osallistuville henkilöille joko potilaan suostumuksella tai silloin, jos oikeudesta tietojen luovuttamiseen tai saamiseen säädetään lainsäädännössä.

Tietojen luovuttaja on vastuussa siitä, että luovuttaminen tapahtuu lainmukaisesti. Tietoja pyytävältä taholta on tarvittaessa syytä pyytää lisätietoja esimerkiksi siitä, mihin tarkoitukseen tietoja tarvitaan sekä minkä lain säännöksen perusteella tietoja pyydetään.