THL:n määräys tietoturvasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista on julkaistu

THL on uudistanut tietoturvasuunnitelmaa koskevan määräyksen, joka tarkentaa sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetun lain mukaisesti tietoturvasuunnitelmaan sisällytettäviä selvityksiä ja vaatimuksia.

Uusi määräys 3/2024 korvaa vuonna 2021 annetun määräyksen 3/2021. Määräystä ja sen mallipohjaa on entistä paremmin sisällöllisesti jäsennelty, selkiytetty, ajantasaistettu sekä tehty kieliasutarkennuksia. Päällekkäisyyksiä on poistettu. Asiasisältöön ei ole tullut merkittäviä muutoksia.

Määräyksessä viitataan määräyksiin 4/2024 ja 5/2024, joiden voimaan tulevat versiot julkaistaan muutaman viikon kuluessa. Ks. syksyn 2023 lausuntokierroksen luonnosversiot määräyksistä.

Kenen pitää tehdä tietoturvasuunnitelma ja miksi?

Kaikkien sosiaali- ja terveydenhuollon julkisten ja yksityisten palvelunantajien, apteekkien, välittäjien ja Kansaneläkelaitoksen tulee laatia tietoturvasuunnitelma.

Tietoturvasuunnitelma ohjaa toimijoita riittäviin ja yhdenmukaisiin tietoturva- ja tietosuojakäytäntöihin digiturvallisuuden varmistamiseksi. Organisaatioiden velvollisuutena on toimia tietoturvasuunnitelman mukaisesti, katselmoida ja ylläpitää suunnitelmaa säännöllisesti sekä seurata aktiivisesti sen toteutumista. Kyse on jatkuvasta ja säännöllisestä riskien hallinnasta, asianmukaisten tietoturvallisuuteen ja asiakastietojen käsittelyyn liittyvien käytäntöjen varmistamisesta sekä niiden toteutumisesta kaikessa sosiaali- ja terveydenhuollon palvelutoiminnassa.

Määräys velvoittaa ja mallipohja ohjaa

Määräys on velvoittava: tietoturvasuunnitelma on tehtävä, ja sen tulee sisältää määräyksessä esitetyt asiat. Liitteenä oleva tietoturvasuunnitelman mallipohja ohjaa tietoturvasuunnitelman laatimista. 

Kukin organisaatio voi soveltaa mallipohjaa oman organisaation tarpeisiin. Mallipohja sopii sekä pienille että suurille ja toiminnoiltaan erilaisille organisaatioille. 

Tietoturvasuunnitelmaa ja siitä viitattuja liitedokumentteja tulee käsitellä ja säilyttää tietoturvallisesti. Ne tulee suojata sivullisilta, ja tarvittaessa niihin tulee merkitä salassa pidettävä -tieto. Tietoturvasuunnitelma on aina ei-julkinen asiakirja.

• THL:n määräys 3/2024 tietoturvasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista
• THL:n määräyksen 3/2024 liite - Tietoturvasuunnitelman mallipohja (docx 60 kt)

THL tulee järjestämään kohderyhmille suunnatun koulutuksen tietoturvasuunnitelmasta kevään 2024 aikana.

Lisätietoa

[email protected]

Aiheesta lisää

THL:n sosiaali- ja terveydenhuollon tiedonhallinnan määräykset