Tietoturvasuunnitelma
Tietoturvasuunnitelma kuvaa sosiaali- ja terveyspalvelujen tuottajan tietoturva- ja tietosuojakäytäntöjä. Tietoturvasuunnitelma perustuu asiakastietolakiin.
Tietoturvasuunnitelma
- edistää asiakas- ja potilastietojen turvallista käsittelyä
- parantaa ja yhdenmukaistaa sote-toimijoiden tietosuojaa ja tietoturvaa
- vahvistaa tietoturvallisuuden ja tietosuojan suunnittelun ja toteuttamisen käytäntöjä
- auttaa erityisesti hallitsemaan tämän päivän digitaaliseen turvallisuuteen liittyviä riskejä.
Tietoturvasuunnitelman laativat kaikki sosiaali- ja terveyspalvelujen antajat, apteekit, välittäjät ja Kansaneläkelaitos.
Organisaation velvollisuutena on toimia tietoturvasuunnitelman mukaisesti, katselmoida ja ylläpitää suunnitelmaa säännöllisesti sekä seurata aktiivisesti sen toteutumista.
Mitä tietoturvasuunnitelma sisältää?
Tietoturvasuunnitelma kuvaa, miten organisaatio järjestää toiminnassaan tietoturvan ja -suojan omavalvonnan. Tietoturvasuunnitelmaan kuuluvat selvitykset ja vaatimukset on kuvattu THL:n määräyksessä tietoturvasuunnitelman laatimisesta.
Tietoturvasuunnitelmasta tulee selvitä, miten palveluntuottaja täyttää asiakas- ja potilastietojen ja tietojärjestelmien käsittelyyn liittyvät asiakastietolain vaatimukset.
Tietoturvasuunnitelmaa ja siitä viitattuja liitedokumentteja tulee käsitellä ja säilyttää tietoturvallisesti. Ne tulee suojata sivullisilta, ja tarvittaessa niihin tulee merkitä salassa pidettävä -tieto. Tietoturvasuunnitelma on aina ei-julkinen asiakirja.
Asiakastietolain vaatimukset tietoturvasuunnitelmalle:
- tietojärjestelmien käyttäjillä on käytön vaatima koulutus
- käyttöohjeet ovat saatavilla järjestelmän yhteydessä
- käyttäjät noudattavat tietojärjestelmäpalvelun tuottajan ohjeita
- tietojärjestelmiä ylläpidetään ja päivitetään tietojärjestelmäpalvelun tuottajan ohjeistuksen mukaisesti
- käyttöympäristö soveltuu tietojärjestelmien asianmukaiseen käyttöön ja varmistaa tietoturvan ja tietosuojan
- tietojärjestelmiin kohdistuvien riskien hallinnasta huolehditaan
- tietojärjestelmiin liitetyt muut järjestelmät eivät vaaranna tietojärjestelmien suorituskykyä eivätkä niiden tietoturva- tai tietosuojaominaisuuksia
- tietojärjestelmiä asentaa, ylläpitää ja päivittää vain henkilö, jolla on siihen tarvittava ammattitaito ja asiantuntemus
- tietojärjestelmät täyttävät käyttötarkoituksensa mukaiset olennaiset vaatimukset.
Ennen kuin palvelunantaja ja apteekki alkavat käyttää valtakunnallisia tietojärjestelmäpalveluja, niiden täytyy kuvata tietoturvasuunnitelmassa
- miten se varmistaa tietosuojan
- miten se täyttää vaatimukset, joita valtakunnallisten palvelujen tietoturvallinen käyttö edellyttää.
Tietoturvasuunnitelman valvonta
Organisaation tulee itse valvoa tietoturvasuunnitelmansa toteutumista.
Valvontaviranomaisilla on oikeus tehdä tieturvan ja tietosuojan tarkastuksia. Valvontaviranomaisia ovat sosiaali- ja terveysalan lupa- ja valvontavirasto (Valvira), aluehallintovirasto (AVI) ja tietosuojavaltuutettu.
Tietoturvan ja tietosuojan omavalvonta liittyy myös tietojärjestelmien ja Kanta-välityspalvelujen sertifiointiin sekä tietojärjestelmien olennaisiin vaatimuksiin. Olennaiset vaatimukset sisältyvät THL:n määräyksiin. Osa tietoturva- ja tietosuojavaatimuksista liittyy Kanta-palvelujen käyttöön.
Organisaation on tarvittaessa pystyttävä todentamaan tietoturvallisuuden omavalvontaan liittyvät asiat:
- tietoturvasuunnitelma on laadittu,
- tietoturvasuunnitelma sisältää suunnitelmalta edellytettävät asiat THL:n määräyksen 3/2024 mukaisesti,
- tietoturvasuunnitelmassa on kuvattu, miten suunnitelmaa säännöllisesti päivitetään, katselmoidaan ja
- miten sen toteutumista seurataan.
Organisaation on pystyttävä osoittamaan tietoturvasuunnitelman toteuttaminen myös niissä tilanteissa, joissa se ei itse tuota palveluita.
Vaatimus koskee sekä sosiaali- että terveyspalvelujen että tietojärjestelmä- tai teknisten tukipalvelujen tuottamista.
Hyödynnä tietoturvasuunnitelman mallipohjaa
Tietoturvasuunnitelman laatimisen tueksi THL on luonut mallipohjan, joka ohjaa tietoturvasuunnitelman laatimista. Mallipohjan avulla organisaatio varmistaa, että määräyksessä vaadittavat asiat huomioidaan.
Mallipohja sopii sekä pienille että suurille ja toiminnoiltaan erilaisille organisaatioille. Tietoturvasuunnitelman sisältö tulee suhteuttaa oman toiminnan laajuuteen ja organisaation toimintaympäristössä tarvittaviin asianmukaisiin tietoturva- ja tietosuojakäytäntöihin.
Tietoturvasuunnitelman mallipohja (word, 68 kt)
THL:n määräys 3/2024 tietoturvasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista
Tietoturvasuunnitelman koulutustilaisuuden materiaalit (julkari.fi)
Lisätietoa:
sotetiedonhallinta(at)thl.fi
Kaiken perustana on asiakastietolaki. Tietoturvasuunnitelmaan liittyvät erityisesti pykälät 77 ja 78.
Laki sosiaali- ja terveydenhuollon asiakastietojen käsittelystä 703/2023 (Finlex)