Kenelle ohje on tarkoitettu?
Tämän ohjeen Tietoturvasuunnitelma -osio on tarkoitettu palvelunantajille, apteekeille, välittäjille ja Kelalle. Näillä organisaatioilla on lain edellyttämä velvoite laatia tietoturvasuunnitelma.
Siirry tietoturvasuunnitelman ohjeeseen
Katso myös Ajankohtaista-sivulta ajankohtaiset huomioitavat asiat määräyksiin ja niiden sisältöihin liittyen.
Siirry Ajankohtaista-sivulle
Muilta osin tämän sivun ohje on kirjoitettu palvelunantajan ja apteekkien ohjeeksi.
Sosiaalihuollon ja terveydenhuollon palvelunantajaa ja apteekkeja koskevat määräykset
Tunnista toimialaasi koskevat määräykset. Muista, että määräykset ovat velvoittavia eli niiden sisältöjä tulee noudattaa.
Sosiaalihuollon palvelunantajat
- Määräys 1/2026: Terveyden ja hyvinvoinnin laitoksen määräys sosiaalihuollon asiakasasiakirjoista
- Lisäksi noudata kaikkia alla olevan Sosiaali- ja terveydenhuollon palvelunantajat listauksen määräyksiä
Sosiaali- ja terveydenhuollon palvelunantajat ja apteekit
Noudata seuraavia määräyksiä:
Määräys 3/2024: Määräys tietoturvasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista
Huomioi lisäksi seuraavat määräykset:
- Määräys 4/2024: Määräys sosiaali- ja terveydenhuollon tietojärjestelmien ja hyvinvointisovellusten luokittelusta ja sertifioinnista
- Määräys 5/2024: Määräys sosiaali- ja terveydenhuollon tietojärjestelmien ja hyvinvointisovellusten olennaisista vaatimuksista
Sosiaali- ja terveydenhuollon palvelunantajan ja apteekin vastuut
Laadi tietoturvasuunnitelma
Palvelunantajan tulee tehdä tietoturvasuunnitelma, jolla varmistetaan käyttäjien osaaminen sekä asianmukaiset tietojen suojaukset järjestelmissä ja niiden käyttöympäristössä.
Varmista, että:
- asiakastietojen käsittelyyn käytetään asiakastietolain mukaisia tietojärjestelmiä
- käyttämiesi tietojärjestelmien tai osajärjestelmien kokonaisuus vastaa käyttötarkoitukseltaan toimintaasi sisältäen tarvittavien profiilien mukaiset käyttötarkoitukset ja toteuttaen profiilien mukaiset olennaiset vaatimukset.
Varmista Kanta-palvelujen osalta:
- Kanta-palveluihin liittyminen asiakastietolain mukaisella tietojärjestelmällä
- Asiakirjojen tallentaminen Kanta-palvelujen vaatimassa muodossa, THL:n ja Kelan julkaisemia tieto- ja asiakirjarakenteita, koodistoja ja määrittelyjä käyttäen.
Lue tarkempia ohjeita vastuiden täyttämisestä tämän sivun ohjeesta.
Miten tietoturvasuunnitelma tehdään?
Tietoturvasuunnitelma kuvaa sosiaali- ja terveyspalvelujen tuottajan tietoturva- ja tietosuojakäytäntöjä. Siihen kuvataan, miten organisaatio järjestää omassa toiminnassaan tietoturvan ja tietosuojan sekä niihin liittyvän valvonnan.
Tietoturvasuunnitelma perustuu asiakastietolakiin (703/2023 77 §), jonka velvoitteita tarkennetaan THL:n määräyksessä 3/2024 tietoturvasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista.
Lue määräys 3/2024 Ohje-sivulta
Tietoturvasuunnitelmaan kuuluvat selvitykset ja vaatimukset:
THL:n määräys 3/2024 tietoturvasuunnitelman laatimisesta.
Tietoturvasuunnitelmaa koskevat velvollisuudet
Organisaatiot, joilla on velvoite laatia tietoturvasuunnitelma
- Sosiaali- ja terveydenhuollon palvelunantajat
- Apteekit
- Välittäjät
- Kela
Organisaatioiden tietoturvasuunnitelmaa koskevat velvollisuudet
- toimi tietoturvasuunnitelman mukaisesti
- katselmoi ja ylläpidä suunnitelmaa säännöllisesti
- valvo aktiivisesti suunnitelman toteutumista.
Tietoturvasuunnitelma ei ole julkinen asiakirja
- Varmista, että tietoturvasuunnitelmaa ja sitä tarkentavia materiaaleja käsitellään ja säilytetään tietoturvallisesti
- Suojaa sisällöt sivullisilta ja merkitse niihin tarvittaessa salassa pidettävä -tieto
Katso alta tarkempia ohjeita tietoturvasuunnitelman laatimiseen.
Selvitä tietoturvasuunnitelmassa, miten organisaatiosi täyttää asiakas- ja potilastietojen ja tietojärjestelmien käsittelyyn liittyvät asiakastietolain vaatimukset THL:n määräyksen 3/2024 mukaisesti.
Huomioi tietoturvasuunnitelmaa täyttäessä:
- vastuu tietoturvasuunnitelman laatimisesta ja noudattamisesta on sote-organisaation vastaavalla johtajalla ja apteekkarilla
- tietoturvasuunnitelman ja sen liitteiden sisältöjen on oltava todennettavissa Lupa- ja valvontaviraston järjestämissä valvontatilanteissa. Katso tarkemmin ohjeesta Valvo tietoturvasuunnitelman toteutumista.
Organisaatiot, joilla on asiakastietolain asettama velvoite laatia tietoturvasuunnitelma
Tarkista, että tietoturvasuunnitelmassasi selvitetään, miten asiakas- ja potilastietojen käsittelyyn ja tietojärjestelmiin liittyvät asiakastietolain (703/2023 77 §) vaatimukset varmistetaan organisaatiossasi. Alla vaatimukset tiivistetysti:
- tietojärjestelmien käyttäjillä on käytön vaatima koulutus
- käyttöohjeet ovat saatavilla järjestelmän yhteydessä
- käyttäjät noudattavat tietojärjestelmäpalvelun tuottajan ohjeita
- tietojärjestelmiä ylläpidetään ja päivitetään tietojärjestelmäpalvelun tuottajan ohjeistuksen mukaisesti
- käyttöympäristö soveltuu tietojärjestelmien asianmukaiseen käyttöön ja varmistaa tietoturvan ja tietosuojan
- tietojärjestelmiin kohdistuvien riskien hallinnasta huolehditaan
- tietojärjestelmiin liitetyt muut järjestelmät eivät vaaranna tietojärjestelmien suorituskykyä eivätkä niiden tietoturva- tai tietosuojaominaisuuksia
- tietojärjestelmiä asentaa, ylläpitää ja päivittää vain henkilö, jolla on siihen tarvittava ammattitaito ja asiantuntemus
- tietojärjestelmät täyttävät käyttötarkoituksensa mukaiset olennaiset vaatimukset
- tietoturvan ja tietosuojan toteutumisen itse toteutettuun valvontaan on suunnitelma.
Kanta-palvelujen turvallisen käytön varmistaminen
Sosiaali- ja terveydenhuollon palvelunantajat ja apteekit:
- Tarkista yllä olevien vaatimusten lisäksi Kanta-palvelujen tietoturvallisen käytön edellyttämien vaatimusten täyttyminen ennen Kanta-palvelujen käyttäjäksi liittymistä.
- Katso vaatimukset määräyksen 3/2024 luvusta 6.12 Kanta-palvelujen liittymisen ja käytön tietoturvakäytännöt. Kuvaa Kanta-palvelujen vaatimusten toteuttaminen tietoturvasuunnitelmassasi tai sen liitteissä.
Suositus: Voit käyttää tietoturvasuunnitelman laatimiseen THL:n Tietoturvasuunnitelman mallipohjaa.
Avaa tietoturvasuunnitelman mallipohja
Mallipohja ohjaa sinua täyttämään määräyksen 3/2024 vaatimat asiat organisaatiosi tietoturvasuunnitelmaan.
Suhteuta tietoturvasuunnitelman sisältö oman toimintasi laajuuteen ja organisaatiosi kokoon. Huomioi tietoturvasuunnitelman teossa organisaatiosi koko toimintaympäristö sopimuksineen ja kumppanuuksineen.
Katso mallipohjan sisältä tarkemmat ohjeet sen käyttämisestä tietoturvasuunnitelman laatimisessa.
Valvo tietoturvasuunnitelman toteutumista organisaatiossasi.
Valmistaudu tarvittaessa todentamaan Lupa- ja valvontavirastolle tietoturvasuunnitelman itse toteuttamastasi valvonnasta seuraavat asiat:
- Tietoturvasuunnitelma on laadittu.
- Suunnitelma sisältää THL:n määräyksen 3/2024 edellyttämät sisällöt.
- Suunnitelmassa on kuvattu, miten suunnitelmaa säännöllisesti päivitetään, katselmoidaan ja miten sen toteutumista seurataan.
Huomioi, että organisaatiosi on pystyttävä osoittamaan tietoturvasuunnitelman toteuttaminen myös tilanteissa, joissa ette itse tuota palveluita tai tilanteissa, joissa tiedonhallinta on järjestetty yhdessä muiden kanssa.
Vaatimus koskee sosiaali- ja terveyspalvelujen, tietojärjestelmäpalvelujen ja teknisten tukipalvelujen tuottamista.
Lupa- ja valvontavirastolla on oikeus tehdä tietoturvan ja tietosuojan tarkastuksia.
Lue lisää Sosiaali- ja terveydenhuollon palvelunjärjestäjän ja palveluntuottajan viranomaisvalvonnasta (Lupa- ja valvontavirasto)
Mitä tulee huomioida järjestelmän hankinnassa?
Alla olevat ohjeet tiivistävät määräysten 3/2024, 4/2024 ja 5/2024 hankintavaiheen velvoitteita palvelunantajalle ja apteekille.
Hankintavaihe
-
1
Lue THL:n määräykset
Huomioi etenkin määräyksen 3/2024 luku 4 sekä määräyksen 5/2024 luku 9.
Katso määräykset Ohje-sivulta -
2
Tunnista mikä on tarvitsemasi järjestelmän käyttötarkoitus ja luokka
Katso lisää luokittelun ja profiilien ohjeita tarvittaessa määräyksen 4/2024 kappaleista 5 ja 6 sekä Järjestelmätoimittajan luokittelun ohjeesta.
Miten järjestelmä tai hyvinvointisovellus luokitellaan? -
3
Varmista, että hankittava tietojärjestelmä
- Vastaa käyttötarkoitukseltaan sitä toimintaa, johon se tulee käyttöön organisaatiossasi
- Täyttää käyttötarkoituksen mukaiset olennaiset vaatimukset. Vaatimukset voidaan täyttää yhden tai useamman järjestelmän kokonaisuutena.
-
4
Hyödynnä tietojärjestelmärekisteri Astoria, jos olet hankkimassa olemassa olevaa järjestelmää tai sovellusta.
Voit tarkistaa Astorista, mihin luokkaan järjestelmä kuuluu ja minkä profiilien mukaiset vaatimukset se täyttää. Rekisteristä näkee myös, kohdistuuko järjestelmän vaatimustenmukaisuuteen poikkeamia.
-
5
Pyydä tietojärjestelmäpalvelun tuottajalta lisätietona järjestelmälomake
Voit pyytää tietojärjestelmäpalvelun tuottajalta THL:n järjestelmälomakkeen, kun pyydät tarjouksia potilastietojen tai sosiaalihuollon asiakastietojen käsittelyyn tarkoitetusta järjestelmästä. Järjestelmälomake sisältää tarkemmat tiedon järjestelmän käyttötarkoituksesta, luokasta ja niistä olennaisista vaatimuksista sekä profiileista, jotka järjestelmä täyttää.
-
6
Käyttöönota ainoastaan järjestelmiä, jotka löytyvät Astori-rekisteristä
Tarkista, että A-luokan järjestelmällä on lisäksi voimassa oleva tietoturvallisuustodistus. Löydät tiedon tietoturvallisuustodistuksen voimassaolosta Astorista.
Lue lisää Astori-rekisterin sivuilta (LVV)
Mitä tulee huomioida järjestelmän käytön aikana ja käytön päättyessä?
Seuraava ohjeistus koskee kaikkia sosiaali- ja terveydenhuollon palvelunantajia tietojärjestelmien käytön sekä käytön päättämisen osalta.
Käytön aikana
- Laadi ja ylläpidä tietoturvasuunnitelmaa tietoturvasuunnitelma ohjeen mukaisesti.
- Määrittele järjestelmän käyttövaltuudet Määräyksen 3/2024 luvun 6.7 mukaisesti
- Huolehdi lokitietojen keräämisestä ja seuranta- ja valvontasuunnitelman teosta Määräyksen 3/2024 luvun 6.8 mukaisesti
- Turvaa asiakastietojen käsittelyn jatkuvuus varautumalla virhetilanteisiin määräyksen 3/2024 luvun 6.2 mukaisesti.
- Huolehdi henkilökunnan Kanta-palvelujen toimintamallien ja periaatteiden noudattamisesta sekä sen varmistamisesta, että henkilökunta on tietoinen väärinkäytösten seuraamuksista määräyksen 3/2024 luvun 6.12 mukaisesti
- Varmista säännöllisesti, että A1, A2 ja A3 tietojärjestelmillä on voimassa oleva todistus tietoturvallisuuden arvioinnista ja tarvittaessa yhteistestauslausunnot Kanta-palvelujen kanssa.
Palvelunantajan vastuut käytön päättyessä
Vastuullesi kuuluu vanhojen asiakas- ja potilastietojen säilyttäminen tietojärjestelmän käytön päättyessä.
Katso tarkemmat toimintaohjeet Kanta-palvelujen sivuilta.
Asiakas- tai potilastietojärjestelmän käytön päättyminen (Kanta)
Yhteystiedot
Kysymykset
THL:n määräyksiin ja tietojärjestelmien luokitteluun liittyvissä kysymyksissä ota yhteyttä sote-tiedonhallinnan sähköpostiosoitteeseen:
sotetiedonhallinta(at)thl.fi
Järjestelmäkehitykseen ja yhteistestaukseen liittyvissä kysymyksissä ota yhteyttä Kelan Kanta-palvelujen asiakaspalveluun:
Kanta-palvelujen asiakaspalvelu sote-ammattilaisille ja järjestelmäkehittäjille (Kela)
Sosiaali- ja terveydenhuollon tietojärjestelmän rekisteröintiin liittyvissä kysymyksissä ota yhteyttä Lupa- ja valvontavirastoon:
Sosiaali- ja terveydenhuollon tietojärjestelmän rekisteröinti (Lupa- ja valvontavirasto)
Palaute
Voit lähettää THL:n sote-tiedonhallinnan sähköpostiosoitteeseen osoitteeseen palautetta määräyksistä tai tämän sivun sisällöstä. Merkitse palautteesi otsikolla Määräysten kehityspalaute.
sotetiedonhallinta(at)thl.fi