För vem är anvisningen avsedd?
Avsnittet Informationssäkerhetsplan i denna anvisning är avsett för tjänstetillhandahållare, apotek, mellanhänder och FPA. Dessa organisationer har en lagstadgad skyldighet att utarbeta en informationssäkerhetsplan.
Gå till anvisningen för informationssäkerhetsplan
Se även aktuella anvisningar och andra aktuella frågor som gäller föreskrifterna och deras innehåll på sidan Aktuellt.
Gå till sidan Aktuellt
Till övriga delar har anvisningen på denna sida skrivits för tjänstetillhandahållare och apotek.
Föreskrifter som gäller tjänstetillhandahållare inom socialvården och hälso- och sjukvården samt apotek
Identifiera föreskrifterna för ditt verksamhetsområde. Kom ihåg att föreskrifterna är förpliktande, dvs. att deras innehåll ska följas.
Tjänstetillhandahållare inom socialvården
- Föreskrift 1/2026: Institutet för hälsa och välfärds föreskrift om klienthandlingar inom socialvården
- Följ dessutom alla föreskrifter i förteckningen nedan
Tjänstetillhandahållare inom social- och hälsovården och apotek
Följ följande föreskrifter:
Föreskrift 3/2024: Föreskrift om redogörelser och krav som ska tas in i informationssäkerhetsplanen
Beakta dessutom följande föreskrifter:
- Föreskrift 4/2024: Föreskrift om klassificering och certifiering av informationssystem och välbefinnandeapplikationer inom social- och hälsovården
- Föreskrift 5/2024: Föreskrift om väsentliga krav på informationssystem och välbefinnandeapplikationer inom social- och hälsovården
Ansvar för tjänstetillhandahållare inom social- och hälsovården och apotek
Utarbeta en informationssäkerhetsplan
Tjänstetillhandahållaren ska utarbeta en informationssäkerhetsplan för att säkerställa användarnas kompetens och ändamålsenligt skydd av uppgifter i informationssystemen och deras driftmiljöer.
Se till att
- informationssystem som uppfyller kraven i lagen om kunduppgifter används för behandlingen av klient- och patientuppgifter
- helheten av de informationssystem eller delsystem som du använder motsvarar din verksamhet till sitt användningsändamål och omfattar de användningsändamål enligt nödvändiga profiler samt uppfyller de väsentliga kraven enligt profilerna.
Säkerställ i fråga om Kanta-tjänsterna
- anslutning till Kanta-tjänsterna sker med ett informationssystem som uppfyller kraven i lagen om kunduppgifter
- handlingar lagras i den form som Kanta-tjänsterna kräver med hjälp av data- och dokumentstrukturer, kodsystem och specifikationer som publicerats av THL och FPA.
Läs närmare anvisningar om hur du uppfyller ansvaret på denna sida.
Hur utarbetas informationssäkerhetsplanen?
Informationssäkerhetsplanen beskriver informationssäkerhets- och dataskyddspraxisen hos hos tjänstetillhandahållare inom social- och hälsovården. I den beskrivs hur organisationen ordnar informationssäkerheten och dataskyddet samt tillsynen i anslutning till dem i sin egen verksamhet.
Informationssäkerhetsplanen grundar sig på lagen om kunduppgifter (703/2023 77 §), vars skyldigheter preciseras i THL:s föreskrift 3/2024 om utredningar och krav som ska tas in i informationssäkerhetsplanen.
Läs föreskrift 3/2024 på sidan Allmänt
De utredningar och krav som ingår i informationssäkerhetsplanen beskrivs i:
THL:s föreskrift 3/2024 om utarbetande av informationssäkerhetsplanen
Skyldigheter som gäller informationssäkerhetsplanen
Organisationer som är skyldiga att utarbeta en informationssäkerhetsplan:
- Tjänstetillhandahållare inom social- och hälsovården
- Apotek
- Mellanhänder
- FPA
Organisationernas skyldigheter i fråga om informationssäkerhetsplanen
- Följ informationssäkerhetsplanen
- Granska och uppdatera planen regelbundet
- Övervaka aktivt att planen genomförs.
Informationssäkerhetsplanen är inte en offentlig handling:
- Säkerställ att informationssäkerhetsplanen och material som preciserar den behandlas och förvaras på ett informationssäkert sätt
- Skydda innehållet från utomstående och ange vid behov att det är sekretessbelagt.
Se nedan närmare anvisningar om hur informationssäkerhetsplanen utarbetas.
Redogör i informationssäkerhetsplanen för hur din organisation uppfyller kraven i lagen om kunduppgifter i anslutning till behandlingen av klient- och patientuppgifter och informationssystem i enlighet med THL:s föreskrift 3/2024.
Observera följande när du fyller i informationssäkerhetsplanen:
- ansvaret för att utarbeta och följa informationssäkerhetsplanen ligger på den ansvariga föreståndaren inom social- och hälsovården samt apotekaren
- innehållet i informationssäkerhetsplanen och dess bilagor ska kunna verifieras i tillsynssituationer som ordnas av Tillstånds- och tillsynsverket. Se närmare anvisningar i avsnittet Övervaka genomförandet av informationssäkerhetsplanen.
Organisationer som enligt lagen om kunduppgifter är skyldiga att utarbeta en informationssäkerhetsplan
Kontrollera att det i din informationssäkerhetsplan utreds hur kraven på behandling av klient- och patientuppgifter och informationssystem i lagen om kunduppgifter (703/2023 77 §) säkerställs i din organisation.
Nedan sammanfattas kraven:
- de som använder informationssystemen har den utbildning som användningen kräver
- i samband med informationssystemen finns behövliga bruksanvisningar
- informationssystemen används enligt anvisningar från producenten av informationssystemtjänsten
- informationssystemen drivs och uppdateras enligt anvisningar från producenten av informationssystemtjänsten
- informationssystemens driftsmiljö är lämplig för ändamålsenlig användning av informationssystemen och säkerställer informationssäkerheten och dataskyddet
- hanteringen av risker i informationssystemen ombesörjs
- övriga anslutna informationssystem och andra system äventyrar inte informationssystemens prestanda eller egenskaper när det gäller informationssäkerhet och dataskydd
- informationssystemen installeras, drivs och uppdateras endast av personer med den yrkesskicklighet och sakkunskap som behövs
- informationssystemen uppfyller de väsentliga kraven enligt sitt användningsändamål
- det finns en plan för egenkontroll av av informationssäkerheten och dataskyddet.
Säkerställande av säker användning av Kanta-tjänsterna
Tjänstetillhandahållare inom social- och hälsovården och apotek:
- Kontrollera utöver ovanstående krav att kraven på informationssäker användning av Kanta-tjänsterna uppfylls innan du ansluter dig som användare av Kanta-tjänsterna.
- Se kraven i kapitel 6.12 Informationssäkerhetsrutiner för anslutning till och användning av Kanta-tjänsterna i föreskrift 3/2024. Beskriv hur kraven för Kanta-tjänsterna uppfylls i din informationssäkerhetsplan eller dess bilagor.
Rekommendation: Du kan använda THL:s mall för informationssäkerhetsplan för att utarbeta informationssäkerhetsplanen.
Öppna mallen för informationssäkerhetsplanen
Mallen styr dig att fylla i de saker i din organisations informationssäkerhetsplan som föreskrift 3/2024 kräver.
Anpassa innehållet i informationssäkerhetsplanen till omfattningen av din verksamhet och storleken på din organisation. Beakta din organisations hela verksamhetsmiljö vid utarbetandet av informationssäkerhetsplanen inklusive avtal och partnerskap.
Se närmare anvisningar i mallen om hur den används vid utarbetandet av informationssäkerhetsplanen.
Övervaka genomförandet av informationssäkerhetsplanen i din organisation.
Förbered dig vid behov på att för Tillstånds- och tillsynsverket kunna verifiera följande i fråga om den egenkontroll du genomför av informationssäkerhetsplanen:
- en informationssäkerhetsplan har utarbetats
- planen innehåller det innehåll som förutsätts i THL:s föreskrift 3/2024
- planen beskriver hur den uppdateras regelbundet, granskas och hur dess genomförande följs upp.
Observera att din organisation ska kunna påvisa att informationssäkerhetsplanen genomförs även i situationer där ni inte själva producerar tjänsterna eller i situationer där informationshanteringen har ordnats tillsammans med andra.
Kravet gäller produktion av social- och hälsovårdstjänster, informationssystemtjänster och tekniska stödtjänster.
Tillstånds- och tillsynsverket har rätt att utföra inspektioner av informationssäkerheten och dataskyddet.
Läs mer om myndighetstillsynen över tjänsteanordnare och tjänsteproducenter inom social- och hälsovården (Tillstånds- och tillsynsverket).
Vad ska man beakta vid upphandling av ett system?
Anvisningarna nedan sammanfattar skyldigheterna för tjänstetillhandahållare och apotek i upphandlingsskedet i enligt föreskrifterna 3/2024, 4/2024 och 5/2024.
Upphandlingsskedet
-
1
Läs THL:s föreskrifter
Beakta särskilt kapitel 4 i föreskrift 3/2024 samt kapitel 9 i föreskrift 5/2024.
Se föreskrifterna på sidan Allmänt -
2
Identifiera användningsändamålet och klassen för det system du behöver
Läs vid behov mer om anvisningarna för klassificering och profiler i kapitel 5 och 6 i föreskrift 4/2024 samt i anvisningen för systemleverantörens klassificering.
Hur klassificerar man ett system eller en välbefinnandeapplikation? -
3
Säkerställ att det informationssystem som ska upphandlas
- Till sitt användningsändamål motsvarar den verksamhet som det ska användas för i din organisation
- Uppfyller de väsentliga kraven enligt sitt användningsändamål. Kraven kan uppfyllas som en helhet av ett eller flera system.
-
4
Utnyttja informationssystemregistret Astori om du ska skaffa ett befintligt system eller en befintlig applikation
I Astori kan du kontrollera till vilken klass systemet hör och vilka profiler och krav det uppfyller. Registret visar också om det förekommer avvikelser i systemets överensstämmelse med kraven.
-
5
Begär systemblanketten som tilläggsinformation från producenten av informationssystemtjänsten
Du kan begära THL:s systemblankett av producenten av informationssystemtjänsten när du begär anbud på ett system avsett för behandling av patientuppgifter eller klientuppgifter inom socialvården. Systemblanketten innehåller närmare uppgifter om systemets användningsändamål, klass samt de väsentliga krav och profiler som systemet uppfyller.
-
6
Ta endast i bruk system som finns i Astori-registret
Kontrollera att ett system i klass A dessutom har ett giltigt informationssäkerhetsintyg. Information om informationssäkerhetsintygets giltighet finns i Astori.
Läs mer på Astori-registrets webbplats (Tillstånds- och tillsynsverket)
Vad ska man beakta när systemet används och när det tas ur bruk?
Följande anvisningar gäller alla tjänstetillhandahållare inom social- och hälsovården och apotek när det gäller användning och avslutande av användning av informationssystem.
Under användningen
- Utarbeta och upprätthåll informationssäkerhetsplanen i enlighet med anvisningen för informationssäkerhetsplanen.
- Specificera systemets behörigheter enligt kapitel 6.7 i föreskrift 3/2024.
- Se till att samla in logguppgifter och göra upp en uppföljnings- och övervakningsplan i enlighet med kapitel 6.8 i föreskrift 3/2024.
- Trygga kontinuiteten i behandlingen av kunduppgifter genom att förbereda dig på felsituationer i enlighet med kapitel 6.2 i föreskrift 3/2024.
- Se till att personalens rutiner och principer för Kanta-tjänsterna följs samt att det säkerställs att personalen är medveten om följderna av missbruk i enlighet med kapitel 6.12 i föreskrift 3/2024.
- Säkerställ regelbundet att informationssystem i klass A1, A2 och A3 har ett giltigt intyg över bedömning av informationssäkerheten och vid behov samtestningsutlåtanden med Kanta-tjänsterna.
Tjänstetillhandahållarens ansvar när systemet tas ur bruk
Du ansvarar för förvaringen av gamla klient- och patientuppgifter när informationssystemet tas ur bruk.
Se närmare anvisningar på Kanta-tjänsternas webbplats.
När ett klient- eller patientdatasystem tas ur bruk (Kanta)
Kontaktinformation
Frågor
Kontakta e-postadressen för informationshanteringen inom social- och hälsovården i frågor som gäller THL:s föreskrifter och klassificeringen av informationssystem.
sotetiedonhallinta(snabel-a)thl.fi
Kontakta kundservice för FPA:s Kanta-tjänster i frågor som gäller systemutveckling och samtestning:
Kanta-tjänsternas kundservice för professionella och systemutvecklare (Kanta)
Kontakta Tillstånds- och tillsynsverket i frågor som gäller registrering av informationssystem inom social- och hälsovården:
Registrering av informationssystem inom social- och hälsovården (Tillstånds- och tillsynsverket)
Respons
Du kan skicka respons om föreskrifterna eller innehållet på denna sida till e-postadressen för THL:s informationshantering inom social- och hälsovården.
Markera din respons med rubriken Utvecklingsrespons för föreskrifterna.
sotetiedonhallinta(snabel-a)thl.fi