Informationssäkerhet

THL:s informationssäkerhetspolicy fastställer de principer som följs inom institutet för att säkerställa en trygg användning, behandling, lagring och avlägsnande av uppgifter.

Organisationens informationssäkerhet hanteras bland annat genom att identifiera de uppgifter och material som behöver skydd, bedöma risker, planera och genomföra kontrollåtgärder till en godtagbar nivå samt genom interna granskningar och kontinuerlig förbättring.

Våra rutiner för informationssäkerhet och dataskydd säkerställer tryggheten:

• Endast personer som har fått särskilt beviljat användningstillstånd för ett tydligt definierat ändamål har åtkomst till uppgifter och informationssystem. Andra har ingen möjlighet att se, behandla, ändra eller radera uppgifter.
• Uppgifter, system och tjänster är tillförlitliga och aktuella. De förändras eller förstörs inte till följd av obehörig verksamhet, skadlig programvara, hård- eller mjukvarufel eller andra skador och incidenter.
• Alla material och register som innehåller känsliga personuppgifter (identifierbara eller pseudonymiserade) omfattas av skriftliga hanteringsanvisningar.

Organisation och ansvar

Informationssäkerhet är grunden för all verksamhet, och det högsta ansvaret för THL:s informationssäkerhet ligger hos generaldirektören. Enhetscheferna som anges i arbetsordningen ansvarar för informationssäkerheten inom sina respektive enheter. Varje anställd, tjänsteman eller person som agerar i THL:s namn, befinner sig i THL:s lokaler eller använder institutets resurser ansvarar för informationssäkerheten inom sina uppgifter och är skyldig att följa givna föreskrifter och anvisningar.

Informationssäkerhetschefen ansvarar för upprätthållandet och utvecklingen av informationssäkerhetsledningssystemet samt samordnar och utvecklar institutets arrangemang för informationssäkerhet.

Dataskyddsombudet leder utvecklingen av ledningssystemet för dataskydd samt ansvarar för utvecklingen av THL:s dataskyddsverksamhet och dess laglighet. Dataskyddsombudet övervakar att lagstiftningen, dataskyddsbestämmelserna och de verksamhetsrutiner som tillämpas av den personuppgiftsansvarige eller personuppgiftsbiträdet följs.

Skydd av personuppgifter

Som myndighet är THL skyldigt att rapportera rikstäckande sammanställd information om hälsa och välfärd.

THL:s lagstadgade uppgifter – såsom uppföljning av smittsamma sjukdomar och myndighetsrapportering – förutsätter behandling av uppgifter som innehåller personuppgifter. Personuppgifter behövs för att kunna sammanslå uppgifter från flera olika hälso- och sjukvårdsaktörer, till exempel för att hantera epidemier och beräkna fallantal.
Lag om Institutet för hälsa och välfärd (Finlex)

THL upprätthåller en nivå av informationssäkerhet som garanterar sekretess för uppgifter som rör partner, kunder och andra intressentgrupper. Exempelvis lämnas material till forskare endast utan personuppgifter, eller så ersätts personuppgifter i forskningsmaterial av pseudonymiserade, dvs. kodade, identifierare.

Syftet med informationssäkerhetsarrangemangen är att säkerställa att uppgifter, informationssystem och tjänster har ett lämpligt skydd så att risker relaterade till konfidentialitet, integritet och tillgänglighet hålls under kontroll. Tekniska åtgärder stöder uppgifternas konfidentialitet och integritet; på så sätt kan utomstående parter inte läsa eller ändra uppgifterna.

Behandling av personuppgifter vid THL

Vid behandlingen av personuppgifter följer THL gällande lagstiftning och behandlar personuppgifter i enlighet med dataskyddslagstiftningen.

Privatpersoner har genom tiderna kunnat delta i THL:s och dess föregångares undersökningar, där personuppgifter har samlats in genom enkäter och mätningar. Deltagandet har då krävt samtycke i enlighet med den lagstiftning som gällde vid tidpunkten, och forskningen har utförts som en lagstadgad uppgift vid THL och som forskning i det allmännas intresse.

I de fall där tidigare insamlade samtycken inte längre uppfyller kraven i EU:s dataskyddsförordning och det inte är möjligt att inhämta nya samtycken, kan den rättsliga grunden för behandling anses vara THL:s lagstadgade uppgift samt vetenskaplig forskning, statistikföring och arkivering i det allmännas intresse.

En privatperson kan utöva de rättigheter som fastställs i dataskyddsförordningen, såsom rätten att ta del av sina egna uppgifter och rätten att återkalla samtycke. Mer information finns på sidan Dataskydd.
Dataskydd