Informationssäkerhetsplan
Informationssäkerhetsplanen beskriver informationssäkerhets- och dataskyddspraxisen hos producenten av social- och hälsovårdstjänster. Informationssäkerhetsplanen grundar sig på kunduppgiftslagen.
Informationssäkerhetsplan
- främjar säker behandling av klient- och patientuppgifter
- förbättrar och förenhetligar social- och hälsovårdsaktörernas informationssäkerhet och dataskydd
- stärker praxisen för planering och genomförande av informationssäkerhet och dataskydd
- är särskilt till hjälp för hantering av risker relaterade till digital säkerhet.
En informationssäkerhetsplan upprättas av alla tillhandahållare av social- och hälsovårdstjänster, apotek, förmedlare och Folkpensionsanstalten.
Organisationen är skyldig att agera i enlighet med informationssäkerhetsplanen, regelbundet granska och underhålla planen och aktivt övervaka dess genomförande.
Vad innehåller informationssäkerhetsplanen?
Informationssäkerhetsplanen beskriver hur organisationen i sin verksamhet ordnar egenkontrollen av informationssäkerheten och dataskyddet. De utredningar och krav som ingår i informationssäkerhetsplanen beskrivs i THL:s föreskrift om upprättande av informationssäkerhetsplanen.
Av informationssäkerhetsplanen ska framgå hur tjänsteproducenten uppfyller kraven om behandling av klient- och patientuppgifter i lagen om behandling av kunduppgifter inom social- och hälsovården.
Informationssäkerhetsplanen och de bilagedokument som den hänvisar till ska hanteras och förvaras på ett datasäkert sätt. De ska skyddas mot åtkomst av utomstående och vid behov ska informationen i dem märkas som sekretessbelagd. Informationssäkerhetsplanen är alltid en icke-offentlig handling.
Kunduppgiftsplanens krav för informationssäkerhetsplanen:
- de som använder informationssystemen har den utbildning som användningen kräver
- i samband med informationssystemen finns behövliga bruksanvisningar
- informationssystemen används enligt anvisningar från producenten av informationssystemtjänsten
- informationssystemen drivs och uppdateras enligt anvisningar från producenten av informationssystemtjänsten
- informationssystemens driftsmiljö är lämplig för ändamålsenlig användning av informationssystemen och säkerställer informationssäkerheten och dataskyddet
- hanteringen av risker i informationssystemen ombesörjs
- övriga anslutna informationssystem och andra system äventyrar inte informationssystemens prestanda eller egenskaper när det gäller informationssäkerhet och dataskydd
- informationssystemen installeras, drivs och uppdateras endast av personer med den yrkesskicklighet och sakkunskap som behövs
- informationssystem uppfyller väsentliga krav som ställs enligt deras användningsändamål.
Innan en tjänstetillhandahållare och apoteket ansluter sig som användare av de riksomfattande informationstjänsterna, ska det i deras informationssäkerhetsplaner redogöras för
- hur man har tillgodosett kraven på dataskydd
- hur den uppfyller kraven som en informationssäker användning av dessa riksomfattande tjänster förutsätter.
Övervakning av informationssäkerhetsplanen
Organisationen ska själv övervaka genomförandet av sin informationssäkerhetsplan.
Tillsynsmyndigheterna har rätt att utföra informationssäkerhets- och dataskyddsinspektioner. Tillsynsmyndigheterna är Tillstånds- och tillsynsverket för social- och hälsovården (Valvira), regionförvaltningsverket (RFV) och dataombudsmannen.
Egenkontrollen av informationssäkerhet och dataskydd är också förknippad med certifieringen av informationssystemen och Kanta-förmedlingstjänsterna samt de väsentliga kraven på informationssystemen. De väsentliga kraven ingår i THL:s föreskrifter. En del av kraven på informationssäkerhet och dataskydd gäller användningen av Kanta-tjänsterna.
Organisationen ska vid behov kunna verifiera frågor som gäller egenkontrollen av informationssäkerheten:
- att en informationssäkerhetsplan har utarbetats,
- att informationssäkerhetsplanen innehåller den information som krävs enligt THL:s föreskrift 3/2024,
- att informationssäkerhetsplanen beskriver hur planen uppdateras och granskas regelbundet och
- hur genomförandet av planen följs upp.
Organisationen ska kunna påvisa att informationssäkerhetsplanen genomförs även i sådana situationer där den inte själv producerar tjänsterna.
Kravet gäller både vid produktion av social- och hälsovårdstjänster och vid produktion av informationssystemtjänster eller tekniska stödtjänster.
Använd mallen för informationssäkerhetsplanen
Som stöd för upprättandet av informationssäkerhetsplanen har THL skapat en mall som styr upprättandet av informationssäkerhetsplanen. Med hjälp av mallen säkerställer organisationen att de faktorer som krävs enligt föreskriften beaktas.
Modellen lämpar sig för både små och stora organisationer med olika funktioner. Innehållet i informationssäkerhetsplanen bör utformas med hänsyn till omfattningen av den egna verksamheten samt ändamålsenliga informationssäkerhets- och dataskyddsrutiner som behövs i organisationens verksamhetsmiljö.
Föreskrift 3/2024: Föreskrift om redogörelser och krav som ska tas in i informationssäkerhetsplanen
Bilaga 1: Mall för informationssäkerhetsplan (docx 60 kb)
Mer information:
sotetiedonhallinta(at)thl.fi
Allt grundar sig på kunduppgiftslagen. Särskilt paragraferna 77 och 78 rör informationssäkerhetsplanen.
Lag om behandling av kunduppgifter inom social- och hälsovården 703/2023 (Finlex)