PALVELUTUOTANNON TIETOTURVALLISUUSSITOUMUS

Transkriptio

1 1/2 Tietoturvapäällikkö 1. versio , 2. versio versio käytössä alkaen PALVELUTUOTANNON TIETOTURVALLISUUSSITOUMUS 1. Salassapito - Salassapitovelvollisuudesta (asiakirjasalaisuus ja vaitiolovelvollisuus) säädetään laeissa (ks. tämän sitoumuksen lainsäädäntöosa, sivut 3-6). Potilas- ja asiakastiedot ovat potilas- ja sosiaalihuollon asiakaslain mukaan salassa pidettäviä. - Palvelutuotannon aikana ja sen päätyttyä sivulliselle ei saa ilmaista palvelutuotannon vuoksi tietoon saatuja Päijät-Hämeen sosiaali- ja terveydenhuollon kuntayhtymän tai sen potilaita ja asiakkaita, sopimuskumppaneita tai muita yhteistyötahoja koskevia salassa pidettäviä tietoja. Tällaisia ovat myös liike- ja ammattisalaisuudet sekä arkaluontoiset henkilötiedot, ellei julkisuuslainsäädännössä toisin määrätä. - Ilman rekisteristä vastaavan kirjallista lupaa ei saa luovuttaa tai siirtää salassa pidettäviä potilas- ja asiakastietoja tai muuta salassa pidettävää henkilö- tai muuta tietoa, eikä tallentaa niitä toisiin rekistereihin tai pilvipalveluihin, työasemien kiintolevyille tai muille tallennusvälineille. Palvelutuottaja ei saa ilman erillistä kirjallista lupaa kopioida potilas- ja asiakastietoja tai muita mahdollisia kuntayhtymän luottamuksellisia tietoja omaan tietojenkäsittely-ympäristöönsä. Mikäli palveluntuottaja tarvitsee kopioita palveluun liittyvästä aineistosta, sovitaan tästä kirjallisesti erikseen. - Henkilötietoja ei saa siirtää eikä tallentaa ETA-alueen ulkopuolelle. Tämä koskee myös etäyhteydessä tapahtuvaa tietojenkäsittelyä ETA-alueen ulkopuolelta, huolimatta siitä, että henkilötiedot ovat tallennettuina ETAalueen sisällä ja huolimatta siitä, että henkilötietoja siirretään salattuina. Palveluntuottajan tietojenkäsittelyn ja siihen liittyvien tukitoimintojen (esimerkiksi help desk -toimintojen) on tapahduttava kokonaisuudessaan ETAalueen sisällä. 2. Käyttäjätunnukset yhtymän tietoverkkoihin, tietojärjestelmiin, tietokantoihin ja muihin resursseihin - Palveluntuottajan toiminnassaan tarvitsemat käyttäjätunnukset annetaan ja poistetaan aina kuntayhtymän tietohallinnon tai sen valtuuttaman tahon tekemänä. - Palveluntuottajan saamat käyttäjätunnukset ovat aina henkilökohtaisia. Mikäli palveluntuottaja tarvitsee tilapäisesti palvelun tuottamiseksi joitain sellaisia erillisiä tietotekniseen operointiin tai muuhun vastaavaan toimintaan liittyviä tunnuksia, jotka ovat ainoastaan tietohallinnon tai sen valtuuttaman tahon joidenkin asiantuntijoiden tiedossa, tulee näissäkin tapauksissa palveluntuottajan edustajan näillä tunnuksilla tekemä käyttö olla jälkikäteen yksilöitävissä ja jäljitettävissä kyseiseen henkilöön. Tällainen toimintapa on ainoastaan tilapäisesti sallittua, kuntayhtymän tietohallinto vastaa siitä, että tunnukset annetaan käyttöön ja poistetaan käytöstä asianmukaisesti. - Kuntayhtymän tietoverkon ulkopuolisten etäyhteyksien osalta toimitaan tietohallinnon määrittelemillä tietoturvallisilla toimintatavoilla niin, että tällaisia etäyhteyksiä käytetään pääasiassa ainoastaan rajatusti ja tilapäisesti jonkin asian välittömään hoitamiseen. Etäyhteydet on aina välittömästi purettava, kun edellä mainittua tilapäistä tarvetta ei enää ole. 3. Laitteiden ja ohjelmistojen asentaminen ja käyttö - Yhtymän sisäisiin tietoverkkoihin ei saa liittää palveluntuottajan omia laitteita ja ohjelmistoja. Mikäli jonkin yhtymälle hankitun ohjelmiston, laitteen tai muun vastaavan asentamiseksi on aivan välttämätöntä käyttää toimittajan omia ratkaisuja ja työkaluja, tulee tämä tehdä tietohallinnon välittömässä valvonnassa tietoturvallisuutta vaarantamatta. Tällöinkin tulee menetellä siten, että kaikki asentamisen kannalta tarpeeton otetaan pois käytöstä tai käyttö estetään. Asennuksien jälkeen on edelleen varmistettava tietoturvallisuuden vaarantamattomuudesta ennen asennettujen palveluiden ottamista käyttöön kuntayhtymän tietoteknisessä infrastruktuurissa. - Tietojärjestelmiä, ohjelmistoja ja yhtymän tietoverkkoja tulee käyttää annettujen ohjeiden mukaisesti. Päijät-Hämeen hyvinvointikuntayhtymä Palvelutuotannon tietoturvallisuussitoumus ( )

2 4. Seuraamukset tietoturvallisuuden vaarantamisesta ja potilas- ja asiakastietojen väärinkäytöksistä 2/2 - Potilastietojärjestelmän tietojen lainvastainen käsittely voi täyttää jonkin seuraavan rikoksen tunnusmerkistön: - henkilörekisteririkos, rikoslaki 38 luku 9 - henkilörekisteririkkomus, henkilötietolaki 48 2 momentti - salassapitovelvollisuuden rikkominen, rikoslaki 38 luku 1 ja 2 -virkasalaisuuden rikkominen ja tuottamuksellinen virkasalaisuuden rikkominen, rikoslaki 40 luku 5 - sähköisestä lääkemääräyksestä annetun lain rikkominen, 26 -tietomurto, rikoslaki 38 luku 8 - Jos kyseessä on vakava lainvastaisuus, väärinkäytöksestä tehdään aina tutkintapyyntö poliisille. Rikostutkinta on myös ainoa keino siinä tilanteessa, että väärinkäytöksestä epäiltyyn henkilöön ja hänen edustamaansa palveluntuottajaorganisaatioon ei ole voimassa olevaa sopimusta, jolloin ei voida enää käyttää sopimuksessa sovittuja seuraamuksia. 5. Sopimusrikkomukset ja vahingonkorvausvastuu - Tietosuojaa koskevien säännösten rikkomisesta voi olla seurauksena myös vahingonkorvauslain mukainen vahingonkorvausvelvollisuus. - Henkilörekisterin rekisterinpitäjä on henkilötietolain mukaan velvollinen korvaamaan sen taloudellisen ja muun vahingon, joka on aiheutunut rekisteröidylle tai muulle henkilölle henkilötietolain vastaisesta menettelystä. Palveluntuottajaorganisaation mahdollisista vahingonkorvausvastuista tässä yhteydessä tarkastellaan palveluntuotannosta tehtyjen sopimusten puitteissa. Olemme perehtyneet yllä oleviin palvelutuotantoon liittyviin kuntayhtymän tietoturva- ja tietosuojaperiaatteisiin, ohjeisiin sekä käytänteisiin ja sitoudumme palveluntuottajaorganisaationa noudattamaan niitä. Palveluntuottajana vastaamme siitä, että työntekijämme toimivat tässä sitoumuksessa edellytetyllä tavalla. Lisäksi vastaamme ja huolehdimme siitä, että käyttämämme mahdolliset alihankkijat työntekijöineen noudattavat samoja tässä palvelutuotannon tietoturvallisuussitoumuksessa esitettyjä kuntayhtymän tietoturvallisuuteen liittyviä sääntöjä. Paikka ja päiväys; palveluntuottajaorganisaation nimi ja Y-tunnus; yhteyshenkilön nimi (henkilö, jolla on kyseiseen palvelutuotantoon liittyvien sopimusten nimenkirjoitusoikeus) ja asema tai ammattinimike; allekirjoitus sekä nimen selvennys Päijät-Hämeen hyvinvointikuntayhtymä Palvelutuotannon tietoturvallisuussitoumus ( )

3 1/1 Sitova ohjeistus Palvelutuotannon tietoturvallisuussitoumus otettiin Päijät-Hämeen sosiaali- ja terveysyhtymässä käyttöön lukien (1. versio). Toinen versio oli käytössä Tätä sitoumuksen uusinta, 3:tta versiota käytetään kuntayhtymässä lukien. Vanhalle pohjalle tehdyt sitoumukset ovat voimassa kulloiseenkin aikaisempaan palvelutuotannon sopimukseen liittyen. Tämä uusin versio eroaa edellisestä versiosta ennen allekirjoittamiskohtaa olevan kappaleen sekä tämän ohjeistusosan osalta. Säädösluetteloon ei ole tullut tässä versiomuutoksessa päivityksiä (säädökset ovat tilanteessa ). Palvelutuotannon tietoturvallisuussitoumus koskee kaikkia ulkoisia, niin yksityisiä kuin julkisia palveluntuottajia, jotka tuottavat yhtymälle mitä tahansa palvelua. Palveluntuottajan ja sen alihankkijoiden tulee sitouttaa työntekijänsä toimimaan tässä sitoumuksessa edellytetyllä tavalla. Palveluntuottaja ja sen alihankkijat vastaavat työntekijöistään. Tämän lisäksi palveluntuottajan ja sen alihankkijoiden työntekijöineen on aina tutustuttava Päijät-Hämeen sosiaali- ja terveysyhtymän tietoturvallisuuspolitiikkaan. Palveluntuottajaorganisaatioiden ja niiden alihankkijoiden työntekijöitä koskee lisäksi kuntayhtymän työntekijöille suunnattu henkilökohtainen tietoturva- ja tietosuojasitoumus, mikäli palveluntuottajaorganisaation tai sen alihankkijan työntekijä on kuntayhtymän rekisterinpidon tai työnjohdon alaisuudessa tehden vastaavanlaisia työtehtäviä kuin yhtymän oma henkilökunta. Sellaisten palvelutuottajien osalta, joiden kanssa yhtymällä on vanha sopimus, allekirjoitetaan palvelutuotannon tietoturvallisuussitoumus mahdollisen sopimusoption, sopimuksen uusimisen tai muun palveluun liittyvän tarkastelun, yhteisen projektin tai muun muutoksen yhteydessä. Uusiin palvelusopimuksiin on kuntayhtymässä liitetty palvelutuotannon tietoturvallisuussitoumus lukien. Palvelutuotannon tietoturvallisuussitoumus allekirjoitetaan (sivut 1-2) yhtenä asiakirjana sopimuksenteon yhteydessä kuntayhtymän ja palveluntuottajaorganisaation välillä. Palvelutuotannon tietoturvallisuussitoumus tallennetaan kuntayhtymän sopimustenhallintajärjestelmään kyseisen palvelusopimuksen yhteyteen. Muutoksena aikaisempiin käytäntöihin nähden riippumatta siitä, että onko palveluntuottajalla useita palvelutuotannon sopimuksia kuntayhtymän kanssa vai ei ole, allekirjoitetaan palvelutuotannon tietoturvallisuussitoumus aina kyseisen palvelusopimuksen liitteeksi. Palvelun tilaajan on myös joka kerta varmistettava se, että tarvitseeko myös palveluntuottajan ja sen alihankkijoiden työntekijöiden allekirjoittaa henkilökohtaiset tietoturva- ja tietosuojasitoumukset edellä kolmannessa kappaleessa kuvatun perusteella. Niiden ulkoisten palveluntuottajien tai niiden alihankkijoiden työntekijöiden osalta, joita koskee myös henkilökohtaisen tietoturva- ja tietosuojasitoumuksen allekirjoittaminen, allekirjoitetaan se kolmena kappaleena: Yksi kappale jää palveluntuottajan tai sen alihankkijan työntekijälle itselleen, toinen palvelun tilaajalle ja kolmas kappale palvelun tuottajaorganisaatiolle. Palveluntuottajien työntekijöiden sitoumukset tulee arkistoida palvelutuotannon tietoturvallisuussitoumuksen yhteyteen. Palvelun tilaajan tai hänen valtuuttamansa yhtymän palveluksessa olevan henkilön on huolehdittava sitoumusten toimittamisesta kuntayhtymän päätearkistoon. Palvelun tilaajan tai hänen valtuuttamansa yhtymän palveluksessa olevan henkilön on lisäksi huolehdittava sitoumusten kolmansien kappaleiden tietoturvallisesta toimittamisesta palveluntuottajaorganisaation nimeämälle kyseisestä ostopalvelusta vastaavalle yhteyshenkilölle. Yhtymän tulosryhmien, tulosalueiden ja tulosyksiköiden esimiehet, ostopalveluiden tilaajat sekä hankintatoimisto vastaavat omalta osaltaan siitä, että sitoumukset on allekirjoitettu ja arkistoitu edellä kuvattujen ohjeiden mukaisesti. Päijät-Hämeen hyvinvointikuntayhtymä Palvelutuotannon tietoturvallisuussitoumus Ohjeistus ( )

4 1/5 Tietoturvaa ja tietosuojaa koskevat tärkeimmät säädökset Lähteenä on käytetty STM:n julkaisua 2007:19 Tietoturvallisuussuunnitelman laatiminen, Opas sosiaali- ja terveydenhuollon toimintayksiköille. 1. Yleiset tietoturvallisuutta koskevat säädökset Perustuslaki (731/1999) yksityiselämän suoja (10 ) sananvapaus ja julkisuus (12 ) Henkilötietolaki (523/1999) yksityiselämän suoja ja muut yksityisyyden suojaa turvaavat perusoikeudet (1 ) tietoturvallisuus ja tietojen säilytys (32-35 ) Laki viranomaisten toiminnan julkisuudesta (621/1999) julkisuusperiaate (1 ) velvoite hyvään tiedonhallintatapaan (3 ) tiedonsaanti salassa pidettävästä asiakirjasta (10 ) asianosaisen oikeus tiedonsaantiin (11 ) viranomaisen velvollisuudet edistää tiedonsaantia ja hyvää tiedonhallintatapaa (17 ) hyvä tiedonhallintatapa (18 ) salassapitovelvoitteet (22-25 ) asiakirjasalaisuus (22 ) vaitiolovelvollisuus ja hyväksikäyttökielto (23 ) salassa pidettävät viranomaisen asiakirjat (24 ) salassapidosta poikkeaminen ja sen lakkaaminen (26-32 ) Asetus viranomaisen toiminnan julkisuudesta (1030/1999) selvitykset hyvän tiedonhallintotavan toteuttamiseksi (1 ) erityissuojattavan tietoaineiston luokitus (2 ) erityissuojattavaa tietoaineistoa koskevat yleiset tietoturvallisuustoimenpiteet (3 ) ohjeet, valvonta ja seuranta (4 ) selosteet tietojärjestelmistä (8 ) Laki sähköisestä asioinnista viranomaistoiminnassa (13/2003) hallintoasian, tuomioistuinasian, syyteasian ja ulosottoasian sähköinen vireillepano, käsittely ja tiedoksianto asioinnin sujuvuuden, ja joutuisuuden sekä tietoturvallisuuden lisääminen edistämällä sähköisten tiedonsiirtomenetelmien käyttöä Laki yksityisyyden suojasta työelämässä (759/2004) työntekijä koskevien tietojen käsittely, työntekijälle tehtävät testit ja tarkastukset, tekninen valvonta työpaikalla, työntekijän sähköpostien hakeminen ja avaaminen Laki yksityisyydensuojasta televiestinnässä ja teletoiminnan tietoturvasta (565/1999) televiestinnän turvallisuus (4 ) teleyrityksen tietoturvallisuusvelvoitteet (6 ) teleoperaattorien vaitiolovelvollisuus (7 ) rajoitukset suoramarkkinoinnille (21 )

5 2/5 Asetus yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta (723/1999) Sähköisen viestinnän tietosuojalaki 516/2004 Laki sähköisen viestinnän tietosuojalain muuttamisesta 125/2009 vaitiolovelvollisuus ja hyväksikäyttökielto (5 ) velvollisuus huolehtia tietoturvasta (19 ) Laki yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta annetun lain muuttamisesta (459/2002) suoramarkkinoinnin tunnistettavuus (21 a ) Telemarkkinalaki (396/1997) ja laki telemarkkinalain muuttamisesta (566/1999) suojauksen purkujärjestelmän kielto (25 ) Rekisterihallintolaki (166/1996) Rikoslaki muutoksineen (578/1995, 951/1999 ) luvaton käyttö (28. luku 7-9 ) vahingonteko (35.luku 1-3 ) viestintäsalaisuuden loukkaus (38. luku 3 ) tietomurto (38. luku 8 ) virkasalaisuuden rikkominen (40. luku 5 a ) vaaran aiheuttaminen tietojenkäsittelylle (34. luku 9 a ) Pakkokeinolaki (450/1987) muutoksineen (18/2003, 64/2003, 646/2003) telekuuntelun edellytykset (2 ) televalvonnan edellytykset (3 ) teknisen tarkkailun edellytykset (4 ) DNA-tunnisteiden määrittäminen ja tallettaminen (5 ) telekuuntelun edellytykset (2 ) 1 luku Kiinniottaminen. pidättäminen ja vangitseminen; pidättämisen edellytykset (3 ) 5 luku Etsintä. paikkaan kohdistuva etsintä; Kotietsintä esineen löytämiseksi (1 ) 5 a luku Telekuuntelu, televalvonta ja tekninen tarkkailu; (1 3, 3a, 4, 4 a, 4 b, 5 ) Poliisilaki (493/1995) 3 luku, Tiedonhankintaa koskevat säännökset (28-36 ) vaitiolovelvollisuus (43 ) vaitiolo-oikeus (44 ) Tekijänoikeuslaki (404/1961) ohjelmistojen tekijänoikeudet (Laki tekijänoikeuslain muuttamisesta 446/1995) tietokantojen käyttö (Laki tekijänoikeuslain muuttamisesta 250/1998) Laki tietoyhteiskunnan palvelujen tarjoamisesta (458/2002) sopimusta koskevien muotovaatimusten täyttäminen sähköisesti (12 ) vastuuvapaus tiedonsiirto- ja verkkoyhteyspalveluissa (13 ) vastuuvapaus tallennettaessa tietoja välimuistiin (14 ) vastuuvapaus tietojen tallennuspalveluissa (15 ) tiedon saannin estoa koskeva määräys (16 ) sisällön tuottajan oikeusturva (18 )

6 3/5 Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista (617/2009) 2. Poikkeusolojen valmiutta koskevat säädökset Valmiuslaki (1080/1991) Laki huoltovarmuuden turvaamisesta (1390/1992) Valtioneuvoston päätös huoltovarmuuden tavoitteista (350/2002) Varautumisen tavoitteet, yhteiskunnan tekniset perusrakenteet 3. Sosiaali- ja terveydenhuollon toimintoja koskevat erityissäädökset Laki potilaan asemasta ja oikeuksista (785/1992) muutoksineen (489/1999, 653/2000, 411/2001) potilaan tiedonsaantioikeus (5 ) tiedonsaantioikeus ja toimivalta (9 ) potilasasiakirjat ja hoitoon liittyvä muu materiaali (12 ) potilasasiakirjoihin sisältyvien tietojen salassapito (13 ) salassapitovelvollisuuden rikkominen (14 ) Laki terveydenhuollon ammattihenkilöistä (559/1994) Asetus terveydenhuollon ammattihenkilöistä (546/1994) Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista (812/2000) asiakkaan oikeus saada selvitys toimenpidevaihtoehdoista (5 ) tietojen antaminen asiakkaalle tai hänen edustajalleen (11 ) asiakkaan ja hänen edustajansa tietojenantovelvollisuus (12 ) asiakirjasalaisuus (14 ) vaitiolovelvollisuus ja hyväksikäyttökielto (15 ) suostumus tietojen antamiseen (16 ) salassa pidettävien tietojen antaminen asiakkaan hoidon ja huollon turvaamiseksi (17 ) salassa pidettävien tietojen antaminen asiakkaan suostumuksesta riippumatta eräissä muissa tilanteissa (18 ) vaitiolovelvollisuudesta poikkeaminen ja sen lakkaaminen (19 ) velvollisuus antaa sosiaalihuollon viranomaiselle salassa pidettäviä tietoja (20 ) tietojen luovuttaminen teknisen käyttöyhteyden avulla (21 ) sosiaalihuollon viranomaisen oikeus saada virka-apua (22 ) asiakirjojen käsitteleminen ja säilyttäminen (26 ) tietosuojaa ja virka-apua koskevien säännösten soveltamisala (27 ) merkintä tietojen hankinnasta ja antamisesta (28 ) rangaistusvastuu (29 ) Sosiaali- ja terveysministeriön asetus potilasasiakirjoista (298/2009), osa pykälistä tuli voimaan soveltamisala (1 ) potilasasiakirjat (2 ) yleiset rekisterinpitäjän velvoitteet (3 ) tietojen käyttöoikeudet (4 ) palvelujen hankkiminen toiselta (5 )

7 4/5 oikeus tehdä merkintöjä potilasasiakirjoihin (6 ) potilasasiakirjamerkintöjä koskevat keskeiset periaatteet ja vaatimukset (7 ) potilasasiakirjoihin merkittävät perustiedot (10-21 ) potilasasiakirjojen säilyttäminen (22-23 ) Laki sähköisestä lääkemääräyksestä (61/2007) & muutokset /251 lain tarkoitus (1 ) lain soveltamisala (2 ) määritelmät (3 ) potilaan informoiminen (4 ) lääkemääräyksen tietosisältö (6 ) lääkemääräyksen allekirjoittaminen (7 ) lääkemääräyksen salaaminen (8 ) potilasohje (9 ) apteekin tiedonsaantioikeus (11 ) sähköisen lääkemääräyksen toimittaminen (12 ) potilaan oikeus määrätä tietojen luovutuksesta (13 ) suostumus- ja kieltoasiakirja (13 ) tietojen luovuttaminen viranomaisille ja tieteelliseen tutkimukseen (15 ) potilaan tiedonsaantioikeus (16 ) potilaan tiedonhallintapalvelu (16 a ) kansalaisen käyttöliittymä (17 ) rekisterinpitäjä (18 ) tietojen säilyttäminen (19 ) sähköisen lääkemääräyksen tietotekninen toteutus (20 ) lääkemääräys- ja toimitusohjelmistot (21 ) tietojärjestelmien ja ohjelmistojen hyväksyntä ja käyttöönotto (22 a ) omavalvonta (22 b ) ohjaus, seuranta ja valvonta (24 ) maksut (25 ) rangaistus- ja viittaussäännökset (26 ) siirtymäsäännös (28 ) Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) & muutokset /250 asiakastietojen käytettävyys ja säilyttäminen (4 ) käytön ja luovutuksen seuranta (5 ) potilastietojärjestelmien ja -asiakirjojen tietorakenteet (6 ) suunnittelu-, tutkimus- ja tilastotiedot (7 ) tunnistaminen (8 ) asiakirjan sähköinen allekirjoittaminen (9 ) potilastietojen luovuttaminen (10 ) potilaan oikeus määrätä potilastietojensa luovutuksesta (11 ) suostumus- ja kieltoasiakirja (12 ) potilaan laillinen edustaja (13 ) valtakunnalliset tietojärjestelmäpalvelut (14 ) potilaan tiedonhallintapalvelu (14 a ) velvollisuus liittyä tietojärjestelmäpalvelujen käyttäjäksi (15 ) vastuut tietojärjestelmäpalvelujen hoidossa (16 ) potilaan informointi (17 ) asiakkaan tiedonsaantioikeus (18 )

8 5/5 kansalaisen käyttöliittymä (19 ) 5 a luku - Tietojärjestelmien olennaiset vaatimukset ja niiden osoittaminen olennaiset vaatimukset (19 a ) luokitus (19 b ) tietojärjestelmän valmistajan yleiset velvollisuudet (19 c ) vaatimustenmukaisuuden osoittaminen (19 d ) yhteistestaus (19 e ) tietojärjestelmän käyttöönotto (19 f ) käyttöönoton jälkeinen seuranta (19 g ) 5 b luku Palvelujen antajan omavalvonta omavalvontasuunnitelma (19 h ) poikkeamista ilmoittaminen (19 i ) 5 c luku - Tietojärjestelmien vaatimustenmukaisuuden arviointi tietoturvallisuuden arviointilaitoksen hyväksyminen (19 j ) tietojärjestelmien arviointi (19 k ) vaatimustenmukaisuustodistuksen peruuttaminen (19 l ) tietoturvallisuuden arviointilaitoksen ilmoittamisvelvollisuus (19 m ) 6 luku Erinäiset säädökset ohjaus, valvonta ja seuranta (20 ) tietojärjestelmien valvonta ja tarkastukset (20 a ) oikeus ulkopuolisen asiantuntijan käyttöön (20 b ) määräys velvollisuuksien täyttämiseksi (20 d ) käytössä oleviin tietojärjestelmiin kohdistuvat velvollisuudet (20 e ) tiedonsaantioikeus (20 g ) rangaistussäännökset (23 )