POHJOIS-KARJALAN SOSIAALI- JA TERVEYSPALVELUJEN KUNTAYHTY- MÄN TIETOTURVAPOLITIIKKA

Transkriptio

1 Tietoturvapolitiikka 1 (12) POHJOIS-KARJALAN SOSIAALI- JA TERVEYSPALVELUJEN KUNTAYHTY- MÄN TIETOTURVAPOLITIIKKA Yhtymähallitus xx.xx.2017

2 Tietoturvapolitiikka 2 (12) Sisällys 1. TIETOTURVAPOLITIIKAN LÄHTÖKOHTA TIETOTURVAN TARKOITUS Tietoturvan lainsäädännöllinen perusta Tietoturvan tavoitteet TIETOTURVAPOLITIIKAN KATTAVUUS HYVÄ TIEDONHALLINTATAPA Selosteet tietojärjestelmistä TIETOTURVAN VASTUUTUS JA ORGANISOINTI Tietoturvan kokonaisvastuu Tietoturvan toimintavastuu Tietohallintopäällikön ja turvallisuuspäällikön vastuu Viranhaltijoiden ja työntekijöiden vastuu TIETOJEN JA TIETOJÄRJESTELMIEN LUOKITTELU Tietojen turvaluokituskäytäntö Tietojärjestelmien luokittelu Tietojen omistajuus (= haltijat) Oikeus järjestelmien tietoihin ja käytöstä kerättäviin tietoihin TIETOTURVAN TOTEUTUS Tietoturva-analyysi Järjestelmän tai palvelun määritys Tietoturvakoulutus Ohjeet ja standardit TIETOTURVAN TOTEUTUMISEN SEURANTA JA VALVONTA... 12

3 Tietoturvapolitiikka 3 (12) 1. TIETOTURVAPOLITIIKAN LÄHTÖKOHTA Tietoturva tarkoittaa tietojen, palvelujen, järjestelmien ja tietoliikenteen suojaamista ja varmistamista niihin kohdistuvien riskien hallitsemiseksi sekä normaali- että poikkeusoloissa lainsäädännöllisin, hallinnollisin, teknisin ja muin toimin. Näin tietoturva on laajempi käsite kuin vain tieto- ja viestintäteknologioiden tekninen tai ICT-turvallisuus kattaen kaiken puhutun, kirjoitetun ja graafisen tiedon. Tietoturva pitää sisällään sekä sosiaali- ja terveydenhuollolle olennaisen salassapitovelvollisuuden että viranomaiselle kuuluvan julkisuusperiaatteen toteuttamisen. Tietoturvapolitiikan lainsäädännöllinen perusta nojautuu useisiin lakeihin. Näistä keskeisimpiä ovat julkisuus-, potilas- asiakas- ja henkilötietolait. Lainsäädännön asettamien vaatimusten täyttäminen ja hallinta edellyttävät julkishallinnon toimintayksiköiltä vahvaa tietoturvan toteuttamista. Tietojärjestelmätoimintojen tietoturvan hallinnan parantamiseksi määritellään Siun soten kokonaisvaltainen tietoturvapolitiikka. Tietoturvapolitiikka liittyy myös Siun soten toiminnan sisäiseen valvontaan. Yhtymähallitus vahvistaa Siun soten sisäisen valvonnan ohjeet. Tietoturvan toteuttamiseksi laaditaan erillinen tietoturvasuunnitelma, joka nojautuu tietoturvapolitiikkaan. Palveluiden tuottaminen liittyy henkilöihin ja toiminnassa käsitellään henkilöiden yksilöllisiä tietoja, jolloin erityistä huomiota on kiinnitettävä tietojärjestelmien tietosuojaratkaisuihin. 2. TIETOTURVAN TARKOITUS Siun soten palvelujen tuottaminen ja niiden tehokkuus ja luotettavuus riippuvat tietojenkäsittelystä. Tämän vuoksi tietojenkäsittelyn on oltava virheetöntä ja tehokkaasti toimivaa. Kaikessa toiminnassa tietoturvatoimia tulee tarkastella Siun soten palvelujen varmistamisen ja jatkuvuuden näkökulmasta. Tietojärjestelmätoimintojen tietoturvallisuuden keskeinen perusta ovat Siun soten johdon vahvistamat tietoturvaperiaatteet, jotka on koottu tietoturvapolitiikaksi. Tästä johdetaan käytännön menettelytavat riittävän perusturvallisuustason saavuttamiseksi. Tietoturvaperiaatteisiin nojautuvilla ohjeilla viestitetään henkilökunnalle hyväksyttävät käyttäytymissäännöt ja käytön rajoitukset tietoturvan toteutumiseksi. Tietoturvapolitiikka on tiivistetty muutamaan sivuun keskeisistä periaatteista, joilla varmistetaan tietojärjestelmien, tietojen ja palveluiden luottamuksellisuus, eheys ja saatavuus sekä estetään virheiden tapahtumista. Tietoturvapolitiikkaan pohjautuvassa tietoturvasuunnitelmassa kuvataan yksityiskohtaisesti eri tietoturvan osa-alueisiin liittyvät ratkaisut. Tietoturvasuunnitelma on salainen asiakirja. Tarkentavia menettelyohjeita tietojärjestelmien käyttäjille annetaan tietoturvapolitiikkaan ja -suunnitelmaan pohjautuvin erillisin tietoturva- ja tietosuojaohjein. Tietoturvapolitiikka sisältää tietoturvan yleiset periaatteet, vastuut, toteutustavan sekä seurannan ja valvonnan. Tietoturvallisessa asiaintilassa tietojen, tietojärjestelmien ja tietoliikenteen luottamuksellisuuteen, eheyteen ja käytettävyyteen kohdistuvat uhat eivät aiheuta merkittävää riskiä. Tietoturvaan liittyy myös pääsynvalvonta ja kiistämättömyys. Siun soten tietoturvatyön tavoitteena on turvata toiminnalle tärkeiden tietojärjestelmien ja tietoverkkojen toiminta, estää tietojen ja tietojärjestelmien valtuudeton käyttö, tahaton tai tahallinen tiedon

4 Tietoturvapolitiikka 4 (12) tuhoutuminen tai vääristyminen sekä minimoida aiheutuvat vahingot. Osa tiedoista on salassa pidettävää, arkaluonteista tai muuta luottamuksellista tietoa. Tämän vuoksi on tärkeää, etteivät tiedot joudu tahattomasti tai tahallisesti asiattomien haltuun. Lisäksi Siun sotessa käsitellään tietoa, joka ei ole salassa pidettävää vaan luonteeltaan julkista, mutta tällaisenkin tiedon oikeellisuudesta, muuttumattomuudesta, saatavuudesta, lainmukaisesta käsittelystä sekä oikeudesta ja velvollisuudesta luovuttaa tietoa on pystyttävä varmistumaan. 2.1 Tietoturvan lainsäädännöllinen perusta Viranomaisen tulee hyvän tiedonhallintatavan luomiseksi ja toteuttamiseksi huolehtia asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen asianmukaisesta saatavuudesta, käytettävyydestä ja suojaamisesta sekä eheydestä ja muista tietojen laatuun vaikuttavista tekijöistä. (Laki viranomaisten toiminnan julkisuudesta (621/1999) 18, Hyvä tiedonhallintatapa.) Rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä. (Henkilötietolaki (523/1999) 32, Tietojen suojaaminen.) Tietoturva perustuu viranomaisten toiminnan julkisuudesta annetun lain ja asetuksen lisäksi useisiin eri lakeihin. Yksityiselämän suoja ja julkisuusperiaate ovat jo perustuslaissa säädeltyjä perusoikeuksia. Eri lakeihin sisältyvien salassapitosäännösten lisäksi laeista tärkeimpiä ovat: Terveydenhuoltolaki (1326/2010) Sosiaalihuoltolaki (1301/2014) Laki terveydenhuollon ammattihenkilöistä (559/1994) Laki sosiaalihuollon ammattihenkilöistä (817/2015) EU tietosuoja-asetus (2016/679) Potilasasiakirja-asetus (298/2009) Laki sosiaalihuollon asiakasasiakirjoista (254/2015) Laki sähköisestä lääkemääräyksestä (61/2007) Laki viranomaisten toiminnan julkisuudesta (621/1999) Henkilötietolaki (523/1999) (Henkilötietojen käsittelyä koskevat yleiset periaatteet.) Laki potilaan asemasta ja oikeuksista (785/1992) (Potilasasiakirjojen salassapito) Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista (812/2000) Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) Arkistolaki (831/1994) (Asiakirjojen laatiminen, säilyttäminen ja käyttö.) Laki kunnallisesta viranhaltijasta (304/2003) Työsopimuslaki (55/2001) Vahingonkorvauslaki (412/1974) Laki yksityisyyden suojasta työelämässä (759/2004) Sähköisen viestinnän tietosuojalaki (516/2004) Perustuslaki (731/1999) - 2:10 (Yksityiselämän suoja ja luottamuksellisen viestin salaisuus) - 2:12 (Viranomaisten hallussa olevien asiakirjojen ja tallenteiden julkisuus) Rikoslaki (39/1889) - 34:9a (Vaaran aiheuttaminen tietojenkäsittelylle) - 38:1-2 (Salassapitorikos ja rikkomus) - 38:8 (Tietomurto) - 38:9 1. kohta (Henkilötietorikos) - 40:5 (Virkasalaisuuden rikkominen)

5 Tietoturvapolitiikka 5 (12) 2.2 Tietoturvan tavoitteet Hyväksytyn tietoturvapolitiikan mukainen tietoturva tulee sisällyttää luonnollisena osana kaikkeen toimintaan. Tietoturvan kehittäminen ja ylläpito ovat osa Siun soten yleistä turvallisuustoimintaa ja sisäistä valvontaa. Siun soten toimiessa kansallisesti tärkeänä organisaationa myös normaaliaikojen häiriötilanteiden ja poikkeusolojen valmiuden luominen ja ylläpito on välttämätön osa Siun soten tietojenkäsittelyn turvallisuutta. Tämän vuoksi riippuvuuksia laajoista ja kansainvälisistä verkoista ja tietojenkäsittelypalveluista on aiheellista tarkastella yleisemminkin. Poikkeusolojen kaltaisia tietotekniikan ongelmia saattaa aiheutua ulkopuolisilta tahoilta verkkojen sabotoinnin, rikollisen toiminnan tai perusrakenteiden lamauttamisen seurauksena. Tietoturvan tason tulee olla sellainen, että Siun soten toimintaa koskevassa lainsäädännössä, sisäisissä määräyksissä ja ohjeissa asetetut turvallisuusvaatimukset täytetään tietojärjestelmätoiminnot on siten varmistettu, että niiden keskeytyksistä ja häiriöistä huolimatta Siun soten toiminta ja palvelut voidaan hoitaa vähintään ennalta hyväksytyllä minimitasolla (lakisääteinen taso) tiedot ja järjestelmät on suojattu siten, että niitä voivat käyttää vain ne, jotka työtehtäviensä takia ovat siihen oikeutettuja sidosryhmäyhteyksissä ylläpidetään sekä oman toiminnan että sidosryhmän toiminnan vaatimuksia vastaava tietoturvataso varmistetaan ulkopuolisten palveluntuottajien tietoturvan toteutuminen toimintojen vastuuhenkilöt tuntevat tietojen hallinnan ICT-riippuvuudet, niihin liittyvät riskit ja noudatettavat käytettävyyskriteerit tietojenkäsittelyn laatu määritellään ja on erityisen valvonnan kohteena toiminnoissa, joissa virheet niiden suuruusluokan, tietojen hyödyntämisen nopeuden/automaattisuuden vuoksi tai muista syistä saattavat aiheuttaa virheitä päätöksenteossa tietotekniikan käyttöympäristö ja atk-resurssit on mitoitettu ja järjestetty siten, että ne tehokkuus- ja laatutavoitteiden täyttämisen ohella edistävät tietoturvan toteutumista tietojenkäsittelyn turvallisuuden ja vahinkojen seuranta sekä raportointi määritellään ja toteutetaan toimialueittain. 3. TIETOTURVAPOLITIIKAN KATTAVUUS Yhtymähallituksen vahvistama tietoturvapolitiikka kattaa sisäisen valvonnan ohjeen tavoin Siun soten kaiken toiminnan. Tietoturvapolitiikkaan pohjautuvat tietoturvaan liittyvät ohjeet ja määräykset kattavat kaikki tietojenkäsittelytoiminnot. Ne koskevat kaikkia Siun soten viranhaltijoita ja työntekijöitä, työryhmiä, toimielimiä sekä Siun soten toimeksiantoja tekeviä ulkopuolisia näiden hoitaessa julkisuuslainsäädännön mukaisesti julkisia tehtäviä. Tietoturvapolitiikka kattaa kaikki tehtävät ja niihin sisältyvän arkistoinnin, tiedon siirron sekä vaitiolovelvollisuuden piiriin kuuluvan puhutun, kirjoitetun ja graafisen tiedon.

6 Tietoturvapolitiikka 6 (12) Henkilöstön menettelytavoissa, tietoteknisissä ratkaisuissa sekä tietotekniikkaan liittyvissä laitehankinnoissa ja kehittämishankkeissa on otettava huomioon tässä tietoturvapolitiikassa määritellyt yhdenmukaiset linjaukset ja tietoturvan tasovaatimukset, joita täsmennetään erikseen ylläpidettävällä tietoturvaohjeistuksella. 4. HYVÄ TIEDONHALLINTATAPA Kaikissa tietojärjestelmätoiminnoissa tulee näiden ohjeiden lisäksi noudattaa yleisiä tietoturvatoimintoja ohjaavia säädöksiä, erikseen tehtyjä sopimuksia, EU-direktiivejä ja määriteltyjä standardeja. Yhtenä tietoturvapolitiikan perustana olevan hyvän tiedonhallintatavan määrittelee laki viranomaisten toiminnan julkisuudesta (621/1999, 18 ). Hyvän tiedonhallintatavan toteuttaminen liittyy keskeisesti säännösten puitteissa myös tietoturvan toteutumiseen. Tietoturvan suunnittelun yhteydessä on hyvän tiedonhallintatavan toteuttamiseksi laadittava selvityksiä, joista on määrätty asetuksella viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta (1030/1999, 1 ). 4.1 Selosteet tietojärjestelmistä Asetus viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta (1030/1999) määrää mm. asiarekisterien, tietojärjestelmäselosteiden sekä henkilötietolaki määrää henkilörekisteriselosteiden laatimisesta ja ylläpidosta. Mainitut säännökset edellyttävät myös tietoturvan suunnittelua ja toteuttamista säätelemiinsä asioihin liittyen. Tietojärjestelmistä laaditut selosteet ovat osa tietojärjestelmien dokumentaatiota, jonka ajantasaisuus edesauttaa tietoturvan toteutumista. Tietohallintopäällikkö vastaa tietojärjestelmäluettelon ja selosteiden päivittämisestä ja asianhallintapäällikkö vastaa asiarekistereiden ja henkilörekisteriselosteiden päivittämisestä. 5. TIETOTURVAN VASTUUTUS JA ORGANISOINTI Sisäinen valvonta ja riskienhallinta ovat osa Siun soten johtamis- ja hallintojärjestelmää, strategista ja operatiivista toiminnan suunnittelua, päätöksentekoa, seurantaa, poikkeamiin reagoimista sekä suoriutumisen arviointia. Sisäisellä valvonnalla tarkoitetaan hallituksen, johdon ja henkilöstön erilaisia toimenpiteitä, joilla hallitaan riskejä ja lisätään päämäärien ja tavoitteiden saavuttamisen todennäköisyyttä. Sisäisen valvonnan ohjeessa todetaan, että tietoturvaan liittyvät vastuut ja velvollisuudet on määritelty Siun soten tietoturvapolitiikassa ja tietoturvasuunnitelmassa. Tietoturvavastuu kohdistetaan henkilötasolle vakansseittain.

7 Tietoturvapolitiikka 7 (12) 5.1 Tietoturvan kokonaisvastuu Siun soten yhtymähallitus vahvistaa tietoturvapolitiikan. Siun soten tietoturvan kokonaisuudesta vastaa toimitusjohtaja. Hänen tehtävänsä on vastata tietoturvan kehittämisestä, ylläpidosta, koordinoinnista, ohjaamisesta ja valvonnasta sekä raportoinnista Siun soten hallitukselle. Siun soten johdon vastuulla on määritellä elintärkeät tietojärjestelmät ja tietojärjestelmien tärkeysluokitus. Siun soten tietohallintopäällikkö vastaa koko Siun soten tietoturvasta seuraavien asioiden osalta: nimeää tietojärjestelmien ja tietoverkkojen haltijat ohjaa järjestelmien haltijoita tunnistamaan riskit valvoo elintärkeiden tietojärjestelmien luetteloiden ylläpitoa ja sitä, että tietoturvan taso, katastrofi- ja poikkeustilavalmius vastaavat päätöksiä ja säännöksiä sekä sitä, että niille osoitetaan tarpeelliset resurssit määrittelee yhdessä Siun soten johtoryhmän ja turvallisuuspäällikön kanssa poikkeustilanteissa ylläpidettävät tietojärjestelmätoiminnot ja esittää niille resurssivaraukset vastaa yksiköiden tietoturvatarpeiden yhteensovittamisesta sekä toimii tietoturva-asiantuntijana Siun sotessa yhteistyössä turvallisuuspäällikön ja ulkoisen palveluntuottajan asiantuntijoiden kanssa kehittää ja toteuttaa tietojärjestelmien käyttäjien ja johdon tarvitsemia tietoturvapalveluja sekä valvoo tietoteknisen tietoturvan toteutumista yhteistyössä turvallisuuspäällikön kanssa valvoo ulkoistettavien tietojärjestelmäpalvelujen tietoturvan tasoa. 5.2 Tietoturvan toimintavastuu Tietoturvavastuun kohdistamiseksi jäljempänä on määritelty tietojärjestelmien haltijat (henkilöt). Tietojärjestelmien haltija määrää pääkäyttäjät, jotka näkyvät tietojärjestelmälistauksessa. Tietojärjestelmien haltijat määrittelevät vastuullaan olevan toiminnan käyttämät tietojärjestelmät, niiden tietoturvatarpeet ja tietojärjestelmiensä käyttöoikeuksien myöntämisperiaatteet. Henkilörekisterien vastuuhenkilöiden tulee olla tietoturvaan liittyvässä valmistelussa mukana. Tietoturvavastuut määritellään seuraavasti: Yhteisten potilastietojärjestelmien haltijana on terveys- ja sairaanhoitopalvelujen toimialuejohtaja. Sosiaalipalvelujen asiakastietojärjestelmien haltijana on perhe- ja sosiaalipalvelujen toimialuejohtaja. Pelastuslaitoksen tietojärjestelmien haltijana on pelastusjohtaja Ympäristöterveydenhuollon tietojärjestelmien haltijana on ympäristöterveydenhuollon toimialuejohtaja. Erillisten potilastietojärjestelmien haltijana ovat niiden vastuualueiden tai toimintayksiköiden esimiehet, joiden alueella tietojärjestelmää käytetään. Henkilöstöhallinnon tietojärjestelmien haltijana on henkilöstöjohtaja, hänen vastuulla on myös henkilöstöturvallisuus. Taloushallinnon tietojärjestelmien haltijana on talousjohtaja. Hallinnon tietojärjestelmien haltijana on hallintojohtaja.

8 Tietoturvapolitiikka 8 (12) Klinikkaryhmien palvelupäälliköt ja toimintayksiköiden esimiehet sekä liikelaitosten johtajat vastaavat toteuttamiensa ja/tai suoraan ulkopuolisilta hankkimiensa ICT-palvelujen tietoturvasta. Tietoturvavastuu ei ole siirrettävissä, vaikka sen hoitovastuuta voidaan yksilöidysti jakaa. Kaikkien käyttäjien tulee tuntea heitä koskevat määräykset ja vaatimukset tietoturvatoimintojen osalta sekä vastata tietoturvan toteutumisesta omassa työssään. Siun soten toimitusjohtajan nimeämät tietosuojavastaavat valvovat yleisesti henkilötietojen käsittelyn lainmukaisuutta ja toimivat yhteyshenkilöinä Siun soten ja viranomaisten välillä. Asianhallintapäällikkö määrittelee henkilötietolain mukaiset rekisterit ja nimeää rekisterien vastuuhenkilöt niiden rekistereiden osalta joiden vastuuhenkilöä ei ole lakisääteisesti määrätty. Yhteisessä käytössä olevien ja yleisten järjestelmien tietotekninen tietoturvavastuu on tietohallintopäälliköllä. Hän vastaa myös klinikoiden, toimintayksiköiden ja liikelaitosten tukemisesta tietoturvavaatimusten täyttämiseksi. Tietohallintopäällikkö vastaa tietojärjestelmäselosteiden laatimisesta ja ylläpidosta. Klinikoiden ja toimintayksiköiden esimiehet sekä liikelaitosten johtajat vastaavat yksikkönsä toiminnassa tietoturvan toimeenpanosta ja koulutuksesta sekä heillä on vastuu omien tilojen fyysisen turvallisuuden toteutumisesta. Tietojärjestelmien haltijat, tietohallintopäällikkö ja turvallisuuspäällikkö raportoivat tietoturvatoimista tarvittaessa ja ainakin vuosittain toimitusjohtajalle. 5.3 Tietohallintopäällikön ja turvallisuuspäällikön vastuu Tietohallintopäällikkö ja turvallisuuspäällikkö vastaavat siitä, että käytettävät palvelut täyttävät tietoturvavaatimukset ja, että palvelun toimittaja suorittaa tietojärjestelmien tietoturvavalvontaa sekä tekee esityksiä tietoturvajärjestelyjen kehittämiseksi. Tietohallintopäällikkö ja turvallisuuspäällikkö huolehtivat siitä, että uusien järjestelmien kehittämis- ja käyttöönottohankkeissa sekä ylläpidossa tietoturva-asiat on huomioitu ja järjestelmän haltijan hyväksymiä. Tuotantokäytössä olevien järjestelmien muutostilanteiden hallintaan sekä mahdollisesti syntyvien ongelmien raportointiin ja nopeaan hoitamiseen on kiinnitettävä erityistä huomiota. Tarvittaessa järjestelmän haltijan, tietohallintopäällikön ja turvallisuuspäällikön on sovittava normaaleista poikkeavista laatu-, käytettävyys- ja palvelumääritysten käytännöistä ja niiden resursoinneista. Siun sote ostaa ICT-tekniikkaan liittyvät palvelut sisältäen teknisen tietoturvan asiantuntijapalvelut ulkopuoliselta toimijalta sekä käyttää tietohallintopäällikön ja turvallisuuspäällikön asiantuntemusta tietoturvaan liittyvissä ratkaisuissa. 5.4 Viranhaltijoiden ja työntekijöiden vastuu Jokainen Siun sotessa tietoja käsittelevä henkilö on vastuussa tietoturvallisuuden toteuttamisesta omalta osaltaan. Jokaisen tulee erityisesti huolehtia siitä, että henkilötietoja käsiteltäessä noudatetaan henkilötietolain (523/1999) toisessa luvussa esitettyjä henkilötietojen käsittelyä koskevia yleisiä periaatteita.

9 Tietoturvapolitiikka 9 (12) Työntekijöille ja viranhaltijoille selvitetään tietoturvan sisältö ja he sitoutuvat lakien ja asetusten määräysten lisäksi noudattamaan Siun sotessa hyväksytyn tietoturvapolitiikan toteuttamiseen liittyviä määräyksiä, ohjeita ja toimintatapoja. 6. TIETOJEN JA TIETOJÄRJESTELMIEN LUOKITTELU 6.1 Tietojen turvaluokituskäytäntö Tietoturvatoimien oikean kohdistamisen vuoksi Siun sotessa käsiteltävät tiedot ovat arkistonmuodostussuunnittelussa ja tietojärjestelmät ovat riskianalyysin yhteydessä käyty läpi ja luokiteltu niiden tärkeyden edellyttämällä tavalla. Asiarekisterejä koskevat yleiset vaatimukset on määritelty asetuksessa viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta n:o 1030/1999 (5 ja 8 ). Asetuksen piiriin kuuluvia tietoja käyttävät klinikat, toimintayksiköt ja liikelaitokset vastaavat yhdessä asianhallintapäällikön ja tietohallintopäällikön kanssa sovittavalla tavalla siitä, että yksiköiden hallinnassa oleviin asiarekistereihin toteutetaan em. asetuksen edellyttämät toimet. Tietojen luovutuksesta päättävät ne, joille on määritelty asiakirjan tai tietojen antamista koskeva päätösvalta. Luovutuksessa on otettava huomioon tietojen luokitus, julkisuuslain, henkilötietolain, potilaslain, asiakaslain ja muidenkin tietojen luovuttamiseen vaikuttavien säädösten ja määräysten asettamat ehdot. 6.2 Tietojärjestelmien luokittelu Siun soten klinikoiden, toimintayksiköiden ja liikelaitosten toiminnan sujuvuus ja laatu ovat lisääntyvässä määrin riippuvaisia tietojärjestelmien luotettavuudesta ja käytettävyydestä. Mitä suuremmaksi tämä riippuvuus kehittyy, sitä tärkeämpää on varautuminen myös erilaisiin ja eritasoisiin häiriö-, vikaja poikkeustilanteisiin. Tietojärjestelmien tärkeysluokittelu niiden vaikuttavuuden ja kriittisyyden suhteen on apuväline, jonka perusteella varautumispanostuksia voidaan kohdentaa oikein. Luokitusta voidaan myös käyttää sovittaessa tietojärjestelmäpalvelujen mahdollisista laatukriteereistä. Siun soten johdon ja tietojärjestelmien haltijoiden tulee tunnistaa vastuullaan olevan toiminnan kannalta elintärkeät tietojärjestelmät ja määritellä muidenkin järjestelmien tärkeysluokitukset. Tietohallintopäällikkö ja turvallisuuspäällikkö pitävät yllä elintärkeiden tietojärjestelmätoimintojen luetteloa. 6.3 Tietojen omistajuus (= haltijat) Tietoturvapolitiikan toteuttamisen kannalta on tarpeen määritellä kaikkien Siun sotessa käsiteltävien tietojen ja käytettävien järjestelmien haltijat. Tietojärjestelmien haltijatiedot ylläpidetään tietojärjestelmälistauksessa, manuaalisen tiedon vastuuhenkilöt ylläpidetään tiedonohjaussuunnitelma (TOS). Siun soten hankkimat tietojärjestelmät tietoineen, laitteet, tietoverkot, ohjelmistot ja näihin liittyvät aineettomat oikeudet ovat osin Siun soten omaisuutta ja osin käyttöoikeuksin Siun soten hallinnassa.

10 (12) Tietoturvapolitiikka 10 Siun soten tietovarantojen (tietokantojen, tiedostojen) haltijoita ovat ne klinikat, toimintayksiköt ja liikelaitokset, jotka toiminnallisesti vastaavat tietoihin liittyvien järjestelmien käytöstä ja joiden toiminnoissa laaditaan tai käytetään ko. tietoja. Yksikkökohtaisten järjestelmien tietojen haltijana toimii ko. yksikkö. Siun soten yleiskäyttöisten järjestelmien tietojen (esim. diaaritiedot, henkilötiedot, perusrekisterit ja maksuliikenteen tiedot) haltijuus on toimintoa koordinoivalla yksiköllä. Haltijuus on koordinoivalla yksiköllä siinäkin tapauksessa, että tietojen syöttö on hajautettu. Tietojärjestelmän haltijalla on järjestelmän ja sen tietoturvan kehittämisvastuu sekä oikeus ja velvollisuus määrätä kyseisen tietoaineiston käsittelystä ja käytöstä. Haltijan tulee määritellä ja huolehtia tietojärjestelmän käyttöoikeustietojen ylläpidon järjestämisestä sekä järjestelmässä mahdollisesti käytettyjen muiden osapuolien aineistojen, mm. valokuvien käyttö-, tekijän- ja immateriaalioikeuksista. 6.4 Oikeus järjestelmien tietoihin ja käytöstä kerättäviin tietoihin Siun sote on järjestänyt tietojärjestelmät henkilöstön käyttöön Siun soten toimintaan kuuluvaa käyttöä varten. Näin ollen Siun sotella on oikeus määrätä henkilöille annettujen, järjestelmien käyttöön oikeuttavien tunnusten käytöstä. Tietojärjestelmien sisältämät tiedot ja viestit kuuluvat Siun sotelle ja se voi tarvittaessa ilmaista ja käyttää viestejä (yksityisiä lukuun ottamatta) ja muita tietoja ilman henkilön lupaakin. Laki yksityisyyden suojasta työelämässä (759/2004) edellyttää pyytämään lupaa työntekijältä tietojen saamiseksi. Tietojärjestelmien ja niiden sisällön turvallisuuden varmistamista sekä järjestelmien toiminnan ylläpitämistä varten ylläpidon vastuuhenkilöillä on oikeus valvoa järjestelmien käyttöä ja tarvittaessa ongelmatilanteissa päästä järjestelmien sisältämiin viesteihin ja muihin tietoihin sekä lukea, kopioida, siirtää ja tuhota niitä, pois lukien työntekijöiden henkilökohtaiseksi luettavat tiedot. Siun sotella on tekijänoikeus kaikkiin henkilöstön laatimiin, tietojärjestelmissä oleviin, Siun soten toimintaan liittyviin tietoihin ja viesteihin. Tietojärjestelmien tietojen ja viestien käyttö, kopiointi ja siirto on sallittu vain Siun soten toimintaan liittyvien tehtävien hoitamiseksi. Tietojärjestelmien käytöstä kerättävän tiedon (lokitiedot) säilytysaika vaihtelee mm. varmuuskopioiden säilytysaikojen tai muuten erikseen säädetyn mukaisesti. Tietojärjestelmien käytöstä voidaan kerätä tietoja tietoturvan valvonnan, tietojen varmistamisen ja toiminnan kehittämisen sekä tietojärjestelmän hallinnan tarpeisiin. Tietoja kerättäessä ja käsiteltäessä noudatetaan lakia yksityisyyden suojasta työelämässä (759/2004) ja sähköisen viestinnän tietosuojalakia (516/2004).

11 (12) Tietoturvapolitiikka TIETOTURVAN TOTEUTUS 7.1 Tietoturva-analyysi Tietoturvatoimet perustetaan vaatimuksiin, joita toiminta ja palvelut asettavat tietojenkäsittelyn varmuudelle, käytettävyydelle, salassapidolle, laadulle ja toiminnan jatkuvuudelle sekä toimintaan kohdistuvien riskien arviointiin. Tietoturva-analyysilla selvitetään em. vaatimukset, arvioidaan riskit, niiden todennäköisyydet ja riskien toteutuessa aiheutuvat menetykset sekä vaihtoehtoisten turvallisuustoimien kustannukset/haitat. Samalla hahmotetaan taloudellisesti ja toiminnallisesti edullinen ratkaisu. Tietoturva-analyysi tehdään dokumentoituna myös muutettaessa oleellisesti toimintayksikön tietoteknistä toimintaympäristöä, esim. valmisteltaessa merkittävien järjestelmien käyttöönottoa tai muutettaessa ICT-palvelujen järjestämistapaa tai mikäli Siun soten johto katsoo sen tekemiseen olevan erityistä syytä. 7.2 Järjestelmän tai palvelun määritys Dokumentaation ajantasaisuus on tietoturvan toteutumisen kannalta avainasemassa. Kuvauksesta, jonka perusteella järjestelmä tai palvelu toteutetaan, tulee käydä ilmi myös se, mitkä tietoturvavaatimukset tietojenkäsittelylle asetetaan (varmistukset, tietosuoja, käytettävyys, pääsynvalvonta, käytönseuranta jne.) sekä ne vaatimukset, joita ulkopuoliset riippuvuudet ja liitynnät, sidosryhmät ja lainsäädäntö asettavat. Näiden vaatimusten muuttumista seurataan ja tarvittaessa päivitetään määrityksiä, suurempien muutosten osalta erillisellä analyysilla. Kuvaukset pidetään jatkuvasti ajan tasalla. Jos palvelu ulkoistetaan kolmannelle osapuolelle, tulee kolmannen osapuolen huolehtia palvelun dokumentoinnista. Ulkopuolinen toimija velvoitetaan toimittamaan tietoturvakuvaus palvelun käyttöönoton yhteydessä. Käytännössä on pyrittävä tilanteeseen, jossa järjestelmä- ja palveluryhmittäin on tietoturvan perussuunnitelmat/kuvaukset ja toipumissuunnitelmat, jolloin yksittäisissä määrityksissä puututaan vain näiden soveltamisen yksityiskohtiin ja erityiskysymyksiin. Siun soten tietoturvaratkaisut perustuvat osaltaan siihen, että järjestelmien ja palvelujen käyttöoikeuksia myönnetään vain henkilöille, jotka ovat kuntayhtymän palveluksessa tai jotka sopimuksen tai sitoumuksen mukaisesti ovat salassapito- ja tietosuojavelvoitteiden suhteen juridisesti samassa asemassa. Tästä poikkeamiset on otettava huomioon erikseen järjestelmän/palvelun määrityksessä ja toteutuksessa. 7.3 Tietoturvakoulutus Tietoturvakoulutus sisällytetään henkilökunnan muuhun koulutukseen ja järjestelmien käyttöönottokoulutuksiin. Tämän lisäksi annetaan erityiskoulutusta tietohallinnon henkilöstölle, tietojärjestelmien haltijoille ja pääkäyttäjille sekä rekisterin käyttäjille, erityisesti muutostilanteissa. Yleistä tietosuojaan ja tietoturvaan liittyvää koulutusta tarjotaan koko henkilöstölle.

12 (12) Tietoturvapolitiikka Ohjeet ja standardit Tietoturvatoiminnan yksityiskohdissa noudatetaan hyväksyttyjä, olemassa olevia ja tämän tietoturvapolitiikan toteuttamisen yhteydessä syntyviä/päivitettäviä tietoturvaohjeita ja tietoturvan standardeja sekä ns. hyvän rekisterinpidon vaatimuksia. Nämä liitetään soveltuvin osin dokumentaatioon samoin kuin toimintayksiköiden erityisohjeet. 8. TIETOTURVAN TOTEUTUMISEN SEURANTA JA VALVONTA Tietoturvan toteutumisen seuranta on osa Siun soten sisäistä valvontaa. Tätä osaa valvonnasta ohjaa tämä tietoturvapolitiikka ja säätelee tarkemmin tietoturvasuunnitelma ja -ohjeistus. Tietoturvajärjestelyjen ja seurantajärjestelmän kuvaus liitetään osaksi dokumentointia ja seurantaa toteutetaan jatkuvana prosessina koko organisaatiossa käyttäen sisäisiä ja ulkoisia auditointeja sekä muita vastaavia seurannan välineitä, kuten turvallisuusmittareita. Tietoturvapolitiikka on ylin osa tietoturvaohjeistuksen hierarkiassa, ja sitä päivitetään päälinjojen muuttuessa. Kaikkien tietojärjestelmien käyttäjien on raportoitava havaituista tietoturvaongelmista tai epäillyistä tietoturvaloukkauksista asianomaiselle henkilölle, jolle ko. asian tietoturva on vastuutettu (Ks. luku 5.) ja toiminnallisessa vastuussa olevalle esimiehelle. Tietohallintopäällikön ja turvallisuuspäällikön tehtävänä on vuosittain koostaa tiedot toteutuneista tietoturvatoimista ja tietoturvan muutoksista sekä niiden perusteella esitellä johdolle kuvaus tietoturvan tilasta. Seurannalla pyritään selvittämään ja mittaamaan, missä määrin tietoturvatoimilla saavutetaan haluttu vaikutus. Erityisesti klinikoihin, toimintayksiköihin ja liikelaitoksiin määritellyillä pääkäyttäjillä on raportointivelvollisuus henkilölle, jolle ko. asian tietoturva on vastuutettu. Edellä mainituilla henkilöillä on velvollisuus tehdä vastuullaan olevien tietojärjestelmien tietoturvan kartoituksia ja ryhtyä toimiin havaittujen tietoturvan heikkouksien parantamiseksi. Tietojärjestelmien haltijat raportoivat tietoturvaan liittyvistä havainnoista Siun soten turvallisuuspäällikölle. Tietoturvaa toteutetaan mm. seuraavilla ohjeilla, määräyksillä ja päätöksillä: Siun soten ja sidosryhmien työntekijöiden tietoturvaohjeet Turvallisuussopimus (ulkopuolisten toimijoiden kanssa) Tiedonohjauksen periaatteet ja tiedonohjaussunnitelma Tietoturvasuunnitelma Tietojärjestelmäluettelo ja Tietojärjestelmäkirja Potilasrekisterin tietosuojaohje Sosiaalihuollon rekisterin tietosuojaohje Asiakirjahallinnon ja arkistotoimen toimintaohje JHS 174