PÄIJÄT-HÄMEEN SOSIAALI- JA TERVEYSYHTYMÄN TIETOTURVALLISUUSPOLITIIKKA

Transkriptio

1 PÄIJÄT-HÄMEEN SOSIAALI- JA TERVEYSYHTYMÄN TIETOTURVALLISUUSPOLITIIKKA Kuntayhtymän hallitus 105 (kumoaa hallituksen päätöksen ) Yhteistyötoimikunta Kuntayhtymän johtoryhmä Tietoturvallisuuden johtoryhmä

2 Sisällys 1. Johdanto Säädösten ja muiden vaatimusten täyttäminen Tarkoitus, tavoite ja linjaukset Tietoturvallisuus osana kokonaisturvallisuutta Tärkeimmät hallinnolliset tietoturvallisuustoimet Perustana tietoturvalliset toimintatavat Säädökset ohjaavat tietoturvallisuuden ylläpitoa ja kehittämistä Tietojen turvallinen käsittely tietojärjestelmissä ja tietoverkoissa Tietoturvallisuusriskienhallinta ja toiminnan jatkuvuuden turvaaminen Tietoturvallisuusasioiden perehdytys, koulutus ja tiedottaminen Tärkeimmät tekniset tietoturvallisuustoimet Tietoturvapäivitykset ja käyttöturvallisuus Käyttäjähallinta Lokitiedot ja poikkeamaraportointi Tietoverkkojen valvonta ja käyttö Laitteiden ja ohjelmistojen käyttö Viestien ja dokumenttien välittäminen Suorituskyvyn ja käytettävyyden turvaaminen ICT-varautuminen Tärkeimmät fyysiset turvallisuustoimenpiteet Potilas- ja asiakasturvallisuus osana kokonaisturvallisuutta Valtuudet ja vastuut Tietoturvallisuus osana turvallisuustyön organisointia ja tehtäviä Tarkemmat linjaukset, käytännöt ja ohjeet Soveltaminen... 15

3 3 1. Johdanto Tämä tietoturvallisuuspolitiikka korvaa Päijät-Hämeen sosiaali- ja terveydenhuollon kuntayhtymän keväällä 2009 voimaan astuneen tietoturvapolitiikan (kuntayhtymän hallituksen päätös ). Uusi tietoturvallisuuspolitiikka muodostaa tietoturvallisuusasioita linjaavan kokonaisuuden ilman erillisiä tietoturva- tai tietosuojapolitiikoita. Tietojen turvaaminen ja suojaaminen on olennainen osa kuntayhtymän toiminnan turvallisuutta. Turvattavia tietoja ovat sekä manuaalisessa että sähköisessä muodossa olevat tiedot. Tietojärjestelmät tukevat merkittävässä määrin yhtymän toimintaa sen tuottaessa erikoissairaanhoidon, perusterveydenhuollon, sosiaalitoimen ja ympäristöterveydenhuollon palveluja. Erityistä huomiota kiinnitetään sosiaali- ja terveysyhtymän toiminnan kannalta kriittisiin potilas- ja asiakastietojärjestelmiin sekä niiden sisältämiin tietoihin. Tietoturvan ja tietosuojan kehittäminen on osa laatutyötä sekä laajempaa turvallisuuden kehittämistä, mihin kokonaisuuteen kuuluu fyysisen turvallisuuden, potilas- ja asiakasturvallisuuden sekä työhyvinvoinnin kehittäminen. 1.1 Säädösten ja muiden vaatimusten täyttäminen Kuntayhtymän toiminnassa noudatetaan hyvää tietojenkäsittelytapaa niin, että tietoturvan ja tietosuojan varmistuminen lakien ja asetuksien mukaisesti toteutuu. Yhtymän työntekijän tulee noudattaa annettua ohjeistusta ja opastusta työtehtäviensä hoitamisessa. Jokainen yhtymän työntekijä on vastuussa omalta osaltaan tietoturvallisuuden toteutumisesta. Lähtökohtana on, että jokainen vain päivänkin yhtymässä työskentelevä työntekijä allekirjoittaa tietoturva- ja tietosuojasitoumuksen. Tietoturvallisuustoimilla vähennetään ja ennaltaehkäistään tietoturvallisuusriskien syntyminen, varmistetaan tietojen saatavuus poikkeuksellisissa olosuhteissa, toiminnan jatkuvuus, asiakkaiden ja potilaiden oikeusturva sekä yksityisyyden suoja lainsäädännön ja muiden määräysten edellyttämällä tavalla. Lisäksi varmistetaan tietojen oikeellisuus ja luotettavuus sekä se, että asianosaiset ovat tiedostaneet tietoturvan merkityksen.

4 4 1.2 Tarkoitus, tavoite ja linjaukset Tietoturvallisuustoimien tarkoituksena on estää tietojen luvaton käyttö ja haltuunotto. Tietoturvallisuustoimia ovat myös varautuminen, suojautuminen, toipuminen sekä tahattomien vahinkojen ennalta ehkäisy. Sosiaali- ja terveysyhtymässä käsiteltävät asiakas- ja potilastiedot ovat luottamuksellisia, arkaluonteisia sekä salassa pidettäviä. Niiden huolellisella käsittelyllä ja suojaamisella taataan säädösten mukainen yksityisyyden suoja. Tietoturvallisuustoiminnan tavoitteena on vastata siitä, että tieto on oikeaan aikaan, oikeassa paikassa ja oikean muotoisena niiden henkilöiden käytettävissä, joilla on siihen laillinen työtehtävänsä antama valtuutus. Tiedon saatavuudella ja käytettävyydellä tarkoitetaan, että tieto on tallennettu sellaisessa muodossa, että se on luettavissa, ymmärrettävissä ja tulkittavissa oikein. Lisäksi tiedon on oltava kattavaa, ajantasaista, oikeellista ja helposti käytettävissä ilman tulkinta- ja väärinkäyttömahdollisuutta. Tavoitteena on, että Päijät-Hämeen sosiaali- ja terveysyhtymä on tietoturvallinen organisaatio, joka mahdollistaa tiedon luotettavan ja turvallisen hallinnan sekä välityksen kaikille osapuolille. Tietoturvallista organisaatiota rakennetaan eri toimijoiden välisessä yhteistyössä kokonaisturvallisuuden varmistamiseksi. Tämän päämäärän saavuttamiseksi linjataan: - yhtymässä panostetaan läpinäkyvään ja avoimeen turvallisuuskulttuuriin - yhtymässä panostetaan henkilöstön osaamisen kehittämiseen turvallisuusasioissa. Uudet työntekijät perehdytetään yhtymän turvallisuuskulttuuriin. Henkilöstön tietoturvallisuustietoisuuden kehittäminen on jatkuvaa. Valistamisessa keskitytään siihen, että kaikki ymmärtävät oman merkityksensä, tehtävänsä ja roolinsa prosesseissa sekä velvollisuutensa tietoturvallisuuden ylläpidossa - yhtymän ylin johto sitoutuu kokonaisvaltaiseen turvallisuuden ylläpitoon ja jatkuvaan kehittämiseen - turvallisuustyöhön resursoidaan riittävästi - turvallisuustyö on osa johtamista kaikilla johtamisen tasoilla - turvallisuustyötä johdetaan ja koordinoidaan erityisasiantuntijatehtävien kautta. Näitä ovat potilasturvallisuuskoordinaattori, tietosuojavastaava, tietoturvapäällikkö, turvallisuuspäällikkö, työhyvinvointipäällikkö ja työsuojeluvaltuutetut. Turvallisuustyötä tehdään aktiivisessa yhteistyössä koko henkilöstön kanssa ottaen erityisesti huomioon rekisterinpitäjien, tietohallinnon, arkistotoimen, yhtymän johdon ja lähiesimiesten näkemykset

5 5 - turvallisuustyötä ohjataan ja käsitellään säännöllisesti eri johtoelimissä: tietoturvallisuuden johtoryhmässä, potilasturvallisuuden ja laadunhallinnan johtoryhmässä, tietohallinnon johtoryhmässä, työsuojelutoimikunnassa sekä yhtymän johtoryhmissä - tietoturvallisuutta toteutetaan kaikilla tasoilla niin, että se on mukana ja se näkyy kaikessa toiminnassa. Varsinaisen oman toiminnan lisäksi sekä arkistotoimella että tietohallinnolla on yhteisenä tavoitteena tietojen saatavuuden ja käytettävyyden turvaaminen - tietojen luottamuksellisuuden, eheyden ja saatavuuden vaatimus toteutuu kaikessa tietojenkäsittelyssä, mikä mahdollistaa tietoturvallisen asioinnin ja tietojen käytön. 2. Tietoturvallisuus osana kokonaisturvallisuutta Tietoturvallisuus on laaja toiminnallinen kokonaisuus, jonka keskeisimmät turvallisuustekijät liittyvät ihmisten toimintaan. Tietoturvallisuuden vaikutukset ulottuvat koko organisaatioon. Tietoturvallisuuden ylläpitäminen on jatkuvaa toimintaa, jota toteutetaan hallinnollisten, fyysisten ja teknisten ratkaisujen avulla. Käyttäjien toimintaa ohjataan valistuksella ja koulutuksella, säännöillä, suosituksilla sekä ohjeilla. 2.1 Tärkeimmät hallinnolliset tietoturvallisuustoimet Perustana tietoturvalliset toimintatavat Tietoturvalliset toimintatavat, tietoturvallisuuden kehittäminen ja ylläpito ovat osa sosiaali- ja terveysyhtymän kokonaisturvallisuustoimintaa, riskien hallintaa sekä sisäistä valvontaa. Tietoturvallisuus on sosiaali- ja terveydenhuollon kriittinen tekijä; asiakkaan ja potilaan on voitava ehdottomasti luottaa tietojensa tietosuojaan. Tämä luottamus on palvelutoiminnan kulmakivi. Sosiaali- ja terveysyhtymän kaikessa toiminnassa tulee luoda asiakkaille, potilaille ja henkilöstölle luottamus siitä, että salassapito- ja vaitiolovelvollisuus sekä yksityisyyden suoja toteutuvat säädösten mukaisesti. Lisäksi tietoja tulee käsitellä kaikissa vaiheissa huolellisesti ja asianmukaisesti. Yhtä lailla on huolehdittava tietosuojattavan materiaalin asianmukaisesta hävittämisestä.

6 Säädökset ohjaavat tietoturvallisuuden ylläpitoa ja kehittämistä Sosiaali- ja terveysyhtymän tietoturvallisuuden kehittäminen tapahtuu kansallisten ja kansainvälisten tietoturvallisuutta koskevien lakien ja asetusten pohjalta sekä erilaisia tietoturvallisuudesta annettuja ohjeita ja suosituksia noudattaen. Sosiaali- ja terveysyhtymän toimintaa ohjaavat mm. tietosuojasäädökset sekä joukko muita lakeja, säädöksiä, ohjeita ja standardeja. Tietoturvallisuutta koskevat määräykset ovat keskeisiä ja velvoittavia. Velvoitteissa korostetaan salassapidon, vaitiolovelvollisuuden ja yksityisyyden suojan toteutumista sekä tietoturvallisuuden, tietosuojan, hyvän tietojenkäsittelytavan ja laadun merkitystä. Lainsäädäntöä ja ohjeistusta seurataan jatkuvasti. Muutosten vaikutus otetaan huomioon sosiaali- ja terveysyhtymän tietoturvallisuuden ylläpidossa ja kehittämisessä Tietojen turvallinen käsittely tietojärjestelmissä ja tietoverkoissa Sosiaali- ja terveysyhtymän tiedot, tietojenkäsittelyjärjestelmät ja -palvelut pidetään asianmukaisesti suojattuina sekä normaali- että poikkeusoloissa hallinnollisten, teknisten sekä fyysisten turvallisuustoimenpiteiden avulla. Sosiaali- ja terveysyhtymän toiminnalle tärkeiden tietojärjestelmien ja tietoverkkojen keskeytymätön toiminta turvataan, estetään tietojen ja tietojärjestelmien joutuminen vääriin käsiin, estetään valtuudeton käyttö, tahaton tai tahallinen tiedon tuhoutuminen tai vääristyminen. Mahdollisesti aiheutuvat vahingot minimoidaan ja suhteutetaan niistä aiheutuviin kustannuksiin. Yhtä lailla varaudutaan normaaliajan toiminnan tietojenkäsittelyn turvaamisen lisäksi toiminnan keskeytyksiin ja niistä toipumiseen. Sosiaali- ja terveysyhtymässä on käytössä tietojärjestelmien kriittisyysluokitus. Jokaisella tietojärjestelmällä tai sen osalla on oltava yksikäsitteinen omistaja ja haltija. Tietojärjestelmän omistaja vastaa järjestelmänsä tietoturvallisuuden toteutumisesta. Tietoaineistojen luokitteluvastuu on aineiston laatijalla, ellei lainsäädännöstä muuta johdu. Tietoturvallisuuden toteuttamista ohjaavat dokumentit ovat vahvistettuja ja asianomaisten kohderyhmien saatavilla. Potilaiden sekä asiakkaiden informointi tietojen käytöstä ja laadinnasta hoidetaan lakien, asetusten ja viranomaisohjeiden mukaisesti. Informoinnista, suostumuksista ja kielloista tehdään asianmukaiset merkinnät tietojärjestelmiin ja asiakirjoihin.

7 Tietoturvallisuusriskienhallinta ja toiminnan jatkuvuuden turvaaminen Riskienhallintaa tehdään johdon linjaamalla tavalla osana normaalia toimintaa. Johdon tehtävänä on määritellä, ohjata ja seurata ajan- ja asianmukaista riskienhallintatyötä. Riskienhallintaan kuuluu riskien kartoitukset, arvioinnit sekä toimeenpanosuunnitelmat havaittujen riskien vähentämiseksi. Sisäinen tarkastus tukee johtoa velvoitteiden toteuttamiseksi. Kriittisten tilanteiden ennaltaehkäisemiseksi osana riskienhallintaa on toiminnan jatkuvuuden hallinta, johon sisältyy turvamekanismit riskien havaitsemiseen ja vähentämiseen. Hallittu toiminnan jatkuvuuden turvaaminen vähentää onnettomuuksien ja turvallisuushäiriöiden (esim. luonnonmullistukset, onnettomuudet, laiteviat ja ilkivalta) aiheuttamia keskeytyksiä. Valmius- ja jatkuvuussuunnitelmat varmistavat sen, että normaalit toimintaprosessit saadaan palautettua takaisin ennalta määritellyssä vaaditussa ajassa. Suunnitelmia ylläpidetään ja harjoitellaan säännöllisesti. Arvioinneilla ja suunnitelmien päivityksillä varmistetaan jatkuvuussuunnitelmien tehokkuus ja ajanmukaisuus. Osana toiminnan jatkuvuuden turvaamista on ydintoiminnan tarpeista lähtevä varautuminen tietoteknisten ratkaisuiden osalta (ICT-varautuminen, luku 2.2.8) Tietoturvallisuusasioiden perehdytys, koulutus ja tiedottaminen Sosiaali- ja terveysyhtymässä panostetaan jatkuvaan ja säännölliseen tietoturvallisuusasioiden perehdyttämiseen ja kouluttamiseen. Tietoturvallisuusviestiä viedään aktiivisesti ja vuorovaikutteisesti eteenpäin toimintayksikkötasolle. Yhtymässä toimii tietoturva- ja tietosuojakoulutuksia valmisteleva ja toteuttava taho, tietoturvan koulutustyöryhmä. Tietoturvapäällikön ja tietosuojavastaavan tehtäviin kuuluu tietoturvallisuuskoulutusten koordinointi, toteuttaminen ja kehittäminen. Tietoturvallisuusasioita käsitellään yhtymän eri toimialoilla erilaisissa kokouksissa ja tilaisuuksissa, muun muassa henkilöstön työpaikkakokouksissa, infotilaisuuksissa, hanke- ja projektiryhmissä sekä johto- ja ohjausryhmissä. Sosiaali- ja terveysyhtymän toiminnasta vastuussa oleville tahoille, kuntayhtymän johtajalle ja yhtymän tulosryhmien johtajille kuuluu vastuu tiedottamisesta, myös tietoturvallisuutta koskevista asioista. Tietoturvallisuuteen liittyvien asioiden tiedottaminen tehdään kulloinkin yhdessä sovittavalla tavalla toimivan johdon, rekisterinpitäjän, tietoturvapäällikön, tietosuojavastaavan ja tietojärjestelmäjohtajan kanssa.

8 8 2.2 Tärkeimmät tekniset tietoturvallisuustoimet Tietoturvapäivitykset ja käyttöturvallisuus Kriittisten komponenttien, palvelinten, työasemien, käyttöjärjestelmien sekä ohjelmistojen tietoturvapäivityksiä varten on olemassa omat suunnitelmat ja toimintaohjeet. Käyttöturvallisuudella luodaan ja ylläpidetään tietotekniikan turvallisen käytön vaatimat toimintaolosuhteet huolehtimalla tekniikan toimivuuden valvonnasta, käyttöoikeuksista, käytön ja lokien valvonnasta, ohjelmistotukeen, ylläpito-, kehittämis- ja huoltotoimintoihin liittyvistä turvallisuustoimenpiteistä, varmuus- ja suojakopioinnista sekä häiriöraportoinnista Käyttäjähallinta Tietojärjestelmien käyttäjähallinta rakentuu henkilötietojen hallinnasta, käyttöoikeuksien ja pääsynhallinnasta, tunnistamisesta, käyttöoikeuksien jakamisesta sekä käyttöoikeuksien seurannasta. Käyttäjähallintaan kuuluvat organisaatiossa yhteisesti sovitut toimintatavat, joiden perusteella tietojärjestelmien käyttöoikeuksia määritellään, luodaan, ylläpidetään ja hyödynnetään. Käyttäjähallinta perustuu henkilön asemaan organisaatiossa, roolimäärityksiin, lupiin ja kieltoihin. Tietojärjestelmän käyttäjälle myönnetään tehtävän vaatimat oikeudet tietojärjestelmiin. Esimies vastaa henkilöstönsä käyttöoikeuksien hallinnoinnista, niiden myöntämisestä, muuttamisesta ja poistamisesta. Käyttäjähallinnan toteuttamisen apuna yhtymässä käytetään IDM-järjestelmää Lokitiedot ja poikkeamaraportointi Potilas- ja asiakastietojärjestelmiin liittyviä lokitietoja säilytetään asianmukaisesti lakien ja asetusten edellyttämällä tavalla. Potilas- ja asiakastietojärjestelmien käyttöä valvotaan säännöllisesti, pistokokein sekä selvityspyyntöjen perusteella määritellyn prosessin mukaisesti tietosuojavastaavan ja rekisterinpitäjien välisessä yhteistyössä. Valvonnassa voidaan hyödyntää lokienhallintajärjestelmiä tai vastaavia automatisoituja ratkaisuja. Myös muiden operatiivisten, toiminnan kannalta oleellisten ja kriittisten järjestelmien käyttöä valvotaan, muun muassa talous- ja henkilöstöhallinnon järjestelmien asianmukaista käyttöä. Julkisuuslainmukaisen valitusprosessin aikana lokitietoja ei saa tuhota säilytysajan päättyessä. Tietoturvapoikkeamista, haitallisista ja toimintaa vaarantavista tapahtumista raportoidaan kaikilla tasoilla viivytyksettä. Kaikki merkittävät haitalliset tapahtumat kirjataan tulevien kehittämistoimien perustaksi. Myös ns. läheltä piti - tapaukset rekisteröidään.

9 9 Onnettomuuksien, turvallisuusrikkomusten ja palvelujen keskeytysten seuraukset analysoidaan. Haitallisista tietoturva- ja suojatapahtumista kerätään säännöllisesti ajan tasalla olevaa tietoa yhdyshenkilöverkoston ja teknisten valvontatietojen avulla. Tietojen pohjalta muodostettu tilannekuva havainnollistaa tietoturvapoikkeamatilanteen ja sen aiheuttamat vaikutukset. Tilannekuva toimii perustana riskianalyyseissä tulevien tietoturvatoimien suunnittelussa ja priorisoinnissa Tietoverkkojen valvonta ja käyttö Sosiaali- ja terveysyhtymän tietoverkkojen käyttöä hallitaan ja valvotaan teknisesti yhtymän päivittäisen toiminnan turvaamiseksi sähköisen viestinnän tietosuojalain asettamien reunaehtojen ja toimintatapojen mukaisesti. Valvonta on säännöllistä. Internet-liikenteessä etusijalla ovat potilas- ja asiakastietojärjestelmät sekä päivittäiseen toimintaan liittyvät muut operatiiviset tietojärjestelmät. Etäyhteyksien käyttö mahdollistetaan tarvittaessa VPN- tai muilla vastaavilla tietoturvallisilla tietoliikenneratkaisuilla. Kaikenlainen toimintaa tai yksityisyyttä vaarantava haittaliikenne estetään. Internetin käyttämisestä on annettu henkilöstölle ohjeet. Ohjeita päivitetään tarpeen mukaan. Internetin käyttöön liittyviä asioita linjataan muun muassa internetin ja sosiaalisen median käyttöpolitiikoissa Laitteiden ja ohjelmistojen käyttö Sosiaali- ja terveysyhtymässä käytetään työnantajan osoittamia kiinteitä tai liikuteltavia tietokonelaitteita, ohjelmistoja ja tietoteknisiä ratkaisuja. Omien laitteiden kytkeminen yhtymän verkkoon on kielletty. Älypuhelimien ja tablettitietokoneiden osalta suositaan sellaisia laitemalleja ja ratkaisuja, jotka on yleisesti tunnettu ja tiedetty tarjolla olevien vaihtoehtojen joukossa tietoturvallisimmiksi. Tilannetta seurataan säännöllisesti, kulloinkin tuettavista vaihtoehdoista päättää tietohallinto tietojärjestelmäjohtajan johdolla. Mobiililaitteiden ylläpitoa hoidetaan turvallisilla etähallintaratkaisuilla Viestien ja dokumenttien välittäminen Sähköpostin käyttämisestä on annettu henkilöstölle ohjeet. Viestit ja dokumentit välitetään tarvittavin salausmenettelyin riippuen viestissä olevan tiedon sisällön luonteesta. Viestinvälityksen tietosuojaa koskevat vaatimukset ja vastuut on määritelty yhtymän ja eri toimijoiden välisissä sopimuksissa. Sähköpostin käyttäminen henkilötietojen välittämiseen on kielletty. Potilas- ja asiakastietojen käsittelyä varten on omat tietojärjestelmänsä rajattuine ja työtehtävien vaatimine käyttöoikeuksineen. Potilas- ja asiakasrajapinnassa panostetaan tietoturvallisiin sähköisen asioinnin toimintatapoihin, ratkaisuihin ja palveluihin.

10 Suorituskyvyn ja käytettävyyden turvaaminen Sosiaali- ja terveysyhtymän päivittäisessä toiminnassa käytettävien tietojärjestelmien ja tietoverkkojen tekninen toimivuus sekä käytettävyys turvataan toiminnan varmistamiseksi tietoturvallisella tavalla. Teknisen kapasiteetin riittävyyttä ja tarkoituksenmukaisuutta arvioidaan säännöllisesti. Potilas- ja asiakastietojärjestelmien sekä muiden toiminnan kannalta kriittisten operatiivisten järjestelmien käytettävyyttä ja ylläpidettävyyttä seurataan aktiivisesti sekä käydään säännöllistä vuoropuhelua kehittämistarpeista järjestelmätoimittajien kanssa. Toimintaa vaarantavat puutteet jonkun tietojärjestelmän käytettävyydessä voivat aiheuttaa hetkellisiä käyttökatkoja, käyttökieltoja tai äärimmäisissä tapauksissa siirtymistä osittain vanhoihin sähköisiin tai kokonaan manuaalisiin toimintatapoihin. Vakavat puutteet jonkin järjestelmän käytettävyydessä voivat aloittaa valmisteluprosessin kyseisen järjestelmän vaihtamiseksi toiseen vastaavanlaiseen järjestelmään ICT-varautuminen Normaaleja, mutta poikkeuksellisia tilanteita, kuten suuronnettomuuksia sekä varsinaisia poikkeus- ja kriisitilanteita varten huolehditaan tietoteknisten ratkaisujen varmistamisesta ja toimimisesta näissä poikkeavissa olosuhteissa. ICT 1 - varautumisen osalta ylläpidetään ajantasaista suunnitelmaa, jossa otetaan huomioon varautumiseen liittyvät toimenpiteet niin itse hoidettavien kuin ulkoistettujen tietojärjestelmä- ja teknisten palveluiden osalta. Varautumissuunnitelmassa otetaan myös huomioon hallinnolliset ja viestinnälliset toimenpiteet, joita poikkeuksellisen tilanteen hoitaminen edellyttää sujuvan ja katkottoman toiminnan varmistamiseksi. 2.3 Tärkeimmät fyysiset turvallisuustoimenpiteet Fyysisillä turvallisuustoimenpiteillä on välitöntä tai välillistä vaikutusta tietoturvallisuuden toteutumiseen. Fyysisin turvallisuustoimenpitein luodaan ja ylläpidetään tietotekniikan vaatiman käyttöympäristön toimintaolosuhteet, millä varmistetaan tietoteknisten järjestelmien toiminta. Fyysisillä turvallisuustoimenpiteillä suojataan ja valvotaan yhtymän kiinteistöjä, niiden erikoistiloja ja laite- yms. tiloja luvattomia tai rikollisia toimia vastaan sekä onnettomuuksilta (mm. paloturvallisuus) että luonnontuhoilta. Yhtä lailla fyysisillä turvallisuustoimenpiteillä turvataan perusinfrastruktuuriin liittyvät asiat, toiminnan mahdollistajat, kuten esimerkiksi sähkön ja veden saanti, lämmitys, ilmanvaihto ja ilmastointi. Myös rakennustekniset ratkaisut vaikuttavat omalta osaltaan kokonaisturvallisuuden muodostumiseen. Fyysisen turvallisuuteen liittyviä varmistusjärjestelmiä ja vastaavia testataan säännöllisesti. 1 ICT = Tietotekniikka, informaatioteknologia engl. information and communications technology (lähde: viitattu )

11 Potilas- ja asiakasturvallisuus osana kokonaisturvallisuutta Päijät-Hämeen sosiaali- ja terveysyhtymässä panostetaan aktiivisesti hyvän potilasja asiakasturvallisuuden jatkuvaan ylläpitoon ja kehittämiseen. Potilasturvallisuus on osa hoidon laatua. Tavoitteena on potilasturvallisuuden jatkuva kehittäminen siten, että estettävissä olevia vaaratilanteita ei tapahdu ja yhdellekään potilaalle ei aiheudu hoitoprosessin poikkeamasta johtuvaa haittaa, joka olisi estettävissä. Fyysisen turvallisuusympäristön, käytössä olevien tietojärjestelmien ja tietoteknisten ratkaisujen, tietoturvan ja tietosuojan sekä henkilöstön työhyvinvoinnin ja työsuojelun hoitaminen huolellisella ja asianmukaisella tavalla luo pohjaa laadukkaalle potilas- ja asiakasturvallisuudelle.

12 12 3. Valtuudet ja vastuut Tietojen turvaaminen ja suojaaminen on osa Päijät-Hämeen sosiaali- ja terveysyhtymän johtamistoimintaa. Turvallisuuteen liittyviä käytännön tehtäviä on syyskuussa 2012 organisoitu alla esitetyn kuvan mukaisesti.

13 Tietoturvallisuus osana turvallisuustyön organisointia ja tehtäviä Kuntayhtymän hallitus hyväksyy tietoturvallisuuspolitiikan. Kuntayhtymän johtaja vastaa tietoturvallisuuden yleisestä järjestämisestä siten, että turvallisuustyöllä on olemassa riittävät resurssit politiikan mukaisten tehtävien hoitamiseen. Turvallisuustyötä johtaa kuntayhtymän johtaja ja linjajohto johtosäännöissä todettujen periaatteiden mukaisesti. Turvallisuustyön johtaminen on osa palvelutuotannon johtamista kaikilla johtamisen tasoilla. Turvallisuuspalveluita tuottaa turvallisuusyksikkö turvallisuuspäällikön johdolla. Turvallisuusyksikkö vastaa fyysisten turvallisuustoimenpiteiden (luku 2.3) toteutumisesta yhtymässä yhdessä tulosryhmien kanssa. Turvallisuusyksikkö on keskeisessä roolissa yhtymän kokonaisvaltaisen turvallisuuskulttuurin rakentamisessa, ylläpitämisessä ja jatkuvassa kehittämisessä. Tulosryhmän toiminnasta vastaavat sekä tulosalueiden ja -yksiköiden esimiehet vastaavat osaltaan tietoturvallisuuden toteuttamisesta omissa yksiköissään. Henkilörekisterilain mukaisesta rekisterihallinnosta on annettu ohje. Rekisterinpitäjien edustajat (tietojärjestelmien omistajat rekistereineen) vastaavat tietoturvan ja tietosuojan toteutumisesta jokaisen rekisterin osalta. Tietoturvapäällikkö vastaa yhtymän tietoturvallisuuden (tietoturvan ja tietosuojan) johtamisesta ja kehittämisestä. Tietoturvapäällikön tehtävänä on ohjata ja valvoa yhtymän tietoturvapolitiikan toteutumista. Tietoturvapäällikkö toimii myös tietosuojavastaavana, jonka tehtävänä on auttaa rekisterinpitäjää saavuttamaan hyvän henkilötietojen käsittelytavan ja korkean tietosuojan tason. Tietosuojavastaava on kuntayhtymän tietosuojan erityisasiantuntija ja antaa asiantuntija-apua sekä henkilöstölle että johdolle. Tietosuojavastaava voi tarvittaessa konsultoida yhtymän lakimiestä tietoturvallisuuteen liittyvissä kysymyksissä. Tietoturvallisuuden johtoryhmän tehtävänä yhtymässä on tietoturvan ja tietosuojan varmistaminen lakeja ja asetuksia noudattaen ohjata ja koordinoida tietoturvan ja tietosuojan seurantaa ja kehittämistä ohjata ja koordinoida tietoturvallisuuden riskienhallintaa ottaa kantaa, linjata ja ohjeistaa tietoturvallisuusasioissa varmistaa henkilöstön tietoturvallisuusosaaminen raportoida yhtymän johtoryhmille tietoturvallisuusasioista. Tietoturvan koulutustyöryhmä on tietoturvallisuuskoulutuksia valmisteleva ja toteuttava taho tietoturvallisuuden johtoryhmän alaisuudessa. Tietoturvallisuuden kehittäminen on osa henkilöstön osaamisen kehittämistä. Tietoturvallisuuteen liittyvät koulutusasiat voidaan tarvittaessa jatkossa organisoida myös muulle vastaavalle turvallisuusasioita kehittävälle ryhmälle.

14 14 Tietojärjestelmäjohtaja tietohallinnon eli tietojärjestelmäpalveluiden esimiehenä vastaa tietojärjestelmien operatiivisesta toiminnasta tietoturvallisella tavalla. Tekninen johtaja teknisten palveluiden esimiehenä vastaa tietoliikennehuollon ja muun tekniikan järjestämisestä tietoturvallisella tavalla. Tietohallinnon johtoryhmän tehtävänä yhtymässä on yhteen sovittaa yhtymän strategiat tietojärjestelmästrategioihin ylläpitää kokonaiskuvaa ICT -hankkeista ja -yhteistyöstä (RoadMap) vastata yhtymän tietohallinnon ohjauksesta tietohallintolain mukaisesti valvoa, linjata ja yhteen sovittaa ICT -hankkeita, -yhteistyötä ja -projekteja valvoa osaltaan laeissa määrättyjen yleisten ja toimialakohtaisten asetusten ja suositusten noudattamista valmistella ICT -investointiesitys seurata ICT -investointien ja -hankkeiden lopputulosta sekä kustannusten ja hinnoittelun kehittymistä raportoida yhtymän johtoryhmille ICT -hankkeiden tilasta. Potilasturvallisuuskoordinaattori koordinoi potilasturvallisuuden edistämistä, turvallisen lääkehoidon kehittämistä sekä haittatapahtumien ja asiakaspalautteiden raportoinnin, seurannan ja käsittelyn kehittämistä. Potilasturvallisuuden ja laadunhallinnan johtoryhmän tehtävänä yhtymässä on laatia yhtymälle potilasturvallisuussuunnitelma, joka sisältää STM:n strategiset linjaukset sekä toimenpano- ja seurantasuunnitelman ohjata ja seurata potilasturvallisuusstrategian toimeenpanoa sekä sitä tukevia laadunhallinnan linjauksia ja kehitystä päättää vakavien haittatapahtumien käsittelyjärjestelmän käyttöönotosta sekä ohjata ja seurata sen toimeenpanon valmistelua arvioida haittatapahtumien ehkäisemiseksi tehtyjen toimenpiteiden riittävyyttä ja mahdollistaa osaltaan riittävä resursointi arvioida haittatapahtumien ehkäisemiseksi tehtyjen toimenpiteiden riittävyyttä ja mahdollistaa osaltaan riittävä resursointi. Turvallinen lääkehoito -työryhmän tavoitteena on vastata turvallisen lääkehoidon toteuttamisesta sosiaali- ja terveysyhtymässä. Työryhmän tehtävänä on yhtymän lääkehoitosuunnitelman päivittäminen vuosittain lääkehuollon toimintatapojen yhtenäistäminen lääkehoidon osaamisen varmistaminen lääkehuollon turvallisuuden varmistaminen lääkehoitoon liittyvien vaaratapahtumien ennaltaehkäiseminen.

15 15 Työsuojelun päämääränä on varmistaa henkilöstölle terveellinen, turvallinen ja viihtyisä työympäristö, joka luo edellytykset tulokselliselle toiminnalle. Työsuojelutoiminnalla pyritään ennalta poistamaan työstä ja työympäristöstä työntekijän terveyttä ja turvallisuutta uhkaavia riskitekijöitä. Työsuojelu on osa päätöksentekoa, johtamista ja käytännön työtä sekä kehittämis- ja henkilöstöpolitiikkaa. 3.2 Tarkemmat linjaukset, käytännöt ja ohjeet Tietoturvallisuuspolitiikassa esitetään ne yleiset periaatteet, joita sosiaali- ja terveysyhtymässä tulee noudattaa kaikessa tietojen käsittelyssä. Tarkentavat linjaukset ja periaatteet, käytännöt sekä yksityiskohtaiset ohjeet esitetään tietoturvallisuutta tarkentavissa politiikoissa, sitoumuksissa, tietoturva- ja tietosuojaohjeissa, kehittämissuunnitelmissa, jatkuvuussuunnitelmissa, tiedonohjaussuunnitelmassa sekä arkistotoimen ohjeissa. Yhtä lailla huomioon otettavaa kokonaisturvallisuuteen liittyvää ohjeistusta ovat tietojärjestelmäpalveluiden ja tekniikan sisäiset toimintaohjeet, yleiset turvallisuusohjeet, potilas- ja asiakasturvallisuuteen liittyvät toimintaohjeet ja työsuojeluohjeet, jotka kaikki omalta osaltaan vaikuttavat tietoturvallisuuden toteuttamiseen ja toteutumiseen. Samoin yhtymän eri toimialojen ja tukipalveluiden toimintaan liittyvä ohjeistus ja menettelytavat vaikuttavat omalta osaltaan kokonaisturvallisuuden muodostumiseen. 4. Soveltaminen Tietoturvallisuuspolitiikkaa ja siihen liittyviä linjauksia, käytäntöjä ja ohjeita noudatetaan kaikessa toiminnassa ja ne koskevat kaikkia Päijät-Hämeen sosiaali- ja terveysyhtymän palveluksessa olevia henkilöitä sekä luottamushenkilöstöä. Niitä noudatetaan myös kaikessa toiminnassa sosiaali- ja terveysyhtymän ulkopuolisten yhteistyökumppaneiden kanssa. Tietoturvallisuuteen liittyviä määrityksiä tarkistetaan ja arvioidaan vähintään vuosittain tai suurten muutosten yhteydessä. Kuntayhtymän hallitus hyväksyy sosiaali- ja terveysyhtymän tietoturvallisuuspolitiikan. Tietoturvallisuuteen liittyvät tarkentavat asiakirjat, suunnitelmat, käytännöt, ohjeet ym. käsitellään tietoturvallisuuden johtoryhmässä sekä yhtymän johtoryhmissä. Tarvittaessa asioita viedään tietohallinnon sekä potilasturvallisuuden ja laadunhallinnan johtoryhmiin. Tarvittaessa informoidaan yhtymän hallitusta. Tietoturvallisuuden kehittämistoimenpiteet ovat osa normaalia toiminnan ja talouden suunnittelua. Mikäli tietoturvallisuusdokumenttien muuttamisesta aiheutuu merkittäviä muutoksia tietoturvallisuuspolitiikkaan, viedään tällöin asia kuntayhtymän hallituksen käsittelyyn.

16 16 Sosiaali- ja terveysyhtymän hallituksen hyväksymä kirjallinen tietoturvallisuuspolitiikka (tämä asiakirja) saatetaan tiedoksi jokaiselle sosiaali- ja terveysyhtymän työntekijälle ja tietojärjestelmien käyttäjälle. Politiikan toimeenpano perustuu kulloinkin voimassa olevaan tietoturvallisuuden kehittämissuunnitelmaan. Tietoturvallisuuden toteutuminen varmennetaan vuosittain toimintakertomukseen tulevalla maininnalla suoritetuista toimenpiteistä. Tietoturvallisuuspolitiikka on voimassa toistaiseksi.