Tietosuoja- ja tietoturvapolitiikka

Transkriptio

1 Tietosuoja- ja tietoturvapolitiikka Johtoryhmä Johtoryhmä Yhtymähallitus

2 2 (8) Versiohistoria: Versio Pvm: Laatija: Kommentit: Navicre Oy Katselmoitavaksi Kaija-Leena Virsiheimo johtoryhmän korjaukset Kaija-Leena Virsiheimo johtoryhmän käsittelyyn

3 3 (8) Sisältö 1. JOHDANTO TIETOSUOJA- JA TIETOTURVATOIMIEN TAVOITTEET TIETOJEN SÄILYTYKSEN JA LUOVUTUKSEN PERIAATTEET TOIMINNAN JATKUVUUDEN TURVAAMINEN TOIMINNAN JATKUVUUSSUUNNITTELU TIETOJÄRJESTELMIEN KÄYTTÖ JA TIETOJENKÄSITTELYN TURVALLISUUS SALASSAPITOVELVOLLISUUDET JA TIEDONSAANTIOIKEUDET TIETOTURVATYÖN ORGANISOINTI JA VASTUUT VASTUU TIETOJEN SUOJAUKSESTA TIETOTURVAN JA TIETOSUOJAN SEURANTA JA VALVONTA KOULUTUS JA OHJEISTUS POLITIIKAN SOVELTAMINEN, LAAJUUS SEKÄ KOLMANNET OSAPUOLET LAIT JA ASETUKSET RIKKOMUKSET JA NIIDEN KÄSITTELY... 8

4 4 (8) 1. Johdanto Tämä asiakirja on Raahen seudun hyvinvointikuntayhtymän tietosuoja- ja tietoturvapolitiikka. Tietosuoja- ja tietoturvapolitiikassa kuvataan ne tietosuoja- ja tietoturvaperiaatteet, joita organisaation kaikessa toiminnassa noudatetaan. Tietosuoja- ja tietoturvapolitiikka toimii ylimpänä ohjaavana dokumenttina tietosuojaan ja tietoturvaan liittyen. Raahen seudun hyvinvointikuntayhtymän yhtymähallitus on vahvistanut tietosuojaja tietoturvapolitiikan kokouksessaan organisaatiossa käyttöönotettavaksi. Johto ja koko henkilöstö on sitoutunut tietoturvalliseen toimintaan ja toimii tässä dokumentissa ja tähän dokumenttiin kiinteästi liittyvien ohjeiden ja periaatteiden mukaisesti. Tietosuoja- ja tietoturvapolitiikkaa täydentävät sisäiseen käyttöön laaditut yksityiskohtaiset määräykset ja ohjeet (mm. tietosuoja- ja tietoturvakäsikirja). Tämä tietosuoja- ja tietoturvapolitiikka on voimassa toistaiseksi ja voimassaolo jatkuu, ellei sitä nimenomaisesti kumota. Tietosuoja- ja tietoturvapolitiikasta voidaan tarvittaessa julkaista uusi versio, joka korvaa tämän dokumentin julkaisuhetkellä. Tietosuoja- ja tietoturvapolitiikka on tiedotettu koko henkilökunnalle ja se on nähtävillä Raahen seudun hyvinvointikuntayhtymän verkkosivuilla intra.ras.fi ja Navisec -koulutusympäristössä. Raahen seudun hyvinvointikuntayhtymän toiminta, palveluiden tuottaminen ja niiden tehokkuus ovat riippuvaisia tietojenkäsittelystä ja sen toimintakyvystä, turvallisuudesta ja virheettömyydestä. Tietojenkäsittelyn turvallisuus on toiminnan jatkuvuuden ja palveluiden laadun kannalta erittäin tärkeää, siksi juuri näiden turvaaminen ohjaa organisaation kaikkea tietoturvatoimintaa. Tietoturvallisuutta toteutetaan käyttämällä ennalta määrättyä, turvallista tietojenkäsittelytapaa ja turvallisia menetelmiä ja teknologioita. Tietojenkäsittelyn turvaamisen periaatteet noudattavat kansallisia ja kansainvälisiä tietoturvallisuutta koskevia säädöksiä, standardeja ja suosituksia. Raahen seudun hyvinvointikuntayhtymä noudattaa potilaidensa ja asiakkaidensa ja muiden luottamuksellisten tietojen käsittelyssä voimassa olevaa lainsäädäntöä ja turvallista tietojenkäsittelytapaa. Yksityisyyden suojan takaamiseksi kaikki organisaation henkilöä koskevat tiedot on suojattu. Henkilötietoja käsittelevät vain tietoihin oikeutetut henkilöt. Niitä luovutetaan ainoastaan henkilön itsensä suostumuksella ja käsitellään siten, että ulkopuolisilla ei ole mahdollisuutta päästä tietoihin käsiksi. 2. Tietosuoja- ja tietoturvatoimien tavoitteet Tietosuojatoimien tavoitteena on asiakas-, potilas- ja muiden henkilötietojen valtuudettoman saannin estäminen ja niiden luottamuksellisuuden säilyttäminen tiedon elinkaaren kaikissa vaiheissa. Tietoturvatoimien tavoitteena on varmistaa tietojenkäsittelyn ja palveluiden toiminta sekä niiden turvallisuus koko organisaatiossa, niin normaalioloissa kuin poikkeustilanteissa. Raahen seudun hyvinvointikuntayhtymän tietosuoja- ja tietoturvatoiminnan päämäärät ovat tärkeysjärjestyksessä:

5 5 (8) 1. Turvata toiminnalle tärkeiden tietojärjestelmien, tietoverkkojen sekä palveluiden oikeanlainen ja keskeytymätön toiminta sekä varmistaa, että kaikki tärkeät tiedot ovat saatavissa, kun niitä tarvitaan. 2. Estää tietojen luvaton käyttö ja luottamuksellisiin tietoihin pääsy henkilöiltä, joilla ei ole niihin riittäviä valtuuksia (turvataan yksityisyydensuoja) 3. Estää tietojen tahaton tai tahallinen vääristyminen 4. Varmistaa, että tietoja käsitellään ja säilytetään kaikkien lakien ja asetuksien mukaisesti 5. Varmistaa henkilöstön riittävä tietosuoja- ja tietoturvaosaaminen ja sitouttaa henkilökunta hyvän tietoturvatyön toteuttamiseen Jotta näihin päämääriin päästäisiin, noudatetaan seuraavissa luvuissa esitettyjä periaatteita. Näitä periaatteita täydennetään tarkentavilla periaatedokumenteilla ja ohjeilla. Tietoturvallisuus koostuu tiedon luottamuksellisuudesta, eheydestä ja käytettävyydestä. 3. Tietojen säilytyksen ja luovutuksen periaatteet Raahen seudun hyvinvointikuntayhtymä voi saada haltuunsa potilasta ja asiakasta koskevia tietoja useista lähteistä: hoitosuhteen/asiakassuhteen aikana henkilöltä itseltään sekä myös hoito- tai palvelutapahtuman yhteydessä. Säilytyksessä voi olla tietoja edellisistä hoito-/asiakassuhteista. Niitä voi olla vastaanotettu muilta hoitoyksiköiltä tai muilta viranomaisilta. Jos tietojen suojaamiseksi näitä tietoja tarvitsee ryhmitellä erillisiksi kokonaisuuksiksi esimerkiksi säilytystä tai luovutusta varten, näin voidaan tarpeen mukaan tehdä. Tietojen säilytyksestä on säädetty arkistolaissa ja siitä on erikseen annettu ministeriön asetus ja ohjeita. Potilas- ja asiakastietoja koskevat erilaiset säilytysvaatimukset. Tarpeettomat tai vanhentuneet tiedot tulee hävittää asianmukaisella tavalla. Väärien, vanhentuneiden ja virheellisten tietojen käsittely on kielletty, ja näiden oikaiseminen on tehtävä tarpeen mukaan. Potilas- ja asiakastietoja voidaan luovuttaa ainoastaan potilaan tai asiakkaan nimenomaisella suostumuksella tai erityislainsäädännön nojalla. Ulkopuolisille yhteistyökumppaneille luottamuksellisia tietoja voidaan luovuttaa vasta kun organisaatioiden välillä on allekirjoitettu kirjallinen salassapitosopimus. 4. Toiminnan jatkuvuuden turvaaminen Tietoturvallisuustyöhön kuuluu oleellisena osana turvattavien tietojen ja tietojärjestelmien määrittely ja luokittelu, näihin kohdistuvien uhkien ja riskien kartoitus sekä niiltä suojautuminen. Tietoturvallisuusriskit tulee tunnistaa ja kartoittaa sekä ryhtyä tarvittaviin kustannustehokkaisiin toimenpiteisiin riskien pienentämiseksi. Suojautuminen kattaa sekä riskien toteutumista ehkäisevät toimet, toiminnan jatkuvuutta suojaavat toimet että poikkeustilanteita varten laadittujen valmiussuunnitelmien mukaiset toimet. Tietoturvan hallintamenettelyjä ja tietoturvariskejä arvioidaan sisäisillä tarkastuksilla ja tarvittaessa ulkoista tarkastusta käyttäen. Havaitut puutteet analysoidaan ja tarvittavat kehittämistoimet toteutetaan.

6 6 (8) 4.1. Toiminnan jatkuvuussuunnittelu Toiminnan jatkuvuuden turvaamiseksi kaikissa olosuhteissa on Raahen seudun hyvinvointikuntayhtymällä oltava ajantasaiset toiminnan jatkuvuussuunnitelmat. Järjestelmien omistajat vastaavat jatkuvuussuunnitelmien ajantasaisuudesta. Toiminnan jatkuvuussuunnitelmien ajantasaisuuden varmistamiseksi ja tietoturvaa uhkaavien riskien minimoimiseksi suoritetaan auditointeja erillisen suunnitelman mukaan. 5. Tietojärjestelmien käyttö ja tietojenkäsittelyn turvallisuus Koska järjestelmien toiminta kaikissa olosuhteissa on Raahen seudun hyvinvointikuntayhtymälle ensiarvoisen tärkeää, ovat tietojärjestelmät ja niihin liittyvä tietoliikenneverkko tarkoitettu vain työ- ja muiden organisaation sallimien tehtävien hoitamiseen. Tietojärjestelmien ja tietoliikenneverkon käyttö muihin tarkoituksiin on kiellettyä. Järjestelmien käyttöä valvotaan. Käyttäjien tulee osata käyttää tietojärjestelmiä oikeilla ja asianmukaisilla tavoilla. Raahen seudun hyvinvointikuntayhtymä antaa käyttöoikeuksia omistamiinsa järjestelmiin ja tietoihin ainoastaan työtehtävien suorittamista varten. Toisten käyttöoikeuksien luvaton käyttö on kiellettyä. Järjestelmiä tulee käyttää asianmukaisin käyttöoikeuksin ja niihin saa syöttää vain asianmukaista tietoa. Järjestelmiin saa kerätä ja tallentaa vain tietoja, joita tehtävien hoitamiseksi tarvitaan ja jotka ovat sopusoinnussa lainsäädännön kanssa. Tietojen keruu, tallentaminen tai käyttö muihin tarkoituksiin on kiellettyä. Käytössä olevat tietoliikenneyhteydet, tietojärjestelmät ja ohjelmistot ovat turvallisia ja niiden turvaominaisuudet on testattu ennen käyttöönottoa. 6. Salassapitovelvollisuudet ja tiedonsaantioikeudet Kaikki Raahen seudun hyvinvointikuntayhtymän työntekijät sekä Raahen seudun hyvinvointikuntayhtymän toimeksiannosta työtä tekevät ovat velvollisia pitämään toimintaa, potilaita/asiakkaita, henkilöstöä ja yhteistyökumppaneita koskevat tiedot salassa ulkopuolisilta. Ulkopuolisiksi luetaan kaikki ne henkilöt, jotka eivät tarvitse tietoja työssään. Salassapitovelvollisuus jatkuu myös työsuhteen päätyttyä asiaan liittyvän lainsäädännön mukaisesti. Henkilöillä on tietojen saantioikeus vain silloin, kun siihen on olemassa peruste. Tällainen peruste voi olla esimerkiksi hoitosuhteen olemassaolo. Tietoja saa käsitellä vain siinä käyttötarkoituksessa ja laajuudessa kuin on välttämätöntä. Tietojen hyväksikäyttö on kiellettyä työsuhteen päättymisen jälkeen tai silloin kun työtehtävien muuttumisen jälkeen tietoja ei tarvita työtehtävien suorittamisessa. 7. Tietoturvatyön organisointi ja vastuut Raahen seudun hyvinvointikuntayhtymän tietoturvavastuut on jaettu eri tahoille, joilla on oma rooli tietoturvassa. Raahen seudun hyvinvointikuntayhtymän ylin vastuu tietoturvasta on kuntayhtymäjohtajalla. Nimetty tietoturvaorganisaatio ohjaa ja kehittää tietoturvatoimintaa. Jokainen henkilökuntaan kuuluva on viime kädessä vastuussa tietoturvallisuuden toteutumisesta omalta osaltaan.

7 7 (8) Tietoturvaorganisaation kuuluu myös tietoturvapäällikkö ja tietosuojavastaava. Tarvittaessa voidaan käyttää ulkoista asiantuntijaa. Kaikilla työntekijöillä on oikeus ja velvollisuus tehdä parannusehdotuksia tietoturvaan liittyen. Eri tahojen vastuut ja roolit on eritelty tarkemmin erillisessä liitteessä Vastuu tietojen suojauksesta Tiedon omistaja, hyvinvointikuntayhtymä rekisterinpitäjänä vastaa tiedon luokittelusta. Tietohallinto vastaa tarvittavien suojausmekanismien tarjoamisesta. Jokainen käyttäjä vastaa annettujen ohjeiden noudattamisesta toiminnassaan. 8. Tietoturvan ja tietosuojan seuranta ja valvonta Raahen seudun hyvinvointikuntayhtymän tietoturvallisuutta seurataan ja valvotaan hallinnollisin ja teknisin menetelmin. Menetelmät kuvataan tähän politiikkaan kiinteästi liittyvissä ohjeissa. Käyttäjien ja ylläpitäjien tulee ilmoittaa havaitsemastaan tietoturvan puutteesta, tietoturvaan liittyvästä väärinkäytöksestä tai epäilemästään tietoturvarikkomuksesta esimiehelleen tai tietoturvavastaavalle. Yksikön esimiehen tehtävänä on valvoa tietosuojan ja tietoturvan toteutumista omassa yksikössään. Tietoturvavastaava seuraa ja valvoo tietoturvan toteutumista Raahen seudun hyvinvointikuntayhtymässä sekä raportoi johdolle tietoturvan tilasta ja kehittämistarpeesta. Tietoturvavastaava ryhtyy toimenpiteisiin havaittujen tietoturvan heikkouksien korjaamiseksi. Tietosuojavastaava seuraa ja valvoo tietosuojan toteutumista Raahen seudun hyvinvointikuntayhtymässä sekä raportoi johdolle tietosuojan tilasta ja kehittämistarpeesta. Henkilöstön tietosuoja- ja tietoturvaosaamista seurataan koulutusjärjestelmällä. 9. Koulutus ja ohjeistus Tietosuoja- ja tietoturvakoulutusta järjestetään sekä yksittäisinä koulutustapahtumina tietyille käyttäjäryhmille että tietoiskutyyppisinä koulutuksina tai tilaisuuksina. Henkilöstön jatkuvaa tietosuoja- ja tietoturvaosaamista ylläpidetään sähköisen Navisec-koulutusjärjestelmän avulla. Koulutus on pakollinen koko henkilöstölle ja on osana jokaisen työntekijän henkilökohtaisia vaatimuksia ja osaamisen kehittämissuunnitelmaa. 10. Politiikan soveltaminen, laajuus sekä kolmannet osapuolet Tätä politiikkaa ja siihen liittyviä tietosuoja- ja tietoturvaohjeita sovelletaan Raahen seudun hyvinvointikuntayhtymän kaikissa toiminnoissa ja toimipaikoissa. Tätä politiikkaa sovelletaan Raahen seudun hyvinvointikuntayhtymän henkilöstöön, vuokratyövoimaan ja konsultteihin sekä sidosryhmiin. Asiakkaiden ja muiden sidosryhmien välisissä sopimuksissa ja tietoturvakäytäntöjen toteuttamisessa on vähimmäisvaatimuksena tämä politiikka ja tähän politiikkaan liittyvät ohjeet. Tietoturvan hallintamenetelmät kohdistuvat kaikkeen tietojenkäsittelyyn sekä manuaaliseen että sähköiseen ja pitävät sisällään myös puhutun ja kirjoitetun tiedon.

8 8 (8) 11. Lait ja asetukset Raahen seudun hyvinvointikuntayhtymän tietoturvan hallintakäytäntöjen tulee kaikilta osin noudattaa lakeja ja asetuksia, sopimusten velvoitteita ja turvallisuusvaatimuksia. Tietosuojasta, tietoturvallisuudesta, arkaluonteisten tietojen käsittelystä ja erityisesti potilastiedoista on säädetty useassa eri laissa, joista tässä yhteydessä oleellisimmiksi voidaan katsoa laki viranomaisen toiminnan julkisuudesta (621/1999), henkilötietolaki (523/1999), laki potilaan asemasta ja oikeuksista (785/1992), laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä(159/2007), sosiaali- ja terveysministeriön asetus potilasasiakirjoista(298/2009) ja laki sosiaalihuollon asiakkaan asemasta ja oikeuksista (812/2000). 12. Rikkomukset ja niiden käsittely Raahen seudun hyvinvointikuntayhtymä katsoo tietosuojaa ja tietoturvaa vahingoittavat tahalliset teot työsuhteeseen vaikuttaviksi tapahtumiksi. Muun muassa kaikki tietosuoja- ja tietoturvarikkomukset, tietoturvaloukkaukset, väärinkäytökset ja poikkeustilanteet raportoidaan johdolle ja jokaiseen tilanteeseen reagoidaan sen vaatimalla tavalla. Tarkoituksellinen tietoturvavaatimusten laiminlyönti tai tietosuojaa/tietoturvaa muuten vaarantava toiminta voi johtaa työsuhteen purkamiseen ja lainsäädännön rajoissa oikeudellisiin toimiin.