RÄÄKKYLÄN KUNTA Sosiaali- ja terveydenhuollon tietojärjestelmät TERVEYSKESKUS OMAVALVONTASUUNNITELMA Hyväksytty; Perusturvalautakunta _._.2015 Saila Tarkkonen
Omavalvontasuunnitelmassa selvitetään miten seuraavat järjestelmien käyttöön liittyvät asiat varmistetaan: Henkilöillä, jotka käyttävät tietojärjestelmiä, on niiden käytön vaatima koulutus ja kokemus Henkilökunnan kouluttaminen tietojärjestelmien käyttöön tehtävien vaatimusten mukaisesti Potilastietojärjestelmän Mediatri koulutus annetaan Mediatria käyttäville. Koulutusohjelma on tehty yhdessä PTTK:n ja Medikoncultin kanssa. Toimintamalli uusien työntekijöiden kouluttamiseen Koulutussuunnitelma on käytössä ja sitä noudatetaan. Esimiehet huolehtivat, että uudet työntekijät saavat peruskoulutuksen järjestelmiin. Yksiköiden vastuu/pääkäyttäjällä on vastuu uusien työntekijöiden kouluttamisesta ja perehdyttämisestä. Ohjeet potilastietojen käsittelystä ssa on käytössä kirjalliset ohjeet potilastietojen käsittelystä henkilökunnalle. on huolehtinut henkilökunnan kouluttamisesta ja osaamisesta potilastietojen käsittelyssä. Osaamisen seuranta Koulutussuunnitelman noudattaminen ja sen jatkuva toteuttaminen. Tietojärjestelmien yhteydessä on saatavilla niiden asianmukaisen käytön kannalta tarpeelliset käyttöohjeet on kouluttanut henkilökunnan tietojärjestelmien turvalliseen ja asianmukaiseen ja tarkoituksenmukaiseen käyttöön Henkilöstölle järjestetään tietoturvaa ja tietosuojaa käsittelevä koulutus tarpeen mukaan. Jokaisen tulee osallistua tieturvaa ja tietosuojaa käsittelevään koulutukseen vähintään viiden vuoden välein. Uusien työntekijöiden tulee suorittaa.ko. koulutukset 3kk:n kuluessa töihin tulosta. Tietosuojakoulutukset järjestetty eresetikoulutusten yhteydessä sekä osin uudelleen earkisti projektin yhteydessä nettikoulutuksin. Päävastuullisina osastojen esimiehet. Todistukset arkistoitu. Tietojärjestelmistä on saatavilla käytön kannalta tarpeelliset käyttöohjeet Ohjelmiston oma käyttöohjeinfo on Mediatrissa. Yksiköissä on kansioita, joissa ovat keskeiset ohjeet. Pääkäyttäjältä saa ohjeistuksia sekä PTTK:n mediatrituki kaikilla käytettävissä Päivitykset Ohjelmistojen päivityksistä tiedotetaan henkilöstölle. Tämä voidaan todentaa käyttäjän helposti saatavilla olevilla yksiselitteisillä ohjelman versiopäivitystä vastaavilla käyttöohjeilla. Uudet päivitykset saatetaan
tietoon henkilöstölle sähköpostin että tarvittaessa kirjallisilla tiedotteilla, sähköpostit esimiehille jotka tiedottavat eteenpäin henkilöstölle. Päävastuullisena on yksikön esimies sekä Mediatrin pää- ja vastuukäyttäjät. Päivitykset tehdään PTTK:n toimesta. Informaatiota luettavissa Mediatrin käyttöohjeissa, jota PTTK päivittää jatkuvasti. Tietojärjestelmiä käytetään valmistajan antaman ohjeistuksen mukaisesti Potilastietojärjestelmän toimittajan ohjeistus ja koulutus on kouluttanut henkilökunnan tietojärjestelmien käyttöön. Kulutussuunnitelmaa noudatetaan. Tietojärjestelmän toimittajan ohjeistus on käyttäjien tiedossa ja saatavilla Mediatrista. n oma ohjeistus ja koulutus Omavalvontasuunnitelmaan on kuvattu menettelytavat, jolla seurataan järjestelmän valmistajien antamien ohjeistusten mukaista käyttöä. Tietojärjestelmiä ylläpidetään ja päivitetään valmistajan ohjeistuksen mukaisesti Tietojärjestelmän päivitys- ja korjausprosessin kuvaaminen Potilastietojärjestelmästä on kuvattu prosessi, joka sisältää versio- ja korjauspäivitykset sekä myös pienemmät toiminnalliset muutokset. Päivitykset toteutetaan Mediconsultin ja PTTK:n toimesta. Muutoksenhallintaprosessi Muutostenhallintaprosessissa tulee kuvata miten tehdyt muutokset on suunniteltu, hyväksytty, testattu ja dokumentoitu. Virhetilanteiden hallinta ssa on virhetilanteiden sattuessa toipumissuunnitelma ja häiriötilanneohjeet. ssa on suunnitelma järjestelmien toiminnallisuuden valvontaan sekä poikkeustilanteiden ja virhetilanteiden havainnointiin ja niistä tiedottamiseen. Toimitatapa: Mediatrin käyttäjä - Pääkäyttäjä MediatritukiPTTK / Mediconsult, josta tarvittavat toimenpiteet edelleen.
Käyttöympäristö soveltuu tietojärjestelmien asianmukaiseen sekä tietoturvan ja tietosuojan varmistavaan käyttöön Tietosuojavastaava n (kunnan) tietosuojatavastaava on kunnanjohtaja. n tietosuojavastaava on kunkin ohjelman pääkäyttäjä. Työtehtäviin ei ole resurssoitu työaikaa Jokaisella palvelujen antajalla ja Kansaneläkelaitoksella on oltava seuranta- ja valvontatehtävää varten tietosuojavastaava. Tietoturvapolitiikka n tietoturvapolitiikka on hyväksytty kunnanhallituksessa 13.12.2012 ja on otettu käyttöön. RAAKKYLAN_KUNNAN_TIETOTURVALUOKITUS_11062012[1].doc RAAKKYLAN_SOTE_TIETOTURVASUUNNITELMA11062012[1].docx Tietosuojan valvonta lla on laadittu tietosuojaan liittyvä seuranta- ja valvontasuunnitelma. Kunnanhallitus on hyväksynyt 11.6.2012 sosiaali- terveyspalveluiden tietoturva / suojasuunnitelman. RAAKKYLAN_SOTE_TIETOTURVASUUNNITELMA11062012[1].docx Tunnistautuminen järjestelmään ssa on käytössä yksilölliset käyttäjätunnukset / sähköinen tunnistautuminen. ssa käytetään pääsääntöisesti sähköistä tunnistautumista. VRK-kortit. Käyttövaltuushallinta P-TTK:lla kirjanpito, josta voidaan todentaa haetut, hyväksytyt, käyttöönotetut, poistetut jne. käyttöoikeudet. Arkistossa ja tiedonhallintapalvelussa olevien asiakirjojen osalta organisaation tulee määrittää, keiden työntekijöiden / käyttäjäryhmien tulee päästä ko. asiakirjoja käsittelemään, ko. tiedot PTTK:lle ilmoitettu. Potilastietojärjestelmien oman käyttäjähallinnan osalta käyttöoikeudet ja niihin liittyvät prosessit dokumentoituna pääkäyttäjällä.. Käyttöoikeuksien jako ja hallinta ssa on kuvattu käyttöoikeuksienhallintaprosessi. ssa on valvontasuunnitelma potilastietojen käsittelyn seurantaan ja valvontaan. Esimiehet ja tarvittaessa heidän pyynnöstään pääkäyttäjä toimittavat käyttäjätunnukset sähköpostilla tai paperilla/suullisesti käyttäjille. Verkkoyhteyden suojaus Järjestelmät ovat yhteisellä palomuurilla tai palomuureilla suojatut. Myös langattomien verkkojen tietoturva on huomioitu.. Istunnon katkaisu ssa on käytössä työasemakohtainen lukitus 30 min kuluttua, kun työasemaa ei käytetä. Otettu käytäntöön 1.3.2015. Lokitietojen muuttumattomuus Järjestelmän lokiympäristö on toteutettu, erillisellä lokipalvelimella. Lokitiedot löytyvät raportointiportaalista. Lokitiedot on suojattu käyttöoikeuksin ja vain nimetty henkilö pääsee käyttäjätunnuksien avulla lokitietoja tarkastamaan. Varmistetaan, että ylläpitäjät ja muut voimakkaita oikeuksia omaavat tahot eivät voi poistaa tai muokata lokeja. Asialliseen käyttöön liittyvä fyysinen käyttöympäristö Kuvaus tietoturvan ja tietosuojan varmistamisesta fyysisessä käyttöympäristössä, kuten toimitiloista ja niiden tietosuojan takaavista sijoittelu-, sisustus-, äänieristys- ja muista vastaavista toimenpiteistä. Toimitilojen lukitseminen, ATK-näytönsuojat jne
Liikuteltavien laitteiden tietoturva ja suoja Kuvaus asiakas- / potilastietoja sisältävien liikuteltavien laitteiden tietosuojasta ja turvasta. TK.n ulkopuolelle liikuteltavia laitteita ei ole. Ulkoiset tallennuslaitteet Kuvaus miten ulkoisten tallennuslaitteiden asentamisesta on sovittu. Ei ole.. Tietojärjestelmiin liitetyt muut tietojärjestelmät tai muut järjestelmät eivät vaaranna tietojärjestelmien suorituskykyä eivätkä niiden tietoturva- tai tietosuojaominaisuuksia Vastuiden määrittelyt Kaikkien osapuolien (terveydenhuollon toimintayksiköt, apteekit, itsenäiset ammatinharjoittajat, ohjelmistoyritykset ja tietoliikenneoperaattorit) vastuut tulee olla selkeästi määritelty toiminnallisuuden, tietoturvallisuuden ja yhteistoiminnallisuuden osalta (sopimukset). Sopimuksen keskeinen sisältö: rekisterinpitäjä henkilötietojen käsitteleminen käyttötarkoitussidonnaisuus luottamuksellisuus ja salassapito palvelun tuottajan ostopalvelurekisteri henkilötietojen käsittelyn ohjaus, valvonta ja seuranta (lokitiedot) tietoturva rekisteriselosteet viittaukset lainsäädäntöön osapuolten velvollisuudet toimeksiantosuhteen päättyminen. Hallintayhteydet järjestelmään (etäyhteydet) Sallittaessa etäyhteyksiä järjestelmään toteutus on turvallinen. Tunnistautumisessa käytetään vahvaa tunnistautumismenetelmää. Etäyhteydet hoidetaan PTTK:n toimesta. Järjestelmän ylläpito Järjestelmissä ei ole ylimääräisiä palveluja eikä sovelluksia. Järjestelmissä ei saa olla aktiivisia oletustunnuksia ja muita oletuksena tulevia tietoturvallisuuden kannalta huonoja asetuksia. Palvelimet, joilla järjestelmät toimivat, on suojattu haittaohjelmilta. Haittaohjelmien käytössä olevan torjuntaohjelma on automaattisesti päivittyvä (mikäli käytössä olevassa ympäristössä torjuntaohjelmia on). Tietojärjestelmiin liitetyt muut tietojärjestelmät Omavalvontasuunnitelmassa on yksilöitävä luokkaan A kuuluvat tietojärjestelmät sekä muut järjestelmät, joilla on vaikutusta ja jotka on huomioitava asennuksissa, ylläpidossa ja päivityksissä. A-ryhmään kuuluvat Mediatri ja eresepti, jotka ovat sertifioituja järjestelmiä.
Tietojärjestelmiä asentaa, ylläpitää ja päivittää vain henkilö, jolla on siihen tarvittava ammattitaito ja asiantuntemus Vastuiden määrittely Tietojärjestelmien asennus, ylläpito ja päivitys tapahtuvat PTTK ja Mediconsultin toimesta. Pääkäyttäjän vastuualueet Sopimukset (vastuut/roolit) järjestelmäntoimittajan ym. muiden kanssa Pääkäyttäjän toimenkuva pääsääntöisesti liitteenä olevan taulukon mukaisena. PTTK_Roolit ja tehtävät 20112014.pptx Pääkäyttäjä tehtävät.xls Sopimuksen keskeinen sisältö: tausta ja tarkoitus sopimuksen voimassaolo toimittajan ja asiakkaan velvollisuudet vastuunrajoitus sopimussakkolausekkeet hyväksymismenettelyt tekijänoikeudet/lisenssiehdot irtisanomis- ja purkulausekkeet, virhe, vika ja viivästys ylivoimainen este sopimuksen seuranta ja valvonta. Vaaratilanteista ja poikkeamista ilmoittaminen Jos sosiaali- tai terveydenhuollon palvelujen antaja havaitsee, että tietojärjestelmän olennaisten vaatimusten toteutumisessa on merkittäviä poikkeamia, on palvelujen antajan ilmoitettava siitä tietojärjestelmän valmistajalle Tietoturva ja -suojapoikkeamien havaitsemis-, ilmoittamis- ja käsittelymenettelyiden kuvaus ilmoitus HaiPro ilmoitus järjestelmän toimittajalle ilmoitus Valviralle. Jos poikkeama voi aiheuttaa merkittävän riskin potilasturvallisuudelle, tietoturvalle tai tietosuojalle, on siitä ilmoitettava myös Sosiaali- ja terveysalan lupa- ja valvontavirastolle. Havaitsemis-, ilmoittamis- ja käsittelymenettelyiden kuvaus ilmoitus Valviralle. Selvitys siitä, miten valtakunnallisiin tietojärjestelmäpalveluihin
liittyvät tietosuojan erityiskysymykset on järjestetty Henkilöillä, jotka käyttävät tietojärjestelmiä, on siihen koulutus Käytössä valtakunnallisten tietojärjestelmäpalveluiden koulutus henkilöstölle www.kanta.fi sivujen kautta, lisäksi PTTK:n tekemä koulutus. Ohjelmiston käyttöohjeet löytyvät myös Mediatrista. Pääkäyttäjän antama ohjaus. Verkkoyhteyksien suojaus Liittyvät järjestelmät on suojattu palomuurilla/ palomuureilla. Käyttäjätunnusten yksilöllisyys Käytössä toimikortti kirjautuminen. Tilapäisesti henkilökohtaisin Mediatri tunnuksin. Auditoitu järjestelmä Valtakunnallisiin tietojärjestelmäpalveluihin liittyvät organisaatiot käyttävät auditoituja järjestelmiä. Viestinvälityksen vaatimukset ja vastuut Sopimuksissa on huomioitu vaaditut viestinnän luottamuksellisuuteen liittyvät vaatimukset. Sosiaalihuollossa syntyvien tietojen Kantaan tallentamisen estäminen Potilastiedot erotettu potilastietojärjestelmässä siten, että ne eivät tallennu Kantaan. Tietoliikenneyhteydet Tietoliikenneyhteyksien sopimuksissa on huomioitu tietoturvapolitiikan vaatimukset. Omavalvontasuunnitelman toteutumisen seuranta Palvelujen antajan on aktiivisesta seurattava omavalvontasuunnitelman toteutumista. Palvelujen antaja on vastuussa siitä, että tietoturvaan, tietosuojaan ja tietojärjestelmien käyttöön ja ylläpitoon liittyvät asian tulevat jatkuvasti hoidetuksi asianmukaisesti Omavalvontasuunnitelmassa on määritelty vastuut suunnitelman päivittämisestä ja toteutumisen seurannasta. Vastuu päivittämisen huolehtimisesta on organisaatiolla Rääkkylän kunta sekä avoterveydenhuollon vastaavalla ja Mediatripääkäyttjällä. Suunnitelma tulee päivittää vuosittain. Sosiaalihuollon ja terveydenhuollon toimintayksikön vastaavan johtajan tulee antaa kirjalliset ohjeet asiakastietojen käsittelystä ja noudatettavista menettelytavoista sekä huolehtia henkilökunnan riittävästä asiantuntemuksesta ja osaamisesta asiakastietojen käsittelyssä ja huolehtia 19 h :ssä tarkoitetun omavalvontasuunnitelman laatimisesta ja noudattamisesta. Omavalvonvantasuunntielma on tehty elappi-hankkeen tuottaman sisällön mukaisesti. elappi-hankkeen tuottamaa asiasisällöä kommentoinut 3.6.2014 Tanja Stormbom, lakimies, Terveyden ja hyvinvoinnin laitos (THL)
LIITE 1 Sosiaali- ja terveydenhuollon tietojärjestelmiä käyttävien palveluiden antajien omavalvontasuunnitelman kooste VAATIMUS KUNNOSSA / VAATII TARKENNUSTA / KESKENERÄINEN VASTUUTAHO TODENTAMINEN / PVM 1. Henkilöillä, jotka käyttävät tietojärjestelmiä, on niiden käytön vaatima koulutus ja kokemus. 2. Tietojärjestelmien yhteydessä on saatavilla niiden asianmukaisen käytön kannalta tarpeelliset käyttöohjeet. 3. Tietojärjestelmiä käytetään valmistajan antaman ohjeistuksen mukaisesti. 4. Tietojärjestelmiä ylläpidetään ja päivitetään valmistajan ohjeistuksen mukaisesti. 5. Käyttöympäristö soveltuu tietojärjestelmien asianmukaiseen sekä tietoturvan ja tietosuojan varmistavaan käyttöön. 6. Tietojärjestelmiin liitetyt muut tietojärjestelmät tai muut järjestelmät eivät vaaranna tietojärjestelmien suorituskykyä eivätkä niiden tietoturva- tai tietosuojaominaisuuksia. 7. Tietojärjestelmiä asentaa, ylläpitää ja päivittää vain henkilö, jolla on siihen tarvittava ammattitaito ja asiantuntemus. 8. Vaaratilanteista ja poikkeamista ilmoittaminen 9. Selvitys siitä, miten valtakunnallisiin tietojärjestelmäpalveluihin liittyvät tietosuojan erityiskysymykset on järjestetty. 10. Omavalvontasuunnitelman toteutumisen seuranta n johto/ esimiehet Järjestelmän toimittaja Järjestelmätuki Rekisterinpitäjä Järjestelmätuki Tietoliikenneoperaattori Järjestelmätuki Tietoliikenneoperaattori Rekisterinpitäjä Tietoliikenneoperaattori Teknisen ympäristön tarjoaja Palvelun välittäjä Terveyskeskusjohtaja Perusturvalautakunta