Käyttöoikeuksien hallinta Kenelle käyttöoikeudet annetaan?

Samankaltaiset tiedostot
TIETOTURVA- JA TIETOSUOJARIKKOMUSTEN SEURAAMUSTAULUKKO

Tietoturvarikkomusten käsittely, tulkinta ja seuraamuskäytännöt

Ammattikorkeakoulun IT-palvelujen säännöstö sitoo ja velvoittaa jokaista käyttäjää. Myös sinua.

Tietosuojavastaavan asema ja tehtävät

Hoitotietojen väärinkäytökset ja siitä aiheutuvat seuraukset Kuntamarkkinat Sosiaali- ja terveydenhuollon hoitotietojen käytönvalvonta 12.9.

Suomen Lentopalloliitto ry:n tietosuojapolitiikka

Lokipolitiikka (v 1.0/2015)

Potilastietojärjestelmien käyttöoikeuksien ja käyttäjätunnusten määrittely ja tekeminen

Suostumuskäytännöt Suomen perustuslaki

Tietosuojavastaavan rooli lokivalvonnassa

Yhteistoimintamenettely Henkilöstöjaosto Hyväksytty johtokunta Käyttölokien seurantaja valvontasuunnitelma

Laitoshuollon rekisteri

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

Hoitotietojen käytön lokivalvonnan vaatimuksia

Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä

Paneeli: Käytön valvonta, lokien hallinta, poikkeamien havaitseminen, poliisiyhteistyö

TIETOSUOJASELOSTE rekisteriseloste ja asiakkaan informointi henkilötietolaki (523/99) 10 ja 24

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa. KANSANTERVEYSTYÖN REKISTERI / suun terveydenhuolto

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

Postinumero Kela. Käyntiosoite Nordenskiöldinkatu 12, Helsinki. Nimi Kanta-palvelujen tietosuojavastaava

ASIAKASALOITTEINEN KÄYTÖNVALVONTA TERVEYDENHUOLLOSSA

Työterveyshuollon potilasrekisteri

Päijät-Hämeen sosiaali- ja terveydenhuollon kuntayhtymä Keskussairaalankatu Lahti puh. (03)

Suostumusten hallinta kansallisessa tietojärjestelmäarkkitehtuurissa

Kansallisen arkiston ja ereseptin tilannekatsaus Terveydenhuollon atk päivät Erkki Aaltonen

JOHDON VELVOITTEET JA VASTUU yleiset periaatteet. Ylitarkastaja Arto Ylipartanen Tietosuojavaltuutetun toimisto

SOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTELMÄSTÄ

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

Hyväksytty Rautavaaran seurakunnan kirkkovaltuustossa / 15

KanTa-kokonaisuus ja kunnat

TIETOSUOJASELOSTE Henkilötietolaki (523/99) 10 JA Rekisterin nimi Kokkolan perheneuvolan asiakas- ja potilasrekisteri

Henkilötietolaki 10 ja 24 Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista 11.3, 12-13, 20.2 ja Ikäihmisten lautakunta

Laatimispvm: Sosiaali- ja terveystoimi PL 43, KOKKOLA (vaihde)

Hämeenkyrön terveyskeskus. Yhteystiedot: Hämeenkyrön terveyskeskus Härkikuja Hämeenkyrö

Lääkärin oikeuksista ja velvollisuuksista

Laatimispäivä: 1/2015 Tämä on tietosuojaseloste, joka sisältää rekisteriselosteen ja asiakkaiden henkilötietojen käsittelyä koskevan informoinnin.

Rekisteri- ja tietosuojaseloste Henkilötietolaki (523/1999) 10 ja 24

ereseptin toteutus Riitta Söderlund projektipäällikkö/ TERES Turun kaupunki

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

REKISTERINPITÄJÄN INFORMAATIO KUNTOUTUJILLE TOIMINTATERAPIA A KAARRETKOSKI OY

Osteopaatti Jutta Aalto Anatomia- ja kehotietoisuuskoulutus TIETOSUOJASELOSTE

2. REKISTERINPITÄJÄ Nimi Pohjois-Pohjanmaan sairaanhoitopiiri

Naantalin kaupunki Rekisteriseloste

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

Tietosuoja sosiaali- ja terveyspalveluissa

Suostumuksen hallinnan ja tietojen luovutuksen periaatteet

KanTa Asiakastietojen käsittely ja menettelytavat eresepti-palvelua käytettäessä

Naantalin kaupunki Rekisteriseloste

Kuka auttaa johtoa sosiaali- ja terveydenhuollon asiakastietojen käytönvalvonnassa?

Poimintoja lainsäädännöstä

Tietosuojavastaavan nimeämistä ja muita tietosuoja- ja tietoturva-asioita koskeva kysely sosiaalihuollon palvelujen antajille 2011

Sisällysluettelo. 1 JOHDANTO Irma Pahlman... 11

Terveystarkastus rekisteriseloste

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

POTILASTIETOVERKKOTUNNUKSET (työasematunnukset ja Mediatri) PKSSK:n ja perusterveydenhuollon harjoitteluun meneville

Informointeja, kieltoja ja suostumuksia Onko käyttö ja luovutus hallinnassa?

Kanta-palvelut ja palautteiden jakelukäytäntö. Silja Iltanen Palvelupäällikkö, tietosuojavastaava Tietohallinto, Satasairaala

Hämeenkyrön terveyskeskus. Yhteystiedot: Hämeenkyrön terveyskeskus Härkikuja Hämeenkyrö

ACUTE OHJE Informointi, kielto ja suostumus

Potilas aktiivisena toimijana omassa hoidossaan

Tietosuojavastaavan toiminta ja dokumentointi

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

Hämeenlinnan kaupungin terveyden ja toimintakyvyn edistämisen lautakunta. Osoite: Raatihuoneenkatu 9, PL 84

Nimi: Perusturvajohtaja Mari Antikainen, puh Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

Seinäjoen kaupungin tietosuojapolitiikka. Kh , 149

Tehostetun asumispalvelun rekisteri

Työttömyyskassat, Vakuutuslaitokset ja näiden ATK palvelukeskukset sekä Kansaneläkelaitos Diaarinumero A49 /7101/2013

Sopimus Kanta-palveluihin liittymisestä ja Kanta-palvelujen käytöstä v 1.0

Muut tietojärjestelmät, jotka on otettava huomioon arkaluonteisten asiakas- ja potilastietojen suojaamisen kannalta

MÄNTSÄLÄN KUNTA Mustijoen perusturva Laadittu sosiaalipalvelupäällikkö Arja Tolttila Heikinkuja MÄNTSÄLÄ

Sairaalan talousjohtaja. 3. Rekisterin nimi Niuvanniemen sairaalan potilaslaskutusrekisteri

TIETOJÄRJESTELMIEN KEHITTÄMINEN KESKI-SUOMEN SUOMEN SAIRAANHOITOPIIRISSÄ - TIETOHALLINNON ROOLI. Tietohallintojohtaja Martti Pysäys

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

Tietosuojaseloste / Käyttölokitietojen rekisteri / Pegasos ja Alue-Pegasos potilastietojärjestelmät

Terveydenhuollon yksiköiden valmiudet liittyä KanTa an

Ilmoittautumis- ja kulunseurantajärjestelmä Avohoitotalo, Oulun yliopistollinen sairaala

TIETOSUOJASELOSTE Henkilötietolaki (523/99) 10 ja 24

JIK-peruspalveluliikelaitoskuntayhtymä (jäljempänä Tilaaja ) Könnintie 27 B, ILMAJOKI. Hankinta- ja taloussuunnittelija, p.

1. Terveydenhuollon toimintayksikkö. HammasOskari Oy, Liesikuja 4A, Rekisteriasioista vastaava yhteyshenkilö

Sairaanhoitopiiri tarjoaa terveydenhuollon järjestelmäpalvelut kunnille

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

Itä-Savon sairaanhoitopiirin kuntayhtymän työterveyshuollon asiakasrekisteri

Rekisteritutkimuksen lupaprosessi ja kustannukset THL:ssä

Peltolantie 2 D, Vantaa puh.(09) vastuuhenkilö (palveluntuottaja täyttää) yhteyshenkilö ja yhteystiedot: (palveluntuottaja täyttää)

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

ESKO sovelluskokonaisuus ja toimiva sähköinen potilaskertomus

Työttömyyskassat, Vakuutuslaitokset ja näiden ATK palvelukeskukset sekä Kansaneläkelaitos Diaarinumero A36/7101/2014

Suostumusten hallinta sekä tietojen luovutus ja käyttö

Resepti Potilastiedon arkisto. Kanta-palvelut vauvasta vaariin ja mummiin

SOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTEL- MÄSTÄ

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa. Palvelupäälliköt ja esimiehet oman henkilöstönsä osalta

Terveystiedot Omakannassa

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

Kysymyksiä jä västäuksiä yksityisen terveydenhuollon liittymisestä potilästiedon ärkistoon

Tietosuojaseloste 1 / 5. Rekisteripitäjän informointiasiakirja. EU:n yleinen tietosuoja-asetus (2016/679, artiklat 13 ja 14)

Tietosuojapolitiikka

KanTa-palvelut. Web-reseptisovellukset. versio 1.0

Lääkitysmäärittelyt 2016 Liite 1: Käsitteet

Transkriptio:

POHJOIS-POHJANMAAN SAIRAANHOITOPIIRI Käyttöoikeuksien hallinta Kenelle käyttöoikeudet annetaan? Terveydenhuollon atk-päivät, Tampere 25.-26.5.2010 Helena Eronen arkistotoimen johtaja PPSHP/Hallintokeskus/Asiakirjahallinto

Esityksen sisältö Potilasasiakirjoihin sisältyvien tietojen käyttöoikeudet ja oikeus tehdä merkintöjä potilasasiakirjoihin Eri ammattiryhmien käyttöoikeudet Identiteetinhallinta Identiteetinhallinnan prosessit Käytön valvonta

PPSHP:n strategiassa linjattu: Terveyspalveluja tarvitsevat ihmiset osallistuvat lähivuosina entistä enemmän hoitonsa toteutukseen ja siinä tarvittavaan tiedon välitykseen. Tämän tukemiseksi otamme tarkoituksenmukaisella tavalla käyttöön sähköisen asioinnin työvälineitä niin sairaaloiden sisällä kuin kotona. Keskeisenä kohteena on sähköisen potilastiedon käyttö ja liikuteltavuus organisaation sisällä, alueellisesti sekä valtakunnallisesti lainsäädännön edellyttämällä tavalla. Toteutuksissa painotetaan potilasta osallistavia ja potilaan omatoimisuutta tukevia ratkaisuja, nykyaikaiseen teknologiaan perustuvaa käytettävyyttä sekä moniammatillisuuden ja tiedon kertakirjauksen periaatteita.

OYS erityisvastuualue

Potilaskertomusjärjestelmät Perusterveydenhuollon järjestelmät Abilita AluePegasos Effica GFS Mediatri Pegasos Lähde: Kuntaliitto/ KunTo

Potilasasiakirjoihin sisältyvien tietojen käyttöoikeudet ja oikeus tehdä merkintöjä potilasasiakirjoihin

STM:n asetus potilasasiakirjoista 298/2009 Potilasasiakirja-asetuksessa säädetään potilasasiakirjoihin liittyvistä käyttöoikeuksista: potilasasiakirjoihin sisältyvien tietojen käyttöoikeuksista säädetään asetuksen 4 :ssä oikeudesta tehdä merkintöjä potilasasiakirjoihin säädetään asetuksen 6 :ssä

Potilasasiakirjoihin sisältyvien tietojen käyttöoikeudet Potilaan hoitoon tai siihen liittyviin tehtäviin osallistuvat saavat käsitellä potilasasiakirjoja vain siinä laajuudessa kuin heidän työtehtävänsä ja vastuunsa sitä edellyttävät potilaslain 13 : potilasasiakirjoihin sisältyviä tietoja saavat ilman potilaan suostumusta käyttää tai muuten käsitellä vain toimintayksikössä tai sen toimeksiannosta potilaan hoitoon tai siihen liittyviin tehtäviin osallistuvat henkilöt Terveydenhuollon toimintayksiköissä työskentelevien käyttöoikeudet tulee määritellä yksityiskohtaisesti käyttöoikeudet ja tietojen luovuttaminen tulee ottaa huomioon jo suunniteltaessa potilasasiakirjojen rakennetta ja säilytystä

Potilasasiakirjoihin sisältyvien tietojen käyttöoikeudet Sähköisessä potilastietojärjestelmässä tulee olla käyttöoikeuksien hallintajärjestelmä (siirtymäsäännös) kullekin käyttäjälle pitää voida määritellä tämän tehtävien mukaiset käyttöoikeudet pitää sisällään tunnistamisen ja todentamisen, käyttöoikeuksien hallinnan sekä pääsynhallinnan käyttöoikeudet määriteltävä riittävän selvästi, jotta käyttöä on mahdollista valvoa tehtävien mukaisilla käyttöoikeuksilla rajataan sitä potilastietojen joukkoa, johon henkilöllä on käyttöoikeus sekä sitä potilasjoukkoa, jonka tietoihin käyttäjällä on oikeus Sähköisen potilastietojärjestelmien käyttäjä tulee yksilöidä ja tunnistaa siten, että käyttäjä tulee todennetuksi yksiselitteisesti (siirtymäsäännös) sähköisiä potilastietojärjestelmiä ei saa käyttää toisen työntekijän käyttäjätunnuksilla

Oikeus tehdä merkintöjä potilasasiakirjoihin Potilasasiakirjoihin saavat tehdä merkintöjä potilaan hoitoon osallistuvat terveydenhuollon ammattihenkilöt ja heidän ohjeidensa mukaisesti myös muut henkilöt siltä osin kuin he osallistuvat hoitoon Opiskelijat saavat tehdä merkintöjä toimiessaan laillistetun ammattihenkilön tehtävässä. Muutoin opiskelijan tekemät merkinnät hyväksyy hänen esimiehensä, ohjaajansa tai tämän valtuuttama henkilö Sairaankuljetukseen osallistuvilla muilla kuin terveydenhuollon ammattihenkilöillä on oikeus tehdä potilasasiakirjamerkintöjä toiminnasta vastaavan terveydenhuollon ammattihenkilön ohjeita noudattaen Terveydenhuollon ammattihenkilö vastaa sanelunsa perusteella tehdyistä potilasasiakirjamerkinnöistä

Eri ammattiryhmien käyttöoikeudet

Esko-käyttäjähallinta

Asiallisen syy-yhteyden kysely:

Käyttäjähallintaan liittyvää dialogia Eskojärjestelmässä Käyttäjä yrittää hakea omia potilastietojaan: Käyttäjä hakee erityissuojattuja tietoja:

Terveydenhuollon ammattihenkilöiden käyttöoikeudet Käyttöoikeudet siinä laajuudessa kuin työtehtävät ja vastuu sitä edellyttävät Erilaiset käyttöoikeusroolit potilastietojärjestelmiin esim. lääkärin rooli ja sen mahdolliset mukanaan tulevat erityisoikeudet esim. OYS:n lääkärin erityisoikeuksiin kytketty diagnoosien tallentaminen sairaanhoitajan/lähihoitajan/ensihoitajan rooli erityistyöntekijöiden, jotka ovat myös terveydenhuollon ammattihenkilöitä, roolit

Muiden terveydenhuollon työntekijöiden käyttöoikeudet Osastonsihteeri osastonsihteerin toimenkuva vaihtelee eri terveydenhuollon toimintayksiköissä samoin toimintayksiöiden sisällä eri klinikoissa voi olla osastonsihteerillä erilaisia tehtäviä monissa erikoissairaanhoidon yksilössä osastonsihteeri huolehtii ajanvarauksesta, varaa tutkimuksia, ottaa vastaan lähetteet ja huolehtii ne eteenpäin käsittelijöille, tallentaa hoitoilmoitukset, huolehtii käynti- ja diagnoositiedot laskutukseen ja tilastointiin, tuottaa tekstiä potilaskertomukseen sanelun perusteella, huolehtii potilaan siirtokuljetusten tilaamisesta, lähettää potilasasiakirjoista erilaisia jakeluita lääkärin määräyksestä ja potilaan suostumuksen perusteella, toimittaa potilasasiakirjoja lausuntoja yms. varten terveydenhuollon ammattihenkilöille jne. osastonsihteerin työnkuvan mukaiset erittäin laajat käyttöoikeudet eri potilastietojärjestelmiin, yleensä laajimmat mahdolliset käyttöoikeudet

Muiden terveydenhuollon työntekijöiden käyttöoikeudet Klinikkasihteeri laatii lausuntoja, antaa käyttöoikeuksia järjestelmiin käyttöoikeuksissa mm. käyttäjätunnusten teko-oikeus Tekstinkäsittelijä laajat käyttöoikeudet potilaskertomusjärjestelmiin (kertomusjärjestelmä ja siihen liittyvät erillisjärjestelmät), joihin tuottaa tekstiä saneluiden perusteella, esim. OYS:ssa Esko-Mediform, Kunto-Apu, Q-pati, NeaRis jne. jne. usein tarvetta myös muihin potilastietojärjestelmiin Erityistyöntekijät, jotka eivät ole terveydenhuollon ammattihenkilöitä esim. sosiaalityöntekijät terveydenhuollossa käyttöoikeudet tehtävien mukaisesti esim. sosiaalityöntekijä osallistuu potilaan hoitoon ja tekee sen mukaiset merkinnät

Muiden terveydenhuollon työntekijöiden käyttöoikeudet Arkiston työntekijät (OYS:n toimintamalli) tietopalvelu eri organisaatioihin potilaan suostumuksen mukaisesti, tiedot tulostetaan järjestelmästä ja postitetaan tai lähetetään suoraan järjestelmästä lähete-palaute-järjestelmästä tai e-kirjeenä potilaalle voidaan lähettää järjestelmästä tulostetut asiakirjat tai suoraan e- kirjeenä paperimuotoiset kertomukset toimitetaan lainaan ajanvaraustietojen perusteella, arkisto itse tuottaa potilaslistat potilashallinnon järjestelmästä käyttöoikeudet laajat Asiakaspalveluyksiköiden työntekijät (mm. neuvonnat, puh.keskus) oikeudet yleensä potilaan sijaintitietoihin Potilaslaskutusta hoitavat henkilöt osalla oikeus tarkistaa tietoja potilaskertomusjärjestelmästä epäselvissä tilanteissa oikeus potilashallinnon järjestelmiin tehtävien mukaisesti

Muiden terveydenhuollon työntekijöiden käyttöoikeudet Tietohallinnon henkilöstö virhetilanteiden selvittely vaatii usein laajoja käyttöoikeuksia OYS:ssa myös tietohallinnon henkilöstö tuottaa potilaskertomusjärjestelmän Potilasasiamies oikeus potilastietoihin perustuu potilaan suostumukseen OYS:ssa voi katsoa potilasasiakirjoja Eskosta potilaan suostumuksella ei välttämättä tarvitse suoraan käyttöoikeutta potilaskertomusjärjestelmään, vaan potilas toimittaa tarvittavat asiakirjat potilasasiamiehelle Tietosuojavastaava tehtäväkuvasta riippuen voi olla oikeutettu käyttölokiin, jos lokivalvonta määrätty tehtäväksi lokin tarkastamista varten tarvitsee käyttöoikeuksia myös varsinaiseen potilaskertomus- ja potilashallintojärjestelmään

Opiskelijoiden ja tutkijoiden käyttöoikeudet Opiskelijoilla tulee olla henkilökohtaiset käyttöoikeudet siinä laajuudessa kuin tehtävät edellyttävät OYS:n käytäntö: Lääketieteen opiskelijat saavat harjoittelujaksolle käyttäjätunnukset sen mukaisesti mille erikoisalalle ovat tulossa harjoitteluun. Käyttäjätunnuksia muutetaan sen mukaan, miten harjoittelu etenee Edellytyksenä käyttäjätunnuksen saamiselle on, että opiskelija on osallistunut pakollisiin tietosuoja- ja tietoturvakoulutuksiin sekä Eskopotilaskertomusjärjestelmän käyttökoulutukseen Sama käytäntö suunnitteilla myös muille opiskelijoille Tutkijoiden käyttöoikeudet OYS:ssa Sairaalan ulkopuoliset tutkijat toimittavat tutkimuslupa-anomuksen eettiselle tk:lle tai johtajaylilääkärille. Luvan tutkimukseen saatuaan toimittavat luvan ja listan tutkittavista potilaista arkistoon, jossa annetaan tutkijalle käyttöoikeudet Eskoon Virassa olevien tutkijoiden, joilla on Eskon käyttöoikeus tulee toimittaa tutkimuslupa ja lista tutkittavista potilaista arkistoon

Potilaskertomusjärjestelmän (ESKO) hajautettu käyttäjähallinta PPSHP:ssä Klinikkasihteeri antaa lääkäreiden, osastonhoitajien, lääketieteen opiskelijoiden sekä muiden lääkäreiden alaisuudessa toimivien henkilöiden käyttöoikeudet Osastonhoitaja antaa käyttöoikeudet omille alaisilleen tehtävänimikkeestä riippumatta Erityistyöntekijöiden, arkiston, asiakaspalveluyksiköiden esimiehet antavat käyttöoikeudet alaisilleen Tutkimusluvan saaneelle PPSHP:n ulkopuoliselle tutkijalle käyttöoikeudet myöntää johtajaylilääkäri ja käyttäjätunnuksen tekee arkistopalvelupäällikkö. PPSHP:n työntekijälle tutkimusluvan myöntää tulosyksikön-/vastuualueen johtaja ja/tai esimies Kunkin henkilön käyttöoikeuksien tulee vastata hänen työtehtäviään (lääkärille lääkärin oikeudet jne.) Jos varsinainen käyttöoikeuksien antaja on poissa, hänellä on oltava käyttöoikeuksien antamiseen nimetty sijainen

Potilashallintojärjestelmän (Oberon) hajautettu käyttäjähallinta Käyttäjätunnusten tekoon on erikseen määritelty profiili: Käyttäjätunnusten tekijä, joka annettu vain tietyille henkilöille Osastonhoitaja ja hänen nimeämänsä hoitaja antaa tunnukset sairaanhoitohenkilöstölle Klinikkasihteeri antaa tunnukset lääkärille Muille työntekijöille antaa tunnukset esimies Käyttäjän on kirjauduttava tunnusten tekijä-profiililla Oberoniin käyttäjätunnusten hallinnointiin liittyviä töitä varten Yksikön on itse varmistauduttava, että käyttäjätunnusten tekijä on paikalla, kun sitä tarvitaan. Tietohallinto ei tee Oberon-tunnuksia ja niihin käyttöoikeuksia kenellekään, vaan auttaa mahdollisissa ongelmatilanteissa

Identiteetinhallinta

IdM identiteetinhallintaprojekti PPSHP:ssä Identiteetinhallinnalla varmistetaan, että käyttäjillä on todennetusti ja hyväksytysti vain heidän työtehtävissään tarvittavat käyttöoikeudet palveluihin Yhtenäinen hallintaprosessi tietojärjestelmien sisäiselle käytölle ja ulkoisille sidosryhmille Sisäisessä käytössä käyttöoikeuksien hallinta perustuu käyttäjän työsuhteen elinkaarenhallinnan eri vaiheisiin Ulkoisen käytön osalta asiakkaiden ja kumppaneiden käyttö perustuu sopimukseen Identiteetinhallintajärjestelmä, johon integroidaan sovitut sovellukset Tunnistustoiminnot: olemassa olevat tavat ja ratkaisut huomioiden Valviran ja valtionhallinnon Virtu-hankkeen sekä kuntien VirtuK-hankkeen asettamat vaatimukset Lähde: PPSHP - Identiteetinhallinnan kehittäminen/etenemisehdotus/panorama Partners

IdM projektin tavoitteet 1/2 Sisäinen käyttö: hallittu ja yhtenäinen prosessi identiteetinhallinnassa, auditointi, seuranta ja toiminta muutostilanteissa esim. lyhyet työsuhteet ja sijaistaminen erillisjärjestelmien (esim. potilastietojärjestelmät) käyttöoikeuksien tilaaminen hajautettu yksiköihin ja hyväksyttyjen tilausten operointi keskitetty käyttöoikeusryhmälle integroidaan mahdollisesti hajallaan olevien eri järjestelmien käyttäjätiedot yhdeksi ehyeksi käyttäjätietovarastoksi Lähde: PPSHP - Identiteetinhallinnan kehittäminen/etenemisehdotus/panorama Partners

IdM projektin tavoitteet 2/2 Ukoinen käyttö: asiakkaiden ja kumppaneiden käyttö perustuu sopimuksiin ja sitoumuksiin sähköisen asioinnin tuki ehyt identiteetinhallinnan käyttäjävarasto mahdollisimman samankaltaiset prosessit identiteetinhallinnassa kuin sisäisessä käytössä Lähde: PPSHP Identiteetinhallinnan kehittäminen/etenemisehdotus/panorama Partners

Identiteetinhallinnan prosessit

Lähde: PPSHP - Identiteetinhallinnan kehittäminen/ Etenemisehdotus/Panorama Partners Identiteetinhallinnan yleisprosessi

Uuden sisäisen käyttäjän perustaminen Uusi työntekijä on tulossa työhön ja tarvitsee käyttäjätunnukset varmistetaan Valviran kortin olemassaolo ja sen antamat oikeudet tarvittaessa luodaan uusi kortti RA-pisteessä Henkilöstöhallinto varmistaa työsopimuksen olemassaolon ja luo uuden työntekijän henkilöstöhallinnan järjestelmiin Käyttöoikeusryhmä luo uuden sisäisen käyttäjän ja liittää organisaatioon. Antaa käyttäjälle työroolin mukaiset käyttöoikeudet ja perusoikeudet työyksikössä annetaan perustason ylittävät käyttöoikeudet esim. sairaanhoitajan roolin mukaiset käyttöoikeudet potilastietojärjestelmiin Lähde: PPSHP/Alustavat IAM/IdM-prosessit/PanoramaPartners Oy

Työtehtävien muutos Käyttäjälle tulee muutos työtehtäviin Henkilöstöhallinto huolehtii työntekijän työnimikkeen muutoksesta Käyttöoikeusryhmä päivittää käyttäjän työroolia ja sijaintia organisaatiossa. Poistaa aikaisemmat työroolin mukaiset käyttöoikeudet ja antaa uuden työroolin mukaiset käyttöoikeudet perusjärjestelmiin työyksikössä annetaan uuden roolin mukaiset käyttöoikeudet perustason ylittäviin järjestelmiin esim. potilastietojärjestelmät hajautetussa käyttäjähallinnassa Lähde: PPSHP/Alustavat IAM/IdM-prosessit/PanoramaPartners Oy

Erilliskäyttöoikeuksien hakeminen Käyttäjä toteaa tarvitsevansa erilliskäyttöoikeutta johonkin tietojärjestelmään tai sen osaan hakee erilliskäyttöoikeuksia Esimies hyväksyy käyttöoikeuspyynnön Käyttöoikeusryhmä/sovelluksen pääkäyttäjä antaa erilliskäyttöoikeudet Lähde: PPSHP/Alustavat IAM/IdM-prosessit/PanoramaPartners Oy

Käyttäjän työsuhde päättyy Työntekijän työsuhde päättyy Henkilöstöhallinto huolehtii työntekijän poistamisesta henkilöstöhallinnon järjestelmistä Käyttöoikeusryhmä poistaa käyttäjän ja poistaa käyttäjäoikeudet työyksikössä tulee poistaa perusoikeudet ylittävät käyttöoikeudet (potilastietojärjestelmät). Lähde: PPSHP/Alustavat IAM/IdM-prosessit/PanoramaPartners Oy

POHJOIS-POHJANMAAN SAIRAANHOITOPIIRI

Pohjois-Pohjanmaan sairaanhoitopiiri

Pohjois-Pohjanmaan sairaanhoitopiiri Käytön valvonta

Pohjois-Pohjanmaan sairaanhoitopiiri Käytön valvonta Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) Sosiaalihuollon ja terveydenhuollon palvelujen antajan tulee pitää rekisteriä omien asiakastietojärjestelmiensä ja asiakasrekisteriensä käyttäjistä sekä näiden käyttöoikeuksista Palvelujen antajan tulee kerätä asiakasrekisterikohtaisesti kaikesta asiakastietojen käytöstä Käyttölokirekisteriin tallennetaan tieto käytetyistä asiakastiedoista, siitä palvelujen antajasta, jonka asiakastietoja käytetään, asiakastietojen käyttäjästä, tietojen käyttötarkoituksesta ja käyttöajankohdasta Potilasasiakirja-asetus(298/2009): Lokitietoja tulee säilyttää eheinä ja muuttumattomina 12 vuotta niiden syntymisestä (siirtymäsäännös) Potilasasiakirja-asetus(99/2001): Automaattisen tietojenkäsittelyn avulla pidettävien potilasasiakirjojen käyttöä tulee valvoa käytettävissä olevin riittävin teknisin menetelmin

Pohjois-Pohjanmaan sairaanhoitopiiri Lokitietojen käsittelyn tarkoitus Lokitietojen käsittelyn tarkoitus on valvoa ja tarvittaessa reagoida, että rekisteröityjä koskevia henkilötietoja käsitellään annettujen ehtojen, määräysten ja lain mukaisesti. Lokia voidaan käyttää myös tilastotarkoitusta varten esim. tietoliikenteen kapasiteetin seurantaan, kustannusten jakoon eri toimipisteille tai toimintayksiköille ja teknisten ongelmien selvittämiseen Lokia saavat käyttää vain ne henkilöt, joiden työtehtäviin lokiseuranta on määritelty kuuluvaksi. Tehtävät ja talletettavat tiedot on määriteltävä siten, että ne perustuvat vain lokin käyttötarkoitukseen, eli rekisteröityjen yksityisyyden toteuttamiseen

Pohjois-Pohjanmaan sairaanhoitopiiri Oikeus lokitietoihin Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä Asiakkaalla on oikeus kirjallisesta pyynnöstä saada maksutta tieto siitä, kuka on käyttänyt tai kenelle on luovutettu häntä koskevia tietoja ja mikä on ollut käytön tai luovutuksen peruste Katseluyhteys luovutuslokiin Tieto käyttölokista kirjallisesta pyynnöstä rekisterinpitäjältä Oikeus lokitietoihin perustuu myös viranomaisten toiminnan julkisuudesta annetun lain asianosaisoikeuteen

Pohjois-Pohjanmaan sairaanhoitopiiri Pääprosessit käyttölokin valvonnassa Rekisterinpitäjän oma valvonta satunnaisotannat oma-aloitteisesti (ts-vastaava), lokin tuottaminen, tarkistaminen, raportointi mahdollisista väärinkäytöksistä organisaatioyksikköön, selvityspyyntö asianosaiselle, mahdollinen rangaistus, jos havaittu väärinkäytös Potilas haluaa tarkastaa käyttölokin omien tietojensa osalta pyyntö tietosuojavastaavalle, lokin tuottaminen, tarkastus ennen potilaalle antamista tai tarkastus yhdessä potilaan kanssa OYS:n käytäntö: potilas aloittaa oman prosessinsa johtajaylilääkärin, AVI:n tai poliisin kautta

Pohjois-Pohjanmaan sairaanhoitopiiri Pääprosessit käyttölokin valvonnassa Sairaanhoitopiirin henkilökuntaan kuuluva epäilee omassa yksikössään väärinkäytöstä pyyntö tietosuojavastaavalle, lokin tuottaminen, tarkastus yhdessä pyytäjän kanssa, mahdollinen ilmoitus työyksikköön, selvityspyyntö, mahdollinen rangaistus Rekisteröity (tietojärjestelmän käyttäjä) haluaa tarkistaa omat tietonsa pyyntö tietosuojavastaavalle

Pohjois-Pohjanmaan sairaanhoitopiiri Mitä Eskon lokista saadaan ulos? Käyttäjäkohtainen loki Potilaskohtainen loki

Pohjois-Pohjanmaan sairaanhoitopiiri AIHE TUTKIA KÄYTTÖÄ POTILASTIETOREKISTERIN KÄYTTÖTIETOJEN SELVITYKSEN KULKU Asiattoman käytön etsiminen TARKASTUKSEN VIREILLEPANO Valvoja Käytön rutiinivalvonta kuukausittain TARKASTUS Valvoja Säännönmukainen käyttölokin tarkastus Todettu tietojen erityinen väärinkäyttöuhka Väite työntekijän tai työntekijäryhmän epäasiallisesta tietojenkäsittelyn tavasta Valvoja Esimies Määritellään uhka ja sen hallinnan vaatimat tarkastukset Ilmoittaa tarkastuksen tarpeesta ja määrittelee selvityksen kohteen Työntekijän potilastietojen käyttötavan selvittäminen Arkisto_ päällikkö Kansalaisen esittämä epäily potilasrekisterinsä väärinkäytöstä Arkisto_ päällikkö Selvittää papereiden käytön ja pyytää lokin tarkastusta valvojalta Tarkentaa epäilyn kohteet ja ajan, epäilyn perusteen sekä selvittää papereiden käytön. Pyytää lokin tarkastusta valvojalta Valvoja Käyttölokin tarkastus Muu käyttölokin toistuva tarkastus Valvoja Valvoja RAPORTTI tietoturva neuvottelukunnalle ja johtajaylilääkärille kahdesti vuodessa tai tarvittaessa Arkisto_ päällikkö Kerrotaan Vaihtoehdot: - kerrotaan yhteenveto suullisesti tai asianosaiselle selvityksen tulos kirjallisesti - annetaan lista, jossa ilmenee missä Väärinkäyttöepäilyn selvitys -Tietoja ei ole käytetty - Tiedon käytössä ei ole selvitettävää Ei jatkotoimia

Pohjois-Pohjanmaan sairaanhoitopiiri PPSHP: Tietoturva- ja tietosuojarikkomusten seuraamukset - luonnos Lievä rikkomus (Asiaton toiminta), esim. * Henkilökohtaisen tietoturvan RIKKOMUKSEN VAKAVUUS laiminlyönti * Epäasiallinen käytös * Haitan aiheuttaminen * Resurssien tuhlaus * Virustorjunnan laiminlyönti * Luvaton kaupallinen tai poliittinen toiminta * Kulunvalvontasääntöjen rikkominen Rikkomus (Vakava väärinkäyttö tai turvallisuuden vaarantaminen), esim. * Ohjelmien ja pelien luvaton kopiointi * Luvattomien ohjelmien asentaminen * Ylläpitäjän työkalujen luvaton hallussapito * Palvelun luvaton pystytys * Tunnuksen luovuttaminen * Tiedon luottamuksellisuuden vaarantaminen Vakava rikkomus/rikos (Lain mukaan rikkomuksena tai rikoksena tuomittava teko), esim. * Potilastiedon tai liikesalaisuuden luvaton käsittely ja luovuttaminen * Hakkerointi, tunkeutuminen * Rikoslain alaisen materiaalin oikeudeton käsittely * Tekijänoikeuslain alaisen materiaalin laiton levittäminen * Virusten tahallinen levittäminen Teon arviointi Mahdolliset seuraamukset Tietämättömyys Osaamattomuus Huolimattomuus Vahinko Tahattomuus Huomautus Kirjallinen huomautus Suullinen tai kirjallinen huomautus Rikosilmoitusta harkitaan Piittaamattomuus Törkeä huolimattomuus Välinpitämättömyys Tahallisuus Toistuvuus Huomautus Kirjallinen varoitus Kirjallinen varoitus Käyttöoikeuden peruminen Palvelussuhteen purku Irtisanominen Kirjallinen varoitus Rikosilmoitus Palvelussuhteen purku Irtisanominen Rikoksentekotarkoitus (vahingonteko, luvaton käyttö, vakoilu, salassapitorikos, virkaaseman väärinkäyttö yms.) Hyötymistarkoitus Rikosilmoitusta harkitaan Kirjallinen varoitus Palvelussuhteen purku Irtisanominen Rikosilmoitus Palvelussuhteen purku Irtisanominen Rikosilmoitus Palvelussuhteen purku Irtisanominen

POHJOIS-POHJANMAAN SAIRAANHOITOPIIRI Kiitos mielenkiinnosta! Seuraavaksi väliaika: kahvia ja pullaa!

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute