1 (10) johtoryhmä 10.3.2015 38, yhtymähallitus 30.3.2015 Sosiaali- ja terveydenhuollon tietojärjestelmiä käyttävien palveluiden antajien omavalvontasuunnitelma Sosiaalihuollon ja terveydenhuollon palvelujen antajilla on velvoite laatia omavalvontasuunnitelma, jossa käsitellään organisaation tietoturvaan ja tietosuojaan sekä tietojärjestelmien käyttöön liittyviä keskeisiä asioita. Omavalvontasuunnitelman tarkoituksena on varmistaa, että palvelujen antajan henkilökunta hallitsee käytössään olevien tietojärjestelmien käytön ja osaa ottaa huomioon asiakas- ja potilastietojen salassapitoon ja tietoturvaan liittyvät vaatimukset. Lisäksi omavalvontasuunnitelmassa tulee ottaa huomioon tietojärjestelmien käyttöympäristöön, ylläpitoon ja päivitykseen liittyvät asiat. ssa jo olemassa olevaa tietosuojakäsikirjaa voidaan laajentaa koskemaan ko. lain edellyttämiä muutoksia. Sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain (159/2007) 19 h, sellaisena kuin se on laissa 250/2014. Laki sähköisestä lääkemääräyksestä (61/2007) 22 b, sellaisena kuin se on laissa 251/2014.
2 (10) 19 h ja 22 b :n mukainen omavalvontasuunnitelman tulee olla palvelujen antajalla pääsääntöisesti viimeistään 1.1.2015. * * 1) Kansaneläkelaitoksella, palvelujen antajalla ja välityspalvelun tuottajalla, joka on liittynyt valtakunnallisiin tietojärjestelmäpalveluihin tämän lain voimaan tullessa, viimeistään 1 päivänä tammikuuta 2015; 2) terveydenhuollon valtakunnallisiin tietojärjestelmäpalveluihin tämän lain voimaantulon jälkeen liittyvällä liittymisestä lukien; jos liittyminen tapahtuu 1 päivään tammikuuta 2015 mennessä, suunnitelman on kuitenkin oltava viimeistään mainittuna ajankohtana; sekä 3) muilla sosiaalihuollon ja terveydenhuollon tietojärjestelmiä käyttävillä palvelujen antajilla viimeistään 1 päivänä huhtikuuta 2015.
3 (10) Omavalvontasuunnitelmassa on selvittävä miten seuraavat järjestelmien käyttöön liittyvät asiat varmistetaan: VAATIMUS Henkilöillä, jotka käyttävät tietojärjestelmiä, on niiden käytön vaatima koulutus ja kokemus. Tietojärjestelmien yhteydessä on saatavilla niiden asianmukaisen käytön kannalta tarpeelliset ORGANISAATION TOIMENPITEET 1. Henkilökunnan kouluttaminen tietojärjestelmien käyttöön tehtävien vaatimusten mukaisesti 2. Toimintamalli uusien työntekijöiden kouluttamiseen 3. Ohjeet potilastietojen käsittelystä 4. Osaamisen seuranta 1. on kouluttanut henkilökunnan tietojärjestelmien turvalliseen ja asianmukaiseen ja tarkoituksenmukaiseen TODENTAMINEN 1. Potilastietojärjestelmän Mediatri koulutusta annetaan kaikille Mediatria käyttäville, lääkärit kouluttaa tietohallintolääkäri Antti Niemi kerran kuukaudessa. Sihteerit ja sairaanhoitajat kouluttaa PTTK:n Mediatri-kouluttajat keskimäärin kerran 2 kk. 2. Perehdytysohjelma ja sen jatkuva toteuttaminen. Esimiehet huolehtivat, että uudet työntekijät saavat koulutuksen tietojärjestelmän käyttöön. Yksiköiden vastuukäyttäjillä on pääasiallinen vastuu uusien työntekijöiden perehdyttämisestä. Potilastietojärjestelmän vastuukäyttäjäpalaverit noin 2 krt/vuodessa yksiköiden vastuukäyttäjille. 3. ssa on käytössä kirjalliset ohjeet potilastietojen käsittelystä henkilökunnalle (Potilasrekisterin tietosuojaohje). Tietosuojakoulutus toteutetaan kanta.fi palvelussa ja esimies lisää suoritetut koulutukset HR-järjestelmään. 4. Esimies seuraa henkilöstön suorittamia koulutuksia HR-järjestelmästä. 1. Tietoturvaa ja -suojaa käsittelevä koulutus henkilöstölle kaksi kertaa vuodessa, jokaisen tulee suorittaa tieturvaa ja suojaa käsittelevä kanta.fi tietosuojakoulutus viiden vuoden välein.
4 (10) käyttöohjeet. käyttöön Tietojärjestelmiä käytetään valmistajan antaman ohjeistuksen mukaisesti. Tietojärjestelmiä ylläpidetään ja päivitetään valmistajan ohjeistuksen mukaisesti. Käyttöympäristö soveltuu tietojärjestelmien asianmukaiseen sekä tietoturvan ja 2. Tietojärjestelmistä on saatavilla käytön kannalta tarpeelliset käyttöohjeet 1. Potilastietojärjestelmän toimittajan ohjeistus ja koulutus 2. n oma ohjeistus ja koulutus 1. Tietojärjestelmän päivitys- ja korjausprosessin kuvaaminen 2. Muutoksenhallintaprose ssi 3. Virhetilanteiden hallinta 1. Tietosuojavastaava 2. Tietoturvapolitiikka 3. Tietosuojan valvonta 2. Ohjelmiston oma käyttöohjeet löytyvät Mediatrista, Versiopäivitykset saatetaan tietoon henkilöstölle intrassa ja sähköposti tiedotteilla vastuukäyttäjille sekä esimiehille. 1. kouluttaa henkilökunnan tietojärjestelmien käyttöön. Perehdytysohjelma on olemassa ja sen jatkuva toteuttaminen. Tietojärjestelmän toimittajan ohjeistus on käyttäjien tiedossa ja saatavilla. 2. Omavalvontasuunnitelmaan on kuvattu menettelytavat, jolla seurataan järjestelmän valmistajien antamien ohjeistusten mukaista käyttöä. 1. Potilastietojärjestelmästä on kuvattu prosessi joka sisältää versio- ja korjauspäivitykset sekä myös pienemmät toiminnalliset muutokset. 2. Muutostenhallintaprosessissa tulee kuvata miten tehdyt muutokset on suunniteltu, hyväksytty, testattu ja dokumentoitu. 3. ssa on virhetilanteiden sattuessa toipumissuunnitelma ja häiriötilanneohjeet. ssa on suunnitelma järjestelmien toiminnan valvontaan sekä poikkeustilanteiden ja virhetilanteiden havainnointiin ja niistä tiedottamiseen. 1. lle on nimetty tietosuojavastaava (Pekka Nevalainen) ja työtehtäviin on resursoitu työaikaa. 2. lla on tietoturvapolitiikka laadittuna ja se on päivitetty 26.11.2012. KYS-ERVA alueen yhteinen tietoturvapolitiikka on myös hyväksytty vuonna 2013.
5 (10) tietosuojan varmistavaan käyttöön. 4. Tunnistautuminen järjestelmään 5. Käyttövaltuushallinta 6. Käyttöoikeuksien jako ja hallinta 7. Verkkoyhteyden suojaus 8. Istunnon katkaisu 9. Lokitietojen muuttumattomuus 10. Asialliseen käyttöön liittyvä fyysinen käyttöympäristö. 11. Liikuteltavien laitteiden tietoturva ja suoja 12. Ulkoiset tallennuslaitteet 3. lla on laadittu tietosuojaan liittyvä seuranta- ja valvontasuunnitelma, joka on päivitetty 2014. 4. ssa on käytössä yksilölliset käyttäjätunnukset ja sähköinen tunnistaminen toimikortilla. Tunnistamiseen käytetään pääsääntöisesti sähköistä tunnistamista. 5. Käyttäjätunnukset myönnetään ja poistetaan käytöstä esimiehen hakemuksesta. Käyttäjätunnusten voimassaolo on työsopimuksen mukaisesti. 6. ssa on kuvattu käyttöoikeuksienhallintaprosessi. ssa on valvontasuunnitelma potilastietojen käsittelyn seurantaan ja valvontaan. 7. Tietoliikenne on suojattu palomuurilla tai palomuureilla. Lisäksi käytössä on internet tietoliikenteen sisällönsuodatus. 8. ssa on käytössä työasemakohtainen lukitus. 9. Potilastietojärjestelmään on toteutettu lokiympäristö, joka on vain tietosuojavastaavan käytössä. 10. Toimitilat/laitteiden sijoittelu jne. on toteutettu tietoturva ja tietosuoja varmistaen, siten että tiedot eivät näy sivullisille. 11. Kiertokärryt ovat suojatussa langattomassa verkossa ja suojattu samoin kuin kiinteät työasemat. 12. n suositus on olla käyttämättä ulkoisia tallennusvälineitä. Valvonta mahdotonta esim. usb-tikkujen osalta. Tietojärjestelmiin liitetyt muut 1. Vastuiden määrittelyt 1. Järjestelmän tai palvelun hankinnan yhteydessä
6 (10) tietojärjestelmät tai muut järjestelmät eivät vaaranna tietojärjestelmien suorituskykyä eivätkä niiden tietoturva- tai tietosuojaominaisuu ksia. 2. Hallintayhteydet järjestelmään (etäyhteydet) 3. Järjestelmän ylläpito 4. Tietojärjestelmiin liitetyt muut tietojärjestelmät tehdään vaatimusmäärittely, jossa vastuut määritellään. Pääosa ICT-palveluista hankitaan PTTK Oy:n kautta järjestelmäkohtaisin sopimuksin 2. PTTK tekee erilliset sopimukset etäyhteyksistä järjestelmätoimittajien kanssa esim. ylläpitotoimia varten. Sopimuksissa noudatetaan organisaation tietoturva ja tietosuojaohjeistuksia. 3. Järjestelmissä ei ole ylimääräisiä palveluja eikä sovelluksia. Järjestelmissä ei ole aktiivisia oletustunnuksia ja muita oletuksena tulevia tietoturvallisuuden kannalta vaarallisia asetuksia. Palvelimet ja konesalit ovat PTTK Oy:n hallinnassa 4. ssa on olemassa järjestelmälistaus, jossa tietojärjestelmien kriittisyystasot on määritelty Integraatiokuvaukset PTTK Oy:n vastuulla.
7 (10) Tietojärjestelmiä asentaa, ylläpitää ja päivittää vain henkilö, jolla on siihen tarvittava ammattitaito ja asiantuntemus 1. Vastuiden määrittely 2. Pääkäyttäjän vastuualueet 3. Sopimukset (vastuut/roolit) järjestelmäntoimittajan ym. muiden kanssa 1. Tietojärjestelmiä ylläpitää PTTK Oy:n henkilökunta 2. n oman pääkäyttäjän toimenkuva on perehdytys ja koulutus sekä tietojärjestelmän ongelmista raportoiminen PTTK Oy:lle. Muutamissa järjestelmissä myös käyttäjähallinta kuuluu pääkäyttäjälle. 3. Sopimukset PTTK Oy:n kanssa Vaaratilanteista ja poikkeamista ilmoittaminen 1. Jos sosiaali- tai terveydenhuollon palvelujen antaja havaitsee, että tietojärjestelmän olennaisten vaatimusten toteutumisessa on merkittäviä poikkeamia, on palvelujen antajan ilmoitettava siitä tietojärjestelmän valmistajalle. 2. Jos poikkeama voi aiheuttaa merkittävän riskin potilasturvallisuudelle, tietoturvalle tai tietosuojalle, on siitä 1. Käyttäjällä on mahdollisuus ilmoittaa ongelmista PTTK:n service deskiin, esimiehelle tai tehdä HaiPro vaaratilanneilmoitus. Ilmoitukset järjestelmän toimittajalle PTTK:n kautta. 2. Vakavista vaaratilanteista tehdään ilmoitus Valviralle.
8 (10) Selvitys siitä, miten valtakunnallisiin tietojärjestelmäpalve luihin liittyvät tietosuojan erityiskysymykset on järjestetty. Omavalvontasuunnit elman toteutumisen seuranta ilmoitettava myös Sosiaali- ja terveysalan lupa- ja valvontavirastolle. 1. Henkilöillä, jotka käyttävät tietojärjestelmiä, on siihen koulutus 2. Verkkoyhteyksien suojaus 3. Käyttäjätunnusten yksilöllisyys 4. Auditoitu järjestelmä 5. Viestinvälityksen vaatimukset ja vastuut 6. Sosiaalihuollossa syntyvien tietojen Kantaan tallentamisen estäminen 7. Tietoliikenneyhteydet 1. Palvelujen antajan on aktiivisesta seurattava omavalvontasuunnitelm an toteutumista. Palvelujen antaja on vastuussa siitä, että tietoturvaan, 1. Valtakunnallisten tietojärjestelmäpalveluiden koulutus henkilöstölle www.kanta.fi sivujen kautta, lisäksi PKSSK:n ja PTTK:n järjestämät tietosuoja- j -turvakoulutukset 2. Liittyvien järjestelmien ovat palomuurilla/ palomuureilla suojatut. 3. Toimikortti kirjautuminen, opiskelijat käyttäjätunnus+salasana (vain paikallinen potilastieto) 4. Valtakunnallisiin tietojärjestelmäpalveluihin liittyvät organisaatiot käyttävät auditoituja järjestelmiä (Mediatri). 5. Sopimuksissa on huomioitu vaaditut viestinnän luottamuksellisuuteen liittyvät vaatimukset. 6. Ko. potilastiedot erotettu potilastietojärjestelmässä siten, että ne eivät tallennu Kantaan. Erityishuollon asiakastiedot ovat erillisessä tietokannassa. 7. Tietoliikenneyhteyksien sopimuksissa on huomioitu tietoturvapolitiikan vaatimukset. 1. Omavalvontasuunnitelmassa on määriteltävä vastuut suunnitelman päivittämisestä ja toteutumisen seurannasta Vastuu päivittämisestä (vuosittain kesäkuu) on tietohallintopäälliköllä ja turvallisuuspäälliköllä. 2. Terveydenhuollon asiatietojen käsittelystä
9 (10) tietosuojaan ja tietojärjestelmien käyttöön ja ylläpitoon liittyvät asian tulevat jatkuvasti hoidetuksi asianmukaisesti. on olemassa johtajaylilääkärin allekirjoittamat ohjeet. Sosiaalihuollon ohjetta ei tehty vielä. Omavalvonvantasuunnitelma on tehty elappi-hankkeen tuottaman sisällön mukaisesti. elappi-hankkeen tuottamaa asiasisällöä kommentoinut 3.6.2014 Tanja Stormbom, lakimies, Terveyden ja hyvinvoinnin laitos (THL) LIITE 1 Sosiaali- ja terveydenhuollon tietojärjestelmiä käyttävien palveluiden antajien omavalvontasuunnitelman kooste VAATIMUS KUNNOSSA / VAATII TARKENNUSTA / KESKENERÄINEN VASTUUTAHO TODENTAMINEN / PVM 1. Henkilöillä, jotka käyttävät tietojärjestelmiä, on niiden käytön vaatima koulutus ja kokemus. 2. Tietojärjestelmien yhteydessä on saatavilla niiden asianmukaisen käytön kannalta tarpeelliset käyttöohjeet. 3. Tietojärjestelmiä käytetään valmistajan antaman ohjeistuksen mukaisesti. 4. Tietojärjestelmiä ylläpidetään ja päivitetään valmistajan ohjeistuksen mukaisesti. n johto/ esimiehet Järjestelmän toimittaja
10 (10) 5. Käyttöympäristö soveltuu tietojärjestelmien asianmukaiseen sekä tietoturvan ja tietosuojan varmistavaan käyttöön. 6. Tietojärjestelmiin liitetyt muut tietojärjestelmät tai muut järjestelmät eivät vaaranna tietojärjestelmien suorituskykyä eivätkä niiden tietoturva- tai tietosuojaominaisuuksia. 7. Tietojärjestelmiä asentaa, ylläpitää ja päivittää vain henkilö, jolla on siihen tarvittava ammattitaito ja asiantuntemus. Järjestelmätuki Rekisterinpitäjä Järjestelmätuki Tietoliikenneoperaattori Järjestelmätuki Tietoliikenneoperaattori 8. Vaaratilanteista ja poikkeamista ilmoittaminen 9. Selvitys siitä, miten valtakunnallisiin tietojärjestelmäpalveluihin liittyvät tietosuojan erityiskysymykset on järjestetty. Rekisterinpitäjä Tietoliikenneoperaattori Teknisen ympäristön tarjoaja Palvelun välittäjä 10. Omavalvontasuunnitelman toteutumisen seuranta n johto/ vastaava johtaja
11 (10)