Tietoturvallisuuden, tietosuojan ja tietojärjestelmien käytön omavalvontasuunnitelma

Samankaltaiset tiedostot
Tietoturvan ja tietosuojan omavalvontasuunnitelma sote-palveluissa JUDO-työpaja Juha Mykkänen, kehittämispäällikkö

Auditoinnista omavalvontaan - omavalvontasuunnitelma ja sen laatiminen

Kanta-sertifiointi ja omavalvonta yleiskuva ja prosessit

Kanta-sertifiointi ja omavalvonta yleiskuva ja prosessit

OLENNAISET TOIMINNALLISET VAATIMUKSET - PÄIVITETTY LUOKITUS JA JÄRJESTELMÄLOMAKE Kela toimittajayhteistyökokous 26.4.

Sosiaali- ja terveydenhuollon asiakastietojärjestelmät ja niiden uudistukset

OHJE YLEISEEN KÄYTTÖÖN TARKOITETTUJEN OHJELMISTOJEN HYÖDYNTÄMISESTÄ SOTE- PALVELUISSA

SÄHKÖISEN LÄÄKEMÄÄRÄYKSEN TOIMINNALLISUUKSIA TOTEUTTAVIEN TIETO- JÄRJESTELMIEN VAATIMUSTENMUKAISUUS SIIRTYMÄVAIHEESSA

Olennaiset vaatimukset, sertifiointi + omavalvonta

Tietojärjestelmien valvonnan ajankohtaiset asiat

Organisaatiomuutokset yksityisessä terveydenhuollossa

Määräys sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista toiminnallisista vaatimuksista

OHJE LUOKKAAN A KUULUVIEN SOSIAALI- JA TERVEYDENHUOLLON TIETOJÄRJESTELMIEN MUUTOSTEN ILMOITTAMISESTA

Liittymisvalmistelut Kanta-palveluun. Potilastiedon arkisto THL

Tietojen käytön valvonta ja seuranta helpommaksi: käyttölokien kansalliset linjaukset ja määrittelyt

Käytönvalvonnan yhtenäistäminen ja tehostaminen organisaation ja kansalaisen kannalta

Potilas -ja asiakastietojärjestelmien vaatimukset ja valvonta Ammattimainen käyttäjä laiteturvallisuuden varmistajana

Kuka auttaa johtoa sosiaali- ja terveydenhuollon asiakastietojen käytönvalvonnassa?

Miten liitytään Kantapalveluihin. Ohje palveluja käyttöönottaville

Sosiaali- ja terveydenhuollon tietojärjestelmien valvonta

Kanta-palvelun vaatimukset palveluntuottajalle

Miten liitytään Kanta-palveluihin. Kanta-liittyjän ohje

Kanta-palveluiden vaatimukset sote- ja maakuntauudistuksessa

Kanta-palvelut miten valmistautua liittymiseen

Apteekkisopimus Päihdelääketieteen torstaikoulutus Maritta Korhonen, Kela Kanta-palvelut

Sosiaali- ja terveydenhuollon tietojärjestelmiä käyttävien palveluiden antajien omavalvontasuunnitelma

Sote-uudistuksen toimeenpano Kanta-palveluissa (Soutu-hanke) Erja Vornanen Kela

Valmistautumistilaisuus liittyjälle Potilastiedon arkisto. Kela, Kanta-palvelut,

Sote-tietojärjestelmien luokittelu, sertifiointi ja omavalvonta: usein kysytyt kysymykset

Potilastiedon arkisto

Kanta-palvelun vaatimukset palveluntuottajalle

THL:n sosiaalihuollon palvelutehtäviä koskeva määräys, käyttöoikeuksien perusteet ja muut määräykset

Tietosuojavastaavan toiminta ja dokumentointi

Liittyminen eresepti-palveluun. Yksityisten terveydenhuollon toimijoiden ereseptin käyttöönottoon valmistautuminen

Liittyminen eresepti-palveluun. Yksityisen terveydenhuollon toimijoiden ereseptin käyttöönottoon valmistautuminen

Tietosuojan tikapuut, lokienhallinta ja omavalvonta

Kanta-palvelut, Kelan näkökulma

Organisaation muutostilanteet. Kela, Kanta-palvelut

Terveydenhuollon ATK-päivät Logomo, Turku

Sosiaalihuollon valtakunnallisten tjpalveluiden. I-vaihe

Kanta-palveluiden rooli uudistusten tukena. Kehittämispäällikkö Anna Kärkkäinen Terveydenhuollon ATK-päivät

Kanta-palvelut Yleisesittely

Sosiaalihuollon asiakastiedon arkiston käyttöönoton valmistelu käynnistyy

Sosiaali- ja terveydenhuollon tietojärjestelmiä käyttävien palveluiden antajien omavalvontasuunnitelma

Liittyminen eresepti-palveluun. Yksityisten terveydenhuollon toimijoiden ereseptin käyttöönottoon valmistautuminen

Laatustandardit ja lakivaatimukset ohjaavat kehittämistyötä

Tietosuojakysely 2018

Kelan rooli maakunta- ja soteuudistuksessa

Valtuutussäännökset. Voimassaoloaika. Määräys tulee voimaan pp. päivänä [x]kuuta 2015 ja se on voimassa toistaiseksi.

KanTa- (Kansallinen terveysarkisto) palveluiden käyttöönotto. Ensimmäisenä sähköinen lääkemääräys

OMAVALVONTASUUNNITELMA 1.1

Tietosuojakysely 2019

Organisaation muutostilanteet

Kotiin annettavien palvelujen valvonta osana kunnan omavalvontaa. Järvenpään kotihoidon omavalvonta

OMAVALVONTASUUNNITELMA

tiedonhallinnan lainsäädännön muutokset osana maakunta- ja soteuudistusta

Kysymyksiä jä västäuksiä yksityisen terveydenhuollon liittymisestä potilästiedon ärkistoon

MIKÄ ON KANSA? Ajankohtaista sosiaalihuollon tiedonhallinnan kehittämisestä ja arkistosta

KETKÄ LIITTYVÄT KANTA-PALVELUIHIN Ketkä liittyvät Kanta-palveluihin. Kanta-liittyjän ohje

VALTAKUNNALLINEN VALVONTAOHJELMA JA OMAVALVONTA Riitta Husso, LM Valvira

Asiointi ja omahoito KA nykytila

Valmistautuminen potilastiedon arkiston käyttöönottoon. Käyttöönoton käsikirja ja toiminnallisen muutoksen tukeminen Anna Kärkkäinen

KETKÄ LIITTYVÄT KANTA-PALVELUIHIN. Ketkä liittyvät Kanta-palveluihin. Kanta-liittyjän ohje

OPERin toimintasuunnitelman valmistelu vuodelle Operatiivisen toiminnan ohjaus -yksikkö (OPER) Tietopalvelut-osasto

Kanta-palvelujen käyttöönotto sosiaalihuollossa

Auditointi. Teemupekka Virtanen

Sosiaali- ja terveydenhuollon tiedonhallinnan alueellista kehittämistä ohjaava viitearkkitehtuuri Kuntajohtajakokous

Kysely- ja välityspalvelu

Kanta-palvelut sosiaalihuollossa ja asiakastiedon kirjaamisen kehittäminen

Lain velvoitteet ja lakimuutosten vaikutukset yksityiselle sektorille. Jari Porrasmaa

Organisaation muutostilanteet. Kela, Kanta-palvelut,

Potilastiedon arkisto 2. vaiheen tietosisällöt ja toiminnallisuus. Projektipäällikkö Anna Kärkkäinen

Sopimus Kanta-palveluihin liittymisestä ja Kanta-palvelujen käytöstä v 1.0

Kanta-palvelut Sosiaalihuollon liittyminen Kanta-palveluihin

ERESEPTI TULEE MITÄ PITÄISI TEHDÄ? erespa viitoittaa tietä ereseptiin

Valtakunnallinen sosiaalihuollon asiakastiedon arkisto näkymiä toimeenpanoon

Omakannan uudet toiminnallisuudet

earkki vaikuttajafoorumi Potilastiedon arkisto Eeva Huotarinen

Alaikäisen puolestaasiointi

Mitä Sote-tieto hyötykäyttöön -strategia tarkoittaa rationaalisen lääkehoidon tutkimuksen näkökulmasta?

Potilastiedon arkisto Hakemus ja sitoumus. Kela, Kanta-palvelut, Viimeisin versio: kanta.fi > Potilastiedon arkiston käyttöönoton käsikirja

TOIMINTA KANTA-PALVELUJEN HÄIRIÖTILANTEESSA

Liittymisvalmistelut Kanta-palveluihin THL

Kanta-palvelut ja sosiaalihuolto, Kansa-hanke ja Kansa-koulu-hanke

Sosiaalihuollon tiedonhallinnan tilannekatsaus. Sosiaalihuollon asiakasasiakirjalain toimeenpano Aluekierros 1-4 / 2016

Tietosuojakysely 2017

Sähköinen lääkemääräys Käyttöönottojen tilanne ja tuki käyttöönottojen jälkeen

Liittyminen Kanta-palveluihin Valmistelukokous. Kela, Kanta-palvelut,

SÄHKÖISTEN PALVELUIDEN JA JÄRJESTELMIEN INFO-PÄIVÄ

Tietosuojakysely 2016

Ajankohtaista Kansa-hankkeesta ja sosiaalihuollon asiakastietojen käsittelyn yhdenmukaistaminen käyttöoikeuksilla

KIRJAAMISVALMENNUKSEN TIETOPAKETIT PÄÄKÄYTTÄJILLE JA ARKISTOVASTAAVILLE. Kokonaisuuden esittely

OMAVALVONTASUUNNITELMA

Sote-palveluluokitukset ja nimikkeistöt esiselvitys ja jatkosuunnitelmat Juha Mykkänen, Jarmo Kärki, Niina Peränen + valmisteluryhmä, THL

Potilastiedon arkistoon liittyminen 6 kk tukikokous

Sopimus Kanta-palveluihin liittymisestä ja Kanta-palvelujen käytöstä

Asiakastietolain ja reseptilain muutokset. Terveydenhuollon atk-päivät Pekka Järvinen, STM

Yksityisen sektorin Kanta-liityntä

Sote-rajapinnan tiedonkäsittely tulevaisuudessa

Transkriptio:

Tietoturvallisuuden, tietosuojan ja tietojärjestelmien käytön omavalvontasuunnitelma SohviTellu 2015 11.11.2015 Jyväskylä Kehittämispäällikkö Juha Mykkänen, FT THL / Oper 1 Tässä esityksessä Johdanto Omavalvonta: säädökset, määräykset ja ohjeet Yleiskuva ja suhde tietojärjestelmien olennaisiin vaatimuksiin Omavalvontasuunnitelman sisältö, suunnitelman laatiminen ja omavalvonnan toteuttaminen Keskustelu ja kysymykset 2 1

Hippokrateen vala, ote Mikäli parannustyössäni tai sen ulkopuolella ihmisten keskuudessa näen tai kuulen sellaista, mitä ei pidä levitettämän, vaikenen ja pidän sitä salaisuutena. Hippokrates (n. 460-370 ekr) 3 Suunnittelu ja kehittämistyö (Kehittäjän vastuu) Käyttöönotto ja käyttö (Palvelutuottajan vastuu) Perusta: periaatteet, käsitteet ja määritelmät Component model for health software & health IT systems safety standards, ISO/TC 215 WG7 & IEC TC/62: Application of risk management to information technology (IT) networks incorporating medical devices 4 2

Olennaiset vaatimukset ja omavalvonta: miksi? Lainsäädäntöön tehtiin vuonna 2014 merkittäviä muutoksia sekä sote-palvelujen tuottajille että järjestelmätoimittajille Varmistettava, että Järjestelmissä on käyttötarkoituksen kannalta oikeat toiminnallisuudet, riittävät tietoturvaominaisuudet ja että ne pystyvät liittymään osaksi Kanta-palvelujen kautta tapahtuvaa tietojen vaihtoa tietojärjestelmien OLENNAISET VAATIMUKSET Organisaatioissa ja palveluntuottajilla on asianmukaiset tietoturvakäytännöt, toiminnassa huomioidaan tietoturvallisuuteen liittyvät vaatimukset, ja järjestelmien käyttöympäristössä huolehditaan asianmukaisesta tietoturvasta OMAVALVONTA Erityishuomio Kanta-palvelujen kautta laajenevassa tietojen saatavuudessa, mutta huomioitava kaikessa toiminnassa 5 Omavalvonnan ja olennaisten vaatimusten suhde Tietoturvallisuuden varmistaminen on jatkumo Päivittäisen palvelutuotannon käytännöt ja toimintatavat ja niihin liittyvä ohjeistus sekä seuranta Käytettävät tietojärjestelmäratkaisut Järjestelmien tekninen ja toiminnallinen käyttöympäristö Osa vaatimuksista voi kohdistua eri tilanteissa ja organisaatioissa järjestelmien käyttöympäristöön, tietojärjestelmätuotteeseen tai paikallisiin toimintatapoihin Myös osa tietojärjestelmien tietoturvavaatimuksista voidaan toteuttaa tai kompensoida käyttöympäristön toimenpiteillä Tärkeää ymmärtää omavalvonnassa myös järjestelmiin ja niiden käyttöympäristöön kohdistuvat olennaiset vaatimukset 6 3

Valtakunnalliset sosiaali- ja terveydenhuollon tietojärjestelmäpalvelut Sote- SADe Sosiaali- ja terveysalan palvelukokonaisuus THL 2012-2015 Kansa Sosiaalihuollon tiedonhallinta THL 2012 Kansalainen Ammattilainen Kanta-palvelut Sähköinen resepti Potilastiedon arkisto ja Tiedonhallintapalvelu Omakanta Kelain THL 2011 Vastuu tietosuojasta ja tietoturvasta Sosiaali- ja terveydenhuollon toimintayksikölle ja apteekeille lainsäädännöllinen velvoite varmistaa tietojen luotettava ja turvallinen käsittely kaikissa olosuhteissa Tietosuojan ja tietoturvan toteutumista seurataan omavalvonnalla Omavalvonnasta laaditaan suunnitelma Suunnitelman noudattamisen vastuu on toimintayksikön vastaavalla johtajalla Vastuu henkilökunnan ohjeistuksesta ja osaamisesta asiakas- ja potilastietojen käsittelyssä tietoturvapolitiikan laatimisesta ja noudattamisesta tietosuojavastaavan nimeämisestä ja toimenkuvasta asiakas- ja potilastietojen käsittelyn seurannasta ja valvonnasta väärinkäytösten selvittämisestä ja seuraamuksista ja näiden tiedottamisesta henkilöstölle sertifioidun tietojärjestelmän hankinnasta, ennen valtakunnalliseen tietojärjestelmäpalveluun liittämistä toimintayksikön asiakas- ja potilastietojärjestelmien käyttäjä- ja käyttöoikeushallinnasta Valvontaviranomaisella (kuten Valvira) on oikeus tehdä tarkastuksia 8 4

Olennaisten vaatimusten ja omavalvonnan säädökset Nojautuvat aiempiin käytäntöihin mm. tietoturva-auditointien ja itseauditointien toteuttamisesta Selkeyttävät toimijoiden vastuita olennaisten vaatimusten ja omavalvonnan suunnittelussa ja toteuttamisessa Määräyksillä ja ohjeilla tehty edelleen tarkennuksia lakikohtien määritelmiin ja toimijoiden vastuisiin Erityisesti omavalvonnan osalta painotuksena omavalvonnan toteuttaminen ja seuranta 9 Omavalvonnan ja olennaisten vaatimusten säädökset Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 159/2007 (päivitetty 2014) Laki sähköisestä lääkemääräyksestä 61/2007 (päivitetty 2014) THL:n Määräys 1/2015: A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien olennaiset tietoturvavaatimukset THL:n Määräys 2/2015: Omavalvontasuunnitelmaan sisällytettävät selvitykset ja vaatimukset Lisäksi saatavilla ohjeita ja tukimateriaalia Perusperiaate: järjestelmien olennaiset vaatimukset ja sotepalvelutuottajien omavalvonta muodostavat jatkumon teknisistä järjestelmäratkaisuista turvallisiin käytäntöihin ja toimintatapoihin päivittäisessä työssä 10 5

Keiden on laadittava Omavalvontasuunnitelma Sähköistä asiakas- ja potilastietojen käsittelyyn tarkoitettua tietojärjestelmää käyttävien Sosiaali- ja terveydenhuollon palvelun antajien, apteekkien itsenäisten ammatinharjoittajien Kansaneläkelaitoksen Kanta-välityspalveluiden tuottajien Miksi Suunnitelmassa selvitettyjen toimenpiteiden avulla ylläpidetään ja kehitetään organisaation tietoturvaa ja tietosuojaa Milloin 31.3.2015 mennessä HUOM. Koskee myös muita kuin Kantapalveluihin liittyviä toimijoita ja järjestelmiä Asiakastietolain mukainen omavalvonta korvaa myös Kanta-palveluiden käyttöönoton yhteydessä tehdyt itseauditoinnit 11 Määräys 2/2015 omavalvontasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista Voimaan 1.2.2015, voimassa toistaiseksi Kuvaa omavalvontasuunnitelmaan vähintään sisällytettävät selvitykset ja vaatimukset Soveltamisala Vastuut tietoturvan sekä asiakas- ja potilastietojen asianmukaisen käsittelyn varmistamisessa Määritelmät Suhde muihin ohjaaviin määräyksiin ja ohjeisiin Yleistä: muut omavalvontasäädökset, todentaminen, suhde tietojärjestelmien olennaisiin vaatimuksiin, sertifiointiin ja Valviran rekisteriin Omavalvontasuunnitelmaan sisällytettävät selvitykset ja vaatimukset Ohjaus ja neuvonta Liite 1: Omavalvontasuunnitelman mallipohja 12 6

Omavalvontasuunnitelman minimivaatimukset ja selvitykset Omavalvonnan kautta varmistutaan vähintään: 1. Henkilöstön riittävästä koulutuksesta ja kokemuksesta 2. Asianmukaisten käyttöohjeiden saatavuudesta 3. Asianmukaisesta käytöstä järjestelmän valmistajan ohjeiden mukaan 4. Menettelytavoista virhe- ja ongelmatilanteissa 5. Toimintamallista asennus-, ylläpito- ja päivitystilanteissa 6. Käyttöympäristön vaatimustenmukaisuudesta 7. Tietojärjestelmien vaatimustenmukaisuudesta 8. Liittymisestä valtakunnallisiin tietojärjestelmäpalveluihin 9. Riittävistä käytön seuranta- ja valvontatoimenpiteistä Tavoitteena varmistaa, että kaikki asiakas- ja potilastietojen käsittelyyn osallistuvat osaavat toimia oikein, ja että huolehditaan näihin seikkoihin kohdistuvista vaatimuksista 13 Omavalvontasuunnitelman sisältö Jaettu kokonaisuuksiin, joihin kootaan esim. linkkeinä kuhunkin kokonaisuuteen kuuluvat dokumentit: 1. Johdanto 2. Suunnitelman kohde: Ketkä kuuluvat suunnitelman piiriin: palvelunantajat, järjestelmät, käyttäjät kuvattuna 3. Yleiset tietoturvakäytännöt: Kuvaukset tietoturvapolitiikasta, tietosuojaan ja valvontaan liittyvistä vastuista, koulutus, ohjeistus, toimintamalleihin perehdytys, tietojärjestelmien ja potilastietojen käsittelyyn ohjeistus ja koulutus 4. Käyttöympäristön ja useiden järjestelmien yhteiset tietoturvakäytännöt: Menettelyt virhe- ja ongelmatilanteissa, järjestelmien käyttöohjeiden hallinnointi ja saatavuus, järjestelmien asennus ja ylläpito, tilojen työasemien, tallennusvälineiden ja tulosteiden turvallisuus, muut käyttöympäristön käytännöt 5. Käyttövaltuuksien, pääsynhallinnan ja käytön seurannan yleiset käytännöt: Käyttäjäryhmät, käyttövaltuushallinnan ja käytön seuraamisen käytännöt 6. Kanta-palvelujen käytön tietoturvakäytännöt 7. Tietojärjestelmät: Kanta-palveluihin liittyvät tietojärjestelmät (A), muut asiakas- tai potilastietoja käsittelevät järjestelmät (B), muut tietojärjestelmät jotka on otettava huomioon arkaluonteisten asiakas- ja potilastietojen suojaamisen kannalta 8. Tietojärjestelmäkohtaiset ohjeet ja suunnitelmat: Esimerkkinä omavalvontasuunnitelman mallipohjan rakenne Järjestelmien osalta joilla on vaikutusta asiakas- tai potilastietojen käsittelyyn, tietoturvaan tai tietosuojaan 14 7

Omavalvontasuunnitelman mallipohjat Määräyksen liitteenä yleinen pohja, jossa malleja ja valmiita paikkoja asioille, joihin omavalvonnassa (ja suunnitelmassa) on vastattava Lisäksi saatavilla mm. Mallipohja yrityksille/itsenäisille ammatinharjoittajille (Potilastiedon arkiston käyttöönoton käsikirja yksityisille) Mallipohja apteekeille (Suomen Apteekkariliitto) Eri yritysten tarjoamia pohjia, joissa voi olla myös muita arvioitavia seikkoja kuin minimivaatimukset Sovellettava omaa tilannetta vastaavalla tavalla Vaatimusten toteuttaminen eri tavoin mahdollista eri tyyppisissä organisaatioissa ja palveluissa Erilaisten sopimusjärjestelyjen vaikutukset omavalvontaan huomioitava Perusteltavissa, mikäli jokin vaatimus tai kohta ei ole relevantti omien palvelujen / oman käyttöympäristön kannalta 15 Omavalvontasuunnitelman laatiminen on sitä yksinkertaisempaa, mitä enemmän pohjatyötä on jo tehty Omavalvontasuunnitelmassa Viitataan aina kuin mahdollista, olemassa oleviin, erikseen ylläpidettäviin ohjeisiin ja dokumentteihin (esimerkiksi linkkien avulla) Olennaista on, että suunnitelmasta selviää, mistä tiedot / dokumentaatio on löydettävissä tai miten vaatimuksen täyttyminen on todennettavissa. Mikäli valmista dokumentaatiota ei ole, omavalvontasuunnitelmaan kuvataan vaadittavat asiakokonaisuudet ja toimintatavat HYÖDYNNÄ: Tietoturvapolitiikka Kokonaisarkkitehtuurikuvaukset Laatukäsikirja Omat tietoturvallisuusohjeet Tietojärjestelmäpalvelujen tuottajien ohjeet Jne. 16 8

Esimerkki: potilastiedon arkiston käyttöönotto Käyttöönottoa edeltävät tehtäväkokonaisuudet Omavalvontasuunnitelman kokoaminen Projektin hallinnointi Viestintä Varmenteiden hankinta ja käyttö Rekisteritiedot Koodistopalveluun Hallinnolliset päätökset Teknisen ympäristön toteutus Organisaatioiden toimintamallit Henkilöstön koulutus ja muu tukimateriaali Arkiston hallinta Kanta palvelun liittymissopimus ja käyttöönottokoe Käyttöönotto ja käytön aloittaminen Jatkuvuuden varmistaminen Perustiedot Potilastiedon arkiston kansallisesta toimintaympäristöstä 17 Hyväksymis- ja tarkistusmenettelyt ja omavalvonnan toteuttamisen dokumentointi Omavalvontasuunnitelman laadinnan ja noudattamisen vastuu on toimintayksikön vastaavalla johtajalla Omavalvontasuunnitelma ja siihen kirjatut menettelytavat edellyttävät organisaation omien hyväksymiskäytänteiden mukaisen hyväksymisen Omavalvonnan toteuttaminen on dokumentoitava ja oltava todennettavissa Ei yksityiskohtaista ohjetta esim. omavalvonnan toteuttamiseen liittyvän materiaalin säilyttämisestä, mutta hyviä käytäntöjä esim. Säännöllisen omavalvonnan materiaalit 5v Väärinkäytösepäilyjen ja ulkoisten tarkastusten materiaalit 12v Esim. omassa laatukäsikirjassa kuvattavat säilytys- ja hallintakäytännöt Suunnitelman mukaisen toiminnan toteutumisen tarkistuksiin, esim. valvontaviranomaisen taholta, on hyvä varautua 18 9

Omavalvontasuunnitelman julkisuus ja suhde Valviran omavalvontasuunnitelmaan Mikä on Asiakastietolain mukaisen omavalvontasuunitelman suhde Valviran omavalvontasuunnitelmaan? Sosiaalipalveluissa tehtävä Valviran ohjeistama omavalvontasuunnitelma on laajemmin sosiaalipalvelujen kehittämisen ja seurannan kannalta tehtävä suunnitelma Asiakastietolain mukainen omavalvontasuunnitelma keskittyy asiakas- ja potilastietojen käsittelyyn, tiedonhallintaan, tietojärjestelmien hallintaan sekä tietoturvaan ja tietosuojaan Suunnitelmilla on eri käyttötarkoitus, eri kohdeyleisö ja eri Tietoturvallisuuden omavalvontasuunnitelman ei tarvitse / pidäkään olla julkisesti nähtävillä Monissa tilanteissa ja organisaatioissa suunnitelma sisältää sellaista tietoturvallisuustietoa, joka on syytä pitää ulkopuolisten saavuttamattomissa tai poissa julkisesta jakelusta Henkilöstön tulee olla tietoinen omavalvontasuunnitelmasta tai ainakin niistä sen asioista jotka heitä suoraan koskevat 19 Keskiössä roolit ja vastuut Palvelun antaja varmistaa omavalvontaan kuuluvien toimintojen toteutumisen ja resurssit kaikissa palveluyksiköissään sekä palvelujen tuottamiseen osallistuvien muiden tahojen kanssa, päivittäisessä työssä Määritellään vastuut toiminnan, tietoturvallisuuden ja yhteistoiminnan varmistamiseksi Kirjataan vastuut tarvittaviin sopimuksiin, esimerkiksi kun Käyttöympäristö tai tietotekniikkapalvelu ulkoistettu Tietoliikenne ja viestinvälitys ulkoistettu Ostopalvelun yhteydessä Asiakas- ja potilastietojärjestelmiä käyttävien toimintayksiköiden ja ammatinharjoittajien vastuiden määrittelyiden yhteydessä Omavalvonnan toteutukseen kuuluu suunniteltu ja säännöllinen toiminnan valvonta ja menettelytavat: toimenpiteet rikkomustilanteissa, toteuman laadun arvointi, riskien hallinta ja takaisinkytkentä jatkuvaan kehittämiseen 20 10

HUOM Omavalvontasuunnitelma on sovellettava OMAAN TOIMINTAAN Mukana paljon eri tyyppisten toiminta- ja käyttöympäristöjen piirteitä Merkittävissä suunnitelmaan, mikäli jotkin suunnitelman / määräyksen vaatimuksista eivät ole relevantteja omassa toiminnassa Esim. pieni liite perusteluineen Merkittävä suunnitelmaan, mikäli joistakin suunnitelman asioista vastataan esim. sopimusten tai hankintojen kautta Nämä oltava myös todennettavissa 21 Ajankohtaista ja tulevaa Sote-tieto hyötykäyttöön 2020 -strategian toimeenpanossa tietoturvallisuuden alueellinen ja kansallinen varmistaminen nojautuvat omavalvonnan ja olennaisten vaatimusten kautta tapahtuvaan toimintaan Kesän aikana ilmestynyt tarkennettuja ohjeita Ohje 3/2015: Kanta-välityspalveluiden ja välittäjien sertifioinnin ja omavalvonnan tarkennukset Ohjeet 6/2015 ja 9/2015: Sähköisen reseptien toiminnallisuuksia toteuttavien järjestelmien vaatimustenmukaisuus siirtymävaiheessa Tulossa mm. Syksyn 2015 aikana valmistelussa määräys (ja luokittelu) sote-tietojärjestelmien (sekä A- että B-luokka) olennaisista toiminnallisista vaatimuksista Valviran rekisteri sote-tietojärjestelmistä Käynnissä tarkennustarpeiden selvittäminen lokivalvonnan vaatimuksiin Jatkossa: päivityksiä määräyksiin ja järjestelmien sekä omavalvonnan olennaisiin vaatimuksiin sertifiointi- ja omavalvontakokemusten pohjalta 22 11

Yhteenveto 23 Miksi omavalvontasuunnitelma? Parantaa ja yhdenmukaistaa sosiaali- ja terveydenhuollon tietosuoja- ja tietoturvakäytäntöjä arkityössä Varmistaa, että henkilöstö tietää tietosuojaan ja tietoturvaan liityvät menettelyt ja noudattaa niitä asiakas- ja potilastietojen käsittelyssä Huomioi arkaluonteisen tiedon salassapidon merkityksen Helpottaa ymmärtämään väärinkäytöksen seuraamukset Ohjaa ja tukee tietoturvavaatimusten noudattamista Auttaa seuraamaan toimintaa käytännössä Auttaa varmistamaan myös muiden palvelun tuottamiseen osallistuvien tahojen tietoturvallisen toiminnnan Selkeyttää roolit ja vastuut toteutuksessa Vasta suunnitelman mukaisesti toimiminen parantaa tietoturvallisuutta! 24 12

Kiitos! Kysymyksiä ja lisätietopyyntöjä voi lähettää kantapalvelut@thl.fi Lisätietoja sertifioinnista ja omavalvonnasta: Tiedon ja vaatimusten yhdenmukaistaminen https://www.thl.fi/fi/web/tiedonhallinta-sosiaali-jaterveysalalla/tiedon-ja-vaatimustenyhdenmukaistaminen Kanta sertifiointi http://www.kanta.fi/web/ammattilaisille/sertifiointi Yksityiset ja itsenäiset ammatinharjoittajat http://www.kanta.fi/web/ammattilaisille/potilastiedonarkiston-kayttoonoton-kasikirja 25 Materiaaleja THL määräykset ja ohjeet: https://www.thl.fi/fi/web/tiedonhallinta-sosiaali-jaterveysalalla/tiedon-ja-vaatimusten-yhdenmukaistaminen/maaraykset-ja-ohjeet Kanta sertifiointi http://www.kanta.fi/web/ammattilaisille/sertifiointi Olennaiset vaatimukset ja omavalvonta: usein kysytyt kysymykset: http://www.kanta.fi/documents/12105/4063473/luokittelut+omavalvonta+sertifiointi_ UKK_09072015/caaf98c4-daec-48c2-b926-77cb49268d6b Kanta käyttöönoton käsikirjat: http://www.kanta.fi/web/ammattilaisille/kayttoonotonkasikirjat Yksityiset ja itsenäiset ammatinharjoittajat http://www.kanta.fi/web/ammattilaisille/potilastiedon-arkiston-kayttoonoton-kasikirja Sosiaali- ja terveydenhuollon tietojärjestelmien olennaisten vaatimusten valvonta / Valvira: http://www.valvira.fi/terveydenhuolto/terveysteknologia/sosiaali- _ja_terveydenhuollon_tietojarjestelmat Valviran ilmoituslomake tietojärjestelmästä tai Kanta-välityspalvelusta: http://www.valvira.fi/documents/14444/37132/ilmoitus_tietojarjestelmasta.pdf Tiedon ja vaatimusten yhdenmukaistaminen / THL: https://www.thl.fi/fi/web/tiedonhallinta-sosiaali-ja-terveysalalla/tiedon-ja-vaatimustenyhdenmukaistaminen 26 13

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute