OMAVALVONTASUUNNITELMA

Samankaltaiset tiedostot
OMAVALVONTASUUNNITELMA 1.1

Sosiaali- ja terveydenhuollon tietojärjestelmiä käyttävien palveluiden antajien omavalvontasuunnitelma

Sosiaali- ja terveydenhuollon tietojärjestelmiä käyttävien palveluiden antajien omavalvontasuunnitelma

Kanta-sertifiointi ja omavalvonta yleiskuva ja prosessit

Sosiaali- ja terveydenhuollon asiakastietojärjestelmät ja niiden uudistukset

Tietojärjestelmien valvonnan ajankohtaiset asiat

OHJE YLEISEEN KÄYTTÖÖN TARKOITETTUJEN OHJELMISTOJEN HYÖDYNTÄMISESTÄ SOTE- PALVELUISSA

Auditoinnista omavalvontaan - omavalvontasuunnitelma ja sen laatiminen

Kanta-sertifiointi ja omavalvonta yleiskuva ja prosessit

Naantalin kaupunki Rekisteriseloste

Naantalin kaupunki Rekisteriseloste

Tietorekisteriseloste. Fysioterapeutti Annukka Laukkanen 2019

OMAVALVONTASUUNNITELMA

Rekisteri- ja tietosuojaseloste / potilasrekisteri

TIETOSUOJASELOSTE Tilhilän palvelutalo Vuokrakiinteistöt

Potilas -ja asiakastietojärjestelmien vaatimukset ja valvonta Ammattimainen käyttäjä laiteturvallisuuden varmistajana

REKISTERINPITÄJÄN INFORMAATIO KUNTOUTUJILLE TOIMINTATERAPIA A KAARRETKOSKI OY

1. Terveydenhuollon toimintayksikkö. HammasOskari Oy, Liesikuja 4A, Rekisteriasioista vastaava yhteyshenkilö

Kirjaaminen ja sosiaali- ja terveydenhuollon yhteisissä palveluissa ja Henkilörekisterien uudistaminen

Tietoturvallisuuden, tietosuojan ja tietojärjestelmien käytön omavalvontasuunnitelma

Kysymyksiä jä västäuksiä yksityisen terveydenhuollon liittymisestä potilästiedon ärkistoon

Kuka auttaa johtoa sosiaali- ja terveydenhuollon asiakastietojen käytönvalvonnassa?

Politiikka: Tietosuoja Sivu 1/5

Palvelutarpeen arvioinnin rekisteri

Tietosuojakysely 2018

Nimi: Tuomas Hujala Sähköposti: tuomas.hujala. Puhelin: Sähköposti: tietosuoja

SoTe kuntayhtymä/perusturvaliikelaitos Saarikka REKISTERISELOSTE Pro-Wellness-potilastietojärjestelmä -tietokanta 18.3.

OLENNAISET TOIMINNALLISET VAATIMUKSET - PÄIVITETTY LUOKITUS JA JÄRJESTELMÄLOMAKE Kela toimittajayhteistyökokous 26.4.

ASIAKKAAN ASIAKIRJATIETOJEN KÄSITTELY JA ARKISTOINTI

Sopimus Kanta-palveluihin liittymisestä ja Kanta-palvelujen käytöstä v 1.0

Sopimus Kanta-palveluihin liittymisestä ja Kanta-palvelujen käytöstä

Paneeli: Käytön valvonta, lokien hallinta, poikkeamien havaitseminen, poliisiyhteistyö

Organisaatiomuutokset yksityisessä terveydenhuollossa

Lapsen huolto- ja tapaamisoikeuden rekisteri

Tietosuojaseloste: Hairspot T:mi Johanna Uotila,Hairspot T.mi Outi Tarri Päivämäärä:

REKISTERINPITÄJÄ JA YHTEYSHENKILÖ REKISTERIÄ KOSKEVISSA ASIOISSA Rekisterinpitäjä: Tmi ML-hahmoterapia Yhteyshenkilö: Mikko Lounela Puh:

Sosiaali- ja terveydenhuollon tietojärjestelmien valvonta

TIETOSUOJASELOSTE. yhdistetty rekisteriseloste ja informointiasiakirja. Henkilötietolaki (523/99) 10 ja 24. Pvm: päivitetty 11.5.

Peltolantie 2 D, Vantaa puh.(09) vastuuhenkilö (palveluntuottaja täyttää) yhteyshenkilö ja yhteystiedot: (palveluntuottaja täyttää)

Peltolantie 2 D, Vantaa puh. (09) vastuuhenkilö (palveluntuottaja täyttää) yhteyshenkilö ja yhteystiedot: (palveluntuottaja täyttää)

Muut tietojärjestelmät, jotka on otettava huomioon arkaluonteisten asiakas- ja potilastietojen suojaamisen kannalta

TIETOSUOJASELOSTE Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (2016/679)

Potilastiedon arkistoon liittyminen 6 kk tukikokous

Olemme sitoutuneet suojaamaan asiakkaidemme yksityisyyttä ja tarjoamme mahdollisuuden vaikuttaa henkilötietojen käsittelyyn.

Kanta. Potilastiedon arkiston arkistonhoitajan opas

Potilaan hoidon suunnittelu, toteutus ja arkistointi. Toiminnan tilastointi ja suunnittelu.

LIEKSAN KAUPUNGIN SOSIAALI- JA TERVEYSPALVELUJEN TIETOSUOJAN SEURANTA JA VALVONTA

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

KanTa Asiakastietojen käsittely ja menettelytavat eresepti-palvelua käytettäessä

2. Rekisteriasioista vastaava henkilö ja yhteyshenkilö

Tietosuojakysely 2019

Rekisteri kuntaan sijoitetuista lapsista

Potilaan hoidon suunnittelu, toteutus ja arkistointi. Toiminnan tilastointi ja suunnittelu.

Terveydenhuollon ATK-päivät Logomo, Turku

TIETOSUOJASELOSTE. yhdistetty rekisteriseloste ja informointiasiakirja. Henkilötietolaki (523/99) 10 ja 24. Laatimispvm:

Hämeenkyrön terveyskeskus. Yhteystiedot: Hämeenkyrön terveyskeskus Härkikuja Hämeenkyrö

Liittyminen eresepti-palveluun. Yksityisten terveydenhuollon toimijoiden ereseptin käyttöönottoon valmistautuminen

sosiaalipalvelupäällikkö Arja Tolttila Heikinkuja MÄNTSÄLÄ puhelin (vaihde) puhelin (vaihde)

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

Rekisteriseloste. Vanhusten ympärivuorokautisen hoidon ja hoivan asiakasrekisterin rekisteriseloste

Osteopaatti Jutta Aalto Anatomia- ja kehotietoisuuskoulutus TIETOSUOJASELOSTE

Rekisteriseloste. Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden omaishoidon tuen asiakasrekisterin rekisteriseloste

Määräys käyttöoikeuksien määrittelyn perusteista sosiaalihuollon asiakastietoihin

TIETOSUOJASELOSTE. yhdistetty rekisteriseloste ja informointiasiakirja. Henkilötietolaki (523/99) 10 ja 24. Pvm: päivitetty 17.5.

HELSINGIN KAUPUNKI MUISTIO Numero 1 TALOUS- JA SUUNNITTELUKESKUS Tietotekniikkaosasto

Postinumero Kela. Käyntiosoite Nordenskiöldinkatu 12, Helsinki. Nimi Kanta-palvelujen tietosuojavastaava

Suostumusten hallinta kansallisessa tietojärjestelmäarkkitehtuurissa

Laitoshuollon rekisteri

Tietoturvan ja tietosuojan omavalvontasuunnitelma sote-palveluissa JUDO-työpaja Juha Mykkänen, kehittämispäällikkö

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Rekisteriseloste. Kehitysvammaisten asumispalvelujen asiakasrekisterin rekisteriseloste

OHJE LUOKKAAN A KUULUVIEN SOSIAALI- JA TERVEYDENHUOLLON TIETOJÄRJESTELMIEN MUUTOSTEN ILMOITTAMISESTA

Lasten ja nuorten palvelualueen johtaja Marju Taurula. Yhteyshenkilö: Kasvun tuen johtaja Leena Rauhala, puh

Muutokset lakiin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007)

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Liperin kunnan päätöksenteko- ja asianhallinta (hallinnolliset asiat)

Manuaalisesti tallennetut tiedot hakemukset ja niiden liitteet maksu- ja palvelupäätökset

Valvottujen tapaamisten rekisteri

Ottolapsineuvonnan asiakasrekisteri

Rekisteri- ja tietosuojaseloste

2. REKISTERINPITÄJÄ Nimi Pohjois-Pohjanmaan sairaanhoitopiiri

Kotiin annettavien palvelujen valvonta osana kunnan omavalvontaa. Järvenpään kotihoidon omavalvonta

Tietoja kerätään ja tallennetaan kuntoutukseen liittyvien asiakassuhteiden hoitoa ja asiakastapahtumien tilastointia varten.

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

SoTe kuntayhtymä/perusturvaliikelaitos Saarikka REKISTERISELOSTE Pegasos-potilastietojärjestelmä -tietokanta Työterveyshuolto 18.3.

Sote-rajapinnan tiedonkäsittely tulevaisuudessa

LUONNOS Määräys sosiaalihuollon palvelutehtävien luokituksesta Valtuutussäännökset Kohderyhmät Voimassaoloaika Liitteet

Eläketurvakeskuksen tietosuojapolitiikka

REKISTERÖIDYN TIEDONSAANTIOIKEUDET HENKILÖTIETOLAIN MUKAAN

Järvenpään lasten ja nuorten lautakunta. Järvenpään kaupunki Hallintokatu 2, PL Järvenpää p. keskus

Tietosuojaseloste. Trimedia Oy

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Järvenpään kaupunki Hallintokatu 2, PL 41, Järvenpää. Jari Savola Aikuisten sosiaalipalvelujen johtaja

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Rekisteriseloste nähtävillä Isku Työterveys Apila Oy:n toimipisteissä sekä yrityksen wwwsivuilla

TALOUS- JA VELKANEUVONNAN REKISTERI

TIETOSUOJASELOSTE Henkilötietolaki (523/1999) 10 ja 24

Tietosuojan toteuttaminen käytännössä

sosiaalipalvelupäällikkö Arja Tolttila Heikinkuja MÄNTSÄLÄ puhelin (vaihde)

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Transkriptio:

!! 1 SUOMEN FYSIOTERAPIA- JA KUNTOUTUSYRITYKSET FYSI RY JA SUOMEN FYSIOTERAPEUTIT FINLANDS FYSIOTERAPEUTER RY MALLI OMAVALVONTASUUNNITELMAKSI Fysioterapeutti Annukka Laukkanen OMAVALVONTASUUNNITELMA 1.4.2016 Annukka Laukkanen Tämä malli perustuu THL:n malliin Omavalvontasuunnitelmaksi. MÄÄRÄYS 2/2015, LIITE 1, DNRO. THL/1305/4.09.00/2014 Malli on tarkastettu THL:ssä helmikuussa 2015. HUOM! Lopullinen vastuu Omavalvontasuunnitelmasta, sen päivittämisestä ja Omavalvontasuunnitelman noudattamisesta on aina terveyspalveluja tuottavalla yrityksellä.

! 2 Sisältö 1. Johdanto 2. Suunnitelman kohde 3. Yleiset tietoturvakäytännöt 4. Käyttöympäristön ja useiden järjestelmien yhteiset tietoturvakäytännöt 5. Käyttövaltuuksien, pääsynhallinnan ja käytön seurannan yleiset käytännöt 6. Kanta-palvelujen käytön tietoturvakäytännöt 7. Tietojärjestelmät 8. Tietojärjestelmäkohtaiset ohjeet ja suunnitelmat 1. Johdanto Sosiaali- ja terveydenhuollon palvelun antajien, apteekkien ja itsenäisten ammatinharjoittajien, Kansaneläkelaitoksen sekä Kanta-välityspalveluiden tuottajien tulee tehdä omavalvontasuunnitelma. (Määräys 2/2015,THL/1305/4.09.00/2014). Suunnitelman avulla ylläpidetään ja kehitetään organisaation tietoturvaa ja tietosuojaa. Terveydenhuollon palvelun antajat, jotka ovat jo liittyneet Kanta-palveluihin, ovat tehneet ennen liittymistään tietoturvan itseauditoinnin. Omavalvontasuunnitelma on jatkoa itseauditoinnille ja tulee korvaamaan sen. Suunnitelmassa kuvataan tarvittaessa ennen omavalvontasuunnitelman tekemistä tehdyt auditoinnit ja tehdyt tarkastukset. Omavalvontasuunnitelmassa viitataan aina kuin mahdollista olemassa oleviin erikseen ylläpidettäviin ohjeisiin ja dokumentteihin. Olennaista on, että suunnitelman linkkien tai tietojen avulla on selvää, mistä dokumentaatio on löydettävissä tai vaatimuksen täyttyminen on todennettavissa. Mikäli muuta valmista dokumentaatiota ei ole olemassa tai saatavissa, on mahdollista kuvata vaadittavat asiakokonaisuudet ja toimintatavat suoraan omavalvontasuunnitelmaan. (THL 2015) Omavalvontasuunnitelmaan kirjataan nykykäytännöt ja mahdollisesti myöhemmin kehitettävät käytännöt. Omavalvontasuunnitelma laaditaan voimassa olevan lain mukaan 1.4.2015 mennessä. Omavalvontasuunnitelmalla varmistetaan potilastietojen asianmukainen ja tietoturvallinen käsittely ja säilytys.omavalvontasuunnitelmalla kehitetään yrityksen sisäistä toimintaa.

! 3 Omavalvontasuunnitelmaa on päivitettävä jatkuvana prosessina osana yrityksen tietoturvaa ja laadunhallintaa. Kantaan liittymisen yhteydessä on omavalvontasuunnitelmakin päivitettävä. Omavalvontasuunnitelman tavoite on ylläpitää asiakkaiden ja eri yhteistyökumppaneiden luottamusta yrittäjän tarjoamiin palveluihin, sekä niiden tietoturvan, tietosuojan ja yksityisyydensuojan toteutumiseen.

! 4 2. Suunnitelman kohde Tähän kuvaus omavalvontasuunnitelman piiriin kuuluvasta yrityksestä/yrittäjästä: o Yrityksen perustiedot: Fysioterapeutti Annukka Laukkanen tuottaa fysioterapia, sairaanhoidon sekä sosiaalihuollon palveluja. o Kohde / kohteet jota omavalvonta koskee eli kaikki toimipisteet joita suunnitelma koskee Toimipisteet Imatra Heikinkatu 1, 55100 Imatra Lappeenranta Anni Swanin katu 3, 53100 Lappeenranta o Palveluntuottajan nimi ja y-tunnus: Fysioterapeutti Annukka Laukkanen y-tunnus 2650535-7 o Vastaava johtaja: Annukka Laukkanen o Omavalvonnan vastuuhenkilö: Annukka Laukkanen o Toimipaikan / -paikkojen osoite: Heikinkatu 1, 55100 Imatra ja Anni Swanin katu 3, 53100 Lappeenranta o 31.10.2014 toimiluvan myöntämispäivä / Itsenäisen ammatinharjoittajan aloittamisilmoittamisilmoituksen päivämäärä / Yhteisliittymällä liittyvien itsenäisten ammatinharjoittajien tiedot (keskinäinen sopimus liittymästä liitteeksi, yhteisliittymisen sopimusmalli on THL:ltä tulossa kevään 2015 aikana) Liittymä malli suoraliittymä, suunnitteilla toteutuvaksi 2017 vuoden aikana. Tähän kuvaus, miten omavalvontaa toteutetaan ja valvotaan toimiyksikössä: o omavalvontasuunnitelmaa päivitetään tarvittaessa tai viimeistään vuoden välein o kuka vastuussa päivityksestä Annukka Laukkanen o kuka vastuussa tiedon siirtämisestä käytäntöön Annukka Laukkanen o Toteutumista seurataan Omavalvontasuunnitelmaa päivittämällä vähintään vuosittain Tietosuojavastaavan nimi: Annukka Laukkanen Arkistonhoitajan nimi: Annukka Laukkanen PERUSTELU: Asiakastietolain mukaan jokaisen sosiaali- ja terveydenhuollon palvelujen antajan on nimettävä seuranta- ja valvontatehtäviä varten tietosuojavastaava. Tietosuojavastaavan tehtävänä on valmistella tietosuojaa koskevia ohjeita ja ylläpitää niitä yhdessä potilasrekistereiden vastuuhenkilöiden kanssa, toimia erikseen sovitusti asiantuntijana sosiaali- ja terveydenhuollon asiakastietojen sähköistä käsittelyä koskevan lain mukaisissa tietosuojaa ja potilasrekistereitä koskevissa asioissa, sekä seurata ja valvoa, että tietosuojaohjeita noudatetaan potilastyössä ja muussa toimintayksikön toiminnassa. Tietosuojavastaavalla on oltava myös käytännössä riittävät resurssit sekä toimivalta tehtävänsä menestykselliseksi suorittamiseksi.

Itsenäisen ammatinharjoittajan, joka toimii itsenäisesti omissa tiloissaan, ei tarvitse nimetä toiminnalleen tietosuojavastaavaa, mutta tietosuojaa koskevat vastuut ja velvoitteet koskevat myös itsenäisiä ammatinharjoittajia. Tietosuojavastaavan tarkemmat tehtävät (linkki) Arkistonhoitaja voi käyttöliittymänsä avulla tehdä arkistonhoidollisia toimenpiteitä Potilastiedon arkistoon arkistoiduille asiakirjoille. Arkistonhoitaja voi hakea ja tarkastella arkistoituja asiakirjoja ja niiden kuvailutietoja, muokata tiettyjä asiakirjan kuvailutietoja sekä tarkastella asiakirjojen hävityslistaa. Arkistonhoitaja ei voi itse poistaa asiakirjoja, vaan asiakirjojen poistaminen Potilastiedon arkistosta tapahtuu automaattisesti, kun asiakirjojen säilytysaika on päättynyt.(kanta.fi) Arkistonhoitaja voi kuitenkin jatkaa potilastietojen säilytystä 1, 3 tai 5 vuotta kerrallaan, mikäli potilastietojen säilyttämiselle on vielä potilaslain tarkoittama tarve. Arkistonhoitajan tehtäviin voidaan sisällyttää myös yrityksen lakisääteinen velvollisuus huolehtia säilytysajan ylittäneiden tietojen poistamisesta myös rekisterinpitäjän omista järjestelmistä. Kanta-arkistosta poistettu tieto ei välttämättä poistu yrityksen omasta järjestelmästä, ellei näin ole oman järjestelmätoimittajan kanssa nimenomaisesti sovittu. Arkistonhoitajan tehtävät. (linkki)! 5 3. Yleiset tietoturvakäytännöt Pääkäyttäjän nimi: Annukka Laukkanen PERUSTELU: Jokaiselle tietojärjestelmälle on nimettävä pääkäyttäjä, jonka vastuulla on huolehtia järjestelmän käyttöoikeuksista. Pääkäyttäjältä vaaditaan hyvää tietoturva- ja tietosuojaosaamista. Lisäksi tiedon omistajien ja pääkäyttäjien on huolehdittava tiedon koko elinkaaren hallinnasta ja ICT-varautumissuunnitelmista, missä kuvataan vastuuhenkilöt, roolit ja toimintamallit riskien toteutumisen varalta. Yrityksen tulee laatia toiminnalleen tietoturvapolitiikka, joka koskee kaikkea potilastietoa sekä sen käsittelyä välineestä riippumatta. Tiedot luovutetaan vain voimassa olevan lainsäädännön puitteissa tai asiakkaan erillisellä kirjallisella luvalla. Tietojen säilyminen ja hyödynnettävyys sekä saatavuus turvataan siten, ettei esimerkiksi onnettomuus tai tallennusvälineen särkyminen tai välineen teknisen tuen tai luettavuuden loppuminen vaaranna tietojen säilymistä. Tähän viittaus seuraaviin aineistoihin: Malli Tietoturvapolitiikaksi (Suomen Fysioterapeuttien ja Fysin oma malli) Tietoturvaohjeet henkilöstölle (Suomen Fysioterapeuttien ja Fysin oma malli) Johdon tietoturvavelvoitteet fysioterapiayrityksessä (Suomen Fysioterapeuttien ja Fysin oma malli)

! 6 PERUSTELU: Yrittäjän / Esimiehen vastuulla on huolehtia ja noudattaa työnantajaa koskevien lakisääteisten tietoturva- ja tietosuojavelvoitteiden toteutumisesta. Yrittäjät /Esimiehet/ tietosuojavastaava ja tietojärjestelmien pääkäyttäjät vastaavat työntekijöiden käyttöoikeuksista tietojärjestelmiin ja niiden tietosisältöihin työtehtävien edellyttämässä laajuudessa. He huolehtivat loppukäyttäjän riittävästä perehdytyksestä yrityksen tietoturvakäytänteisiin varmistaen, että jokainen ymmärtää niiden merkityksen työtehtävissään. Esimiehiltä odotetaan esimerkillistä sekä vastuullista tietoturvakäyttäytymistä ja heillä on raportointivelvollisuus tietoturvapoikkeamista tietosuojavastaavalle. Työntekijän vastuulla on myös huolehtia käsittelemänsä tiedon oikeellisuudesta, saatavuudesta ja luokittelusta, sekä huolehtia, että organisaation tiedot ovat asianmukaisesti käytettävissä. Tietojen säilytys- tai arkistointiajan päätyttyä ne on hävitettävä ohjeiden mukaisesti. Työntekijällä on velvollisuus raportoida tietoturvaongelmista oman organisaation tietosuojavastaavalle. Tiedot tulee myös suojata tai varmentaa siltä varalta, että onnettomuus tai laitteen teknisen käyttöiän päättyminen ei estä arkiston ylläpitoa tai pääsyä tietoihin. Esimerkiksi kovalevy saattaa ajan kuluessa rikkoutua tai vanhentua siten, ettei tiedon lukemiseen teknisesti kykeneviä järjestelmiä ole enää yleisesti saatavilla. Koulutus, ohjeistus ja käyttökokemus ja niiden seuranta Henkilökunta velvoitetaan osallistumaan Potilastiedonarkiston verkkokouluun sekä tietoturvaverkkokouluuun. Koulutussuunnitelma ja sen toteutus kirjataan. Kanta koulutus vuonna 2016 Rakenteellinen kirjaaminen 25.1. 2016 Joensuu toteutunut Omavalvontakoulutus 12.10.2016 Imatra 21.11. 2016 Kantakoulutus etäyhteydellä, 13.6.2017 kantakoulutus Lappeenranta. Vaaditaan verkkokoulut.thl./fi todistus henkilökunnalta. 1.8. 2017 mennessä ja toimittamaan todistus Annukka Laukkaselle PERUSTELU: Tietoturvatoiminta vaatii henkilöstöltä tietoturvakäytänteiden tuntemista ja ohjeiden noudattamista. Tietoturvakoulutukset ja tietoturvatietoisuuden lisääminen ovat osa säännöllistä kehittämis- ja perehdyttämistoimintaa, jotka työntekijät on velvollinen suorittamaan yrityksen järjestämät koulutukset. Kanta / Arkistokoulutus (linkki) Kanta / Tietoturvakoulutus (linkki)

! 7 Toimintamallien koulutus ja perehdytys Kuvataan henkilöstön perehdyttämiskäytännöt: 1. Uusi työntekijä allekirjoittaa kirjallinen vaitiolositoumuksen, hän saa perehdytyksen kirjauksesta ja ajanvarausohjelman käytöstä. 2. Työsuhteessa oleva henkilöstö päivittää osaamistaan tietosuoja ja kirjauskäytännöissä 3. Opiskelijoiden ohjaamisen ja kouluttamisen periaatteet: Opiskelijalta otetaan kirjallinen vaitiolositoumus. Opiskelija käyttää ajanvarausohjelmaa henkilökunnan vastuulla. Opiskelijalla teetätetään myös yritystä koskeva salassapitosopimus. 4. Henkilöstön kouluttaminen laadunhallintaan ja asiakasturvallisuuteen Tietojärjestelmien käyttökoulutus Tietojärjestelmien toimittajat järjestävät koulutuksia tietojärjestelmiin. Henkilökunta velvoitetaan osallistumaan näihin tai osoittamaan muutoin osaamisensa tietojärjestelmän käyttöön. Uuteen järjestelmään siirryttäessä olen saanut koulutuksen syksyllä 2015. Riittävä kokemus Mikäli henkilöllä ei omaa riittävää kokemusta, hänelle järjestetään aikaa perehtyä yrityksen tietoturvakäytäntöihin ja potilastietojärjestelmän käyttöön. Perehdytys kansosta löytyy tarvittavat ohjeet. Ohjeet ja koulutus potilastietojen käsittelystä Potilastietojen käsittelyohjeet sijaitsevat toimistopöydän vieressä kirjahyllyssä mapissa Imatralla ja Lappeenrannassa toimistopöydällä. Ohjeiden päivitys tapahtuu tarpeenmukaan, mutta viimeistään ohjeet tarkistetaan ja päivitetään vuosittain. Ohjeisiin merkitään päivämäärä päivityksen jälkeen. PERUSTELU Potilastiedot ovat lähtökohtaisesti arkaluonteisia henkilötietoja, joita ei saa käsitellä ilman lain tarkoittamaa poikkeusta tai potilaan lupaa. Käsittelyllä tarkoitetaan henkilötietojen keräämistä, tallentamista, järjestämistä, käyttöä, siirtämistä, luovuttamista, säilyttämistä, muuttamista, yhdistämistö, suojaamista, poistamista, tuhoamista sekä muita henkilötietoihin kohdistuvat toimenpiteitä. STM: Potilasasiakirjojen laatiminen ja käsittely. Opas terveydenhuollolle (linkki) Henkilötietolaissa säädetään poikkeuksista potilastietojen käsittelykieltoon. Niitä saa käsitellä terveydenhuollossa siltä osin kuin ne ovat välttämättömiä potilaan hoidon tai muun laissa säädetyn tehtävän kannalta.

! 8 Henkilörekisterin käyttötarkoitus on aina määriteltävä ennalta (Tähän linkki henkilötietolain edellyttämään yrityksen/yrittäjän rekisteriselosteeseen). Terveydenhuollon ammattihenkilö, muu terveydenhuollon toimintayksikössä työskentelevä tai sen tehtäviä suorittava ei saa luovuttaa sivulliselle potilasasiakirjoihin sisältyviä tietoja, jos siihen ei ole potilaan kirjallista suostumusta taikka luovutukseen oikeuttavaa tai velvoittavaa lain säännöstä. Säännös koskee asemasta, ammatillisesta koulutuksesta tai tehtävistä riippumatta kaikkia niitä, jotka osallistuvat potilaan hoitoon tai siihen liittyviin tehtäviin. Terveydenhuollon toimiyksikön salassapito- ja käyttäjäsitoumusmalli (linkki) Salassapito- ja käyttäjäsitoumusmalli

! 9 4. Käyttöympäristön ja useiden järjestelmien yhteiset tietoturvakäytännöt Ohjeita säilytetään laatukäsikirjassa. Menettelyt virhe- ja ongelmatilanteissa Tähän teksti järjestelmätoimittajalta A tai luokan B järjestelmien olennaisten vaatimusten täyttymisessä havaittujen merkittävien poikkeamien ilmoittaminen tietojärjestelmän valmistajalle. Luokan A tai luokan B järjestelmien merkittävien poikkeamien ilmoittaminen Valviralle, jos poikkeama aiheuttaa merkittävän riskin potilasturvallisuudelle Järjestelmien käyttöohjeiden hallinnointi ja saatavuus Järjestelmän käyttöohjeet sijaitsevat ohjelman ohje valikossa. Käyttöohjeet järjestelmätoimittajalta Tähän selvitys järjestelmätoimittajalta miten toimittaa ajantasaiset käyttöohjeet Tähän selvitys järjestelmätoimittajalta miten hoitaa käyttöohjeiden päivittämisen ja jakelun ohjelmistojen ja niiden versiopäivitysten sekä muiden muutosten yhteydessä. Järjestelmätoimittajan teksti varmistetaan ja todennetaan, että tietojärjestelmiä käytetään valmistajan antamien ohjeistusten mukaisesti tai niitä tarkoituksenmukaisesti soveltaen tai täydentäen. Tähän selvitys perehdyttämisestä ja viittaus vastuutuksiin. Järjestelmien asennus ja ylläpito yleisesti Tähän tekstiä järjestelmätoimittajalta. Annukka Laukkasen vastuulla on fyysisten salausten (kuten palomuuri, virustorjunta) päivitys. Automaattinen päivitys käytössä. Tilojen, työasemien, tallennusvälineiden ja tulosteiden turvallisuus Tilat ovat lukittuna takalukossa Imatralla aina klo 17.00-7.30. Muutoin ovet ovat jatkuvasti lukittuna, pääsy sisälle ovikelloa soittamalla. Lappeenrannassa lukitus manuaalisesti aina takalukkoon, toimitilasta poistuessa. Ovi lukittuna yksinkertaisesti aina ja käynti ovikelloa soittaen.

Kuvaus näyttöpäätteiden suojaamisesta siten, ettei sivullisilla ole näköyhteyttä. Päätteiden sijoittelu pospäin asiakkaasta ja laitteisiin näytönsuojakalvot. Käyttämättömän päätteen lukittumisaika ja salasanat koneelle pääsyyn. Kuvaus, miten palomuuri ja virusturvan päivitys on varmistettu. Mac laitteet eivät tarvitse virusturvaa. Jos käyttöön otetaan muilla käyttöjärjestelmällä varustettuja laitteita huolehditaan virusturvan päivittämisestä automaattisella päivityksellä. Mobiililaitteille (tabletit ja älypuhelimet) pääsy suojataan salasanalla, potilastietojärjestelmään kirjaudutaan käyttäjätunnuksella sekä vahvalla salasanalla. SIM - korteissa PIN- koodit ja ja laitteissa virusturvaohjelmat. Kuvaus, kenellä on oikeus asentaa ohjelmistoja ja sovelluksia yrityksen laitteille. Lähtökohtaisesti oikeus on vain yrityksen pääkäyttäjällä, Annukka Laukkasella. Tulostimien sijaintipaikat toimistopöydällä, tulostus vain valvottuna. Potilastietoja sisältävien paperitulosteiden säilyttäminen paloturvallisesti lukittuna. Ulkoisten kovalevyjen ja muistitikkujen suojaus salasanalla. Muut käyttöympäristön käytännöt. Kirjataan, mistä tukipalvelut hankitaan, jos laitteisto rikkoutuu. Kirjataan, miten verkkoyhteys on järjestetty, kenen kanssa sopimus tehty ja missä sopimus sijaitsee. Kirjataan mitä etäyhteyksiä käytettään ja miten ne suojataan. Esim. jos laitteistoa korjataan etäyhteydellä kolmannen osapuolen toimesta. Kirjataan, miten langaton verkko on suojattu (esim. VPA- tämän tiedon saa verkkopalvelun tarjoajalta), minkälainen reititin (= laite jonka kautta verkkoyhteys jaetaan: malli ja merkki) Verkkoon pääsy on suojattu salasanalla! 10

! 11 5. Käyttövaltuuksien, pääsynhallinnan ja käytön seurannan yleiset käytännöt Käyttäjäryhmät Ajantasainen luettelo pääkäyttäjä Annukka Laukkanen ja peruskäyttäjä Kiti Turunen Käyttövaltuushallinnan ja käytön seurannan käytännöt Ylläpitäjällä on oikeudet myöntää käyttöoikeus kunkin ammattiryhmän työn vaatimassa laajuudessa. Tietosuojavastaavalla on oikeus seurata lokitietoja, muuttaa merkintöjä ja poistaa niitä. Järjestelmään tunnistaudutaan joko henkilökortilla tai käyttäjätunnuksella ja vahvalla salasanalla. Tähän tekstiä järjestelmätoimittajalta salasanan vahvuudesta ja vaihtamistiheydestä. PERUSTELU: Sähköisten potilasasiakirjojen käyttöä seurataan ja valvotaan lokitietojen avulla ennalta määritellyn suunnitelman mukaisesti. Sähköisten potilastietojen käyttöön ja luovutukseen liittyvät lokitiedot tulee säilyttää eheinä ja muuttumattomina vähintään 12 vuotta niiden syntymisestä. Lisätietoja Tietosuojavaltuutetun toimiston ja Viestintäviraston verkkosivuilta (linkki) Lokitietojen (Kelalla Kanta-palvelujen luovutuslokitiedot, palvelunantajalla käyttölokit) saanti ja hankinta seurannan ja valvonnan toteuttamiseksi; tekstiä järjestelmätoimittajalta.

! 12 6. Kanta-palvelujen käytön tietoturvakäytännöt Järjestelmätoimittajalta teksti tähän: päivittyy myös myöhemmin tarkemmin Kanta-palveluiden edellyttämien varmenneratkaisujen toteuttaminen (eri tyyppiset varmenteet) Vaatimustenmukaisuustodistuksen edellyttäminen Kanta-palveluihin liittyviltä tietojärjestelmiltä ja välityspalveluilta. Poikkeustilanteessa esim. jos sähköinen järjestelmä ei ole käytettävissä. Potilasarkiston kirjauksissa siirrytään poikkeustilanteessa paperikirjaukseen siihen asti, kunnes ongelma ratkeaa. Kelan häiriöviestinnänohje (linkki)

! 13 7. Tietojärjestelmät Järjestemätoimittajalta tekstit tähän Kanta-palveluihin liittyvät tietojärjestelmät (luokka A) -järjestelmä, versio, toimittaja, yhteystiedot, vaatimustenmukaisuustodistus -järjestelmä, versio, toimittaja, yhteystiedot, vaatimustenmukaisuustodistus Muut asiakas- tai potilastietoja käsittelevät järjestelmät (luokka B) -järjestelmä, versio, toimittaja, yhteystiedot Käytössä ei ole vanhaa potilastietojärjestelmää. Muut tietojärjestelmät, jotka on otettava huomioon arkaluonteisten asiakas- ja potilastietojen suojaamisen kannalta -järjestelmä, versio, toimittaja, yhteystiedot

! 14 8. Tietojärjestelmäkohtaiset ohjeet ja suunnitelmat Tähän tiedot järjestelmätoimittajalta 8.1 Järjestelmä X (luokkaan A kuuluva) -järjestelmä, versio, toimittaja, yhteystiedot -käyttötarkoitus -käyttäjäryhmät -käyttöohjeet -ohjeiden päivittäminen ja jakelu -menettelyt virhe- ja ongelmatilanteissa -järjestelmäkohtaiset tukipalvelut -asennus- ja ylläpitovastuut ja -vaatimukset -menettelytavat ja vastuut virhe- ja poikkeustilanteissa -käyttövaltuushallinta järjestelmässä -tunnistautuminen järjestelmässä -lokit -järjestelmän lukittuminen -Kantaan liittyvän järjestelmän vaatimustenmukaisuustodistuksen tietojen varmistaminen -järjestelmän tiedot Valviran rekisterissä 8.2 Järjestelmä Y (luokkaan B kuuluva) -järjestelmä, versio, toimittaja, yhteystiedot -käyttötarkoitus -käyttäjäryhmät -käyttöohjeet -ohjeiden päivittäminen ja jakelu -menettelyt virhe- ja ongelmatilanteissa -järjestelmäkohtaiset tukipalvelut -asennus- ja ylläpitovastuut ja -vaatimukset -menettelytavat ja vastuut virhe- ja poikkeustilanteissa -käyttövaltuushallinta järjestelmässä -tunnistautuminen järjestelmässä -lokit -järjestelmän lukittuminen -järjestelmän tiedot Valviran rekisterissä 8.2 Järjestelmä Y (muu järjestelmä) -järjestelmä, versio, toimittaja, yhteystiedot -käyttötarkoitus -käyttäjäryhmät

[tarvittavin ja soveltuvin osin]: -käyttöohjeet -ohjeiden päivittäminen ja jakelu -menettelyt virhe- ja ongelmatilanteissa -järjestelmäkohtaiset tukipalvelut -asennus- ja ylläpitovastuut ja -vaatimukset -menettelytavat ja vastuut virhe- ja poikkeustilanteissa -käyttövaltuushallinta järjestelmässä -tunnistautuminen järjestelmässä -lokit -järjestelmän lukittuminen! 15

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute