Sosiaali- ja terveydenhuollon tietojärjestelmiä käyttävien palveluiden antajien omavalvontasuunnitelma



Samankaltaiset tiedostot
OMAVALVONTASUUNNITELMA

Sosiaali- ja terveydenhuollon tietojärjestelmiä käyttävien palveluiden antajien omavalvontasuunnitelma

Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi

Tietojärjestelmien valvonnan ajankohtaiset asiat

Kuka auttaa johtoa sosiaali- ja terveydenhuollon asiakastietojen käytönvalvonnassa?

Sosiaali- ja terveydenhuollon asiakastietojärjestelmät ja niiden uudistukset

Sosiaali- ja terveydenhuollon tietojärjestelmien valvonta

Potilas -ja asiakastietojärjestelmien vaatimukset ja valvonta Ammattimainen käyttäjä laiteturvallisuuden varmistajana

Terveydenhuollon ATK-päivät Logomo, Turku

Kanta-sertifiointi ja omavalvonta yleiskuva ja prosessit

Kanta- välittäjätahon määrittely löytyy ajantasaisena Tekniset liittymismallit -asiakirjasta, joka löytyy olevasta käsikirjasta.

OHJE YLEISEEN KÄYTTÖÖN TARKOITETTUJEN OHJELMISTOJEN HYÖDYNTÄMISESTÄ SOTE- PALVELUISSA

Tietosuojakysely 2019

Sopimus Kanta-palveluihin liittymisestä ja Kanta-palvelujen käytöstä v 1.0

Tietosuojakysely 2018

SOPIMUSOIKEUS JA HANKINTA Uusimmat lainsäädöntövaatimukset hankintasopimuksissa

Kanta-sertifiointi ja omavalvonta yleiskuva ja prosessit

OLENNAISET TOIMINNALLISET VAATIMUKSET - PÄIVITETTY LUOKITUS JA JÄRJESTELMÄLOMAKE Kela toimittajayhteistyökokous 26.4.

Valtuutussäännökset. Voimassaoloaika. Määräys tulee voimaan pp. päivänä [x]kuuta 2015 ja se on voimassa toistaiseksi.

Potilastietojärjestelmien käytön osaamisen turvaaminen organisaatioissa

Kanta-sopimusmalli / Yritys-Yritys. Sopimus eresepti-palveluun liittymisestä

Osapuolet sitoutuvat noudattamaan e-reseptipalvelun ehtoja ja sen liitteitä.

Kotiin annettavien palvelujen valvonta osana kunnan omavalvontaa. Järvenpään kotihoidon omavalvonta

KanTa- (Kansallinen terveysarkisto) palveluiden käyttöönotto. Ensimmäisenä sähköinen lääkemääräys

Naantalin kaupunki Rekisteriseloste

Auditointi. Teemupekka Virtanen

Laki terveydenhuollon laitteista ja tarvikkeista velvoitteita välinehuollolle. Kimmo Linnavuori

Rekisterinkäyttöoikeus sosiaalihuollon Kanta-palveluissa

TIETOSUOJASELOSTE Tilhilän palvelutalo Vuokrakiinteistöt

Peltolantie 2 D, Vantaa puh.(09) vastuuhenkilö (palveluntuottaja täyttää) yhteyshenkilö ja yhteystiedot: (palveluntuottaja täyttää)

Sopimus Kanta-palveluihin liittymisestä ja Kanta-palvelujen käytöstä

Päätös. Laki. sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain muuttamisesta

OHJE LUOKKAAN A KUULUVIEN SOSIAALI- JA TERVEYDENHUOLLON TIETOJÄRJESTELMIEN MUUTOSTEN ILMOITTAMISESTA

Tietosuojakysely 2016

SÄHKÖISEN LÄÄKEMÄÄRÄYKSEN TOIMINNALLISUUKSIA TOTEUTTAVIEN TIETO- JÄRJESTELMIEN VAATIMUSTENMUKAISUUS SIIRTYMÄVAIHEESSA

Naantalin kaupunki Rekisteriseloste

Määräys sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista toiminnallisista vaatimuksista

TIETOTURVAA TOTEUTTAMASSA

Postinumero Kela. Käyntiosoite Nordenskiöldinkatu 12, Helsinki. Nimi Kanta-palvelujen tietosuojavastaava

Ajankohtaista terveydenhuollon laitteita ja tarvikkeita koskevasta lainsäädännöstä

Auditoinnista omavalvontaan - omavalvontasuunnitelma ja sen laatiminen

tiedonhallinnan lainsäädännön muutokset osana maakunta- ja soteuudistusta

Länsi-Pohjan sairaanhoitopiiri Perusterveydenhuollon yksikkö Teija Horsma

Apteekkisopimus Päihdelääketieteen torstaikoulutus Maritta Korhonen, Kela Kanta-palvelut

Eläketurvakeskuksen tietosuojapolitiikka

Tietosuojavastaavan rooli lokivalvonnassa

Kelain-palvelun käyttöehdot

Pilvipalveluiden arvioinnin haasteet

Tietosuojakysely 2017

Kysymyksiä jä västäuksiä yksityisen terveydenhuollon liittymisestä potilästiedon ärkistoon

Laiteturvallisuus osana potilasturvallisuutta

KanTa-kokonaisuus ja kunnat

Kelain-palvelun käyttöehdot

Sote-rajapinnan tiedonkäsittely tulevaisuudessa

Sisällysluettelo. 1 JOHDANTO Irma Pahlman... 11

Kirjaaminen ja sosiaali- ja terveydenhuollon yhteisissä palveluissa ja Henkilörekisterien uudistaminen

ERESEPTI TULEE MITÄ PITÄISI TEHDÄ? erespa viitoittaa tietä ereseptiin

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Lokipolitiikka (v 1.0/2015)

Kelain-palvelun käyttöehdot

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

= LV! "17. Seinäjoen kaupungin tietoturvapolitiikka SE I N ÄJ 0 K I. 1. Johdanto. 2. Tietoturvaan liittyvät tavoitteet ja periaatteet

Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä

Tietoturvallisuuden, tietosuojan ja tietojärjestelmien käytön omavalvontasuunnitelma

Sosiaalihuollon valtakunnallisten tjpalveluiden. I-vaihe

KanTa Asiakastietojen käsittely ja menettelytavat eresepti-palvelua käytettäessä

OMAVALVONTASUUNNITELMA 1.1

Ammattimaista käyttäjää koskevat keskeiset vaatimukset

Käytönvalvonnan yhtenäistäminen ja tehostaminen organisaation ja kansalaisen kannalta

Muut tietojärjestelmät, jotka on otettava huomioon arkaluonteisten asiakas- ja potilastietojen suojaamisen kannalta

Nimi: Tuomas Hujala Sähköposti: tuomas.hujala. Puhelin: Sähköposti: tietosuoja

REKISTERINPITÄJÄ JA YHTEYSHENKILÖ REKISTERIÄ KOSKEVISSA ASIOISSA Rekisterinpitäjä: Tmi ML-hahmoterapia Yhteyshenkilö: Mikko Lounela Puh:

KETKÄ LIITTYVÄT KANTA-PALVELUIHIN. Ketkä liittyvät Kanta-palveluihin. Kanta-liittyjän ohje

Tietoturvapolitiikka Porvoon Kaupunki

Tietosuojavastaavan nimeämistä ja muita tietosuoja- ja tietoturva-asioita koskeva kysely sosiaalihuollon palvelujen antajille 2011

Paneeli: Käytön valvonta, lokien hallinta, poikkeamien havaitseminen, poliisiyhteistyö

HE 23/2007 vp. Esityksessä ehdotetaan muutettavaksi sosiaali- ja terveydenhuollon asiakastietojen sähköisestä

Laki. EDUSKUNNAN VASTAUS 195/2010 vp

Tietosuojavastaavan toiminta ja dokumentointi

Peltolantie 2 D, Vantaa puh. (09) vastuuhenkilö (palveluntuottaja täyttää) yhteyshenkilö ja yhteystiedot: (palveluntuottaja täyttää)

OMA VALVONTASUUNNITELMAN LAATIMINEN (3) Omavalvonnan suunnittelusta vastaava henkilö tai henkilöt

Organisaation muutostilanteet. Kela, Kanta-palvelut

LUONNOS Määräys sosiaalihuollon palvelutehtävien luokituksesta Valtuutussäännökset Kohderyhmät Voimassaoloaika Liitteet

Kanta-palvelut, Kelan näkökulma

SÄHKÖISEN LÄÄKEMÄÄRÄYKSEN MUUTOKSIA JA TOIMINTAMALLIN TARKENTAMINEN ALKAEN

KANTA-PALVELUJEN YLEISET TOIMITUSEHDOT Liite 3

Toiminta häiriötilanteissa. Versio

Vastaajan taustatiedot

OMAVALVONTASUUNNITELMA

Organisaation muutostilanteet

KOTIIN ANNETTAVAT LAITTEET JA POTILASTURVALLISUUS

Turun ammattikorkeakoulu (5) Tietojärjestelmien käyttösäännöt

TOIMINTA KANTA-PALVELUJEN HÄIRIÖTILANTEESSA

KETKÄ LIITTYVÄT KANTA-PALVELUIHIN Ketkä liittyvät Kanta-palveluihin. Kanta-liittyjän ohje

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Terveydenhuollon yksiköiden valmiudet liittyä KanTa an

Liittyminen eresepti-palveluun. Yksityisten terveydenhuollon toimijoiden ereseptin käyttöönottoon valmistautuminen

Toivo-ohjelmaan liittyvä keskeinen lainsäädäntö. Hallituksen esitysten mukaisesti Mikko Huovila / STM OHO DITI

Omavalvontasuunnitelma ja EU-tietosuojadirektiivi

Transkriptio:

Sosiaali- ja terveydenhuollon tietojärjestelmiä käyttävien palveluiden antajien omavalvontasuunnitelma Sosiaalihuollon ja terveydenhuollon palvelujen antajilla on velvoite laatia omavalvontasuunnitelma, jossa käsitellään organisaation tietoturvaan ja tietosuojaan sekä käyttöön liittyviä keskeisiä asioita. Omavalvontasuunnitelman tarkoituksena on varmistaa, että palvelujen antajan henkilökunta hallitsee käytössään olevien käytön ja osaa ottaa huomioon asiakas- ja potilastietojen salassapitoon ja tietoturvaan liittyvät vaatimukset. Lisäksi omavalvontasuunnitelmassa tulee ottaa huomioon käyttöympäristöön, ylläpitoon ja päivitykseen liittyvät asiat. ssa jo olemassa olevaa tietosuojakäsikirjaa voidaan laajentaa koskemaan ko. lain edellyttämiä muutoksia. Sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain (159/2007) 19 h, sellaisena kuin se on laissa 250/2014. Laki sähköisestä lääkemääräyksestä (61/2007) 22 b, sellaisena kuin se on laissa 251/2014. 19 h ja 22 b :n mukainen omavalvontasuunnitelman tulee olla palvelujen antajalla pääsääntöisesti viimeistään 1.1.2015. * * 1) Kansaneläkelaitoksella, palvelujen antajalla ja välityspalvelun tuottajalla, joka on liittynyt valtakunnallisiin tietojärjestelmäpalveluihin tämän lain voimaan tullessa, viimeistään 1 päivänä tammikuuta 2015; 2) terveydenhuollon valtakunnallisiin tietojärjestelmäpalveluihin tämän lain voimaantulon jälkeen liittyvällä liittymisestä lukien; jos liittyminen tapahtuu 1 päivään tammikuuta 2015 mennessä, suunnitelman on kuitenkin oltava viimeistään mainittuna ajankohtana; sekä 3) muilla sosiaalihuollon ja terveydenhuollon tietojärjestelmiä käyttävillä palvelujen antajilla viimeistään 1 päivänä huhtikuuta 2015.

Omavalvontasuunnitelmassa on selvittävä miten seuraavat järjestelmien käyttöön liittyvät asiat varmistetaan: VAATIMUS Henkilöillä, jotka käyttävät tietojärjestelmiä, on niiden käytön vaatima koulutus ja kokemus. Tietojärjestelmien yhteydessä on saatavilla niiden asianmukaisen käytön kannalta tarpeelliset käyttöohjeet. ORGANISAATION TOIMENPITEET 1. Henkilökunnan kouluttaminen käyttöön tehtävien vaatimusten mukaisesti 2. Toimintamalli uusien työntekijöiden kouluttamiseen 3. Ohjeet potilastietojen käsittelystä 4. Osaamisen seuranta 1. on kouluttanut henkilökunnan turvalliseen ja asianmukaiseen ja tarkoituksenmukaiseen käyttöön 2. Tietojärjestelmistä on saatavilla käytön kannalta tarpeelliset käyttöohjeet TODENTAMINEN 1. Potilastietojärjestelmän Mediatri koulutus annetaan kaikille Mediatria käyttäville, koulutusohjelma on tehty yhdessä PTTK:n ja Medikoncultin kanssa. 2. Koulutussuunnitelma ja sen jatkuva toteuttaminen. Esimiehet huolehtivat, että uudet työntekijät saava ja käyvät tietyn peruskoulutuksen järjestelmään. Yksiköiden vastuukäyttäjillä on pääasiallinen vastuu uusien työntekijöiden kouluttamisesta ja perehdyttämisestä. 3. ssa on käytössä kirjalliset ohjeet potilastietojen käsittelystä henkilökunnalle. on huolehtinut henkilökunnan kouluttamisesta ja osaamisesta potilastietojen käsittelyssä. 4. Koulutussuunnitelma ja sen jatkuva toteuttaminen. 1. Tietoturvaa ja -suojaa käsittelevä koulutus henkilöstölle kaksi kertaa vuodessa, jokaisen tulee suorittaa tieturvaa ja suojaa käsittelevä koulutus viiden vuoden välein. 2. Ohjelmiston oma käyttöohjeinfo, löytyy Mediatrista lisäksi yksiköissä on kansioita, joissa on keskeisimpiä ohjeita. 3. Ohjelmistojen päivitysten tiedoksi saattaminen henkilöstölle. Tämä voidaan todentaa käyttäjän helposti saatavilla olevilla yksiselitteisillä ohjelman versiopäivitystä vastaavilla käyttöohjeilla. Uudet päivitykset saatetaan tietoon henkilöstölle sekä sähköpostin että kirjallisilla tiedotteilla. Päävastuullisena on hoito- ja hoivatyönjohtaja sek Mediatrin pää- ja vastuukäyttäjät. 1. on kouluttanut henkilökunnan käyttöön. Olemassa oleva

Tietojärjestelmiä käytetään valmistajan antaman ohjeistuksen mukaisesti. Tietojärjestelmiä ylläpidetään ja päivitetään valmistajan ohjeistuksen mukaisesti. Käyttöympäristö soveltuu asianmukaiseen sekä tietoturvan ja tietosuojan varmistavaan käyttöön. 26.11.2014 1. Potilastietojärjestelmän toimittajan ohjeistus ja koulutus 2. n oma ohjeistus ja koulutus 1. Tietojärjestelmän päivitys- ja korjausprosessin kuvaaminen 2. Muutoksenhallintaprose ssi 3. Virhetilanteiden hallinta 1. Tietosuojavastaava 2. Tietoturvapolitiikka 3. Tietosuojan valvonta 4. Tunnistautuminen järjestelmään 5. Käyttövaltuushallinta koulutussuunnitelma ja sen jatkuva toteuttaminen. Tietojärjestelmän toimittajan ohjeistus on käyttäjien tiedossa ja saatavilla. 2. Omavalvontasuunnitelmaan on kuvattu menettelytavat, jolla seurataan järjestelmän valmistajien antamien ohjeistusten mukaista käyttöä. 1. Potilastietojärjestelmästä on kuvattu prosessi joka sisältää versio- ja korjauspäivitykset sekä myös pienemmät toiminnalliset muutokset. 2. Muutostenhallintaprosessissa tulee kuvata miten tehdyt muutokset on suunniteltu, hyväksytty, testattu ja dokumentoitu. 3. ssa on virhetilanteiden sattuessa toipumissuunnitelma ja häiriötilanneohjeet. ssa on suunnitelma järjestelmien toiminnallisuuden valvontaan sekä poikkeustilanteiden ja virhetilanteiden havainnointiin ja niistä tiedottamiseen. 1. lle on nimetty tietosuojavastaava (Hannele Komu) ja työtehtäviin on resursoitu työaikaa. Jokaisella palvelujen antajalla ja Kansaneläkelaitoksella on oltava seuranta- ja valvontatehtävää varten tietosuojavastaava. 2. lla on tietoturvapolitiikka laadittuna ja se on otettu käyttöön. Päivitetty 11/2014 yhdessä PTTK:N kanssa. 3. lla on laadittu tietosuojaan liittyvä seuranta- ja valvontasuunnitelma 4. ssa on käytössä yksilölliset käyttäjätunnukset/ sähköinen tunnistautuminen, käytetään pääsääntöisesti sähköistä tunnistautumista. 5. Olemassa oleva kirjanpito, josta voidaan todentaa haetut, hyväksytyt, käyttöönotetut, poistetut jne. käyttöoikeudet. Arkistossa ja tiedonhallintapalvelussa olevien asiakirjojen osalta organisaation tulee määrittää, keiden työntekijöiden/ käyttäjäryhmien tulee päästä ko. asiakirjoja käsittelemään. Potilas oman käyttäjähallinnan osalta käyttöoikeudet ja niihin liittyvät prosessit tulisi olla dokumentoituna.

6. Käyttöoikeuksien jako ja hallinta 7. Verkkoyhteyden suojaus 8. Istunnon katkaisu 9. Lokitietojen muuttumattomuus 10. Asialliseen käyttöön liittyvä fyysinen käyttöympäristö. 11. Liikuteltavien laitteiden tietoturva ja suoja 12. Ulkoiset tallennuslaitteet 6. ssa on kuvattu käyttöoikeuksienhallintaprosessi. ssa on valvontasuunnitelma potilastietojen käsittelyn seurantaan ja valvontaan 7. Järjestelmien tulee olla yhteisellä palomuurilla tai palomuureilla suojatut. Myös langattomien verkkojen tietoturva on huomioitava. 8. ssa on käytössä joko kertomusjärjestelmän käyttöliittymän lukitus tai työasemakohtainen lukitus. 9. Järjestelmän lokiympäristö on toteutettu, esim. erillisellä lokipalvelimella. Tarkastetaan miten lokitiedot on suojattu käyttöoikeuksin ja muuten. Varmistetaan, että ylläpitäjät ja muut voimakkaita oikeuksia omaavat tahot eivät voi poistaa tai muokata lokeja. 10. Kuvaus tietoturvan ja tietosuojan varmistamisesta fyysisessä käyttöympäristössä, kuten toimitiloista j niiden tietosuojan takaavista sijoittelu-, sisustus-, äänieristys- ja muista vastaavista toimenpiteistä. 11. Kuvaus asiakas- / potilastietoja sisältävien liikuteltavien laitteiden tietosuojasta ja turvasta. 12. Kuvaus miten ulkoisten tallennuslaitteiden asentamisesta on sovittu.

1. Vastuiden määrittelyt 1. Kaikkien osapuolien (terveydenhuollon toimintayksiköt, apteekit, itsenäiset ammatinharjoittajat, ohjelmistoyritykset ja tietoliikenneoperaattorit) vastuut tulee olla selkeäs määritelty toiminnallisuuden, tietoturvallisuuden ja yhteistoiminnallisuuden osalta (sopimukset). Tietojärjestelmiin liitetyt muut tietojärjestelmät tai muut järjestelmät eivät vaaranna suorituskykyä eivätkä niiden tietoturva- tai tietosuojaominaisuu ksia. 2. Hallintayhteydet järjestelmään (etäyhteydet) 3. Järjestelmän ylläpito 4. Tietojärjestelmiin liitetyt muut tietojärjestelmät Sopimuksen keskeinen sisältö: rekisterinpitäjä henkilötietojen käsitteleminen käyttötarkoitussidonnaisuus luottamuksellisuus ja salassapito palvelun tuottajan ostopalvelurekisteri henkilötietojen käsittelyn ohjaus, valvonta ja seuranta (lokitiedot) tietoturva rekisteriselosteet viittaukset lainsäädäntöön osapuolten velvollisuudet toimeksiantosuhteen päättyminen 2. Sallittaessa etäyhteyksiä järjestelmään, toteutus tulee olla toteutettuna turvallisesti ja tunnistautumisessa tulee käyttää vahvaa tunnistautumismenetelmää. 3. Järjestelmissä ei saa olla ylimääräisiä palveluita eikä sovelluksia. Järjestelmissä ei saa olla aktiivisia oletustunnuksia ja muita oletuksena tulevia tietoturvallisuuden kannalta huonoja asetuksia. Palvelimet, joilla järjestelmät toimivat, tulee olla suojattu haittaohjelmilta, ja haittaohjelmien käytössä olevan torjuntaohjelman tulee olla automaattisesti päivittyvä (mikäli käytössä olevass ympäristössä torjuntaohjelmia on). 4. Omavalvontasuunnitelmassa on yksilöitävä luokkaan A kuuluvat tietojärjestelmät sekä muut järjestelmät, joilla on vaikutusta ja jotka on huomioitava asennuksissa, ylläpidossa ja päivityksissä.

Tietojärjestelmiä asentaa, ylläpitää ja päivittää vain henkilö, jolla on siihen tarvittava ammattitaito ja asiantuntemus Vaaratilanteista ja poikkeamista ilmoittaminen 1. Vastuiden määrittely 2. Pääkäyttäjän vastuualueet 3. Sopimukset (vastuut/roolit) järjestelmäntoimittajan ym. muiden kanssa 1. Jos sosiaali- tai terveydenhuollon palvelujen antaja havaitsee, että tietojärjestelmän olennaisten vaatimusten toteutumisessa on merkittäviä poikkeamia, on palvelujen antajan ilmoitettava siitä tietojärjestelmän valmistajalle. 2. Jos poikkeama voi aiheuttaa merkittävän riskin potilasturvallisuudelle, tietoturvalle tai tietosuojalle, on siitä ilmoitettava myös Sosiaali- ja terveysalan lupa- ja valvontavirastolle. 1. Henkilöillä, jotka käyttävät tietojärjestelmiä, on siihen koulutus 1. Tehtäviä hoitamaan on nimetty henkilö ja työtehtäviin on resursoitu työaikaa 2. Pääkäyttäjän toimenkuva 3. Sopimuksen keskeinen sisältö: tausta ja tarkoitus sopimuksen voimassaolo toimittajan ja asiakkaan velvollisuudet vastuunrajoitus sopimussakkolausekkeet hyväksymismenettelyt tekijänoikeudet/lisenssiehdot irtisanomis- ja purkulausekkeet, virhe, vika ja viivästys ylivoimainen este sopimuksen seuranta ja valvonta Tietoturva ja -suojapoikkeamien havaitsemis-, ilmoittamis- ja käsittelymenettelyiden kuvaus ilmoitus HaiPro ilmoitus järjestelmän toimittajalle ilmoitus Valviralle 1. Valtakunnallisten tietojärjestelmäpalveluiden koulutus henkilöstölle www.kanta.fi sivujen kautta, lisäksi PTTK:n tekemä koulutus Selvitys siitä, miten

valtakunnallisiin tietojärjestelmäpalve luihin liittyvät tietosuojan erityiskysymykset on järjestetty. 2. Verkkoyhteyksien suojaus 3. Käyttäjätunnusten yksilöllisyys 26.11.2014 4. Auditoitu järjestelmä 5. Viestinvälityksen vaatimukset ja vastuut 6. Sosiaalihuollossa syntyvien tietojen Kantaan tallentamisen estäminen 2. Liittyvien järjestelmien tulee olla palomuurilla/ palomuureilla suojatut. 3. Toimikortti kirjautuminen 4. Valtakunnallisiin tietojärjestelmäpalveluihin liittyvät organisaatiot käyttävät auditoituja järjestelmiä. 5. Sopimuksissa on huomioitu vaaditut viestinnän luottamuksellisuuteen liittyvät vaatimukset. 6. Potilastiedot erotettu potilastietojärjestelmässä siten, että ne eivät tallennu Kantaan. 7. Tietoliikenneyhteyksien sopimuksissa on huomioitu tietoturvapolitiikan vaatimukset. 7. Tietoliikenneyhteydet Omavalvontasuunnit elman toteutumisen seuranta 1. Palvelujen antajan on aktiivisesta seurattava omavalvontasuunnitelm an toteutumista. Palvelujen antaja on vastuussa siitä, että tietoturvaan, tietosuojaan ja käyttöön ja ylläpitoon liittyvät asian tulevat jatkuvasti hoidetuksi asianmukaisesti. 1. Omavalvontasuunnitelmassa on määriteltävä vastuut suunnitelman päivittämisestä ja toteutumisen seurannasta. Vastuu päivittämisen huolehtimisesta hoito- ja hoivatyönjohtajalla päivitetään vuosittain. 2. Sosiaalihuollon ja terveydenhuollon toimintayksikön vastaavan johtajan tulee antaa kirjalliset ohjeet asiakastietojen käsittelystä ja noudatettavista menettelytavoista sekä huolehtia henkilökunnan riittävästä asiantuntemuksesta ja osaamisesta asiakastietojen käsittelyssä. Vastaavan johtajan tulee myös huolehtia 19 h :ssä tarkoitetun omavalvontasuunnitelman laatimisesta ja noudattamisesta. Omavalvonvantasuunntielma on tehty elappi-hankkeen tuottaman sisällön mukaisesti. elappi-hankkeen tuottamaa asiasisällöä kommentoinut 3.6.2014 Tanja Stormbom, lakimies, Terveyden ja hyvinvoinnin laitos (THL) Sosiaali- ja terveydenhuollon tietojärjestelmiä käyttävien palveluiden antajien omavalvontasuunnitelman kooste LIITE 1

VAATIMUS KUNNOSSA / VAATII TARKENNUSTA / KESKENERÄINEN VASTUUTAHO TODENTAMINEN / PVM 1. Henkilöillä, jotka käyttävät tietojärjestelmiä, on niiden käytön vaatima koulutus ja kokemus. 2. Tietojärjestelmien yhteydessä on saatavilla niiden asianmukaisen käytön kannalta tarpeelliset käyttöohjeet. 3. Tietojärjestelmiä käytetään valmistajan antaman ohjeistuksen mukaisesti. 4. Tietojärjestelmiä ylläpidetään ja päivitetään valmistajan ohjeistuksen mukaisesti. 5. Käyttöympäristö soveltuu asianmukaiseen sekä tietoturvan ja tietosuojan varmistavaan käyttöön. 6. Tietojärjestelmiin liitetyt muut tietojärjestelmät tai muut järjestelmät eivät vaaranna suorituskykyä eivätkä niiden tietoturva- tai tietosuojaominaisuuksia. 7. Tietojärjestelmiä asentaa, ylläpitää ja päivittää vain henkilö, jolla on siihen tarvittava ammattitaito ja asiantuntemus. n johto/ esimiehet Järjestelmän toimittaja Järjestelmätuki Rekisterinpitäjä Järjestelmätuki Tietoliikenneoperaattori Järjestelmätuki Tietoliikenneoperaattori 8. Vaaratilanteista ja poikkeamista ilmoittaminen 9. Selvitys siitä, miten valtakunnallisiin tietojärjestelmäpalveluihin liittyvät tietosuojan erityiskysymykset on järjestetty. Rekisterinpitäjä Tietoliikenneoperaattori Teknisen ympäristön tarjoaja Palvelun välittäjä 10. Omavalvontasuunnitelman toteutumisen seuranta n johto/ vastaava johtaja

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute