Tietosuoja terveydenhuollossa

Samankaltaiset tiedostot
Tietosuoja kirjastoissa

Tietosuoja sosiaali- ja terveyspalveluissa

Tietosuojavastaavana julkisella sektorilla

Hyvä tietosuojakäytäntö

Hyvä tietosuojakäytäntö

Tietoturva ja suoja (GDPR), mikä käytännössä muuttuu? Lahti

Tietosuoja opettajan työssä

TIETOSUOJATYÖN ORGANISOINTI

Kertausta lähtökohtiin liittyen

Esityksen aihe: Digitaalinen turvallisuus terveydenhuollossa

Riskienhallinta ja tietotilinpäätös

Osaava tietosuojavastaava - Käytännön kokemuksia ja havaintoja tietosuojavastaavan elämässä

EU:n yleinen tietosuoja-asetus (GDPR) ja sen toimeenpano Tampereen kaupungilla

DLP ratkaisut vs. työelämän tietosuoja

Tietosuoja sosiaali- ja terveyspalveluissa. Ari Andreasson tietosuojavastaava, Tampereen kaupunki , Helsinki

T I E TO S U O JA JA T I E TOT U RVA L L I S U U S O M N I A S S A Riina Kirilova, tietosuoja- ja tietoturvapäällikkö

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

1. Rekisterinpitäjä Nimi Hevostoiminta Laukki Yksityinen elinkeinonharjoittaja, Y-tunnus Yhteystiedot Puh: ,

Haminan tietosuojapolitiikka

Tietosuojakysely 2018

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

Organisaatioluvan hakeminen

Tietosuojan etukäteinen vaikutustenarviointi (DPIA)

Tietosuojakysely 2019

Paneeli: Käytön valvonta, lokien hallinta, poikkeamien havaitseminen, poliisiyhteistyö

Muut tietojärjestelmät, jotka on otettava huomioon arkaluonteisten asiakas- ja potilastietojen suojaamisen kannalta

Miten tietosuoja-asetusta toteutetaan Palkeiden tuottamissa palveluissa Sami Nikula

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

GDPR Tietosuoja-asetus

LSPeL Porin toiminta-alueen kevätseminaari

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

Tietosuojavastaavan nimittäminen, asema ja tehtävät

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

Liana Technologiesin palveluita koskevat henkilötietojen käsittelyn yleiset ehdot

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Tietosuojaasiat. yhdistysten näkökulmasta

Informaatiovelvoite ja tietosuojaperiaate

Tervetuloa! Juha Jolkkonen Toimialajohtaja Helsingin sosiaali- ja terveystoimiala Sosiaali- ja terveydenhuollon tietosuojaseminaari

REKISTERINPIDON JA KÄYTÖNVALVONNAN HAASTEET

EU TIETOSUOJA- ASETUS

Kokonaiskuva tietosuoja-asetuksesta General Data Protection Regulation,GDPR

Eläketurvakeskuksen tietosuojapolitiikka

Jäsenrekisteri tietosuoja-asetus ja henkilötietolaki

Henkilötietojen käsittely asumisneuvonnassa Helsinki Timo Mutalahti, konsernilakimies

Tietosuojavastaavan nimeämistä ja muita tietosuoja- ja tietoturva-asioita koskeva kysely sosiaalihuollon palvelujen antajille 2011

Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa

- pienten ja keskisuurten yritysten ja järjestöjen valmennushanke

Tietorekisteriseloste. Fysioterapeutti Annukka Laukkanen 2019

Peltolantie 2 D, Vantaa puh. (09) vastuuhenkilö (palveluntuottaja täyttää) yhteyshenkilö ja yhteystiedot: (palveluntuottaja täyttää)

Olemme sitoutuneet suojaamaan asiakkaidemme yksityisyyttä ja tarjoamme mahdollisuuden vaikuttaa henkilötietojen käsittelyyn.

Tietosuojakysely 2017

General Data Protection Regulation, GDPR. Tietosuoja-asetuksen vaikutukset pk-yrittäjän näkökulmasta Juha Oravala D-Fence Oy

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Rekisteri on perustettu Rauman kaupungin sosiaali- ja terveystoimialan terveyspalvelujen käyttöä varten.

1. Terveydenhuollon toimintayksikkö. HammasOskari Oy, Liesikuja 4A, Rekisteriasioista vastaava yhteyshenkilö

9. ASIAKASTIETOJEN SÄÄNNÖNMUKAISET HENKILÖTIETOJEN LUOVUTUKSET

INHUNT LAW OY:N TIETOSUOJAILMOITUS

sosiaalipalvelupäällikkö Arja Tolttila Heikinkuja MÄNTSÄLÄ puhelin (vaihde)

Tietoturva osana oppilaitosturvallisuutta ja EUn tietosuoja-asetuksen velvoitteet

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Politiikka: Tietosuoja Sivu 1/5

ASIAKAS- JA HENKILÖTIETO REKISTERISELOSTE

ENERSENSE OY:N TIETOSUOJASELOSTE TYÖNHAKIJOILLE. Viimeksi päivitetty:

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Rekisteri- ja tietosuojaseloste

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

REKISTERINPITÄJÄN INFORMAATIO KUNTOUTUJILLE TOIMINTATERAPIA A KAARRETKOSKI OY

Rekisteriseloste. Kehitysvammaisten asumispalvelujen asiakasrekisterin rekisteriseloste

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Keräämämme tiedot voidaan jakaa asiakkaiden, huoltajan antamiin, viranomaisten antamiin ja eri järjestelmien keräämään tietoon.

Kokemuksia ja näkemyksiä tietosuojaasetuksen

Johdon ja tietosuojavastaavan yhteistyö

Kai Paananen, p Reumantie 4, Heinola. 3. Rekisterin nimi Aikuisten työpajojen ja työllisyydenhoidon asiakasrekisteri

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

EU:N TIETOSUOJA-ASETUKSET WALMU

Aikuissosiaalityön rekisteriseloste

Tietosuojaseloste. Henkilötietolaki (523/1999) 10 ja 24, EU:n yleinen tietosuoja-asetus (679/2016) 12 ja 13 artikla. Urho Tuominen -konserni:

2. Rekisteriasioista vastaava henkilö ja yhteyshenkilö

Oulun Maanmittauskerho ry. Tietosuojaseloste

EU:n tietosuoja-asetus (2016/679)

Peltolantie 2 D, Vantaa puh.(09) vastuuhenkilö (palveluntuottaja täyttää) yhteyshenkilö ja yhteystiedot: (palveluntuottaja täyttää)

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

EU:n tietosuoja-asetus palokuntien kannalta

Käytönvalvonnan yhtenäistäminen ja tehostaminen organisaation ja kansalaisen kannalta

Kuraattoripalveluiden asiakasrekisterin tietosuojaseloste

Lapsen huolto- ja tapaamisoikeuden rekisteri

Rekisteri- ja tietosuojaseloste

Tutkittavan informointi ja suostumus

SOS-LAPSIKYLÄN YRITYS- JA YHTEISTYÖKUMPPANIREKISTERIN TIETOSUOJASELOSTE

Tietosuojakysely 2016

T E R H O N E V A S A L O

REKISTERINPITÄJÄ JA YHTEYSHENKILÖ REKISTERIÄ KOSKEVISSA ASIOISSA Rekisterinpitäjä: Tmi ML-hahmoterapia Yhteyshenkilö: Mikko Lounela Puh:

Tampereen Aikidoseura Nozomi ry

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

Transkriptio:

Tietosuoja terveydenhuollossa Ari Andreasson, tietosuojavastaava Konsernihallinto, kehittämisyksikkö 23.3.2017 1

Lainattua Sakkojen ja sanktioiden lisäksi tietosuojarikkeistä voi seurata paljon negatiivista julkisuutta ja ryppyjä asiakassuhteisiin. Samaan aikaan yritysten on hyödynnettävä digitalisaationja uusien teknologioiden tarjoamia mahdollisuuksia menestyäkseen globaalissa kilpailussa. Blogi: Hannu Kasanen / Deloitte 2

Tietosuojan taustaa Terveydenhuollossa pitkään tunnistettu asia vrt. Hippokrateenvala (n. 2500 vuotta sitten) Luottamuksellinen potilas-lääkäri/hoitajasuhde Henkilötietojen oikeaoppista käsittelyä Salassapito ja siihen liittyvä vaitiolovelvollisuus ja hyväksikäyttökielto Yksityisyyden suoja on tiedollista kotirauhaa Data on uusi öljy ja tietosuoja on ympäristönsuojelua 3

Yleisiä taustahuomioita: Kansalaiset ovat valveutuneita Ihmiset tuntevat oikeutensa ja pyytävät tarkastusoikeuden pohjalta omien/ alaikäisten huollettavien tietojen tarkistamista ja sen jälkeen myös korjaamista/poistamista Kuolleiden henkilöiden elinaikaisia asiakirjoja pyydetään esim. testamenttiriitoihin liittyen Alaikäisten lasten tietoja pyydetään esim. huoltajuusriitoihin liittyen Käyttölokiselvityksiä pyydetään (=kuka tietojani katselee ja miksi?) Potilasasiamiehelle ja sosiaaliasiamiehille sekä tietosuojavastaavalle tulee erittäin runsaasti kysymyksiä Selvityspyyntöjä, kanteluita ja kysymyksiä esitetään suoraan esim. eduskunnan oikeusasiamiehelle, tietosuojavaltuutetulle, poliisille sekä Valviraan ja aluehallintovirastoon 4

Tietosuojatyö Kilpailukyvyn lähde Asiakasnäkökulma Asiakkaiden ja työntekijöiden yksityisyyden suoja paranee Potilasturvallisuus paranee terveydenhuollossa Organisaation näkökulma Organisaatio näyttäytyy luotettavana palvelujen antajana ja haluttuna yhteistyökumppanina Organisaation tuottavuus ja tehokkuus kasvaa (kustannussäästöt) Riskien todennäköisyydet ja vaikutukset pienenevät Henkilöstön näkökulma Henkilöstön osaaminen ja oikeusturva paranevat Kansalaistaidot karttuvat 5

EU:n yleinen tietosuoja-asetus Tietosuoja-asetus julkaistiin 4.5.2016 Euroopan unionin virallisessa lehdessä L 119. Valmistelu kesti yli 4 vuotta Asetukseen liittyy siirtymäaika. Sitä sovelletaan 25. toukokuuta 2018 lähtien Tavoitteena tietosuoja-asioiden harmonisointi kaikissa EU-maissa ja asetusta tulee soveltaa yhdenmukaisesti kaikissa EU:n jäsenvaltioissa Suomennos asetuksesta http://eur-lex.europa.eu/legalcontent/fi/txt/pdf/?uri=celex:32016r0679&from=fi 6

Asetuksen sisältö ja tavoite 7

Hyötyjä ja riskejä Positiivisia riskejä: Oikein toteutettu tietosuojatyö ja oikein mitoitettu tietosuoja mahdollistaa organisaation näkymisen luotettavana ja haluttuna työnantajana ja yhteistyökumppanina, koska osaamme oikeaoppiset henkilötietojen käsittelyprosessit Työntekijät, työnhakijat ja kansalaiset luottavat meihin ja käyttävät ahkerasti sähköisiä palveluitamme Tietosuojatietouden lisääminen parantaa kaikkien kansalaistaitoja ja -tietoja alati enemmän digitalisoituvassa maailmassa Negatiivisia riskejä: Rekisterinpitäjillä riski joutua oikeasti ankaraan vastuuseen (myös imagoriskit ovat suuret) Mahdollisia suuria hallinnollisia seuraamuksia tietosuojan tai tietoturvan laiminlyönneistä (myös imagotappiot). Rahallisten sanktiot eivät ole vielä linjattu, että tulevatko kohdentumaan ollenkaan julkiselle sektorille tai jos kohdentuvat niin milloin niitä käytetään sanktioina Henkilötietojen liittyviä erilaisia pyyntöjä voi alkaa tulemaan enenevästi, jotka voivat viedä aikaa ja vaativat tulkintaa kuinka toimitaan: Kuka potílastietojanikatselee ja miksi? Haluan tietoni poistettavaksi organisaation rekryjärjestelmästä! Vaadin, että minuun liittyvä vanha esimiehen antama varoitus hävitetään pysyvästi, koska en ole enää teillä töissä jne. Henkilötietojen käsittelyriitoja voidaan saattaa EU-tasoisesti ratkaistavaksi, jolloin voi tulla yllättäviäkin ratkaisuja, jotka poikkeavat suomalaisista oikeusasteiden ennakkoratkaisuista tai totutuista käytänteistä 8

Mitä kannattaa tehdä siirtymäaikana? 1. Tietosuojavastaava Varmistaa, että organisaatiolla (esim. kunnalla) on jatkossakin tietosuojavastaava, vaikka organisaatio ei sote-palveluita ei olisi järjestämisvastuulla Tietosuojavastaava, tehtävät ja asemoituminen pitää käsitellä uudelleen (artiklat 37-39) 39) 2. Tietosuojan nykytila-analyysin analyysin laatiminen Tarkoittaa organisaation henkilötietojen käsittelyn ja tietosuojakyvykkyyksien nykytilan arviointia suhteessa tietosuojaasetuksen vaatimuksiin Inventaari siitä mitä henkilötietovarantoja on ja miten niitä käsitellään Auttaa kehittämissuunnitelman laatimisessa Rekisteriselosteiden päivittäminen jatkossa tehtävä entistä laajempi kuvaus (artikla 30) 3. Sopimuksien hallinta Pitää käydä läpi ne sopimukset, joilla on ulkoistettu henkilötietojen käsittelyä Apua tarvitaan esim. lakipuolelta sekä sisäiseltä tarkastukselta, jos sellainen organisaatiossa on Varmistaa prosessi niin, että uusiin sopimuksiin otetaan riittävät lausekkeet mukaan 4. Riskienhallinnan kehittämien Vaikuttavuusarviointi tehtävä suuririskisessä henkilötietojen käsittelyssä (DPIA=Data ProtectionImpactAssessment, artikla 35) 5. Asetuksen huomioiminen meneillään olevissa järjestelmähankkeissa sekä sovelluskehityksessä Otettava huomioon muutostarpeet tai muutoin uusi palvelu ei täytä lainsäädännön vaatimuksia Uusissa järjestelmähankinnoissa huomioita tietoturva-ja tietosuojavaatimukset tarkasti, koska uusiin järjestelmiin on helpompi saada ne toteutumaan kuin olemassa oleviin tehdä muutoksia. Tällaisia ovat esim. käyttö- ja luovutuslokit. 9

Arin nostot ICT-järjestelmät ja niihin liittyvät käyttöoikeudet syytä käydä läpi pyrkiä saamaan päälle henkilötietojen käytön lokituksetmuissakin kuin sotenasiakastietojärjestelmissä. syytä tehdä erityinen käytönvalvonnan suunnitelma, jos järjestelmällä käsitellään henkilötietoja varmistaa, että henkilötiedot pysyvät EUnsisällä (uusissa järjestelmissä panostettava vaatimusmäärittelyihin) Kaikkien järjestelmien tietytspesifiset erityisriskit tunnistettava esim. pystytäänkö erottelemaan turvakiellon alaiset tai salaiset osoitetiedot Työntekijöihin liittyvät arkaluonteiset tiedot ja niiden käsittelyprosessit varmistettava mm. työntekijöiden terveydentilatiedot Työntekijöille, jotka käsittelevät työntekijöiden ja työnhakijoiden tai asiakkaiden/potilaiden henkilötietoja on järjestettävä määrämuotoisesti tietosuojakoulutusta Rekisteriselosteet päivitettävä vastaamaan artiklaa 30 (kuvaus henkilötietojen käsittelystä) YT-ryhmään otettava mukaan varhaisessa vaiheessa sellaiset asiat, jossa henkilöstöön kohdistetaan teknistä valvontaa tai henkilöstön henkilötietoja analysoidaan tai luovutetaan teknisesti ylläpitoon ulkopuolelle Mietittävä (kriisi)viestintä, jos henkilötietoja vuotaa sivullisille ja siitä voi aiheutua vakavaa vaaraa henkilöiden yksityisyydelle Tarvittaessa konsultoitava herkästi myös tietosuojaviranomaisia varsinkin kun uudentyyppisiä asioita kehitellään ja pilotoidaan, joihin liittyy henkilötietojen käsittelyä 10

Johdon rooli Mihin kannattaa keskittyä? Nykytila-analyysi ja sen läpikäynti Henkilörekisterihallinnon järjestäminen ja rekisteriselosteet Kirjalliset politiikat, periaatteet ja ohjeet (data protection by design-periaatetta tukeva) Riittävät resurssit Tietosuojavastaavan nimeäminen ja tehtävien/aseman määrittely Tietoturvapäällikön nimeäminen ja tehtävien/aseman määrittely Tietoturva- ja tietosuojaryhmän perustaminen ja tehtävien määrittely Riskienhallinta Riskien tunnistaminen ja luokittelu Riskianalyysit Toimintaohjeet riskien toteutuessa Kirjalliset sopimukset palveluja ostettaessa (turvallisuusliitteet, raportointivelvoitteet) Seuraamuskäytännöt tietoturva- ja tietosuojarikkomuksissa Tietosuojattavan jätteen hävitysprosessin järjestäminen Tietoturvan ja tietosuojan omavalvontasuunnitelma (ainakin sote-sektori) Tietotilinpäätös (accountability-periaatetta tukeva) 11

Tietosuojavastaavat ovat EU tietosuoja-asetuksen asetuksen keskiössä, avain roolissa, myötävaikuttamassa asetuksen säännösten toteutumiseen. 12

Tietosuojavastaava (tietosuoja-asetus, artikla 37) Tietosuojavastaavaa nimitettäessä otetaan huomioon henkilön ammattipätevyys ja erityisesti asiantuntemus tietosuojalainsäädännöstä ja alan käytänteistä sekä valmiudet suorittaa 39 artiklassa tarkoitetut tehtävät Tietosuojavastaava voi olla rekisterinpitäjän tai henkilötietojen käsittelijän henkilöstön jäsen tai tietosuojavastaava voi hoitaa tehtäviään palvelusopimuksen perusteella Rekisterinpitäjän tai henkilötietojen käsittelijän on julkistettava tietosuojavastaavan yhteystiedot ja ilmoitettava ne valvontaviranomaiselle 13

Tietosuojavastaavan tehtävät (39 artikla) Ainakin seuraavat : Seurata asetuksen ja muun tietosuojalainsäädännön noudattamista, kouluttaa, neuvoa ja antaa tietoa Antaa pyydettäessä neuvoja tietosuojaa koskevasta vaikutustenarvioinnista (35 art) ja valvoa sen toteutusta Tehdä yhteistyötä valvontaviranomaisen kanssa ja toimia valvontaviranomaisen yhteyspisteenä käsittelyyn liittyvissä kysymyksissä mukaan luettuna 36 art. ennakkokuuleminen Tehtävien hoitamisessa huomioitava mm. käsittelyn luonne, laajuus ja asiayhteys 14

Tampereen kaupunki ja seutukuntayhteistyö Seudun yhteinen tietoturvaryhmä, jossa jäsenet myös isoimmilta ICTsopimuskumppaneilta (Sonera ja Tieto) seudun yhteinen tietoturvapolitiikka seudun yhteinen henkilöstön tietoturva-ja tietosuojaopas seudun yhteinen tietojen ja tietojärjestelmien käyttö-ja salassapitositoumus (sähköinen hyväksyntä) seudun yhteinen mobiilipolitiikka seudun yhteiset käyttövaltuusperiaatteet seudun yhteiset sähköisten viestintävälineiden käyttösäännöt 15

Käytännössä huomioitavaa Asiakas-ja potilastietojen käsittelyohjeiden ajantasaisuus ja niiden perehdyttäminen henkilöstölle Henkilöstön osaamisen mittaaminen liittyen henkilötietojen käsittelyyn (verkkokurssit, testit, kyselyt jne.) Huolehtikaa tietojärjestelmien käyttöoikeuksista tarpeettomat tunnukset poistettava ja varmistettava että oikeudet vastaavat työtehtäviä Varautukaa ICT-häiriötilanteisiin (jatkuvuussuunnittelu) Tietosuoja-ja tietoturvapoikkeamien raportointi (tietyissätilanteissa jatkossa ilmoitusvelvollisuus rekisteröidyille sekä tietosuojaviranomaiselle) Tietojen luovutuksissa oltava tarkkana! Luovuttaja vastaa siitä, että selvittää onko luovutuksen saajalla oikeus tietoihin ja missä laajuudessa Salassa pidettäviä henkilötietoja ei saa käsitellä kuin silloin kun työtehtävät sitä edellyttävät. Luvaton käyttö on rikos. 16

Potilasasiakirjojen käsittely Potilasasiakirjojen käsittelyllä tarkoitetaan asiakirjojen laatimista, käyttöä, säilyttämistä, hävittämistä ja tietojen luovuttamista Potilasasiakirjamerkinnöistä tulee käydä ilmi keskeiset hoitoon liittyvät seikat tarpeellisessa laajuudessa Keskeistä hoidon onnistumisen kannalta Keskeistä myös työntekijöiden oikeusturvan kannalta Kirjatkaa tarkasti tiedon lähde, varsinkin jos se on joku muu kuin potilas itse Käyttäkää aina vain henkilökohtaisia käyttäjätunnuksia potilastietojärjestelmissä Vastaavan johtajan pitää antaa kirjalliset ohjeet henkilöstölle potilastietojen käsittelystä ja vastaavasti sosiaalihuollon asiakasasiakirjojen käsittelystä Havaitut virheet asiakirjoista pitää korjata omatoimisesti, vaikka potilas ei olisi asiaa itse huomannut/vaatinut 17

Tietojen luovutukset Salassa pidettävien tietojen osalta tietojen luovutuksissa on oltava tarkkana: Luovuttaja vastaa sen varmistamisesta, että luovutuksen saajalla on oikeus tietoihin (ja missä laajuudessa) Onko tietojen luovuttamiseen asiakkaan nimenomainen suostumus tai onko tiedon antamisesta tai oikeudesta tiedon saamiseen erikseen laissa säädetty? Jos tietoja pyytää joku muu kuin asiakas/potilas, niin onko hän (esim. alaikäisen) laillinen edustaja? Turvakiellon alaiset yhteystiedot (viranomainen saa käsitellä, kun se on välttämätöntä sivullisille ei saa luovuttaa) Erityisen tarkkana pitää olla, jos tietoja kysellään puhelimitse ja alkaa haistamaan palaneen käryä! 18 23.3.2017 Ari Andreasson

Riskienhallinta Riskienhallintaa ei pidä koskaan vähätellä tai kokea sen olevan välttämätön pakko. Tällainen asenne voi kostautua erittäin karvaasti. Riskienhallintatyön yksi tavoite on myös oppia aikaisemmista virheistä eli kartoittaa tulevia riskejä hyödyntäen sitä tietoa, mitä palvelujen ulkoistuksissa, ICTprojekteissa ja niihin liittyvissä erilaisissa vaatimusmäärittelyissä, sopimuksissa, hankinnoissa sekä palvelutuotannossa on jo toteutunut. VAHTI 1/2017 ohjeluonnoksessa kiteytetään asia hyvin: Riskienhallinta on osa johtamisen ja toiminnan prosesseja sekä suunnittelua ja seurantaa. Tavoitteena on, että organisaatiolla on päätöksentekoa varten ajantasainen, oikea ja riittävän kattava käsitys riskeistä sekä selkeästi määritellyt riskienhallinnan vastuut ja seurantajärjestelmä. 19

Tietosuojariskeistä Datan avaaminen anonymisoinnin varmistaminen Datan analysointi alati kasvavista henkilörekistereistä Ennustavat algoritmit Ohjelmistorobotiikka digityöntekijät Vanhojen tietojärjestelmien puutteet esim. henkilötietojen käytön lokittamisessa Ulkoisten palveluntuottajien valvonta henkilötietojen käsittelyssä Mobiililaitteiden ja applikaatioiden heikko hallinta 20

Käytännön riskejä 1. Käyttöoikeuksien ja käsittelyvaltuuksien hallinnan puutteet: Tietojärjestelmien käyttöoikeuksia on voimassa, vaikka ei pitäisi Käyttöoikeuksiin liittyvät valtuudet voivat olla vääränlaiset eivätkä vastaa työtehtäviä (esim. liian laajat tai liian suppeat tekniset oikeudet/valtuudet) 2. Liian vähäinen henkilötietojen ja niiden käsittelyssä käytettävien tietojärjestelmien käyttökoulutus henkilöstölle: Aikaansaa hitautta ja tyhjäkäyntiä asiakastietojen käsittelyssä Lisää johdon riskejä myös kustannuksien osalta Voi vaarantaa salassapitovelvoitteen (esim. sosiaalisessa mediassa varomaton kirjoittelu) Altistaa henkilöstön menemään ansaan herkemmin erilaisten huijaus/kalasteluviestien tai kiristyshaittaohjelmien osalta 21

3. Huono sopimus- ja hankintaosaaminen: Jälkikäteen on erittäin vaikeaa muuttaa voimassaolevia sopimuksia Lisäksi on hankalaa ja tai kallista saada jälkikäteen haluttuja toiminnallisuuksiatietojärjestelmiin, mikäli niitä ei ole osattu suunnitella ja tilata hankintaprosessiin liittyvän vaatimusmäärittelyn yhteydessä 4. Tietojen luovutukset: Sosiaalinen hakkerointion yleinen tapa pyrkiä saamaan pääsy salassa pidettäviin tietoihin. Tämä pätee asiakastietojen lisäksi myös liikesalaisuuksiin. Puhelimessa tai sähköpostitse voidaan kysyä vihamielisen tahon toimesta hyvinkin uskottavan tarinan avulla erilaisia salaisia tietoja 5. Tietosuojattavan jätteen käsittelyprosessin puutteet: Salassa pidettäviä tietoja sisältävää pienmateriaalia kuten paperit, usb-tikut, cd-levyt, muistikortit voivat päätyä huolimattoman käsittelyn seurauksena kaatopaikalle tai muuten sivullisille. Tähän liittyy myös erittäin suuri imagoriski! SER-romun eli sähkö-ja elektroniikkaromun huono hallinta. Vanhoja puhelimia ja tietokoneita voi jäädä lojumaan pitkäksikin aikaa työntekijöiden pöytälaatikkoihin tai kotiin, jos hävitysprosessia ei ole suunniteltu ja siitä tiedotettu kunnolla 22

Rekisterinpitäjän vastuu -osoitusvelvollisuus Enää ei riitä, että kertoo noudattavansa lakeja, vaan se pitää pystyä myös osoittamaan Keinoina mm. Käytännesäännöt ja sertifioinnit Tietoturvan ja tietosuojan omavalvontasuunnitelma Tietotilinpäätös-raportointi Tarkkaan laaditut kuvaukset henkilötietojen käsittelyprosesseista 23

Oppaita onnistumiseen Tietosuojatyön organisointiin (johdolle): - Tietosuojakäsikirja johdolle (Tietosanoma 2016) Potilastietojen käsittelyyn (koko henkilöstölle): - Tietosuoja terveydenhuollossa (Tietosanoma 2010) Tietoturvallisuuteen (ICT-henkilöstölle): - Tietoturvaa toteuttamassa (Tietosanoma 2013) - Tietosuojatyön toteuttamiseen (tietosuojavastaavalle) Tekijät: Ari Andreasson, Juha Koivisto ja Arto Ylipartanen Tulossa: Osaava tietosuojavastaava (ilmestyy kesällä 2017) Tekijät: Ari Andreasson, Jaana Riikonen, Arto Ylipartanen 24

Tietoturva ja tietosuoja 1. Selvitä ja noudata oman organisaatiosi tietoturvaohjeita ja käytäntöjä. 2. Lukitse tietokoneesi/ohjelmistot tai kirjaudu niistä ulos aina kun poistut sen läheisyydestä. Pyri käyttämään eri salasanaa eri järjestelmissä. Säilytä salasanat ja muut kirjautumisessa käytettävät tunnisteet, kuten toimikorttisi ja PIN-koodit huolellisesti. 3. Varo paljastamasta luottamuksellisia tietoja sivullisille työpaikalla tai sen ulkopuolella esim. sosiaalisessa mediassa. 4. Älä surffaa arveluttavilla nettisivuilla. Älä avaa outoja sähköpostiviestejä tai niiden liitteitä. 5. Huolehdi papereiden, muistitikkujen, CD-/DVD-levyjen, puhelinten, salasanojen, avainten, kulkunappien, toimikorttien ym. asianmukaisesta käsittelystä ja säilyttämisestä. 6. Hävitä tietosuojattava jäte asianmukaisesti. 7. Huolehdi erityisesti mobiilityössä kannettavan tietokoneen ja sen tietojen suojaamisesta. Hanki kannettavaan tietokoneeseen suojakalvo, joka estää sivulta tapahtuvan salakatselun. Älä jätä laitteita valvomatta näkyville esimerkiksi autoon tai hotelliin. 8. Muista kunnioittaa asiakkaiden ja työkavereiden yksityisyyttä. Näin ylläpidät luottamusta. 9. Kerro esimiehellesi, mikäli havaitset tietoturva- tai tietosuojarikkomuksia. 10. Älä hätäänny, jos jotain poikkeavaa tapahtuu. Soita rohkeasti tukikeskukseen. 25 23.3.2017 Ari Andreasson

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute