Tietoturvasuunnitelma on tietoturvan peruskivi
Jaa sivu:
Tietoturvasuunnitelma on sosiaali- ja terveysalan tiedonhallinnan kulmakivi
Tietoturva on keskeinen osa sosiaali- ja terveysalan tiedonhallintaa. Alalla työskentelevät joutuvat jatkuvasti käsittelemään arkaluontoisia ja luottamuksellisia tietoja. Näitä ovat muun muassa potilas- ja henkilötiedot, joiden suojaaminen on välttämätöntä.
Tietoturvasuunnitelma on tietoturvan peruskivi ja perustuu asiakastietolakiin, joka auttaa hallitsemaan erityisesti digitaaliseen turvallisuuteen liittyviä riskejä. Tietoturvasuunnitelman laatimisessa on huomioitava myös eräiden muiden lakien määräykset tietoturvaan liittyen.
Tietoturvasuunnitelman joutuvat laatimaan kaikki sosiaali- ja terveyspalveluja tuottavat organisaatiot koosta riippumatta sekä apteekit, palvelujen välittäjät ja Kansaneläkelaitos.
(juttu jatkuu videon jälkeen)
Pro Pilvipalveluiden HSEQ-järjestelmä kalvosarjana
Olemme koostaneet ytimekkään kalvosarjan, jonka avulla voitte tutustua palvelutarjontaamme. Lataa pdf-muotoinen kalvosarja alla olevasta linkistä.
HSEQ-järjestelmä videona
www.propilvipalvelut.fi/pro-palveluiden-esittely
Suunnitelman mukaan on myös toimittava
Tietoturvasuunnitelma ei voi nimestään huolimatta jäädä pelkäksi suunnitelmaksi, vaan organisaation on myös toimittava sen mukaisesti. Tietoturvan on oltava osa organisaation arkipäivää, ei pelkkä tekninen vaatimus. Johtoportaasta lähtien koko henkilöstön on ymmärrettävä tietoturvan merkitys ja sitouduttava sen ylläpitämiseen.
Asiakastietolain perusteella vastuu tietoturvasuunnitelman laatimisesta ja noudattamisesta on sote-organisaation vastaavalla johtajalla. Suunnitelma on pidettävä jatkuvasti ajan tasalla ja seurattava sen toteutumista.
Tietosuojan toimintavarmuus lain edellyttämällä tavalla on kyettävä osoittamaan myös silloin, kun organisaatio ei itse tuota palveluita. Tämä vaatimus koskee sekä sosiaali- että terveyspalvelujen että tietojärjestelmä- tai teknisten tukipalvelujen tuottamista.
Vahva tietojen suojaaminen on herkällä alalla erityisen tärkeää, koska tietomurrot ja tietovuodot voivat aiheuttaa vakavia seurauksia, kuten potilaiden yksityisyyden loukkauksia, taloudellisia tappioita ja luottamuksen menetystä. Tästä on viime vuosina saatu ikäviä esimerkkejä. Tietosuojan pettäminen voi aiheuttaa arvaamattoman suuria taloudellisia menetyksiä ja inhimillisiä seurauksia.
Tietoturvasuunnitelma auttaa täyttämään lainsäädännön ja sääntelyn vaatimukset, kuten EU:n yleisen tietosuoja-asetuksen (GDPR) ja kansallisten lakien vaatimukset. GDPR -lyhenne tulee englanninkielisistä sanoista General Data Protection Regulation.
Riskienhallinta auttaa kohdennuksessa
Tietoturvasuunnitelma perustuu riskienhallintaan, jossa tunnistetaan ja arvioidaan mahdolliset uhat ja haavoittuvuudet. Riskien arviointi on ensimmäinen askel tietoturvasuunnitelman laatimisessa. Sen avulla voidaan määrittää, mitkä tiedot ovat kriittisimpiä suojattavia ja millaisia suojatoimia tarvitaan. Tämä auttaa organisaatiota kohdentamaan resurssinsa tehokkaasti ja varmistamaan, että tarvittavat tiedot ovat suojattuja.
Tärkeää on tunnistaa organisaation käsittelemien tietojen luottamuksellisuuden taso ja arvioida niihin kohdistuvat mahdolliset uhat ja haavoittuvuudet. Tämä auttaa määrittelemään riskien todennäköisyyden ja mahdolliset vaikutukset.
Näiden selvitysten jälkeen voidaan kehittää riskienhallintastrategia, jonka sisään rakennetaan ennaltaehkäisevät toimenpiteet ja suunnitelmat mahdollisten tietoturvaloukkausten varalle.
Tietoturvasuunnitelman sisältö
Terveyden ja hyvinvoinnin laitoksen (THL) antamien ohjeiden mukaan tietoturvasuunnitelma kuvaa, miten organisaatio järjestää toiminnassaan tietoturvan ja -suojan omavalvonnan. THL määrittää tietoturvasuunnitelman yleisiksi tavoitteiksi:
- edistää asiakas- ja potilastietojen turvallista käsittelyä
- parantaa ja yhdenmukaistaa sote-toimijoiden tietosuojaa ja tietoturvaa
- vahvistaa tietoturvallisuuden ja tietosuojan suunnittelun ja toteuttamisen käytäntöjä
- auttaa erityisesti hallitsemaan tämän päivän digitaaliseen turvallisuuteen liittyviä riskejä.
Palveluntuottajan on kyettävä osoittamaan miten se täyttää asiakas- ja potilastietojen ja tietojärjestelmien käsittelyyn liittyvät asiakastietolain vaatimukset. On tärkeää muistaa, että tietoturvasuunnitelma on aina EI-JULKINEN ASIAKIRJA.
Yhtä vahva kuin heikoin lenkki
Tietoturva on yhtä vahva kuin sen heikoin lenkki, ja usein tämä lenkki on inhimillinen tekijä. Siksi on tärkeää kouluttaa henkilöstöä tietoturvakäytännöistä ja lisätä tietoisuutta tietoturvariskeistä.
Asiakastietolain vaatimukset tieturvasuunnitelmalle ovat THL:n julkaisun mukaan seuraavat:
- tietojärjestelmien käyttäjillä on käytön vaatima koulutus
- käyttöohjeet ovat saatavilla järjestelmän yhteydessä
- käyttäjät noudattavat tietojärjestelmäpalvelun tuottajan ohjeita
- tietojärjestelmiä ylläpidetään ja päivitetään tietojärjestelmäpalvelun tuottajan ohjeistuksen mukaisesti
- käyttöympäristö soveltuu tietojärjestelmien asianmukaiseen käyttöön ja varmistaa tietoturvan ja tietosuojan
- tietojärjestelmiin kohdistuvien riskien hallinnasta huolehditaan
- tietojärjestelmiin liitetyt muut järjestelmät eivät vaaranna tietojärjestelmien suorituskykyä eivätkä niiden tietoturva- tai tietosuojaominaisuuksia
- tietojärjestelmiä asentaa, ylläpitää ja päivittää vain ne henkilöt, joilla on siihen tarvittava ammattitaito ja asiantuntemus
- tietojärjestelmät täyttävät käyttötarkoituksensa mukaiset olennaiset vaatimukset.
Ennen kuin palvelunantaja ja apteekki alkavat käyttää valtakunnallisia tietojärjestelmäpalveluja, niiden täytyy kuvata tietoturvasuunnitelmassa
- miten se varmistaa tietosuojan
- miten se täyttää vaatimukset, joita valtakunnallisten palvelujen tietoturvallinen käyttö edellyttää.
Monta lakia vaikuttamassa
Sosiaali- ja terveydenhuollon asiakastietojen hallinnassa ja käsittelyssä sovelletaan useita eri lakeja, asetuksia ja ohjeita.
Henkilötietojen käsittelyyn sovelletaan EU:n tietosuoja-asetusta.
Tietosuojalaki täydentää yleistä tietosuoja-asetusta. Lailla säädetään muun muassa valvontaviranomaisesta sekä eräistä henkilötietojen käsittelyyn liittyvistä erityistilanteista, kuten sananvapauden ja henkilötietojen suojan yhteensovittamisesta.
Laki sosiaali- ja terveydenhuollon asiakastietojen käsittelystä. Laissa säädetään julkisten ja yksityisten sosiaali- ja terveyspalveluiden asiakastietojen käsittelystä ja valtakunnallisista tietojärjestelmäpalveluista.
Laki sähköisestä lääkemääräyksestä. Laissa on säädökset sähköisten lääkemääräysten käsittelystä ja potilaan tiedonsaantioikeuksista. Laissa säädetään Kelan ylläpitämästä valtakunnallisesta reseptikeskuksesta ja -arkistosta.
Vastuu myös alihankkijoista
Tietoturvallisuuden omavalvonnan kohteen on varmistettava, että tietoturvasuunnitelmaan sisällytettävät vaatimukset toteutuvat muissakin kuin kohteen omissa yksiköissä. Omavalvonnan on oltava varma myös siitä, että vaatimukset toteutuvat kaikessa sen lukuun palveluiden tuottamiseen tai toteuttamiseen osallistuvien toiminnassa.
Tietoturvasuunnitelmassa on tuotava ilmi myös alihankintapalveluntuottajien vastuut. Vaade tietoturvasuunnitelman laatimisesta ei rajaa yrityksiä sen piiristä koon mukaan. Tietoturvallisuuden omavalvonnan kohteella on niinikään oltava sopimus asiakastietojen käsittelystä ja tietoturvallisuuden varmistamisesta muiden sen asiakas- tai potilastietoja käyttävien palvelunantajien kanssa.
Järkevä hinnoittelu!
Pro Kyberturva -pilvipalvelun avulla voit arvioida nopeasti kyberturvallisuuden nykytilanteen ja tietoturvariskit, teet henkilöstölle tarvittavat ohjeet sekä varautumaan suunnitelmallisesti kaikkiin tietoturvallisuuden poikkeustilanteisiin.
Pro Kyberturva -palvelun hinta
alk. 199 €
/vuosi/palvelu (alv. 0%)
Tietoturvasuunnitelma
Katso Pro Kyberturvan esittely videomuodossa alta tai lataa esittely pdf-muodossa.