Tietoturvasuunnitelma edistää tietojen turvallista käsittelyä

Tietoturvasuunnitelma on sote-alalla toimivan yrityksen sisäinen dokumentti, jonka tarkoitus on parantaa tietosuojaa ja tietoturvaa sekä edistää asiakas- ja potilastietojen turvallista käsittelyä. Tietoturvasuunnitelman laatimisvelvoite koskee kaikkia sosiaali- ja terveydenhuollon palvelunantajia. Se tulee laatia ennen Kanta-palvelujen käyttäjäksi liittymistä.

Tietoturvasuunnitelma vai omavalvontasuunnitelma?

Tietoturvasuunnitelma on aiemmin tunnettu nimellä omavalvontasuunnitelma. Nimitys muuttui vuoden 2021 lopulla asiakastietolain muutoksen myötä. Vaatimukset suunnitelman sisällölle pysyivät monilta osin samoina, mutta uuden asiakastietolain myötä tietoturvaa ja tietojärjestelmien käyttöä koskevat vaatimukset ovat täsmentyneet.

Mikäli yrityksessä on siis laadittu aiemmin tietosuojan ja tietoturvallisuuden sekä tietojärjestelmien käytön omavalvontasuunnitelma, sitä voi ja kannattaakin käyttää uuden tietoturvasuunnitelman pohjana.

Tietoturvasuunnitelmassa tulee kuvata palvelunantajan tietoturva- ja tietosuojakäytäntöjä ja miten palveluntuottaja täyttää asiakas- ja potilastietojen ja tietojärjestelmien käsittelyyn liittyvät asiakastietolain 27 §:n vaatimukset. Lisäksi sen tulee sisältää THL:n määräyksessä kuvatut asiat.

Tietoturvasuunnitelma on tärkeä dokumentti

Sosiaali- ja terveydenhuollon palvelunantajien tulee omavalvonnan kautta huolehtia siitä, että arkaluonteiset asiakastiedot on hyvin suojattu ja asiakas- ja potilastietoja käsiteltäessä noudatetaan asianmukaisia tietoturva- ja tietosuojakäytäntöjä. Tietoturvasuunnitelmassa tulee kuvata kuinka nämä asiat on hoidettu.

Suunnitelman laatiminen on tärkeä prosessi, koska siinä tulee käytyä läpi yrityksen toimintatavat ja käytössä olevat työkalut. Tietoturvan ja tietosuojan omavalvontaan kannattaa suhtautua positiivisesti. Kun tietoturvasuunnitelman tekee kunnolla ja siinä yhteydessä varmistaa, että tietoturvasta ja tietosuojasta on huolehdittu asianmukaisesti, voi jatkossa keskittyä paremmin yrityksen pyörittämiseen ja asiakastyöskentelyyn.

Tämä ei toki tarkoita sitä, että laatimalla tietoturvasuunnitelman yrityksen tietoturva olisi hoidettu kerralla kuntoon. Tietoturvaan ja tietosuojaan tulee kiinnittää jatkuvasti huomiota ja lisäksi myös tietoturvasuunnitelmaa tulee tarvittaessa päivittää. 

Hyödyllisiä vinkkejä tietoturvasuunnitelman laatimisen avuksi

Tässä muutamia asioita, jotka jokaisen sote-alan palvelunantajan on hyvä varmistaa tietoturvasuunnitelmaa tehdessä:

1. Onko yrityksellä käytössä oleva potilastietojärjestelmä luotettava ja turvallinen, täyttääkö se lain vaatimukset? Potilastietojärjestelmän tuottajan on toteutettava olennaiset vaatimukset tietojärjestelmiin, joita käytetään sote-alan palvelunantajan toiminnassa.

2. Onko työntekijöille koulutettu järjestelmien turvallinen ja oikeaoppinen käyttö? Päivitetäänkö osaamista säännöllisesti?

3. Miten varmistetaan työntekijöiden osaaminen tietoturva- ja tietosuoja-asioissa? Sen lisäksi, että ihmisten tulee osata käyttää tietojärjestelmiä oikein, heillä tulee olla riittävä osaaminen potilastietojen oikeaoppisesta ja turvallisesta käsittelystä sekä tietosuojan perusteista.

4. Miten toimitaan mahdollisissa virhetilanteissa? On hyvä etukäteen miettiä  selkeät toimintatavat, toimintaohjeet ja vastuut ongelmatilanteiden varalta.

5. Henkilöstön tulee hallita Kanta-palveluiden käyttöön liittyvät toimintamallit ja periaatteet sekä tietää väärinkäytösten seuraamukset. Tietoturvasuunnitelmassa on selvitettävä, miten asiakkaiden informointi Kanta-palveluista ja tietojen käytöstä tapahtuu.
   ‍

Lataa maksuton tietoturvasuunnitelma -koulutus

Tarvitsetko opastuksen tietoturvasuunnitelman tekoon? Käy lataamassa meidän tekemä maksuton tietoturvasuunnitelma koulutus.
Se on kattava tietopaketti, jossa käydään läpi tietoturvasuunnitelmaan liittyviä asioita. Pääset lataamaan materiaalin täältä.