Dataskydd och datasäkerhet

Pihlajalinna-koncernens dataskydds- och datasäkerhetspolicy

Uppdaterad 22.3.2023

INLEDNING

I denna dokument beskrivs målen, organiseringen, ansvaren för och verkställandet av Pihlajalinna-koncernens dataskydds- och datasäkerhetspolicy. Denna policy kompletteras med andra godkända planer och anvisningar.

I Pihlajalinna respekteras och skyddas alla intressentgruppers integritet eftersom patientdata gällande hälsovårdstjänster och kunddata gällande socialtjänster omfattas av speciallagstiftning. Som tjänsteproducent för social- och hälsovårdstjänster fungerar Pihlajalinna enligt en praxis för ökad datasäkerhetsnivå, bl.a. genom en täckande loggföljning, 24/7-övervakning av IT-miljön samt ständigt utvecklande av datasäkerheten.

Pihlajalinna följer EU:s allmänna dataskyddsförordning, dataskyddslagen och dataskyddsmyndigheternas riktlinjer i all behandling av personuppgifter.
Varje arbetstagare i Pihlajalinna och varje samarbetspartner som använder Pihlajalinnas informationssystem måste känna till denna policy och följa anvisningarna och bestämmelserna som har getts på grundval till den.

MÅL

Målet med dataskydds- och datasäkerhetsarbetet är

  • att trygga lagenlig och datasäker behandling av all information
  • säkerställa att kontinuiteten av koncernens eller koncernbolagens aktiviteter tryggas i alla omständigheter
  • förebygga och hindra dataskydds- och datasäkerhetsincidenter
  • säkerställa säkerheten av Pihlajalinna-koncernens informationssystem.

ORGANISERING OCH ANSVAR

Dataskydd och -säkerhet leds och övervakas av Pihlajalinnas verkställande direktör. Verkställande direktören bestämmer om övergripande säkerhetens olika sektorer, organisering, resurser och verksamhetsfullmakter.

Som chef som ansvarar för dataskyddet fungerar medicinska direktören som även utser de dataskyddsansvariga. Som chef som ansvarar för datasäkerheten fungerar IT-chefen som utser datasäkerhetschefen och den datasäkerhetsansvariga.

Syner av Pihlajalinnas centrala aktiviteter representeras av en dataskydds- och datasäkerhetsgrupp som sammanträder varje månad. Dataskydds- och datasäkerhetsgruppen behandlar riktlinjerna och anvisningarna före att de skickas till ledningen för att godkännas. I dataskydds- och datasäkerhetsgruppen tillhör bl.a. chefen som ansvarar för dataskyddet, chefen som ansvarar för datasäkerheten, dataskyddsansvariga och datasäkerhetsansvariga.

VERKSTÄLLANDE

Dataskydd och -säkerhet enligt en godkänd dataskydds- och datasäkerhetspolicy måste inkluderas som en naturlig del i all verksamhet. Utveckling och upprätthållande av dataskydd och -säkerhet är en del av Pihlajalinna-koncernens och koncernbolagets allmänna säkerhetsverksamhet, riskhantering och interna övervakning.

DAGLIGT ARBETE, UPPFÖLJNING OCH ÖVERVAKNING

  • Varje arbetstagare i Pihlajalinna ansvarar för sin egen del om genomförandet av dataskydd och -säkerhet, samt är skyldig att rapportera om hot eller incidenter gällande dataskydd och -säkerhet som hen märkt enligt anvisningar som getts.
  • Pihlajalinna har en förhållningsregel och process för att behandla incidenter. Syftet med dessa är att försäkra verksamhetens kontinuitet och ständiga utvecklande.
  • Pihlajalinnas informationssystem och nätverkstrafik övervakas dygnet runt.
  • Användarnas verksamhet handleds med godkända och tillgängliga anvisningar, ständig informering samt dataskydds- och datasäkerhetsutbildningar. Anvisningarna uppdateras regelbundet.
  • Enhetens chef(er) ansvarar om att ge anvisningar, informera och övervaka om dataskyddsfrågor i sin egen enhet och för patientdatas dataskydds del ansvarar enhetens ansvariga läkare för detta.
  • Personer som ansvarar för dataskyddet och datasäkerheten har som uppgift att följa upp, övervaka och rapportera om verkställandet av Pihlajalinnas dataskydd och datasäkerhet samt vid behov vidta åtgärder för att förbättra dem.
  • Pihlajalinna samarbetar med olika intressentgrupper och myndigheter enligt EU-dataskyddsförordningen, lokal lagstiftning och speciallagstiftning.
  • Dataskyddet utvecklas och testas kontinuerligt även av utomstående samarbetspartner. På basis av testningar vidtas vid behov utvecklande och korrigerande åtgärder.
  • Konsekvensbedömning avseende dataskydd (DPIA) genomgås alltid när nya system och behandlingsprocesser tas i bruk.