Tietosuoja ja tietoturva

Pihlajalinna-konsernin tietosuoja- ja tietoturvapolitiikka

Päivitetty 15.5.2018

JOHDANTO

Me Pihlajalinna-konsernissa (”Pihlajalinna”) kunnioitamme asiakkaiden, potilaiden, kumppaneiden ja työntekijöiden yksityisyyttä. Tässä tietosuoja- ja tietoturvapolitiikassa kerrotaan, miten Pihlajalinna-konserniin kuuluvat yhtiöt keräävät, käyttävät ja käsittelevät erilaisia henkilötietoja ja varmistavat yksityisyyden suojan. Tietosuoja- ja tietoturvapolitiikka määrittelee ne periaatteet, vastuut, velvoitteet, toimintatavat sekä seurannan ja valvonnan, joita konsernissa noudatetaan tietosuojan ja -turvan toteuttamisessa ja kehittämisessä. Tätä politiikkaa täydentävät yksityiskohtaiset määräykset ja ohjeet.

Pihlajalinnan rekisterit sisältävät potilaisiin, asiakkaisiin, työntekijöihin, sidosryhmiin, toimittajiin ja toimintaan liittyvää tietoa, joka on lainsäädännön perusteella suojattava. Henkilötietojen käsittelystä on säädelty EU:n tietosuoja-asetuksella sekä tähän liittyvällä paikallisella lainsäädännöllä. Terveyspalveluihin liittyvä potilastieto ja sosiaalipalveluita koskeva asiakastieto ovat erityislainsäädännön alaisia.

Pihlajalinnan johtoryhmän käsittelemä ja toimitusjohtajan vahvistama tietosuoja- ja tietoturvapolitiikka kattaa konsernin kaikkeen toimintaan liittyvät tietojenkäsittelyn tehtävät. Jokaisen Pihlajalinnan työntekijän ja tietojärjestelmien käyttäjän on tunnettava tämä politiikka ja noudatettava sen perusteella annettuja ohjeita ja määräyksiä.

Pihlajalinnan ulkopuolisten toimijoiden, toimittajien ja muiden ulkopuolisten tahojen tulee myös sitoutua noudattamaan lainsäädäntöä, tätä tietosuoja- ja tietoturvapolitiikkaa sekä tietosuojaa ja -turvaa koskevia ohjeita ehtona tehtäviensä mukaiselle pääsylle Pihlajalinnan tietojärjestelmiin ja niiden tietoaineistoihin. Pihlajalinnan toimiessa rekisterinpitäjänä edellytetään toimittajilta erillisen henkilötietojen käsittelyä koskevan sopimuksen (tai liitteen) allekirjoitusta. Yksittäisiltä tietoja käsitteleviltä henkilöiltä edellytetään tietosuojasitoumuksen allekirjoitus. Pihlajalinna-konsernin tai konserniyhtiön toimiessa henkilötietojen käsittelijänä solmitaan erillinen sopimus henkilötietojen käsittelystä.

Tietosuojalla tarkoitetaan yksityisyyden suojaamista henkilötietoja käsiteltäessä.

Hyväksytyn tietosuoja- ja tietoturvapolitiikan mukainen tietosuoja ja -turva tulee sisällyttää luonnollisena osana kaikkeen toimintaan. Tietosuojan ja -turvan kehittäminen ja ylläpito on osa Pihlajalinna-konsernin ja konserniyhtiön yleistä turvallisuustoimintaa, riskien hallintaa ja sisäistä valvontaa.

TIETOSUOJA- JA TIETOTURVATYÖ

Tietosuoja- ja tietoturvatyön tavoite on turvata henkilötietojen lainmukainen käsittely, varmistaa konsernin tai konserniyhtiön tietojärjestelmien ja tietoverkkojen keskeytymätön toiminta, estää tietoturvaloukkaukset sekä ulkopuolisten asiaton pääsy tietojärjestelmiin ja/tai niiden valtuudeton käyttö, estää tietojen tahaton tai tahallinen tuhoutuminen tai vääristyminen sekä minimoida aiheutuvat vahingot. Lisäksi varaudutaan toiminnan keskeyttäviin uhkatilanteisiin ja niiden ratkaisemiseen.

Sosiaali- tai terveyspalveluiden palveluntuottajana Pihlajalinna toimii korotetun tietoturvatason käytäntöjen mukaisesti.

ORGANISOINTI JA VASTUUT

Tietosuojaa ja -turvaa johtaa ja valvoo Pihlajalinnan toimitusjohtaja. Toimitusjohtaja päättää kokonaisturvallisuuden eri osa-alueiden kehittämisen tavoitteista, organisoinnista, resursseista ja toimintavaltuuksista. Tietosuojasta vastaavana johtajana toimii Pihlajalinnan lääketieteellinen johtaja, joka nimeää tietosuojavastaavat. Tietoturvasta vastaavana johtajana toimii digitaalisesta kehityksestä vastaava johtaja, joka nimeää tietoturvavastaavan. Tietoturvasta vastaava johtaja sekä tietosuojasta vastaava johtaja raportoivat toimitusjohtajalle.

Tietosuojavastaava vastaa EU-tietosuoja-asetuksen sekä paikallisen lainsäädännön mukaisista tehtävistä. Tietoturvavastaava vastaa tietoturvatyön kokonaisuudesta konsernin johdolta saamiensa resurssien ja toimintavaltuuksien puitteissa. Hän vastaa myös tietoturva-asioiden viestinnästä.

Pihlajalinnan keskeisten toimintojen näkemyksiä edustaa tietosuoja- ja tietoturvaryhmä, jonka asettaa tietosuojasta ja tietoturvasta vastaavat johtajat. Tietosuoja- ja tietoturvaryhmä käsittelee linjaukset ja ohjeet ennen kuin ne esitellään johdolle hyväksyttäväksi. Tietosuoja- ja tietoturvaryhmään kuuluvat ainakin tietosuojasta vastaava johtaja, tietoturvasta vastaava johtaja, tietosuojavastaava(t), tietoturvavastaava, konsernin omien potilastietojärjestelmien pääkäyttäjät sekä henkilöstö- ja kiinteistöhallinnon edustajat.

Ryhmän jäsenten tehtävät ovat:

  • Ryhmän jäsenet vastaavat oman vastuualueensa asioiden valmistelusta
  • Tietosuojavastaavan tehtävät on määritelty EU-tietosuoja-asetuksessa
  • Tietoturvavastaava vastaa tietoturvan määrittelystä, arvioinnista ja raportoinnista. Hän vastaa tietoturvan kehittämissuunnitelmien tekemisestä, toteutuksen valvonnasta, tietoturvatietouden edistämisestä ja tietoturvallisesta toimintatavasta konsernissa ja sen ostamissa palveluissa sekä raportoinnista johdolle.
  • Tietoturvavastaava vastaa laitteisto- ja ohjelmistoturvallisuudesta
  • Kiinteistöhallinnon edustaja vastaa tila- ja laiteteknisestä turvallisuudesta
  • Henkilöstöhallinnon edustaja vastaa henkilöstöturvallisuudesta tietoturvallisuuden osalta
  • Tietosuoja- ja -turvaryhmän puheenjohtajana toimii tietosuojasta vastaava johtaja tai hänen ollessaan estynyt tietoturvasta vastaava johtaja

Jokaisella Pihlajalinnan henkilötietoja sisältävällä rekisterillä on rekisteristä vastaava henkilö, jonka vastuut on kuvattu EU-tietosuoja-asetuksessa ja paikallisessa lainsäädännössä.

Jokaisella Pihlajalinnan tietojärjestelmällä on omistajayksikkö ja vastuuhenkilö. Tietojärjestelmän vastuuhenkilön velvollisuuksiin kuuluu tietojärjestelmän toimintaan ja turvallisuuteen asetettavien vaatimusten (esim. kriittisyyden, jatkuvuussuunnittelun ja varmuuskopiointimenettelyn) määrittely sekä käyttöoikeuksien myöntäminen ja valvonta.

Tietoturva-asioiden ohjeistamisesta, tiedottamisesta ja valvonnasta omassa yksikössään vastaa yksikön esimies/esimiehet ja potilastietojen tietosuojan osalta yksikön vastaava lääkäri.

Jokainen Pihlajalinnan työntekijä, henkilötietoja tai muita tietoja käsittelevä, tietojärjestelmien tai tietoverkkojen ylläpitäjä tai käyttäjä on omalta osaltaan vastuussa tietosuojan ja -turvan toteuttamisesta sekä ohjeiden noudattamisesta. Jokainen henkilö on velvollinen tietosuojaan tai -turvaan liittyvien uhkien ja poikkeamien raportoimisesta tietosuoja- tai tietoturvavastaavalle.

TOTEUTUS

Tietosuojan ja -turvan toteuttamisen perusta on tämä Pihlajalinnan kirjallinen tietosuoja- ja tietoturvapolitiikka, joka annetaan tiedoksi jokaiselle konsernin työntekijälle ja tietojärjestelmien käyttäjälle.

Pihlajalinnan tietosuoja- ja tietoturvaperiaatteet perustuvat EU-tietosuoja-asetukseen ja kansalliseen lainsäädäntöön. Tietosuojan ja -turvan toteuttaminen ja ylläpito kuvataan yksityiskohtaisesti erillisissä ohjeissa. Tietosuojan ja -turvan tavoitteiden saavuttaminen on jatkuva prosessi.

Käyttäjien toimintaa ohjataan vahvistetuilla ja saatavilla olevilla ohjeilla sekä tietosuoja- ja tietoturvakoulutuksella.

SEURANTA JA VALVONTA

Pihlajalinnan konserniyhtiöiden esimiesten, vastaavan lääkärin ja vastuuhenkilön tehtävänä on valvoa tietosuojan- ja tietoturvan toteutumista omassa yksikössään.

Tietoturvavastaavan tehtävänä on seurata ja valvoa Pihlajalinnan tietoturvan toteutumista ja ryhtyä tarvittaessa toimenpiteisiin tietoturvan parantamiseksi.

TIETOJEN HANKINTA, LÄHTEET JA TIETORYHMÄT

Tiedon hankintatavat, lähteet sekä rekisteröidyistä muodostetut tietoryhmät on erikseen kuvattu kunkin rekisterin tietosuojaselosteessa.

TIETOJEN LUOVUTTAMINEN ASIAKKAILLE JA AVOIMUUS REKISTERÖITYJÄ KOHTAAN

Tietojen luovuttaminen asiakkaille sekä avoimuus rekisteröityjä kohtaan on kuvattu kunkin rekisterin osalta tietosuojaselosteessa.

YHTEISTYÖ ERI INTRESSIRYHMIEN JA VIRANOMAISTEN KANSSA

Pihlajalinna tekee yhteistyötä eri intressiryhmien ja viranomaisten kanssa EU-tietosuoja-asetuksen, paikallisen lainsäädännön ja erillislainsäädännön mukaisesti.

KANSAINVÄLISYYS

Pihlajalinna ei pääsääntöisesti siirrä henkilötietoja Euroopan unionin tai Euroopan talousalueen ulkopuolelle. Mahdollisten siirtojen osalta noudatetaan voimassaolevia lakeja ja asetuksia.

TIETOSUOJAA VALVOVA VIRANOMAINEN

Tietosuojavaltuutettu on viranomainen, joka ohjaa, neuvoo ja valvoo henkilötietojen käsittelyä henkilötietolain mukaisesti. Tietosuojavaltuutettu käyttää päätösvaltaa tarkastusoikeuden toteuttamista ja tiedon korjaamista koskevissa asioissa sekä antaa ratkaisuja rekisterinpidon lainmukaisuudesta ja rekisteröityjen oikeuksien toteutumisesta.

TIETOSUOJA- JA TIETOTURVAPERIAATTEIDEN PÄIVITTÄMINEN

Tietosuoja- ja tietoturvaperiaatteet ovat tämän hetken käytäntömme mukaiset. Päivitämme periaatteita säännöllisesti ja vähintään vuosittain.

Evästekäytännöt

Tietosuoja, evästeet ja analytiikka

Tietosuojalla tarkoitetaan yksityisyyden suojaamista henkilötietoja käsiteltäessä. Pihlajalinnan hyväksytyn tietosuoja- ja tietoturvapolitiikan mukainen tietosuoja ja -turva sisällytetään kaikkeen Pihlajalinnan toimintaan. Tietosuojan ja -turvan kehittäminen ja ylläpito on osa Pihlajalinnan turvallisuustoimintaa, riskien hallintaa ja sisäistä valvontaa. Henkilötietojen käsittelystä on säädelty EU:n tietosuoja-asetuksella sekä tähän liittyvällä paikallisella lainsäädännöllä. Terveyspalveluihin liittyvä potilastieto ja sosiaalipalveluita koskeva asiakastieto ovat erityislainsäädännön alaisia.

Auta kehittämään palveluitamme ─ evästeet ja analytiikka verkkopalvelussa

Eväste tarkoittaa pientä tekstitiedostoa, joka tallentuu palvelun käyttäjän laitteelle. Pihlajalinna käyttää evästeitä verkkopalvelussa käyneiden selainten yksilöintiin ja tunnistamiseen. Selaimen käyttäytymistiedon perusteella voimme kohdentaa ja kehittää Pihlajalinnan asiakaspalvelua, markkinointia, tiedon analysointia ja tilastointia. Evästeiden avulla saamme esimerkiksi tietää, millä sivuilla kävijä liikkuu, miten hän siirtyy sivulta toiselle tai saapuu sivustolle. Evästeiden avulla voimme palvella sinua paremmin, ja kehittää palveluidemme laatua, sisältöä ja käyttökokemusta.

Tarjoamme sinulle helpon ja läpinäkyvän mahdollisuuden hallita verkkopalvelussamme käytettäviä evästeitä. Kun saavut verkkopalveluumme ensimmäistä kertaa tietyllä selaimella, kerromme evästeiden käytöstä ja tarjoamme mahdollisuuden evästeasetusten muokkaamiseen tai evästeiden hyväksymiseen. Evästeasetuksissa erittelemme kunkin käytetyn evästeen käyttötarkoituksen ja voit valita evästekohtaisesti sallitko vai kiellätkö kyseisen evästeen käytön. Tieto valinnasta tallennetaan evästeeseen 90 päivän ajaksi. Voit kuitenkin aina vaihtaa valintaasi verkkopalvelumme yksityisyysasetuksista tai tyhjentää evästeet selaimen asetuksista. Emme käytä mitään ulkoisia palveluita ilman suostumustasi.

Jotta voimme tarjota sinulle parasta mahdollista palvelua myös verkossa, lähetämme evästeiden keräämää tietoa sivuston käytöstä ulkoisiin palveluihin. Emme lähetä vahvoiksi suoriksi tunnisteiksi rinnastettavia tietoja ko. palveluihin. Evästeiden käytön estäminen saattaa vaikuttaa verkkopalvelun toiminnallisuuteen tai estää palvelun tai sen osan käytön.

Kulloinkin käyttämämme evästeet näet verkkopalvelumme yksityisyysasetuksista.

Evästeet ja analytiikka sijoittajasivustolla

Sijoittajasivustomme investors.pihlajalinna.fi tuottaa kumppanimme Investis. Sivuston tietosuojalausunnon ja evästepolitiikan löydät täältä.

Evästeet ja analytiikka mobiilisovelluksessa

Pihlajalinna-mobiilisovelluksessa ei käytetä evästeitä. Sovellus kuitenkin kerää virhe- ja käyttöanalytiikkaa palvelun käytön tilastoimiseksi ja analysoimiseksi. Näin voimme kehittää sovelluksen laatua, sisältöä ja käyttökokemusta palvelemaan sinua paremmin.

Tietoturvailmoitus

Jos havaitset tietoturvapoikkeaman, tee tietoturvailmoitus

Me Pihlajalinna-konsernissa kunnioitamme asiakkaiden, potilaiden, kumppaneiden ja työntekijöiden yksityisyyttä. Pihlajalinna rekisterinpitäjänä vastaa siitä, että henkilötietoja käsitellään lain vaatimusten mukaisesti. Henkilötietojen tietoturvaloukkauksella voidaan tarkoittaa esimerkiksi sitä, että henkilötietoihin pääsee käsiksi taho, jolla ei ole oikeutta käsitellä kyseessä olevaa tietoa. Tämä voi tarkoittaa käytännössä esimerkiksi sitä, että asiakas saa toisen asiakkaan tiedot vahingossa tai asiakkaan tiedot kirjataan vahingossa väärälle henkilölle. Jos havaitset tietoturvapoikkeaman, pyydämme ilmoittamaan siitä Tietoturvailmoitus-lomakkeella.

Tietoturvailmoitusten tekeminen on tärkeää, jotta voimme parantaa toimintaamme esimerkiksi tieto- ja potilasturvallisuuden, laadun ja asiakaskokemuksen osalta. Raportoitujen tietoturvailmoitusten korjaavien toimenpiteiden vaikutusta seurataan ja arvioidaan jatkuvasti toiminnan kehittämisen ja laadun parantamisen vuoksi.