Päivitetty 6.3.2025

Tausta ja tarkoitus

Pihlajalinnassa käsiteltävät ja tuotettavat tiedot sisältävät runsaasti luottamuksellisia ja salassa pidettäviä henkilötietoja kuten potilas-, asiakas-, ja henkilöstötietoja. Tietosuojan ja tietoturvan tehokas toteutuminen kaikissa olosuhteissa on olennaista Pihlajalinnan ydintehtävien, potilasturvallisuuden sekä vaatimuksenmukaisuuden mahdollistamiseksi.

Tietosuoja- ja tietoturvapolitiikka on johdon hyväksymä strateginen asiakirja, joka on kannanotto tietosuojan ja tietoturvan ylläpitämiseen ja kehittämiseen.

Tätä politiikkaa täydentävät muut hyväksytyt suunnitelmat, toimintaperiaatteet ja ohjeet, jotka löytyvät intranetistä. Jokaisen Pihlajalinnan työntekijän ja Pihlajalinnan tietojärjestelmiä käyttävän yhteistyökumppanin on tunnettava tämä politiikka ja noudatettava sen perusteella annettuja ohjeita ja määräyksiä.

Tietosuojan ja tietoturvan hyvä hallinta edellyttää toiminnan pitkäjänteistä suunnittelua, jatkuvaa kehittämistä, seurantaa ja erilaisiin uhkatilanteisiin varautumista. Tietosuoja- ja tietoturvatavoitteiden toteutuminen varmistetaan sovituilla toimintatavoilla ja käytänteillä, jotka perustuvat muiden muassa jatkuvaan riskien arviointiin, henkilöstön kouluttamiseen ja ohjeistamiseen sekä henkilötietojen käsittelyn sisäiseen ja ulkoiseen valvontaan. Näiden lisäksi henkilötietojen ja muun salassa pidettävän tiedon riittävä suojaaminen varmistetaan sekä hallinnollisin että teknisin tietoturvakeinoin.

Työssä onnistuminen edellyttää Pihlajalinnan johdon sitoutumista tietosuoja- ja tietoturvatyön tukemiseen. Tämä politiikka hyväksytään konsernin johtoryhmän toimesta ja viedään tiedoksi tarkastusvaliokunnalle. Politiikka katselmoidaan vuosittain ja päivitetään tarvittaessa. Politiikka on voimassa toistaiseksi.

Riskienhallinta

Päävastuu riskienhallinnasta on Pihlajalinnan ylimmällä johdolla. Johto vastaa riskienhallinta-prosessista ja varmistaa sen toteutumisen konsernin toiminnassa. Johdon vastuulla on tunnistettujen riskien strateginen käsittely. Tunnistetut riskit käsitellään riskienhallintajärjestelmässä.

Tavoitteet

Tietosuoja- ja tietoturvatyön tavoitteena on

• varmistaa Pihlajalinna-konsernin tietojärjestelmien turvallisuus.

• turvata kaiken tiedon lainmukainen ja tietoturvallinen käsittely normaali- ja poikkeusoloissa hallinnollisilla, teknisillä ja muilla toimenpiteillä.

• varmistaa konsernin tai konserniyhtiöiden toimintojen jatkuvuuden turvaaminen kaikissa olosuhteissa.

• ennaltaehkäistä ja estää tietosuoja ja -tietoturvapoikkeamat.

• hallita hyvää tietosuoja- ja tietoturvatasoa ja kehittää sitä jatkuvan kehittämisen periaatteita noudattaen.

Organisointi ja vastuut

Ylin johto vastaa kokonaisturvallisuuden tavoitteista, resursseista ja toimintavaltuuksista. Tietoturva- ja tietosuojavastuut on nimetty organisaation eri tasoille, ja keskeisten toimintojen edustajista koostuva tietosuoja- ja tietoturvaryhmä kokoontuu säännöllisesti seuraamaan tilannetta ja valmistelemaan linjaukset johdon hyväksyttäväksi.

Tietoturvan ja tietosuojan kehittämisestä, arvioinnista ja raportoinnista vastaavat nimetyt asiantuntijat. Lainsäädännön seuranta on vastuutettu, ja muutoksista tiedotetaan asianomaisille tiimeille sovitun prosessin mukaisesti.

Esimiehet vastaavat siitä, että heidän tiiminsä jäsenillä on riittävä osaaminen, koulutus ja työkalut henkilötietojen lainmukaiseen käsittelyyn.

Jokainen Pihlajalinnan työntekijä on omalta osaltaan vastuussa tietosuojan ja tietoturvan toteutumisesta sekä velvollinen raportoimaan havaitsemistaan poikkeamista ohjeiden mukaisesti.

Tietosuojavastaava toimii EU:n yleisen tietosuoja-asetuksen sekä sosiaali- ja terveydenhuollon erityislainsäädännön tarkoittamassa tehtävässä valvoen tietosuojalainsäädännön noudattamista organisaatiossa.

Toteutus

Hyväksytyn tietosuoja- ja tietoturvapolitiikan mukainen tietosuoja ja -turva tulee sisällyttää luonnollisena osana kaikkeen toimintaan. Tietosuojan ja -turvan kehittäminen ja ylläpito on osa Pihlajalinna-konsernin ja konserniyhtiön yleistä turvallisuustoimintaa, riskien hallintaa ja sisäistä valvontaa.

Jokapäiväinen työskentely, seuranta ja valvonta

• Tietoturva ja tietosuoja ovat jokaisen asia ja osa Pihlajalinnan päivittäistä toimintaa. Jokainen on velvollinen ilmoittamaan tietoturva- ja tietosuojapoikkeamista.

• Väärinkäytökset on sanktioitu. Vakavimmillaan väärinkäytös voi johtaa työsuhteen päättämiseen ja/tai rikosoikeudelliseen vastuuseen.

• Kaikessa toiminnan suunnittelussa huomioidaan tietosuoja ja tietoturva.

• Käyttäjien toimintaa ohjataan hyväksytyillä ja saatavilla olevilla ohjeilla, jatkuvalla tiedottamisella sekä tietosuoja- ja tietoturvakoulutuksilla. Ohjeistuksia päivitetään säännöllisesti.

• Tietosuojasta ja tietoturvasta vastaavien henkilöiden tehtävänä on seurata, valvoa ja raportoida Pihlajalinnan tietosuojan ja tietoturvan toteutumista sekä ryhtyä tarvittaessa toimenpiteisiin niiden parantamiseksi.

• Pihlajalinna tekee yhteistyötä eri intressiryhmien ja viranomaisten kanssa EU-tietosuoja-asetuksen, paikallisen lainsäädännön ja erillislainsäädännön mukaisesti.

• Tietoturvaa kehitetään ja testataan jatkuvasti. Testausta ja kehitystä tehdään myös ulkopuolisten yhteistyökumppaneiden toimesta. Testausten perusteella tehdään kehittäviä ja korjaavia toimenpiteitä.

• Tietosuojaa koskeva vaikutustenarviointi (DPIA) tehdään aina uusia järjestelmiä ja käsittelyprosesseja käyttöönotettaessa.

Poikkeus- ja vapautusprosessi

Joissain tilanteissa voi olla perusteltua poiketa tietosuoja- ja tietoturvapolitiikassa määritellyistä vaatimuksista. Tällöin noudatetaan seuraavaa vapautusprosessia:

• Poikkeustarve voi liittyä esimerkiksi teknisiin rajoitteisiin, liiketoiminnan erityistarpeisiin tai tilapäisiin operatiivisiin tilanteisiin.

• Vapautuspyyntö dokumentoidaan ja sen tulee sisältää:

  • Kuvaus poikkeuksesta ja sen taustasta

  • Arvio poikkeuksen vaikutuksista tietoturvaan ja tietosuojaan

  • Ehdotetut kompensoivat hallintakeinot

  • Poikkeuksen voimassaoloaika

• CISO arvioi poikkeuksen riskit ja vaikutukset ja konsultoi tarvittaessa tietoturva- ja tietosuojaryhmää, joka hyväksyy tai hylkää poikkeuksen. Päätös dokumentoidaan ja arkistoidaan. Poikkeuksia seurataan ja arvioidaan vuosittain ja päätetään niiden jatkamisesta, muuttamisesta tai päättämisestä.