Tietosuoja ja tietoturva

Pihlajalinna-konsernin tietosuoja- ja tietoturvapolitiikka

Päivitetty 15.5.2018

JOHDANTO

Me Pihlajalinna-konsernissa (”Pihlajalinna”) kunnioitamme asiakkaiden, potilaiden, kumppaneiden ja työntekijöiden yksityisyyttä. Tässä tietosuoja- ja tietoturvapolitiikassa kerrotaan, miten Pihlajalinna-konserniin kuuluvat yhtiöt keräävät, käyttävät ja käsittelevät erilaisia henkilötietoja ja varmistavat yksityisyyden suojan. Tietosuoja- ja tietoturvapolitiikka määrittelee ne periaatteet, vastuut, velvoitteet, toimintatavat sekä seurannan ja valvonnan, joita konsernissa noudatetaan tietosuojan ja -turvan toteuttamisessa ja kehittämisessä. Tätä politiikkaa täydentävät yksityiskohtaiset määräykset ja ohjeet.

Pihlajalinnan rekisterit sisältävät potilaisiin, asiakkaisiin, työntekijöihin, sidosryhmiin, toimittajiin ja toimintaan liittyvää tietoa, joka on lainsäädännön perusteella suojattava. Henkilötietojen käsittelystä on säädelty EU:n tietosuoja-asetuksella sekä tähän liittyvällä paikallisella lainsäädännöllä. Terveyspalveluihin liittyvä potilastieto ja sosiaalipalveluita koskeva asiakastieto ovat erityislainsäädännön alaisia.

Pihlajalinnan johtoryhmän käsittelemä ja toimitusjohtajan vahvistama tietosuoja- ja tietoturvapolitiikka kattaa konsernin kaikkeen toimintaan liittyvät tietojenkäsittelyn tehtävät. Jokaisen Pihlajalinnan työntekijän ja tietojärjestelmien käyttäjän on tunnettava tämä politiikka ja noudatettava sen perusteella annettuja ohjeita ja määräyksiä.

Pihlajalinnan ulkopuolisten toimijoiden, toimittajien ja muiden ulkopuolisten tahojen tulee myös sitoutua noudattamaan lainsäädäntöä, tätä tietosuoja- ja tietoturvapolitiikkaa sekä tietosuojaa ja -turvaa koskevia ohjeita ehtona tehtäviensä mukaiselle pääsylle Pihlajalinnan tietojärjestelmiin ja niiden tietoaineistoihin. Pihlajalinnan toimiessa rekisterinpitäjänä edellytetään toimittajilta erillisen henkilötietojen käsittelyä koskevan sopimuksen (tai liitteen) allekirjoitusta. Yksittäisiltä tietoja käsitteleviltä henkilöiltä edellytetään tietosuojasitoumuksen allekirjoitus. Pihlajalinna-konsernin tai konserniyhtiön toimiessa henkilötietojen käsittelijänä solmitaan erillinen sopimus henkilötietojen käsittelystä.

Tietosuojalla tarkoitetaan yksityisyyden suojaamista henkilötietoja käsiteltäessä.

Hyväksytyn tietosuoja- ja tietoturvapolitiikan mukainen tietosuoja ja -turva tulee sisällyttää luonnollisena osana kaikkeen toimintaan. Tietosuojan ja -turvan kehittäminen ja ylläpito on osa Pihlajalinna-konsernin ja konserniyhtiön yleistä turvallisuustoimintaa, riskien hallintaa ja sisäistä valvontaa.

TIETOSUOJA- JA TIETOTURVATYÖ

Tietosuoja- ja tietoturvatyön tavoite on turvata henkilötietojen lainmukainen käsittely, varmistaa konsernin tai konserniyhtiön tietojärjestelmien ja tietoverkkojen keskeytymätön toiminta, estää tietoturvaloukkaukset sekä ulkopuolisten asiaton pääsy tietojärjestelmiin ja/tai niiden valtuudeton käyttö, estää tietojen tahaton tai tahallinen tuhoutuminen tai vääristyminen sekä minimoida aiheutuvat vahingot. Lisäksi varaudutaan toiminnan keskeyttäviin uhkatilanteisiin ja niiden ratkaisemiseen.

Sosiaali- tai terveyspalveluiden palveluntuottajana Pihlajalinna toimii korotetun tietoturvatason käytäntöjen mukaisesti.

ORGANISOINTI JA VASTUUT

Tietosuojaa ja -turvaa johtaa ja valvoo Pihlajalinnan toimitusjohtaja. Toimitusjohtaja päättää kokonaisturvallisuuden eri osa-alueiden kehittämisen tavoitteista, organisoinnista, resursseista ja toimintavaltuuksista. Tietosuojasta vastaavana johtajana toimii Pihlajalinnan lääketieteellinen johtaja, joka nimeää tietosuojavastaavat. Tietoturvasta vastaavana johtajana toimii digitaalisesta kehityksestä vastaava johtaja, joka nimeää tietoturvavastaavan. Tietoturvasta vastaava johtaja sekä tietosuojasta vastaava johtaja raportoivat toimitusjohtajalle.

Tietosuojavastaava vastaa EU-tietosuoja-asetuksen sekä paikallisen lainsäädännön mukaisista tehtävistä. Tietoturvavastaava vastaa tietoturvatyön kokonaisuudesta konsernin johdolta saamiensa resurssien ja toimintavaltuuksien puitteissa. Hän vastaa myös tietoturva-asioiden viestinnästä.

Pihlajalinnan keskeisten toimintojen näkemyksiä edustaa tietosuoja- ja tietoturvaryhmä, jonka asettaa tietosuojasta ja tietoturvasta vastaavat johtajat. Tietosuoja- ja tietoturvaryhmä käsittelee linjaukset ja ohjeet ennen kuin ne esitellään johdolle hyväksyttäväksi. Tietosuoja- ja tietoturvaryhmään kuuluvat ainakin tietosuojasta vastaava johtaja, tietoturvasta vastaava johtaja, tietosuojavastaava(t), tietoturvavastaava, konsernin omien potilastietojärjestelmien pääkäyttäjät sekä henkilöstö- ja kiinteistöhallinnon edustajat.

Ryhmän jäsenten tehtävät ovat:

  • Ryhmän jäsenet vastaavat oman vastuualueensa asioiden valmistelusta
  • Tietosuojavastaavan tehtävät on määritelty EU-tietosuoja-asetuksessa
  • Tietoturvavastaava vastaa tietoturvan määrittelystä, arvioinnista ja raportoinnista. Hän vastaa tietoturvan kehittämissuunnitelmien tekemisestä, toteutuksen valvonnasta, tietoturvatietouden edistämisestä ja tietoturvallisesta toimintatavasta konsernissa ja sen ostamissa palveluissa sekä raportoinnista johdolle.
  • Tietoturvavastaava vastaa laitteisto- ja ohjelmistoturvallisuudesta
  • Kiinteistöhallinnon edustaja vastaa tila- ja laiteteknisestä turvallisuudesta
  • Henkilöstöhallinnon edustaja vastaa henkilöstöturvallisuudesta tietoturvallisuuden osalta
  • Tietosuoja- ja -turvaryhmän puheenjohtajana toimii tietosuojasta vastaava johtaja tai hänen ollessaan estynyt tietoturvasta vastaava johtaja

Jokaisella Pihlajalinnan henkilötietoja sisältävällä rekisterillä on rekisteristä vastaava henkilö, jonka vastuut on kuvattu EU-tietosuoja-asetuksessa ja paikallisessa lainsäädännössä.

Jokaisella Pihlajalinnan tietojärjestelmällä on omistajayksikkö ja vastuuhenkilö. Tietojärjestelmän vastuuhenkilön velvollisuuksiin kuuluu tietojärjestelmän toimintaan ja turvallisuuteen asetettavien vaatimusten (esim. kriittisyyden, jatkuvuussuunnittelun ja varmuuskopiointimenettelyn) määrittely sekä käyttöoikeuksien myöntäminen ja valvonta.

Tietoturva-asioiden ohjeistamisesta, tiedottamisesta ja valvonnasta omassa yksikössään vastaa yksikön esimies/esimiehet ja potilastietojen tietosuojan osalta yksikön vastaava lääkäri.

Jokainen Pihlajalinnan työntekijä, henkilötietoja tai muita tietoja käsittelevä, tietojärjestelmien tai tietoverkkojen ylläpitäjä tai käyttäjä on omalta osaltaan vastuussa tietosuojan ja -turvan toteuttamisesta sekä ohjeiden noudattamisesta. Jokainen henkilö on velvollinen tietosuojaan tai -turvaan liittyvien uhkien ja poikkeamien raportoimisesta tietosuoja- tai tietoturvavastaavalle.

TOTEUTUS

Tietosuojan ja -turvan toteuttamisen perusta on tämä Pihlajalinnan kirjallinen tietosuoja- ja tietoturvapolitiikka, joka annetaan tiedoksi jokaiselle konsernin työntekijälle ja tietojärjestelmien käyttäjälle.

Pihlajalinnan tietosuoja- ja tietoturvaperiaatteet perustuvat EU-tietosuoja-asetukseen ja kansalliseen lainsäädäntöön. Tietosuojan ja -turvan toteuttaminen ja ylläpito kuvataan yksityiskohtaisesti erillisissä ohjeissa. Tietosuojan ja -turvan tavoitteiden saavuttaminen on jatkuva prosessi.

Käyttäjien toimintaa ohjataan vahvistetuilla ja saatavilla olevilla ohjeilla sekä tietosuoja- ja tietoturvakoulutuksella.

SEURANTA JA VALVONTA

Pihlajalinnan konserniyhtiöiden esimiesten, vastaavan lääkärin ja vastuuhenkilön tehtävänä on valvoa tietosuojan- ja tietoturvan toteutumista omassa yksikössään.

Tietoturvavastaavan tehtävänä on seurata ja valvoa Pihlajalinnan tietoturvan toteutumista ja ryhtyä tarvittaessa toimenpiteisiin tietoturvan parantamiseksi.

JATKUVA PARANTAMINEN

Pihlajalinnan tietoturvaryhmä kokoontuu kuukausittain. Kokouksissa käsitellään tietoturvaan ja tietosuojaan liittyviä asioita. Näiden johdosta tehdään tietoturvan ja tietosuojan jatkuvaa parantamista koskevia päätöksiä. Tietoturvaa testataan myös ulkopuolisten yhteistyökumppaneiden toimesta. Testausten perusteella tehdään tarvittaessa kehittäviä ja korjaavia toimenpiteitä. Lisäksi tietoturvaan liittyvistä asioista tiedotetaan henkilökunnalle Pihlajalinnan intranetissä.

TIETOJEN HANKINTA, LÄHTEET JA TIETORYHMÄT

Tiedon hankintatavat, lähteet sekä rekisteröidyistä muodostetut tietoryhmät on erikseen kuvattu kunkin rekisterin tietosuojaselosteessa.

TIETOJEN LUOVUTTAMINEN ASIAKKAILLE JA AVOIMUUS REKISTERÖITYJÄ KOHTAAN

Tietojen luovuttaminen asiakkaille sekä avoimuus rekisteröityjä kohtaan on kuvattu kunkin rekisterin osalta tietosuojaselosteessa.

YHTEISTYÖ ERI INTRESSIRYHMIEN JA VIRANOMAISTEN KANSSA

Pihlajalinna tekee yhteistyötä eri intressiryhmien ja viranomaisten kanssa EU-tietosuoja-asetuksen, paikallisen lainsäädännön ja erillislainsäädännön mukaisesti.

KANSAINVÄLISYYS

Pihlajalinna ei pääsääntöisesti siirrä henkilötietoja Euroopan unionin tai Euroopan talousalueen ulkopuolelle. Mahdollisten siirtojen osalta noudatetaan voimassaolevia lakeja ja asetuksia.

TIETOSUOJAA VALVOVA VIRANOMAINEN

Tietosuojavaltuutettu on viranomainen, joka ohjaa, neuvoo ja valvoo henkilötietojen käsittelyä henkilötietolain mukaisesti. Tietosuojavaltuutettu käyttää päätösvaltaa tarkastusoikeuden toteuttamista ja tiedon korjaamista koskevissa asioissa sekä antaa ratkaisuja rekisterinpidon lainmukaisuudesta ja rekisteröityjen oikeuksien toteutumisesta.

TIETOSUOJA- JA TIETOTURVAPERIAATTEIDEN PÄIVITTÄMINEN

Tietosuoja- ja tietoturvaperiaatteet ovat tämän hetken käytäntömme mukaiset. Päivitämme periaatteita säännöllisesti ja vähintään vuosittain.