Tietoturva

Tietoturvallisuuspolitiikka

1. Johdanto

Tietojenkäsittely tukee Pihlajalinna-konsernin sosiaali- ja terveyspalvelujen tuottamista, ja palveluiden tehokkuus riippuu osaltaan tietojenkäsittelystä. Tietoaineistot sisältävät potilaisiin, asiakkaisiin, työntekijöihin ja toimintaan liittyvää tietoa, joka on lainsäädännön perusteella suojattava. Tietojenkäsittelyn on oltava tehokasta, virheetöntä ja varmaa.

Tietoturvapolitiikka määrittelee ne periaatteet, vastuut, toimintatavat sekä seurannan ja valvonnan, joita toimintayksiköissä noudatetaan tietoturvan toteuttamisessa ja kehittämisessä. Tietoturvapolitiikkaa täydentävät yksityiskohtaiset määräykset ja ohjeet.

2. Kattavuus

Pihlajalinna-konsernin johtoryhmän käsittelemä ja toimitusjohtajan vahvistama tietoturvapolitiikka kattaa konsernin kaikkeen toimintaan liittyvät tietojen käsittelyn tehtävät.

Jokaisen Pihlajalinna-konsernin työntekijän ja tietojärjestelmien käyttäjän on tunnettava tämä tietoturvapolitiikka ja noudatettava sen perusteella annettuja ohjeita ja määräyksiä. Toimintayksikön ulkopuolisten terveydenhuollon toimijoiden, toimittajien ja muiden ulkopuolisten tahojen tulee myös sitoutua noudattamaan tätä tietoturvapolitiikkaa, kansallisia normeja sekä ohjeita ehtona tehtäviensä mukaiselle pääsylle toimintayksikön tietojärjestelmiin ja niiden tietoaineistoihin.

3. Tietoturva

Tietoturva tarkoittaa tietojen käsittelyn ja arkistoinnin turvaamista. Tietoturva rakentuu tiedon luottamuksellisuudesta, eheydestä, saatavuudesta, käytettävyydestä ja kiistämättömyydestä sekä tietojen käsittelyn valvonnasta.

Tietoturvaan kuuluvat tietoturvaorganisaatio, tietojen käsittelijöiden toimintatavat, tietojen turvaamisen menetelmät, välineet ja toimenpiteet, työhön osoitetut resurssit sekä välineistön ja tilojen tietoturvaominaisuudet.

Hyväksytyn tietoturvapolitiikan mukainen tietoturva tulee sisällyttää luonnollisena osana kaikkeen toimintaan. Tietoturvan kehittäminen ja ylläpito ovat osa toimintayksikön yleistä turvallisuustoimintaa, riskien hallintaa ja sisäistä valvontaa.

4. Tietoturvatyö

Tietoturvatyö on tietoturvan saavuttamiseksi tehtävien toimenpiteiden suunnittelua ja toteuttamista. Tietoturvatyön päämäärä on turvata toimintayksikön toiminnalle tärkeiden tietojärjestelmien ja tietoverkkojen keskeytymätön toiminta, estää tietojen ja tietojärjestelmien joutuminen ulkopuolisille sekä estää niiden valtuudeton käyttö, tahaton tai tahallinen tiedon tuhoutuminen tai vääristyminen sekä minimoida aiheutuvat vahingot. Normaaliajan toiminnan tietojenkäsittelyn turvaamisen lisäksi varaudutaan toiminnan keskeyttäviin uhkatilanteisiin ja niistä toipumiseen.

Sosiaali- tai terveyspalvelun toimija vastaa osana tietoturvatyötä myös potilas/asiakasasiakirjojen ja potilas/asiakastietoja sisältävien muiden asiakirjojen suojaamiseen liittyvästä tietoturvatyön (tietosuojan) suunnittelusta ja toteuttamisesta. Tämän vastuun takia toimija toteuttaa tietoturvansa korotetun tietoturvatason käytäntöjen mukaisesti.

5. Organisointi ja vastuut

Tietoturvaa johtaa ja valvoo Pihlajalinna-konsernin toimitusjohtaja. Toimitusjohtaja päättää Pihlajalinna-konsernin kokonaisturvallisuuden eri osa-alueiden kehittämistoiminnan tavoitteista, organisoinnista, resursseista ja toimintavaltuuksista. Tietoturvasta vastaavana johtajana toimii Pihlajalinna-konsernin tietohallintojohtaja, joka nimeää tietoturvavastaavan. Tietosuojasta vastaavana johtajana toimii Pihlajalinna-konsernin lääketieteellinen johtaja, joka nimeää tietosuojavastaavat. Tietoturvasta vastaava johtaja sekä tietosuojasta vastaava johtaja raportoivat toimitusjohtajalle.

Tietoturvavastaava vastaa konsernin tietoturvatyön kokonaisuudesta konsernin johdolta saamiensa resurssien ja toimintavaltuuksien puitteissa. Hän vastaa myös tietoturva-asioista tiedottamisesta toimintayksikön ulkopuolelle ja toimintayksikössä yleisellä tasolla. Konsernin potilastietoja sisältävien henkilörekistereiden suojaamisesta ja valvonnasta vastaa tietosuojavastaava.

Konsernin keskeisten toimintojen turvanäkemyksiä edustaa tietoturvaryhmä, jonka asettaa tietoturvasta ja tietosuojasta vastaavat johtajat. Tietoturvaryhmä käsittelee tietoturvan linjaukset ja ohjeet ennen kuin ne esitellään johdolle hyväksyttäväksi. Tietoturvaryhmään kuuluvat ainakin tietoturvavastaava, koordinoiva tietosuojavastaava, konsernin oman potilastietojärjestelmän pääkäyttäjä sekä henkilöstö- ja kiinteistöhallinnon edustajat.

Ryhmän jäsenten tehtävät ovat:

Ryhmän jäsenet vastaavat oman vastuualueensa tietoturvaprosessin asioiden valmistelusta
Tietoturvavastaava vastaa toimintayksikön tietoturvallisuustason määrittelystä ja arvioinnista ja raportoinnista sekä muusta hallinnollisesta tietoturvasta ja toimii tietoturvaryhmän puheenjohtajana. Hän vastaa tietoturvan kehittämissuunnitelmien tekemisestä, toteutuksen valvonnasta, tietoturvatietouden edistämisestä ja tietoturvallisesta toimintatavasta konsernissa ja sen ostamissa palveluissa sekä raportoinnista johdolle
Tietosuojavastaava vastaa henkilörekisterien suojauksesta ja valvonnasta sekä muusta käyttöturvallisuudesta ja toimii tietoturvatyöryhmän sihteerinä
Tietoturvavastaava vastaa laitteisto- ja ohjelmistoturvallisuudesta
Kiinteistöhallinnon edustaja vastaa tila- ja laiteteknisestä turvallisuudesta
Henkilöstöhallinnon edustaja vastaa henkilöstöturvallisuudesta tietoturvallisuuden osalta
Tietosuojavastaava vastaa arkistotoimen tehtävien mukaisesta tietoaineistoturvallisuudesta
Jokaisella tietojärjestelmällä on omistajayksikkö ja vastuuhenkilö. Tietojärjestelmän vastuuhenkilön velvollisuuksiin kuuluu tietojärjestelmän toimintaan ja turvallisuuteen asetettavien vaatimusten (esim. kriittisyyden, jatkuvuussuunnittelun ja varmuuskopiointimenettelyn) määrittely sekä käyttöoikeuksien myöntäminen ja valvonta.

Tietoturva-asioiden ohjeistamisesta, tiedottamisesta ja valvonnasta omassa yksikössään vastaa yksikön esimies/-miehet ja potilastietojen tietosuojan osalta yksikön vastaava lääkäri.

Jokainen konsernin työntekijä, tietoja käsittelevä, tietojärjestelmien tai tietoverkkojen ylläpitäjä ja käyttäjä on omalta osaltaan vastuussa tietoturvan toteuttamisesta sekä tietoturvaohjeiden noudattamisesta. Jokainen henkilö on velvollinen tietoturvaan liittyvien uhkien ja poikkeamien raportoimisesta esimiehelleen tai tietoturvavastaavalle.

6. Tietoturvan toteutus

Tietoturvan toteuttamisen perusta on tämä Pihlajalinna-konsernin kirjallinen tietoturvapolitiikka, joka annetaan tiedoksi jokaiselle toimintayksikön työntekijälle ja tietojärjestelmien käyttäjälle.

Toimintayksikön tietoturvaperiaatteet perustuvat kansallisiin, yleisiin ja toimialakohtaisiin tietoturvaa, henkilörekistereitä, hyvää tiedonhallintatapaa ja tiedon laatua ohjaaviin ja velvoittaviin säädöksiin, ohjeisiin ja standardeihin.
Lainsäädännön ja ohjeistuksen muutokset otetaan huomioon toimintayksikön tietoturvan kehittämisessä.

Tietoturvan toteuttaminen ja ylläpito kuvataan yksityiskohtaisesti tietoturvasuunnitelmassa. Tietoturvan toteutuksen tulee perustua niihin vaatimuksiin, joita toiminta ja palvelut sekä kunkin tiedon ja tietojärjestelmän turvallisuusluokka asettavat tietojenkäsittelyn varmuudelle, käytettävyydelle, salassapidolle, laadulle ja toiminnan jatkuvuudelle sekä toimintaan kohdistuvien riskien arvioinnille. Vaatimusten selvittäminen, riskien arvioiminen ja niiden perusteella turvallisuustoimenpiteiden määritteleminen tapahtuu säännöllisesti suoritettavilla turvallisuusanalyyseillä.

Tietoturvan tavoitteiden saavuttaminen on jatkuva prosessi, joka tapahtuu hallinnollisten ja teknisten ratkaisujen avulla. Ne kuvataan tietoturvasuunnitelmassa ja tarvittaessa käyttöympäristöille ja yksiköille laadituissa erillisissä tietoturvan kehittämissuunnitelmissa. Keskeiset kehittämistoimet toteutetaan hankkeina, joista tehdään hankesuunnitelma.

Käyttäjien toimintaa ohjataan tietoturvasuunnitelmaan sisältyvillä käyttösäännöillä sekä vahvistetuilla ja saatavilla olevilla toimintaohjeilla sekä tietoturvakoulutuksella. Jokainen käyttäjä allekirjoittaa käyttäjän tietosuojaohjeen ja sitoumuksen saadessaan oikeuden tehtäviensä mukaiseen tietojärjestelmien ja tietoaineistojen käyttöön.

7. Tietoturvan seuranta ja valvonta

Käyttäjien ja ylläpitäjien tulee ilmoittaa havaitsemastaan tietoturvan puutteesta, tietoturvaan liittyvästä väärinkäytöksestä tai epäilemästään tietoturvarikkomuksesta esimiehelleen tai tietoturvavastaavalle.

Yksikön esimiesten, vastaavan lääkärin/vastuuhenkilön tehtävänä on valvoa tietoturvan toteutumista omassa yksikössään.
Tietoturvavastaavan tehtävänä on seurata ja valvoa Pihlajalinna-konsernin tietojärjestelmien tietoturvan toteutumista ja ryhtyä toimenpiteisiin havaittujen tietoturvan heikkouksien korjaamiseksi.