1. JOHDANTO
Tietoturvallisuudella tarkoitetaan asiantilaa, jossa tietojen, tietojärjestelmien ja tietoliikenteen luottamuksellisuuteen, eheyteen ja käytettävyyteen kohdistuvat uhkat eivät aiheuta merkittävää riskiä. Tietosuojalla tarkoitetaan henkilötietojen suojaamista valtuudettomalta ja henkilöä vahingoittavalta käytöltä ja käsittelemiseltä.
Tietoturvapolitiikka määrittelee ne periaatteet, vastuut, toimintatavat sekä seurannan ja valvonnan, joita toimintayksikössä noudatetaan tietoturvan toteuttamisessa ja kehittämisessä. Tietoturvapolitiikkaa täydentää tietoturvaohje ja tietosuojaseloste tai kuvaus henkilötietojen käsittelystä.
2. KATTAVUUS
Tietoturvapolitiikka kattaa toimintayksikön kaikkeen toimintaan liittyvät tietojen käsittelyn tehtävät.
Jokaisen työntekijän sekä toimintayksikön tietojen ja tietojärjestelmien käyttäjän on tunnettava tämä tietoturvapolitiikka ja noudatettava sen perusteella annettuja ohjeita ja määräyksiä. Toimintayksikön ulkopuolisten terveydenhuollon toimijoiden, toimittajien ja muiden ulkopuolisten tahojen tulee myös sitoutua noudattamaan tätä tietoturvapolitiikkaa, kansallisia normeja sekä ohjeita ehtona tehtäviensä mukaiselle pääsylle toimintayksikön tietojärjestelmiin ja niiden tietoaineistoihin.
3. TIETOTURVA
Tietoturva tarkoittaa tietojen käsittelyn ja arkistoinnin turvaamista. Tietoturva rakentuu tiedon luottamuksellisuudesta, eheydestä, saatavuudesta, käytettävyydestä ja kiistämättömyydestä sekä tietojen käsittelyn valvonnasta.
Tietoturvaan kuuluvat tietoturvasta vastaava henkilöstö, tietojen käsittelijöiden toimintatavat, tietojen turvaamisen menetelmät, välineet ja toimenpiteet, työhön osoitetut resurssit sekä välineistön ja tilojen tietoturvaominaisuudet.
Hyväksytyn tietoturvapolitiikan mukainen tietoturva tulee sisällyttää luonnollisena osana kaikkeen toimintaan. Tietoturvan kehittäminen ja ylläpito ovat osa toimintayksikön yleistä turvallisuustoimintaa, riskien hallintaa ja sisäistä valvontaa.
4. TIETOTURVATYÖ
Tietoturvatyö on tietoturvan saavuttamiseksi tehtävien toimenpiteiden suunnittelua ja toteuttamista. Tietoturvatyön päämäärä on turvata toimintayksikön toiminnalle tärkeiden tietojärjestelmien ja tietoverkkojen keskeytymätön toiminta, estää tietojen ja tietojärjestelmien joutuminen ulkopuolisille sekä estää niiden valtuudeton käyttö, tahaton tai tahallinen tiedon tuhoutuminen tai vääristyminen sekä minimoida aiheutuvat vahingot. Normaalin toiminnan tietojenkäsittelyn turvaamisen lisäksi varaudutaan toiminnan keskeyttäviin uhkatilanteisiin ja niistä toipumiseen.
Terveydenhuollon toimintayksikkö vastaa potilasasiakirjojen ja potilastietoja sisältävien muiden asiakirjojen suojaamiseen liittyvästä tietoturvatyön suunnittelusta ja toteuttamisesta. Toimintayksikkö toteuttaa tietoturvansa korotetun tietoturvatason käytäntöjen mukaisesti.
5. ORGANISOINTI JA VASTUUT
Tietoturvaa johtaa ja valvoo Sari Lilius (Y-tunnus 3106291-7). Johto päättää toimintayksikön tietoturvallisuuden eri osa-alueiden kehittämistoiminnan tavoitteista, organisoinnista, resursseista ja toimintavaltuuksista sekä nimeää tietoturvavastaavan ja tietosuojavastaavan. Potilastietojen tietoturvasta vastaa toiminnasta vastuussa oleva terveydenhuollon ammattihenkilö.
Tietoturvavastaava vastaa toimintayksikön tietoturvallisuustason määrittelystä ja arvioinnista ja raportoinnista sekä muusta hallinnollisesta tietoturvasta. Hän vastaa tietoturvaohjeen tekemisestä, toteutuksen valvonnasta, tietoturvatietouden edistämisestä ja tietoturvallisesta toimintatavasta toimintayksikössä ja sen ostamissa palveluissa sekä raportoinnista johdolle.
Tietosuojavastaava vastaa henkilörekisterien suojauksesta ja valvonnasta sekä muusta käyttöturvallisuudesta. Potilasrekisterin yhteyshenkilö vastaa tietoaineistoturvallisuudesta.
Tietotekniikan osa-alueesta vastaava henkilö vastaa laitteisto- ja ohjelmistoturvallisuudesta sekä tila- ja laiteteknisestä turvallisuudesta yhteistyössä toimittajien/alihankkijoiden kanssa.
Henkilöstöasioista vastaava henkilö vastaa henkilöstöturvallisuudesta.
Jokaisella tietojärjestelmällä on omistaja ja vastuuhenkilö. Tietojärjestelmän vastuuhenkilön velvollisuuksiin kuuluu tietojärjestelmän toimintaan ja turvallisuuteen asetettavien vaatimusten määrittely sekä käyttöoikeuksien myöntäminen ja valvonta.
Tietoturva-asioiden ohjeistamisesta, tiedottamisesta ja valvonnasta vastaa johto.
Jokainen työntekijä, tietoja käsittelevä, tietojärjestelmien tai tietoverkkojen ylläpitäjä ja käyttäjä on omalta osaltaan vastuussa tietoturvan toteuttamisesta sekä tietoturvaohjeiden noudattamisesta. Jokainen henkilö on velvollinen tietoturvaan liittyvien uhkien ja poikkeamien raportoimisesta tietoturvavastaavalle.
6. TIETOTURVAN TOTEUTUS
Tietoturvan toteuttamisen perusta on tämä kirjallinen tietoturvapolitiikka, joka annetaan tiedoksi jokaiselle työntekijälle ja tietojärjestelmien käyttäjälle.
Toimintayksikön tietoturvaperiaatteet perustuvat kansallisiin, yleisiin ja toimialakohtaisiin tietoturvaa, henkilörekistereitä, hyvää tiedonhallintatapaa ja tiedon laatua ohjaaviin ja velvoittaviin säädöksiin, ohjeisiin ja standardeihin. Lainsäädännön ja ohjeistuksen muutokset otetaan huomioon toimintayksikön tietoturvan kehittämisessä.
Tietoturvan toteuttaminen ja ylläpito kuvataan yksityiskohtaisesti tietoturvaohjeessa. Tietoturvan tavoitteiden saavuttaminen on jatkuva prosessi, joka tapahtuu hallinnollisten ja teknisten ratkaisujen avulla. Käyttäjien toimintaa ohjataan tietoturvaohjeeseen sisältyvillä käyttösäännöillä sekä vahvistetuilla ja saatavilla olevilla toimintaohjeilla sekä tietoturvakoulutuksella. Jokainen käyttäjä allekirjoittaa käyttäjän tietosuojaohjeen ja sitoumuksen saadessaan oikeuden tehtäviensä mukaiseen tietojärjestelmien ja tietoaineistojen käyttöön.
7. TIETOTURVAN SEURANTA JA VALVONTA
Käyttäjien ja ylläpitäjien tulee ilmoittaa havaitsemastaan tietoturvan puutteesta, tietoturvaan liittyvästä väärinkäytöksestä tai epäilemästään tietoturvarikkomuksesta tietoturvavastaavalle.
Johdon tehtävänä on valvoa tietoturvan toteutumista toimintayksikössä.
Tietoturvavastaavan tehtävänä on seurata ja valvoa tietojärjestelmien tietoturvan toteutumista ja ryhtyä toimenpiteisiin havaittujen tietoturvan heikkouksien korjaamiseksi.