OmaValvonta suunnitelma

 

SUOMEN FYSIOTERAPIA- JA KUNTOUTUSYRITYKSET FYSI RY ja
suomen fysioterapeutit – finlands fysioterapeuter ry

 

 

 

 

 

 

 

Merifysio Ky

 

OMAVALVONTASUUNNITELMA

 

Päivitys 1.1.2024

Päivi Heinonen

 

 

 

Tämä malli perustuu THL:n malliin Omavalvontasuunnitelmaksi.
MÄÄRÄYS 2/2015, LIITE 1, DNRO. THL/1305/4.09.00/2014

Malli on tarkastettu THL:ssä helmikuussa 2015.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Sisältö

 

  1. Johdanto
  2. Suunnitelman kohde
  3. Yleiset tietoturvakäytännöt
  4. Käyttöympäristön ja useiden järjestelmien yhteiset tietoturvakäytännöt
  5. Käyttövaltuuksien, pääsynhallinnan ja käytön seurannan yleiset käytännöt
  6. Kanta-palvelujen käytön tietoturvakäytännöt
  7. Tietojärjestelmät
  8. Tietojärjestelmäkohtaiset ohjeet ja suunnitelmat

 

 

 

 

 

Luku- ja täyttöohje:

  • Mustalla painettu teksti on tarkoitettu fysioterapeuttiyrittäjän täydennettävä
  • Oppaan teksteissä vinolla eli kursiivilla painettu tarkoittaa ko. asiaan liittyvää taustatietoa/perustelua.
  • Siniset tekstit yritys työstää yhteistyössä potilastietojärjestelmän toimittajan kanssa.

 

 

 

 

 

 

 

 

  1. Johdanto

 

Sosiaali- ja terveydenhuollon palvelun antajien, apteekkien ja itsenäisten ammatinharjoittajien, Kansaneläkelaitoksen sekä Kanta-välityspalveluiden tuottajien tulee tehdä omavalvontasuunnitelma. (Määräys 2/2015,THL/1305/4.09.00/2014). Suunnitelman avulla ylläpidetään ja kehitetään organisaation tietoturvaa ja tietosuojaa.

 

Terveydenhuollon palvelun antajat, jotka ovat jo liittyneet Kanta-palveluihin, ovat tehneet ennen liittymistään tietoturvan itseauditoinnin. Omavalvontasuunnitelma on jatkoa itseauditoinnille ja tulee korvaamaan sen.

 

Suunnitelmassa kuvataan tarvittaessa ennen omavalvontasuunnitelman tekemistä tehdyt auditoinnit ja tehdyt tarkastukset.

 

Omavalvontasuunnitelmassa viitataan aina kuin mahdollista olemassa oleviin erikseen ylläpidettäviin ohjeisiin ja dokumentteihin. Olennaista on, että suunnitelman linkkien tai tietojen avulla on selvää, mistä dokumentaatio on löydettävissä tai vaatimuksen täyttyminen on todennettavissa. Mikäli muuta valmista dokumentaatiota ei ole olemassa tai saatavissa, on mahdollista kuvata vaadittavat asiakokonaisuudet ja toimintatavat suoraan omavalvontasuunnitelmaan. (THL 2015)

 

Omavalvontasuunnitelmaan kirjataan nykykäytännöt ja mahdollisesti myöhemmin kehitettävät käytännöt. Omavalvontasuunnitelma laaditaan voimassa olevan lain mukaan 1.4.2015 mennessä.

 

Omavalvontasuunnitelmalla varmistetaan potilastietojen asianmukainen ja tietoturvallinen käsittely ja säilytys.Omavalvontasuunnitelmalla kehitetään yrityksen sisäistä toimintaa. Omavalvontasuunnitelmaa on päivitettävä jatkuvana prosessina osana yrityksen tietoturvaa ja laadunhallintaa. Kantaan liittymisen yhteydessä on omavalvontasuunnitelmakin päivitettävä.

 

Omavalvontasuunnitelman tavoite on ylläpitää asiakkaiden ja eri yhteistyökumppaneiden luottamusta yrittäjän tarjoamiin palveluihin, sekä niiden tietoturvan, tietosuojan ja yksityisyydensuojan toteutumiseen.

 

 

 

 

 

  1. Suunnitelman kohde

 

Tähän kuvaus omavalvontasuunnitelman piiriin kuuluvasta yrityksestä/yrittäjästä:

 

  • Yrityksen perustiedot:Fysikaalinen hoitolaitos Merifysio ky
  • Kohde / kohteet jota omavalvonta koskee eli kaikki toimipisteet joita suunnitelma koskee Merikarvian toimipiste
  • Palveluntuottajan nimi ja y-tunnus:Fysikaalinen hoitolaitos Merifysio ky. 0669781-4
  • Vastaava johtaja:Päivi Heinonen
  • Omavalvonnan vastuuhenkilö(t):Päivi Heinonen
  • Toimipaikan / -paikkojen osoite:Kauppatie 36 c 29900 Merikarvia
  • Aluehallintoviraston toimiluvan myöntämispäivä / Itsenäisen ammatinharjoittajan aloittamisilmoittamisilmoituksen päivämäärä / Yhteisliittymällä liittyvien itsenäisten ammatinharjoittajien tiedot (keskinäinen sopimus liittymästä liitteeksi, yhteisliittymisen sopimusmalli on THL:ltä tulossa kevään 2015 aikana)8

 

Tähän kuvaus, miten omavalvontaa toteutetaan ja valvotaan toimiyksikössä:

  • kuinka usein omavalvontasuunnitelmaa päivitetään
  • kuka vastuussa päivityksestä
  • kuka vastuussa tiedon siirtämisestä käytäntöön
  • miten toteutumista seurataan

 

Tietosuojavastaavan nimi: __PäiviHeinonen______________________________

 

Arkistonhoitajan nimi: _______Päivi Heinonen_____________________________

 

PERUSTELU:

 

Asiakastietolain mukaan jokaisen sosiaali- ja terveydenhuollon palvelujen antajan on nimettävä seuranta- ja valvontatehtäviä varten tietosuojavastaava. Tietosuojavastaavan tehtävänä on valmistella tietosuojaa koskevia ohjeita ja ylläpitää niitä yhdessä potilasrekistereiden vastuuhenkilöiden kanssa, toimia erikseen sovitusti asiantuntijana sosiaali- ja terveydenhuollon asiakastietojen sähköistä käsittelyä koskevan lain mukaisissa tietosuojaa ja potilasrekistereitä koskevissa asioissa, sekä seurata ja valvoa, että tietosuojaohjeita noudatetaan potilastyössä ja muussa toimintayksikön toiminnassa. Tietosuojavastaavalla on oltava myös käytännössä riittävät resurssit sekä toimivalta tehtävänsä menestykselliseksi suorittamiseksi.

 

Itsenäisen ammatinharjoittajan, joka toimii itsenäisesti omissa tiloissaan, ei tarvitse nimetä toiminnalleen tietosuojavastaavaa, mutta tietosuojaa koskevat vastuut ja velvoitteet koskevat myös itsenäisiä ammatinharjoittajia.

 

Tietosuojavastaavan tarkemmat tehtävät (linkki)

Arkistonhoitaja voi käyttöliittymänsä avulla tehdä arkistonhoidollisia toimenpiteitä Potilastiedon arkistoon arkistoiduille asiakirjoille. Arkistonhoitaja voi hakea ja tarkastella arkistoituja asiakirjoja ja niiden kuvailutietoja, muokata tiettyjä asiakirjan kuvailutietoja sekä tarkastella asiakirjojen hävityslistaa. Arkistonhoitaja ei voi itse poistaa asiakirjoja, vaan asiakirjojen poistaminen Potilastiedon arkistosta tapahtuu automaattisesti, kun asiakirjojen säilytysaika on päättynyt.(kanta.fi)

Arkistonhoitaja voi kuitenkin jatkaa potilastietojen säilytystä 1, 3 tai 5 vuotta kerrallaan, mikäli potilastietojen säilyttämiselle on vielä potilaslain tarkoittama tarve.

 

Arkistonhoitajan tehtäviin voidaan sisällyttää myös yrityksen lakisääteinen velvollisuus huolehtia säilytysajan ylittäneiden tietojen poistamisesta myös rekisterinpitäjän omista järjestelmistä. Kanta-arkistosta poistettu tieto ei välttämättä poistu yrityksen omasta järjestelmästä, ellei näin ole oman järjestelmätoimittajan kanssa nimenomaisesti sovittu.

 

Arkistonhoitajan tehtävät (linkki)

 

 

 

  1. Yleiset tietoturvakäytännöt

 

Pääkäyttäjän nimi:_______Päivi Heinonen_____________________________________

 

PERUSTELU:

 

Jokaiselle tietojärjestelmälle on nimettävä pääkäyttäjä, jonka vastuulla on huolehtia järjes- telmän käyttöoikeuksista. Pääkäyttäjältä vaaditaan hyvää tietoturva- ja tietosuojaosaamis-

  1. Lisäksi tiedon omistajien ja pääkäyttäjien on huolehdittava tiedon koko elinkaaren hal- linnasta ja ICT-varautumissuunnitelmista, missä kuvataan vastuuhenkilöt, roolit ja toimin- tamallit riskien toteutumisen varalta.

 

Yrityksen tulee laatia toiminnalleen tietoturvapolitiikka, joka koskee kaikkea potilastietoa sekä sen käsittelyä välineestä riippumatta. Tiedot luovutetaan vain voimassa olevan lainsäädännön puitteissa tai asiakkaan erillisellä kirjallisella luvalla. Tietojen säilyminen ja hyödynnettävyys sekä saatavuus turvataan siten, ettei esimerkiksi onnettomuus tai tallennusvälineen särkyminen tai välineen teknisen tuen tai luettavuuden loppuminen vaaranna tietojen säilymistä.

 

Tähän viittaus seuraaviin aineistoihin:

Malli Tietoturvapolitiikaksi (Suomen Fysioterapeuttien ja Fysin oma malli)

Tietoturvaohjeet henkilöstölle (Suomen Fysioterapeuttien ja Fysin oma malli)

Johdon tietoturvavelvoitteet fysioterapiayrityksessä (Suomen Fysioterapeuttien ja Fysin oma malli)

 

 

PERUSTELU:

 

Yrittäjän / Esimiehen vastuulla on huolehtia ja noudattaa työnantajaa koskevien lakisääteisten tietoturva- ja tietosuojavelvoitteiden toteutumisesta. Yrittäjät /Esimiehet/ tietosuojavastaava ja tietojärjestelmien pääkäyttäjät vastaavat työntekijöiden käyttöoikeuksista tietojärjestelmiin ja niiden tietosisältöihin työtehtävien edellyttämässä laajuudessa. He huolehtivat loppukäyttäjän riittävästä perehdytyksestä yrityksen tietoturvakäytänteisiin varmistaen, että jokainen ymmärtää niiden merkityksen työtehtävissään.

Esimiehiltä odotetaan esimerkillistä sekä vastuullista tietoturvakäyttäytymistä ja heillä on raportointivelvollisuus tietoturvapoikkeamista tietosuojavastaavalle.

Työntekijän vastuulla on myös huolehtia käsittelemänsä tiedon oikeellisuudesta, saatavuudesta ja luokittelusta, sekä huolehtia, että organisaation tiedot ovat asianmukaisesti käytettävissä. Tietojen säilytys- tai arkistointiajan päätyttyä ne on hävitettävä ohjeiden mukaisesti. Työntekijällä on velvollisuus raportoida tietoturvaongelmista oman organisaation tietosuojavastaavalle.

 

Tiedot tulee myös suojata tai varmentaa siltä varalta, että onnettomuus tai laitteen teknisen käyttöiän päättyminen ei estä arkiston ylläpitoa tai pääsyä tietoihin. Esimerkiksi kovalevy saattaa ajan kuluessa rikkoutua tai vanhentua siten, ettei tiedon lukemiseen teknisesti kykeneviä järjestelmiä ole enää yleisesti saatavilla.

 

 

 

 

 

Koulutus, ohjeistus ja käyttökokemus ja niiden seuranta

 

Tähän kuvataan esimerkiksi henkilökunnan koulutussuunnitelmat.

 

Henkilökunta velvoitetaan osallistumaan Potilastiedonarkiston verkkokouluun sekä tietoturvaverkkokouluuun. Koulutussuunnitelma ja sen toteutus kirjataan.

 

PERUSTELU:

 

Tietoturvatoiminta vaatii henkilöstöltä tietoturvakäytänteiden tuntemista ja ohjeiden noudattamista. Tietoturvakoulutukset ja tietoturvatietoisuuden lisääminen ovat osa säännöllistä kehittämis- ja perehdyttämistoimintaa, jotka työntekijät on velvollinen suorittamaan yrityksen järjestämät koulutukset.

 

Kanta/Arkistokoulutus (linkki)

 

Kanta/Tietoturvakoulutus (linkki)

 

 

Toimintamallien koulutus ja perehdytys

 

Kuvataan henkilöstön perehdyttämiskäytännöt:

 

  1. Uusi työntekijä
  2. Työsuhteessa oleva henkilöstö
  3. Opiskelijoiden ohjaamisen ja kouluttamisen periaatteet: (Huom! Opiskelijoilta kirjallinen vaitiolositoumus)
  4. Henkilöstön kouluttaminen laadunhallintaan ja asiakasturvallisuuteen

 

Tietojärjestelmien käyttökoulutus

 

Tietojärjestelmien toimittajat järjestävät koulutuksia tietojärjestelmiin. Henkilökunta velvoitetaan osallistumaan näihin tai osoittamaan muutoin osaamisensa tietojärjestelmän käyttöön.

 

 

 

Riittävä kokemus

 

Mikäli henkilöllä ei omaa riittävää kokemusta, tässä kuvataan miten varmistetaan tietoturvaosaaminen ja potilastietojen asianmukainen käsittely (viittaus perehdytyssuunnitelmaan).

 

 

 

 

Ohjeet ja koulutus potilastietojen käsittelystä

 

Kirjataan, missä ohjeet sijaitsevat ja miten niiden päivittämisestä on huolehdittu.

 

PERUSTELU

Potilastiedot ovat lähtökohtaisesti arkaluonteisia henkilötietoja, joita ei saa käsitellä ilman lain tarkoittamaa poikkeusta tai potilaan lupaa.

 

Käsittelyllä tarkoitetaan henkilötietojen keräämistä, tallentamista, järjestämistä, käyttöä, siirtämistä, luovuttamista, säilyttämistä, muuttamista, yhdistämistö, suojaamista, poistamista, tuhoamista sekä muita henkilötietoihin kohdistuvat toimenpiteitä.

 

STM: Potilasasiakirjojen laatiminen ja käsittely. Opas terveydenhuollolle (linkki)

 

Henkilötietolaissa säädetään poikkeuksista potilastietojen käsittelykieltoon. Niitä saa käsitellä terveydenhuollossa siltä osin kuin ne ovat välttämättömiä potilaan hoidon tai muun laissa säädetyn tehtävän kannalta.

 

Henkilörekisterin käyttötarkoitus on aina määriteltävä ennalta (Tähän linkki henkilötietolain edellyttämään yrityksen/yrittäjän rekisteriselosteeseen).

 

Terveydenhuollon ammattihenkilö, muu terveydenhuollon toimintayksikössä työskentelevä tai sen tehtäviä suorittava ei saa luovuttaa sivulliselle potilasasiakirjoihin sisältyviä tietoja, jos siihen ei ole potilaan kirjallista suostumusta taikka luovutukseen oikeuttavaa tai velvoittavaa lain säännöstä.

 

Säännös koskee asemasta, ammatillisesta koulutuksesta tai tehtävistä riippumatta kaikkia niitä, jotka osallistuvat potilaan hoitoon tai siihen liittyviin tehtäviin.

 

Terveydenhuollon toimiyksikön salassapito- ja käyttäjäsitoumusmalli (linkki)

 

 

 

 

 

 

 

  1. Käyttöympäristön ja useiden järjestelmien yhteiset tietoturvakäytännöt

 

Tähän kirjataan paikka, jossa ohjeita säilytetään, esim. viittaus laatukäsikirjaan.

 

Menettelyt virhe- ja ongelmatilanteissa

 

Käyttöjärjestelmästä vastaa Diarium ja se myös vastaa asiakirjojen luotettavasta säilytyksestä sekä Kanta-järjestelmän linkityksestä .

 

Järjestelmien käyttöohjeiden hallinnointi ja saatavuus

 

Tähän teksti siitä, missä järjestelmän käyttöohjeet sijaitsevat ja miten ne on sieltä saatavissa.

 

Käyttöohjeet järjestelmätoimittajalta

 

Järjestelmän toimittaja järjestää käyttökoulutuksia tarpeen mukaan.

 

Järjestelmätoimittajan teksti varmistetaan ja todennetaan, että tietojärjestelmiä käytetään valmistajan antamien ohjeistusten mukaisesti tai niitä tarkoituksenmukaisesti soveltaen tai täydentäen.

 

Tähän selvitys perehdyttämisestä ja viittaus vastuutuksiin.

 

Järjestelmien asennus ja ylläpito yleisesti

 

 

Yrittäjän / tietosuojavastaavan vastuulla on fyysisten salausten (kuten palomuuri, virustorjunta) päivitys.

 

Tilojen, työasemien, tallennusvälineiden ja tulosteiden turvallisuus

 

Tiloihin ei ole pääsyä/ avainta muilla kuin työntekijöillä.(kaksi)

 

Näyttöpäätteelle ei ole näköyhteyttä muilla kuin koneen silloisella käyttäjällä.

 

Pääte lukittuu viidessä minuutissa ja salasanan avulla vain pääsee uudestaan avaamaan.

Kuvaus, miten palomuuri ja virusturvan päivitys on varmistettu.

 

Mobiililaitteille (tabletit ja älypuhelimet) pääsy suojataan salasanalla, potilastietojärjestelmään kirjaudutaan käyttäjätunnuksella sekä vahvalla salasanalla. SIM – korteissa PIN- koodit ja  ja laitteissa virusturvaohjelmat.

 

Oikeus asentaa ohjelmistoja ja sovelluksia yrityksen laitteille  on   vain yrityksen pääkäyttäjällä.

 

Tulostimien sijaintipaikat ja ulkopuolisten pääsyn eston varmistaminen.

Potilastietoja sisältävien paperitulosteiden säilyttäminen paloturvallisesti lukittuna.

 

Ulkoisten kovalevyjen ja muistitikkujen suojaus salasanalla.

 

Muut käyttöympäristön käytännöt.

 

Jos laitteiso rikkoutuu hankitaan apua Diariumilta

 

Verkkoyhteys on Elisalta

 

Diarium huolehtii suojauksista silloin kun esim.tarvitaan tukitoimia ohjelma käytössä

 

 

 

  1. Käyttövaltuuksien, pääsynhallinnan ja käytön seurannan yleiset käytännöt

 

Käyttäjäryhmät

 

Ajantasainen luettelo käyttäjäryhmistä ja käyttöoikeuksista löytyy potilastietojärjestelmästä.

 

Käyttövaltuushallinnan ja käytön seurannan käytännöt

 

Ylläpitäjällä on oikeudet myöntää käyttöoikeus kunkin ammattiryhmän työn vaatimassa laajuudessa. Tietosuojavastaavalla on oikeus seurata lokitietoja, muuttaa merkintöjä ja poistaa niitä.

 

Järjestelmään tunnistaudutaan joko henkilökortilla tai käyttäjätunnuksella ja vahvalla salasanalla.

 

Salasana vahvuus sekä vaihtoväli ilmoitus tulee automaattisesti Diariumilta.

 

PERUSTELU:

 

Sähköisten potilasasiakirjojen käyttöä seurataan ja valvotaan lokitietojen avulla ennalta määritellyn suunnitelman mukaisesti. Sähköisten potilastietojen käyttöön ja luovutukseen liittyvät lokitiedot tulee säilyttää eheinä ja muuttumattomina vähintään 12 vuotta niiden syntymisestä.

 

Lisätietoja Tietosuojavaltuutetun toimiston ja Viestintäviraston verkkosivuilta (linkki)

 

Kantajärjestelmä käytössä heti alusta saakka.

 

 

 

 

 

 

  1. Kanta-palvelujen käytön tietoturvakäytännöt

 

Häiriötilanteissa odotetaan kunnes tilanne raukeaa ja kirjaukset suoritetaan sitten. Olemme senverran pieni toimija , ettei ongelmia ole ollut, vaikka Kannassa niitä onkin ollut.

 

Tähän kirjaus toimenpiteistä poikkeustilanteessa esim:

Potilasarkiston kirjauksissa siirrytään poikkeustilanteessa paperikirjaukseen siihen asti, kunnes tilalle saadaan uusi järjestelmäntoimittaja tai ongelma ratkeaa.

 

Kelan häiriöviestinnänohje (linkki)

 

 

 

 

 

 

 

 

  1. Tietojärjestelmät

 

 

Diariumilla on toteutettuna ostopalvelun valtuutuksen toiminnot

 

 

Muut asiakas- tai potilastietoja käsittelevät järjestelmät (luokka B)

-järjestelmä, versio, toimittaja, yhteystiedot

-järjestelmä, versio, toimittaja, yhteystiedot

 

Esimerkiksi vanha käytössä ollut potilastietojärjestelmä, jota ei sertifioida kanta-yhteensopivaksi, mutta jota käytetään kuitenkin potilastietojen säilyttämiseen tai hallinnointiin, luokitellaan luokan B järjestelmäksi.

 

Muut tietojärjestelmät, jotka on otettava huomioon arkaluonteisten asiakas- ja potilastietojen suojaamisen kannalta

-järjestelmä, versio, toimittaja, yhteystiedot

 

 

 

 

 

  1. Tietojärjestelmäkohtaiset ohjeet ja suunnitelmat

 

Diarium vastaa järjestelmän toimivuudesta, ylläpidosta sekä virhe ja ongelmatilanteiden hoidosta. Kanta järjestelmästä vastaa Kela.

8.1 Järjestelmä X (luokkaan A kuuluva)

 

-järjestelmä, versio, toimittaja, yhteystiedot

-käyttötarkoitus

-käyttäjäryhmät

-käyttöohjeet

-ohjeiden päivittäminen ja jakelu

-menettelyt virhe- ja ongelmatilanteissa

-järjestelmäkohtaiset tukipalvelut

-asennus- ja ylläpitovastuut ja -vaatimukset

-menettelytavat ja vastuut virhe- ja poikkeustilanteissa

-käyttövaltuushallinta järjestelmässä

-tunnistautuminen järjestelmässä

-lokit

-järjestelmän lukittuminen

-Kantaan liittyvän järjestelmän vaatimustenmukaisuustodistuksen tietojen varmistaminen

-järjestelmän tiedot Valviran rekisterissä