Tulostusversio

4/2014

Omavalvontasuunnitelma on tietosuojan työkalu

Teksti: Kirsi Castrén

Terveyden- ja sosiaalihuollon yksiköiden pitää ensi vuodesta alkaen laatia omavalvontasuunnitelma tietosuojan ja tietoturvan toteuttamisesta. Omavalvontasuunnitelma jatkaa siitä, mihin auditointi päättyy.

Lakiin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä tehtiin keväällä muutos, jonka mukaan yksiköiden pitää laatia omavalvontasuunnitelma tietoturvan ja tietosuojan toteuttamisesta. Lain toimeenpanoa ohjaa Terveyden ja hyvinvoinnin laitos (THL).

Lakiuudistuksen taustalla on ollut huoli tietosuojan tason säilymisestä, kertoo THL:n lakimies Tanja Stormbom.

”Kun yksiköt liittyvät Kansalliseen Terveysarkistoon (Kanta), käydään tietosuojaan ja -turvaan liittyvät kysymykset läpi, mutta joskus saattaa käydä niin, ettei niiden ylläpitoon saada riittävää jatkuvuutta.”

Suunnitelma on tarkoitettu jatkuvasti päivitettäväksi asiakirjaksi.

”Kun jokin tietosuojaan liittyvä asia palvelunantajan toiminnassa muuttuu, se täytyy muuttaa myös omavalvontasuunnitelmassa, jotta mahdollisessa viranomaistarkastuksessa palvelunantajalla on näyttää ajantasainen asiakirja”, Stormbom sanoo.

Auditointi pohjana

Terveydenhuollon yksiköissä omavalvontasuunnitelmia valmistellaan kiireen vilkkaa. Tämän vuoden aikana Kantaan liittyvien yksiköiden tulee laatia suunnitelma 1.1.2015 mennessä ja muiden yksiköiden liittymisen yhteydessä. Sosiaalihuollon yksiköiden määräaika on 1. huhtikuuta 2015.

Määräajat saattavat vaikuttaa tiukoilta etenkin, kun THL lähetti omavalvontasuunnitelman sisällön ja kommentointipyynnön terveydenhuollon yksiköille vasta lokakuussa.

Stormbomin mukaan omavalvontasuunnitelman perusta on paljolti sama kuin aikaisemmissa tietohallinnon ja tietojärjestelmien auditointivaatimuksissa. Suunnitelmaa voi valmistella niiden pohjalta varsin pitkälle.

”Siten ei suunnitelmalle tarvitse THL:n määräyksen tultua enää välttämättä tehdä muuta kuin viimeinen tarkistus ja varmistaa, että kaikki kohdat on varmasti huomioitu”, hän kannustaa.

Osaksi toimintaa

THL:n kehittämispäällikkö Riitta Konttisen mukaan omavalvontasuunnitelman mallipohjasta saatu palaute on ollut pääosin myönteistä.

”Suunnitelman on koettu kokoavan asiat, jotka asiakas- ja potilastietojärjestelmän käytössä sekä arkaluontoisten tietojen käsittelyssä tulee huomioida, jotta käyttö olisi tietoturvallista”, hän sanoo.

Tietosuojan käytännöissä on auditoinneista huolimatta yhä eroja terveydenhuollon yksiköiden välillä.

”Esimerkiksi lokivalvonnan määrä ja systemaattisuus vaihtelevat paljon”, Konttinen kertoo.

Yhtenä tietohallinnossa usein liian vähälle huomiolle jäävänä asiana Konttinen nostaa esiin tietosuojavastaavan aseman.

”Tietosuojavastaava saattaa olla nimettynä, mutta hänen roolinsa ei ole tiedossa, tai hänellä ei ole oman työnsä ohella riittävästi aikaa tehtävänsä hoitamiseen.”

Lokivalvonta ja tietosuojavastaava löytyvät auditointivaatimuksistakin, mutta omavalvontasuunnitelmassa ne joudutaan dokumentoimaan, ja niiden toteutumista myös seurataan.

”Toivoisin, että omavalvontasuunnitelma jalkautettaisiin osaksi yksikön toimintasuunnitelmaa, jotta se ei jää paperinmakuisena asiakirjana mappeihin”, Konttinen sanoo.

Malliksi muille aloille

”Omavalvontasuunnitelma on oma-aloitteista, aktiivista ja suunnitelmallista toimintaa, johon liittyy seuranta”, sanoo ylitarkastaja Arto Ylipartanen tietosuojavaltuutetun toimistosta.

"Sen laatiminen edellyttää nähdäkseni syvällisempää paneutumista kuin auditointi-ilmoitus."

Suunnitelma ohjaa yksiköitä paitsi suunnittelemaan, myös dokumentoimaan, todentamaan ja seuraamaan toimintaansa. Ylipartasen mukaan tätä kautta tuottavuus ja tehokkuus lisääntyvät.

”Potilasturvallisuus, henkilökunnan osaaminen ja oikeusturva paranevat, ja asiakkaan ja potilaan tietosuoja turvataan.”

”Samalla organisaatio edistää imagoaan luotettavana palvelujen antajana.”

Tietosuojavaltuutetun toimisto on lanseerannut jo aiemmin ajatuksen tietotilinpäätöksestä, vuosittain tehtävästä selvityksestä, jossa kerrotaan, mikä on tietosuojan ja -turvan tila organisaatiossa. Tietotilinpäätöstä varten löytyy opas toimiston verkkosivuilta.

”Omavalvontasuunnitelma on linjassa tietotilinpäätösajattelun kanssa ja myös EU:ssa valmisteilla olevan tietosuoja-asetuksen kanssa, jossa puhutaan tilintekokykyisyydestä”, Ylipartanen sanoo.

”Uskon omavalvontasuunnitelman tulevan ensin käyttöön sosiaali- ja terveydenhuollossa ja sitä kautta laajemmallekin.”

Lue myös

Omavalvontasuunnitelma: Sisäiset ohjeet tarkasteluun »
Omavalvontasuunnitelma paketoi vastuut ja velvoitteet »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.