Kirjalliset ohjeet asiakas- ja potilastietojen käsittelystä tulee olla annettu ja niiden jakelukanavat selvitetty niitä käsitteleville työntekijöille.
Ohjeistuksissa käsitellään vähintään seuraavia teemoja:
Palvelujen antajan on huolehdittava siitä, että henkilöstö hallitsee Kanta-palvelujen käyttöön liittyvät toimintamallit ja periaatteet sekä tietää väärinkäytösten seuraamukset.
Organisaation on suunniteltava, kuinka Kanta-palveluiden käyttö on otettu huomioon henkilöstön ohjeistuksissa sekä koulutuksissa.
Henkilöstöllä on oltava koulutusta potilastietojen käsittelyyn.
Omavalvontasuunnitelmaan on sisällytettävä selvitys siitä, kuinka tietojärjestelmiä käyttäville henkilöille varmistetaan järjestelmien käytön vaatima koulutus ja kokemus.
Tietoturvallisuuden omavalvonnan kohteella on oltava koulutussuunnitelma tai vastaava dokumentti, jossa kuvataan toimintamalli henkilökunnan perehdyttämiseen, koulutukseen sekä osaamisen ylläpitoon, seurantaan ja ajantasaisuuden varmistamiseen asiakastietojen käsittelyssä sekä tietosuoja- ja tietoturva-aiheissa.
Koulutussuunnitelmassa on kuvattava erilaisissa työtehtävissä ja rooleissa vaadittavan koulutuksen sisältö ja toteuttamistavat.
Tietojärjestelmän käyttäjiltä vaadittava koulutus ja osaaminen voidaan todentaa todistuksilla, merkinnöillä koulutuksiin osallistumisesta tai muulla organisaatiossa sovitulla tavalla.
Yleisissä häiriötilanteiden toimintaohjeissa on otettava huomioon Kanta-palvelut. Esimerkiksi vastuutahot häiriötilanteiden ilmoittamisesta myös Kanta-palveluiden tekniseen tukeen on oltava todennettavissa. Palvelujen antajan on lisäksi ilmoitettava Kelalle sen antamien ohjeiden mukaisesti muutoksista sen käyttämissä tietojärjestelmäversiossa.
Lain mukaan tietojärjestelmien käyttäjillä on oltava niiden käytön vaatima kokemus. Organisaation on määriteltävä toimintatavat, joilla käyttäjien kokemusta testataan / seurataan.
Niille työntekijöille, joilla on vähäinen kokemus käytössä olevasta tietojärjestelmästä, tai uusien tietojärjestelmien tullessa käyttöön tulee järjestää riittävä perehdytys ja tarvittaessa ohjausta tietojärjestelmän käyttöön.