Tietojärjestelmien käyttäjiltä vaadittava koulutus ja kokemus

Organisaatiomme on määritellyt toimintatavat henkilöstön digiturvaosaamisen ylläpitämiseen. Näihin voi liittyä mm. seuraavia asioita:

• henkilöstölle on olemassa ohjeet, joilla kuvataan työrooliin liittyvät digiturvan yleiset säännöt
• henkilöstöä koulutetaan, jotta he pystyvät toimimaan turvallisesti, tietävät ohjeet ja kykenevät noudattamaan niitä
• henkilöstö osoittaa testien tai muun vastaavan avulla omaavansa turvallisen toiminnan vaatimat digiturvataidot ja -tiedot

Koulutus keskittyy kullekin työroolille oleellisimpiin digiturvateemoihin, mutta sisältää tarpeeksi usein myös kaikkia työntekijöitä koskevat "perusasiat":

• työntekijän henkilökohtainen vastuu (mm. päätelaitteista ja käsittelemästään tiedosta)
• kaikkia koskevat käytännöt (mm. tietoturvahäiriöiden raportointi)
• kaikkia koskevat säännöt (mm. puhdas työpöytä)
• organisaation tietoturvaroolit (keneen yhteyttä ongelmatilanteissa)

Henkilöstöllä on oltava tietoturvaohjeet, joissa on käsiteltävä mm. seuraavia aiheita:

• mobiilaitteiden käyttö ja päivitykset
• tiedon tallentaminen ja varmuuskopiointi
• tietosuoja
• sähköpostin käyttö
• tulosteiden, papereiden ja tiedostojen käsittely
• häiriöistä ilmoittaminen
• huijausten estäminen

Kirjalliset ohjeet asiakas- ja potilastietojen käsittelystä tulee olla annettu ja niiden jakelukanavat selvitetty niitä käsitteleville työntekijöille.

Ohjeistuksissa käsitellään vähintään seuraavia teemoja:

• Asiakas- ja potilastietojärjestelmien turvallinen käyttö
• Asiakas- ja potilastietojen turvallinen käsittely
• Salassapito
• Tietojen oikeaoppinen luovuttaminen
• Käsittelyyn liittyvä lainsäädäntö

Tietoturvaohjeistusta tarkennetaan työntekijän työtehtävään liittyen. Organisaatio on määritellyt yksiköt ja roolit, jotka vaativat erillistä ohjeistusta, ja muodostaa näille omia tarkennettuja tietoturvaohjeitaan.

Esimerkkejä omaa ohjeistusta vaativista yksiköistä ovat mm. asiakaspalvelu, IT ja HR. Esimerkkejä omaa ohjeistusta vaativista työrooleista puolestaan järjestelmän pääkäyttäjä sekä etätyön tekijä.

Organisaation henkilöstölleen järjestämistä digiturvakoulutuksista pidetään lokia. Lokin avulla voidaan osoittaa, millaisia täsmäpanostuksia organisaatio on tehnyt henkilöstön digiturvaosaamisen eteen.

Jokaisesta koulutuksesta voidaan kirjata ylös esimerkiksi:

• ajankohta
• koulutuksen aihepiirit ja kesto
• koulutuksen toteutustapa ja kouluttaja
• koulutukseen osallistuneet henkilöt

Henkilöstöllä on oltava koulutusta potilastietojen käsittelyyn.

Lain mukaan tietojärjestelmien käyttäjillä on oltava niiden käytön vaatima kokemus. Organisaation on määriteltävä toimintatavat, joilla käyttäjien kokemusta testataan / seurataan.

Niille työntekijöille, joilla on vähäinen kokemus käytössä olevasta tietojärjestelmästä, tai uusien tietojärjestelmien tullessa käyttöön tulee järjestää riittävä perehdytys ja tarvittaessa ohjausta tietojärjestelmän käyttöön.