Tietoturvasuunnitelmaan tulee kuvata omavalvonnan kohteen yleiset tietoturvakäytännöt ja/tai voimassa olevat tietoturvapolitiikat. Lisäksi suunnitelmasta tulee löytyä tieto henkilötietojen käsittelytoimien selosteista, asiakastietojen käsittelyyn liittyvistä sopimuksista, keskeisistä tietoturvallisuusohjeista sekä tietosuojavastaavista. Tietoturvasuunnitelmasta on myös käytävä ilmi, kuinka dokumentaatiota kehitetään ja säännöllisesti tarkistetaan, miten tietoturvallisuustyössä on vastuita jaettu ja organisoitu toiminnan tavoitteiden saavuttamiseksi sekä riskien hallitsemiseksi.
Sähköisestä lääkemääräyksestä annetun lain 24 §:n 5 momentin mukaan palvelunantajan ja apteekin seuranta- ja valvontatehtävää varten nimettävästä tietosuojavastaavasta säädetään tietosuoja-asetuksen 37 artiklassa. Asiakastietolain 28 §:n 4 momentin mukaan tietosuojavastaavan nimittämisestä sekä tietosuojavastaavan asemasta ja tehtävistä säädetään tietosuoja-asetuksen 37–39 artiklassa. Tietoturvallisuuden omavalvonnan kohteella on siten oltava nimetty tietosuojavastaava (tai useita) sen mukaisesti kuin edellä mainituissa laeissa säädetään. Tietosuojavastaavalla tulisi olla selkeä ja dokumentoitu tehtäväkuva, jossa otetaan huomioon asiakas- ja potilastietojen käsittelyyn liittyvät velvoitteet. Tietosuojavastaavalla tulisi olla tehtävään soveltuva osaaminen ja riittävät resurssit hoitaa tehtävää omavalvonnan kohteessa ottaen muun muassa huomioon rekisterinpitoon ja henkilötietojen käsittelyyn liittyvät vastuut ja velvoitteet, organisaation koko ja toiminnan laajuus.
Tietoturvasuunnitelman tavoitteena on varmistaa, että tietoja käyttävät ja tuottavat asiakastietojen käsittelijät ymmärtävät asiakastietojen käsittelyyn liittyvät vastuut ja osaavat toimia siten, että asiakastietojen eheys, luottamuksellisuus, saatavuus, kiistämättömyys ja autenttisuus toteutuvat. Suunnitelma sisältää sekä henkilöstöön että tietohallintoon liittyviä sisältöjä, ja esimerkiksi henkilöstölle tarkoitetut sisällöt on mahdollista erottaa tietohallinnon asiantuntijoille tai kehitys- ja hankintatoiminnassa huomioon otettavista sisällöistä.
Organisaatiomme on määritellyt toimintatavat henkilöstön digiturvaosaamisen ylläpitämiseen. Näihin voi liittyä mm. seuraavia asioita:
Koulutus keskittyy kullekin työroolille oleellisimpiin digiturvateemoihin, mutta sisältää tarpeeksi usein myös kaikkia työntekijöitä koskevat "perusasiat":
Seloste käsittelytoimista on kirjallinen kuvaus organisaation tekemästä henkilötietojen käsittelystä.
Selosteen laatiminen on pakollista, mikäli joku seuraavista toteutuu:
Seloste on pidettävä ajan tasalla. Se toimii myös ensimmäisen tason tapana arvioda käsittelyn lainmukaisuutta, joten se on pyydettäessä toimitettava valvontaviranomaiselle.
Digiturvamallissa "Seloste käsittelytoimista" on oma raporttinsa, joka muodostuu automaattisesti dokumentaatio-osioihin kerättyjen tietojen perusteella.
Organisaatiomme on määritellyt, tuleeko tietosuojavastaava nimittää, ja tarvittaessa tehnyt nimityksen.
Tietosuojavastaava on nimitettävä, jos:
Nimittämisen lisäksi oleellista on säännöllisesti arvioida, toimiiko tietosuojavastaava tietosuoja-asetuksen määräämässä asemassa ja toteuttaen asetuksen määräämiä tehtäviä.
Henkilötietojen käsittelystä on toimitettava rekisteröidylle tietosuoja-asetuksen määrittelemät tiedot tiiviissä, ymmärrettävässä ja helposti saatavilla olevassa muodossa. Usein tämä toteutetaan joko rekisterikohtaisina tai muuten koottuina tietosuojaselosteina, jotka julkaistaan esimerkiksi organisaation verkkosivulla.
Tietosuojan vastuuhenkilö varmistaa, että selosteissa on viestitty tietosuoja-asetuksen (artikla 13) vaatimat asiat. Kun henkilötietoja eri ole kerätty rekisteröidyltä itseltään, selosteissa on kerrottava perussisällön lisäksi:
Etätyötä tekevälle henkilöstölle on luotu omat toimintaohjeet, joiden noudattamista seurataan. Lisäksi henkilöstölle järjestetään säännöllisesti koulutusta, jossa selvitetään mobiililaitteiden käytöstä ja etätyöstä aiheutuvia uhkia tietoturvallisuudelle ja kerrataan toimintaohjeita.
Organisaatiolla on ylimmän johdon laatima ja hyväksymä tietoturvapolitiikka. Politiikka sisältää ainakin seuraavat asiat:
Lisäksi tehtävän omistaja varmistaa, että:
Organisaation on käytettävä, ylläpidettävä ja jatkuvasti kehitettävä tietoturvallisuuden hallintajärjestelmää.
Hallintajärjestelmään liittyvät rajaukset ja soveltamisala, sisällöt, roolitus, kertyvä toteutustieto sekä muu tarpeellinen kuvaustieto on oltava selkeästi dokumentoitu.
Henkikötietojen käsittelijät (esim. tietojärjestelmien toimittajat, muut henkilötietojen käsittelijät) sekä henkilötietojen käsittelyyn liittyvät sopimukset on kartoitettu. Dokumentaatio sisältää mm.:
Ylimmän johdon on varmistettava selkeät vastuualueet/valtuudet ainakin seuraavissa asioissa:
ISMS-teemojen omistajat esitellään johtamisjärjestelmän työpöydällä ja tietoturvapoliitiikan raportissa.
Lisäksi ylimmän johdon on varmistettava, että kaikki tietoturvan kannalta merkitykselliset roolit sekä niihin liittyvät vastuut ja valtuudet määritellään ja niistä tiedotetaan. On myös tärkeää tunnistaa ulkoisten kumppaneiden ja palveluntarjoajien roolit ja vastuut.
Teemakohtaiset politiikkadokumentit voivat auttaa eri osa-alueisiin liittyvien tehtävien, ohjeistusten sekä muun dokumentaation viestintää ja katselmointia sekä mahdollisten ylätason periaatteiden liittämistä näihin tarkempaa toteutusta kuvaaviin hallintajärjestelmän sisältöihin.
Organisaation on määriteltävä, mitä teemakohtaisia politiikkadokumentteja ylläpidetään sekä tarvittaessa katselmoidaan kokonaisuuksina halutuin väliajoin. Esimerkkejä teemoista, joille omaa politiikkadokumenttia voidaan haluta ylläpidää, ovat mm.:
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
