Tietoturvasuunnitelmaan on sisällytettävä selvitys siitä, kuinka tietojärjestelmiä käyttäville henkilöille varmistetaan järjestelmien käytön vaatima koulutus ja osaaminen. Tietojärjestelmiä käyttävillä henkilöillä on oltava koulutusta sekä asiakastietojen käsittelyyn että tietosuoja- ja tietoturva-asioihin. Organisaatiossa tarjolla olevan koulutuksen määrän ja sisällön on oltava riittävä ja tarkoituksenmukainen henkilön tai henkilöstöryhmän työ- ja tietojenkäsittelytehtävien kannalta. Koulutusta on tarjottava säännöllisesti sekä olemassa olevien taitojen ylläpitämiseksi että uusien tehtävien tai tilanteiden hoitamiseksi.
Omavalvonnan kohteella on oltava koulutussuunnitelma tai vastaava asiakirja, jossa kuvataan toimintamalli henkilöstön perehdyttämiseen, koulutukseen sekä osaamisen ylläpitoon, seurantaan ja ajantasaisuuden varmistamiseen asiakastietojen käsittelyssä sekä tietosuoja- ja tietoturva-aiheissa. Koulutussuunnitelmassa on kuvattava erilaisissa työtehtävissä ja rooleissa vaadittavan koulutuksen sisältö ja toteuttamistavat. Tietojärjestelmän käyttäjiltä vaadittava koulutus ja osaaminen voidaan todentaa joko todistuksilla tai merkinnöillä koulutuksiin osallistumisesta tai muulla organisaatiossa sovitulla tavalla.
Tietoturvasuunnitelmassa on kuvattava, kuinka omavalvonnan kohteen toiminnassa asiakastietoja käsitteleville työntekijöille selkeytetään ja informoidaan asiakastietojen käsittelyn perusteet kuten asiakastietojen kirjaamisen, käytön ja suojaamisen merkitys, tietojen käsittelijän vastuu sekä tietojen käsittelyyn liittyvän omavalvonnan ja viranomaisvalvonnan olemassaolo ja merkitys.
Tietojen luovutusperusteista säädetään laissa. Tietoja luovutettaessa tulee selvittää laillinen peruste, jonka nojalla asiakastieto voidaan luovuttaa vastaanottajalle ja lisäksi selvittää, että tiedonvastaanottaja saa asiakas- tai potilastiedon ainoastaan niiltä osin kuin hänellä on lain mukaan oikeus saada. Asiakastietoja luovuttavien henkilöiden ja järjestelmien on myös varmistettava, että tietojen luovutuksista syntyy luovutusilmoitus tai luovutusloki. Näihin seikkoihin liittyvä osaaminen tulisi olla osa koulutusta ja perehdytystä.
Organisaatiomme on määritellyt toimintatavat henkilöstön digiturvaosaamisen ylläpitämiseen. Näihin voi liittyä mm. seuraavia asioita:
Koulutus keskittyy kullekin työroolille oleellisimpiin digiturvateemoihin, mutta sisältää tarpeeksi usein myös kaikkia työntekijöitä koskevat "perusasiat":
Henkilöstöllä on oltava tietoturvaohjeet, joissa on käsiteltävä mm. seuraavia aiheita:
Kirjalliset ohjeet asiakas- ja potilastietojen käsittelystä tulee olla annettu ja niiden jakelukanavat selvitetty niitä käsitteleville työntekijöille.
Ohjeistuksissa käsitellään vähintään seuraavia teemoja:
Organisaation henkilöstölleen järjestämistä digiturvakoulutuksista pidetään lokia. Lokin avulla voidaan osoittaa, millaisia täsmäpanostuksia organisaatio on tehnyt henkilöstön digiturvaosaamisen eteen.
Jokaisesta koulutuksesta voidaan kirjata ylös esimerkiksi:
Henkilöstöllä on oltava koulutusta potilastietojen käsittelyyn.
Tietoturvallisuuden omavalvonnan kohteella on oltava koulutussuunnitelma tai vastaava dokumentti, jossa kuvataan toimintamalli henkilökunnan perehdyttämiseen, koulutukseen sekä osaamisen ylläpitoon, seurantaan ja ajantasaisuuden varmistamiseen asiakastietojen käsittelyssä sekä tietosuoja- ja tietoturva-aiheissa.
Koulutussuunnitelmassa on kuvattava erilaisissa työtehtävissä ja rooleissa vaadittavan koulutuksen sisältö ja toteuttamistavat.
Tietojärjestelmän käyttäjiltä vaadittava koulutus ja osaaminen voidaan todentaa todistuksilla, merkinnöillä koulutuksiin osallistumisesta tai muulla organisaatiossa sovitulla tavalla.
Lain mukaan tietojärjestelmien käyttäjillä on oltava niiden käytön vaatima kokemus. Organisaation on määriteltävä toimintatavat, joilla käyttäjien kokemusta testataan / seurataan.
Niille työntekijöille, joilla on vähäinen kokemus käytössä olevasta tietojärjestelmästä, tai uusien tietojärjestelmien tullessa käyttöön tulee järjestää riittävä perehdytys ja tarvittaessa ohjausta tietojärjestelmän käyttöön.
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
