Tietoturvasuunnitelmassa on kuvattava, miten tietojärjestelmän asianmukainen ja tietoturvallinen käyttö varmistetaan tietoturvallisuuden omavalvonnan kohteen käyttöympäristössä tietojärjestelmäpalvelun tuottajan (tai tietojärjestelmän valmistajan) antaman ohjeistuksen mukaisesti.
Tietoturvasuunnitelmassa on selvitettävä, miten on varmistettu, että tietojärjestelmän käyttäjällä on saatavilla tarpeelliset käyttöohjeet vähintään sillä kielellä, jonka osaaminen on vähimmäisvaatimus kyseisessä työtehtävässä toimimiselle. Ohjeita tarvitaan sekä organisaatio- että tietojärjestelmälähtöisesti: sosiaali- tai terveydenhuollon henkilöstölle tarkoitetut organisaation ohjeet omavalvonnan kohteen omassa toiminnassa sekä tietojärjestelmien varsinaiset käyttöohjeet. Ajantasaisten käyttöohjeiden saatavuudesta ja niiden sijainnista tulee jakaa tietoa käyttäjille.
Sosiaalihuollon asiakastietojen ja potilastietojen käsittelystä tulee olla annettu kirjalliset ohjeet kaikille asiakastietoja käsitteleville työntekijöille. Käyttöohjeiden ja muiden tarvittavien ohjeiden on oltava ymmärrettäviä ja vastattava organisaatiossa käytössä olevan tietojärjestelmän versiota. Ohjeistuksissa tulee ottaa huomioon erilaiset työtehtävät ja roolit ja pyrkiä yksiselitteisyyteen.
Tietoturvasuunnitelmassa tulee selvittää, mistä löytyvät tietojärjestelmäpalvelun tuottajan antamat ohjeistukset ja tiedot koulutuksista käyttäjäorganisaation eri jakelukanavissa. Suunnitelmassa on kuvattava myös omavalvonnan kohteen omat menettelytavat, joilla seurataan tietojärjestelmäpalvelun tuottajan antamien ohjeistusten mukaista käyttöä tai täydennetään ohjeistuksia. Lisäksi tietoturvasuunnitelmassa on oltava kuvattuna toimintamalli, miten käyttöohjeiden päivittäminen ja jakelu käytännössä toteutetaan tietojärjestelmien ja ohjelmistojen versiopäivitysten sekä muiden muutosten yhteydessä.
Omavalvontasuunnitelmassa on selvitettävä, miten on varmistettu, että tietojärjestelmän käyttäjällä on saatavilla tarpeelliset käyttöohjeet vähintään sillä kielellä, jonka osaaminen on vähimmäisvaatimus työtehtävässä toimimiselle.
Lisäksi omavalvontasuunnitelmassa kuvataan, millaisia tukipalveluja on saatavissa järjestelmien käytön tueksi ja kuinka käyttäjät saavuttavat nämä tukipalvelut.
Kirjalliset ohjeet asiakas- ja potilastietojen käsittelystä tulee olla annettu ja niiden jakelukanavat selvitetty niitä käsitteleville työntekijöille.
Ohjeistuksissa käsitellään vähintään seuraavia teemoja:
Tietoturvaohjeistusta tarkennetaan työntekijän työtehtävään liittyen. Organisaatio on määritellyt yksiköt ja roolit, jotka vaativat erillistä ohjeistusta, ja muodostaa näille omia tarkennettuja tietoturvaohjeitaan.
Esimerkkejä omaa ohjeistusta vaativista yksiköistä ovat mm. asiakaspalvelu, IT ja HR. Esimerkkejä omaa ohjeistusta vaativista työrooleista puolestaan järjestelmän pääkäyttäjä sekä etätyön tekijä.
Omavalvontasuunnitelmassa on kuvattava, miten organisaatio varmistaa, että tietojärjestelmiä käytetään valmistajan antaman ohjeistuksen mukaisesti.
On oltava kuvattuna toimintamalli, miten tietojärjestelmien käyttöohjeiden päivittäminen ja jakelu toteutetaan ohjelmistojen versiopäivitysten sekä muiden muutosten yhteydessä.
Mikäli henkilöstöllä on ristiriitaisia tavoitteita tietoturvaohjeiden kanssa, he eivät todennäköisesti noudata ohjeita.
Organisaatio pyrkii aktiivisesti löytämään huonosti toimivat ohjeet ja muokkaamaan joko ohjetta, työkaluja tai henkilöstön prioriteetteja, jotta ohjeita noudatetaan.
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
