Omavalvonnan kohteen on kiinnitettävä huomiota tietosuojan ja tietoturvan takaavaan fyysiseen käyttöympäristöön, joissa asiakastietoja käsitellään. Omavalvonnan kohteen tulee tarkastella toimitiloja ja niiden tilaratkaisu-, sisustus-, äänieristys- tai muita vastaavia toimenpiteitä, joilla voidaan vaikuttaa tietoturvallisuuteen. Lisäksi on huolehdittava palvelinten käyttöympäristön fyysisestä turvallisuudesta.
Tietoturvallisen käyttöympäristön varmistamiseksi tulee ottaa huomioon mm. näyttöjen, työasemien ja tulostimien sijoittelu sekä niiden suojaaminen sivullisilta. Kokonaisuuteen liittyy tekninen ja fyysinen kulunvalvonta ja mahdolliset fyysisen pääsyn rajoittamistoimenpiteet. Tietoturvasuunnitelmassa on yleisellä tasolla kuvattava, kuinka nämä seikat on otettu huomioon ja mistä on tarvittaessa saatavilla yksityiskohtaisempaa tietoa.
Tietoturvasuunnitelmassa on lisäksi kuvattava, miten omavalvonnan kohteen mahdollisesti käytössä olevien liikuteltavien asiakastietoja sisältävien laitteiden tietosuojasta ja tietoturvasta on huolehdittu ja miten se on todennettavissa.
Tietoturvasuunnitelmassa tulee myös kuvata, kuinka hallitaan ja suojataan ulkoisten tallennusvälineiden käyttöä sekä oman henkilökunnan että ulkopuolisten osalta.
Tietojärjestelmistä paperille tulostettavien sosiaalihuollon asiakastietojen ja potilastietojen asianmukaisesta säilyttämisestä ja hävittämisestä tulee olla kuvattuna menettelytavat, joilla estetään se, etteivät sivulliset saa haltuunsa omavalvonnan kohteelta asiakastietoja. Turvatulostuksen käyttäminen on suositeltavaa perinteisten tulostusratkaisujen sijaan.
Arkistotoimella tulee olla tehtäviinsä nähden asianmukainen ja riittävän tilava paloturvallinen fyysinen toimintaympäristö. Asiakastietoja sisältävien tulosteiden hävittämiskäytäntö tulee suunnitella, toteuttaa ja kouluttaa kaikille asiakastietojen tulosteita käsitteleville työntekijöille. Turvallisuusluokiteltujen ja salassa pidettävien paperitulosteiden hävittäminen tulee olla henkilökunnalle ohjeistettu ja käytännössä mahdollistettu riittävillä määrillä lukittavia säilytysastioita ja/tai käyttötarkoitukseen sopivia, riittävän turvaluokan ominaisuuksilla varustettuja niin kutsuttuja ristiin leikkaavia paperisilppureita.
Kannettavat tietokoneet on suojattu full-disk -salauksella.
Organisaation turva-alueille ei pääse huomaamatta, vaan tilat on suojattu asianmukaisella kulunvalvonnalla. Vain luvan saaneet henkilöt pääsevät turva-alueille.
Siirrettäviä tietovälineitä ovat mm. flash-muistit, SD-muistit, siirrettävät tallennusasemat, USB-tikut ja DVD-levyt.
Organisaatio on määritelly, minkä siirrettävien tietovälineiden käyttö on sallittua.
Sensitiivistä tietoa sisältävät paperit olisi tuhottava sovitusti, esimerkiksi käyttäen katkaisusilppuria tai polttamalla.
Esimerkiksi tietojenkäsittelyyn käytettävät, sekä muut tärkeät laitteistot, olisi asetettava tiloihin turvallisesti ja harkitusti. Sijoittelun avulla tulee rajoittaa luvatonta pääsyä laitteille.
Tiedon esiintymismuodosta riippumatta henkilötietoja tai muuta salassa pidettävää tietoa käsitellään niin, ettei tieto näy asiattomille.
Henkilötiedoista tai muista salassa pidettävistä tiedoista käytävä keskustelu ei saa välittyä viereisiin tiloihin tiloihin niille, joilla ei ole tietoon oikeutta.
Organisaatio on määritellyt luottamuksellisen tiedon käsittelyalueet sekä toimintasäännöt, joita noudatetaan kaikessa luottamuksellisen tiedon käsittelyalueilla tapahtuvassa toiminnassa.
Toimintasäännöissä tulisi harkita seuraavien seikkojen huomiointia:
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
