Omavalvonnan kohteen tulee varmistaa, että tietoturvasuunnitelma toteutuu kaikissa sen palveluyksiköissä ja muiden sen lukuun palveluiden tuottamiseen tai toteuttamiseen osallistuvien tahojen toiminnassa.
Kaikkien sosiaalihuollon asiakastietojen ja potilastietojen käsittelyn osapuolien vastuut tulee olla selkeästi määritelty. Osa kuvatuista tai vaadituista asioista voi olla jonkun muun kuin omavalvonnan kohteen itsensä vastuulla erilaisten järjestelyjen (esimerkiksi palveluhankinta, yhtymä, sovellusvuokraus) kautta.
Jos tietoturvasuunnitelmaan kuuluvia vastuita on jonkun muun kuin omavalvonnan kohteen itsensä vastuulla, vastuut on määriteltävä osapuolten välisissä toimeksianto- tai muissa sopimuksissa. Selkeät tietoturvan ja asiakastietojen käsittelyn vastuut tulee ulottaa koskemaan myös alihankkijoita ja muita mahdollisia sopimuskumppaneita. Sopimuksista tulee myös ilmetä, mihin toimiin osapuolet ryhtyvät, jos tietoturvassa ilmenee puutteita, ongelmia tai toteutuneita riskejä.
Palvelunantajalla on oltava sopimus muiden sen asiakas- tai potilastietojärjestelmiä käyttävien palvelunantajien ja mahdollisten ulkopuolisten ammatinharjoittajien keskinäisten vastuiden osalta asiakastietojen käsittelystä ja tietoturvallisuuden varmistamisesta.
Tietoturvallisuuden omavalvonnan kohde vastaa tietoturvasuunnitelmasta myös tilanteissa, joissa se hankkii käyttöympäristön tai tietotekniikkapalveluita esimerkiksi ostopalveluina muilta palveluiden antajilta tai tietojärjestelmäpalvelujen tuottajilta.
Keskinäisillä sopimuksilla ei kuitenkaan voida määritellä tai sopia vastuista asiakastietolaissa määritellystä poikkeavasti.
Tietoturvasuunnitelman varsinaisen sisällön tai siinä viitatuissa dokumenteissa esitetyn sisällön pohjalta on tarvittaessa pystyttävä todentamaan omavalvontaan liittyvät asiat: Tietoturvasuunnitelma on laadittu, se sisältää suunnitelmalta edellytettävät asiat tämän määräyksen mukaisesti, miten suunnitelmaa säännöllisesti päivitetään ja miten sen toteutumista seurataan. Palvelunantajan on pystyttävä osoittamaan tietoturvasuunnitelman olemassaolo, asianmukaisuus ja toteuttaminen esimerkiksi valvontaviranomaisille myös niissä tilanteissa, joissa palvelunantaja ei itse tuota palveluita. Myös tällöin on kuvattava ja pystyttävä tarvittaessa todentamaan, kenen vastuulle asian kuvaaminen tai toteuttaminen kuuluu ja miten on varmistuttu siitä, että asia on kuvattu tai toteutettu vaaditulla tavalla.
Organisaation on luotava ja ylläpidettävä tietoturvasuunnitelmaa.
Asiakastietolain 27 §:n mukaisesti palvelunantajan on laadittava tietoturvaan ja tietosuojaan sekä tietojärjestelmien käyttöön liittyvä tietoturvasuunnitelma.
Tämän määräyksen(MÄÄRÄYS 3/2024) mukaista tietoturvasuunnitelmaa ei tule sisällyttää tai yhdistää julkaistaviin tai julkisesti saatavilla oleviin omavalvontasuunnitelmiin. Tietoturvasuunnitelmaa ja siinä viitattuja liitedokumentteja tulee käsitellä ja säilyttää ottaen huomioon tarvittava suojaaminen sivullisilta ja tarvittaessa niihin tulee merkitä salassa pidettävä -tieto
Organisaation on käytettävä, ylläpidettävä ja jatkuvasti kehitettävä tietoturvallisuuden hallintajärjestelmää.
Hallintajärjestelmään liittyvät rajaukset ja soveltamisala, sisällöt, roolitus, kertyvä toteutustieto sekä muu tarpeellinen kuvaustieto on oltava selkeästi dokumentoitu.
Organisaation johto asettaa tietoturvatavoitteet. Tietoturvatavoitteet täyttävät seuraavat vaatimukset:
Tietoturvatavoitteiden dokumentoinnin yhteydessä määritellään lisäksi tarvittavat ylätason toimenpiteet, resurssit, vastuuhenkilöt, aikataulu sekä tavat tulosten arviointiin, jotta tavoitteet saavutetaan.
Organisaation on ylläpidettävä listaa kumppaneista, joilla on pääsy luottaumuksellisiin tietoihin. Järjestelmätoimittajat sekä henkilötietojen käsittelijät listataan erillään muista sidosryhmistä, koska heillä on aktiivinen rooli tietojen käsittelyssä.
Kaikkien tietojen käsittelyyn suorasti tai välillisesti osallistuvien kumppanien kanssa laaditaan toimittajasopimus. Tavoitteena on varmistaa, että organisaation ja toimittajan välillä ei ole väärinymmärryksiä osapuolten velvoitteista tietoturvavaatimusten täyttämisessä.
Organisaatio sisällyttää toimittajasopimukseen tarvittaessa seuraavat asiat:
Tietoturvan hallintajärjestelmän tulisi valvoa sinne kirjattujen tehtävien ja ohjeistusten toteuttamista.
Tehtävän omistajan tulisi tarkastalle tietoturvan hallintajärjestelmän toteutustilannetta kokonaisuutena säännöllisesti.
Ylimmän johdon on varmistettava selkeät vastuualueet/valtuudet ainakin seuraavissa asioissa:
ISMS-teemojen omistajat esitellään johtamisjärjestelmän työpöydällä ja tietoturvapoliitiikan raportissa.
Lisäksi ylimmän johdon on varmistettava, että kaikki tietoturvan kannalta merkitykselliset roolit sekä niihin liittyvät vastuut ja valtuudet määritellään ja niistä tiedotetaan. On myös tärkeää tunnistaa ulkoisten kumppaneiden ja palveluntarjoajien roolit ja vastuut.
Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.
.png)
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
