oper turku omavalvontasuunnitelmaluonnos lea_190315
TRANSCRIPT
Sosiaalihuollon ja terveydenhuollon palvelujen antajan, on laadittava tietoturvaan ja tietosuojaan sekä
tietojärjestelmien käyttöön liittyvä omavalvontasuunnitelma. Siinä on
selvitettävä, miten järjestelmien käyttöön liittyvät asiat varmistetaan.
Sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annettu laki (159/2007)
19 h §
OMAVALVONTASUUNNITELMA
Sisällys1. Johdanto.......................................................................................................................................................2
2. Omavalvontasuunnitelman kattavuus..........................................................................................................3
3. Tietojärjestelmien käyttäjiltä vaadittava koulutus ja kokemus.....................................................................4
3.1Toimintamallien koulutus........................................................................................................................4
3.2 Tietojärjestelmien käyttökoulutus..........................................................................................................4
3.3 Tietojärjestelmien vaatima kokemus......................................................................................................5
4. Tietojärjestelmien asianmukaisen käytön kannalta tarpeelliset käyttöohjeet.............................................5
4.1 Tietoturvapolitiikka.................................................................................................................................5
4.2 Ohje potilastietojen käsittelyyn..............................................................................................................6
4.3 Tietosuojaan ja valvontaan liittyvät ohjeistukset....................................................................................6
5. Tietojärjestelmien käyttö valmistajan antaman ohjeistuksen mukaisesti....................................................7
5.1 Järjestelmien käyttöohjeet.....................................................................................................................7
5.2 Valmistajan ohjeistukset.........................................................................................................................7
6. Tietojärjestelmien asennus, ylläpito ja päivitys............................................................................................8
6.1 Tietojärjestelmien ylläpitotehtävien vaatima ammattitaito ja asiantuntemus.......................................8
6.2 Tietojärjestelmien asentaminen.............................................................................................................8
6.3 Tietojärjestelmien päivittäminen............................................................................................................8
6.4 Tietojärjestelmien ylläpito......................................................................................................................9
6.5 Muutoshallinta.......................................................................................................................................9
6.6 Virhe- ja poikkeustilanneohjeistus..........................................................................................................9
7. Tietojärjestelmien käyttöympäristö............................................................................................................10
7.1 Käyttöympäristö...................................................................................................................................10
7.2 Tunnistautuminen ja käyttöoikeuksien hallinta....................................................................................11
7.3 Järjestelmän lukittuminen....................................................................................................................11
7.4 Lokiseurannat.......................................................................................................................................11
7.5 Liikuteltavien laitteiden tietoturva ja tietosuoja...................................................................................12
7.6 Palvelinten suojaaminen.......................................................................................................................12
7.7 Työasemien suojaaminen sivullisilta.....................................................................................................13
8. Tietojärjestelmiin liitetyt muut tietojärjestelmät tai muut järjestelmät.....................................................13
8.1 Organisaation A- luokan tietojärjestelmät............................................................................................13
8.2 Muut kytketyt järjestelmät...................................................................................................................14
8.3 Tietoliikenneoperaattorit......................................................................................................................14
1
8.4 Langattomat verkot ja niiden tietoturva...............................................................................................14
8.5 Etäyhteydet ja niiden tietoturva...........................................................................................................14
8.6 Ulkoiset tallennuslaitteet......................................................................................................................15
8.7 Viruksilta ja haittaohjelmilta suojautuminen........................................................................................15
9. Valtakunnallisiin tietojärjestelmäpalveluihin liittyminen............................................................................15
10. Omavalvontasuunnitelman toteutumisen seuranta.................................................................................15
Liitteet............................................................................................................................................................16
2
1. Johdanto
Sosiaalihuollon ja terveydenhuollon palvelujen antajan on laadittava tietoturvaan ja tietosuojaan
sekä tietojärjestelmien käyttöön liittyvä omavalvontasuunnitelma. Siinä on selvitettävä, miten tässä
dokumentissa luvuissa 2 - 8 luetellut järjestelmien käyttöön liittyvät asiat varmistetaan. Jos
palvelujen antaja on liittynyt Kanta-palvelujen käyttäjäksi, on omavalvontasuunnitelmassa
selvitettävä myös, miten näiden valtakunnallisten palvelujen tietoturvallisen käytön edellyttämät
vaatimukset on varmistettu. Palvelujen antajan on seurattava omavalvontasuunnitelman
toteutumista. Palveluiden antajan tulee varmistaa, että omavalvontasuunnitelma toteutuu kaikissa
sen palveluyksiköissä ja muiden palveluiden tuottamiseen osallistuvien tahojen toiminnassa.
Terveydenhuollon organisaatiot, jotka ovat jo liittyneet Kanta-palveluihin, ovat tehneet ennen
liittymistä tietoturvan itseauditoinnin. Omavalvontasuunnitelma on jatkoa itseauditoinnille.
Organisaatiot, jotka eivät ole liittyneet Kanta:n, laativat omavalvontasuunnitelman ennen
organisaation liittymistä Kanta-palveluihin. Suunnitelman avulla ylläpidetään ja kehitetään
organisaation tietoturvan ja tietosuojan tasoa. Kyse ei ole pelkästään kansallisten palveluiden
käyttöönottovaiheessa tehtävistä toimenpiteistä vaan jatkuvasta riittävän tietoturvan ja
asianmukaisten käytäntöjen varmistamisesta. Omavalvontasuunnitelman avulla varmistetaan, että
kaikki asiakas- ja potilastietojen käsittelyyn osallistuvat palvelun antajat ja muut tahot huolehtivat
jatkuvasta riittävästä henkilöstön osaamisesta ja koulutuksesta ja käytön seurannasta sekä
tietojärjestelmien vaatimustenmukaisuudesta. Omavalvontasuunnitelman tarkoituksena on
varmistaa, että palvelujen antajan henkilökunta hallitsee käytössään olevien tietojärjestelmien
käytön ja ottaa huomioon asiakas- ja potilastietojen salassapitoon ja tietoturvaan liittyvät
vaatimukset ja ymmärtää väärinkäyttöön liittyvät seuraamukset.
Omavalvontasuunnitelmassa voidaan viitata palvelujen antajan aiemmin laatimiin ohjeisiin ja
vastaaviin dokumentteihin. Kunkin asian yhteyteen riittää tällöin kirjaus, mistä dokumentti on
löydettävissä ja miten sen mukainen toiminta on todennettavissa.
2. Omavalvontasuunnitelman kattavuus
Omavalvontasuunnitelman piiriin kuuluvat sosiaali- ja/ tai terveydenhuollon palvelun antajat.
Tietoturvan ja tietosuojan toteutumisen varmistaminen on kaikkien sosiaali- ja terveydenhuollon
palveluiden tuottamiseen ja tietojärjestelmäratkaisujen toteutukseen liittyvien osapuolten tehtävä.
3
Palvelun antajan tulee varmistaa, että omavalvontasuunnitelma toteutuu kaikissa sen
palveluyksiköissä ja muiden palveluiden tuottamiseen osallistuvien tahojen toiminnassa.
Tässä kappaleessa selvitetään ne palvelun antajat, joita tämä omavalvontasuunnitelma koskee.
• Sosiaalihuollon palveluiden antaja
• Terveydenhuollon palveluiden antaja
Asiakastietojärjestelmän sisällä voi olla sekä sosiaali- että terveydenhuollon asioita. Miten
toteutetaan jako omavalvonnan suhteen? Kumpi hallinnoi järjestelmää, miten rekisterit
(rekisterinpitäjyys) vaikuttavat asiaan? Yhteistyö eri palveluiden antajien kesken on erittäin tärkeää
koulutusten, päivitysten ym. muutosten toteuttamiseksi. Olisi hyvä kuvata ja vastuuttaa asioita.
3. Tietojärjestelmien käyttäjiltä vaadittava koulutus ja kokemus
Tässä luvussa selvitetään menetelmät, joilla palvelujen antaja huolehtii asiakas- ja / tai
potilastietoja käsittelevän henkilöstön kouluttamisesta tietojärjestelmien käyttöön ja miten ne ovat
todennettavissa. Luvussa selvitetään toimenpiteet, joilla palvelujen antaja ylläpitää henkilöstön
tietojärjestelmien käytön osaamista ja kouluttaa järjestelmien uusien ominaisuuksien käytön.
Menetelmät on oltava todennettavissa. Henkilöillä on oltava koulutus tietojärjestelmien käytön
lisäksi mm. potilastietojen käsittelyyn ja tietosuoja- ja tietoturva-asioihin.
1. Henkilökunnan kouluttaminen tietojärjestelmien käyttöön tehtävien vaatimusten mukaisesti
2. Toimintamalli uusien työntekijöiden kouluttamiseen/ Osaamisen seuranta
3. Ohjeet potilastietojen käsittelystä
4. Organisaatio on kouluttanut henkilökunnan tietojärjestelmien turvalliseen ja asianmukaiseen ja
tarkoituksenmukaiseen käyttöön
3.1Toimintamallien koulutus
Kappaleessa selvitetään toimintamallien koulutuksen toteuttaminen sekä miten tietotaidon ylläpito
on todennettavissa.
Koulutuksen tulee sisältää toimintamalli- ja sovelluskoulutukset. Verkkokoulun
hyödyntäminen hyvä muistaa toimintamallien koulutuksessa. Sovittava toimintamalli myös
uusien työntekijöiden kouluttamiseen.
4
Osaamisen varmistaminen esim. verkkokoulun testien avulla, seurantavastuusta sopiminen.
3.2 Tietojärjestelmien käyttökoulutus
Kappaleessa selvitetään, miten tietojärjestelmien käyttökoulutuksen toteutuminen ja osaamisen
ylläpito on todennettavissa.
voidaan todentaa esim. potilastietojärjestelmän toimittajan koulutusohjelmalla
/kouluttamisella oman organisaation järjestämänä - potilastietojärjestelmän ajokortti.
3.3 Tietojärjestelmien vaatima kokemus
Kappaleessa selvitetään, miten palvelujen antaja varmistaa ja todentaa käytössä olevien asiakas-
ja / tai potilastietojärjestelmien käytön vaatiman kokemuksen. Käytön vaatimaa kokemusta voidaan
kartuttaa tarvittaessa myös koulutuksella, jos käyttäjä ei ole aiemmin järjestelmää käyttänyt tai
käyttökokemus on vähäistä.
Kokemuksen varmistamisen palvelujen antaja toteuttaa jatkuvalla osaamisen seurannalla.
Osaamisen seurantaa voidaan arvioida esimerkiksi HaiPro:n kautta saatavilla tiedoilla, mistä tulee
esille esimerkiksi koulutustarve.
Henkilökunnan kouluttaminen tietojärjestelmien käyttöön tehtävien vaatimusten mukaisesti.
Palvelun antajalla on koulutussuunnitelma ja toimintamalli uusien työntekijöiden
perehdyttämiseen.
4. Tietojärjestelmien asianmukaisen käytön kannalta tarpeelliset käyttöohjeet
4.1 Tietoturvapolitiikka
Selvitetään, onko palvelujen antajan tietoturvapolitiikka laadittu ja mistä dokumentaatio löytyy sekä
miten hyväksymis- ja ylläpitomenettelyt sekä koulutus henkilöstölle on todennettavissa.
Tietoturvapolitiikka (AUDITOINTIVAATIMUS)
Organisaatiolla on tietoturvapolitiikka laadittuna ja se on otettu käyttöön. Sähköisen
lääkemääräyksen käyttöönoton yhteydessä tehty tietoturvapolitiikka. Politiikasta tulee mm. ilmetä
miten sitä tarkastetaan, kehitetään ja miten tietoturva on vastuutettu ja organisoitu organisaation
tavoitteiden ja kansallisten vaatimusten saavuttamiseksi. Tietoturvallisuuden hallintointi sekä siihen
5
liittyvät tietoturvapolitiikka ja tietosuoja- asiat eivät ole erityisesti Kanta- palveluiden käyttöönottoon
liittyviä asioita, vaan ne kuuluvat yleishallintoon ja rekisterinpitäjän velvollisuuksiin.
TIETOTURVAPOLITIIKASSA usein kuvattu hyvin paljon omavalvontaan liittyviä asioita.
4.2 Ohje potilastietojen käsittelyyn
Kappaleessa selvitetään, miten ohjeet potilastietojen käsittelystä ja palvelujen antajan henkilöstön
koulutuksesta potilastietojen käsittelyyn sekä henkilöstön tietämyksen ylläpito on todennettavissa.
Ohjeet potilastietojen käsittelystä (AUDITOINTIVAATIMUS)
Organisaatiossa on käytössä kirjalliset ohjeet tai koulutus potilastietojen käsittelystä
henkilökunnalle. Organisaatio on huolehtinut henkilökunnan kouluttamisesta ja osaamisesta
potilastietojen käsittelyssä sekä on sovittu ohjeiden jalkauttaminen henkilökunnalle. Huomioitava
uudet vaatimukset: opiskelijoiden tekemien merkintöjen hyväksyminen ja sanelujen hyväksyminen.
Koulutussuunnitelma ja sen jatkuva toteuttaminen. Jatkuvuuden varmistaminen uusien
työntekijöiden ja keikkalaisten kohdalla.
Organisaatio on kouluttanut henkilökunnan asiakastietojen turvalliseen ja asianmukaiseen ja
tarkoituksenmukaiseen käyttöön myös tietoturvaa ja -suojaa käsittelevällä koulutuksella
henkilöstölle.
4.3 Tietosuojaan ja valvontaan liittyvät ohjeistukset
Kappaleessa selvitetään, miten palvelujen antajan tietosuojaan liittyvä ohjeistus ja sen
noudattamiseen liittyvä valvontamenettelyt on todennettavissa. Selvitetään, onko
tietosuojavastaavan tehtävät kuvattu ja miten tehtävien toteutuminen on todennettavissa.
Tietosuojavastaava (AUDITOINTIVAATIMUS)
Organisaatiolle on nimetty tietosuojavastaava ja työtehtäviin on resursoitu työaikaa. Jokaisella
palvelujen antajalla ja on oltava seuranta- ja valvontatehtävää varten tietosuojavastaava. Johto
vastaa siitä, että tietosuoja toteutuu, joten työntekijälle on annettava työaikaa tarpeeksi
suoriutuakseen vaadittavista tehtävistä laadukkaasti mm. seuranta ja valvonta säännöllisesti
Tietosuojan valvonta (AUDITOINTIVAATIMUS)
6
Organisaatiolla on laadittu tietosuojaan liittyvä seuranta- ja valvontasuunnitelma. Organisaatiolla
on Kelan laatiman ohjeen mukainen tietosuojaan liittyvä seuranta- ja valvontasuunnitelma
Suunnitelmassa otetaan kantaa esim. miten tehdään säännöllistä henkilötietojen käytön seurantaa
ja miten on suunniteltu toimittavan, jos väärinkäytöksiä ilmenee.
5. Tietojärjestelmien käyttö valmistajan antaman ohjeistuksen mukaisesti
5.1 Järjestelmien käyttöohjeet
Kappaleessa selvitetään, miten asiakas- ja / tai potilastietojärjestelmien käyttöohjeiden hallinnointi
ja ohjeiden saatavuus sekä henkilöstön perehdyttäminen ohjeisiin on dokumentoitu ja
todennettavissa.
Tietojärjestelmistä on saatavilla käytön kannalta tarpeelliset käyttö-ohjeet:
Ohjelmiston oma käyttöohjeinfo (esim. ohjelman ”sisällä” oleva info)
Ohjelmistojen päivitysten tiedoksi saattaminen henkilöstölle. Tämä voidaan todentaa
käyttäjän helposti saatavilla olevilla yksiselitteisillä ohjelman versiopäivitystä vastaavilla
käyttöohjeilla. Muutosten tiedot tulee olla henkilöstön saatavilla.
Tulee olla kuvattuna toimintamalli, miten käyttöohjeiden päivittäminen ja jakelu toteutetaan
ohjelmistojen- ja niiden versiopäivitysten sekä muiden muutosten yhteydessä.
5.2 Valmistajan ohjeistukset
Selvitetään, miten palvelujen antaja varmistaa ja miten voidaan todentaa, että tietojärjestelmiä
käytetään valmistajan antamien ohjeistusten mukaisesti.
Potilastietojärjestelmän toimittajan ohjeistus ja koulutus
Organisaatio on kouluttanut henkilökunnan tietojärjestelmien käyttöön. Organisaation
koulutussuunnitelma ja sen jatkuva toteuttaminen.
Tietojärjestelmän toimittajan ohjeistus on käyttäjien tiedossa ja saatavilla.
Organisaation oma ohjeistus ja koulutus
Omavalvontasuunnitelmaan on kuvattu menettelytavat, jolla seurataan järjestelmän
valmistajien antamien ohjeistusten mukaista käyttöä.
7
Palveluiden antajalla on oltava selkeät menettelytavat virhe- ja ongelmatilanteiden
selvittämiseen.
Potilastietojärjestelmää käyttävillä on tiedossa toimintamalli ongelmatilanteiden
ilmoittamiseen
6. Tietojärjestelmien asennus, ylläpito ja päivitys
Tässä luvussa selvitetään, miten järjestelmien ylläpitoon oikeutettujen henkilöiden
pätevyysvaatimukset ja perehdyttäminen on todennettavissa. Palvelujen antaja selvittää, miten ja
missä muutoshallinta ja järjestelmien päivitysprosessi on kuvattu ja todennettavissa. Prosessin on
noudatettava järjestelmävalmistajan ohjeita järjestelmän ylläpidosta ja päivittämisestä.
1. Tietojärjestelmän päivitys- ja korjausprosessin kuvaaminen
2. Muutoksenhallintaprosessi
3. Virhetilanteiden hallinta
6.1 Tietojärjestelmien ylläpitotehtävien vaatima ammattitaito ja asiantuntemus
Kappaleessa selvitetään, mitkä ovat tietojärjestelmien asennuksiin, päivityksiin ja ylläpitoon
vaadittavat ammattitaidon vähimmäistaso ja asiantuntemus ja miten ne ovat todennettavissa.
6.2 Tietojärjestelmien asentaminen
Kappaleessa selvitetään, kenellä on oikeus palvelujen antajan tietojärjestelmien asentamiseen tai
missä se on kuvattu ja todennettavissa. Miten järjestelmäasennukset dokumentoidaan ja miten se
on todennettavissa.
Vastuiden määrittely tietojärjestelmiä asentavan, ylläpitävän ja päivittävän henkilön osalta
suhteessa palvelun antajaan sekä tietojärjestelmän valmistajaan.
Sopimukset (vastuut/roolit) järjestelmäntoimittajan ym. muiden kanssa
8
6.3 Tietojärjestelmien päivittäminen
Kappaleessa selvitetään, kenellä on oikeus asentaa palvelun antajan tietojärjestelmien päivityksiä.
Missä ne on kuvattu ja miten varmistetaan, että valmistajan ohjeistusta noudatetaan. Miten
järjestelmäpäivityksistä tiedotetaan käyttäjille ja miten nämä ovat todennettavissa.
Pääkäyttäjän vastuualueet/ pääkäyttäjän toimenkuva
Tehtäviä hoitamaan on nimetty henkilö ja työtehtäviin on resursoitu työaikaa
Järjestelmäpäivitysten tiedottaminen voidaan hoitaa käyttäjän helposti saatavilla olevilla
yksiselitteisillä ohjelman versiopäivitystä vastaavilla käyttöohjeilla. Muutosten tiedot tulee olla
henkilöstön saatavilla.
6.4 Tietojärjestelmien ylläpito
Kappaleessa selvitetään, onko tietojärjestelmien ylläpito- ja hallintavastuut kuvattu sekä miten
varmistetaan valmistajan ohjeistuksen noudattaminen. Miten nämä on todennettavissa.
Potilastietojärjestelmästä on kuvattu prosessi joka sisältää versio- ja korjauspäivitykset sekä myös
pienemmät toiminnalliset muutokset.
Tietojärjestelmän päivitys- ja korjausprosessin kuvaaminen (AUDITOINTIVAATIMUS)
6.5 Muutoshallinta
Kappaleessa selvitetään, onko muutoshallintaprosessi kuvattu ja miten se on todennettavissa
samoin kuin miten prosessin mukainen toiminta on todennettavissa.
Muutostenhallintaprosessissa tulee kuvata miten tehdyt muutokset on suunniteltu, hyväksytty,
testattu ja dokumentoitu.
Muutoksenhallintaprosessi (AUDITOINTIVAATIMUS)
6.6 Virhe- ja poikkeustilanneohjeistus
9
Kappaleessa selvitetään, miten järjestelmien käyttäjien ja ylläpitäjien virhe- ja
poikkeustilanneohjeistus on toteutettu. Miten ohjeistuksen mukainen toiminta on varmistettu ja
todennettavissa.
Organisaatiossa on virhetilanteiden sattuessa toipumissuunnitelma ja häiriötilanneohjeet.
Organisaatiossa on suunnitelma järjestelmien toiminnallisuuden valvontaan sekä
poikkeustilanteiden ja virhetilanteiden havainnointiin ja niistä tiedottamiseen.
Virhetilanteiden hallinta (AUDITOINTIVAATIMUS)
Jos sosiaali- tai terveydenhuollon palvelujen antaja havaitsee, että tietojärjestelmän olennaisten
vaatimusten toteutumisessa on merkittäviä poikkeamia, on palvelujen antajan ilmoitettava siitä
tietojärjestelmän valmistajalle.Jos poikkeama voi aiheuttaa merkittävän riskin
potilasturvallisuudelle, tietoturvalle tai tietosuojalle, on siitä ilmoitettava myös Sosiaali- ja
terveysalan lupa- ja valvontavirastolle. Tietoturva ja -suojapoikkeamien havaitsemis-, ilmoittamis-
ja käsittelymenettelyiden kuvaus.
ilmoitus HaiPro
ilmoitus järjestelmän toimittajalle
ilmoitus Valviralle
7. Tietojärjestelmien käyttöympäristö
Tässä luvussa selvitetään järjestelmän käyttöympäristö(t), niiden tietoturvan ja tietosuojan
varmistaminen sekä tieto siitä, miten em. on todennettavissa. Jos em. asiat on dokumentoitu
toisaalla, tässä riittää linkki tai vastaava tieto, mistä ne ovat todennettavissa.
1. Tietosuojavastaava
2. Tietoturvapolitiikka
3. Tietosuojan valvonta
4. Tunnistautuminen järjestelmään
5. Käyttövaltuushallinta
6. Käyttöoikeuksien jako ja hallinta
7. Verkkoyhteyden suojaus
8. Istunnon katkaisu
9. Lokitietojen muuttumattomuus
10. Asialliseen käyttöön liittyvä fyysinen käyttöympäristö.
10
11. Liikuteltavien laitteiden tietoturva ja – suoja
12. Ulkoiset tallennuslaitteet
13. Organisaation ohjeet tietosuojan rikkomuksesta
7.1 Käyttöympäristö
Kappaleessa selvitetään, missä palvelujen antajan käyttöympäristöissä asiakas- ja / tai
potilastietojärjestelmiä käytetään: kuvaukset käyttöympäristöistä tai tieto, mistä kuvaukset on
dokumentoitu.
Asialliseen käyttöön liittyvä fyysinen käyttöympäristö.
Kuvaus tietoturvan ja tietosuojan varmistamisesta fyysisessä käyttöympäristössä, kuten
toimitiloista ja niiden tietosuojan takaavista sijoittelu-, sisustus-, äänieristys- ja muista
vastaavista toimenpiteistä.
7.2 Tunnistautuminen ja käyttöoikeuksien hallinta
Kappaleessa selvitetään, miten palvelujen antajan asiakas- ja / tai potilastietojärjestelmien käyttäjät
tunnistetaan ja miten käyttöoikeuksia hallitaan tai tieto, missä em. kuvaukset on dokumentoitu ja
miten sen mukainen toiminta on todennettavissa.
Tunnistautuminen järjestelmään (AUDITOINTIVAATIMUS)
Organisaatiossa on käytössä yksilölliset käyttäjätunnukset (vahva salasana)/ sähköinen
tunnistautuminen/ toimikorttikirjautuminen (AUDITOINTIVAATIMUS)
Käyttövaltuushallinta (AUDITOINTIVAATIMUS)
Olemassa oleva kirjanpito, josta voidaan todentaa haetut, hyväksytyt, käyttöönotetut, poistetut jne.
käyttöoikeudet. Arkistossa ja tiedonhallintapalvelussa olevien asiakirjojen osalta organisaation
tulee määrittää, keiden työntekijöiden/ käyttäjäryhmien tulee päästä ko. asiakirjoja käsittelemään.
Potilas-tietojärjestelmien oman käyttäjähallinnan osalta käyttöoikeudet ja niihin liittyvät prosessit
tulisi olla dokumentoituna
Käyttöoikeuksien jako ja hallinta (AUDITOINTIVAATIMUS)
Organisaatiossa on kuvattu käyttöoikeuksienhallintaprosessi. Organisaatiossa on
valvontasuunnitelma potilastietojen käsittelyn seurantaan ja valvontaan
11
7.3 Järjestelmän lukittuminen
Kappaleessa selvitetään palvelujen antajan käytössä olevien asiakas- ja tai potilastietojärjestelmän
lukittumisen asetukset tai tieto, missä em. kuvaus on ja miten se on todennettavissa.
Istunnon katkaisu (AUDITOINTIVAATIMUS)
Organisaatiossa on käytössä joko kertomusjärjestelmän käyttöliittymän lukitus tai
työasemakohtainen lukitus.
7.4 Lokiseurannat
Kappaleessa selvitetään, miten järjestelmien käyttöä seurataan tai tieto, missä lokiseuranta on
kuvattu ja miten siitä on tiedotettu henkilöstölle ja miten seurannat on todennettavissa.
Tietosuojan valvonta (AUDITOINTIVAATIMUS)
Organisaatiolla on laadittu tietosuojaan liittyvä seuranta- ja valvontasuunnitelma jossa on kuvattu
myös säännöllisen lokiseurannan organisointi.
Toimintaohjeet, miten rikkomustapauksissa menetellään.
Verkkokoulun tietosuojaosion hyödyntäminen
7.5 Liikuteltavien laitteiden tietoturva ja tietosuoja
Kappaleessa selvitetään, miten palvelun antajan mahdollisesti käytössä olevien liikuteltavien
asiakas- ja / tai potilastietoja sisältävien laitteiden tietosuojasta ja tietoturvasta on huolehdittu tai
mistä kuvaus löytyy ja miten se on todennettavissa.
7.6 Palvelinten suojaaminen
Kappaleessa selvitetään, miten palvelimet on sijoittelu ja suojaus ulkopuolisilta on toteutettu tai
mistä tämä tieto löytyy ja todennettavissa.
Verkkoyhteyksien suojaus (AUDITOINTIVAATIMUS)
Liittyvien järjestelmien tulee olla palomuurilla/ palomuureilla suojatut.
(AUDITOINTIVAATIMUS)
12
Järjestelmissä ei saa olla ylimääräisiä palveluita eikä sovelluksia. Järjestelmissä ei saa olla
aktiivisia oletustunnuksia ja muita oletuksena tulevia tietoturvallisuuden kannalta huonoja
asetuksia.
Palvelimet, joilla järjestelmät toimivat, tulee olla suojattu haittaohjelmilta, ja haittaohjelmien
käytössä olevan torjuntaohjelman tulee olla automaattisesti päivittyvä (mikäli käytössä olevassa
ympäristössä torjuntaohjelmia on).
Järjestelmän lokiympäristö on toteutettu, esim. erillisellä lokipalvelimella. Tarkastetaan miten
lokitiedot on suojattu käyttöoikeuksin ja muuten. Varmistetaan, että ylläpitäjät ja muut voimakkaita
oikeuksia omaavat tahot eivät voi poistaa tai muokata lokeja.
Lokitietojen muuttumattomuus (AUDITOINTIVAATIMUS)
7.7 Työasemien suojaaminen sivullisilta
Kappaleessa selvitetään, miten työasemien suojaus sivullisilta on toteutettu tai mistä tämä tieto
löytyy ja on todennettavissa.
Kuvaus tietoturvan ja tietosuojan varmistamisesta fyysisessä käyttöympäristössä, kuten
toimitiloista ja niiden tietosuojan takaavista sijoittelu-, sisustus-, äänieristys- ja muista vastaavista
toimenpiteistä.
8. Tietojärjestelmiin liitetyt muut tietojärjestelmät tai muut järjestelmät
Palveluiden antajan on yksilöitävä Sosiaali- ja terveydenhuollon asiakastietojen sähköisestä
käsittelystä annetun lain (159/2007) 19 b § mukaisesti omavalvontasuunnitelmassa A- ja B-luokan
järjestelmiin. Suoraan Kanta- palveluihin liitettävät järjestelmä kuuluvat luokkaan A ja muut
järjestelmät, joilla on vaikutusta ja jotka on otettava huomioon asennuksissa, ylläpidossa ja
päivityksissä kuuluvat luokkaan B.
8.1 Organisaation A- luokan tietojärjestelmät
Tässä kappaleessa selvitetään ne asiakas- ja / tai potilastietoja sisältävät järjestelmät, joita
palvelunantaja käyttää tai mistä dokumentaatio käytössä olevista järjestelmistä on saatavilla.
Omavalvontasuunnitelmassa on yksilöitävä luokkaan A kuuluvat tietojärjestelmät sekä muut
järjestelmät, joilla on vaikutusta ja jotka on huomioitava asennuksissa, ylläpidossa ja päivityksissä.
13
Sosiaali- ja terveydenhuollon tietojärjestelmät jaetaan kahteen luokkaan. Luokkaan A kuuluvat
valtakunnallisiin tietojärjestelmäpalveluihin liitettävät potilastietojärjestelmät. Muut tietojärjestelmät
kuuluvat luokkaan B. Luokan B tietojärjestelmiä käytetään vain paikallisesti tai alueellisesti.
Luokan A järjestelmät; Organisaation kaikki järjestelmät, jotka liitetään Kanta- palveluihin,
esim. Esko, Effica jne.
Luokan B järjestelmät
Luokan A tietojärjestelmien on läpäistävä Kansaneläkelaitoksen järjestämä yhteistestaus.
Yhteistestauksella varmistetaan tietojärjestelmän yhteentoimivuus Kanta-palvelujen sekä siihen
liitettyjen muiden tietojärjestelmien kanssa. Luokan A tietojärjestelmän tietoturvallisuuden arvioi
myös ulkopuolinen taho eli tietoturvallisuuden arviointilaitos.
Luokan B tietojärjestelmiltä ei vaadita ulkopuolista arviointia, vaan niille on riittävää, että valmistaja
laatii niistä kirjallisen selvityksen olennaisten vaatimusten toteutumisesta.
8.2 Muut kytketyt järjestelmät
Tässä luvussa selvitetään, miten palvelujen antaja huolehtii, että asiakas- ja tai potilastietoja
käsittelevään tietojärjestelmään liitetyt muut tietojärjestelmät ja järjestelmät ovat vaarattomia ja
miten se on todennettavissa. Muilla järjestelmillä tarkoitetaan mm. tietokoneohjelmia, jotka eivät
käsittele asiakas- ja potilastietoja.
Kappaleessa selvitetään, miten mahdollisten oheisohjelmistojen asentamisesta on sovittu tai mistä
tieto löytyy ja miten se on todennettavissa.
8.3 Tietoliikenneoperaattorit
Kappaleessa selvitetään, miten tietoliikenneoperaattoreiden kanssa on sovittu yhteyksien
suojaamisesta ja miten sopimus on todennettavissa.
Tietoliikenneyhteydet
Tietoliikenneyhteyksien sopimuksissa on huomioitu tietoturvapolitiikan vaatimukset.
Vastuiden määrittelyt sopimuksissa
Kaikkien osapuolien (terveydenhuollon toimintayksiköt, apteekit, itsenäiset ammatinharjoittajat,
ohjelmistoyritykset ja tietoliikenneoperaattorit, välittäjätaho) vastuut tulee olla selkeästi määritelty
toiminnallisuuden, tietoturvallisuuden ja yhteistoiminnallisuuden osalta (sopimukset).
14
Kuvaus sanomanvälityksen toteutumisesta
8.4 Langattomat verkot ja niiden tietoturva
Kappaleessa selvitetään, miten langattomien verkkojen tietoturva on toteutettu tai mistä tieto löytyy
ja toteutus on todennettavissa.
Liikuteltavien laitteiden tietoturva ja – suoja
8.5 Etäyhteydet ja niiden tietoturva
Kappaleessa selvitetään, miten mahdolliset etäyhteydet ja niiden tietoturva palvelujen antajan
asiakas- ja / tai potilastietojärjestelmiin on toteutettu tai mistä tieto löytyy ja miten toteutus on
todennettavissa.
Sallittaessa etäyhteyksiä järjestelmään, toteutus tulee olla toteutettuna turvallisesti ja
tunnistautumisessa tulee käyttää vahvaa tunnistautumismenetelmää. Tämä koskee myös
ylläpidollisista syistä johtuvia etäyhteyksiä.
8.6 Ulkoiset tallennuslaitteet
Kappaleessa selvitetään, miten mahdollisten ulkoisten tallennuslaitteiden asentamisesta on sovittu
tai mistä tieto löytyy ja miten se on todennettavissa.
8.7 Viruksilta ja haittaohjelmilta suojautuminen
Kappaleessa selvitetään, miten palvelujen antajan käytössä olevat asiakas- ja tai
potilastietojärjestelmät suojataan viruksilta ja haittaohjelmilta tai mistä tieto suojauksesta löytyy ja
miten se on todennettavissa.
9. Valtakunnallisiin tietojärjestelmäpalveluihin liittyminen
Tässä luvussa selvitetään, mitkä palveluja antavan järjestelmät kytkeytyvät valtakunnallisiin palveluihin tai missä asia on kuvattu ja miten se on todennettavissa.
Määräysehdotuksessa; ”Jos palveluiden antaja on liittynyt Kanta- palveluiden käyttäjäksi, on omavalvontasuunnitelmassa asiakastietolain 19 h §:n 2 momentin mukaisesti selvitettävä, miten valtakunnallisten tietojärjestelmäpalveluiden tietoturvallisen käytön edellyttämät vaatimukset varmistetaan”
15
Kuvaus siitä, että organisaatio on tehnyt itseauditoinnin kanta- palveluihin liittymisen osalta ja mistä asiaan liittyvä dokumentaatio on saatavilla.
10. Omavalvontasuunnitelman toteutumisen seuranta
Palvelujen antajan on aktiivisesta seurattava omavalvontasuunnitelman toteutumista. Palvelujen antaja on vastuussa siitä, että tietoturvaan, tietosuojaan ja tietojärjestelmien käyttöön ja ylläpitoon liittyvät asian tulevat jatkuvasti hoidetuksi asianmukaisesti.
Omavalvontasuunnitelmassa on määriteltävä vastuut suunnitelman päivittämisestä ja toteutumisen seurannasta.
Sosiaalihuollon ja terveydenhuollon toimintayksikön vastaavan johtajan tulee antaa kirjalliset ohjeet asiakastietojen käsittelystä ja noudatettavista menettelytavoista sekä huolehtia henkilökunnan riittävästä asiantuntemuksesta ja osaamisesta asiakastietojen käsittelyssä. Vastaavan johtajan tulee myös huolehtia 19 h §:ssä tarkoitetun omavalvontasuunnitelman laatimisesta ja noudattamisesta.
Liitteet
Liite 1. Terveyden ja hyvinvoinnin laitoksen määräysehdotus palvelujen antajan omavalvontasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista
Liite 2. Tarkistuslista omavalvontasuunnitelmaan liitettävistä selvityksistä
16
Liite 2. Tarkistuslista omavalvontasuunnitelmaan liitettävistä selvityksistä
VAATIMUS ORGANISAATION TOIMENPITEET
TODENTAMINEN
Henkilöillä, jotka käyttävät tietojärjestelmiä, on niiden käytön vaatima koulutus ja kokemus.
1. Henkilökunnan kouluttaminen tietojärjestelmien käyttöön tehtävien vaatimusten mukaisesti
2. Toimintamalli uusien työntekijöiden kouluttamiseen/ Osaamisen seuranta
3. Ohjeet potilastietojen käsittelystä
4. Organisaatio on kouluttanut henkilökunnan tietojärjestelmien turvalliseen ja asianmukaiseen ja tarkoituksenmukaiseen käyttöön
1. Potilastietojärjestelmän toimittajan koulutusohjelma /kouluttaminen oman organisaation järjestämänä - potilastietojärjestelmän ajokortti
2. Koulutussuunnitelma ja sen jatkuva toteuttaminen. Todistus koulutukseen osallistumisesta tai organisaation muu malli.
3. Organisaatiossa on käytössä kirjalliset ohjeet potilastietojen käsittelystä henkilökunnalle. Organisaatio on huolehtinut henkilökunnan kouluttamisesta ja osaamisesta potilastietojen käsittelyssä.
4. Tietoturvaa ja -suojaa käsittelevä koulutus henkilöstölle
Tietojärjestelmien yhteydessä on saatavilla niiden asianmukaisen käytön kannalta tarpeelliset käyttöohjeet.
1. Tietojärjestelmistä on saatavilla käytön kannalta tarpeelliset käyttöohjeet
1. Ohjelmiston oma käyttöohjeinfo2. Ohjelmistojen päivitysten tiedoksi saattaminen
henkilöstölle. Tämä voidaan todentaa käyttäjän helposti saatavilla olevilla yksiselitteisillä ohjelman versiopäivitystä vastaavilla käyttöohjeilla.
Tietojärjestelmiä käytetään valmistajan antaman ohjeistuksen mukaisesti.
1. Potilastietojärjestelmän toimittajan ohjeistus ja koulutus
2. Organisaation oma ohjeistus ja koulutus
1. Organisaatio on kouluttanut henkilökunnan tietojärjestelmien käyttöön. Organisaation olemassa oleva koulutussuunnitelma ja sen jatkuva toteuttaminen.Tietojärjestelmän toimittajan ohjeistus on käyttäjien tiedossa ja saatavilla.
2. Omavalvontasuunnitelmaan on kuvattu menettelytavat, jolla seurataan järjestelmän valmistajien antamien ohjeistusten mukaista käyttöä.
1. Tietojärjestelmän 1. Potilastietojärjestelmästä on kuvattu prosessi joka
17
Tietojärjestelmiä ylläpidetään ja päivitetään valmistajan ohjeistuksen mukaisesti.
päivitys- ja korjausprosessin kuvaaminen
2. Muutoksenhallintaprosessi
3. Virhetilanteiden hallinta
sisältää versio- ja korjauspäivitykset sekä myös pienemmät toiminnalliset muutokset.
2. Muutostenhallintaprosessissa tulee kuvata miten tehdyt muutokset on suunniteltu, hyväksytty, testattu ja dokumentoitu.
3. Organisaatiossa on virhetilanteiden sattuessa toipumissuunnitelma ja häiriötilanneohjeet. Organisaatiossa on suunnitelma järjestelmien toiminnallisuuden valvontaan sekä poikkeustilanteiden ja virhetilanteiden havainnointiin ja niistä tiedottamiseen.
Käyttöympäristö soveltuu tietojärjestelmien asianmukaiseen sekä tietoturvan ja tietosuojan varmistavaan käyttöön.
1. Tietosuojavastaava2. Tietoturvapolitiikka3. Tietosuojan valvonta4. Tunnistautuminen
järjestelmään5. Käyttövaltuushallinta6. Käyttöoikeuksien jako ja
hallinta7. Verkkoyhteyden suojaus8. Istunnon katkaisu9. Lokitietojen
muuttumattomuus10. Asialliseen käyttöön
liittyvä fyysinen käyttöympäristö.
11. Liikuteltavien laitteiden tietoturva ja – suoja
12. Ulkoiset tallennuslaitteet13. Organisaation ohjeet
tietosuojan rikkomuksesta
1. Organisaatiolle on nimetty tietosuojavastaava ja työtehtäviin on resursoitu työaikaa. Jokaisella palvelujen antajalla ja on oltava seuranta- ja valvontatehtävää varten tietosuojavastaava.
2. Organisaatiolla on tietoturvapolitiikka laadittuna ja se on otettu käyttöön
3. Organisaatiolla on laadittu tietosuojaan liittyvä seuranta- ja valvontasuunnitelma
4. Organisaatiossa on käytössä yksilölliset käyttäjätunnukset/ sähköinen tunnistautuminen
5. Olemassa oleva kirjanpito, josta voidaan todentaa haetut, hyväksytyt, käyttöönotetut, poistetut jne. käyttöoikeudet. Arkistossa ja tiedonhallintapalvelussa olevien asiakirjojen osalta organisaation tulee määrittää, keiden työntekijöiden/ käyttäjäryhmien tulee päästä ko. asiakirjoja käsittelemään. Potilastietojärjestelmien oman käyttäjähallinnan osalta käyttöoikeudet ja niihin liittyvät prosessit tulisi olla dokumentoituna.
6. Organisaatiossa on kuvattu käyttöoikeuksienhallintaprosessi. Organisaatiossa on valvontasuunnitelma potilastietojen käsittelyn seurantaan ja valvontaan
7. Järjestelmien tulee olla yhteisellä palomuurilla tai palomuureilla suojatut. Myös langattomien verkkojen tietoturva on huomioitava.
8. Organisaatiossa on käytössä joko kertomusjärjestelmän käyttöliittymän lukitus tai työasemakohtainen lukitus.
9. Järjestelmän lokiympäristö on toteutettu, esim. erillisellä lokipalvelimella. Tarkastetaan miten lokitiedot on suojattu käyttöoikeuksin ja muuten. Varmistetaan, että ylläpitäjät ja muut voimakkaita oikeuksia omaavat tahot eivät voi poistaa tai muokata lokeja.
10. Kuvaus tietoturvan ja tietosuojan varmistamisesta fyysisessä käyttöympäristössä, kuten toimitiloista ja niiden tietosuojan takaavista sijoittelu-, sisustus-, äänieristys- ja muista vastaavista toimenpiteistä.
11. Kuvaus asiakas- / potilastietoja sisältävien liikuteltavien laitteiden tietosuojasta ja – turvasta.
12. Kuvaus miten ulkoisten tallennuslaitteiden asentamisesta ja tietosuojasta ja – turvasta on
18
sovittu.
Tietojärjestelmiin liitetyt muut tietojärjestelmät tai muut järjestelmät eivät vaaranna tietojärjestelmien suorituskykyä eivätkä niiden tietoturva- tai tietosuojaominaisuuksia.
1. Vastuiden määrittelyt2. Hallintayhteydet
järjestelmään (etäyhteydet)
3. Järjestelmän ylläpito4. Tietojärjestelmiin liitetyt
muut tietojärjestelmät
1. Kaikkien osapuolien (terveydenhuollon toimintayksiköt, apteekit, itsenäiset ammatinharjoittajat, ohjelmistoyritykset ja tietoliikenneoperaattorit) vastuut tulee olla selkeästi määritelty toiminnallisuuden, tietoturvallisuuden ja yhteistoiminnallisuuden osalta (sopimukset).Sopimuksen keskeinen sisältö: rekisterinpitäjä henkilötietojen käsitteleminen käyttötarkoitussidonnaisuus luottamuksellisuus ja salassapito palvelun tuottajan ostopalvelurekisteri henkilötietojen käsittelyn ohjaus, valvonta ja
seuranta (lokitiedot) tietoturva rekisteriselosteet viittaukset lainsäädäntöön osapuolten velvollisuudet toimeksiantosuhteen päättyminen
2. Sallittaessa etäyhteyksiä järjestelmään, toteutus tulee olla toteutettuna turvallisesti ja tunnistautumisessa tulee käyttää vahvaa tunnistautumismenetelmää.
3. Järjestelmissä ei saa olla ylimääräisiä palveluita eikä sovelluksia. Järjestelmissä ei saa olla aktiivisia oletustunnuksia ja muita oletuksena tulevia tietoturvallisuuden kannalta huonoja asetuksia.Palvelimet, joilla järjestelmät toimivat, tulee olla suojattu haittaohjelmilta, ja haittaohjelmien käytössä olevan torjuntaohjelman tulee olla automaattisesti päivittyvä (mikäli käytössä olevassa ympäristössä torjuntaohjelmia on).
4. Omavalvontasuunnitelmassa on yksilöitävä luokkaan A kuuluvat tietojärjestelmät sekä muut järjestelmät, joilla on vaikutusta ja jotka on huomioitava asennuksissa, ylläpidossa ja päivityksissä.
Tietojärjestelmiä asentaa, ylläpitää ja päivittää vain henkilö, jolla on siihen tarvittava ammattitaito ja asiantuntemus
1. Vastuiden määrittely2. Pääkäyttäjän
vastuualueet3. Sopimukset
(vastuut/roolit) järjestelmäntoimittajan ym. muiden kanssa
1. Tehtäviä hoitamaan on nimetty henkilö ja työtehtäviin on resursoitu työaikaa
2. Pääkäyttäjän toimenkuva3. Sopimuksen keskeinen sisältö:
• tausta ja tarkoitus• sopimuksen voimassaolo• toimittajan ja asiakkaan velvollisuudet• vastuunrajoitus• sopimussakkolausekkeet• hyväksymismenettelyt• tekijänoikeudet/lisenssiehdot• irtisanomis- ja purkulausekkeet, virhe, vika ja viivästys
19
• ylivoimainen este• sopimuksen seuranta ja valvonta
Vaaratilanteista ja poikkeamista ilmoittaminen
1. Jos sosiaali- tai terveydenhuollon palvelujen antaja havaitsee, että tietojärjestelmän olennaisten vaatimusten toteutumisessa on merkittäviä poikkeamia, on palvelujen antajan ilmoitettava siitä tietojärjestelmän valmistajalle.
2. Jos poikkeama voi aiheuttaa merkittävän riskin potilasturvallisuudelle, tietoturvalle tai tietosuojalle, on siitä ilmoitettava myös Sosiaali- ja terveysalan lupa- ja valvontavirastolle.
Tietoturva ja -suojapoikkeamien havaitsemis-, ilmoittamis- ja käsittelymenettelyiden kuvaus
ilmoitus HaiPro ilmoitus järjestelmän toimittajalle ilmoitus Valviralle
Selvitys siitä, miten valtakunnallisiin tietojärjestelmäpalveluihin liittyvät tietosuojan erityiskysymykset on järjestetty.
1. Henkilöillä, jotka käyttävät tietojärjestelmiä, on siihen koulutus
2. Verkkoyhteyksien suojaus
3. Käyttäjätunnusten yksilöllisyys
4. Auditoitu järjestelmä5. Viestinvälityksen
vaatimukset ja vastuut6. Sosiaalihuollossa
syntyvien tietojen Kantaan tallentamisen estäminen
7. Tietoliikenneyhteydet
1. Valtakunnallisten tietojärjestelmäpalveluiden koulutus henkilöstölle
2. Liittyvien järjestelmien tulee olla palomuurilla/ palomuureilla suojatut.
3. Toimikortti kirjautuminen4. Valtakunnallisiin tietojärjestelmäpalveluihin liittyvät
organisaatiot käyttävät auditoituja järjestelmiä.5. Sopimuksissa on huomioitu vaaditut viestinnän
luottamuksellisuuteen liittyvät vaatimukset.6. Potilastiedot erotettu potilastietojärjestelmässä
siten, että ne eivät tallennu Kantaan.7. Tietoliikenneyhteyksien sopimuksissa on huomioitu
tietoturvapolitiikan vaatimukset.
Omavalvontasuunnitelman toteutumisen seuranta
1. Palvelujen antajan on aktiivisesta seurattava omavalvontasuunnitelman toteutumista. Palvelujen antaja on vastuussa siitä, että tietoturvaan, tietosuojaan ja tietojärjestelmien käyttöön ja ylläpitoon liittyvät asian tulevat
1. Omavalvontasuunnitelmassa on määriteltävä vastuut suunnitelman päivittämisestä ja toteutumisen seurannasta.
2. Sosiaalihuollon ja terveydenhuollon toimintayksikön vastaavan johtajan tulee antaa kirjalliset ohjeet asiakastietojen käsittelystä ja noudatettavista menettelytavoista sekä huolehtia henkilökunnan riittävästä asiantuntemuksesta ja osaamisesta
20
jatkuvasti hoidetuksi asianmukaisesti.
asiakastietojen käsittelyssä. Vastaavan johtajan tulee myös huolehtia 19 h §:ssä tarkoitetun omavalvontasuunnitelman laatimisesta ja noudattamisesta.
Asiasisällön kommentointi 3.6.2014 Tanja Stormbom, lakimies, Terveyden ja hyvinvoinnin laitos (THL)
Sosiaali- ja terveydenhuollon tietojärjestelmiä käyttävien palveluiden antajien omavalvontasuunnitelman kooste
VAATIMUS KUNNOSSA / VAATII TARKENNUSTA / KESKENERÄINEN
VASTUUTAHO
TODENTAMINEN / PVM
21
1. Henkilöillä, jotka käyttävät tietojärjestelmiä, on niiden käytön vaatima koulutus ja kokemus.
Organisaation johto/ esimiehet Järjestelmän toimittaja
2. Tietojärjestelmien yhteydessä on saatavilla niiden asianmukaisen käytön kannalta tarpeelliset käyttöohjeet.
Organisaatio
Järjestelmäntoimittaja
3. Tietojärjestelmiä käytetään valmistajan antaman ohjeistuksen mukaisesti.
Organisaatio
Järjestelmäntoimittaja
4. Tietojärjestelmiä ylläpidetään ja päivitetään valmistajan ohjeistuksen mukaisesti.
Organisaatio
Järjestelmäntoimittaja
Järjestelmätuki
5. Käyttöympäristö soveltuu tietojärjestelmien asianmukaiseen sekä tietoturvan ja tietosuojan varmistavaan käyttöön.
Rekisterinpitäjä
Organisaatio
Järjestelmäntoimittaja
Järjestelmätuki
Tietoliikenneoperaattori
6. Tietojärjestelmiin liitetyt muut tietojärjestelmät tai muut järjestelmät eivät vaaranna tietojärjestelmien suorituskykyä eivätkä niiden tietoturva- tai tietosuojaominaisuuksia.
Organisaatio
Järjestelmäntoimittaja
Järjestelmätuki
Tietoliikenneoperaattori
7. Tietojärjestelmiä asentaa, ylläpitää ja päivittää vain henkilö, jolla on siihen tarvittava ammattitaito ja asiantuntemus.
Organisaatio
Järjestelmäntoimittaja
8. Vaaratilanteista ja poikkeamista ilmoittaminen Organisaatio
9. Selvitys siitä, miten valtakunnallisiin tietojärjestelmäpalveluihin liittyvät tietosuojan erityiskysymykset on järjestetty.
Rekisterinpitäjä
Organisaatio
Järjestelmäntoimittaja
Tietoliikenneoperaattori Teknisen ympäristön tarjoaja
Palvelun välittäjä
10. Omavalvontasuunnitelman toteutumisen seuranta Organisaation johto/ vastaava johtaja
22