Tietosuoja ja tietoturva

Pihlajalinna-konsernin tietosuoja- ja tietoturvapolitiikka

Päivitetty 28.2.2023

JOHDANTO

Pihlajalinnassa kunnioitetaan ja suojellaan kaikkien sidosryhmien yksityisyyttä, koska terveyspalveluihin liittyvä potilastieto ja sosiaalipalveluita koskeva asiakastieto ovat erityislainsäädännön alaisia. Tässä dokumentissa kuvataan Pihlajalinna-konsernin tietosuoja- ja tietoturvapolitiikan tavoitteet, organisointi, vastuut ja toteutus. Sosiaali- tai terveyspalveluiden palveluntuottajana Pihlajalinna toimii korotetun tietoturvatason käytäntöjen mukaisesti, mm. kattavan lokiseurannan, IT-ympäristön ympärivuorokautisen valvonnan sekä tietoturvan jatkuvan kehittämisen kautta.

Pihlajalinna noudattaa kaikessa henkilötietojen käsittelyssä EU:n yleistä tietosuoja-asetusta, Tietosuojalakia ja tietosuojaviranomaisten linjauksia.

Tätä politiikkaa täydentävät muut hyväksytyt suunnitelmat ja ohjeet. Jokaisen Pihlajalinnan työntekijän ja Pihlajalinnan tietojärjestelmiä käyttävän yhteistyökumppanin on tunnettava tämä politiikka ja noudatettava sen perusteella annettuja ohjeita ja määräyksiä.

TAVOITTEET

Tietosuoja- ja tietoturvatyön tavoitteena on

  • turvata kaiken tiedon lainmukainen ja tietoturvallinen käsittely
  • varmistaa konsernin tai konserniyhtiöiden toimintojen jatkuvuuden turvaaminen kaikissa olosuhteissa
  • ennaltaehkäistä ja estää tietosuoja ja -tietoturvapoikkeamat
  • varmistaa Pihlajalinna-konsernin tietojärjestelmien turvallisuus.

ORGANISOINTI JA VASTUUT

Tietosuojaa ja -turvaa johtaa ja valvoo Pihlajalinnan toimitusjohtaja. Toimitusjohtaja päättää kokonaisturvallisuuden eri osa-alueiden kehittämisen tavoitteista, organisoinnista, resursseista ja toimintavaltuuksista.

Tietosuojasta vastaavana johtajana toimii lääketieteellinen johtaja, joka myös nimeää tietosuojavastaavat. Tietoturvasta vastaavana johtajana toimii tietohallintojohtaja, joka nimittää tietoturvajohtajan ja tietoturvavastaavan.

Pihlajalinnan keskeisten toimintojen näkemyksiä edustaa kuukausittain kokoontuva tietosuoja- ja tietoturvaryhmä. Tietosuoja- ja tietoturvaryhmä käsittelee linjaukset ja ohjeet ennen kuin ne esitellään johdolle hyväksyttäväksi. Tietosuoja- ja tietoturvaryhmään kuuluvat mm. tietosuojasta vastaava johtaja, tietoturvasta vastaava johtaja, tietosuojavastaavat ja tietoturvavastaava.

TOTEUTUS

Hyväksytyn tietosuoja- ja tietoturvapolitiikan mukainen tietosuoja ja -turva tulee sisällyttää luonnollisena osana kaikkeen toimintaan. Tietosuojan ja -turvan kehittäminen ja ylläpito on osa Pihlajalinna-konsernin ja konserniyhtiön yleistä turvallisuustoimintaa, riskien hallintaa ja sisäistä valvontaa.

JOKAPÄIVÄINEN TYÖSKENTELY, SEURANTA JA VALVONTA

  • Jokainen Pihlajalinnan työntekijä on omalta osaltaan vastuussa tietosuojan ja -turvan toteutumisesta sekä velvollinen raportoimaan havaitsemistaan tietosuojaan tai -turvaan liittyvistä uhkista tai poikkeamista annettujen ohjeistuksen mukaisesti.
  • Pihlajalinnassa on toimintaohje ja prosessi poikkeamien käsittelyyn. Näillä pyritään varmistamaan toiminnan jatkuvuus ja jatkuva kehittäminen.
  • Pihlajalinnan tietojärjestelmiä ja verkkoliikennettä valvotaan ympärivuorokautisesti.
  • Käyttäjien toimintaa ohjataan hyväksytyillä ja saatavilla olevilla ohjeilla, jatkuvalla tiedottamisella sekä tietosuoja- ja tietoturvakoulutuksilla. Ohjeistuksia päivitetään säännöllisesti.
  • Tietoturva-asioiden ohjeistamisesta, tiedottamisesta ja valvonnasta omassa yksikössään vastaa yksikön esihenkilö(t) ja potilastietojen tietosuojan osalta yksikön vastaava lääkäri(t).
  • Tietosuojasta ja tietoturvasta vastaavien henkilöiden tehtävänä on seurata, valvoa ja raportoida Pihlajalinnan tietosuojan ja tietoturvan toteutumista sekä ryhtyä tarvittaessa toimenpiteisiin niiden parantamiseksi.
  • Pihlajalinna tekee yhteistyötä eri intressiryhmien ja viranomaisten kanssa EU-tietosuoja-asetuksen, paikallisen lainsäädännön ja erillislainsäädännön mukaisesti.
  • Tietoturvaa kehitetään ja testataan jatkuvasti myös ulkopuolisten yhteistyökumppaneiden toimesta. Testausten perusteella tehdään tarvittaessa kehittäviä ja korjaavia toimenpiteitä.
  • Tietosuojaa koskeva vaikutustenarviointi (DPIA) tehdään aina uusia järjestelmiä ja käsittelyprosesseja käyttöönotettaessa.