Ge utlåtande
Lausuntopyyntö: Määräys tietoturvasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista
Svarstiden gick ut: 1.12.2023
Uppgifter om begäran om utlåtande
Johdanto
Terveyden ja hyvinvoinnin laitos (THL) pyytää lausuntoa määräysluonnoksesta 3/2024 tietoturvasuunnitelmaan sisältyvistä selvityksistä ja vaatimuksista.
Laki sosiaali- ja terveydenhuollon asiakastietojen käsittelystä (703/2023) tulee voimaan 1.1.2024. Tällä hetkellä voimassa olevan asiakastietolain 784/2021 nojalla annetut Terveyden ja hyvinvoinnin laitoksen määräykset vuodelta 2021 on uudistettava lain uudistuessa. Näin ollen myös tietoturvasuunnitelman määräys on uudistettava, tuleva määräys 3/2024 korvaa määräyksen 3/2021.
Määräys koskee niitä, jotka asiakastietolain mukaan ovat velvollisia laatimaan tietoturvasuunnitelman: sosiaali- ja terveydenhuollon palvelunantajia, apteekkeja, välittäjiä sekä Kansaneläkelaitosta. Tietoturvasuunnitelmien avulla vahvistetaan sosiaali- ja terveydenhuollon toimijoiden tietoturvallisuuskäytäntöjä.
Tausta
Sosiaali- ja terveydenhuollon tiedonhallintaa ja asiakastietojen sähköistä käsittelyä ohjataan asiakastietolakiin pohjautuvilla THL:n määräyksillä. Määräyksiä kohdistuu asiakastietojen tietorakenteisiin ja tietojen välittämiseen sosiaali- ja terveyspalvelujen ulkopuolelle. Tietoturvasuunnitelmien avulla sosiaali- ja terveydenhuollon toimijoita ohjataan riittäviin ja yhdenmukaisiin tietoturva- ja tietosuojakäytäntöihin. Lisäksi tietojärjestelmiin ja hyvinvointisovelluksiin kohdistuvia olennaisia vaatimuksia yhdenmukaistetaan valtakunnallisesti. Olennaisten vaatimusten määräykset kohdistuvat ratkaisujen toiminnallisuuteen, yhteen toimivuuteen ja tietoturvallisuuteen. Määräykset ohjaavat myös asiakas- ja hyvinvointitietoja käsittelevien järjestelmien ja sovellusten sertifiointia.
Tietoturvasuunnitelman määräyksen 2024 sisältö ei tule oleellisesti muuttumaan vuoden 2021 määräyksestä. Uudessa määräyksessä on erityisesti kiinnitetty huomiota luettavuuteen ja selkeyteen. Syksystä 2021 muuttuneen yleisen kyberturvallisuustilanteen vuoksi organisaatioiden on hyvä tarkastella ja ylläpitää tietoturvasuunnitelmiaan entistä nopeammalla syklillä oman valmiutensa (resilienssinsä) kohentamiseksi.
Organisaatioiden velvollisuutena on toimia tietoturvasuunnitelman mukaisesti, säännöllisesti ylläpitää suunnitelmaa ja seurata aktiivisesti sen toteutumista. Kyse on jatkuvasta ja säännöllisestä riskien hallinnasta, asianmukaisten tietoturvallisuuden ja asiakastietojen käytäntöjen varmistamisesta sekä niiden toteuttamisesta.
Linkit
https://thl.fi/fi/web/tiedonhallinta-sosiaali-ja-terveysalalla/ajankohtaista/lausuntokierroksella/sote-tiedonhallinnan-maaraykset - (lausuttava materiaali)
https://thl.fi/sv/web/informationshantering-inom-social-och-halsovarden/aktuellt/foreskrifter-om-informationshantering-inom-social-och-halsovarden - (material för utlåtandet)
Aikataulu
Vastausohjeet vastaanottajille
Lausuttava materiaali on julkaistu THL:n verkkosivulla.
Lausuntoa ei tarvitse lähettää erikseen sähköpostitse tai postitse. Lausunnon antaakseen vastaajan tulee rekisteröityä ja kirjautua lausuntopalvelu.fi:hin. Tarkemmat ohjeet palvelun käyttämiseksi löytyvät lausuntopalvelu.fi:n sivulta Ohjeet > Käyttöohjeet. Palvelun käyttöönoton tukea voi pyytää osoitteesta [email protected].
Kaikki annetut lausunnot ovat julkisia ja ne julkaistaan lausuntopalvelu.fi:ssä.
Asiasanat
THL
Asiakastietolaki 703/2023
THL:n määräykset
Terveyden ja hyvinvoinnin laitos