Etusivu / Tietoturva

Tietoturva

Dextra Munkkivuoren ja Kampin koko toiminnalle on myönnetty ISO 9001 laatusertifikaatti, ISO 14001 ympäristösertifikaatti, OHSAS 18001 työterveys- ja työturvallisuussertifikaatti sekä tietoturvallisuuden hallinta¬järjestelmä¬sertifikaatti ISO/ IEC 27001.

Tietoturvallisuuspolitiikka

Päämäärä

Tietoturvallisuudella tarkoitetaan kaikkien tietojen, missä tahansa muodossa ne esiintyvätkään, turvallista käsittelyä. Tietoturvallisuus on tietojen laadun, luottamuksellisuuden, eheyden, koskemattomuuden säilyttämistä ja suojaamista sekä käytettävyyden varmistamista. Tietoturvalla tarkoitetaan niitä käytännön toimenpiteitä, joilla pyritään tietosuojan toteuttamiseen, kuten toimitilojen turvaaminen, vakuutukset, jatkuvuussuunnittelu ja hallinto.

Pihlajalinna-konsernin liiketoiminta edellyttää tietojärjestelmien häiriötöntä ja turvallista toimintaa. Liiketoiminnan jatkuvuuden varmistamiseksi tietoturvallisuutta seurataan aktiivisesti ja poikkeamiin puututaan nopeasti ennalta määriteltyjen menetelmien mukaisesti. Asiakkaiden tyytyväisyys on kiinni myös tietoturvan tasosta. Tietoturvallisuusratkaisut toteutetaan ajantasaisin ja -mukaisin ratkaisuin, joiden käyttäjien kokemaan käytettävyyteen kiinnitetään erityistä huomiota.

Pihlajalinna-konsernin tavoitteena on turvata riittävällä ja tarkoituksenmukaisella tasolla toiminnalleen tärkeiden tietojen, tietojärjestelmien, palveluiden ja tietoverkkojen toiminta, estää niiden valtuudeton käyttö sekä tahaton tai tahallinen tiedon tuhoutuminen ja vääristyminen. Pihlajalinna-konserni varautuu tietoturvallisuuden osalta häiriö- ja poikkeusoloihin siten, että toimintaa voidaan jatkaa mahdollisimman häiriöttömästi kaikissa olosuhteissa

Tietoturvallisuutta toteutetaan ja kehitetään käyttäen riskien kannalta tarkoituksenmukaisia ja kustannustehokkaita ratkaisuja. Toiminnassa huomioidaan asiakkaiden ja yhteistyökumppanien sopimukset sekä muut lakien vaatimukset. Käyttäjien toiminnan tietoturvallisuutta ohjataan säännöillä ja ohjeilla sekä tietojen turvallisen käsittelyn koulutuksella ja tiedotuksella.

Vastuut ja organisointi

Konsernin johto vastaa liiketoimintavaatimusten määrittämisestä tietojärjestelmille sekä tietoturvan riittävästä resursoinnista. Terveydenhuollon johtaja vastaa tietoturvallisuuden ohjeistamisesta ja yleisten tietoturvavaatimusten määrittämisestä sekä henkilökunnan kouluttamisesta.

Tietohallintojohtaja vastaa liiketoimintavaatimusten mukaisten tietojärjestelmien toteuttamisesta. Tietohallintojohtajan tehtävänä on varmistaa, että liiketoiminnat ja tietohallinto huolehtivat lakeihin ja muihin ulkoisiin vaatimuksiin perustuvien vaatimusten toteuttamisesta toiminnassaan sekä tietoturvan teknisestä valvonnasta. Hänellä on vastuu tietoturvallisuuden kokonaisvaltaisesta kehittämisestä sekä raportoinnista tietoturvallisuuden tilasta liiketoimintajohtajalle. Hänen sekä liiketoimintajohtajan tukena toimii tietoturvajohtaja.

Tietoturvajohtaja varmistaa, että tietoturvallisuusriskit on tunnistettu, arvioitu sekä riskien edellyttämät toimenpiteet toteutettu, jotta tietoturvallisuus pysyy ajan tasalla.

Potilasasiamiehen tehtävänä on edistää potilaan oikeuksien toteutumista. Potilasasiamies on keskeisessä asemassa hyvän henkilötietojen käsittelytavan ja hyvän hoitokäytännön toteuttamisessa.

Liiketoiminta vastaa yksikköjen toimintojen tietoturvallisuudesta ja siihen liittyvien kehittämistoimenpiteiden resursoinnista ja toimeenpanosta asetettujen tietoturvallisuuden tavoitteiden mukaisesti.

Kaikkien edellä mainittujen osapuolien sekä palvelupäälliköiden ja palveluvastaavien tehtävänä on huolehtia henkilökunnan ja ammatinharjoittajien sekä ulkoisten palveluntuottajien tietoturvatietoisuudesta, jotta he voivat tunnistaa tietoturvauhat ja toimia oikein niitä kohdatessaan. Esimiesten tehtävänä on valvoa osana normaalia esimiestoimintaa alaisten tietoturvaohjeistukseen tutustumista sekä tarvittaessa puuttua tietoturvapolitiikan ja -ohjeiden vastaiseen toimintaan.

Kaikilta käyttäjiltä edellytetään annettuihin ohjeisiin tutustumista ja niiden noudattamista sekä havaitsemiensa tietoturvauhkien ja -riskien tiedottamista.

Tietoturvakäytännöt

Riskien arviointi

Tietoturvariskejä arvioidaan ja analysoidaan säännöllisesti 1 x vuodessa ja aina uusien järjestelmien määrittelyvaiheessa sekä merkittävien toiminnan kriittisyyteen vaikuttavien muutosten yhteydessä.

Keskitetty käyttöoikeuksien hallinta

Kaikkien järjestelmien käyttöoikeus- ja pääsynhallinta hallittu keskitetysti Windows AD:n kautta. Järjestelmien pääkäyttäjät määrittelevät käyttöoikeuksien myöntämisperiaatteet. Ulkopuolisten käyttäjien oikeudet hallinnoidaan keskitetysti.

Kytkeytyminen tietoverkkoon

Pihlajalinna-konsernin tietoverkkoon ja siihen liitettyihin palveluihin voidaan kytkeytyä vain tietohallinnon hallinnoimilla tai hyväksymillä laitteistoilla ja ohjelmistoilla. Tietoturvallisuuden varmistamiseksi valvotaan ja tarvittaessa rajoitetaan ohjelmistoja ja tiedostomuotoja, joita järjestelmissä käytetään.

Valvonta ja seuranta

Tietoturvatilanteesta raportoidaan sisäisten ja ulkoisten auditointien yhteydessä, joihin johdon katselmuksessa otetaan kannanotto. Teknistä tietoturvaa arvioidaan jatkuvasti ja tärkeimpiin ympäristöihin tehdään erillisiä tietoturvatarkastuksia.

Tietoturvapoikkeamien käsittely

Pihlajalinna-konsernilla on määritetty menettelytavat ja välineet tietoturvapoikkeamien havaitsemiseksi. Lisäksi käytössä on suunnitelmat toiminnoille poikkeustilanteissa. Jokainen tietoturvapoikkeama kirjataan ja käsitellään jatkotoimenpiteitä varten.

Palvelutoimittajien seuranta

Toimittajien ja ulkoisten palveluntuottajien on sitouduttava noudattamaan konsernin määrittämiä tietoturvavaatimuksia ja niistä sovitaan palvelusopimusten tietoturvaliitteessä. Toimittajille tehdään säännöllisiä auditointeja tietoturvan toteutumisen varmistamiseksi. Ulkopuolisten palveluiden muutosten yhteydessä tietoturvavaatimukset tarkistetaan.

Tietoturvarikkomukset

Tietoturvarikkomukseksi lasketaan kaikki tietoturvapolitiikan ja tietoturvaohjeistuksen vastainen toiminta. Tietoturvallisuutta seurataan hyvien valvontaperiaatteiden mukaisesti. Seurantaa tehdään myös teknisillä ratkaisuilla lakeja ja sopimuksia noudattaen. Tietoturvarikkomusten tutkinnan aikana on mahdollisuus rajoittaa käyttöoikeuksia tietojärjestelmiin. Jokaisen tiedon käsittelijän velvollisuutena on ilmoittaa havaitsemistaan tietoturvallisuuden puutteista, mahdollisista väärinkäytöksistä tai epäilemistään tietoturvarikkomuksista. Liiketoimintajohtaja vastaa tietoturvapoikkeamien jatkotoimenpiteistä ja huolehtii rikostapauksissa yhteydenpidosta viranomaisiin. Konserni on määritellyt toimet tietoturvallisuuden rikkomustilanteissa.