Miten löytää hyviä käytäntöjä? Tietosuojatyön organisointi (terveydenhuollossa)

Jarkko Oksala

Tietohallintojohtaja, Tampereen kaupunki

28.1.2016

28.1.2016 Jarkko Oksala 1

Asioita tietosuojatyön organisoinnista

• Tietosuojatyö kilpailukyvyn

lähteenä?

• Johdon rooli

• Näkemyksiä tietosuojatyön

organisoinnista

• Miten järjestää seuranta?

• Eräs haaste ja

ratkaisuehdotus

• Käytännön esimerkkejä 28.1.2016 Jarkko Oksala 2

Tietosuojatyö – Kilpailukyvyn lähde Mitä hyvin hoidettu tietosuoja voi tarkoittaa?

Asiakasnäkökulma • Asiakkaiden ja työntekijöiden yksityisyyden suoja paranee

• Potilasturvallisuus paranee terveydenhuollossa

Henkilöstön näkökulma • Henkilöstön osaaminen ja oikeusturva paranevat

Organisaation näkökulma • Organisaatio näyttäytyy luotettavana palvelujen antajana ja haluttuna

yhteistyökumppanina

• Organisaation tuottavuus ja tehokkuus kasvaa

• Riskien todennäköisyydet pienenevät

• Kustannussäästöt ovat mahdollisia 28.1.2016 Jarkko Oksala 3

Johdon rooli – Varmista perusedellytykset

1) Nosta tietosuoja johdon agendalle ja pidä se siellä

2) Nimeä avainhenkilöt ja varmista riittävä resursointi

3) Laadi pelisäännöt

4) Panosta henkilöstön kouluttamiseen

5) Seuraa ja kehitä, sekä puutu poikkeamiin

28.1.2016 Jarkko Oksala 4

Johdon rooli – Mihin kannattaa keskittyä?

JOHDON VELVOITTEET JA VASTUU: • Nykytilan kartoitus

• Rekisterihallinnon järjestäminen

• Kirjalliset politiikat, periaatteet ja ohjeet

• Riittävät resurssit • Tietosuojavastaavan nimeäminen ja tehtävien ja aseman määrittely • Tietosuojaryhmän perustaminen ja tehtävien määrittely

• Riskienhallinta • Riskien tunnistaminen ja luokittelu • Riskianalyysit • Toimintaohjeet riskien toteutuessa

• Seuraamuskäytännöt tietosuojarikkomuksissa

• Tietosuojattavan jätteen hävitysprosessin järjestäminen

• Tietoturvan ja tietosuojan omavalvontasuunnitelma

• Tietotilinpäätös

28.1.2016 Jarkko Oksala 5

Organisointi - Roolit

• Tietosuojapäällikkö • Kokonaisvastuu

• Tietosuojaryhmän johtaminen

• Tietosuojaryhmä • Näkyvyys kokonaisuuteen

• Asioiden koordinointi

• Eri osa-alueiden edustajat, mm. HR, Laki, ICT, riskienhallinta

• Tietosuojavastaava(t) • Vastuu sovitusta osa-alueesta

• Määrä organisaation koon mukaan

Tietosuojapäällikkö

Tietosuojavastaava – Alue 1

Tietosuojavastaava – Alue 2

Tietosuojavaastava – Alue 3

28.1.2016 Jarkko Oksala 6

Organisointi – Tietosuojapäällikön ja tietosuojaryhmän toiminta

• Johdon tukena toimiminen

• Lainsäädännön muutoksien seuraaminen ja tiedottaminen

• Henkilöstön perehdytysprosessin varmistaminen

• Henkilöstön osaamisen mittaaminen

• Henkilötietojen käsittelyn valvonta

• Tietosuojapoikkeamien raportointi johdolle

• Yhteydenpito valvontaviranomaisiin

• Ohjeiden laatiminen ja jalkauttaminen (tietosuojavastaavat)

• Henkilöstön kouluttaminen ja auttaminen (tietosuojavastaavat)

28.1.2016 Jarkko Oksala 7

Tietotilinpäätös – mahdollisuus säännölliseen seurantaan

• Tietotilinpäätös on hyvä tapa systemaattisesti seurata ja kehittää organisaation tietopääoman käyttöä • Tietosuojan näkökulmasta se tarjoaa hyvän rakenteen seuraamiseen

• Esimerkkejä mittareista • tietoturva- ja tietosuojapoikkeamat

• tietojärjestelmien käyttökatkot

• käytönvalvontasuunnitelman toteutuminen

• tietoturvan ja tietosuojan omavalvontasuunnitelman toteutuminen

• tietosuoja- ja tietoturvarikkomukset

• lakimuutokset

• tietosuoja- tietoturvakoulutukset

• ohjeistukset

• Ehdotus: Tietotilinpäätökselle tulee määritellä kansallisesti yhteinen rakenne ja mittaristo • Organisaatioiden toimintaa voidaan verrata ja hyviä käytäntöjä siirtää

28.1.2016 Jarkko Oksala 8

Esimerkki haasteesta ja ratkaisuehdotus

• Tietosuojatyön organisointiin liittyy oleellisesti rekisterinpidon ja sen vastuun määrittelyt

• Rekisterinpitoon liittyvä lainsäädäntö on monimutkaista. Monenlaisia tulkintoja tehdään eri organisaatiossa, joka on päällekkäistä työtä.

• Monimutkaisuus + monta tulkintaa = kallista ja riskipitoista

• Ratkaisuehdotus: Yksinkertaistetaan rekisterinpitoa • Yksi kansallinen terveydenhuollon käyttövaltuuspolitikka

• Yksi kansallinen potilastiedon käsittelyohje

28.1.2016 Jarkko Oksala 9

Käytännön esimerkkejä - 1

Tampereen seudun tietoturva- ja tietosuoja yhteistyö

• seudun yhteinen tietoturvaryhmä, jossa jäsenet myös isoimmilta ICT-sopimuskumppaneilta

• seudun yhteinen tietoturvapolitiikka

• seudun yhteinen henkilöstön tietoturvaopas

• seudun yhteinen tietojen ja tietojärjestelmien käyttö- ja salassapitositoumus (sähköinen)

• mukana myös Pirkanmaan sairaanhoitopiiri

• seudun yhteinen mobiilipolitiikka

• seudun yhteiset käyttövaltuusperiaatteet

28.1.2016 Jarkko Oksala 10

Käytännön esimerkkejä - 2

Tautikartta kokeilu (Sote-tieto hyötykäyttöön – strategiaan

nojautuen)

• Tampere on kokeilemassa uudenlaista tapaa hyödyntää olemassa olevaa terveystietoa.

• Tautikartan avulla kuntalainen voi nähdä, minkälaisia tauteja missäkin päin kaupunkia milloinkin sairastetaan.

• Tampereen kaupungin tietohallinto toteuttaa tautikarttaa Demolan eli ammattikorkeakoulu- ja yliopisto-opiskelijoista koostuvan ryhmän kanssa yhteistyössä.

• Tietoaineisto saadaan koottua kaupungin tietovarastosta ja visualisoidaan tietokarttaan.

• ikä, diagnoosi, käyntipäivä ja postinumero

28.1.2016 Jarkko Oksala 11

Tietosuojatyöhön panostaminen kannattaa!

28.1.2016 Jarkko Oksala 12

Kulutettu aika ja resurssit

Tie

tosuoja

työn t

ulo

kset

Henkilöstön

osaaminen

kasvaa

Tuottavuus ja

tehokkuus

kasvaa

Johdon riskit

pienenevät