View
419
Download
0
Category
Preview:
Citation preview
Miten löytää hyviä käytäntöjä? Tietosuojatyön organisointi (terveydenhuollossa)
Jarkko Oksala
Tietohallintojohtaja, Tampereen kaupunki
28.1.2016
28.1.2016 Jarkko Oksala 1
Asioita tietosuojatyön organisoinnista
• Tietosuojatyö kilpailukyvyn
lähteenä?
• Johdon rooli
• Näkemyksiä tietosuojatyön
organisoinnista
• Miten järjestää seuranta?
• Eräs haaste ja
ratkaisuehdotus
• Käytännön esimerkkejä 28.1.2016 Jarkko Oksala 2
Tietosuojatyö – Kilpailukyvyn lähde Mitä hyvin hoidettu tietosuoja voi tarkoittaa?
Asiakasnäkökulma • Asiakkaiden ja työntekijöiden yksityisyyden suoja paranee
• Potilasturvallisuus paranee terveydenhuollossa
Henkilöstön näkökulma • Henkilöstön osaaminen ja oikeusturva paranevat
Organisaation näkökulma • Organisaatio näyttäytyy luotettavana palvelujen antajana ja haluttuna
yhteistyökumppanina
• Organisaation tuottavuus ja tehokkuus kasvaa
• Riskien todennäköisyydet pienenevät
• Kustannussäästöt ovat mahdollisia 28.1.2016 Jarkko Oksala 3
Johdon rooli – Varmista perusedellytykset
1) Nosta tietosuoja johdon agendalle ja pidä se siellä
2) Nimeä avainhenkilöt ja varmista riittävä resursointi
3) Laadi pelisäännöt
4) Panosta henkilöstön kouluttamiseen
5) Seuraa ja kehitä, sekä puutu poikkeamiin
28.1.2016 Jarkko Oksala 4
Johdon rooli – Mihin kannattaa keskittyä?
JOHDON VELVOITTEET JA VASTUU: • Nykytilan kartoitus
• Rekisterihallinnon järjestäminen
• Kirjalliset politiikat, periaatteet ja ohjeet
• Riittävät resurssit • Tietosuojavastaavan nimeäminen ja tehtävien ja aseman määrittely • Tietosuojaryhmän perustaminen ja tehtävien määrittely
• Riskienhallinta • Riskien tunnistaminen ja luokittelu • Riskianalyysit • Toimintaohjeet riskien toteutuessa
• Seuraamuskäytännöt tietosuojarikkomuksissa
• Tietosuojattavan jätteen hävitysprosessin järjestäminen
• Tietoturvan ja tietosuojan omavalvontasuunnitelma
• Tietotilinpäätös
28.1.2016 Jarkko Oksala 5
Organisointi - Roolit
• Tietosuojapäällikkö • Kokonaisvastuu
• Tietosuojaryhmän johtaminen
• Tietosuojaryhmä • Näkyvyys kokonaisuuteen
• Asioiden koordinointi
• Eri osa-alueiden edustajat, mm. HR, Laki, ICT, riskienhallinta
• Tietosuojavastaava(t) • Vastuu sovitusta osa-alueesta
• Määrä organisaation koon mukaan
Tietosuojapäällikkö
Tietosuojavastaava – Alue 1
Tietosuojavastaava – Alue 2
Tietosuojavaastava – Alue 3
28.1.2016 Jarkko Oksala 6
Organisointi – Tietosuojapäällikön ja tietosuojaryhmän toiminta
• Johdon tukena toimiminen
• Lainsäädännön muutoksien seuraaminen ja tiedottaminen
• Henkilöstön perehdytysprosessin varmistaminen
• Henkilöstön osaamisen mittaaminen
• Henkilötietojen käsittelyn valvonta
• Tietosuojapoikkeamien raportointi johdolle
• Yhteydenpito valvontaviranomaisiin
• Ohjeiden laatiminen ja jalkauttaminen (tietosuojavastaavat)
• Henkilöstön kouluttaminen ja auttaminen (tietosuojavastaavat)
28.1.2016 Jarkko Oksala 7
Tietotilinpäätös – mahdollisuus säännölliseen seurantaan
• Tietotilinpäätös on hyvä tapa systemaattisesti seurata ja kehittää organisaation tietopääoman käyttöä • Tietosuojan näkökulmasta se tarjoaa hyvän rakenteen seuraamiseen
• Esimerkkejä mittareista • tietoturva- ja tietosuojapoikkeamat
• tietojärjestelmien käyttökatkot
• käytönvalvontasuunnitelman toteutuminen
• tietoturvan ja tietosuojan omavalvontasuunnitelman toteutuminen
• tietosuoja- ja tietoturvarikkomukset
• lakimuutokset
• tietosuoja- tietoturvakoulutukset
• ohjeistukset
• Ehdotus: Tietotilinpäätökselle tulee määritellä kansallisesti yhteinen rakenne ja mittaristo • Organisaatioiden toimintaa voidaan verrata ja hyviä käytäntöjä siirtää
28.1.2016 Jarkko Oksala 8
Esimerkki haasteesta ja ratkaisuehdotus
• Tietosuojatyön organisointiin liittyy oleellisesti rekisterinpidon ja sen vastuun määrittelyt
• Rekisterinpitoon liittyvä lainsäädäntö on monimutkaista. Monenlaisia tulkintoja tehdään eri organisaatiossa, joka on päällekkäistä työtä.
• Monimutkaisuus + monta tulkintaa = kallista ja riskipitoista
• Ratkaisuehdotus: Yksinkertaistetaan rekisterinpitoa • Yksi kansallinen terveydenhuollon käyttövaltuuspolitikka
• Yksi kansallinen potilastiedon käsittelyohje
28.1.2016 Jarkko Oksala 9
Käytännön esimerkkejä - 1
Tampereen seudun tietoturva- ja tietosuoja yhteistyö
• seudun yhteinen tietoturvaryhmä, jossa jäsenet myös isoimmilta ICT-sopimuskumppaneilta
• seudun yhteinen tietoturvapolitiikka
• seudun yhteinen henkilöstön tietoturvaopas
• seudun yhteinen tietojen ja tietojärjestelmien käyttö- ja salassapitositoumus (sähköinen)
• mukana myös Pirkanmaan sairaanhoitopiiri
• seudun yhteinen mobiilipolitiikka
• seudun yhteiset käyttövaltuusperiaatteet
28.1.2016 Jarkko Oksala 10
Käytännön esimerkkejä - 2
Tautikartta kokeilu (Sote-tieto hyötykäyttöön – strategiaan
nojautuen)
• Tampere on kokeilemassa uudenlaista tapaa hyödyntää olemassa olevaa terveystietoa.
• Tautikartan avulla kuntalainen voi nähdä, minkälaisia tauteja missäkin päin kaupunkia milloinkin sairastetaan.
• Tampereen kaupungin tietohallinto toteuttaa tautikarttaa Demolan eli ammattikorkeakoulu- ja yliopisto-opiskelijoista koostuvan ryhmän kanssa yhteistyössä.
• Tietoaineisto saadaan koottua kaupungin tietovarastosta ja visualisoidaan tietokarttaan.
• ikä, diagnoosi, käyntipäivä ja postinumero
28.1.2016 Jarkko Oksala 11
Tietosuojatyöhön panostaminen kannattaa!
28.1.2016 Jarkko Oksala 12
Kulutettu aika ja resurssit
Tie
tosuoja
työn t
ulo
kset
Henkilöstön
osaaminen
kasvaa
Tuottavuus ja
tehokkuus
kasvaa
Johdon riskit
pienenevät
Recommended