xxx

Tietosuoja ja tietoturva

Forever on osa Pihlajalinna-konsernia. Pihlajalinna-konsernin tietosuoja- ja tietoturvapolitiikka

Päivitetty 28.3.2018

JOHDANTO

Me Pihlajalinna-konsernissa (”Pihlajalinna”) kunnioitamme asiakkaiden, potilaiden, kumppaneiden ja työntekijöiden yksityisyyttä. Tässä tietosuoja- ja tietoturvapolitiikassa kerrotaan, miten Pihlajalinna-konserniin kuuluvat yhtiöt keräävät, käyttävät ja käsittelevät erilaisia henkilötietoja ja varmistavat yksityisyyden suojan. Tietosuoja- ja tietoturvapolitiikka määrittelee ne periaatteet, vastuut, velvoitteet, toimintatavat sekä seurannan ja valvonnan, joita konsernissa noudatetaan tietosuojan ja -turvan toteuttamisessa ja kehittämisessä. Tätä politiikkaa täydentävät yksityiskohtaiset määräykset ja ohjeet.

Konsernin rekisterit sisältävät potilaisiin, asiakkaisiin, työntekijöihin, sidosryhmiin, toimittajiin ja toimintaan liittyvää tietoa, joka on lainsäädännön perusteella suojattava. Henkilötietojen käsittelystä on säädelty EU:n tietosuoja-asetuksella sekä tähän liittyvällä paikallisella lainsäädännöllä. Terveyspalveluihin liittyvä potilastieto ja sosiaalipalveluita koskeva asiakastieto ovat erityislainsäädännön alaisia.
Pihlajalinna-konsernin johtoryhmän käsittelemä ja toimitusjohtajan vahvistama tietosuoja- ja tietoturvapolitiikka kattaa konsernin kaikkeen toimintaan liittyvät tietojenkäsittelyn tehtävät. Jokaisen Pihlajalinna-konsernin työntekijän ja tietojärjestelmien käyttäjän on tunnettava tämä politiikka ja noudatettava sen perusteella annettuja ohjeita ja määräyksiä.

Konsernin ulkopuolisten toimijoiden, toimittajien ja muiden ulkopuolisten tahojen tulee myös sitoutua noudattamaan lainsäädäntöä, tätä tietosuoja- ja tietoturvapolitiikkaa sekä tietosuojaa ja -turvaa koskevia ohjeita ehtona tehtäviensä mukaiselle pääsylle konsernin tietojärjestelmiin ja niiden tietoaineistoihin. Konsernin toimiessa rekisterinpitäjänä edellytetään toimittajilta erillisen henkilötietojen käsittelyä koskevan sopimuksen (tai liitteen) allekirjoitusta. Yksittäisiltä tietoja käsitteleviltä henkilöiltä edellytetään tietosuojasitoumuksen allekirjoitus. Konsernin tai konserniyhtiön toimiessa henkilötietojen käsittelijänä solmitaan erillinen sopimus henkilötietojen käsittelystä.

Tietosuojalla tarkoitetaan yksityisyyden suojaamista henkilötietoja käsiteltäessä.
Hyväksytyn tietosuoja- ja tietoturvapolitiikan mukainen tietosuoja ja -turva tulee sisällyttää luonnollisena osana kaikkeen toimintaan. Tietosuojan ja -turvan kehittäminen ja ylläpito on osa konsernin ja konserniyhtiön yleistä turvallisuustoimintaa, riskien hallintaa ja sisäistä valvontaa.

TIETOSUOJA- JA TIETOTURVATYÖ

Tietosuoja- ja tietoturvatyön tavoite on turvata henkilötietojen lainmukainen käsittely, varmistaa konsernin tai konserniyhtiön tietojärjestelmien ja tietoverkkojen keskeytymätön toiminta, estää tietoturvaloukkaukset sekä ulkopuolisten asiaton pääsy tietojärjestelmiin ja/tai niiden valtuudeton käyttö, estää tietojen tahaton tai tahallinen tuhoutuminen tai vääristyminen sekä minimoida aiheutuvat vahingot. Lisäksi varaudutaan toiminnan keskeyttäviin uhkatilanteisiin ja niiden ratkaisemiseen.
Sosiaali- tai terveyspalveluiden palveluntuottajana konserni toimii korotetun tietoturvatason käytäntöjen mukaisesti.

ORGANISOINTI JA VASTUUT

Tietosuojaa ja -turvaa johtaa ja valvoo konsernin toimitusjohtaja. Toimitusjohtaja päättää konsernin kokonaisturvallisuuden eri osa-alueiden kehittämisen tavoitteista, organisoinnista, resursseista ja toimintavaltuuksista. Tietosuojasta vastaavana johtajana toimii konsernin lääketieteellinen johtaja, joka nimeää tietosuojavastaavat. Tietoturvasta vastaavana johtajana toimii konsernin digitaalisesta kehityksestä vastaava johtaja, joka nimeää tietoturvavastaavan. Tietoturvasta vastaava johtaja sekä tietosuojasta vastaava johtaja raportoivat toimitusjohtajalle.

Tietosuojavastaava vastaa EU-tietosuoja-asetuksen sekä paikallisen lainsäädännön mukaisista tehtävistä. Tietoturvavastaava vastaa konsernin tietoturvatyön kokonaisuudesta konsernin johdolta saamiensa resurssien ja toimintavaltuuksien puitteissa. Hän vastaa myös tietoturva-asioiden viestinnästä konsernissa.

Konsernin keskeisten toimintojen näkemyksiä edustaa tietosuoja- ja tietoturvaryhmä, jonka asettaa tietosuojasta ja tietoturvasta vastaavat johtajat. Tietosuoja- ja tietoturvaryhmä käsittelee linjaukset ja ohjeet ennen kuin ne esitellään johdolle hyväksyttäväksi. Tietosuoja- ja tietoturvaryhmään kuuluvat ainakin tietosuojasta vastaava johtaja, tietoturvasta vastaava johtaja, tietosuojavastaava(t), tietoturvavastaava, konsernin omien potilastietojärjestelmien pääkäyttäjät sekä henkilöstö- ja kiinteistöhallinnon edustajat.

Ryhmän jäsenten tehtävät ovat:

  • Ryhmän jäsenet vastaavat oman vastuualueensa asioiden valmistelusta
  • Tietosuojavastaavan tehtävät on määritelty EU-tietosuoja-asetuksessa
  • Tietoturvavastaava vastaa tietoturvan määrittelystä, arvioinnista ja raportoinnista. Hän vastaa tietoturvan kehittämissuunnitelmien tekemisestä, toteutuksen valvonnasta, tietoturvatietouden edistämisestä ja tietoturvallisesta toimintatavasta konsernissa ja sen ostamissa palveluissa sekä raportoinnista johdolle.
  • Tietoturvavastaava vastaa laitteisto- ja ohjelmistoturvallisuudesta
  • Kiinteistöhallinnon edustaja vastaa tila- ja laiteteknisestä turvallisuudesta
  • Henkilöstöhallinnon edustaja vastaa henkilöstöturvallisuudesta tietoturvallisuuden osalta
  • Tietosuoja- ja -turvaryhmän puheenjohtajana toimii tietosuojasta vastaava johtaja tai hänen ollessaan estynyt tietoturvasta vastaava johtaja
    Jokaisella konsernin henkilötietoja sisältävällä rekisterillä on rekisteristä vastaava henkilö, jonka vastuut on kuvattu EU-tietosuoja-asetuksessa ja paikallisessa lainsäädännössä.

Jokaisella konsernin tietojärjestelmällä on omistajayksikkö ja vastuuhenkilö. Tietojärjestelmän vastuuhenkilön velvollisuuksiin kuuluu tietojärjestelmän toimintaan ja turvallisuuteen asetettavien vaatimusten (esim. kriittisyyden, jatkuvuussuunnittelun ja varmuuskopiointimenettelyn) määrittely sekä käyttöoikeuksien myöntäminen ja valvonta.

Tietoturva-asioiden ohjeistamisesta, tiedottamisesta ja valvonnasta omassa yksikössään vastaa yksikön esimies/esimiehet ja potilastietojen tietosuojan osalta yksikön vastaava lääkäri.

Jokainen konsernin työntekijä, henkilötietoja tai muita tietoja käsittelevä, tietojärjestelmien tai tietoverkkojen ylläpitäjä tai käyttäjä on omalta osaltaan vastuussa tietosuojan ja -turvan toteuttamisesta sekä ohjeiden noudattamisesta. Jokainen henkilö on velvollinen tietosuojaan tai -turvaan liittyvien uhkien ja poikkeamien raportoimisesta tietosuoja- tai tietoturvavastaavalle.

TOTEUTUS

Tietosuojan ja -turvan toteuttamisen perusta on tämä konsernin kirjallinen tietosuoja- ja tietoturvapolitiikka, joka annetaan tiedoksi jokaiselle konsernin työntekijälle ja tietojärjestelmien käyttäjälle.

Konsernin tietosuoja- ja tietoturvaperiaatteet perustuvat EU-tietosuoja-asetukseen ja kansalliseen lainsäädäntöön. Tietosuojan ja -turvan toteuttaminen ja ylläpito kuvataan yksityiskohtaisesti erillisissä ohjeissa. Tietosuojan ja -turvan tavoitteiden saavuttaminen on jatkuva prosessi.

Käyttäjien toimintaa ohjataan vahvistetuilla ja saatavilla olevilla ohjeilla sekä tietosuoja- ja tietoturvakoulutuksella.

SEURANTA JA VALVONTA

Konserniyhtiöiden esimiesten, vastaavan lääkärin ja vastuuhenkilön tehtävänä on valvoa tietosuojan- ja tietoturvan toteutumista omassa yksikössään.

Tietoturvavastaavan tehtävänä on seurata ja valvoa konsernin tietoturvan toteutumista ja ryhtyä tarvittaessa toimenpiteisiin tietoturvan parantamiseksi.

TIETOJEN HANKINTA, LÄHTEET JA TIETORYHMÄT

Tiedon hankintatavat, lähteet sekä rekisteröidyistä muodostetut tietoryhmät on erikseen kuvattu kunkin rekisterin tietosuojaselosteessa.

TIETOJEN LUOVUTTAMINEN ASIAKKAILLE JA AVOIMUUS REKISTERÖITYJÄ KOHTAAN

Tietojen luovuttaminen asiakkaille sekä avoimuus rekisteröityjä kohtaan on kuvattu kunkin rekisterin osalta tietosuojaselosteessa.

YHTEISTYÖ ERI INTRESSIRYHMIEN JA VIRANOMAISTEN KANSSA

Konserni tekee yhteistyötä eri intressiryhmien ja viranomaisten kanssa EU-tietosuoja-asetuksen, paikallisen lainsäädännön ja erillislainsäädännön mukaisesti.

KANSAINVÄLISYYS

Konserni ei toimita henkilötietoja EU-alueen ulkopuolelle.

TIETOSUOJAA VALVOVA VIRANOMAINEN

Tietosuojavaltuutettu on viranomainen, joka ohjaa, neuvoo ja valvoo henkilötietojen käsittelyä henkilötietolain mukaisesti. Tietosuojavaltuutettu käyttää päätösvaltaa tarkastusoikeuden toteuttamista ja tiedon korjaamista koskevissa asioissa sekä antaa ratkaisuja rekisterinpidon lainmukaisuudesta ja rekisteröityjen oikeuksien toteutumisesta.

TIETOSUOJA- JA TIETOTURVAPERIAATTEIDEN PÄIVITTÄMINEN

Tietosuoja- ja tietoturvaperiaatteet ovat tämän hetken käytäntömme mukaiset. Päivitämme periaatteita säännöllisesti ja vähintään vuosittain.