Oh no! No description found. But not to worry. Read from Tasks below how to advance this topic.
Sosiaalihuollon asiakastietoja ja potilastietoja käsittelevien tietojärjestelmien tulee estää ei-sallittu käyttö aina silloin, kun se vain on teknisesti mahdollista, ja omavalvonnan kohteen omien ohjeiden ja toimintatapojen tulee ohjata asiakastietojen käsittelijöitä oikeisiin toimintatapoihin ja tietojenkäsittelyyn.
Palvelunantajan on kerättävä lokitiedot asiakasrekisterikohtaisesti kaikesta asiakastietojen käytöstä ja luovutuksesta seurantaa ja valvontaa varten (asiakastietolaki 25 §). Asiakaskohtaisten tietojen tarkastelusta on jäätävä lokimerkinnät tietojen käytöstä. Lokitiedot on kerättävä, jos tietojärjestelmän käyttö edellyttää tunnistautumista tai muuta kirjautumista.
Lokitietojen käyttötarkoituksena on tietojärjestelmissä olevien tietojen käytön ja luovutuksen seuranta sekä tietojärjestelmän teknisten virheiden selvittäminen (asiakastietolaki 25 § ja viranomaistoiminnassa myös tiedonhallintalaki 17 §). Lokitietojen luomisen ja käsittelyn prosessin tulee taata riittävällä tasolla, että tarpeelliset lokit syntyvät ja pysyvät muuttumattomina ja todistusvoimaisina.
Sosiaali- ja terveydenhuollon palvelunantajan on seurattava ja valvottava, että asiakas- ja potilastietojärjestelmissä, potilastiedon arkistossa, sosiaalihuollon asiakastiedon arkistossa ja reseptikeskuksessa olevia tietoja voivat katsella ja käsitellä vain siihen oikeutetut henkilöt. Käytön seurannan tulee perustua käytönhallintaa varten laadittuihin yhtenäisiin ammattiryhmä- ja tehtäväkohtaisiin käyttövaltuuslinjauksiin ja käyttäjärooleihin (ks. luku 6.7).
Omavalvonnan kohteella on oltava tietosuojaan ja asiakastietojen käsittelyn valvontaan liittyvä seuranta- ja valvontasuunnitelma, joka voi sisältyä tietoturvasuunnitelmaan. Suunnitelmassa otetaan kantaa vähintään siihen, miten tehdään säännöllistä henkilötietojen käytön seurantaa ja miten toimitaan tilanteissa, joissa väärinkäytöksiä ilmenee. Seuranta- ja valvontasuunnitelma voi olla esimerkiksi vuosikohtainen. Tietosuojan ja asiakastietojen käytön omavalvontaa toteutetaan käytännössä suunnitelman kautta. Asiakastietojen käytönvalvonnan raportoinnissa voidaan hyödyntää tietotilinpäätösmenettelyä tai muuta vastaavaa vuosittaista raportointia, jolla voidaan täyttää myös EU:n yleisen tietosuoja-asetuksen mukaista rekisterinpitäjän osoitusvelvollisuutta.
Lokien hallinnan ja käytön seurannan yksityiskohtaiset toimintakäytännöt, kuten esimerkiksi asiakkaiden ja viranomaisen tietopyyntöihin vastaaminen, lokiraporttien kokoaminen ja hallinta sekä valvontatoiminnassa mukana olevien henkilöiden roolit tulee kuvata joko tietoturvasuunnitelmaan tai erillisiin dokumentteihin.
On myös kuvattava yksityiskohtaiset toimintatavat, kuinka menetellään, mikäli käyttölokitiedoista paljastuu virhetilanteita tai epäilyjä rikkomuksista tai epäasianmukaisesta asiakastietojen käytöstä. Lisäksi tulee kuvata toimintamalli ja käytännön menettelyt rekisterinpitäjän ja Kelan välisen luovutuslokirekisterin tietojen luovuttamisesta rekisterinpitäjälle.
Sosiaalihuollon asiakastietoja ja potilastietoja käsittelevien tietojärjestelmien tulee estää ei-sallittu käyttö aina silloin, kun se vain on teknisesti mahdollista, ja omavalvonnan kohteen omien ohjeiden ja toimintatapojen tulee ohjata asiakastietojen käsittelijöitä oikeisiin toimintatapoihin ja tietojenkäsittelyyn.
Palvelunantajan on kerättävä lokitiedot asiakasrekisterikohtaisesti kaikesta asiakastietojen käytöstä ja luovutuksesta seurantaa ja valvontaa varten (asiakastietolaki 25 §). Asiakaskohtaisten tietojen tarkastelusta on jäätävä lokimerkinnät tietojen käytöstä. Lokitiedot on kerättävä, jos tietojärjestelmän käyttö edellyttää tunnistautumista tai muuta kirjautumista.
Lokitietojen käyttötarkoituksena on tietojärjestelmissä olevien tietojen käytön ja luovutuksen seuranta sekä tietojärjestelmän teknisten virheiden selvittäminen (asiakastietolaki 25 § ja viranomaistoiminnassa myös tiedonhallintalaki 17 §). Lokitietojen luomisen ja käsittelyn prosessin tulee taata riittävällä tasolla, että tarpeelliset lokit syntyvät ja pysyvät muuttumattomina ja todistusvoimaisina.
Sosiaali- ja terveydenhuollon palvelunantajan on seurattava ja valvottava, että asiakas- ja potilastietojärjestelmissä, potilastiedon arkistossa, sosiaalihuollon asiakastiedon arkistossa ja reseptikeskuksessa olevia tietoja voivat katsella ja käsitellä vain siihen oikeutetut henkilöt. Käytön seurannan tulee perustua käytönhallintaa varten laadittuihin yhtenäisiin ammattiryhmä- ja tehtäväkohtaisiin käyttövaltuuslinjauksiin ja käyttäjärooleihin (ks. luku 6.7).
Omavalvonnan kohteella on oltava tietosuojaan ja asiakastietojen käsittelyn valvontaan liittyvä seuranta- ja valvontasuunnitelma, joka voi sisältyä tietoturvasuunnitelmaan. Suunnitelmassa otetaan kantaa vähintään siihen, miten tehdään säännöllistä henkilötietojen käytön seurantaa ja miten toimitaan tilanteissa, joissa väärinkäytöksiä ilmenee. Seuranta- ja valvontasuunnitelma voi olla esimerkiksi vuosikohtainen. Tietosuojan ja asiakastietojen käytön omavalvontaa toteutetaan käytännössä suunnitelman kautta. Asiakastietojen käytönvalvonnan raportoinnissa voidaan hyödyntää tietotilinpäätösmenettelyä tai muuta vastaavaa vuosittaista raportointia, jolla voidaan täyttää myös EU:n yleisen tietosuoja-asetuksen mukaista rekisterinpitäjän osoitusvelvollisuutta.
Lokien hallinnan ja käytön seurannan yksityiskohtaiset toimintakäytännöt, kuten esimerkiksi asiakkaiden ja viranomaisen tietopyyntöihin vastaaminen, lokiraporttien kokoaminen ja hallinta sekä valvontatoiminnassa mukana olevien henkilöiden roolit tulee kuvata joko tietoturvasuunnitelmaan tai erillisiin dokumentteihin.
On myös kuvattava yksityiskohtaiset toimintatavat, kuinka menetellään, mikäli käyttölokitiedoista paljastuu virhetilanteita tai epäilyjä rikkomuksista tai epäasianmukaisesta asiakastietojen käytöstä. Lisäksi tulee kuvata toimintamalli ja käytännön menettelyt rekisterinpitäjän ja Kelan välisen luovutuslokirekisterin tietojen luovuttamisesta rekisterinpitäjälle.
In Cyberday, requirements and controls are mapped to universal tasks. A set of tasks in the same topic create a Policy, such as this one.
In Cyberday, requirements and controls are mapped to universal tasks. Each requirement is fulfilled with one or multiple tasks.
When building an ISMS, it's important to understand the different levels of information hierarchy. Here's how Cyberday is structured.
Sets the overall compliance standard or regulation your organization needs to follow.
.svg)
.svg)
.svg)
Break down the framework into specific obligations that must be met.
.svg)
Concrete actions and activities your team carries out to satisfy each requirement.
Documented rules and practices that are created and maintained as a result of completing tasks.
