Usein törmäämme tilanteeseen, jossa sote-palvelunantajan tietosuoja on yhtä kuin lain vaatima tietoturvasuunnitelma. Pelkkä täytetty tietoturvasuunnitelma ei riitä.
Kokonaisvaltainen tiedonsuojaaminen on helposti sote-toimijoille tekniseltä tuntuva, hankalasti ymmärrettävä ja arjen kiireessä työläs asia, jonka merkitys ei välttämättä ole läsnä jokapäiväisessä työskentelyssä.
Tiedonsuojaamisen monimutkaisella ja loputtomalta tuntuvalla taistelukentällä tietoturvasuunnitelma itsessään on arvokas dokumentti, jonka laatimista voidaan pitää tietosuojan tiekarttana. Usein todetaan, että ”hyvin suunniteltu on puoliksi tehty”. Tietoturvasuunnitelman kirjoittaminen ei riitä, vaan se on vietävä henkilökunnan käytäntöön ja rutiineihin, sillä ”hyvin suunniteltu on edelleen täysin tekemättä”. Oikein perehdytetty ja koulutettu henkilökunta on riskienhallinnan tärkein voimavara.
Lopulta kovin suurista asioista ei ole kysymys, vaan kysymys on oikeastaan kahdesta asiasta:
- Tietoturvaselosteessa kuvattujen toimenpiteiden viemistä käytäntöön, sekä toteuttamista arjen työssä pitää seurata ja dokumentoida.
Toimiakseen valvonta vaatii toimintamallit joille onkin oma kohtansa tietosuojaselosteessa. Tilannehan on siis lähtökohtaisesti kunnossa, eikä ongelmaa ole. Vai kuinka? Noh, käytännössä tilanne kokemuksemme mukaan on kovin erilainen. Hienosti kuvatut toimintamallit ovat vain sanoja paperilla joita kiireessä päivitetään tilanteen niin vaatiessa. - Tietoturvaselostetta pitää päivittää vastaamaan kulloisia vaatimuksia.
Dokumenttiin itseensä tulee varsin hallitulla aikajänteellä päivityksiä. Haasteeksi tässä kohdassa muodostuu usein se, että tietosuojaselosteessa on kuvattu riittämättömällä tasolla henkilötietojen käsittelyyn käytetyt järjestelmät ja toimintamallit, joissa molemmissa muutoksia tapahtuu huomattavasti useammin. Todellisuudessa tietoturvaseloste itsessään ei siis anna todellista kuvaa henkilötietojen käsittelystä, toimintamalleista tai varautumisesta, eikä näin ollen vastaa vaatimuksia.
Näiden kahden asian perusteella voidaan tietosuojasta todeta, että tietosuojan toteutuminen riittävällä tasolla vaatii
- laaja-alaista ymmärrystä tiedonhallinnasta ja tiedon käsittelyyn käytettävistä menetelmistä.
- laaja-alaista ymmärrystä tiedonsuojaamisen tekniikoista
- jatkuvaa ylläpitämistä
- käyttäjien kouluttamista
- koko henkilökunnan sitoutumista
Lyhykäisyydessään aikaa ja rahaa, sekä lisää aikaa ja rahaa.
Autamme säästämään aikaa ja rahaa, joten olemme HyväSOTE:lla luoneet tiedonsuojaamisen palvelun. Kiinteällä kuukausihinnalla voitte varmistaa tarvittavien dokumenttien ajantasaisuuden, toimenpiteiden toteutumisen valvonnan, sekä tietosuojan taistelukentällä navigoinnin ajantasaisin tiedoin.
