THL määräys 3/2024 määrittää, mitä sosiaali- ja terveydenhuollon toimijan tietoturvasuunnitelmaan on kirjattava. Jos pyörität hoivayritystä, vastaanottoa, hierontapalvelua tai apteekkia, tämä määräys koskee sinua yrityksen koosta riippumatta. Tietoturvasuunnitelma on asiakirja, jossa kuvataan, miten asiakas- ja potilastietoja käsitellään turvallisesti. Tässä artikkelissa käydään läpi, mihin lakiin määräys perustuu, mitä se käytännössä vaatii, mitkä ovat mallipohjan aihealueet, ketä velvoite koskee ja mikä muuttui aiempaan verrattuna.
Mihin lakiin THL määräys 3/2024 perustuu
Velvollisuus laatia tietoturvasuunnitelma tulee suoraan laista. Se on kirjattu asiakastietolakiin (703/2023), tarkemmin sanottuna sen 77 §:ään. Vastuu suunnitelmasta on määritelty 78 §:ssä: käytännössä vastaava johtaja tai apteekissa apteekkari huolehtii siitä, että suunnitelma on tehty ja pidetään ajan tasalla.
Laki itsessään ei kerro yksityiskohtia. Ne on annettu Terveyden ja hyvinvoinnin laitoksen (THL) määräyksessä. THL määräys 3/2024 on nimeltään ”Määräys tietoturvasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista”. Se tuli voimaan 22.2.2024 ja on voimassa toistaiseksi. Määräys on siis se asiakirja, joka kertoo täsmällisesti, mitä suunnitelmassa pitää olla.
Mitä THL määräys 3/2024 vaatii käytännössä
Tietoturvasuunnitelma kattaa kaksi asiaa. Tietoturva tarkoittaa tietojärjestelmien ja laitteiden suojaamista esimerkiksi murtautumiselta tai häiriöiltä. Tietosuoja tarkoittaa henkilötietojen, kuten asiakas- ja potilastietojen, lainmukaista käsittelyä. Suunnitelmassa kuvataan konkreettisesti, miten nämä asiat on hoidettu juuri sinun toiminnassasi.
Tärkeä periaate on suhteellisuus: sisältö mitoitetaan oman toiminnan laajuuden mukaan. Yhden hengen toiminimen suunnitelma on lyhyempi ja yksinkertaisempi kuin monta toimipistettä pyörittävän yrityksen. Määräyksen vaatimukset ovat kuitenkin samat kaikille – vain kuvausten laajuus vaihtelee.
Suunnitelmassa osoitetaan myös, että käytössä olevat tietojärjestelmät täyttävät niille asetetut vaatimukset. Näistä olennaisista toiminnallisista ja tietoturvavaatimuksista on annettu erillinen THL:n määräys 5/2024, ja hyväksytyt järjestelmät löytyvät Astori-rekisteristä.
Huomionarvoista on, että tietoturvasuunnitelma on aina ei-julkinen asiakirja. Sitä ei toimiteta THL:lle, Kelaan eikä sosiaali- ja terveydenhuollon palveluntuottajien rekisteriin Soteriin. Soteri-rekisteröinnissä ilmoitetaan ainoastaan suunnitelman laatimis- tai päivityspäivämäärä. Itse suunnitelma on kuitenkin pystyttävä esittämään, jos valvontaviranomainen tekee tarkastuksen. Jos et halua rakentaa asiakirjaa alusta itse, teemme THL:n tietoturvasuunnitelman valmiiksi toimintasi laajuuteen suhteutettuna.
Mallipohja ja aihealueet 6.1–6.12
Suunnitelmaa ei tarvitse keksiä tyhjästä. THL:n määräyksen 3/2024 liitteenä 1 on ilmainen Word-mallipohja, jonka voi ladata thl.fi-sivustolta. Pohjan luvussa 3 määritellään vastuut, ja varsinaiset tietoturvakäytännöt jäsennellään lukuihin 6.1–6.12. Nämä aihealueet ovat pääpiirteissään:
- 6.1 Yleiset tietoturvakäytännöt – toiminnan perusperiaatteet ja pelisäännöt.
- 6.2a Jatkuvuuden hallinta – miten toiminta jatkuu esimerkiksi järjestelmäkatkon aikana.
- 6.2b Häiriöiden hallinta – miten tietoturvahäiriöt havaitaan ja käsitellään.
- 6.3 Henkilöstön koulutus – miten työntekijät perehdytetään tietoturvaan.
- 6.4 Käyttöohjeet – järjestelmien ja laitteiden ohjeistus.
- 6.5 Perustiedot ja olennaiset vaatimukset – tiedot toiminnasta ja järjestelmistä.
- 6.6 Asennus, ylläpito ja päivitys – järjestelmien elinkaaren hallinta.
- 6.7 Käyttövaltuudet ja tunnistautuminen – kuka pääsee mihinkin tietoon ja miten kirjaudutaan.
- 6.8 Pääsynhallinta ja käytön seuranta – lokitiedot ja väärinkäytösten valvonta.
- 6.9 Fyysinen turvallisuus – tilojen ja laitteiden suojaaminen.
- 6.10 Työasemat, mobiililaitteet ja tukipalvelut – päätelaitteiden turvallinen käyttö.
- 6.11 Alusta- ja verkkopalvelut – palvelimet, pilvipalvelut ja verkkoyhteydet.
- 6.12 Kanta-palvelujen tietoturvakäytännöt – Kanta-palveluihin liittyvät erityisvaatimukset.
Jokaiseen kohtaan kirjataan, miten asia on omassa toiminnassa järjestetty. Kaikkia kohtia ei tarvitse täyttää raskaasti, mutta jokaiseen on otettava kantaa.
Kenelle velvoite kuuluu
Velvoite on laaja. Se koskee kaikkia julkisia ja yksityisiä sosiaali- ja terveydenhuollon palvelunantajia, apteekkeja, Kanta-välittäjiä sekä Kelaa – toiminnan koosta ja yhtiömuodosta riippumatta.
Käytännössä tämä tarkoittaa, että myös itsenäiset ammatinharjoittajat, toiminimet ja alihankkijat tarvitsevat oman tietoturvasuunnitelman. Velvoite on olemassa, vaikka käytössä ei olisi sähköistä potilastietojärjestelmää lainkaan, ja myös silloin, kun työskentelet toisen yrityksen tiloissa. Jos siis olet esimerkiksi vuokratuolilla toimiva fysioterapeutti tai jalkojenhoitaja, suunnitelma koskee sinua siinä missä isompaakin toimijaa.
Mikä muuttui verrattuna määräykseen 3/2021
Sääntely on kehittynyt vaiheittain. Aiempi asiakastietolaki (784/2021) toi mukanaan THL:n määräyksen 3/2021, jonka myötä aiemmasta omavalvontasuunnitelmasta siirryttiin nimeltään tietoturvasuunnitelmaan vuonna 2021. Kun uusi asiakastietolaki (703/2023) tuli voimaan 1.1.2024, sen rinnalle annettiin THL määräys 3/2024, joka korvasi vanhan määräyksen 3/2021.
Toinen tärkeä muutos koskee valvontaa. Aiemmin valvonnasta vastasivat Valvira ja aluehallintovirastot. Ne lakkautettiin 31.12.2025, ja 1.1.2026 alkaen valvova viranomainen on Lupa- ja valvontavirasto (LVV). LVV voi tehdä tarkastuksia, antaa korjausmääräyksen määräajassa, asettaa uhkasakon ja vakavimmissa tapauksissa jopa keskeyttää toiminnan. Suunnitelma kannattaa siis pitää kunnossa myös tästä syystä.
Yksi yleinen sekaannus on tietoturvasuunnitelman ja omavalvontasuunnitelman ero. Ne ovat kaksi eri asiakirjaa, ja molemmat tarvitaan.
| Ominaisuus | Omavalvontasuunnitelma | Tietoturvasuunnitelma |
|---|---|---|
| Perusta | Palvelujen laatu ja turvallisuus, LVV:n valvonta | THL määräys 3/2024, tietoturva ja tietosuoja |
| Julkisuus | Julkinen | Ei-julkinen |
| Suhde toisiinsa | Viittaa tietoturvasuunnitelmaan | Erillinen tekninen asiakirja |
Suunnitelmaa on päivitettävä laissa mainitulla tavalla säännöllisesti. Käytännön suositus on tarkastaa ja päivittää se vähintään kerran vuodessa sekä aina, kun toiminnassa tapahtuu olennaisia muutoksia, mutta tarkkaa vuosittaista määräaikaa laki ei aseta.
Usein kysytyt kysymykset
Mihin lakiin THL määräys 3/2024 perustuu?
Velvollisuus laatia tietoturvasuunnitelma perustuu asiakastietolakiin (703/2023) 77 §. Vastuu suunnitelmasta on määritelty 78 §:ssä. THL määräys 3/2024 täydentää lakia kertomalla, mitä suunnitelmaan on sisällytettävä.
Kenelle tietoturvasuunnitelma on pakollinen?
Kaikille julkisille ja yksityisille sosiaali- ja terveydenhuollon palvelunantajille, apteekeille, Kanta-välittäjille ja Kelalle koosta ja yhtiömuodosta riippumatta. Myös itsenäiset ammatinharjoittajat, toiminimet ja alihankkijat tarvitsevat suunnitelman, samoin toimijat ilman sähköistä potilastietojärjestelmää.
Pitääkö tietoturvasuunnitelma toimittaa THL:lle tai Soteriin?
Ei. Suunnitelma on ei-julkinen asiakirja, jota ei toimiteta THL:lle, Kelaan eikä Soteriin. Soteri-rekisteröinnissä ilmoitetaan vain suunnitelman laatimis- tai päivityspäivämäärä. Suunnitelma on kuitenkin esitettävä valvontatarkastuksessa.
Mikä on ero omavalvontasuunnitelman ja tietoturvasuunnitelman välillä?
Omavalvontasuunnitelma käsittelee palvelujen laatua ja turvallisuutta ja on julkinen asiakirja. Tietoturvasuunnitelma perustuu THL:n määräykseen 3/2024, keskittyy tietoturvaan ja tietosuojaan ja on ei-julkinen. Molemmat tarvitaan, ja omavalvontasuunnitelmassa viitataan tietoturvasuunnitelmaan.
Kuinka usein tietoturvasuunnitelma pitää päivittää?
Laki edellyttää päivittämistä säännöllisesti. Vähintään kerran vuodessa on yleinen suositus, ei lain kirjain. Suunnitelma kannattaa päivittää myös aina, kun toiminnassa tapahtuu olennaisia muutoksia.
Lähteet
- THL – Määräys 3/2024 tietoturvasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista
- Finlex – Laki sosiaali- ja terveydenhuollon asiakastietojen käsittelystä (703/2023)
- Kanta.fi – Tietoturvasuunnitelma ja Kanta-palveluihin liittyminen