Siirry suoraan sisältöön

Omavalvontasuunnitelma ja tietoturvasuunnitelma ero selväksi

Moni sosiaali- ja terveydenhuollon pienyrittäjä sekoittaa kaksi eri asiakirjaa keskenään. Omavalvontasuunnitelma ja tietoturvasuunnitelma ero on kuitenkin selkeä, kun tietää mitä lakia kumpikin palvelee ja kuka niitä valvoo. Kyse on kahdesta erillisestä asiakirjasta, joista molemmat vaaditaan – ne eivät korvaa toisiaan, vaan täydentävät toisiaan. Tässä oppaassa käymme läpi kummankin sisällön, vertaamme ne taulukossa ja kerromme, miksi esimerkiksi yksin toimivan ammatinharjoittajankin on laadittava molemmat.

Mikä on omavalvontasuunnitelma?

Omavalvontasuunnitelma on asiakirja, jossa kuvataan, miten palvelun laatu, asiakas- ja potilasturvallisuus sekä toiminnan asianmukaisuus varmistetaan. Omavalvonta tarkoittaa sitä, että palvelunantaja seuraa ja valvoo omaa toimintaansa itse.

Omavalvontasuunnitelma on julkinen asiakirja. Se on tarkoitettu myös asiakkaiden ja asukkaiden nähtäväksi, ja se pidetään usein esillä toimipisteessä tai verkkosivuilla. Suunnitelman noudattamista valvoo 1.1.2026 alkaen Lupa- ja valvontavirasto (LVV), joka korvasi Valviran ja aluehallintovirastot näiden lakattua 31.12.2025.

Omavalvontasuunnitelmassa käsitellään esimerkiksi henkilöstöä, palveluprosesseja, asiakkaiden osallisuutta ja palautteen käsittelyä. Tietosuojaan ja tietoturvaan liittyvissä asioissa omavalvontasuunnitelmassa viitataan tietoturvasuunnitelmaan – tässä kaksi asiakirjaa kytkeytyvät toisiinsa.

Mikä on tietoturvasuunnitelma?

Tietoturvasuunnitelma on asiakirja, joka kuvaa, miten organisaatio suojaa käsittelemänsä asiakas- ja potilastiedot. Se keskittyy tietoturvaan (tietojen suojaaminen ja järjestelmien luotettavuus) ja tietosuojaan (henkilötietojen lainmukainen käsittely).

Velvoite tietoturvasuunnitelman laatimiseen tulee asiakastietolain (703/2023) 77 §:stä. Vastuu suunnitelman laatimisesta ja ajantasaisuudesta on lain 78 §:n mukaan palvelunantajan vastaavalla johtajalla, apteekissa apteekkarilla. Suunnitelman sisältövaatimukset määritellään THL:n määräyksessä 3/2024, joka tuli voimaan 22.2.2024 ja on voimassa toistaiseksi. Se korvasi aiemman määräyksen 3/2021.

Tietoturvasuunnitelma on aina ei-julkinen asiakirja. Sitä ei toimiteta THL:lle, Kelaan eikä Soteri-rekisteriin. Soteri-rekisteröinnissä ilmoitetaan ainoastaan suunnitelman laatimis- tai päivityspäivämäärä. Asiakirja on kuitenkin esitettävä valvontatarkastuksessa, ja sen on oltava käytössä ennen Kanta-palvelujen käytön aloittamista – vaikka sitä ei liitetäkään liittymishakemukseen.

Suunnitelman pohjana käytetään THL:n määräyksen 3/2024 liitettä 1, joka on ilmainen Word-mallipohja thl.fi:stä. Sisältö jakautuu lukuihin 6.1–6.12, jotka kattavat muun muassa jatkuvuuden ja häiriöiden hallinnan, henkilöstön koulutuksen, käyttövaltuudet, pääsynhallinnan, fyysisen turvallisuuden ja Kanta-palvelujen tietoturvakäytännöt. Sisältö on aina suhteutettava oman toiminnan laajuuteen.

Omavalvontasuunnitelma ja tietoturvasuunnitelma ero – vertailutaulukko

Alla oleva taulukko tiivistää keskeiset erot. Huomaa, että molemmat asiakirjat ovat pakollisia sote-palvelunantajalle.

NäkökulmaOmavalvontasuunnitelmaTietoturvasuunnitelma
Laki / määräysSosiaali- ja terveydenhuollon valvontaa koskeva lainsäädäntöAsiakastietolaki (703/2023) 77 § ja THL:n määräys 3/2024
Valvova viranomainenLupa- ja valvontavirasto (LVV)Lupa- ja valvontavirasto (LVV)
JulkisuusJulkinen asiakirjaEi-julkinen asiakirja
SisältöPalvelujen laatu ja asiakas-/potilasturvallisuusTietoturva ja tietosuoja (luvut 6.1–6.12)
Kuka vastaaPalvelunantaja / vastaava johtajaVastaava johtaja tai apteekkari (78 §)

Miksi tarvitset molemmat asiakirjat

Vaikka asiakirjat ovat erillisiä, ne muodostavat yhdessä kokonaisuuden. Omavalvontasuunnitelma vastaa kysymykseen, miten palvelu tuotetaan turvallisesti ja laadukkaasti. Tietoturvasuunnitelma vastaa kysymykseen, miten asiakas- ja potilastiedot suojataan. Kun omavalvontasuunnitelmassa käsitellään tietosuojaa, siinä viitataan tietoturvasuunnitelmaan – yksi asiakirja siis edellyttää toista.

Käytännön esimerkki: hierojan tai fysioterapeutin vastaanotolla omavalvontasuunnitelma kuvaa esimerkiksi hoitokäytännöt ja asiakaspalautteen käsittelyn, kun taas tietoturvasuunnitelma kuvaa, kuka pääsee potilastietoihin, miten laitteet suojataan ja miten toimitaan tietoturvahäiriössä. Kumpikaan ei kata toisen aluetta.

Puutteet voivat johtaa valvontaseuraamuksiin. LVV voi tehdä tarkastuksia, antaa määräajassa korjattavan korjausmääräyksen, asettaa uhkasakon ja vakavimmissa tapauksissa keskeyttää toiminnan. Siksi molempien asiakirjojen on oltava ajan tasalla ennen tarkastusta.

Kuka on velvollinen laatimaan tietoturvasuunnitelman?

Velvoite koskee laajaa joukkoa toimijoita koosta ja yhtiömuodosta riippumatta:

  • kaikki julkiset ja yksityiset sosiaali- ja terveydenhuollon palvelunantajat
  • apteekit, Kanta-välittäjät ja Kela
  • itsenäiset ammatinharjoittajat, toiminimet ja alihankkijat
  • myös ilman sähköistä potilastietojärjestelmää toimivat ja toisen yrityksen tiloissa työskentelevät

Suunnitelma on päivitettävä säännöllisesti. Laki käyttää sanaa ”säännöllisesti”; käytännön suosituksena pidetään päivitystä vähintään kerran vuodessa sekä aina toiminnan olennaisesti muuttuessa.

Näin saat molemmat asiakirjat kuntoon

Jos suunnitelmien laatiminen tuntuu vaativalta, ulkopuolisesta avusta voi olla hyötyä. IT Optimi Oy laatii THL:n tietoturvasuunnitelman toimintasi laajuuteen sovitettuna niin, että asiakirja täyttää määräyksen 3/2024 vaatimukset ja on valmis valvontatarkastukseen.

Hinnat ovat arvonlisäverottomia (alv 0 %):

  • yhden hengen yritykset ja ammatinharjoittajat: 690 €
  • suuremmat pk-yritykset toiminnan laajuuden mukaan: enintään 1 490 €
  • vuosittainen katselmointi ja päivitys: 390 €

Usein kysytyt kysymykset

Mikä on omavalvontasuunnitelman ja tietoturvasuunnitelman ero?

Omavalvontasuunnitelma on julkinen palvelujen laatua ja turvallisuutta kuvaava asiakirja. Tietoturvasuunnitelma perustuu asiakastietolain (703/2023) 77 §:ään ja THL:n määräykseen 3/2024, käsittelee tietoturvaa ja tietosuojaa ja on ei-julkinen. Molemmat vaaditaan.

Riittääkö pelkkä omavalvontasuunnitelma?

Ei. Omavalvontasuunnitelma ei korvaa tietoturvasuunnitelmaa. Sote-palvelunantajan on laadittava molemmat, ja omavalvontasuunnitelmassa viitataan tietoturvasuunnitelmaan tietosuoja- ja tietoturva-asioissa.

Onko tietoturvasuunnitelma julkinen asiakirja?

Ei. Tietoturvasuunnitelma on aina ei-julkinen. Sitä ei toimiteta THL:lle, Kelaan eikä Soteriin; Soteri-rekisteröinnissä ilmoitetaan vain laatimis- tai päivityspäivämäärä. Asiakirja on kuitenkin esitettävä valvontatarkastuksessa.

Kuka valvoo näitä suunnitelmia?

Valvonnasta vastaa 1.1.2026 alkaen Lupa- ja valvontavirasto (LVV), joka korvasi Valviran ja aluehallintovirastot. LVV voi tehdä tarkastuksia, antaa korjausmääräyksen määräajassa, asettaa uhkasakon ja vakavimmissa tapauksissa keskeyttää toiminnan.

Tarvitseeko yksinyrittäjä tai ammatinharjoittaja molemmat?

Kyllä. Velvoite koskee kaikkia sote-palvelunantajia koosta ja yhtiömuodosta riippumatta, myös itsenäisiä ammatinharjoittajia, toiminimiä ja alihankkijoita – myös ilman sähköistä potilastietojärjestelmää toimivia.

Lähteet

Lue myös