Siirry suoraan sisältöön

Soteri tietoturvasuunnitelma: opas uudelle sote-yrittäjälle

Kun perustat yksityisen sosiaali- tai terveydenhuollon yrityksen, törmäät nopeasti kahteen asiaan: Soteri-rekisteröintiin ja tietoturvasuunnitelmaan. Soteri tietoturvasuunnitelma -kokonaisuus hämmentää monia aloittavia yrittäjiä, koska rekisteröinnin yhteydessä ei toimiteta itse suunnitelmaa vaan pelkkä sen laatimispäivämäärä. Tässä oppaassa käydään läpi, mikä Soteri on, miten tietoturvasuunnitelma siihen liittyy ja mitä dokumentteja tarvitset ennen toiminnan aloittamista.

Mikä Soteri on ja mikä on tietoturvasuunnitelma?

Soteri on valtakunnallinen rekisteri, johon sosiaali- ja terveydenhuollon palvelunantajat rekisteröidään. Ennen kuin voit aloittaa toiminnan yksityisenä palvelunantajana, sinun on tehtävä rekisteri-ilmoitus. Rekisteriä ylläpitää Lupa- ja valvontavirasto (LVV), joka aloitti toimintansa 1.1.2026 ja korvasi aiemmat valvojat Valviran ja aluehallintovirastot.

Tietoturvasuunnitelma taas on erillinen asiakirja, jossa kuvaat, miten yrityksesi huolehtii asiakas- ja potilastietojen tietoturvasta ja tietosuojasta. Velvoite suunnitelman laatimiseen tulee asiakastietolaista (703/2023, 77 §). Suunnitelman sisältövaatimukset on määritelty THL:n määräyksessä 3/2024, joka tuli voimaan 22.2.2024 ja on voimassa toistaiseksi. Termillä tietoturva tarkoitetaan tietojen suojaamista esimerkiksi katoamiselta tai luvattomalta käytöltä, ja tietosuoja koskee henkilötietojen lainmukaista käsittelyä.

Soteri tietoturvasuunnitelma: mitä rekisteröinnissä ilmoitetaan

Tämä on tärkein oivallus aloittavalle yrittäjälle: tietoturvasuunnitelma on aina ei-julkinen asiakirja. Sitä ei toimiteta THL:lle, Kelaan eikä Soteriin. Kun teet Soteri-rekisteröinnin, ilmoitat lomakkeella ainoastaan tietoturvasuunnitelman laatimispäivämäärän. Itse asiakirja jää sinulle.

Suunnitelma on kuitenkin oltava tehtynä sillä hetkellä, kun ilmoitat päivämäärän. Vaikka asiakirjaa ei liitetä hakemukseen, se on esitettävä, jos LVV tekee myöhemmin valvontatarkastuksen. Käytännössä siis laadit suunnitelman ensin ja merkitset sen valmistumispäivän rekisteriin.

Sama logiikka koskee Kanta-palveluihin liittymistä. Tietoturvasuunnitelman on oltava käytössä ennen kuin voit aloittaa Kanta-palvelujen käytön, mutta sitäkään ei liitetä liittymishakemukseen eikä palauteta Kelaan.

Mitä dokumentteja rekisteröinnissä tarvitaan?

Soteri-rekisteröinti edellyttää useita tietoja ja asiakirjoja. Tietoturvan ja tietosuojan näkökulmasta kaksi asiakirjaa nousee esiin, ja niitä on hyvä olla sekoittamatta keskenään:

  • Tietoturvasuunnitelma. Laaditaan THL:n määräyksen 3/2024 mukaan. Rekisteröinnissä ilmoitetaan vain laatimispäivämäärä.
  • Omavalvontasuunnitelma. Palvelujen laatua ja turvallisuutta kuvaava asiakirja, joka on julkinen ja liittyy osaksi rekisteröintiä. Siinä viitataan myös tietoturvasuunnitelmaan.

Näiden lisäksi rekisteröinnissä tarvitaan tavanomaisia perustietoja yrityksestä: palveluntuottajan tiedot, toimipaikat ja toimitilat, vastaava johtaja sekä kuvaus tuotettavista palveluista. Tarkat vaatimukset kannattaa tarkistaa Lupa- ja valvontaviraston ohjeista, sillä ne riippuvat palvelualasta.

Tietoturvasuunnitelma ja omavalvontasuunnitelma – ero

Uusi yrittäjä kysyy usein, riittääkö yksi asiakirja. Ei riitä: molemmat tarvitaan, ja niillä on eri tarkoitus. Alla oleva taulukko kokoaa erot.

OminaisuusTietoturvasuunnitelmaOmavalvontasuunnitelma
PerusteAsiakastietolaki 703/2023, 77 § ja THL:n määräys 3/2024Palvelujen laadun ja turvallisuuden sääntely
SisältöTietoturva ja tietosuojaPalvelujen laatu ja turvallisuus
JulkisuusEi-julkinenJulkinen
Soteri-rekisteröintiIlmoitetaan vain laatimispäiväOsa rekisteröintiä
ValvontaLVV (esitetään tarkastuksessa)LVV

Kuka on vastuussa ja kuka valvoo?

Vastuu tietoturvasuunnitelman laatimisesta ja noudattamisesta on lain mukaan palvelunantajan vastaavalla johtajalla, apteekissa apteekkarilla (703/2023, 78 §). Yhden hengen yrityksessä tämä tarkoittaa käytännössä yrittäjää itseään.

Valvonnasta vastaa Lupa- ja valvontavirasto. LVV voi tehdä tarkastuksia, antaa korjausmääräyksen määräajassa, asettaa uhkasakon ja vakavimmissa tapauksissa keskeyttää toiminnan. Velvoite koskee kaikkia julkisia ja yksityisiä sosiaali- ja terveydenhuollon palvelunantajia sekä apteekkeja koosta ja yhtiömuodosta riippumatta. Se koskee myös itsenäisiä ammatinharjoittajia ja toiminimiä, myös silloin kun työskentelet toisen yrityksen tiloissa tai sinulla ei ole omaa sähköistä potilastietojärjestelmää.

Näin laadit tietoturvasuunnitelman

THL tarjoaa ilmaisen mallipohjan, joka on määräyksen 3/2024 liite 1 (Word-tiedosto thl.fi:stä). Mallipohja jäsentää sisällön aihealueisiin luvuissa 6.1–6.12: yleiset tietoturvakäytännöt, jatkuvuuden ja häiriöiden hallinta, henkilöstön koulutus, käyttöohjeet, järjestelmien perustiedot ja vaatimusten täyttyminen, asennus ja päivitys, käyttövaltuudet ja tunnistautuminen, pääsynhallinta ja käytön seuranta, fyysinen turvallisuus, työasemat ja mobiililaitteet, alusta- ja verkkopalvelut sekä Kanta-palvelujen käytännöt. Luvussa 3 kuvataan vastuut.

Pelkkä täyttämätön pohja ei riitä. Sisältö on suhteutettava oman toiminnan laajuuteen, järjestelmiin ja riskeihin. Jos aikaa tai osaamista ei riitä, teemme THL:n tietoturvasuunnitelman valmiiksi toimintaasi mitoitettuna. Yhden hengen yrityksille ja ammatinharjoittajille hinta on 690 € (alv 0 %), suuremmille pk-yrityksille toiminnan laajuuden mukaan enintään 1 490 € (alv 0 %). Vuosittainen katselmointi ja päivitys maksaa 390 € (alv 0 %).

Suunnitelmaa on myös päivitettävä säännöllisesti. Laki puhuu säännöllisestä päivittämisestä, ja käytännön suositus on tarkistaa suunnitelma vähintään kerran vuodessa sekä aina, kun toiminta tai järjestelmät muuttuvat olennaisesti.

Usein kysytyt kysymykset

Toimitetaanko tietoturvasuunnitelma Soteriin?

Ei toimiteta. Tietoturvasuunnitelma on ei-julkinen asiakirja, jota ei lähetetä THL:lle, Kelaan eikä Soteriin. Soteri-rekisteröinnissä ilmoitetaan vain suunnitelman laatimis- tai päivityspäivämäärä. Itse asiakirja on kuitenkin esitettävä valvontatarkastuksessa.

Mikä ero on omavalvontasuunnitelmalla ja tietoturvasuunnitelmalla?

Omavalvontasuunnitelma käsittelee palvelujen laatua ja turvallisuutta ja on julkinen. Tietoturvasuunnitelma käsittelee tietoturvaa ja tietosuojaa ja on ei-julkinen. Omavalvontasuunnitelmassa viitataan tietoturvasuunnitelmaan. Molemmat asiakirjat tarvitaan.

Tarvitseeko yhden hengen toiminimi tietoturvasuunnitelman?

Tarvitsee. Velvoite koskee kaikkia sote-palvelunantajia koosta ja yhtiömuodosta riippumatta, myös itsenäisiä ammatinharjoittajia ja toiminimiä. Suunnitelma vaaditaan myös ilman omaa sähköistä potilastietojärjestelmää ja silloin, kun työskentelet toisen yrityksen tiloissa.

Milloin tietoturvasuunnitelman pitää olla valmis?

Suunnitelman on oltava tehtynä, kun ilmoitat sen laatimispäivän Soteri-rekisteröinnissä. Lisäksi sen on oltava käytössä ennen Kanta-palvelujen käytön aloittamista. Käytännössä laadit suunnitelman ennen toiminnan aloittamista.

Kuka valvoo tietoturvasuunnitelmaa?

Valvonnasta vastaa Lupa- ja valvontavirasto (LVV), joka aloitti toimintansa 1.1.2026 ja korvasi Valviran ja aluehallintovirastot. LVV voi tehdä tarkastuksia, antaa korjausmääräyksen määräajassa, asettaa uhkasakon ja vakavimmissa tapauksissa keskeyttää toiminnan.

Lähteet

Lue myös