Siirry suoraan sisältöön

THL:n tietoturvasuunnitelma valmiiksi asti – ammatinharjoittajalle ja pk-yritykselle

THL:n tietoturvasuunnitelma on pakollinen jokaiselle sosiaali- ja terveydenhuollon palvelunantajalle – toiminnan koosta riippumatta. Asiakastietolaki velvoittaa laatimaan sen yhtä lailla yksin toimivalta ammatinharjoittajalta kuin useamman hengen yritykseltä.

Laadimme suunnitelman puolestasi valmiiksi asti. Kartoitamme toimintasi lyhyessä haastattelussa ja tuotamme THL:n määräyksen 3/2024 vaatimukset täyttävän asiakirjan, joka on mitoitettu juuri sinun toimintaasi – ja jonka ylläpito onnistuu jatkossa omin voimin.

  • Kiinteä hinta alkaen 690 € – tiedät kustannuksen etukäteen
  • Valmis, toimintaasi räätälöity asiakirja Word- ja PDF-muodossa
  • Oma työpanoksesi vain 2–3 tuntia
  • Sopii yksinyrittäjälle, klinikalle, apteekille ja hoiva-alan yritykselle

Mikä on THL:n tietoturvasuunnitelma?

Tietoturvasuunnitelma on asiakastietolain edellyttämä asiakirja, jossa palvelunantaja kuvaa, miten asiakas- ja potilastietojen sekä niitä käsittelevien tietojärjestelmien tietoturvasta ja tietosuojasta huolehditaan. Suunnitelmaan sisällytettävät selvitykset ja vaatimukset on määritelty THL:n määräyksessä 3/2024, joka tuli voimaan 22.2.2024 ja korvasi aiemman määräyksen 3/2021.

Kolme asiaa, jotka suunnitelmasta on hyvä tietää heti:

  • Se on velvoittava. Vastuu suunnitelman laatimisesta ja noudattamisesta on lain mukaan palvelunantajan vastaavalla johtajalla, apteekissa apteekkarilla (asiakastietolaki 703/2023, 78 §).
  • Se ei ole julkinen asiakirja. Toisin kuin omavalvontasuunnitelma, tietoturvasuunnitelmaa ei julkaista eikä toimiteta viranomaisille – mutta se on esitettävä valvontatarkastuksessa pyydettäessä.
  • Pelkkä pohja ei riitä. THL tarjoaa ilmaisen mallipohjan, mutta sen sisältö on suhteutettava oman toiminnan laajuuteen, järjestelmiin ja riskeihin. Tyhjäksi tai yleisluontoiseksi jäänyt pohja ei täytä velvoitetta.

Ketä velvoite koskee?

Tietoturvasuunnitelma vaaditaan kaikilta julkisilta ja yksityisiltä sosiaali- ja terveydenhuollon palvelunantajilta sekä apteekeilta. Käytännössä tämä tarkoittaa muun muassa seuraavia toimijoita:

  • itsenäiset ammatinharjoittajat ja toiminimiyrittäjät
  • lääkäri- ja hammaslääkäriasemat sekä yksityiset vastaanotot
  • fysioterapia-, toimintaterapia- ja puheterapiayritykset
  • psykoterapeutit ja psykologipalvelut
  • hoiva-, kotihoito- ja asumispalveluyritykset
  • apteekit ja Kanta-välityspalvelujen tuottajat.

Velvoite koskee myös silloin, kun työskentelet yksin, toisen yrityksen tiloissa tai ilman sähköistä potilastietojärjestelmää. Suunnitelma tulee tyypillisesti ajankohtaiseksi kahdessa tilanteessa: Soteri-rekisteröinnin yhteydessä (rekisteröinnissä ilmoitetaan suunnitelman laatimispäivämäärä, mutta itse asiakirjaa ei liitetä hakemukseen) ja Kanta-palveluihin liityttäessä (suunnitelman on oltava käytössä ennen käytön aloittamista).

Mitä tietoturvasuunnitelman tulee sisältää?

Asiakastietolain 77 §:n mukaan suunnitelmassa on osoitettava muun muassa, että henkilöstöllä on tietojärjestelmien käytön vaatima koulutus, järjestelmiä ylläpidetään ja päivitetään valmistajan ohjeiden mukaisesti, käyttöympäristö on turvallinen, riskejä hallitaan suunnitelmallisesti ja pääsy asiakastietoihin on hallittua ja seurattua. THL:n määräyksen 3/2024 mallipohja jäsentää vaatimukset seuraaviin aihealueisiin:

  • vastuut tietoturvan ja asiakastietojen asianmukaisen käsittelyn varmistamisessa
  • yleiset tietoturvakäytännöt ja riskienhallinta
  • jatkuvuuden hallinta sekä häiriötilanteiden menettelyt
  • henkilöstön koulutus ja osaamisen ylläpito
  • tietojärjestelmien käyttöohjeet, perustiedot ja olennaisten vaatimusten täyttyminen (ks. myös THL:n määräys 5/2024)
  • järjestelmien asennus, ylläpito ja päivitys
  • käyttövaltuuksien hallinta ja tunnistautuminen
  • asiakas- ja potilastietojärjestelmien pääsynhallinta ja käytön seuranta
  • fyysinen turvallisuus sekä työasemien, mobiililaitteiden ja tukipalveluiden hallinta
  • alusta- ja verkkopalvelujen tietoturvallinen käyttö
  • Kanta-palvelujen liittymisen ja käytön tietoturvakäytännöt.

Lisäksi suunnitelmassa on kuvattava, miten sitä päivitetään ja katselmoidaan säännöllisesti ja miten sen toteutumista seurataan.

Mitä palvelu sisältää?

Hoidamme suunnitelman laatimisen alusta loppuun. Lopputuloksena saat:

  • THL:n määräyksen 3/2024 rakennetta noudattavan tietoturvasuunnitelman (Word ja PDF), jonka sisältö on kirjoitettu sinun toimintasi, järjestelmiesi ja tilojesi mukaan – ei yleispätevää mallitekstiä
  • riskien tunnistuksen ja vastuiden määrittelyn osana suunnitelmaa
  • yhden sivun tiivistelmän henkilöstölle keskeisistä käytännöistä
  • päivitysohjeen, jonka avulla suunnitelman vuosittainen katselmointi onnistuu itse.

Näin etenemme

  1. Alkukartoitus (30–60 min, etänä). Käymme läpi toimintasi, käyttämäsi järjestelmät, laitteet ja tilat sekä nykyiset käytännöt.
  2. Luonnos. Laadimme suunnitelman kartoituksen pohjalta määräyksen 3/2024 vaatimusten mukaisesti.
  3. Katselmointi. Käymme luonnoksen yhdessä läpi ja tarkennamme kuvaukset vastaamaan arkeasi.
  4. Luovutus. Saat valmiin suunnitelman, henkilöstön tiivistelmän ja päivitysohjeen. Tarvittaessa opastamme käyttöönotossa.

Hinta

Tietoturvasuunnitelman laadinta kiinteään hintaan:

  • Yhden hengen yritykset ja itsenäiset ammatinharjoittajat: 690 € (alv 0 %)
  • Suuremmat pk-yritykset: toiminnan laajuuden mukaan, enintään 1 490 € (alv 0 %)

Hinta sisältää alkukartoituksen, suunnitelman laadinnan, yhden katselmointikierroksen sekä henkilöstön tiivistelmän ja päivitysohjeen.

Lisäpalveluna vuosittainen katselmointi ja päivitys 390 € (alv 0 %): suunnitelma katselmoidaan ja päivitetään vastaamaan muuttunutta toimintaa, järjestelmiä ja määräyksiä.

Vertailemme eri vaihtoehtojen kustannuksia tarkemmin artikkelissa tietoturvasuunnitelman hinta.

Miksi IT Optimi?

IT Optimi Oy on suomalainen IT-palveluyritys, jonka tausta on yritysten IT-infrastruktuurissa, virtualisoinnissa ja kouluttamisessa. Laadimme suunnitelmat itse emmekä myy lisenssiä työkaluun, jonka täyttäminen jää sinulle.

Suunnitelma kirjoitetaan niin, että sen käyttöönotto onnistuu myös ilman omaa IT-henkilöstöä: jokainen kuvattu käytäntö on sellainen, jota toimintasi oikeasti pystyy noudattamaan. Valvontatilanteessa ratkaisee se, että toiminta vastaa kirjattua – ei asiakirjan pituus.

Usein kysytyt kysymykset

Mikä on THL:n tietoturvasuunnitelma?

Asiakastietolain (703/2023, 77 §) edellyttämä suunnitelma, jossa sote-palvelunantaja kuvaa, miten asiakas- ja potilastietojen sekä tietojärjestelmien tietoturvallinen käsittely varmistetaan. Sisältövaatimukset määrittelee THL:n määräys 3/2024.

Kenen pitää laatia tietoturvasuunnitelma?

Kaikkien julkisten ja yksityisten sosiaali- ja terveydenhuollon palvelunantajien, apteekkien, Kanta-välittäjien ja Kelan – yrityksen koosta ja yhtiömuodosta riippumatta, myös toiminimiyrittäjien ja alihankkijoiden.

Onko tietoturvasuunnitelma pakollinen yhden hengen yritykselle?

Kyllä. Velvoite koskee myös itsenäisiä ammatinharjoittajia, vaikka työskentelisit toisen yrityksen tiloissa tai ilman sähköistä potilastietojärjestelmää.

Milloin THL:n määräys 3/2024 tuli voimaan?

22.2.2024. Se korvasi aiemman määräyksen 3/2021, ja sen taustalla on vuoden 2024 alussa voimaan tullut uusi asiakastietolaki (703/2023).

Pitääkö määräyksen 3/2021 mukaan tehty suunnitelma päivittää?

Kyllä. Suunnitelma tulee saattaa määräyksen 3/2024 ja uuden asiakastietolain mukaiseksi. Mallipohjan rakenne ja osa vaatimuksista muuttuivat.

Mikä ero on omavalvontasuunnitelmalla ja tietoturvasuunnitelmalla?

Omavalvontasuunnitelma koskee palvelujen laatua ja turvallisuutta ja on julkinen asiakirja. Tietoturvasuunnitelma koskee tietoturvaa ja tietosuojaa ja on aina ei-julkinen. Molemmat vaaditaan, ja omavalvontasuunnitelmassa viitataan tietoturvasuunnitelmaan. Lue tarkempi vertailu asiakirjojen eroista.

Pitääkö tietoturvasuunnitelma toimittaa THL:lle, Kelaan tai Soteriin?

Ei. Suunnitelmaa ei toimiteta millekään viranomaiselle. Soteri-rekisteröinnissä ilmoitetaan vain laatimis- tai päivityspäivämäärä. Suunnitelma on kuitenkin esitettävä valvontatarkastuksessa.

Tarvitaanko tietoturvasuunnitelma Kanta-palveluihin liittymiseen?

Kyllä. Suunnitelman on oltava käytössä ennen Kanta-palvelujen käytön aloittamista, mutta sitä ei liitetä liittymishakemukseen.

Kuka yrityksessä vastaa tietoturvasuunnitelmasta?

Asiakastietolain 78 §:n mukaan palvelunantajan vastaava johtaja, apteekissa apteekkari.

Kuinka usein suunnitelma pitää päivittää?

Laki edellyttää säännöllistä päivittämistä, katselmointia ja toteutumisen seurantaa. Käytännössä suositeltava väli on vähintään kerran vuodessa sekä aina toiminnan, järjestelmien tai riskien muuttuessa.

Mitä seuraa, jos suunnitelmaa ei ole?

Valvonnasta vastaa 1.1.2026 alkaen Lupa- ja valvontavirasto, jolla on oikeus tehdä tietoturvan ja tietosuojan tarkastuksia. Puutteista voi seurata korjausmääräys, jonka tehosteena voidaan asettaa uhkasakko, ja vakavimmissa tapauksissa toiminnan keskeyttäminen.

Voinko tehdä suunnitelman itse THL:n mallipohjalla?

Voit. THL:n mallipohja (määräyksen 3/2024 liite 1) on ilmainen ja hyvä lähtökohta. Työläintä on suhteuttaa sisältö omaan toimintaan: kuvata todelliset järjestelmät, riskit ja käytännöt niin, että suunnitelma vastaa arkea. Tähän palvelumme on vaihtoehto omalle työlle. Katso myös ohje mallipohjan täyttämiseen.

Paljonko tietoturvasuunnitelman teettäminen maksaa?

Yhden hengen yrityksille ja ammatinharjoittajille 690 € ja suuremmille pk-yrityksille toiminnan laajuuden mukaan enintään 1 490 € (alv 0 %). Vuosittainen katselmointi ja päivitys maksaa 390 €.

Aiheeseen liittyvät artikkelit

Lähteet ja lisätietoa