Siirry suoraan sisältöön

Tietoturvasuunnitelma fysioterapia-alan yrittäjälle

Tietoturvasuunnitelma fysioterapia-alan yrittäjälle ei ole vapaaehtoinen paperi vaan lakisääteinen velvoite. Jos pyörität fysioterapia-, toimintaterapia- tai puheterapiavastaanottoa, sinun on laadittava kirjallinen tietoturvasuunnitelma – myös silloin, kun toimit toiminimellä, työskentelet toisen yrityksen tiloissa etkä käytä omaa potilastietojärjestelmää. Tässä oppaassa käydään läpi, mihin velvoite perustuu, mitä suunnitelman pitää sisältää ja miten pääset käytännössä liikkeelle. Tietoturvasuunnitelma (kirjallinen selvitys siitä, miten asiakas- ja potilastietoja suojataan) on samalla osoitus siitä, että hoidat asiakkaidesi arkaluonteiset tiedot asianmukaisesti.

Mihin velvoite perustuu

Velvoite laatia tietoturvasuunnitelma tulee asiakastietolaista (703/2023). Lain 77 § edellyttää, että jokainen sosiaali- ja terveydenhuollon palvelunantaja laatii tietoturvasuunnitelman. Lain 78 § määrää, kuka suunnitelmasta vastaa: terveydenhuollon toiminnassa vastaava johtaja ja apteekissa apteekkari. Yhden hengen yrityksessä vastuu on käytännössä yrittäjällä itsellään.

Suunnitelman sisällöstä määrää tarkemmin THL:n määräys 3/2024 ”Määräys tietoturvasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista”. Määräys tuli voimaan 22.2.2024 ja on voimassa toistaiseksi. Se korvasi aiemman määräyksen 3/2021, joka annettiin vanhan lain (784/2021) aikaan. Nimi vaihtui omavalvontasuunnitelmasta tietoturvasuunnitelmaksi jo vuonna 2021, minkä vuoksi vanhaa ja uutta ohjeistusta menee helposti sekaisin.

Tietoturvasuunnitelma fysioterapia-alalla: keitä velvoite koskee

Velvoite koskee kaikkia julkisia ja yksityisiä sosiaali- ja terveydenhuollon palvelunantajia koosta ja yhtiömuodosta riippumatta. Fysioterapeutti, toimintaterapeutti ja puheterapeutti ovat terveydenhuollon ammattihenkilöitä, joten heidän yritystoimintansa kuuluu velvoitteen piiriin. Käytännössä suunnitelma on laadittava, olitpa:

  • osakeyhtiö, toiminimi tai itsenäinen ammatinharjoittaja
  • alihankkija, joka tuottaa kuntoutuspalveluja toiselle yritykselle tai hyvinvointialueelle
  • yrittäjä, joka työskentelee toisen yrityksen tiloissa – esimerkiksi vuokratuolilla lääkäriaseman tai kuntosalin yhteydessä
  • toimija, jolla ei ole omaa sähköistä potilastietojärjestelmää

Toiminimi ja ”ei omaa järjestelmää” – yleisimmät väärinkäsitykset

Moni fysioterapiayrittäjä olettaa, että pieni koko tai paperisten muistiinpanojen käyttö vapauttaa velvoitteesta. Näin ei ole. Velvoite ei riipu yrityksen koosta, liikevaihdosta eikä siitä, käytätkö sähköistä järjestelmää vai et.

Vaikka kirjaisit asiakastiedot käsin tai käyttäisit vain ajanvarausohjelmaa, käsittelet silti terveydentilaa koskevia arkaluonteisia tietoja. Juuri näiden tietojen suojaaminen on suunnitelman ydin. Sisältö kuitenkin suhteutetaan toiminnan laajuuteen: yhden fysioterapeutin vastaanoton suunnitelma on selvästi lyhyempi ja yksinkertaisempi kuin monen työntekijän kuntoutuslaitoksen.

Mitä tietoturvasuunnitelman pitää sisältää

THL tarjoaa maksuttoman mallipohjan: määräyksen 3/2024 liite 1 on ladattavissa Word-muodossa thl.fi-sivustolta. Pohjan luku 3 käsittelee vastuut ja luvut 6.1–6.12 varsinaiset aihealueet:

  • 6.1 Yleiset tietoturvakäytännöt
  • 6.2a Jatkuvuuden hallinta ja 6.2b häiriöiden hallinta
  • 6.3 Henkilöstön koulutus ja 6.4 käyttöohjeet
  • 6.5 Perustiedot ja olennaiset vaatimukset sekä 6.6 asennus, ylläpito ja päivitys
  • 6.7 Käyttövaltuudet ja tunnistautuminen sekä 6.8 pääsynhallinta ja käytön seuranta
  • 6.9 Fyysinen turvallisuus ja 6.10 työasemat, mobiililaitteet ja tukipalvelut
  • 6.11 Alusta- ja verkkopalvelut sekä 6.12 Kanta-palvelujen tietoturvakäytännöt

Jokaista lukua ei tarvitse täyttää yhtä laajasti. Jos käytät potilastietojärjestelmää, suunnitelmassa osoitetaan lisäksi, että järjestelmä täyttää THL:n määräyksen 5/2024 mukaiset olennaiset toiminnalliset ja tietoturvavaatimukset (nämä on merkitty Astori-rekisteriin). Konkreettinen esimerkki: luvussa 6.7 kuvaat, kenellä on pääsy asiakastietoihin ja miten tunnistaudut järjestelmään – yhden hengen yrityksessä tämä voi olla muutama lause.

Tietoturvasuunnitelma ja omavalvontasuunnitelma ovat eri asiakirjoja

Nämä kaksi sekoitetaan usein toisiinsa. Tarvitset molemmat, ja omavalvontasuunnitelmassa myös viitataan tietoturvasuunnitelmaan.

PiirreTietoturvasuunnitelmaOmavalvontasuunnitelma
PerusteAsiakastietolaki 703/2023, THL 3/2024Palvelujen laatu ja turvallisuus, valvonta
SisältöTietoturva ja tietosuojaPalvelujen laatu ja potilasturvallisuus
JulkisuusEi-julkinen asiakirjaJulkinen asiakirja
ToimitusEsitetään vain valvontatarkastuksessaPidetään yleensä nähtävillä

Kuka valvoo ja mitä laiminlyönnistä seuraa

Sosiaali- ja terveydenhuollon valvonnasta vastaa 1.1.2026 alkaen Lupa- ja valvontavirasto (LVV), joka korvasi Valviran ja aluehallintovirastot 31.12.2025. LVV voi tehdä tarkastuksia, antaa korjausmääräyksen määräajassa, asettaa uhkasakon ja vakavimmissa tapauksissa keskeyttää toiminnan.

Tietoturvasuunnitelma on aina ei-julkinen asiakirja. Sitä ei toimiteta THL:lle, Kelaan eikä Soteri-rekisteriin (yksityisten ja julkisten palvelunantajien rekisteri). Soteri-rekisteröinnissä ilmoitetaan vain suunnitelman laatimis- tai päivityspäivämäärä. Suunnitelma on kuitenkin esitettävä valvontatarkastuksessa. Jos otat käyttöön Kanta-palvelut, suunnitelman on oltava käytössä ennen palvelujen käytön aloittamista, mutta sitä ei liitetä liittymishakemukseen.

Näin fysioterapiayrittäjä pääsee alkuun

  1. Lataa THL:n liite 1 -mallipohja thl.fi-sivustolta.
  2. Kirjaa vastuuhenkilö (yhden hengen yrityksessä yrittäjä itse).
  3. Käy läpi luvut 6.1–6.12 ja kuvaa oman toimintasi käytännöt niin laajasti kuin toiminta edellyttää.
  4. Päivitä suunnitelma säännöllisesti. Laki edellyttää säännöllistä päivitystä; ”vähintään kerran vuodessa” on käytännön suositus, ei lain kirjain.

Jos aikasi menee mieluummin asiakastyöhön kuin dokumentteihin, laadimme fysioterapiayrityksesi THL:n tietoturvasuunnitelman puolestasi ja käymme sisällön kanssasi läpi. Yhden hengen yrityksille ja ammatinharjoittajille hinta on 690 € (alv 0 %), suuremmille pk-yrityksille toiminnan laajuuden mukaan enintään 1 490 € (alv 0 %). Vuosittainen katselmointi ja päivitys on 390 € (alv 0 %).

Usein kysytyt kysymykset

Tarvitseeko fysioterapian toiminimiyrittäjä tietoturvasuunnitelman?

Kyllä. Velvoite koskee kaikkia terveydenhuollon palvelunantajia yhtiömuodosta ja koosta riippumatta, myös toiminimiä ja itsenäisiä ammatinharjoittajia. Suunnitelman laajuus suhteutetaan toiminnan kokoon.

Koskeeko velvoite, jos työskentelen toisen tiloissa tai minulla ei ole omaa potilastietojärjestelmää?

Koskee. Velvoite ei riipu siitä, missä työskentelet tai käytätkö sähköistä järjestelmää. Myös toisen yrityksen tiloissa työskentelevän ja ilman omaa potilastietojärjestelmää toimivan on laadittava suunnitelma.

Mihin lakiin tietoturvasuunnitelma perustuu?

Velvoite perustuu asiakastietolain (703/2023) 77 §:ään, ja vastuu suunnitelmasta määritellään 78 §:ssä. Sisältöä ohjaa THL:n määräys 3/2024, joka tuli voimaan 22.2.2024.

Onko tietoturvasuunnitelma sama kuin omavalvontasuunnitelma?

Ei. Tietoturvasuunnitelma käsittelee tietoturvaa ja tietosuojaa ja on ei-julkinen. Omavalvontasuunnitelma käsittelee palvelujen laatua ja turvallisuutta ja on julkinen. Molemmat tarvitaan, ja omavalvontasuunnitelmassa viitataan tietoturvasuunnitelmaan.

Kuka valvoo suunnitelmaa ja pitääkö se toimittaa jonnekin?

Valvonnasta vastaa 1.1.2026 alkaen Lupa- ja valvontavirasto (LVV). Suunnitelmaa ei toimiteta THL:lle, Kelaan eikä Soteriin; Soteriin ilmoitetaan vain laatimis- tai päivityspäivämäärä. Suunnitelma on esitettävä valvontatarkastuksessa.

Lähteet

Lue myös