Siirry suoraan sisältöön

Tietoturvasuunnitelma mallipohja: näin täytät THL:n pohjan

Tietoturvasuunnitelma mallipohja tarkoittaa THL:n eli Terveyden ja hyvinvoinnin laitoksen laatimaa Word-lomaketta, jonka avulla sosiaali- ja terveydenhuollon toimija dokumentoi, miten se suojaa asiakas- ja potilastietoja. Pohja on ilmainen ja sen voi ladata thl.fi-sivustolta. Tässä ohjeessa käymme läpi, mitä mallipohjan luvut 6.1–6.12 sisältävät, miten täytät ne oman toimintasi mukaan ja mitkä ovat yleisimmät virheet, joita valvonnassa tulee vastaan.

Mikä on tietoturvasuunnitelman mallipohja?

Velvollisuus laatia tietoturvasuunnitelma perustuu asiakastietolakiin (703/2023) 77 §:ään. Suunnitelman sisällöstä määrää THL:n määräys 3/2024, joka tuli voimaan 22.2.2024 ja on voimassa toistaiseksi. Määräyksen liite 1 on juuri se Word-mallipohja, jota tässä ohjeessa täytetään. Vastuu suunnitelman laatimisesta ja noudattamisesta on palvelunantajan vastaavalla johtajalla, apteekissa apteekkarilla (703/2023, 78 §).

Velvoite koskee kaikkia julkisia ja yksityisiä sosiaali- ja terveydenhuollon palvelunantajia, apteekkeja, Kanta-välittäjiä ja Kelaa – koosta ja yhtiömuodosta riippumatta. Se koskee myös itsenäisiä ammatinharjoittajia, toiminimiä ja alihankkijoita, myös silloin kun sähköistä potilastietojärjestelmää ei ole tai kun työskentelet toisen yrityksen tiloissa.

Valmis suunnitelma on aina ei-julkinen asiakirja. Sitä ei toimiteta THL:lle, Kelaan eikä Soteriin. Soteri-rekisteröinnissä ilmoitetaan vain suunnitelman laatimis- tai päivityspäivämäärä, ja itse asiakirja esitetään vasta valvontatarkastuksessa. Valvonnasta vastaa 1.1.2026 alkaen Lupa- ja valvontavirasto (LVV), joka korvasi Valviran ja aluehallintovirastot.

Mallipohjan rakenne: luvut 6.1–6.12

Mallipohja etenee valmiiden otsikoiden mukaan. Luvussa 3 nimetään vastuut: kuka yrityksessä vastaa tietoturvasta ja asiakastietojen käsittelystä. Varsinainen sisältö kirjataan lukuihin 6.1–6.12. Jokaiseen lukuun kuvataan lyhyesti, mitä käytäntöjä yrityksessäsi on käytössä.

  • 6.1 Yleiset tietoturvakäytännöt – perusperiaatteet ja riskienhallinta.
  • 6.2a Jatkuvuuden hallinta – varmuuskopiot ja toiminta poikkeustilanteissa.
  • 6.2b Häiriöiden hallinta – miten tietoturvapoikkeamiin reagoidaan.
  • 6.3 Henkilöstön koulutus – osaamisen ylläpito ja perehdytys.
  • 6.4 Käyttöohjeet – järjestelmien käyttöä ohjaavat ohjeet.
  • 6.5 Perustiedot ja olennaiset vaatimukset – käytettävät järjestelmät (ks. THL:n määräys 5/2024 ja Astori-rekisteri).
  • 6.6 Asennus, ylläpito ja päivitys – laitteiden ja ohjelmistojen ajantasaisuus.
  • 6.7 Käyttövaltuudet ja tunnistautuminen – kuka pääsee mihinkin ja miten kirjaudutaan.
  • 6.8 Pääsynhallinta ja käytön seuranta – lokitiedot ja väärinkäytösten valvonta.
  • 6.9 Fyysinen turvallisuus – tilojen lukitus ja papereiden säilytys.
  • 6.10 Työasemat, mobiililaitteet ja tukipalvelut – päätelaitteiden suojaus.
  • 6.11 Alusta- ja verkkopalvelut – pilvipalvelut ja verkkoyhteydet.
  • 6.12 Kanta-palvelujen tietoturvakäytännöt – Kannan liittymiseen ja käyttöön liittyvät menettelyt.

Näin täytät mallipohjan oman toiminnan mukaan

Tärkein sääntö on suhteuttaa sisältö oman toiminnan laajuuteen. Kaikkia lukuja ei tarvitse täyttää yhtä laajasti, mutta jokaiseen on otettava kantaa. Kirjoita siitä, mitä yrityksesi oikeasti tekee – älä siitä, mitä mallipohja mainitsee esimerkkinä.

Konkreettinen esimerkki: jos työskentelet yksin kotitoimistossa ilman sähköistä potilastietojärjestelmää, luku 6.11 alusta- ja verkkopalveluista voi jäädä lyhyeksi. Luku 6.9 fyysisestä turvallisuudesta on silti täytettävä huolella: kuka pääsee tiloihin, säilytetäänkö paperit lukitussa kaapissa ja miten tietokone lukitaan poissa ollessa.

Toinen esimerkki: monen työntekijän vastaanotolla luvut 6.7 ja 6.8 – käyttövaltuudet ja käytön seuranta – ovat keskeisiä, koska useampi henkilö käsittelee samoja potilastietoja. Kirjaa, kuka myöntää tunnukset, miten ne poistetaan työsuhteen päättyessä ja kuka tarkastaa lokitiedot.

Tietoturvasuunnitelma mallipohja: yleisimmät sudenkuopat

Valvonnassa ja tarkastuksissa toistuvat samat virheet. Kolme yleisintä kannattaa tunnistaa etukäteen.

  • Liian yleinen teksti. Jos jokaisen luvun kohdalla lukee vain ”huolehdimme tietoturvasta asianmukaisesti”, suunnitelma ei osoita mitään konkreettista. Kirjoita, millä keinolla ja kenen toimesta asia hoidetaan.
  • Suora kopiointi. Toisen yrityksen valmiin suunnitelman tai mallipohjan esimerkkitekstien kopiointi johtaa siihen, että asiakirja kuvaa jonkun muun toimintaa. Tarkastaja huomaa ristiriidan nopeasti.
  • Sisältöä ei ole suhteutettu omaan toimintaan. Suunnitelma on joko selvästi liian raskas pienelle toiminimelle tai liian ohut usean työntekijän yritykselle. Molemmat kertovat, että pohjaa ei ole mietitty loppuun asti.

Neljäs tavallinen puute on päivittämisen laiminlyönti. Laki edellyttää, että suunnitelmaa pidetään ajan tasalla säännöllisesti. Käytännön suositus on katselmoida se vähintään kerran vuodessa ja aina, kun järjestelmät tai henkilöstö muuttuvat – tämä väli on suositus, ei lain kirjain.

Milloin kannattaa tehdä itse ja milloin ulkoistaa

Mallipohjan täyttäminen itse on täysin mahdollista, jos toiminta on suppeaa ja aikaa löytyy paneutua vaatimuksiin. Laajemmassa toiminnassa ulkopuolinen apu säästää aikaa ja vähentää riskiä, että jokin luku jää puutteelliseksi.

TilanneSuositus
Yhden hengen toiminimi, ei potilastietojärjestelmää, aikaa perehtyäTee itse THL:n mallipohjalla
Muutama työntekijä, oma järjestelmä ja alihankkijoitaHarkitse ulkoistamista tai tarkistusta
Kanta-liittyminen tai Soteri-rekisteröinti kiireelläUlkoistaminen nopeuttaa aikataulua
Epävarmuus siitä, mitä luvut 6.1–6.12 vaativatPyydä asiantuntija-apu

Jos oma aika ei riitä tai toiminta on laajaa, teemme THL:n tietoturvasuunnitelman valmiiksi puolestasi toimintaasi mitoitettuna. Yhden hengen yrityksille ja ammatinharjoittajille hinta on 690 € (alv 0 %), suuremmille pk-yrityksille toiminnan laajuuden mukaan enintään 1 490 € (alv 0 %), ja vuosittainen katselmointi ja päivitys 390 € (alv 0 %).

Usein kysytyt kysymykset

Mistä saan tietoturvasuunnitelman mallipohjan?

Mallipohja on THL:n määräyksen 3/2024 liite 1. Sen saa ilmaiseksi Word-muodossa thl.fi-sivustolta. Pohja on kaikille sama; sisältö täytetään oman toiminnan mukaan.

Riittääkö mallipohjan täyttäminen sellaisenaan?

Ei. Sisältö on suhteutettava oman toiminnan laajuuteen, järjestelmiin ja riskeihin. Yleisluontoiseksi jäänyt tai toisesta yrityksestä kopioitu pohja ei täytä lain velvoitetta.

Onko tietoturvasuunnitelma julkinen asiakirja?

Ei. Suunnitelma on aina ei-julkinen. Sitä ei toimiteta THL:lle, Kelaan eikä Soteriin. Soteri-rekisteröinnissä ilmoitetaan vain laatimis- tai päivityspäivämäärä, ja asiakirja esitetään valvontatarkastuksessa.

Kuka valvoo tietoturvasuunnitelmaa?

Valvonnasta vastaa 1.1.2026 alkaen Lupa- ja valvontavirasto (LVV). Se voi tehdä tarkastuksia, antaa määräajan korjauksille, asettaa uhkasakon ja vakavimmissa tapauksissa keskeyttää toiminnan.

Kuinka usein mallipohja pitää päivittää?

Laki edellyttää päivittämistä säännöllisesti. Käytännön suositus on katselmoida suunnitelma vähintään kerran vuodessa ja aina, kun toiminta, henkilöstö tai järjestelmät muuttuvat.

Lähteet

Lue myös