Omavalvontasuunnitelma: Psykoterapia MiiL Oy

Y-tunnus: 3410645-2

---

[MÄÄRÄYS 2/2015, LIITE 1, DNRO. THL/1305/4.09.00/2014] 

[OMAVALVONTASUUNNITELMAN MALLIPOHJA (MINDUUPRO)]

 

Psykoterapia MiiL Oy

 

 

                  

OMAVALVONTASUUNNITELMA

28.12.2023

Milja Ilkka

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Sisältö

 

Johdanto                                                                                                                                                         3

Suunnitelman kohde                                                                                                                                    3

Yleiset tietoturvakäytännöt                                                                                                                       4

Koulutus, ohjeistus ja käyttökokemus ja niiden seuranta                                                            4

Käyttöympäristön ja useiden järjestelmien yhteiset tietoturvakäytännöt                              5

Käyttövaltuuksien, pääsynhallinnan ja käytön seurannan yleiset käytännöt                             6

Kanta-palvelujen käytön tietoturvakäytännöt                                                                                     7

Tietojärjestelmät                                                                                                                                          7

Tietojärjestelmäkohtaiset ohjeet ja suunnitelmat                                                                              7

8.1 Atostek eRA (luokkaan A kuuluva)                                                                                              7

8.2 Järjestelmä MinduuPro (luokkaan B kuuluva)                                                                          7

8.3 Mahdolliset muut järjestelmät                                                                                                    8

 

 

 

 

Johdanto

 

Sosiaali- ja terveydenhuollon palvelun antajien sekä Kanta-välityspalveluiden tuottajien tulee tehdä omavalvontasuunnitelma. (Määräys 2/2015,THL/1305/4.09.00/2014). Tämän suunnitelman avulla ylläpidetään ja kehitetään organisaation tietoturvaa ja tietosuojaa

 

1. Suunnitelman kohde

 

Yrityksen / ammatinharjoittajan nimi: Psykoterapia MiiL Oy

 

Y-tunnus: Y-3410645-2

 

Toimipaikan / -paikkojen osoite: Rauhankatu 29 A, 3krs, Porvoo

 

Aluehallintoviraston toimiluvan myöntämispäivä / Itsenäisen ammatinharjoittajan aloittamisilmoittamisilmoituksen päivämäärä: 6.12.2023

 

 

Ammatinharjoittaja (nimi ilmoitettu kohdassa 2) on vastuussa omavalvontasuunnitelman päivittämisestä ja päivittää suunnitelman aina tarvittaessa. Ammatinharjoittaja vastaa myös tiedon siirtämisestä käytäntöön ja suunnitelman toteutumisen seurannasta. Ammatinharjoittaja toimii tietosuojavastaavana ja arkistonhoitajana.

 

 

 

 

Tämän omavalvontasuunnitelman piiriin kuuluvat seuraavat järjestelmät:

 

MinduuPro ja eRA-järjestelmän omavalvontasuunnitelmaliitteessä (liite 1) on kuvattu seuraavat tietoturvakäytännöt:

• Kanta-palveluiden edellyttämät tunnistamis- ja todentamisratkaisut
• Kanta-palveluiden edellyttämät varmenneratkaisut
• Kanta-palveluiden pääsynhallinnan toteuttaminen
• Vaatimustenmukaisuustodistus
• Kanta-palveluiden edellyttämät käyttövaltuuksien hallinnat ja kytkentä työntekijöiden työrooleihin
• Kanta-palveluiden käytön seurantatyökalut 

 

 

1. Yleiset tietoturvakäytännöt

 

 

eRA-tietojärjestelmän ja MinduuPron tietoturvakäytännöistä on kuvaus MinduuPro ja eRA-järjestelmien omavalvontasuunnitelmaliitteessä (liite 1).

 

Käytännöt mahdollisten muiden järjestelmien osalta:

F-Securen Freedom VPN, maksullinen palvelu sekä Avista Premium Security

Mahdolliset tehtävät lukollisissa kaapeissa, lukiollisessa huoneessa jossa huoneiston ulko-ovi aina lukossa.

Tietokoneen ja kantapalveluiden ollessa pois käytöstä(poikkeustilanne) tietoja voidaan tallentaa ulkoiselle kovalevylle joka on suojattu erillisellä salasanalla, tuolloin internet ei ole käytössä. Ja kun tiedot on voitu siirtää kantapalveluihin poistetaan ne ulkoiselta kovalevyltä.

 

Ammatinharjoittaja on vastuussa yrityksen tietoturvasta ja vastaa tietoturvan organisoinnista, seurannasta ja valvonnasta. Ammatinharjoittaja toimii käytettävien tietojärjestelmien pääkäyttäjänä. Ammatinharjoittaja on perehtynyt tietoturvaedellytyksiin mm. THL:n Kanta-palveluiden verkkokoulun Tietojen turvallinen käsittely -osiossa (linkki: https://verkkokoulut.thl.fi/web/kanta/tietoturva/sisallot)

 

 

 

Koulutus, ohjeistus ja käyttökokemus ja niiden seuranta 

 

 

Toimintamallien koulutus ja perehdytys

 

MinduuPro ja eRA-tietojärjestelmän käyttäjien koulutus on kuvattu omavalvontasuunnitelmaliitteessä (liite 1).

 

 

Tietojärjestelmien käyttökoulutus

 

MinduuPro ja eRA-tietojärjestelmän käyttäjien koulutus on kuvattu omavalvontasuunnitelmaliitteessä (liite 1).

 

 

Riittävä kokemus

 

MinduuPro ja eRA-tietojärjestelmän käyttäjien koulutus on kuvattu eRA-järjestelmän omavalvontasuunnitelmaliitteessä (liite 1).

 

 

Ohjeet ja koulutus potilastietojen käsittelystä

 

MinduuPro ja eRA-tietojärjestelmän käyttäjien koulutus on kuvattu omavalvontasuunnitelmaliitteessä (liite 1).

 

 

 

Käyttöympäristön ja useiden järjestelmien yhteiset tietoturvakäytännöt 

 

 

Menettelyt virhe- ja ongelmatilanteissa

 

Kun ammatinharjoittaja havaitsee ongelman, hän ilmoittaa siitä järjestelmän tukipalveluihin. MinduuPro ja eRA-tietojärjestelmän käytön osalta virhe- ja ongelmatilanteiden selvitys on kuvattu liitteessä 1.

 

Mikäli esim. järjestelmävian vuoksi pääsy sähköiseen tietojärjestelmään estyy, siirrytään tarvittaessa väliaikaisesti paperiarkistoon. Paperisten potilasasiakirjojen väliaikainen säilytys toteutetaan lainsäädännön vaatimalla tavalla ja tiedot siirretään mahdollisimman pian sähköiseen järjestelmään ja paperiasiakirjat tuhotaan asianmukaisesti. Tai ulkoiselle kovalevylle joka on suojattu erillisellä salasanalla. Ulkoista kovalevyä käytettäessä ei tietokoneella ole yhtyettä internettiin.

 

Järjestelmien käyttöohjeiden hallinnointi ja saatavuus

 

MinduuPro ja eRA-tietojärjestelmän käyttöohjeiden hallinnointi ja jakelu on kuvattu MinduuPro ja eRA-järjestelmän omavalvontasuunnitelmaliitteessä (liite 1).

 

 

Järjestelmien asennus ja ylläpito yleisesti

 

MinduuPro ja eRA-tietojärjestelmän osalta järjestelmien muutoshallinta on kuvattu eRA-järjestelmän omavalvontasuunnitelmaliitteessä (liite 1).

 

 

Tilojen, työasemien, tallennusvälineiden ja tulosteiden turvallisuus (Ammatinharjoittajan muokattava /täydennettävä)

 

Toiminnan fyysiset tilat ovat lukolliset. Potilastietoja käsitellään siten, että tietoja sisältävä näyttö ei ole suojaamattomana kohti oviaukkoja tai muita henkilöitä. Käytettävät tietokoneet ja mobiililaitteet on suojattu salasanalla ja mobiilipuhelimien kohdalla puhelimen avauskoodilla tai sormenjälkitunnistuksella sekä sim-koodilla. Laitteet lukittuvat määräajan kuluttua 20min jos laite on käyttämättömänä.  Jos tietoja käsitellään Windows- tai Android -laitteilla, niihin on asennettu virustorjuntaohjelma, joka päivitetään säännöllisesti. Vain yrityksen pääkäyttäjällä eli ammatinharjoittajalla on oikeus asentaa oheisohjelmia käytettäville laitteille.

 

Mahdolliset paperiset potilasasiakirjat ja potilastietoja sisältävät paperitulosteet on sijoitettu paloturvallisesti lukittuna kahden lukon taakse. Potilastietoja sisältävien asiakirjojen tulostus tapahtuu aina siten, ettei ulkopuolisilla ole pääsyä tulosteiden luo. Mikäli potilastietoja sisältävää materiaalia on tarpeen siirtää ulkoiselle kovalevylle tai muistitikulle, nämä ovat salasanalla suojattuja.

 

Muut käyttöympäristön käytännöt. 

(TÄYDENNÄ TARVITTAESSA)

 

MinduuPro ja eRA-tietojärjestelmän tietoliikenteen vastuualueet on kuvattu eRA-järjestelmän omavalvontasuunnitelmaliitteessä (liite 1).

 

Järjestelmää käytetään salsanalla suojatuissa langattomissa verkoissa, johon ei ole pääsyä asiattomilla henkilöillä. Jos mobiiliyhteydessä, verkkoyhteydessä tai reitittimen toiminnassa ilmenee ongelmia, pyydetään tukea verkkoyhteyden tarjoajalta tai reitittimen myyneeltä toimijalta.

 

 

1. Käyttövaltuuksien, pääsynhallinnan ja käytön seurannan yleiset käytännöt

 

 

Käyttövaltuushallinnan ja käytön seurannan käytännöt

 

MinduuPro ja eRA-tietojärjestelmän käyttäjien tunnistamisen ja todentamisen dokumentaatio on eRA-järjestelmän omavalvontasuunnitelmaliitteessä (liite 1).

 

 

1. Kanta-palvelujen käytön tietoturvakäytännöt

 

MinduuPro ja eRA-järjestelmän omavalvontasuunnitelmaliitteessä (liite 1) on kuvattu seuraavat tietoturvakäytännöt:

• Kanta-palveluiden edellyttämät tunnistamis- ja todentamisratkaisut
• Kanta-palveluiden edellyttämät varmenneratkaisut
• Kanta-palveluiden pääsynhallinnan toteuttaminen
• Vaatimustenmukaisuustodistus
• Kanta-palveluiden edellyttämät käyttövaltuuksien hallinnat ja kytkentä työntekijöiden työrooleihin
• Kanta-palveluiden käytön seurantatyökalut 

 

1. Tietojärjestelmät

 

Kanta-palveluihin liittyvät tietojärjestelmät (luokka A)

Atostekin eRA, katso MinduuPro ja eRA-järjestelmän omavalvontasuunnitelmaliite (liite 1).

 

Muut asiakas- tai potilastietoja käsittelevät järjestelmät (luokka B)

MinduuPro, versio 1.0, AtCare Oy, Sentnerikuja 2, 00440, Helsinki

 

 

 

 

1. Tietojärjestelmäkohtaiset ohjeet ja suunnitelmat

 

8.1 Atostek eRA (luokkaan A kuuluva)

 

Katso MinduuPro ja eRA-järjestelmän omavalvontasuunnitelmaliite (liite 1).

 

 

8.2 Järjestelmä MinduuPro (luokkaan B kuuluva)

 

Katso MinduuPro ja eRA-järjestelmän omavalvontasuunnitelmaliite (liite 1).

 

 

 

LIITTEET:

 

Liite 1: MinduuPro ja eRA - Terveydenhuollon organisaation omavalvontasuunnitelmaliite