S09 Eronen.ppt [Yhteensopivuustila] - …atk-paivat.fi/2010/Eronen2.pdf• Lokia voidaan käyttää...
Transcript of S09 Eronen.ppt [Yhteensopivuustila] - …atk-paivat.fi/2010/Eronen2.pdf• Lokia voidaan käyttää...
POHJOIS-POHJANMAAN SAIRAANHOITOPIIRI
Käyttöoikeuksien hallintaKenelle käyttöoikeudet annetaan?
Terveydenhuollon atk-päivät, Tampere 25.-26.5.2010Helena Eronen
arkistotoimen johtajaPPSHP/Hallintokeskus/Asiakirjahallinto
Pohjois-Pohjanmaan sairaanhoitopiiri
Esityksen sisältö
• Potilasasiakirjoihin sisältyvien tietojen käyttöoikeudet ja oikeustehdä merkintöjä potilasasiakirjoihin
• Eri ammattiryhmien käyttöoikeudet
• Identiteetinhallinta
• Identiteetinhallinnan prosessit
• Käytön valvonta
Pohjois-Pohjanmaan sairaanhoitopiiri
PPSHP:n strategiassa linjattu:
Terveyspalveluja tarvitsevat ihmiset osallistuvat lähivuosina entistäenemmän hoitonsa toteutukseen ja siinä tarvittavaan tiedonvälitykseen. Tämän tukemiseksi otamme tarkoituksenmukaisella tavallakäyttöön sähköisen asioinnin työvälineitä niin sairaaloiden sisällä kuinkotona.
Keskeisenä kohteena on sähköisen potilastiedon käyttö ja liikuteltavuusorganisaation sisällä, alueellisesti sekä valtakunnallisestilainsäädännön edellyttämällä tavalla. Toteutuksissa painotetaanpotilasta osallistavia ja potilaan omatoimisuutta tukevia ratkaisuja,nykyaikaiseen teknologiaan perustuvaa käytettävyyttä sekämoniammatillisuuden ja tiedon kertakirjauksen periaatteita.
Pohjois-Pohjanmaan sairaanhoitopiiri
Potilaskertomusjärjestelmät
Lähde: Kuntaliitto/ KunTo
Perusterveydenhuollonjärjestelmät
AbilitaAluePegasosEfficaGFSMediatriPegasos
Pohjois-Pohjanmaan sairaanhoitopiiri
Potilasasiakirjoihin sisältyvien tietojenkäyttöoikeudet ja oikeus tehdä merkintöjä
potilasasiakirjoihin
Pohjois-Pohjanmaan sairaanhoitopiiri
STM:n asetus potilasasiakirjoista298/2009
• Potilasasiakirja-asetuksessa säädetään potilasasiakirjoihinliittyvistä käyttöoikeuksista:
– potilasasiakirjoihin sisältyvien tietojen käyttöoikeuksistasäädetään asetuksen 4 §:ssä
– oikeudesta tehdä merkintöjä potilasasiakirjoihin säädetäänasetuksen 6 §:ssä
Pohjois-Pohjanmaan sairaanhoitopiiri
Potilasasiakirjoihin sisältyvientietojen käyttöoikeudet
• Potilaan hoitoon tai siihen liittyviin tehtäviin osallistuvatsaavat käsitellä potilasasiakirjoja vain siinä laajuudessa kuinheidän työtehtävänsä ja vastuunsa sitä edellyttävät
– potilaslain 13 §: potilasasiakirjoihin sisältyviä tietoja saavatilman potilaan suostumusta käyttää tai muuten käsitellä vaintoimintayksikössä tai sen toimeksiannosta potilaan hoitoontai siihen liittyviin tehtäviin osallistuvat henkilöt
• Terveydenhuollon toimintayksiköissä työskentelevienkäyttöoikeudet tulee määritellä yksityiskohtaisesti
– käyttöoikeudet ja tietojen luovuttaminen tulee ottaahuomioon jo suunniteltaessa potilasasiakirjojen rakennetta jasäilytystä
Pohjois-Pohjanmaan sairaanhoitopiiri
Potilasasiakirjoihin sisältyvientietojen käyttöoikeudet
• Sähköisessä potilastietojärjestelmässä tulee olla käyttöoikeuksienhallintajärjestelmä (siirtymäsäännös)– kullekin käyttäjälle pitää voida määritellä tämän tehtävien mukaiset
käyttöoikeudet
– pitää sisällään tunnistamisen ja todentamisen, käyttöoikeuksien hallinnansekä pääsynhallinnan
– käyttöoikeudet määriteltävä riittävän selvästi, jotta käyttöä on mahdollistavalvoa
– tehtävien mukaisilla käyttöoikeuksilla rajataan sitä potilastietojen joukkoa,johon henkilöllä on käyttöoikeus sekä sitä potilasjoukkoa, jonka tietoihinkäyttäjällä on oikeus
• Sähköisen potilastietojärjestelmien käyttäjä tulee yksilöidä ja tunnistaasiten, että käyttäjä tulee todennetuksi yksiselitteisesti(siirtymäsäännös)– sähköisiä potilastietojärjestelmiä ei saa käyttää toisen työntekijän
käyttäjätunnuksilla
Pohjois-Pohjanmaan sairaanhoitopiiri
Oikeus tehdä merkintöjäpotilasasiakirjoihin
• Potilasasiakirjoihin saavat tehdä merkintöjä potilaan hoitoonosallistuvat terveydenhuollon ammattihenkilöt ja heidänohjeidensa mukaisesti myös muut henkilöt siltä osin kuin heosallistuvat hoitoon
• Opiskelijat saavat tehdä merkintöjä toimiessaan laillistetunammattihenkilön tehtävässä. Muutoin opiskelijan tekemät merkinnäthyväksyy hänen esimiehensä, ohjaajansa tai tämän valtuuttamahenkilö
• Sairaankuljetukseen osallistuvilla muilla kuin terveydenhuollonammattihenkilöillä on oikeus tehdä potilasasiakirjamerkintöjätoiminnasta vastaavan terveydenhuollon ammattihenkilön ohjeitanoudattaen
• Terveydenhuollon ammattihenkilö vastaa sanelunsa perusteellatehdyistä potilasasiakirjamerkinnöistä
Pohjois-Pohjanmaan sairaanhoitopiiri
Käyttäjä hakee erityissuojattuja tietoja:
Käyttäjä yrittää hakea omia potilastietojaan:
Käyttäjähallintaan liittyvää dialogia Esko-järjestelmässä
Pohjois-Pohjanmaan sairaanhoitopiiri
Terveydenhuollon ammattihenkilöidenkäyttöoikeudet
• Käyttöoikeudet siinä laajuudessa kuin työtehtävät ja vastuusitä edellyttävät
• Erilaiset käyttöoikeusroolit potilastietojärjestelmiin esim.
– lääkärin rooli ja sen mahdolliset mukanaan tulevaterityisoikeudet esim. OYS:n lääkärin erityisoikeuksiinkytketty diagnoosien tallentaminen
– sairaanhoitajan/lähihoitajan/ensihoitajan rooli
– erityistyöntekijöiden, jotka ovat myös terveydenhuollonammattihenkilöitä, roolit
Pohjois-Pohjanmaan sairaanhoitopiiri
Muiden terveydenhuollontyöntekijöiden käyttöoikeudet
• Osastonsihteeri
– osastonsihteerin toimenkuva vaihtelee eri terveydenhuollontoimintayksiköissä samoin toimintayksiöiden sisällä eri klinikoissa voi ollaosastonsihteerillä erilaisia tehtäviä
– monissa erikoissairaanhoidon yksilössä osastonsihteeri huolehtiiajanvarauksesta, varaa tutkimuksia, ottaa vastaan lähetteet ja huolehtii neeteenpäin käsittelijöille, tallentaa hoitoilmoitukset, huolehtii käynti- jadiagnoositiedot laskutukseen ja tilastointiin, tuottaa tekstiäpotilaskertomukseen sanelun perusteella, huolehtii potilaan siirtokuljetustentilaamisesta, lähettää potilasasiakirjoista erilaisia jakeluita lääkärinmääräyksestä ja potilaan suostumuksen perusteella, toimittaapotilasasiakirjoja lausuntoja yms. varten terveydenhuollon ammattihenkilöillejne.
– osastonsihteerin työnkuvan mukaiset erittäin laajat käyttöoikeudet eripotilastietojärjestelmiin, yleensä laajimmat mahdolliset käyttöoikeudet
Pohjois-Pohjanmaan sairaanhoitopiiri
Muiden terveydenhuollontyöntekijöiden käyttöoikeudet
• Klinikkasihteeri– laatii lausuntoja, antaa käyttöoikeuksia järjestelmiin
– käyttöoikeuksissa mm. käyttäjätunnusten teko-oikeus
• Tekstinkäsittelijä– laajat käyttöoikeudet potilaskertomusjärjestelmiin (kertomusjärjestelmä
ja siihen liittyvät erillisjärjestelmät), joihin tuottaa tekstiä saneluidenperusteella, esim. OYS:ssa Esko-Mediform, Kunto-Apu, Q-pati, NeaRisjne. jne.
– usein tarvetta myös muihin potilastietojärjestelmiin
• Erityistyöntekijät, jotka eivät ole terveydenhuollonammattihenkilöitä esim. sosiaalityöntekijät terveydenhuollossa– käyttöoikeudet tehtävien mukaisesti
– esim. sosiaalityöntekijä osallistuu potilaan hoitoon ja tekee sen mukaisetmerkinnät
Pohjois-Pohjanmaan sairaanhoitopiiri
Muiden terveydenhuollontyöntekijöiden käyttöoikeudet
• Arkiston työntekijät (OYS:n toimintamalli)
– tietopalvelu eri organisaatioihin potilaan suostumuksen mukaisesti, tiedottulostetaan järjestelmästä ja postitetaan tai lähetetään suoraanjärjestelmästä lähete-palaute-järjestelmästä tai e-kirjeenä
– potilaalle voidaan lähettää järjestelmästä tulostetut asiakirjat tai suoraan e-kirjeenä
– paperimuotoiset kertomukset toimitetaan lainaan ajanvaraustietojenperusteella, arkisto itse tuottaa potilaslistat potilashallinnon järjestelmästä
– käyttöoikeudet laajat
• Asiakaspalveluyksiköiden työntekijät (mm. neuvonnat, puh.keskus)
– oikeudet yleensä potilaan sijaintitietoihin
• Potilaslaskutusta hoitavat henkilöt
– osalla oikeus tarkistaa tietoja potilaskertomusjärjestelmästä epäselvissätilanteissa
– oikeus potilashallinnon järjestelmiin tehtävien mukaisesti
Pohjois-Pohjanmaan sairaanhoitopiiri
Muiden terveydenhuollontyöntekijöiden käyttöoikeudet
• Tietohallinnon henkilöstö– virhetilanteiden selvittely vaatii usein laajoja käyttöoikeuksia
– OYS:ssa myös tietohallinnon henkilöstö tuottaapotilaskertomusjärjestelmän
• Potilasasiamies– oikeus potilastietoihin perustuu potilaan suostumukseen
– OYS:ssa voi katsoa potilasasiakirjoja Eskosta potilaan suostumuksella
– ei välttämättä tarvitse suoraan käyttöoikeuttapotilaskertomusjärjestelmään, vaan potilas toimittaa tarvittavatasiakirjat potilasasiamiehelle
• Tietosuojavastaava– tehtäväkuvasta riippuen voi olla oikeutettu käyttölokiin, jos lokivalvonta
määrätty tehtäväksi
– lokin tarkastamista varten tarvitsee käyttöoikeuksia myös varsinaiseenpotilaskertomus- ja potilashallintojärjestelmään
Pohjois-Pohjanmaan sairaanhoitopiiri
Opiskelijoiden ja tutkijoidenkäyttöoikeudet
• Opiskelijoilla tulee olla henkilökohtaiset käyttöoikeudet siinälaajuudessa kuin tehtävät edellyttävät
• OYS:n käytäntö:– Lääketieteen opiskelijat saavat harjoittelujaksolle käyttäjätunnukset
sen mukaisesti mille erikoisalalle ovat tulossa harjoitteluun.Käyttäjätunnuksia muutetaan sen mukaan, miten harjoittelu etenee
– Edellytyksenä käyttäjätunnuksen saamiselle on, että opiskelija onosallistunut pakollisiin tietosuoja- ja tietoturvakoulutuksiin sekä Esko-potilaskertomusjärjestelmän käyttökoulutukseen
– Sama käytäntö suunnitteilla myös muille opiskelijoille
• Tutkijoiden käyttöoikeudet OYS:ssa– Sairaalan ulkopuoliset tutkijat toimittavat tutkimuslupa-anomuksen
eettiselle tk:lle tai johtajaylilääkärille. Luvan tutkimukseen saatuaantoimittavat luvan ja listan tutkittavista potilaista arkistoon, jossaannetaan tutkijalle käyttöoikeudet Eskoon
– Virassa olevien tutkijoiden, joilla on Eskon käyttöoikeus tuleetoimittaa tutkimuslupa ja lista tutkittavista potilaista arkistoon
Pohjois-Pohjanmaan sairaanhoitopiiri
Potilaskertomusjärjestelmän (ESKO)hajautettu käyttäjähallinta PPSHP:ssä
• Klinikkasihteeri antaa lääkäreiden, osastonhoitajien, lääketieteenopiskelijoiden sekä muiden lääkäreiden alaisuudessa toimivienhenkilöiden käyttöoikeudet
• Osastonhoitaja antaa käyttöoikeudet omille alaisilleentehtävänimikkeestä riippumatta
• Erityistyöntekijöiden, arkiston, asiakaspalveluyksiköiden esimiehetantavat käyttöoikeudet alaisilleen
• Tutkimusluvan saaneelle PPSHP:n ulkopuoliselle tutkijallekäyttöoikeudet myöntää johtajaylilääkäri ja käyttäjätunnuksen tekeearkistopalvelupäällikkö. PPSHP:n työntekijälle tutkimusluvanmyöntää tulosyksikön-/vastuualueen johtaja ja/tai esimies
• Kunkin henkilön käyttöoikeuksien tulee vastata hänen työtehtäviään(lääkärille lääkärin oikeudet jne.)
• Jos varsinainen käyttöoikeuksien antaja on poissa, hänellä onoltava käyttöoikeuksien antamiseen nimetty sijainen
Pohjois-Pohjanmaan sairaanhoitopiiri
Potilashallintojärjestelmän (Oberon)hajautettu käyttäjähallinta
• Käyttäjätunnusten tekoon on erikseen määritelty profiili:Käyttäjätunnusten tekijä, joka annettu vain tietyille henkilöille
• Osastonhoitaja ja hänen nimeämänsä hoitaja antaa tunnuksetsairaanhoitohenkilöstölle
• Klinikkasihteeri antaa tunnukset lääkärille
• Muille työntekijöille antaa tunnukset esimies
• Käyttäjän on kirjauduttava tunnusten tekijä-profiililla Oberoniinkäyttäjätunnusten hallinnointiin liittyviä töitä varten
• Yksikön on itse varmistauduttava, että käyttäjätunnusten tekijäon paikalla, kun sitä tarvitaan.
• Tietohallinto ei tee Oberon-tunnuksia ja niihin käyttöoikeuksiakenellekään, vaan auttaa mahdollisissa ongelmatilanteissa
Pohjois-Pohjanmaan sairaanhoitopiiri
IdM – identiteetinhallintaprojekti PPSHP:ssä
• Identiteetinhallinnalla varmistetaan, että käyttäjillä ontodennetusti ja hyväksytysti vain heidän työtehtävissääntarvittavat käyttöoikeudet palveluihin
• Yhtenäinen hallintaprosessi tietojärjestelmien sisäiselle käytölleja ulkoisille sidosryhmille
• Sisäisessä käytössä käyttöoikeuksien hallinta perustuukäyttäjän työsuhteen elinkaarenhallinnan eri vaiheisiin
• Ulkoisen käytön osalta asiakkaiden ja kumppaneiden käyttöperustuu sopimukseen
• Identiteetinhallintajärjestelmä, johon integroidaan sovitutsovellukset
• Tunnistustoiminnot: olemassa olevat tavat ja ratkaisuthuomioiden Valviran ja valtionhallinnon Virtu-hankkeen sekäkuntien VirtuK-hankkeen asettamat vaatimukset
Lähde: PPSHP - Identiteetinhallinnankehittäminen/Etenemisehdotus/Panorama Partners
Pohjois-Pohjanmaan sairaanhoitopiiri
IdM projektin tavoitteet 1/2
• Sisäinen käyttö:
– hallittu ja yhtenäinen prosessi identiteetinhallinnassa,auditointi, seuranta ja toiminta muutostilanteissa esim. lyhyettyösuhteet ja sijaistaminen – erillisjärjestelmien (esim.potilastietojärjestelmät) käyttöoikeuksien tilaaminenhajautettu yksiköihin ja hyväksyttyjen tilausten operointikeskitetty käyttöoikeusryhmälle
– integroidaan mahdollisesti hajallaan olevien eri järjestelmienkäyttäjätiedot yhdeksi ehyeksi käyttäjätietovarastoksi
Lähde: PPSHP - Identiteetinhallinnankehittäminen/Etenemisehdotus/Panorama Partners
Pohjois-Pohjanmaan sairaanhoitopiiri
IdM projektin tavoitteet 2/2
• Ukoinen käyttö:
– asiakkaiden ja kumppaneiden käyttö perustuu sopimuksiin jasitoumuksiin
– sähköisen asioinnin tuki
– ehyt identiteetinhallinnan käyttäjävarasto
– mahdollisimman samankaltaiset prosessitidentiteetinhallinnassa kuin sisäisessä käytössä
Lähde: PPSHP – Identiteetinhallinnan
kehittäminen/Etenemisehdotus/Panorama Partners
Pohjois-Pohjanmaan sairaanhoitopiiri
Identiteetinhallinnan yleisprosessi
Lähde: PPSHP - Identiteetinhallinnan kehittäminen/Etenemisehdotus/Panorama Partners
Pohjois-Pohjanmaan sairaanhoitopiiri
Uuden sisäisen käyttäjän perustaminen
• Uusi työntekijä on tulossa työhön ja tarvitsee käyttäjätunnukset
– varmistetaan Valviran kortin olemassaolo ja sen antamatoikeudet
– tarvittaessa luodaan uusi kortti RA-pisteessä
• Henkilöstöhallinto varmistaa työsopimuksen olemassaolon ja luouuden työntekijän henkilöstöhallinnan järjestelmiin
• Käyttöoikeusryhmä luo uuden sisäisen käyttäjän ja liittääorganisaatioon. Antaa käyttäjälle työroolin mukaisetkäyttöoikeudet ja perusoikeudet – työyksikössä annetaanperustason ylittävät käyttöoikeudet esim. sairaanhoitajan roolinmukaiset käyttöoikeudet potilastietojärjestelmiin
Lähde: PPSHP/Alustavat IAM/IdM-prosessit/PanoramaPartners Oy
Pohjois-Pohjanmaan sairaanhoitopiiri
Työtehtävien muutos
• Käyttäjälle tulee muutos työtehtäviin
• Henkilöstöhallinto huolehtii työntekijän työnimikkeenmuutoksesta
• Käyttöoikeusryhmä päivittää käyttäjän työroolia ja sijaintiaorganisaatiossa. Poistaa aikaisemmat työroolin mukaisetkäyttöoikeudet ja antaa uuden työroolin mukaiset käyttöoikeudetperusjärjestelmiin – työyksikössä annetaan uuden roolinmukaiset käyttöoikeudet perustason ylittäviin järjestelmiin esim.potilastietojärjestelmät hajautetussa käyttäjähallinnassa
Lähde: PPSHP/Alustavat IAM/IdM-prosessit/PanoramaPartners Oy
Pohjois-Pohjanmaan sairaanhoitopiiri
Erilliskäyttöoikeuksien hakeminen
• Käyttäjä toteaa tarvitsevansa erilliskäyttöoikeutta johonkintietojärjestelmään tai sen osaan
– hakee erilliskäyttöoikeuksia
• Esimies hyväksyy käyttöoikeuspyynnön
• Käyttöoikeusryhmä/sovelluksen pääkäyttäjä antaaerilliskäyttöoikeudet
Lähde: PPSHP/Alustavat IAM/IdM-prosessit/PanoramaPartners Oy
Pohjois-Pohjanmaan sairaanhoitopiiri
Käyttäjän työsuhde päättyy
• Työntekijän työsuhde päättyy
• Henkilöstöhallinto huolehtii työntekijän poistamisestahenkilöstöhallinnon järjestelmistä
• Käyttöoikeusryhmä poistaa käyttäjän ja poistaa käyttäjäoikeudet– työyksikössä tulee poistaa perusoikeudet ylittävätkäyttöoikeudet (potilastietojärjestelmät).
Lähde: PPSHP/Alustavat IAM/IdM-prosessit/PanoramaPartners Oy
Pohjois-Pohjanmaan sairaanhoitopiiri
Käytön valvonta
• Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestäkäsittelystä (159/2007)
– Sosiaalihuollon ja terveydenhuollon palvelujen antajan tulee pitäärekisteriä omien asiakastietojärjestelmiensä jaasiakasrekisteriensä käyttäjistä sekä näiden käyttöoikeuksista
– Palvelujen antajan tulee kerätä asiakasrekisterikohtaisestikaikesta asiakastietojen käytöstä
– Käyttölokirekisteriin tallennetaan tieto käytetyistä asiakastiedoista,siitä palvelujen antajasta, jonka asiakastietoja käytetään,asiakastietojen käyttäjästä, tietojen käyttötarkoituksesta jakäyttöajankohdasta
• Potilasasiakirja-asetus(298/2009): Lokitietoja tulee säilyttää eheinä jamuuttumattomina 12 vuotta niiden syntymisestä (siirtymäsäännös)
• Potilasasiakirja-asetus(99/2001): Automaattisen tietojenkäsittelynavulla pidettävien potilasasiakirjojen käyttöä tulee valvoakäytettävissä olevin riittävin teknisin menetelmin
Pohjois-Pohjanmaan sairaanhoitopiiri
Lokitietojen käsittelyn tarkoitus
• Lokitietojen käsittelyn tarkoitus on valvoa ja tarvittaessareagoida, että rekisteröityjä koskevia henkilötietoja käsitelläänannettujen ehtojen, määräysten ja lain mukaisesti.
• Lokia voidaan käyttää myös tilastotarkoitusta varten esim.tietoliikenteen kapasiteetin seurantaan, kustannusten jakoon eritoimipisteille tai toimintayksiköille ja teknisten ongelmienselvittämiseen
• Lokia saavat käyttää vain ne henkilöt, joiden työtehtäviinlokiseuranta on määritelty kuuluvaksi. Tehtävät jatalletettavat tiedot on määriteltävä siten, että ne perustuvat vainlokin käyttötarkoitukseen, eli rekisteröityjen yksityisyydentoteuttamiseen
Pohjois-Pohjanmaan sairaanhoitopiiri
Oikeus lokitietoihin• Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä
käsittelystä
– Asiakkaalla on oikeus kirjallisesta pyynnöstä saadamaksutta tieto siitä, kuka on käyttänyt tai kenelle onluovutettu häntä koskevia tietoja ja mikä on ollut käytön tailuovutuksen peruste
– Katseluyhteys luovutuslokiin
– Tieto käyttölokista kirjallisesta pyynnöstä rekisterinpitäjältä
• Oikeus lokitietoihin perustuu myös viranomaisten toiminnanjulkisuudesta annetun lain asianosaisoikeuteen
Pohjois-Pohjanmaan sairaanhoitopiiri
Pääprosessit käyttölokin valvonnassa
• Rekisterinpitäjän oma valvonta
– satunnaisotannat oma-aloitteisesti (ts-vastaava), lokin tuottaminen,tarkistaminen, raportointi mahdollisista väärinkäytöksistäorganisaatioyksikköön, selvityspyyntö asianosaiselle, mahdollinenrangaistus, jos havaittu väärinkäytös
• Potilas haluaa tarkastaa käyttölokin omien tietojensa osalta
– pyyntö tietosuojavastaavalle, lokin tuottaminen, tarkastus ennenpotilaalle antamista tai tarkastus yhdessä potilaan kanssa
• OYS:n käytäntö: potilas aloittaa oman prosessinsajohtajaylilääkärin, AVI:n tai poliisin kautta
Pohjois-Pohjanmaan sairaanhoitopiiri
Pääprosessit käyttölokin valvonnassa
• Sairaanhoitopiirin henkilökuntaan kuuluva epäilee omassayksikössään väärinkäytöstä
– pyyntö tietosuojavastaavalle, lokin tuottaminen, tarkastusyhdessä pyytäjän kanssa, mahdollinen ilmoitustyöyksikköön, selvityspyyntö, mahdollinen rangaistus
• Rekisteröity (tietojärjestelmän käyttäjä) haluaa tarkistaaomat tietonsa
– pyyntö tietosuojavastaavalle
Pohjois-Pohjanmaan sairaanhoitopiiri
Mitä Eskon lokista saadaan ulos?
Käyttäjäkohtainen loki
Potilaskohtainen loki
Pohjois-Pohjanmaan sairaanhoitopiiri
Asiattomankäytönetsiminen
Todettu tietojenerityinenväärinkäyttöuhka
Väite työntekijäntai työntekijä-ryhmän epäasial-lisesta tietojen-käsittelyn tavasta
Työntekijänpotilastieto-jen käyttö-tavan selvit-täminen
Kansalaisenesittämä epäilypotilasrekisterinsäväärinkäytöstä
POTILASTIETOREKISTERIN KÄYTTÖTIETOJEN SELVITYKSEN KULKU
Valvoja Valvoja
ValvojaValvoja
Käytön rutiini-valvonta kuu-kausittain
Määritellään uhkaja sen hallinnanvaatimat tarkas-tukset
Esimies
Ilmoittaatarkastuksentarpeesta jamääritteleeselvityksenkohteen
Arkisto_päällikkö
Arkisto_päällikkö
Selvittää pa-pereiden käy-tön ja pyytäälokin tarkas-tusta valvojalta
Tarkentaa epäilyn koh-teet ja ajan, epäilynperusteen sekä selvit-tää papereiden käy-tön. Pyytää lokin tar-kastusta valvojalta
Valvoja Valvoja
Säännön-mukainenkäyttölokintarkastus
Muu käyttölokintoistuva tarkastus
Käyttölokintarkastus
RAPORTTI tietoturvaneuvottelukunnalle jajohtajaylilääkärillekahdesti vuodessatai tarvittaessa
-Tietoja ei olekäytetty- Tiedon käytössä eiole selvitettävää
Kerrotaanasianosaiselleselvityksen tulos
Vaihtoehdot:- kerrotaan yhteenveto suullisesti taikirjallisesti- annetaan lista, jossa ilmenee missä
Ei jatkotoimiaVäärinkäyttöepäilynselvitys
Arkisto_päällikkö
TARKASTU
STARKASTU
KSEN
VIR
EIL
LEPAN
O
AIH
ETU
TKIA
KÄYTTÖ
Ä
Pohjois-Pohjanmaan sairaanhoitopiiri
PPSHP: Tietoturva- ja tietosuojarikkomusten seuraamukset - luonnos
RIKKOMUKSEN VAKAVUUS
Lievä rikkomus (Asiatontoiminta), esim.* Henkilökohtaisen tietoturvanlaiminlyönti* Epäasiallinen käytös* Haitan aiheuttaminen* Resurssien tuhlaus* Virustorjunnan laiminlyönti* Luvaton kaupallinen tai poliittinentoiminta* Kulunvalvontasääntöjen rikkominen
Rikkomus (Vakavaväärinkäyttö tai turvallisuudenvaarantaminen), esim.* Ohjelmien ja pelien luvaton kopiointi* Luvattomien ohjelmien asentaminen* Ylläpitäjän työkalujen luvatonhallussapito* Palvelun luvaton pystytys* Tunnuksen luovuttaminen* Tiedon luottamuksellisuudenvaarantaminen
Vakava rikkomus/rikos (Lainmukaan rikkomuksena tairikoksena tuomittava teko),esim.* Potilastiedon tai liikesalaisuudenluvaton käsittely ja luovuttaminen* Hakkerointi, tunkeutuminen* Rikoslain alaisen materiaalinoikeudeton käsittely* Tekijänoikeuslain alaisen materiaalinlaiton levittäminen* Virusten tahallinen levittäminen
Teon arviointi Mahdolliset seuraamukset
TietämättömyysOsaamattomuusHuolimattomuusVahinkoTahattomuus
Huomautus Kirjallinen huomautus Suullinen tai kirjallinenhuomautusRikosilmoitusta harkitaan
PiittaamattomuusTörkeä huolimattomuusVälinpitämättömyysTahallisuusToistuvuus
HuomautusKirjallinen varoitus
Kirjallinen varoitusKäyttöoikeuden peruminenPalvelussuhteen purkuIrtisanominen
Kirjallinen varoitusRikosilmoitusPalvelussuhteen purkuIrtisanominen
Rikoksentekotarkoitus(vahingonteko, luvaton käyttö,vakoilu, salassapitorikos, virka-aseman väärinkäyttö yms.)Hyötymistarkoitus
Rikosilmoitusta harkitaanKirjallinen varoitusPalvelussuhteen purkuIrtisanominen
RikosilmoitusPalvelussuhteen purkuIrtisanominen
RikosilmoitusPalvelussuhteen purkuIrtisanominen