Miksi tietoturva ja tietosuoja ovat tärkeitä?
Gilliessä käsitellään sosiaali- ja terveydenhuollon arkaluonteisia henkilötietoja. Tiedot kuuluvat asiakkaalle, ja niiden käsittelyä säätelevät EU:n yleinen tietosuoja-asetus (GDPR), kansallinen tietosuojalainsäädäntö sekä sosiaali- ja terveydenhuollon erityislait.
Tietosuoja ei ole vain juridiikkaa – se on osa hyvää hoitoa: kun asiakas voi luottaa siihen, että hänen tietonsa pysyvät turvassa, hän kertoo tilanteestaan rohkeammin ja saa parempaa palvelua.
Käsittelyn perusperiaatteet
| Periaate | Mitä se tarkoittaa käytännössä? |
|---|---|
| Käyttöoikeus työtehtävän mukaan | Käsittele vain niiden asiakkaiden tietoja, joiden hoitoon osallistut. Älä avaa asiakaskortteja uteliaisuudesta. |
| Henkilökohtaiset tunnukset | Älä jaa kirjautumistietojasi. Älä käytä toisen tunnuksia vaikka pyytäisi. |
| Työaseman lukitus | Lukitse työasema aina, kun poistut: Windows Win + L, macOS Ctrl + Cmd + Q. |
| Ei tietoja Gillien ulkopuolelle | Älä kopioi asiakastietoja sähköpostiin, viestimiin, muistilappuihin tai pilvitallennukseen. |
| Vahvat salasanat | Käytä pitkää, ainutlaatuista salasanaa ja vaihda se, jos epäilet vaarantumista. |
Mitä Gillie tallentaa?
Gillie kirjaa Muutokset-lokiin keskeiset toimenpiteet:
- kirjautumiset (onnistuneet ja epäonnistuneet)
- kaksivaiheisen tunnistuksen vaiheet ja istunnon päättymiset
- asiakastietojen katselut
- tietojen luonnit, muutokset ja poistot (vanha → uusi arvo)
- API-avaimella aloitetut istunnot
Lokin katselu vaatii erillisen oikeuden ja itsessään tallentuu lokiin. Lokia käytetään tietoturvan valvontaan, vianselvitykseen ja informointivelvoitteen täyttämiseen.
Asiakkaan oikeudet (GDPR)
| Oikeus | Mitä asiakas voi pyytää? | Toiminto Gilliessä |
|---|---|---|
| Saada omat tiedot | Kopion käsiteltävistä henkilötiedoistaan. | Oman datan pyytäminen (GDPR) asiakkaan näkymässä. |
| Tulla unohdetuksi | Tietojensa poistamista, ellei laissa muuta velvoiteta. | Tietojen poistopyyntö. |
| Saada tieto käsittelystä | Selvitys siitä, mitä tietoja kerätään ja miksi. | Informoi asiakasta osana palvelua; käytä organisaation omaa tietosuojaselostetta. |
| Vaatia oikaisua | Virheellisen tiedon korjausta. | Korjaa potilastietojärjestelmässä ja tarvittaessa Gillien tiedoissa. |
Tärkeää. Älä koskaan poista tai muuta asiakastietoja peittelytarkoituksessa. Kaikki toimenpiteet tallentuvat lokiin, jota voi tarkastella jälkikäteen.
Tietoturvapoikkeamat
Tietoturvapoikkeama on tilanne, jossa tietoja on voinut joutua vääriin käsiin tai järjestelmää on käytetty väärin. Tyypillisiä tilanteita:
- kirjautumistunnukset ovat paljastuneet tai niitä on käytetty oikeudettomasti
- kannettava tietokone tai puhelin on kadonnut
- asiakastietoja on epähuomiossa lähetetty väärälle vastaanottajalle
- epäilyttävä tietojenkalasteluviesti on klikattu auki
Toimi näin
- Vaihda salasanasi heti, jos epäilet sen vaarantuneen.
- Ilmoita tilanteesta välittömästi esihenkilölle ja organisaation tietosuojavastaavalle.
- Kirjaa muistiin ajankohta, mitä tapahtui ja kenen tietoja saattoi paljastua.
- Toimi organisaatiosi poikkeamamenettelyn mukaisesti.
Mitä on hyvä tarkistaa säännöllisesti?
- Onko salasana vaihdettu viimeisen vuoden aikana?
- Toimiiko kaksivaiheinen tunnistus? Onko sähköpostiosoite ajan tasalla?
- Lukitsetko aina työaseman, kun poistut paikalta?
- Onko mobiililaitteen näytön lukitus käytössä?
Vinkki. Käytä esimerkiksi vuosittaista tietoturvakoulutusta muistutuksena ja kysy pääkäyttäjältä, jos jokin asetus tuntuu vanhentuneelta.