Sisäinen valvonta ja hyvä johtamis- ja hallintotapa Pirkanmaan sairaanhoitopiirissä

8 Tiedon hallinta ja tietojärjestelmät

Kaikilla esimiehillä on tiedon hallinnan valvontaan liittyviä tehtäviä. Tietohallinnon ja tietoturvan yleinen valvontavastuu on tietohallintojohtajalla. Tietohallintojohtaja vastaa siitä, että tietohallinnon ja -järjestelmien valvonta on olemassa ja on toimiva.

8.1 Käyttöoikeuksien hallinta

Tietohallinto myöntää yhteisten järjestelmien ja verkon käyttöoikeuksia työtehtävien edellyttämässä laajuudessa. Jokainen käyttäjä saa itselleen henkilönumeron ja henkilökohtaiset käyttäjätunnukset. Käyttöoikeuksien määrittelyssä esimiehen on otettava huomioon tehtävien eriyttäminen eli vaarallisten työyhdistelmien välttäminen. Yksiköiden omien tietojärjestelmien tunnuksista, niiden myöntämisestä ja valvonnasta vastaa kyseinen yksikkö. Työtehtävien muuttuessa tai henkilön palvelussuhteen päättyessä esimiehen tulee välittömästi perua tai muuttaa käyttöoikeudet. Tämä menettely koskee myös muita tietojärjestelmien käyttäjiä, kuten opiskelijoita tutkijoita ja siviilipalvelusmiehiä.

Verkon ja keskeisten potilasjärjestelmien käyttöoikeuksien hallinta tulee toteuttaa tietohallinnon hallinnoimana erikseen nimettyjen tunnustentilaajien, sähköisen tilauskäytännön ja tunnusten tarkastuslogiikan kanssa. Yksiköiden esimiesten tulee tarkistaa käyttäjien verkkotunnusten osalta yksiköissä manuaalisesti kolme kertaa vuodessa.

8.2 Tietoturva

Sairaanhoitopiirin tietoturvallisuuden tarkoituksena on turvata koko organisaation toiminnalle tärkeiden tietojärjestelmien ja tietoverkkojen keskeytymätön toiminta, estää asiakirjojen ja tietojen sekä tietojärjestelmien valtuudeton käyttö, tahaton tai tahallinen tiedon tuhoutuminen tai vääristyminen, varautua toiminnan keskeytymisiin ja niistä palautumiseen sekä minimoida mahdolliset vahingot.

Tietohallinto on antanut tarkemmat tietoturvallisuusohjeet, joita henkilöstön tulee noudattaa. Kaikki käyttäjätunnuksen saaneiden henkilöiden tulee allekirjoittavaa tietosuojasitoumus ja perehtyä tietoturvan perusperiaatteisiin. Tietohallinnosta ja tietoturvasta tiedotetaan tietohallinnon Intranet-sivuilla.

Käsiteltävien tietojen tarpeellisuutta ja oikeellisuutta on valvottava. Asiakkaiden ja henkilöstön luottamus perustuu arkaluonteisten tietojen ehdottomaan tietosuojaan. Potilas- ja henkilötietojen asianmukainen käyttö tulee turvata sekä asiakkaan että henkilöstön näkökulmasta. Sairaanhoitopiirille on nimetty sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain mukainen tietosuojavastaava.

Esimiehen on varmistettava, että järjestelmiä käyttävät henkilöt ovat tietoisia niiden käyttötarkoituksesta ja velvoitteistaan. Henkilöstö tulee kouluttaa tietoiseksi siitä, että tietojen oikeudeton käyttö ei ole sallittua. Esimiesten tulee puuttua oikeudettomaan käyttöön välittömästi.

Lokiseurannalla valvotaan säännöllisesti tietojen käyttöä.

8.3 Tietojärjestelmien tuki ja dokumentointi

Tietohallinnon organisoinnilla ja selkeällä vastuutuksella varmistetaan osaltaan koko sairaanhoitopiirikonsernin tietojärjestelmien turvallinen ja tehokas toiminta.

Kullekin järjestelmälle on määriteltävä vastuuhenkilö (järjestelmän omistaja), ja hänen on huolehdittava siitä, että käytössä olevista tietojärjestelmistä on ajan tasalla oleva kuvaus sekä selvitys suojaus- ja varmistustoimista. Tietojärjestelmien vastuuhenkilöiden on huolehdittava riittävästä tietojärjestelmien käytön valvonnasta. Vastuuhenkilöiden on annettava ohjeet taloushallinnon ja henkilöstöhallinnon ohjelmien sekä potilastietojärjestelmien käytön kontrolleista ja nimettävä henkilöt, jotka vastaavat niiden säännönmukaisesta ja riittävästä suorittamisesta ja raportoinnista.

Tietohallinto ylläpitää luetteloa, josta voidaan todeta järjestelmän omistaja, vastuuhenkilöt ja palvelutasot. Taulukoituna on myös palvelimet ja niissä toimivat sovellukset. Käytössä on myös järjestelmä, jonne voidaan kuvata järjestelmien ja palvelinten väliset riippuvuudet.

8.4 Tietojärjestelmien hankinnat ja muutokset

Tietohallinnon vastuulla on se, että sairaanhoitopiirin tietojärjestelmistä muodostuu riittävän yhtenäinen, tehokas ja taloudellinen kokonaisuus. Tietohallinnolla on erityinen vastuu uusien, toimintaa kehittävien, tietoteknisten ratkaisujen etsimisessä yhteistyössä toimintayksiköiden kanssa. Uudet valmisteltavat tietojärjestelmähankkeet ilmoitetaan tietohallinnolle mahdollisimman aikaisessa vaiheessa.

Tietojärjestelmien hankinta tulee tehdä aina yhteistyössä tietohallinnon ja hankintatoimiston kanssa. Muutokset tuotantoympäristöön hyväksyy siihen oikeutettu henkilö. Muutoksista tiedotetaan aina asianmukaisesti niitä, joita muutos koskee. Käytössä on ITIL:n mukainen muutoshallintaprosessi, jossa on mukana kaikki konserniyhtiöt ja keskeiset toimittajat.

Tietojärjestelmien hankinnat, hankintaan liittyvät sopimuspohjat ja muut hankintaan liittyvät asiat tietohallinto tekee yhdessä hankintatoimiston kanssa.

8.5 Tietojärjestelmäkokonaisuuden integraatio toimivaksi kokonaisuudeksi

Tietohallinnon ja yksiköiden eri toimittajilta hankkimat järjestelmät ja palvelut on tarkoitettu toimimaan yhtenä kokonaisuutena. Yhteen toimivuuden onnistumisen keskeisenä kulmakivenä on järjestelmäarkkitehtuuri, joka muodostaa osan sairaanhoitopiirin kokonaisarkkitehtuurista. Tietohallinnon tehtävänä on vastata tietoturvasta ja arkkitehtuurista.

IT-infrastruktuuri on kokonaisuus, joka muodostuu laitteista, ohjelmistoista, käyttäjätuesta, hallinnasta ja tietoliikenteestä. Suurin osa IT-infrastruktuuriin luettavista palveluista on hankittu ulkopuolisilta palveluntuottajilta. Monimutkaisuuden ja suuren merkityksen vuoksi tietohallinto koordinoi IT-infrastruktuurin toiminnan ja muutosten valvontaa ja hallintaa.

Tietojen siirtyminen oikein järjestelmien välillä varmistetaan asianmukaisilla määrittelyillä.

Ulkopuolisten palveluntarjoajien toiminnan tulee olla linjassa sairaanhoitopiirin toiminnan kanssa. Tästä johtuen sairaanhoitopiirin vastuuhenkilöiden tulee valvoa ulkopuolisten sairaanhoitopiirille tuottamien tietohallinnon palvelujen sopimustenmukaisuutta. Palvelutuotannon valvonnan tulee olla hyvin suunniteltua ja järjestelmällistä. Näin pidetään huolta siitä, että kaikki palvelut toimivat asetettujen tavoitteiden mukaisesti.

Sopimusvalvontaan kuuluu palvelusopimuksen seuranta, suunnitelmallinen ja reaktiivinen valvonta. Sopimusseuranta on palvelutuottajan kanssa tehdyn sopimuksen toteuman valvontaa. Keskeisissä palvelusopimuksissa on sovittu, että sairaanhoitopiirillä on oikeus suorittaa toimenpiteitä arvioidakseen muun muassa palvelujen tuotantotapoja ja lainmukaisuutta. Reaktiivinen valvonta on luonteeltaan yksittäisten tapausten jälkivalvontaa. Valvontakohteet valikoituvat kuntalaisten yhteydenotoista, julkisesta keskustelusta tai tilaajan omasta tilannekuvasta.

8.6 Jatkuvuuden turvaaminen ja varmuuskopiointi

Häiriötilanteiden toimintamalli sisältää riittävän yksityiskohtaiset toimintaohjeet tietojärjestelmän tai sen osan toimintakuntoon saattamiseksi erilaisissa häiriötilanteissa. Lähtökohtana ovat toimintayksiköiden arviot tietojärjestelmien kriittisyydestä ja niiden asettamat vaatimukset järjestelmien toipumisajoille.

Toiminnalliset varasuunnitelmat ja niiden ylläpito sekä niistä tiedottaminen ovat toimintayksiköiden esimiesten vastuulla. Järjestelmien ylläpidosta vastaava tietohallinnon yksikkö osallistuu varasuunnitelmien tekemiseen. Palvelutuotannon sujuvuudesta häiriötilanteissa vastaa kuitenkin toimintayksikkö.

Jatkuvuuden turvaaminen on huomioitava myös sopimuksissa.