Organisaation olisi laadittava ja pantava täytäntöön menettelyt sen varmistamiseksi, että kaikki potilastiedot sisältävät hyvän ja turvallisen hoidon kannalta tarpeelliset tiedot. Tähän sisältyy

• potilaan henkilöllisyys,
• hoidon kannalta olennainen tausta,
• diagnoosi ja merkittävien toimenpiteiden syyt,
• toteutetut ja suunnitellut keskeiset toimenpiteet,
• potilaalle ja hänen edustajilleen annetut tiedot sekä mahdollisuus saada toinen mielipide,
• hoitovaihtoehtoja koskevat päätökset,
• ja potilaan mahdolliset päätökset pidättäytyä hoidosta tai kohtelusta.

Organisaation olisi varmistettava, että kaikista potilastietoihin tehdyistä merkinnöistä käy selvästi ilmi merkinnän tehneen henkilön henkilöllisyys sekä merkinnän tarkka päivämäärä ja kellonaika.

Organisaation on varmistettava, että fyysiset terveyteen liittyvät asiakirjat digitoidaan turvallisesti ja täydellisesti ennen alkuperäisten asiakirjojen tuhoamista. Digitoitujen asiakirjojen on vastattava täysin ja tarkasti alkuperäisten asiakirjojen sisältöä. Turvallisen digitoinnin jälkeen menettelyssä olisi myös eriteltävä alkuperäisten fyysisten paperiasiakirjojen turvallinen tuhoaminen.

Organisaatio suojaa julkisten tai yksityisten verkkojen kautta siirrettyjä tietoja kolmansien osapuolten lukemiselta tai manipuloinnilta:

• tunnistanut ja dokumentoinut tiedonsiirtoon käytettävät verkkopalvelut.
• Määrittänyt verkkopalvelujen käyttöä koskevat käytännöt ja menettelyt luokitusvaatimusten mukaisesti.
• Toteuttanut toimenpiteitä, joilla suojataan tosiasiallisesti siirrettyjä tietoja luvattomalta käytöltä.

Etenkin kun paikallista tai rakenteetonta tietoa on toiminnan luonteen vuoksi tarpeen käsitellä paljon, voi olla tarpeen kehittää koulutusta, joka kuvaa näihin liittyiviä riskejä henkilöstölle.

Paikallisen ja rakenteettoman tiedon yleisiä ongelmia ovat mm.:

• ei varmuuskopiointia
• ei pääsynhallintaa
• vaikea löydettävyys

Tiedoille, joiden et haluat häviävän, joiden käyttöä haluat valvoa tai jotka on tärkeä löytää jatkossa, henkilöstön pitäisi käyttää niihin suunniteltuja järjestelmiä.

Organisaation on ylläpidettävä listaa sen hallinnoimiin tietovarantoihin sisältyvistä tietoaineistoista.

Dokumentaation on sisällettävä vähintään seuraavat tiedot:

• Aineiston käsittelyyn käytetyt tietojärjestelmät ja muut keinot
• Keskeiset tietoryhmät aineistossa (ja sisältääkö henkilötietoja)
• Tietojen säilytysaika (käsitellään tarkemmin erillisessä tehtävässä)
• Tarvittaessa tieto aineistojen arkistoinnista / hävittämisestä (käsitellään tarkemmin erillisessä tehtävässä)

Organisaation olisi määriteltävä potilastietojen säilyttämiskäytäntö. Politiikalla on varmistettava, että tiedot säilytetään vähintään kymmenen vuotta viimeisen merkinnän päivämäärästä. Organisaation olisi myös seurattava, onko olemassa säännöksiä, jotka saattavat vaatia pidempiä säilytysaikoja tietyntyyppisille tietueille.

Organisaation olisi otettava käyttöön menettely, jolla korjataan potilastiedoissa olevat virheelliset tiedot. Menettelyllä on varmistettava, että alkuperäisiä merkintöjä ei poisteta tai muuteta lukukelvottomiksi. On myös dokumentoitava, milloin korjaus on tehty ja kuka sen on tehnyt.

Organisaation olisi otettava käyttöön ja valvottava, että terveys- ja henkilötietojen tallentamisessa käytetään erityisiä, asiaankuuluvia koodijärjestelmiä ja terminologioita. Näin varmistetaan, että tiedot ovat johdonmukaisia ja tarkkoja ja että niitä voidaan tulkita oikein eri järjestelmissä. Hyväksytyistä koodijärjestelmistä olisi pidettävä yllä virallista luetteloa, joka olisi integroitava asiaankuuluviin tietojärjestelmiin.

Organisaation olisi laadittava säännöt siitä, kuinka kauan terveystietoja ja niihin liittyviä käyttöprotokollia säilytetään. Säilytysajan olisi perustuttava siihen, mikä on tarpeen tarjotun terveydenhuollon kannalta. Tämän ajanjakson jälkeen tiedot olisi poistettava, ellei muu lainsäädäntö, kuten arkistolaki tai terveysarkistolaki, edellytä niiden säilyttämistä.

Organisaation on otettava käyttöön menettelyt, joilla varmistetaan, että potilastiedot suojataan luvattomalta käytöltä, kun terveydenhuollon toiminta päättyy. Vastuu tästä on nimetyllä taholla, kuten terveydenhuollon tarjoajalla, konkurssipesällä, konkurssipesällä tai selvitysmiehellä. Jos potilastietojen turvallista hallintaa ei voida taata, on oltava käytössä virallinen prosessi, jolla potilastietojen hallinta siirretään.

Terveydenhuollon tarjoajan on varmistettava, että potilastietoja voidaan luoda ja ylläpitää, kun potilaan henkilöllisyyttä ei ole täysin vahvistettu, kun henkilötunnusta ei ole tai kun henkilötiedot on suojattu. Järjestelmän on tuettava vaihtoehtoisia tunnistamismenetelmiä ja turvallista käsittelyä, jotta tietueet pysyvät tarkkoina, jäljitettävinä ja valtuutetun henkilöstön saatavilla samalla kun potilaan yksityisyyttä suojellaan.

Organisaation olisi laadittava ja dokumentoitava menettely potilastietomerkintöjen allekirjoittamista varten. Menettelyssä on määriteltävä selkeästi vahvistusprosessi ja täsmennettävä, mitä merkintöjä ei voida koskaan vapauttaa allekirjoittamisesta, mukaan lukien:

• merkittävät hoito- ja hoitopäätökset
• tartuntatautilain mukaiset käytännesäännöt
• Loppumuistiinpanot tai yhteenvedot toteutuneesta hoidosta

Organisaation olisi määriteltävä, miten potilasasiakirjat säilytetään, jotta varmistetaan, että ne pysyvät luettavina poistamiseen asti. Syöpää aiheuttaville tai perimää vaurioittaville aineille altistumiseen työpaikalla liittyvien lääketieteellisten tutkimusten tallenteita varten olisi otettava käyttöön erityinen menettely, jolla varmistetaan, että ne säilytetään vähintään 40 vuotta altistumisen päättymisen jälkeen.

Organisaation olisi otettava käyttöön prosessi turvaluokiteltujen asiakirjojen inventointia varten. Näin varmistetaan, että kaikkein arkaluonteisimmista tiedoista pidetään ajantasaista luetteloa. Korkeimman turvallisuusluokituksen, kuten "luokiteltu salainen", asiakirjojen inventointi olisi tehtävä vähintään vuosittain. Prosessissa olisi määriteltävä myös muiden luokitusten, kuten "salainen" tai "luottamuksellinen", inventointivaatimukset asiaankuuluvien säännösten perusteella.

Organisaation on varmistettava, että henkilötietojen tuhoaminen tapahtuu turvallisesti ja koordinoidusti. Kun tiedot poistetaan, kaikille asiaankuuluville ulkoisille osapuolille ja henkilöille, jotka ovat aiemmin saaneet niitä, on ilmoitettava asiasta ja heitä on pyydettävä poistamaan hallussaan olevat kopiot. Myös sisäiset kopiot, mukaan lukien arkistoidut tiedot ja varmuuskopiot, on poistettava turvallisesti hyväksyttyjä menetelmiä käyttäen.

Kaikki hävittämistoimet on dokumentoitava ja todennettava, jotta varmistetaan sovellettavien oikeudellisten ja sääntelyvelvoitteiden sekä toimivaltaisten viranomaisten asettamien vaatimusten noudattaminen.

Organisaation olisi luotava selkeä prosessi sen varmistamiseksi, että jokainen hoidon vastaanottaja tunnistetaan yksiselitteisesti sen järjestelmissä. Tähän prosessiin olisi sisällyttävä menetelmä, jolla havaitaan ja yhdistetään säännöllisesti päällekkäiset tietueet potilastietojen eheyden ja tarkkuuden säilyttämiseksi.

Organisaation olisi määriteltävä yhdenmukainen tiedonkeruuprosessi kaikilla osastoilla ja kaikissa järjestelmissä ja otettava se käyttöön, ja siinä olisi määriteltävä tietty joukko demografisia tunnisteita (esim. täydellinen virallinen nimi, syntymäaika, kansallinen tunniste). Valtuutetulle henkilöstölle olisi luotava virallinen, dokumentoitu prosessi, jonka avulla se voi tarkistaa mahdolliset päällekkäisyydet, vahvistaa potilaan henkilöllisyyden ja yhdistää tiedot turvallisesti yhdeksi kattavaksi tiedostoksi.

Olisi otettava käyttöön keskitetty tietokantatekniikka, joka toimii potilaan henkilöllisyyden arvovaltaisena lähteenä ja yhdistää kaikki potilastiedot eri järjestelmistä. Organisaation olisi suoritettava ennakoivasti koko järjestelmän laajuisia tarkistuksia ja analyysejä mahdollisten päällekkäisyyksien, pirstaleisten tietueiden ja muiden identiteettiin liittyvien tietovirheiden tunnistamiseksi ja korjaamiseksi.

Organisaation on laadittava dokumentoidut hätäkäyttökäytännöt, joiden avulla valtuutettu henkilöstö voi käyttää suojattuja sähköisiä terveystietoja hätätilanteissa, kuten luonnonkatastrofien, järjestelmäkatkosten tai laajalle levinneiden verkkohäiriöiden aikana, ja annettava yksilölliset käyttäjätunnukset jokaiselle henkilölle, joka käyttää sähköisiä terveystietojärjestelmiä.

Organisaation olisi varmistettava, että terveydenhuollon tietojärjestelmät on konfiguroitu siten, että ne sisältävät automaattisesti selkeät potilastunnisteet, kuten nimen ja syntymäajan, kaikissa näytettävissä ja tulostettavissa tiedoissa. Tämä on kriittinen turvallisuustoimenpide, jolla estetään sekaannukset ja varmistetaan, että tiedot liitetään aina oikein oikeaan terveydenhuollon vastaanottajaan.

Tämän saavuttamiseksi organisaation olisi

• laadittava "potilastunnisteen vähimmäistietoja" koskeva politiikka: Määritellä pakollinen joukko vähintään kahta yksilöllistä potilastunnusta (esim. koko nimi, syntymäaika, yksilöllinen tunnistenumero), joiden on oltava kaikissa järjestelmän tuotoksissa.
• Määritä standardoidut otsikot ja alatunnisteet: Ohjelmoidaan kaikki terveydenhuollon tietojärjestelmät siten, että vaaditut potilastunnisteet sijoitetaan automaattisesti ja johdonmukaisesti jokaisen näytön ja tulostetun asiakirjan otsikkoon ja/tai alatunnisteeseen.
• Vakioidaan kaikki kliinisten raporttien mallit: Varmista, että kaikissa raporttien (esim. laboratoriotulokset, radiologiset raportit, kotiutusyhteenvedot) tuottamiseen käytetyissä malleissa on varatut, muokkaamattomat kentät pakollisia potilastunnisteita varten.
• Ota käyttöön aktiiviset tarkistuskehotukset: Integroi kriittisiin työnkulkuihin (kuten lääkkeiden antamiseen tai testien tilaamiseen) järjestelmätason tarkistuksia tai "kovia pysäytyksiä", jotka vaativat henkilökuntaa tarkistamaan aktiivisesti potilaan henkilöllisyyden näytöllä olevien tietojen perusteella.

Organisaation tulee olla valmis antamaan markkinavalvontaviranomaisille pyydetyt tiedot toimittajistaan ja asiakkaistaan. Pyydettyihin tietoihin voi sisältyä:

• niiden talouden toimijoiden nimet ja osoitteet, jotka ovat toimittaneet niille digitaalisia elementtejä sisältävän tuotteen.
• mahdollisuuksien mukaan niiden talouden toimijoiden nimet ja osoitteet, joille ne ovat toimittaneet digitaalisia elementtejä sisältävän tuotteen.

Valmistajan on pidettävä liitteessä II esitetyt tiedot ja ohjeet käyttäjien ja markkinavalvontaviranomaisten saatavilla vähintään 10 vuotta sen jälkeen, kun digitaalisia elementtejä sisältävä tuote on saatettu markkinoille, tai tukikauden ajan sen mukaan, kumpi on pidempi.

Valmistaja tai muu luonnollinen henkilö tai oikeushenkilö voi vapaaehtoisesti ilmoittaa koordinaattoriksi nimetylle CSIRT-tietokeskukselle tai ENISAlle kaikista digitaalisia elementtejä sisältävään tuotteeseen sisältyvistä haavoittuvuuksista tai kyberuhkista, jotka voivat vaikuttaa digitaalisia elementtejä sisältävän tuotteen riskiprofiiliin.

Organisaatiolla on oltava menettely, jossa kuvataan keinot, joilla arkistoja voidaan hakea pitkällä aikavälillä, kun ne ovat vanhentuneessa muodossa tai kun niiden lukemiseen käytetyt laitteet eivät ole enää käytössä.

Menettelyssä on myös kuvattava toimenpiteet, joilla varmistetaan, että asiakirjat ovat helposti luettavissa pitkällä aikavälillä (esim. muuntamalla tiedot uudempaan muotoon).

Organisaation on suoritettava säännöllisiä tarkistuksia varmistaakseen, että tiedon- ja dokumentaation hallintapolitiikka pannaan tehokkaasti täytäntöön ja että järjestelmä vastaa organisaation tarpeita ja pysyy asianmukaisena, riittävänä ja tehokkaana.

Toteutetaan toimenpiteitä tietojen suojaamiseksi varmistamalla saatavuus, aitous, eheys ja luottamuksellisuus.

Tähän sisältyy paperisia asiakirjoja koskevan puhtaan työpöydän periaatteen ja tietokoneita sekä muita tietojenkäsittelylaitteita koskevan puhtaan näytön periaatteen noudattaminen.

Tietovuotojen estäminen ja havaitseminen

• Toteuta asianmukaiset toimenpiteet tietovuotojen estämiseksi ja havaitsemiseksi kaikissa viestintäkanavissa ja tietovarastoissa.
• Varmista tietojen turvallinen siirto rahoitusyksikön ja ulkopuolisten osapuolten välillä käyttäen hyväksyttyjä salaus- ja siirtomenetelmiä.
• Luottamuksellisuutta ja salassapitoa koskevat järjestelyt

Määrittele ja ota käyttöön luottamuksellisuus- tai salassapitovaatimukset seuraaville tahoille:

• Sisäinen henkilöstö
• Kolmannet osapuolet (esim. palveluntarjoajat, liikekumppanit, alihankkijat)

Organisaation on suoritettava vakiotapahtumia (Standard Transaction) ja hyväksyttävä ja käsiteltävä ne tapahtumat, jotka sisältävät terveydenhuollon antamishetkellä voimassa olevia koodikokonaisuuksia HIPAA:n 45 CFR:n 162.1105 §:n ja 162.1002 §:n sekä tämän osan nojalla hyväksyttyjen täytäntöönpanomäärittelyjen mukaisesti.

Organisaation on säilytettävä terveydenhuollon antamisajankohtana voimassa olevat koodikokonaisuudet kuluvan laskutuskauden ja kaikkien terveydenhuoltosuunnitelman kattavuusehtojen mukaisten jäljellä olevien valitusjaksojen osalta tämän osan mukaisesti hyväksyttyjen täytäntöönpanomäärittelyjen mukaisesti.

Rajoitetun tietokokonaisuuden muodossa olevia terveystietoja, lukuun ottamatta suoria tunnistetietoja, voidaan käyttää tai luovuttaa tutkimusta, kansanterveyttä tai terveydenhuollon toimintoja varten virallisen tiedonkäyttösopimuksen (DUA) mukaisesti. DUA-sopimus on laadittava ennen rajoitetun tietokokonaisuuden käyttöä tai luovuttamista, ja sen on oltava:

• määriteltävä sallitut käyttötarkoitukset ja rajoitettava tietojen luovuttamista edelleen
• varmistettava, että suojatoimet ovat käytössä
• vaadittava, että luvattomasta käytöstä tai luovuttamisesta ilmoitetaan viipymättä.
• velvoittaa kaikki toimijat noudattamaan samoja rajoituksia ja suojatoimia.
• kiellettävä tietojen käyttö asianomaisten henkilöiden tunnistamiseen tai yhteydenottoon.

Organisaation on säilytettävä kaikki vaaditut toimintatavat, menettelyt, tiedonannot ja asiakirjat joko kirjallisessa tai sähköisessä muodossa. Tähän kuuluu myös dokumentaation säilyttäminen kaikista HIPAA:n edellyttämistä toimista, toiminnnoista tai nimityksistä. Lisäksi säännellyn tahon on säilytettävä riittävästi dokumentaatiota, jotta se voi tarvittaessa todistaa vaatimustenmukaisuuden. Kaikki tällaiset asiakirjat on säilytettävä vähintään kuusi vuotta siitä, kun ne on luotu tai niitä on viimeksi käytetty, sen mukaan, kumpi ajankohta on myöhäisempi.

Organisaation on suoritettava kaikki vakiotapahtumat sähköisten välineiden avulla käyttäen sihteerin (Secretary) hyväksymiä tapahtumastandardeja vaihtaessaan tietoja minkä tahansa sellaisen tahon kanssa, jonka on noudatettava näitä standardeja, mukaan lukien sisäiset tapahtumat.

Organisaatio käyttää standardoituja koodistoja suorittaessaan lain soveltamisalaan kuuluvia tapahtumia.

Suorittaessaan tämän osan soveltamisalaan kuuluvaa tapahtumaa säännellyn tahon on käytettävä tämän osan nojalla HIPAA:ssa hyväksytyissä täytäntöönpanomäärittelyissä kuvattuja ei-lääketieteellisiä koodistoja, jotka ovat voimassa tapahtuman aloittamishetkellä.

Organisaatiolla on oltava prosessi, jonka avulla se poistaa turvallisesti tiedot, joita ei enää tarvita joko tiloissa tai ulkoisesti tallennetuissa tiloissa.

Organisaatiolla on myös oltava turvallinen prosessi luottamuksellisia tietoja sisältävien tietojen hävittämistä ja käytöstä poistamista varten.

Tietojen poistokäytäntöjen toteuttaminen ja sertifioitujen tietojen poistotyökalujen käyttö voi parantaa tietoturvaa ja vaatimustenmukaisuutta.

Organisaatio on määritellyt ja ottanut käyttöön prosessin, jolla se palauttaa tai poistaa turvallisesti kaiken tieto-omaosiiden kaikista ulkoisista IT-palveluista, kun esimerkiksi palvelun käyttö lopetetaan.

Kuvaus tarkistetaan ja mukautetaan jatkuvasti asiaankuuluviin muutoksiin ja sitä säännellään sopimuksin.

Tietoaineistojen tuhoaminen tulee huomioida myös osana laitteiden elinkaaren hallintaa. Myös oheislaitteet ja muistivälineet tulee huomioida.

Tämä voidaan toteuttaa esimerkiksi:

Lisäämällä laitteistojen (kiintolevyt, muistit, muistikortit, tms.) sisältämän tiedon tietoturvallinen luotettava tuhoaminen osaksi käytöstä poiston, huoltoon lähetyksen ja uusiokäytön prosesseja.

Tietojen toimittajilla on oltava järjestelmä kaupparaporttitietojen täydellisyyden, oikeellisuuden tarkistamiseksi sekä puutteiden ja muiden virheiden tunnistamiseksi. Raportti on pyydettävä uudelleen, jos tiedoissa on virheitä.

Turvallisuusluokka IV

• 1. Ei-sähköisten turvallisuusluokiteltujen tietojen tuhoaminen on järjestetty luotettavasti. Tuhoamisessa käytetään menetelmiä, joilla estetään tietojen kokoaminen uudelleen kokonaan tai osittain. Sähköisessä muodossa olevien tietojen osalta.

Turvallisuusluokka III: Kohdan 1 lisäksi

• 2. Kansainvälisten turvallisuusluokan III (CONFIDENTIAL) tietojen osalta, kirjaajan on allekirjoitettava tuhoamistodistus, joka tallennetaan kirjaamoon/rekisteröintipisteeseen. Kirjaustiedot on päivitettävä vastaavasti. Kirjaamon/rekisteröintipisteen on säilytettävä tuhoamistodistukset vähintään viiden vuoden ajan.

Turvallisuusluokka II: Kohtien 1-2 lisäksi

• 3. Jos tiedon on laatinut toinen viranomainen, tarpeettomaksi käyneen tiedon tuhoamisesta on ilmoitettava tiedon laatineelle viranomaiselle, jollei sitä palauteta tiedon laatineelle viranomaiselle.
• 4. Tiedon tuhoamisen saa suorittaa vain henkilö, jonka viranomainen on tähän tehtävään määrännyt. Valmisteluvaiheen versiot voi tuhota ne laatinut henkilö.
• 5. Kansainvälisten turvallisuusluokan II (SECRET) tietojen tuhoaminen on suoritettava todistajan läsnä ollessa. Todistajalla on oltava vähintään tuhottavan tiedon turvallisuusluokkaa vastaava turvallisuusselvitys.

Organisaatiolla on oltava toimenpiteet ja toimintatavat tulevan tiedon, käsittelyssä olevan tiedon ja ulos tulevan tiedon turvallista säilytystä varten. Säilytyksessä tulisi ottaa huomioon:

• Säilytettävien tietojen suojaaminen
• Järjestelmälokien arkistointi
• Säilytettävien tietojen kokonaisuus
• Tietojen säilytyksen toimenpiteiden lokin ylläpito

Kaikki säilytettävä tieto tulee suojata varkaudelta, muokkaamiselta ja tuhoamiselta tai muulta tapahtumalta, joka vaikuttaa niiden luottamuksellisuuteen, eheyteen tai saatavuuteen.

Paperikopio tarkoittaa näytetyn tai siirretyn tiedon pysyvää jäljennöstä fyysiseen muotoon.

Organisaatiolla on työntekijöille ohjeet, jotka rajoittavat henkilötietoja sisältävän materiaalin paperikopioiden luomista. Tämä sisältää tulostetun materiaalin.

Mikäli turvallisuusluokittelemattomat salassa pidettävät tiedot on tallennettu pilvipalveluun vain riittävän luotettavaksi arvioidussa salatussa muodossa, jäännösriskit saattavat olla hyväksyttävissä, mikäli salaukseen käytetty avaimisto pystytään luotettavasti tuhoamaan. Menettely voi soveltua myös henkilötietojen tuhoamiseen niiden lakisääteisen säilytysajan jälkeen.

Tietojenkäsittely-ympäristöjen erilaiset toimijat tunnistetaan riittävän turvallisesti ennen pääsyn sallimista tietoihin.

Laitteiden tunnistaminen: Turvallisuusluokitellun tiedon käsittelyyn käytetään vain organisaation tarjoamia ja hallinnoimia, kyseiselle turvallisuusluokalle hyväksyttyjä päätelaitteita. Kaikkien muiden laitteiden kytkeminen turvallisuusluokitellun tiedon käsittely-ympäristöön on yksiselitteisesti kielletty. Henkilöstö on ohjeistettu ja velvoitettu toimimaan ohjeistuksen mukaisesti.

Tietojärjestelmien tunnistaminen: Tietoa keskenään vaihtavat tietojärjestelmät tunnistetaan käyttötapaukseen soveltuvalla tekniikalla, kuten salasanoilla, avaimilla (esim. API-avain), tunnistevälineillä (tokeneilla, esim. oAuth) tai vastaavilla menetelmillä. Tunnistautuminen tehdään salattuja yhteyksiä pitkin.

Jos tiedon on laatinut toinen viranomainen, tarpeettomaksi käyneen tiedon tuhoamisesta on ilmoitettava tiedon laatineelle viranomaiselle, jollei sitä palauteta tiedon laatineelle viranomaiselle.

Organisaatiolla tulee olla kuvaus tietoaineiston sisällön säilytysajasta sekä arkistoon siirtämisestä, arkistointitavasta ja arkistopaikasta tai tuhoamisesta. Tietoaineiston säilytysajan päättymisen jälkeen tietoaineistot on arkistoitava tai tuhottava viipymättä tietoturvallisella tavalla.

Kun tuhotaan tietojärjestelmien sisältämiä tietoja, seuraavat seikat olisi huomioitava:

• sopiva tuhoamistapa (esim. ylikirjoitus, kryptografinen pyyhintä) valitaan toiminnalliset ja lakisääteiset vaatimukset huomioiden
• tarpeellisuus todisteiden säilyttämiselle tiedon tuhoamisesta käsitellään
• hyödynnettäessä kolmansia osapuolia tietojen tuhoamiseen käsitellään todisteiden vaatiminen sekä tuhoamisvaatimusten sisällyttäminen toimittajasopimuksiin

Tietoaineiston arkistointi- tai tuhoamisprosessi määritellään dokumentaation yhteydessä ja tietoaineiston omistaja vastaa sen toteutuksesta.

Organisaation on toteutettava tiedonsiirrot yleisessä tietoverkossa salattua tai muuten suojattua tiedonsiirtoyhteyttä tai -tapaa käyttämällä, jos siirrettävät tiedot ovat salassa pidettäviä.

Lisäksi tiedonsiirrot on järjestettävä siten, että vastaanottaja varmistetaan tai tunnistetaan riittävän tietoturvallisella tavalla ennen kuin vastaanottaja pääsee käsittelemään siirrettyjä salassa pidettäviä tietoja.

Organisaation on huolehdittava, että kaikki sen ulkopuolelle tai vaihtoehtoiseen sijaintiin tehtävät tietojensiirrot, olipa kyseessä laitteen, ohjelmiston tai datan siirtäminen, vaativat kirjallisen tai kryptografisesti vahvistetun hyväksynnän.

Jokaiselle tietoaineistolle nimetään omistaja. Omistaja on vastuussa tieto-omaisuuden elinkaaresta ja vastaa kyseiseen omaisuuteen liittyvien hallintatehtävien toteuttamisesta.

Omistajan tehtäviin kuuluu mm.:

• varmistaa omaisuuden dokumentointi
• varmistaa omaisuuden asianmukainen suojaus
• pääsyoikeuksien säännöllinen katselmointi
• varmistaa tietojen asianmukainen käsittely, myös tietoja tuhottaessa

Omistaja voi delegoida osan tehtävistä eteenpäin, mutta vastuu säilyy omistajalla.

Kun hävitetään esimerkiksi paperiaineistoja, magneettisia kiintolevyjä, SSD-kiintolevyjä, USB-muisteja tai optisia medioita, hävittäminen on tärkeää suorittaa suunnitelluin menetelmin, jotta tietoja ei myöhemmin voida palauttaa edes osittain.

Tietojen turvalliseen hävittämiseen voidaan käyttää esimerkiksi tarpeeksi tarkkaa silppuamista sekä sitä tukevana suojauksena myös muita menetelmiä, joilla tietojen kokoaminen estetään luotettavasti (esimerkiksi silpun polttaminen tai kiintolevyn sulattaminen).

Suojaustason IV tietoja hävitettäessä:

• Organisaatio on määritellyt käytettävät silppukoot ja tarvittavat muut tukevat menetelmät eri aineistojen hävittämiseen
• Salassa pidettävää tietoa sisältävät tietojärjestelmien väliaikaistiedostot poistuvat joko automaattisesti tai ne poistetaan säännöllisesti

Kun hävitetään esimerkiksi paperiaineistoja, magneettisia kiintolevyjä, SSD-kiintolevyjä, USB-muisteja tai optisia medioita, hävittäminen on tärkeää suorittaa suunnitelluin menetelmin, jotta tietoja ei myöhemmin voida palauttaa edes osittain.

Tietojen turvalliseen hävittämiseen voidaan käyttää esimerkiksi tarpeeksi tarkkaa silppuamista sekä sitä tukevana suojauksena myös muita menetelmiä, joilla tietojen kokoaminen estetään luotettavasti (esimerkiksi silpun polttaminen tai kiintolevyn sulattaminen).

Suojaustason III tietoja hävitettäessä:

• Organisaatio on määritellyt käytettävät silppukoot ja tarvittavat muut tukevat menetelmät eri aineistojen hävittämiseen
• Salassa pidettävää tietoa sisältävät tietojärjestelmien väliaikaistiedostot poistuvat joko automaattisesti tai ne poistetaan säännöllisesti
• Sekä kirjaaja että todistaja, jos jälkimmäisen läsnäoloa vaaditaan, allekirjoitettavat hävittämistodistuksen, joka tallennetaan kirjaamoon
• Todistus säilytytään vähintään 5 vuotta

Kun hävitetään esimerkiksi paperiaineistoja, magneettisia kiintolevyjä, SSD-kiintolevyjä, USB-muisteja tai optisia medioita, hävittäminen on tärkeää suorittaa suunnitelluin menetelmin, jotta tietoja ei myöhemmin voida palauttaa edes osittain.

Tietojen turvalliseen hävittämiseen voidaan käyttää esimerkiksi tarpeeksi tarkkaa silppuamista sekä sitä tukevana suojauksena myös muita menetelmiä, joilla tietojen kokoaminen estetään luotettavasti (esimerkiksi silpun polttaminen tai kiintolevyn sulattaminen).

Suojaustason II tietoja hävitettäessä:

• Organisaatio on määritellyt käytettävät silppukoot ja tarvittavat muut tukevat menetelmät eri aineistojen hävittämiseen
• Salassa pidettävää tietoa sisältävät tietojärjestelmien väliaikaistiedostot poistuvat joko automaattisesti tai ne poistetaan säännöllisesti
• Sekä kirjaaja että todistaja, jos jälkimmäisen läsnäoloa vaaditaan, allekirjoitettavat hävittämistodistuksen, joka tallennetaan kirjaamoon
• Todistus säilytytään vähintään 5 vuotta
• Aineiston hävittäminen suoritetaan todistajan läsnä ollessa, jolla on vähintään hävitettävän aineiston turvallisuusluokkaa vastaava turvallisuusselvitys

Organisaatio on määritellyt kokonaisvastuun siitä, että salassapidettäviä tietoja käsitellään ainoastaan niiden käsittelemiseen soveltuvissa tiloissa.

Suojaustason IV tietojen suhteen menetellään seuraavasti:

• Fyysiset turvatoimet toteutetaan kaikissa tiloissa, joissa tietoja käsitellään tai säilytetään.
• Tietoja käsitellään ainoastaan turva-alueilla, hallinnollisella alueella tai viranomaisen hyväksymillä menettelyillä hallinnollisen alueen ulkopuolella.
• Tietojen säilytys on mahdollista turva-alueilla ja hallinnollisella alueella soveltuvissa lukittavissa toimistokalusteissa, tai tilapäisesti myös viranomaisen hyväksymillä menettelyillä hallinnollisen alueen ulkopuolella.

Organisaatio on määritellyt kokonaisvastuun siitä, että salassapidettäviä tietoja käsitellään ainoastaan niiden käsittelemiseen soveltuvissa tiloissa.

Suojaustason III-II tietojen suhteen menetellään seuraavasti:

• Fyysiset turvatoimet toteutetaan kaikissa tiloissa, joissa tietoja käsitellään tai säilytetään.
• Tietoja käsitellään ainoastaan viranomaisen hyväksymillä turva-alueilla. Tietoja voidaan käsitellä myös hallinnollisilla alueilla, jos pääsy salassa pidettäviin tietoihin on suojattu sivullisilta.
• Tietoja säilytetään ainoastaan viranomaisen hyväksymillä turva-alueilla turvasäilytysyksikössä tai kassaholvissa.

Tietoon ja tietojenkäsittelypalveluihin liittyvä suojattava omaisuus olisi luotteloitava. Tarkoituksena on varmistaa, että suojaus kattaa tarvittavan omaisuuden.

Luettelointia voidaan tehdä suoraan hallintajärjestelmässä, mutta organisaatiolla voi olla käytössä tietylle omaisuudelle (mm. koodivarastoille, tietokannoille, verkkolaitteille, mobiililaitteille, työasemille, palvelimille tai muulle fyysiselle omaisuudelle) muita, hyvin toimivia listauspaikkoja.

Kuvaa tässä tehtävässä, mitkä hallintajärjestelmän ulkopuoliset luettelot liittyvät suojattavan omaisuuden hallintaan.

Kutsumme rakenteettomia, paikallisia tietoja järjestelmien ulkopuolisiksi tiedoiksi tai "piilotiedoiksi". Pääsyn minimointi on osa tietojen minimointia, joka on tärkeä periaate kaikkia sensitiivisiä tietoja käsiteltäessä.

Mikäli tärkeää dataa on isoilta osin piilossa esim. paikallisissa excel-dokumenteissa, ne saattavat olla jo valmiiksi vain pienen työntekijäjoukon saatavissa. Näiden ihmisten tunnistaminen kuitenkin auttaa ohjeistamista ja turvallisuuskäytäntöjen käyttämistä, samalla kun muut voivat esimerkiksi keskittyä piilotietojen määrän minimointiin yleisesti.

Suuri määrä organisaation arvokkaista tiedoista on usein aikojen saatossa kertynyt vaikeasti löydättäväksi ja hallittavaksi rakenteettomiin tietoihin - exceleihin, tekstidokumentteihin, intranetin sivuille tai sähköposteihin.

Kun nämä tiedot on tunnistettu, niiden määrää voidaan määrätietoisesti pyrkiä minimoimaan. Tärkeille järjestelmien ulkopuolisille tiedoille tehdään joku seuraavista päätöksistä:

• siirretään järjestelmään
• hankkiudutaan eroon (kun tieto vanhaa, ei enää tarpeen tai muuten merkityksetöntä)
• pidetään tietoisesti käytössä ja nimetään vastuuhenkilö hallitsemaan riskejä

Data Loss Prevention (DLP) -käytäntöjen avulla voidaan suojata arkaluonteisia tietoja vahingossa tapahtuvalta tai tahalliselta paljastamiselta. Käytännöt voivat hälyttää esimerkiksi havaitessaan arkaluonteista tietoa (esim. henkilötunnuksia tai luottokorttinumeroita) sähköpostissa tai muussa tietojärjestelmässä, jonne ne eivät kuuluisi.

Organisaatio määrittelee päätelaitteisiin liittyvät DLP-käytännöt riskilähtöisesti, huomioiden käsiteltyjen tietoaineistojen tietoluokittelun.

Information Rights Management (IRM) -suojaus sähköposteille tai tiedostoille auttaa suojaamaan tärkeitä tietoja sekä vahingossa että tahallaan tapahtuvalta paljastumiselta.

Kun henkilö esimerkiksi lataa tiedostoja IRM-suojatusta jaetusta kansiosta, tiedostot on salattu niin, että ainoastaan valitut henkilöt pystyvät avaamaan ne. Tiedostolle voi olla asetettu myös muita rajauksia, kuten muokkauksen esto, tekstin kopioinnin esto, paikallisen kopion tallentamisen esto tai tulostamisen esto.

Usein työntekijöiden halutaan pääsevän tietojärjestelmiin käsiksi mahdollisimman helposti - mistä ja milloin vain. Tietojen suojaamiseksi voidaan kuitenkin haluta estää tietojen paikallinen lataaminen laitteille, joita ei hallita esimerkiksi organisaation mobiililaitteiden hallinnan kautta.

Usein työntekijöiden halutaan pääsevän tietojärjestelmiin käsiksi mahdollisimman helposti - mistä ja milloin vain. Tietojen suojaamiseksi voidaan kuitenkin haluta estää tietojen paikallinen lataaminen itse ylläpidetyn verkon ulkopuolella, koska ei voida olla varmoja verkon turvallisuudesta.

Rekisteröidyillä on samat oikeudet henkilötietoihinsa, säilytimmepä niitä missä muodossa tahansa. Meidän on kyettävä viestimään käsittelystä ja tarjoamaan rekisteröidyille pääsy henkilötietoihin, olivatpa ne paperilla, paikallisissa tiedostoissa tai tietojärjestelmissä.

Dokumentoimme erikseen henkilötiedot, joita säilytetään tietojärjestelmien ulkopuolella.

Tietoaineistoja on käsiteltävä ja säilytettävä toimitiloissa, jotka ovat tietoaineiston luottamuksellisuuteen, eheyteen ja saatavuuteen liittyvien vaatimusten toteuttamiseksi riittävän turvallisia.

Digiturvamallissa tarkempia fyysiseen turvallisuuteen liittyviä toimenpiteitä tarkastellaan työpöydän Fyysinen turvallisuus -moduulin alla.