Sisältökirjasto
Socialstyrelsens föreskrifter (HSLF FS 2016:40)
9 §: Dokumentation och kontroll av åtkomst till uppgifter
Socialstyrelsens föreskrifter och allmänna råd (HSLF FS 2025:57) (Sverige)
9 §

Dokumentation och kontroll av åtkomst till uppgifter

Aloita ilmainen kokeilu

Vaatimuksen kuvaus

Vårdgivaren ska ansvara för att varje användares åtkomst till uppgifter om en patient dokumenteras (loggas).

  1. Vårdgivaren ska ansvara för att det framgår av loggarna
    1. vilka åtgärder som har vidtagits med uppgifter om en patient,
    2. från vilken vårdenhet eller vårdprocess inom en vårdgivares verksamhet som en användare har berett sig tillgång till uppgifter,
    3. från vilken omsorgsgivare som en användare har berett sig tillgång till uppgifter,
    4. vid vilken tidpunkt en användare har berett sig tillgång till uppgifter, och
    5. användarens och patientens identitet.
  2. Vårdgivaren ska ansvara för att
    1. systematiska och återkommande stickprovskontroller görs av den åtkomst som har förekommit,
    2. kontroller görs vid misstanke om obehörig åtkomst,
    3. kontroller av loggar dokumenteras, och
    4. loggar sparas minst fem år.

Kuinka täyttää vaatimus

Socialstyrelsens föreskrifter och allmänna råd (HSLF FS 2025:57) (Sverige)

9 §: Dokumentation och kontroll av åtkomst till uppgifter

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset

Tietojärjestelmien listaus ja omistajien nimeäminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Tietojärjestelmien hallinta
107
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Članak 30.1.i (Imovina): Upravljanja programskom i sklopovskom imovinom
NIS2 Croatia
4.1: Tietojärjestelmien tietoturvallisuus
TiHL tietoturvavaatimukset
2.5: Riskienhallinta
TiHL tietoturvavaatimukset
9.5 §: Suojattavan omaisuuden hallinta
Kyberturvallisuuslaki
1.3.1: Identification of information assets
TISAX
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietojärjestelmien listaus ja omistajien nimeäminen
1. Tehtävän vaatimuskuvaus

Organisaation on ylläpidettävä listaa käytetyistä tietojärjestelmistä sekä tietojärjestelmille nimetyistä omistajista. Omistaja vastaa järjestelmän tietojen täydentämisestä sekä mahdollisista muista tietoturvatoimenpiteistä, jotka liittyvät tiiviisti järjestelmään.

Järjestelmiin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:

  • Järjestelmään liittyvät vastuut ja sen käyttötarkoitus
  • Järjestelmän tietojen sijainti (käsitellään tarkemmin erillisessä tehtävässä)
  • Kuvaus järjestelmän ylläpito- ja kehitysvastuista sekä tähän mahdollisesti liittyvät toimittajat (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa tietojärjestelmän pääsyoikeusroolit ja tunnistautumistavat (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa liittymät muihin järjestelmiin (käsitellään tarkemmin erillisessä tehtävässä)

Sähköisten potilastietojen käytön lokitus

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tekninen tietoturva
Suojausjärjestelmät ja valvonta
4
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
3.2 (konfidensialitet): Krav for å sikre konfidensialitet
Norm for informasjonssikkerhet
9 §: Dokumentation och kontroll av åtkomst till uppgifter
Socialstyrelsens föreskrifter (HSLF FS 2016:40)
10 §: Information till en patient om åtkomst
Socialstyrelsens föreskrifter (HSLF FS 2016:40)
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Sähköisten potilastietojen käytön lokitus
1. Tehtävän vaatimuskuvaus

Organisaation on otettava käyttöön ja ylläpidettävä kattava kirjausjärjestelmä, joka kattaa kaiken sähköisen pääsyn potilastietoihin. Järjestelmän on kirjattava kaikki suorat ja sähköiset käyttöoikeudet ja annettava potilaille pyydettäessä yksityiskohtaiset tiedot.

Kirjauksen on sisällettävä vähintään seuraavat tiedot

  • Kuka on käyttänyt tietoja (esim. nimi, tehtävänimike).
  • Milloin tietoja käytettiin (päivämäärä ja kellonaika).
  • Mistä pääsy tapahtui (esim. sijainti, laitteen tunnus).
  • Tarkoitus, jota varten tietoja käytettiin (esim. potilaan hoito, laskutus, tutkimus).

Näin varmistetaan, että potilaat voivat käyttää oikeuttaan saada tietoa siitä, kenellä on ollut pääsy heidän terveystietoihinsa.

Tietovarantojen listaus ja omistajien nimeäminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tietosuoja
Käsittelyperiaatteet ja osoitusvelvollisuus
91
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Članak 30.1.i (Imovina): Upravljanja programskom i sklopovskom imovinom
NIS2 Croatia
9.5 §: Suojattavan omaisuuden hallinta
Kyberturvallisuuslaki
9.3.1: Data processing activities management
TISAX
1.3.1: Identification of information assets
TISAX
9.5.1: Management of data transfer
TISAX
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietovarantojen listaus ja omistajien nimeäminen
1. Tehtävän vaatimuskuvaus

Organisaation on ylläpidettävä listaa hallinnoimistaan tietovarannoista sekä nimetyistä omistajista. Omistaja vastaa varannon tietojen täydentämisestä sekä mahdollisista muista digiturvatoimenpiteistä, jotka liittyvät tiiviisti tietovarantoon.

Tietovarantoihin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:

  • Tietovarantoon liittyvät vastuut
  • Tietojen käyttötarkoitukset (käsitellään tarkemmin erillisessä tehtävässä)
  • Tietoaineistot, joista tietovaranto muodostuu (käsitellään tarkemmin erillisessä tehtävässä)
  • Tietojen säännönmukaiset luovutukset (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa tieto tietovarannon sidoksesta toimintaprosesseihin

Järjestelmälokien dokumentointi itse ylläpidetyille tietojärjestelmille

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tekninen tietoturva
Suojausjärjestelmät ja valvonta
78
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Članak 30.1.b (logs): Postupanje s incidentima, uključujući njihovo praćenje, evidentiranje i prijavljivanje
NIS2 Croatia
9.9a §: Poikkeamien havainnointi
Kyberturvallisuuslaki
5.2.4: Log management and analysis
TISAX
30 § 3.2° (détection et journaux): La gestion des incidents
NIS2 Belgium
PR.PT-1: Audit/log records are determined, documented, implemented, and reviewed in accordance with policy.
CyberFundamentals
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Järjestelmälokien dokumentointi itse ylläpidetyille tietojärjestelmille
1. Tehtävän vaatimuskuvaus

Järjestelmälokien kehityksen tulee pysyä järjestemän kehityksen mukana ja mahdollistaa esim. tarvittava häriötilanteiden selvitys. Kuvaamme tietojärjestelmälistauksen yhteydessä, minkä järjestelmien suhteen vastuu lokituksen toteutuksesta on itsellämme. Näiden järjestelmien suhteen dokumentoimme:

  • mitä tietoja lokiin tallentuu
  • kuinka pitkään lokin tiedot säilytetään

Lokitietojen kerääminen tietojärjestelmien käytöstä

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tekninen tietoturva
Suojausjärjestelmät ja valvonta
20
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
17 §: Lokitietojen kerääminen
TiHL
HAL-07.1: Seuranta ja valvonta - tietojen käyttö ja luovutukset
Julkri
TEK-12: Turvallisuuteen liittyvien tapahtumien jäljitettävyys
Julkri
TEK-12.1: Turvallisuuteen liittyvien tapahtumien jäljitettävyys - tietojen luovutukset
Julkri
49: Tietojärjestelmien lokitietojen keräys
Digiturvan kokonaiskuvapalvelu
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Lokitietojen kerääminen tietojärjestelmien käytöstä
1. Tehtävän vaatimuskuvaus

Viranomaisen on huolehdittava, että sen tietojärjestelmien käytöstä ja niistä tehtävistä tietojen luovutuksista kerätään tarpeelliset lokitiedot, jos tietojärjestelmän käyttö edellyttää tunnistautumista tai muuta kirjautumista. Lokitietojen käyttötarkoituksena on tietojärjestelmissä olevien tietojen käytön ja luovutuksen seuranta sekä tietojärjestelmän teknisten virheiden selvittäminen.

Digiturvamallissa tietojärjestelmän omistaja voi vastata tietojärjestelmän lokitietojen keräämisen tarkastamisesta. Organisaatio dokumentoi lokien sisällön tarkemmin niissä tietojärjestelmissä, joiden teknisestä ylläpidosta se vastaa itse. Muissa tietojärjestelmissä omistaja tarkistaa yhteistyössä järjestelmätoimittajan kanssa, että tarvittavat lokit kertyvät.

Potilastietojen käyttölokien valvonta ja tarkistaminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tekninen tietoturva
Suojausjärjestelmät ja valvonta
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
9 §: Dokumentation och kontroll av åtkomst till uppgifter
Socialstyrelsens föreskrifter (HSLF FS 2016:40)
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Potilastietojen käyttölokien valvonta ja tarkistaminen
1. Tehtävän vaatimuskuvaus

Organisaation olisi luotava prosessi potilastietoihin pääsyä koskevien lokien valvomiseksi ja tarkistamiseksi. Prosessiin on sisällyttävä järjestelmällisiä pistokokeita, epäiltyjen luvattomien käyttöoikeuksien tutkimista ja kaikkien tarkastusten dokumentointia. Pääsylokit on säilytettävä vähintään viisi vuotta, jotta ne täyttävät vaatimukset.

Kertyvien järjestelmälokien katselmointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tekninen tietoturva
Suojausjärjestelmät ja valvonta
78
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Članak 30.1.b (logs): Postupanje s incidentima, uključujući njihovo praćenje, evidentiranje i prijavljivanje
NIS2 Croatia
9.9a §: Poikkeamien havainnointi
Kyberturvallisuuslaki
5.2.4: Log management and analysis
TISAX
30 § 3.2° (détection et journaux): La gestion des incidents
NIS2 Belgium
4.2.1: Review log data and collect relevant data on the incident to create a good basis for making decisions
NSM ICT-SP
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Kertyvien järjestelmälokien katselmointi
1. Tehtävän vaatimuskuvaus

Organisaation on oltava selvillä eri tietojärjestelmien käytöstä kertyvistä tapahtumalokeista, olipa lokien tuottaminen omalla tai järjestelmätoimittajan vastuulla. Lokeihin tallentuvat käyttäjien suorittamat toiminnot sekä tapahtuneet poikkeamat, virheet ja tietoturvatapahtumat.

Kertyvän lokin riittävyyttä on katselmoitava säännöllisesti. Lokin avulla pitäisi tarvittaessa pystyä selvittämään järjestelmään liittyvät häiriötilanteet ja niiden syy.

Politiikkaan sisältyviä tietoturvatehtäviä

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset
No items found.

Autamme täyttämään vaatimukset tehokkaasti Universal cyber compliance language -teknologialla

Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.

Tietoturvakehikoilla on yleensä yhteinen ydin. Kaikki kehikot kattavat perusaiheita, kuten riskienhallinnan, varmuuskopioinnin, haittaohjelmat, henkilöstön tietoisuuden tai käyttöoikeuksien hallinnan omissa osioissaan.
Digiturvamallin "universal cyber compliance language" -teknologia luo teille yksittäisen suunnitelman ja varmistaa, että kehikkojen yhteiset osat tehdään vain kerran. Te voitte keskittyä suunnitelman toteuttamiseen, me automatisoimme compliance-osan - nykyisiä ja tulevia vaatimuksia päin.
Aloita ilmainen kokeilu
Tutustu Digiturvamalliin
Aloita ilmainen kokeilu
Digiturvamallin avulla rakennat tietoturvallisen ja halutut vaatimukset täyttävän organisaation. Halusitko kehittää tietoturvan hallintaa yleisesti, raportoida omasta NIS2-valmiudesta tai hankkia ISO 27001 -sertifioinnin, Digiturvamalli yksinkertaistaa koko prosessia.
AI-pohjaiset parannussuositukset ja käyttäjäystävällinen työkalu varmistavat, että organisaationne voi olla luottavainen vaatimusten täyttymisestä ja keskittyä oman tietoturvan jatkuvaan parantamiseen.
Selkeä suunnitelma vaatimusten täyttämiseen
Aktivoi teille tärkeät vaatimuskehikot ja jalkauta niiden vaatimukset täyttäviä selkeitä toimenpiteitä.
Uskottavat raportit todisteiksi hyvästä tietoturvasta
Etene tehtävien avulla varmistaaksesi turvallisen toiminnan. Luo ammattimaisia ​​raportteja muutamalla napsautuksella.
AI-avusteiset parannussuositukset
Keskity vaikuttavimpiin parannuksiin Digiturvamallin suositusten avulla.

Aloita jo tänään

Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.

Ilmainen 14 päivän kokeilu
Varaa palaveri
EtusivuHinnastoAsiakkaatTiimiTietoturvaVaraa demoVaraa palaveriKirjauduKokeile
Kuinka se toimii?
YhteenvetoTietoturvatehtävät ja toteutusDokumennoin työkalutHenkilöstön digiturvaohjeetAutomatisoitu raportointi
Käyttötavat
Kehikon mukaanKaikki vaatimuskehikotISO 27001TiedonhallintalakiNIS2-direktiiviNIST CSFCSA CCMISO 27701GDPR, Tietosuoja-asetusISO 27017ISO 27018
Teeman mukaanTietoturvariskien hallintaHenkilöstön tietoisuusCompliance-raportointiHallintakeinojen toteutusSuojattavan omaisuuden hallintaDynaamiset politiikkadokumentitTietosuojan hallinta
Resurssit
AkatemiaWebinaaritTilaa uutiskirjeOhjekeskusBlogiTrust centerVideokurssitViikon digiturvauutisetKäyttöehdotTietosuojaselosteetSisältöpankki: ISO 27001Sisältöpankki: GDPRSisältöpankki: KatakriSisältöpankki: TiedonhallintalakiLabs
Ota yhteyttä
+358 10 231 6010
tiimi@digiturvamalli.fi
Labs
Tarjolla kielillä:
Digiturvamalli tunnetaan kansainvälisesti nimellä Cyberday
© Cyberday Oy, Kalevantie 2 33100 Tampere, Suomi
Digiturvamalli.fi - Moderni alusta tietoturvan hallintaan ja sertifiointiin