Perustelut
Asian valmistelijat: tietohallintopäällikkö Niina Roth, tietoturvapäällikkö Janne Päivinen, turvallisuus- ja varautumispäällikkö Teemu Lampovaara, tietosuojavastaava Veera Välitalo, juristi Tiia Tuovinen, yhteistyössä organisaation turvallisuus- ja varautumisyksikön henkilöstö ja tietoturvatoiminto
Aluehallitus on hyväksynyt Vantaan ja Keravan hyvinvointialueen tietosuoja- ja tietoturvapolitiikan 27.4.2022 § 58. Tällä päätösesityksellä kyseiseen politiikkaan esitetään muutoksia.
Vantaan ja Keravan hyvinvointialueen hallintosäännön 8 §:n mukaan Hyvinvointialueen johtamisessa, riskienhallinnassa, esihenkilötyöskentelyssä ja toimialojen toiminnan järjestämisessä huomioidaan tietoturva ja henkilötietojen käsittelyn tietosuoja noudattaen voimassa olevaa lainsäädäntöä ja viranomaismääräyksiä sekä aluehallituksen vahvistamaa tietoturva- ja tietosuojapolitiikkaa ja hyvinvointialueen sisäisiä määräyksiä ja ohjeita.
EU:n yleistä tietosuoja-asetusta (2016/679) on sovellettu 25.5.2018 alkaen. Tietosuoja-asetuksen yhtenä keskeisenä periaatteena on riskipohjainen lähestymistapa. Tietoturva- ja tietosuojapolitiikassa on tarpeellista ohjeistaa tietoturva- ja tietosuojariskeihin varautumisessa. Tietoturva- ja tietosuojapolitiikka sisältää tavoitteet, periaatteet, vastuut ja toimintatavat, jotka ohjaavat Vantaan ja Keravan hyvinvointialueen toimintaa erityisesti henkilötietojen käsittelyssä ja suojaamisessa.
Tietoturva- ja tietosuojapolitiikan tavoitteena on varmistaa hyvinvointialueen yhdenmukaiset käytännöt tietoturvan ja tietosuojan toteuttamiseksi. Tietoturvasta ja tietosuojasta huolehtiminen on osa Vantaan ja Keravan hyvinvointialueen riskienhallintaa. Tietoturva- ja suojapolitiikka on ylin tietoturvaa ja tietosuojaa ohjaava dokumentti organisaatiossa. Tietoturva- ja tietosuojapolitikkaa täydentävät hyvinvointialueen yleiset tietoturva- ja tietosuojaohjeet sekä toimialojen omat tarkentavat tietoturva- ja tietosuojaohjeet.
Tietoturva- ja tietosuojapolitiikka on päivitetty yhteistyössä hyvinvointialueen tietosuojavastaavan, tietoturvatoiminnon ja turvallisuuden ja varautumisen yksikön kanssa.
Päivitetty tietosuoja- ja tietoturvapolitiikka on tämän päätösesityksen liitteenä. Poistetut kohdat on merkitty liitteeseen punaisella ja uudet lisäykset vihreällä. Muutokset koskevat yleisesti ohjeistuksen ajantasaistamista sekä teknisten epäkohtien tai asiavirheiden poistamista. Politiikkaa on päivitetty hyvinvointialueen voimassa olevan organisaatio- ja toimintamallin mukaisesti ja näin ollen siihen on lisätty turvallisuus- ja varautumisyksikkö sekä sitä koskevat tehtävät. Politiikan asiasisältöä on myös edelleen tiivistetty.
Päätösehdotus
Aluehallitus päättää hyväksyä liitteenä olevan Vantaan ja Keravan hyvinvointialueen tietoturva- ja tietosuojapolitiikan päivityksen.