GDPR

25.5.2018 astui voimaan EU:n yleinen tietosuoja-asetus (GDPR), jonka tarkoituksena on säädellä EU:n jäsenmaiden ja niiden kansalaisten henkilötietojen käsittelyä. Tämän myötä Vitecin palveluita ja Acute-potilastietojärjestelmää käyttävät organisaatiot ovat rekisterinpitäjiä (controller) ja Vitec tietojen käsittelijä (processor). Tämä merkitsee sitä, että Vitecin velvollisuus on tehdä tarvittavat toimenpiteet varmistaaksemme, että tiedot joita säilytämme puolestasi, ovat saatavilla ja suojattuina GDPR:n vaatimusten mukaisesti. Vitecin palveluita ja Acute-potilastietojärjestelmää käyttävällä organisaatiolla puolestaan on omat vastuunsa.

Millä tavalla Vitec on valmistautunut tietosuoja-asetuksen soveltamisen alkamiseen?
Olemme Vitecillä suorittaneet ulkopuolisten asiantuntijoiden johdolla täydellisen oman toiminnan arvion ja arvioineet tietosuoja-asetuksen vaikutuksia kokonaisvaltaiseesti toimintaamme. Kokonaisvaltaisuus kattaa infrastruktuurin, liiketoiminnan ja kehitystyön.

Käyttääkö Vitec alihankkijoita toiminnassaan, jotka tulee ottaa huomioon GDPR:n suhteen?
Vitecin keskeisin yhteyistyökumppani konesalipalveluissa on Valtti Kumppanit Oy. Tapauskohtaisesti Vitec voi käyttää myös muita alihankkijoita, mutta se vastaa näistä alihankkijoista asiakkaalleen kuten omasta toiminnastaan.

Missä rekisterinpitäjän tallentama tieto fyysisesti sijaitsee?
Data sijaitsee Suomen aluerajojen sisäpuolella.

Kuka tietoihin pääsee ja kuka niitä tarkastelee?
Rekisterinpitäjä on ainoa, jolla on pääsy tallennettuihin tietoihin. Rekisterinpitäjän luvalla ja lähtökohtaisesta tarpeesta Vitecin tuki- ja tuotekehityshenkilökunta voi tarkastella rekisterinpitäjän tietoja esimerkiksi jonkin ylläpidollisen työn niin vaatiessa. Tällöin toimenpiteeseen käytetään henkilökohtaisia tunnuksia ja operointi lokitetaan.

Kuinka tietojen käyttöä salataan?
Tiedot tallennetaan salatun yhteyden taakse eikä niiden käyttö ilman salattua yhteyttä ole mahdollista. Lisäksi käyttö edellyttää henkilökohtaisia käyttöoikeuksia.

Kuinka tiedot varmuuskopioidaan ja millaiset rutiinit näihin on?
Tiedot varmuuskopioidaan Vitecin ylläpitopolitiikan mukaisesti. Täysi varmuuskopio otetaan kerran vuorokaudessa ja transaktiotiedot tunneittain. Varmuuskopiot säilytetään määräajan, jonka jälkeen ne tuhotaan. Tarkemmat tiedot löytyvät Vitecin asianomaisesta dokumentaatiosta. Pyydäthän tarvittaessa sitä.

Käytetäänkö tietoja muihin tarpeisiin kuin mitä rekisterinpitäjä niitä käyttää?
Ei.

Mitä Vitec tekee turvallisuuden varmistamiseksi?
Vitec tekee aktiivisesti työtä tietoturvallisuuden sekä oman toimintansa turvallisuuden varmistamiseksi. Vitec reagoi todettuihin tietoturvauhkiin yhteistyökumppaninsa kanssa mahdollisimman nopeasti ja myös käy tietoturva-asioita aktiivisesti jatkuvassa toiminnassa läpi ennakoivassa ja ennaltaehkäisevässä tarkoituksessa.

Pidättekö lokia tiedoista ja toiminnastanne?
Henkilötietojen käsittelyn lokituksen lisäksi kaikki muukin toimintamme pohjautuu toiminnanohjausjärjestelmän tehtävienhallintaprosesseihin ja kaikkea muutakin toimintaamme ohjaa jäljitettävyys.

Millaista valvontaa ja poikkeavuuksien käsittelyä teillä on?
Järjestelmiimme liittyy valvontamekanismeja, joista operaatiotiimimme saa automaattisia hälytyksiä.
Poikkeavuuksista pidetään lokia, ne dokumentoidaan ja käsitellään sisäisesti sekä tarvittaessa välitetään eteenpäin tarvittaville tahoille.

Millaiset käytännöt tarjoamianne palveluiden pääsynhallintaprosesseissa on?
Palveluidemme pääsynhallinta on dokumentoitu eri dokumenteissa. Tutustuthan tarvittaessa siihen.