Tietoturvakulttuuri ja tietoturvan johtaminen terveydenhuollon organisaatiossa : "salassapidosta tietoturvaan"
Kulppi, Marja-Leena; Lohi, Sirpa (2011)
There are no files associated with this item.
Kulppi, Marja-Leena
Lohi, Sirpa
Lapin yliopisto
2011
openAccess
Tiivistelmä
Tämän Pro gradu -työn tarkoituksena oli selvittää miten terveydenhuollon organisaation tietoturvakulttuuri ilmenee ja millaista on terveydenhuollon tietoturvan johtaminen. Tutkimuksen avulla halusimme lisätä ymmärtämystä niistä terveydenhuollon organisaatiokulttuurisista tekijöistä ja johtajuuden ilmenemismuodoista, joilla voidaan parantaa tietoturvaa. Näkökulmaksi valitsimme terveydenhuollon ammattihenkilöiden näkökulman. Terveydenhuollon ammattihenkilöillä tarkoitamme Suomessa laillistettuja terveydenhuollon ammattihenkilöitä. Tutkimuksen kohteena oli julkinen terveydenhuollon organisaatio.
Tutkimuksessa käytettiin laadullista tutkimusmenetelmää ja aineisto hankittiin puolistrukturoidulla teemahaastattelulla. Teema-alueina olivat organisaation tietoturvakulttuuri, johtaminen sekä tiedonhallinta ja tietoturva. Haastattelut tehtiin harkinnanvaraisesti valituille yhdeksälle kokeneelle terveydenhuollon ammattihenkilölle. Tutkimusaineisto käsiteltiin sisällönanalyysillä. Tutkimuksen teoreettinen viitekehys rakentuu tiedon, tiedonhallinnan, tietohallinnon, tietoturvan, organisaatiokulttuurin ja sen johtamisen lähtökohdista.
Tämän tutkimuksen tuloksina ilmeni, että terveydenhuollon ammattihenkilöille tietoturva käsitteenä ei ollut tuttu. Tietoturva tarkoitti heille potilastietojen suojaamista, potilastietojen salassapitoa ja vaitiolovelvollisuutta, joka perustui terveydenhuollon ammattikoulutukseen, joka oli luonut vahvan ammattietiikan. Sähköinen potilastietojärjestelmä oli omaksuttu hyvin työvälineeksi. Osalla haastateltavista ei ollut käsitystä tietoturvariskeistä, organisaation tietoturvasta, sen valvonnasta tai johtamisesta ja silloin työntekijä voi itse olla tietoturvariski. Tietoturvavastuun osalta tärkeimmäksi lähes kaikki heistä kokivat oman vastuunsa. Osa haastateltavista tunnisti tietoturvan olevan myös työntekijän oikeusturvaa. Haastateltavien kertoman mukaan organisaatiossa ei ollut systemaattista tietoturvaohjeistusta eikä siellä ollut toteutettu koko henkilöstön tietoturvakoulutusta. Merkittävänä asiana tutkimuksessa tuli esille esimiehen rooli. Silloin kun esimies toimi aktiivisesti tietoturvaan liittyvissä
kysymyksissä, johtaminen oli näkyvää ja ongelmiin puututtiin, niin haastateltavat arvioivat koko organisaation tietoturvatason hyväksi ja uskoivat, että tietoturvaa kehitettiin.
Tämän tutkimuksen tulosten perusteella terveydenhuollon tietoturvakulttuuri koostuu potilastietoihin, terveydenhuollon ammattihenkilöihin ja hallinnolliseen tietoturvaan liittyvistä tekijöistä. Terveydenhuollon tietoturvan johtamisen tulee olla aktiivista, osallistavaa, ongelmiin puuttuvaa, kehittävää ja hyvää tietoturvakäytäntöä lisäävää. Tämän tutkimuksen tulokset tukevat aikaisempien tutkimusten tuloksia siitä, että organisaation tietoturvakulttuuria voidaan parantaa vaikuttamalla toimintakäytäntöihin ohjeistuksella, koulutuksella ja aktiivisella johtamisella.
Tutkimuksessa käytettiin laadullista tutkimusmenetelmää ja aineisto hankittiin puolistrukturoidulla teemahaastattelulla. Teema-alueina olivat organisaation tietoturvakulttuuri, johtaminen sekä tiedonhallinta ja tietoturva. Haastattelut tehtiin harkinnanvaraisesti valituille yhdeksälle kokeneelle terveydenhuollon ammattihenkilölle. Tutkimusaineisto käsiteltiin sisällönanalyysillä. Tutkimuksen teoreettinen viitekehys rakentuu tiedon, tiedonhallinnan, tietohallinnon, tietoturvan, organisaatiokulttuurin ja sen johtamisen lähtökohdista.
Tämän tutkimuksen tuloksina ilmeni, että terveydenhuollon ammattihenkilöille tietoturva käsitteenä ei ollut tuttu. Tietoturva tarkoitti heille potilastietojen suojaamista, potilastietojen salassapitoa ja vaitiolovelvollisuutta, joka perustui terveydenhuollon ammattikoulutukseen, joka oli luonut vahvan ammattietiikan. Sähköinen potilastietojärjestelmä oli omaksuttu hyvin työvälineeksi. Osalla haastateltavista ei ollut käsitystä tietoturvariskeistä, organisaation tietoturvasta, sen valvonnasta tai johtamisesta ja silloin työntekijä voi itse olla tietoturvariski. Tietoturvavastuun osalta tärkeimmäksi lähes kaikki heistä kokivat oman vastuunsa. Osa haastateltavista tunnisti tietoturvan olevan myös työntekijän oikeusturvaa. Haastateltavien kertoman mukaan organisaatiossa ei ollut systemaattista tietoturvaohjeistusta eikä siellä ollut toteutettu koko henkilöstön tietoturvakoulutusta. Merkittävänä asiana tutkimuksessa tuli esille esimiehen rooli. Silloin kun esimies toimi aktiivisesti tietoturvaan liittyvissä
kysymyksissä, johtaminen oli näkyvää ja ongelmiin puututtiin, niin haastateltavat arvioivat koko organisaation tietoturvatason hyväksi ja uskoivat, että tietoturvaa kehitettiin.
Tämän tutkimuksen tulosten perusteella terveydenhuollon tietoturvakulttuuri koostuu potilastietoihin, terveydenhuollon ammattihenkilöihin ja hallinnolliseen tietoturvaan liittyvistä tekijöistä. Terveydenhuollon tietoturvan johtamisen tulee olla aktiivista, osallistavaa, ongelmiin puuttuvaa, kehittävää ja hyvää tietoturvakäytäntöä lisäävää. Tämän tutkimuksen tulokset tukevat aikaisempien tutkimusten tuloksia siitä, että organisaation tietoturvakulttuuria voidaan parantaa vaikuttamalla toimintakäytäntöihin ohjeistuksella, koulutuksella ja aktiivisella johtamisella.
Kokoelmat
- Pro gradu -tutkielmat [4604]