Post on 30-May-2020
Tietoturvan ja tietosuojan omavalvontasuunnitelma sote-palveluissa
Juha Mykkänen, kehittämispäällikkö
2.9.2019 JUDO-työpaja
Hippokrateen vala, ote
2
Hippokrates (n. 460-370 eKr)
”Mikäli parannustyössäni tai sen ulkopuolella ihmisten keskuudessa näen tai kuulen sellaista, mitä ei pidä levitettämän, vaikenen ja pidän sitä salaisuutena.”
Mitkä ovat juurisyitä terveyspalveluissa sattuneissa tietoturvapoikkeamissa (EU/EFTA kysely)
3
Inhimilliset virheet
Luonnonilmiöt
Hyökkäykset (kuten palvelunesto- tai MITM)
Järjestelmä- ja laitteistovirheet
(Muut)
• ENISA-kysely ja haastattelut 2015, vastaajina eri rooleissa toimivia eHealth / kyberturvallisuusasiantuntijoita 20 EU/EFTA maasta
Tässä esityksessä:
• Sote-palvelujen tietoturva ja tietosuoja - konteksti
• Tietosuojan ja tietoturvallisuuden omavalvonta ja sote-tietojärjestelmien olennaiset tietoturvavaatimukset
• Kehityksen suunta ja ajankohtaista sote-tietoturvallisuudessa
4
Kontekstia ja tilannetta / sote-tiedonhallinta(lukuja 31.7.2019)
• Kunnissa, kuntayhtymissä, apteekeilla ja yksityisillä sote-palveluntuottajilla useissa palveluissa n. 100% sähköistä tiedonkäsittelyä• Paljon erikokoisia ja eri palveluihin keskittyviä toimijoita• Satoja käytössä olevia ja kymmeniä Kanta-palvelujen
kanssa sertifioituja järjestelmiä • Useita merkittäviä järjestelmien uudistamishankkeita
käynnissä
• Digitaalisuuteen liittyvät toiminnan muutokset edellyttävät tietojen liikkuvuutta ja tietojärjestelmiltä yhteentoimivuutta• Toimeenpano sosiaali- ja terveyden-huollossa erityisesti
valtakunnallisten Kanta-palvelujen kautta• Asoakkaiden entistä keskeisempi rooli ja tietojen
toisiokäyttö keskeisiä valtakunnallisia kehitystyön painopisteitä
• Tietoturvallisuudesta huolehtiminen sekä omassa että verkostotoiminnassa keskeinen velvoite ja menestystekijä
• Kanta-palveluissa on yli 2 700 000 000 asiakirjaa
• yli 6 050 000 henkilöstä
• Potilastiedon arkisto: n. 1 607 600 000 asiakirjaa, 824 200 000 palvelutapahtumaa (käynnin / hoitojakson perustietojen päivitystä)
• 165+1332 julkista+yksityistä käyttäjäorganisaatiota
• 6,6 milj. informointia / 3,6 milj. suostumusta / 0,1 milj. kieltoa
• Resepti-palvelu: n. 180 300 000 lääkemääräystä, n. 338 900 000 lääketoimitusta
• Sosiaalihuollon asiakastiedon arkisto tuotantokäytössä 2018-: 936 506 asiakirjaa yli 69 000 henkilöstä
• 12+5 julkista+yksityistä käyttäjäorganisaatiota, 73 käyttöönottoon ilmoittautunutta, 2139 kirjaamisvalmentajaa, 36785 valmennettua…
• Omakanta-palvelu kansalaisille avoinna tietoturvallisesti verkossa 24/7: yli 2 miljoonaa kirjautunutta henkilöä ja 17 miljoonaa kirjautumiskertaa vuonna 2018
• Sähköinen resepti ja potilastiedon välitys Euroopassa etenee: suomalainen resepti toimitettavissa Virossa, Kroatiassa…
2.9.2019 5
6
Tietoturvallisuuden perusperiaatteet
• Eheys
• tarkkuus ja yhdenmukaisuus säilyvät tiedon elinkaaren ajan
• luvaton muokkaaminen ei onnistu tai se havaitaan
• Luottamuksellisuus
• Saatavuus ja luotettavuus
• tieto on saatavilla, kun sitä tarvitaan
• ohjelmistot, laitteet, turvallisuus ja viestinvälitykset toimivat
• Autenttisuus
• tiedon alkuperä on tiedossa
• tiedonvaihdon osapuolet tunnistetaan luotettavasti
• Kiistämättömyys ja velvoittavuus
• sopimuksen velvoitteet täytetään
• osapuoli ei voi kiistää osallistumistaan tapahtumaan
7
Monet tietoturvallisuustoimenpiteet palvelevat useita tavoitteita (case olennaisten tietoturvavaatimusten luokat)
• Eheys
• tarkkuus ja yhdenmukaisuus säilyvät tiedon elinkaaren ajan
• luvaton muokkaaminen ei onnistu tai se havaitaan
• Luottamuksellisuus
• Saatavuus ja luotettavuus
• tieto on saatavilla, kun sitä tarvitaan
• ohjelmistot, laitteet, turvallisuus ja viestinvälitykset toimivat
• Autenttisuus
• tiedon alkuperä on tiedossa
• tiedonvaihdon osapuolet tunnistetaan luotettavasti
• Kiistämättömyys ja velvoittavuus
• sopimuksen velvoitteet täytetään
• osapuoli ei voi kiistää osallistumistaan tapahtumaan
8
Sähköinen allekirjoitus
Käyttövaltuus-hallinta
Tunnistaminen
Valvonta ja lokitus
Sovellus-turvallisuus
Käyttöympäris-tön turvallisuus
Mitkä ovat juurisyitä terveyspalveluissa sattuneissa tietoturvapoikkeamissa (EU/EFTA kysely)
9
Inhimilliset virheet
Luonnonilmiöt
Hyökkäykset (kuten palvelunesto- tai MITM)
Järjestelmä- ja laitteistovirheet
Muut syyt
• ENISA-kysely ja haastattelut 2015, vastaajina eri rooleissa toimivia eHealth / kyberturvallisuusasiantuntijoita 20 EU/EFTA maasta
2.9.2019Etunimi Sukunimi 10
Tietosuojan ja tietoturvallisuuden olennaiset vaatimukset ja omavalvonta
Olennaiset vaatimukset ja omavalvonta sote-tiedonhallinnassa: miksi?
• Sote-palveluja koskevaan lainsäädäntöön tehtiin vuonna 2014 merkittäviä muutoksia sekä sote-palvelujen tuottajille että järjestelmätoimittajille
• Varmistettava, että • Järjestelmissä on käyttötarkoituksen kannalta oikeat toiminnallisuudet, riittävät
tietoturvaominaisuudet ja että ne pystyvät liittymään osaksi Kanta-palvelujen kautta tapahtuvaa tietojen vaihtoa
→ tietojärjestelmien OLENNAISET VAATIMUKSET
• Organisaatioissa ja palveluntuottajilla on asianmukaiset tietoturvakäytännöt ja käyttöympäristössä huolehditaan asianmukaisesta tietoturvasta
→OMAVALVONTA (tietosuojan ja tietoturvallisuuden)
• Erityishuomio Kanta-palvelujen kautta laajenevassa tietojen saatavuudessa, mutta huomioitava kaikessa toiminnassa
11Yleiskuva
Omavalvonnan ja olennaisten vaatimusten säädökset• Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 159/2007 (päivitetty
2014, päivittymässä 2017)
• Laki sähköisestä lääkemääräyksestä 61/2007 (päivitetty 2014, päivittymässä 2017)
• THL:n Määräys 1/2015: A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien olennaiset tietoturvavaatimukset
• THL:n Määräys 2/2015: Omavalvontasuunnitelmaan sisällytettävät selvitykset ja vaatimukset
• THL:n Määräys 2/2016: Määräys sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista toiminnallisista vaatimuksista
• Lisäksi saatavilla ohjeita ja tukimateriaalia
• Perusperiaate: järjestelmien olennaiset vaatimukset ja omavalvonta muodostavat jatkumon teknisistä järjestelmäratkaisuista turvallisiin käytäntöihin ja toimintatapoihin päivittäisessä työssä
12
Keskeisimmät asiakastietolain kohdat omavalvonnan ja olennaisten vaatimusten osalta
• 3 § määritelmät, erityisesti tietojärjestelmä, palvelun antaja
• 19 a § (Sote-tietojärjestelmien) olennaiset vaatimukset
• 19 h §, Omavalvontasuunnitelma• Lisäksi
• 19 b § Järjestelmien luokat A ja B
• 19 c § Tietojärjestelmän valmistajan velvollisuudet
• 19 d § Vaatimustenmukaisuuden osoittaminen (toiminnallisuus, yhteentoimivuus, tietoturvallisuus)
• 19 e § Yhteistestaus
• 19 f § Tietojärjestelmän ottaminen tuotantokäyttöön (vaatimustenmukaisuustodistuksen edellytys, ilmoittaminen Valviralle)
• 19 g § Käyttöönoton jälkeinen seuranta, poikkeamista ilmoittaminen / valmistaja
• 19 i § Poikkeamista ilmoittaminen (palvelujen antaja)
• 22 a § Tietojärjestelmien ja ohjelmistojen hyväksyntä ja käyttöönotto
13
Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä
Myös muut säädökset huomioitava
• EU:n tietosuoja-asetuksen (GDPR) periaatteet• Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys• Käyttötarkoitussidonnaisuus (tietoa ei saa käyttää ilman potilaan suostumusta tai laista johtuvaa
perustetta toiseen tarkoitukseen kuin mihin se on kerätty)• Tietojen minimointi: vain tarpeelliset tiedot kerätään • Tietojen täsmällisyys• Tietojen säilytyksen rajoittaminen• Tietojen eheys ja luottamuksellisuus• Rekisterinpitäjän osoitusvelvollisuus
• Tietosuojalaki 1050/2018
• Tiedonhallintalaki 906/2019
• Omavalvonnan ja olennaisten vaatimusten kautta täytettävissä ja osoitettavissa myös muiden säädösten mukaisia vaatimuksia
14
Sote-tietojärjestelmien olennaiset vaatimukset ja niiden todentaminen
• Lakisääteisiä (lain 159/2007 ja 61/2007 muutos 250 ja 251/2014)1. Toiminnalliset vaatimukset
• THL:n määräys (2/2016) Sote-tietojärjestelmien olennaisista toiminnallisista vaatimuksista
• Valmistajan / tietojärjestelmäpalvelun tuottajan oma selvitys määräyksen mukaisilla menettelyillä
2. Yhteentoimivuusvaatimukset
• Todennetaan A-luokan järjestelmissä Kanta-yhteistestauksen kautta
3. Tietoturva- ja tietosuojavaatimukset
• THL:n määräys (1/2015) A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista tietoturvavaatimuksista
• Todennetaan A-luokan järjestelmissä tietoturvallisuuden arviointilaitoksen suorittamalla tietoturva-auditoinnilla
• Todentaminen = sertifiointiprosessi (järjestelmille ja teknisille Kanta-välityspalveluille)
• Hyväksytyn sertifioinnin tuloksena A-luokan järjestelmä saa vaatimustenmukaisuustodistuksen• => tiedot sertifioiduista järjestelmistä ilmoitettava Valviralle, vaatimusten mukaisten järjestelmien rekisteri tulee nähtäville
• Lisäksi luokan B-järjestelmiä asiakastietojen käsittelyyn ja järjestelmiä, joita ei tarvitse luokitella
15
Sertifiointiprosessi koskee A-luokan (Kanta-palveluihin liittyviä) tietojärjestelmien valmistajia
Määräys 1/2015 A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista tietoturvavaatimuksista
• Voimaan 1.2.2015, voimassa toistaiseksi
• Sisältää liitteineen tietoturvavaatimukset Kanta-palveluihin liittyville sote-tietojärjestelmille, myös järjestelmien sertifiointia ja auditointia varten
• Kuvaa, kuinka tietojärjestelmien tietoturvallisuusvaatimusten täyttyminen todennetaan
• Liite 1: Tietoturvavaatimukset A-luokkaan kuuluville järjestelmille ja järjestelmien käyttöympäristöille• Huom. erityisesti käyttöympäristövaatimukset olennaisia myös omavalvonnassa
16
Määräys 1/2015 koskee tietojärjestelmien valmistajia – sote-palveluntuottajien on osaltaan varmistettava, että Kanta-palveluihin liittymiseen käytetty järjestelmä täyttää vaatimukset
Luokan A tietojärjestelmien olennaisten tietoturvavaatimusten osa-alueet ja kohteet
• Osa-alueet / kriteerit• Sähköinen allekirjoitus
• Käyttövaltuushallinta
• Tunnistaminen (sis. myös mm. sulkulistat, ammattioikeuden rajoitukset)
• Valvonta ja lokitus
• Tietojen käsittely
• Muut pakolliset vaatimukset
• Sovellusturvallisuus
• Käyttöympäristö / luottamuksellisuus ja eheys
17
• Kohteet
– Y: Yhteinen vaatimus kaikille luokkaan A kuuluville tietojärjestelmille
– AP: Apteekkijärjestelmän toiminnallisuuksia toteuttavat
– R: Sähköisen lääkemääräyksen käsittelyn toiminnallisuuksia toteuttavat
– A: Arkistoon liittyvät toiminnallisuudet
– (VÄ: Välityspalvelut)
Olennaisten tietoturvavaatimusten toteuttamisesta järjestelmätuotteessa vastaa järjestelmän valmistaja; sote-palveluntuottajan on syytä varmistaa että Kanta-palveluihin liittyvällä
(luokan A) järjestelmällä on voimassa oleva vaatimustenmukaisuustodistus
Sertifiointiprosessi: ”uusi järjestelmä”
18
Määräys 2/2015 omavalvontasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista
• Voimaan 1.2.2015, voimassa toistaiseksi
• Kuvaa omavalvontasuunnitelmaan vähintään sisällytettävät selvitykset ja vaatimukset• Soveltamisala
• Vastuut tietoturvan sekä asiakas- ja potilastietojen asianmukaisen käsittelyn varmistamisessa
• Määritelmät
• Suhde muihin ohjaaviin määräyksiin ja ohjeisiin
• Yleistä: muut omavalvontasäädökset, todentaminen, suhde tietojärjestelmien olennaisiin vaatimuksiin, sertifiointiin ja Valviran rekisteriin
• Omavalvontasuunnitelmaan sisällytettävät selvitykset ja vaatimukset
• Ohjaus ja neuvonta
• Liite 1: Omavalvontasuunnitelman mallipohja
19
Tämä määräys koskee erityisesti sote-palvelujen tuottajia ja on tämän koulutuksen pääasia
Miksi omavalvontasuunnitelma?
• Parantaa ja yhdenmukaistaa sosiaali- ja terveydenhuollon tietosuoja- ja tietoturvakäytäntöjäarkityössä
• Varmistaa, että henkilöstö tietää tietosuojaan ja tietoturvaan liityvät menettelyt ja noudattaa niitä asiakas- ja potilastietojen käsittelyssä
• Huomioi arkaluonteisen tiedon salassapidon merkityksen
• Helpottaa ymmärtämään väärinkäytöksen seuraamukset
• Ohjaa ja tukee tietoturvavaatimusten noudattamista
• Auttaa seuraamaan toimintaa käytännössä
• Auttaa varmistamaan myös muiden palvelun tuottamiseen osallistuvien tahojentietoturvallisen toiminnnan
• Selkeyttää roolit ja vastuut toteutuksessa
• Vastuu tietoturvallisuudesta ja tietosuojasta toimintayksikön vastaavalla johtajalla
20
Omavalvontasuunnitelma
Keiden on laadittava (säädökset voimassa 2015 lähtien)
• Sähköistä asiakas- ja potilastietojen käsittelyyn tarkoitettua tietojärjestelmää käyttävien• Sosiaali- ja terveydenhuollon palvelun antajien
• Apteekkien
• Itsenäisten ammatinharjoittajien
• Kansaneläkelaitoksen
• Kanta-välityspalveluiden tuottajien (välittäjäorganisaatiot)
Miksi
• Suunnitelmassa selvitettyjen toimenpiteiden avulla ylläpidetään ja kehitetään organisaation tietoturvaa ja tietosuojaa
21
HUOM. Ei liity pelkästään Kanta-palveluihin vaan kaikkeen sote-palvelunantajien sähköiseen asiakas- ja potilastietojen käsittelyyn
Suunnitelman mukaan toimiminen on dokumentoitava, esim. “itseauditoinnit” ovat omavalvonnantoteuttamisen yksi tapa
THL Määräys 2/2015
Omavalvontasuunnitelman sisältö
1. Johdanto
2. Suunnitelman kohde:
• Ketkä kuuluvat suunnitelman piiriin: palvelunantajat, järjestelmät, käyttäjät kuvattuna
3. Yleiset tietoturvakäytännöt:
• Kuvaukset tietoturvapolitiikasta, tietosuojaan ja valvontaan liittyvistä vastuista, koulutus, ohjeistus, toimintamalleihin perehdytys, tietojärjestelmien ja potilastietojen käsittelyyn ohjeistus ja koulutus
4. Käyttöympäristön ja useiden järjestelmien yhteiset tietoturvakäytännöt:
• Menettelyt virhe- ja ongelmatilanteissa, järjestelmien käyttöohjeiden hallinnointi ja saatavuus, järjestelmien asennus ja ylläpito, tilojen työasemien, tallennusvälineiden ja tulosteiden turvallisuus, muut käyttöympäristön käytännöt
5. Käyttövaltuuksien, pääsynhallinnan ja käytön seurannan yleiset käytännöt:
• Käyttäjäryhmät, käyttövaltuushallinnan ja käytön seuraamisen käytännöt
6. Kanta-palvelujen käytön tietoturvakäytännöt
7. Tietojärjestelmät:
• Kanta-palveluihin liittyvät tietojärjestelmät (A), muut asiakas- tai potilastietoja käsittelevät järjestelmät (B), muut tietojärjestelmät jotka on otettava huomioon arkaluonteisten asiakas- ja potilastietojen suojaamisen kannalta
8. Tietojärjestelmäkohtaiset ohjeet ja suunnitelmat:
• Järjestelmien osalta joilla on vaikutusta asiakas- tai potilastietojen käsittelyyn, tietoturvaan tai tietosuojaan
22Esimerkkinä omavalvontasuunnitelman mallipohjan rakenne
Jaettu kokonaisuuksiin, joihin kootaan tai linkitetään kunkin aiheen alle kuuluvat dokumentit:
Esim. Luku 2 Suunnitelman kohde
• Selvitetään ne tahot, jota tämä Omavalvontasuunnitelma koskee• ”kenen omavalvontasuunnitelma on kyseessä”
• huomioitava myös sopimukset!
• Laaditaan kuvaus suunnitelman hyödyntämisestä tietojärjestelmien käytössä, käytön valvonnassa, hankinnoissa ja kehitystyössä sekä tähän mahdollisesti liittyvissä päätöksissä
• Kuvataan myös, miten omavalvontasuunnitelman toteutumisen seurannan menettelytavat on suunniteltu
• Täydennettävissä, mm. henkilötietojen käsittelyyn liittyvistä säädöksistä (kuten GDPR) löytyvät käsittelyn perusteet
• Menettelytapojen on oltava todennettavissa tarkastusten yhteydessä
2323
Ensimmäisenä kuvattavat asiat!
Esim. luku 4 Käyttöympäristön tietoturvakäytännöt
Kuvataan, mistä on saatavissa tiedot tai kuvaukset:
• Menettelyt virhe- ja ongelmatilanteissa
• Järjestelmien käyttöohjeiden hallinnoinnista ja saatavuudesta
• Järjestelmien asennuksesta ja ylläpidosta yleisesti
• Tilojen, työasemien, tallennusvälineiden ja tulosteiden turvallisuudesta
• Muista käyttöympäristön tietoturvakäytännöistä
24
Omavalvontasuunnitelman laatiminen on sitä yksinkertaisempaa, mitä enemmän pohjatyötä on jo tehty
• Omavalvontasuunnitelmassa
• Viitataan aina kuin mahdollista, olemassa oleviin, erikseen ylläpidettäviin ohjeisiin ja dokumentteihin (esimerkiksi linkkien avulla)
• Olennaista on, että suunnitelmasta selviää, mistä tiedot / dokumentaatio on löydettävissä tai miten vaatimuksen täyttyminen on todennettavissa.
• Mikäli valmista dokumentaatiota ei ole, omavalvontasuunnitelmaan kuvataan vaadittavat asiakokonaisuudet ja toimintatavat
25
HYÖDYNNÄ:TietoturvapolitiikkaKokonaisarkkitehtuurikuvauksetLaatukäsikirjaOmat tietoturvallisuusohjeetTietojärjestelmäpalvelujen tuottajien ohjeetSopimukset ja sopimusohjeistuksetJne.
Hyväksymis- ja tarkistusmenettelyt ja omavalvonnan toteuttamisen dokumentointi
• Omavalvontasuunnitelman laadinnan ja noudattamisen vastuu on toimintayksikön vastaavalla johtajalla
• Omavalvontasuunnitelma ja siihen kirjatut menettelytavat edellyttävät organisaation omien hyväksymiskäytänteiden mukaisen hyväksymisen
• Omavalvonnan toteuttaminen on dokumentoitava ja oltava todennettavissa• Ei yksityiskohtaista ohjetta esim. omavalvonnan toteuttamiseen liittyvän materiaalin säilyttämisestä, mutta hyviä
käytäntöjä esim.
• Säännöllisen omavalvonnan materiaalit 5v
• Väärinkäytösepäilyjen ja ulkoisten tarkastusten materiaalit 12v
• Esim. omassa laatukäsikirjassa kuvattavat säilytys- ja hallintakäytännöt
• Suunnitelman toteuttaminen ja seuranta yhdistettävissä mm. tietosuoja-asetuksen osoittamisvelvoillisuuteen• Välineenä esimerkiksi tietotilinpäätös
• Suunnitelman mukaisen toiminnan toteutumisen tarkistuksiin, esim. valvontaviranomaisen taholta, on hyvä varautua
26
Lopuksi
27
SECURITY RISK
• Reponen, Jarmo; Kangas, Maarit; Hämäläinen, Päivi; Keränen, Niina; Haverinen, Jari (2018): Tieto- ja viestintäteknologian käyttö terveydenhuollossa vuonna 2017 : Tilanne ja kehityksen suunta
28
• Reponen, Jarmo; Kangas, Maarit; Hämäläinen, Päivi; Keränen, Niina; Haverinen, Jari (2018): Tieto- ja viestintäteknologian käyttö terveydenhuollossa vuonna 2017 : Tilanne ja kehityksen suunta
29
Ajankohtaista ja tulevaa / sote-tietoturvallisuus
• Asiakastietolaki on uudistumassa: Sipilän hallituksen rauenneen esityksen 300/2018 pohjalta STM valmistelu jatkunut• Omavalvonnan asioihin ei luonnosten mukaan tulossa
merkittäviä sisällöllisiä muutoksia, suunnitelman nimeksi tulossa jatkossa Tietoturvasuunnitelma
• A-luokan tietojärjestelmien (Kanta-palveluihin liittyvät järjestelmät) olennaisten tietoturvavaatimusten päivitys käynnistetään asiakastietolain valmistuttua
• EU:n tietosuoja-asetuksen ja tietosuojalain toimeenpano jatkuu, Tiedonhallintalaki hyväksytty edustkunnassa – voimaantulo 1.1.2020• omavalvontasuunnitelma ja omavalvonnan dokumentointi
tukevat monilta osin asetuksen velvoitteiden toimeenpanoa (mm. tietosuojavastaava, suunnitelman toteuttamisen dokumentointi)
• THL Määräys sosiaalihuollon käyttövaltuuksien perusteista päivittymässä 2019
• Valviran rekisteri sote-tietojärjestelmistä verkossa saatavilla, sisältää sekä A- että B-luokan sote-tietojärjestelmät: tarkista käyttämiesi järjestelmien vaatimustenmukaisuuden voimassaolo!
• Sote-käytönhallinta-hankkeen kautta on tulossa päivitettyjä kansallisia ohjeita ja määrittelyjä mm. käyttövaltuuksiin (sote-ammattilaistenkäyttövaltuuksien perusteet) ja käytön seurantaan (mm. lokipalvelut ja -ratkaisut)
• Standardeihin (esim. ISO 27000-sarja) perustuva tietoturvallisuuden toteuttaminen antaa hyvät lähtökohdat lakisääteisten vaatimusten ja suunnitelman vähimmäisvaatimusten lisäksi mm. riskien hallintaan ja jatkuvaan tietoturvallisuuden hallintaan
30
Yhteenveto
• Omavalvonta ja olennaiset vaatimukset ovat keskeisiä keinoja riskien hallinnassa ja oikeusturvan toteuttamisessa!
• Tietojärjestelmien olennaisten vaatimusten ja omavalvonnan kautta varmistetaan, että • järjestelmien toteutuksessa on riittävällä tavalla huomioitu käyttötarkoituksen edellyttämät
yhteentoimivuus-, tietoturva- ja tietosuoja-asiat• asiakas- ja potilastiedot suojataan asianmukaisilla tietoturva- ja tietosuojakäytännöillä palvelujen
tuottajien toiminnassa
• Tietoturvasuunnitelma ja sen omavalvonta ovat käytännön välineitä myös yleisten tietosuoja- ja tietoturvallisuussäädöksien (mm. GDPR, Tietosuojalaki, Tiedonhallintalaki) toimeenpanoon
• Omavalvontasuunnitelman soveltaminen sovitettava palvelun tuottajan omien toimintatapojenmukaiseksi• Esim. osa asioista mahdollista hoitaa sopimusten kautta, mutta vaatimukset pystyttävä todentamaan
myös näissä tilanteissa• Tietoturvallisuuden ja tietosuojan toteuttaminen yksityisillä ja pienillä toimijoilla
• Määräyksiä ja vaatimuksia päivitetään säädösten ja saatujen kokemusten pohjalta
31
!
Kysymyksiä ja kommentteja voi lähettää myös: kantapalvelut@thl.fiKIITOS!
Lisätietoja:THL määräykset (erityisesti 2/2015):
https://thl.fi/fi/web/tiedonhallinta-sosiaali-ja-terveysalalla/maaraykset-ja-maarittelyt/maaraykset
Kanta / Sertifiointi, olennaiset vaatimukset ja omavalvonta:https://www.kanta.fi/jarjestelmakehittajat/sertifiointi
Kanta-verkkokoulu: https://verkkokoulut.thl.fi/fi/web/kantaYksityisen sosiaali- ja terveydenhuollon Kanta-palvelut:
https://thl.fi/fi/web/tiedonhallinta-sosiaali-ja-terveysalalla/kanta-palvelut/yksityisen-sosiaali-ja-terveydenhuollon-kanta-palvelut