Mykkanen omavalvontasuunnitelma tietosuojan_konkretia
26
Omavalvontasuunnitelma – tietoturvallisuuden konkretia Sosiaali- ja terveydenhuolto on suunnannäyttäjä tietosuoja-asioissa Johdon tietosuojaseminaari 2016 28.1.2015 Helsinki Kehittämispäällikkö Juha Mykkänen, FT THL / OPER 1
-
Upload
thl -
Category
Health & Medicine
-
view
415 -
download
2
Transcript of Mykkanen omavalvontasuunnitelma tietosuojan_konkretia
Omavalvontasuunnitelma – tietoturvallisuuden konkretia
Sosiaali- ja terveydenhuolto on suunnannäyttäjä tietosuoja-asioissa
Johdon tietosuojaseminaari 2016
28.1.2015 Helsinki
Kehittämispäällikkö Juha Mykkänen, FT
THL / OPER
1
Tässä
• Johdanto
• Sote tietoturvallisuuden muuttuva konteksti
• Omavalvonta ja olennaiset vaatimukset: yleiskuva
• Omavalvonnan konkretia: toimintamallit ja vastuut
• Ajankohtaista ja tulossa
• Yhteenveto
2
Jään poisto
3
Jään poisto lentokoneen siivestä
• Hyvä käytäntö, jolla ehkäistään turvallisuusriskejä
• Säädökset ja suositukset, joiden mukaisesti toimenpiteitä edellytetään
• Standardoitu tekniikka ja asianmukaiset välineet ja infrastruktuuri, jolla toimenpide suoritetaan
• Parempia menetelmiä kehitetty aiemmista saatujen kokemusten pohjalta
– Tyypin IV jäänestoaineet tarttuvat siipeen jopa 2 h ajaksi..
• Käytetään tarvittaessa, mahdollistaa toiminnan jatkumisen myös normaalista poikkeavissa olosuhteissa
• Ei ole hyödyllistä enää sen jälkeen kun vahinko on jo tapahtunut… – Air Ontario 1363 (1989), USAir 0405 (1992)…
4
Tietoturvallisuuden omavalvonta
• Hyvä käytäntö, jolla ehkäistään turvallisuusriskejä
• Säädökset ja suositukset, joiden mukaisesti toimenpiteitä edellytetään
• Taustalla standardoidut käytännöt ja asianmukaiset välineet ja infrastruktuuri, joilla tietoturvallisuudesta huolehditaan
• Parempia menetelmiä kehitetty aiemmista saatujen kokemusten pohjalta
– Organisaatioiden itseauditoinnit ja aiemmat sertifiointivaatimukset
• Mahdollistaa toiminnan jatkumisen myös normaalista poikkeavissa olosuhteissa
• Ei ole hyödyllistä enää sen jälkeen kun vahinko on jo tapahtunut… – Sote-lautakunnan asiakirjoja, sairauskertomuksia ja pakkohuostaanottojen selvityksiä löytynyt jätekeräysastiasta (2007)
– Sadoittain kuolleiden potilaiden potilasasiakirjoja löytynyt terveysaseman vessaan pinotuista pahvilaatikoista (2008)
– NHS:lle työskentelevä konsulttiyritys latasi 1Tt potilastietoja analysoitavaksi kaupalliseen pilvipalveluun (2014)
5
Sosiaali- ja terveydenhuolto suunnannäyttäjänä tietoturvallisuudessa?
• Pakko olla suunnannäyttäjä?
– Tietoturvallisuus on myös potilasturvallisuuden tärkeä mahdollistaja
• Tietojen eheys, saatavuus ja luotettavuus turvallisuuden avainelementtejä
– Tietoturvallisuus monitoimijaisessa ja verkostomaisessa ympäristössä edellyttää kaikilta toimijoilta erityistä huolellisuutta ja kaikkia osallistujia koskevia vaatimuksia
– Tietosuojaan ja tietoturvallisuuteen kohdistuvat riskit monimuotoistuvat teknisen kehityksen mukana
– Suomessa Kanta-infrastruktuuri ja ratkaisut, joiden kautta asiakas- ja potilastietojen saatavuus niiden tarvitsijoille valtakunnallisesti mahdollista
6
8.2.2016 Potilas arkiston 2.vaihe / Paasitorni 17.9.2015 7
Juurisyyt toiminnassanne sattuneissa tietoturvapoikkeamissa
• ENISA-kysely ja haastattelut 2015, vastaajina eri rooleissa toimivia eHealth / kyberturvallisuusasiantuntijoita 20 EU/EFTA maasta
8
Inhimilliset virheet
Luonnonilmiöt
Hyökkäykset (kuten palvelunesto- tai MITM)
Järjestelmä- ja laitteistovirheet
Muut
Olennaiset vaatimukset ja omavalvonta: miksi?
• Lainsäädäntöön tehtiin vuonna 2014 merkittäviä muutoksia sekä sote-palvelujen tuottajille että järjestelmätoimittajille
• Varmistettava, että
– Järjestelmissä on käyttötarkoituksen kannalta oikeat toiminnallisuudet, riittävät tietoturvaominaisuudet ja että ne pystyvät liittymään osaksi Kanta-palvelujen kautta tapahtuvaa tietojen vaihtoa
tietojärjestelmien OLENNAISET VAATIMUKSET
– Organisaatioissa ja palveluntuottajilla on asianmukaiset tietoturvakäytännöt, toiminnassa huomioidaan tietoturvallisuuteen liittyvät vaatimukset, ja järjestelmien käyttöympäristössä huolehditaan asianmukaisesta tietoturvasta
OMAVALVONTA
– Erityishuomio Kanta-palvelujen kautta laajenevassa tietojen saatavuudessa, mutta huomioitava kaikessa toiminnassa
9
Vastuu tietosuojasta ja tietoturvasta
• Sosiaali- ja terveydenhuollon toimintayksikölle ja apteekeille tarkennettiin 2014 lainsäädännöllinen velvoite varmistaa tietojen luotettava ja turvallinen käsittely kaikissa olosuhteissa
• Tietosuojan ja tietoturvan toteutumista seurataan omavalvonnalla
• Omavalvonnasta laaditaan suunnitelma
• Suunnitelman noudattamisen vastuu on toimintayksikön vastaavalla johtajalla
• Vastuu
– henkilökunnan ohjeistuksesta ja osaamisesta asiakas- ja potilastietojen käsittelyssä
– tietoturvapolitiikan laatimisesta ja noudattamisesta
– tietosuojavastaavan nimeämisestä ja toimenkuvasta
– asiakas- ja potilastietojen käsittelyn seurannasta ja valvonnasta
– väärinkäytösten selvittämisestä ja seuraamuksista ja näiden tiedottamisesta henkilöstölle
– sertifioidun tietojärjestelmän hankinnasta, ennen valtakunnalliseen tietojärjestelmäpalveluun liittämistä
– toimintayksikön asiakas- ja potilastietojärjestelmien käyttäjä- ja käyttöoikeushallinnasta
10
Omavalvonnan ja olennaisten vaatimusten säädökset
• Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 159/2007 (päivitetty 2014)
• Laki sähköisestä lääkemääräyksestä 61/2007 (päivitetty 2014)
• THL:n Määräys 1/2015: A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien olennaiset tietoturvavaatimukset
• THL:n Määräys 2/2015: Omavalvontasuunnitelmaan sisällytettävät selvitykset ja vaatimukset
– Liite: Omavalvontasuunnitelman mallipohja
• Lisäksi saatavilla ohjeita ja tukimateriaalia
• Perusperiaate: järjestelmien olennaiset vaatimukset ja sote-palvelutuottajien omavalvonta muodostavat jatkumon teknisistä järjestelmäratkaisuista turvallisiin käytäntöihin ja toimintatapoihin päivittäisessä työssä
11
Omavalvonnan ja olennaisten vaatimusten suhde
• Tietoturvallisuuden varmistaminen on jatkumo
– Päivittäisen palvelutuotannon käytännöt ja toimintatavat ja niihin liittyvä ohjeistus sekä seuranta
– Käytettävät tietojärjestelmäratkaisut
– Järjestelmien tekninen ja toiminnallinen käyttöympäristö
• Osa vaatimuksista voi kohdistua eri tilanteissa ja organisaatioissa järjestelmien käyttöympäristöön, tietojärjestelmätuotteeseen tai paikallisiin toimintatapoihin
• Myös osa tietojärjestelmien tietoturvavaatimuksista voidaan toteuttaa tai kompensoida käyttöympäristön toimenpiteillä
• Tärkeää ymmärtää omavalvonnassa myös järjestelmiin ja niiden käyttöympäristöön kohdistuvat olennaiset vaatimukset
12
Tietoturvallisuuden omavalvontasuunnitelma
Keiden on laadittava
• Sähköistä asiakas- ja potilastietojen käsittelyyn tarkoitettua tietojärjestelmää käyttävien
– sosiaali- ja terveydenhuollon palvelun antajien,
– apteekkien
– itsenäisten ammatinharjoittajien
• Kansaneläkelaitoksen
• Kanta-välityspalveluiden tuottajien
Miksi
• Suunnitelmassa selvitettyjen toimenpiteiden avulla ylläpidetään ja kehitetään organisaation tietoturvaa ja tietosuojaa
Milloin
• 31.3.2015 mennessä
13
HUOM. Koskee myös
muita kuin Kanta-
palveluihin liittyviä
toimijoita ja järjestelmiä
Asiakastietolain mukainen omavalvonta korvaa myös Kanta-palveluiden
käyttöönoton yhteydessä tehdyt itseauditoinnit
Omavalvontasuunnitelman sisältö Jaettu kokonaisuuksiin, joihin kootaan esim. viitteinä kuhunkin
kokonaisuuteen kuuluvat dokumentit:
1. Johdanto
2. Suunnitelman kohde:
– Ketkä kuuluvat suunnitelman piiriin: palvelunantajat, järjestelmät, käyttäjät kuvattuna
3. Yleiset tietoturvakäytännöt:
– Kuvaukset tietoturvapolitiikasta, tietosuojaan ja valvontaan liittyvistä vastuista, koulutus, ohjeistus, toimintamalleihin perehdytys, tietojärjestelmien ja potilastietojen käsittelyyn ohjeistus ja koulutus
4. Käyttöympäristön ja useiden järjestelmien yhteiset tietoturvakäytännöt:
– Menettelyt virhe- ja ongelmatilanteissa, järjestelmien käyttöohjeiden hallinnointi ja saatavuus, järjestelmien asennus ja ylläpito, tilojen työasemien, tallennusvälineiden ja tulosteiden turvallisuus, muut käyttöympäristön käytännöt
5. Käyttövaltuuksien, pääsynhallinnan ja käytön seurannan yleiset käytännöt:
– Käyttäjäryhmät, käyttövaltuushallinnan ja käytön seuraamisen käytännöt
6. Kanta-palvelujen käytön tietoturvakäytännöt
7. Tietojärjestelmät:
– Kanta-palveluihin liittyvät tietojärjestelmät (A), muut asiakas- tai potilastietoja käsittelevät järjestelmät (B), muut tietojärjestelmät jotka on otettava huomioon arkaluonteisten asiakas- ja potilastietojen suojaamisen kannalta
8. Tietojärjestelmäkohtaiset ohjeet ja suunnitelmat:
– Järjestelmien osalta joilla on vaikutusta asiakas- tai potilastietojen käsittelyyn, tietoturvaan tai tietosuojaan
14
Esimerkkinä omavalvontasuunnitelman mallipohjan rakenne – lain
mukaiset vähimmäisvaatimukset ja -selvitykset
Omavalvontasuunnitelman mallipohjat
• Määräyksen liitteenä yleinen pohja, jossa malleja ja ”valmiita paikkoja” asioille, joihin omavalvonnassa (ja suunnitelmassa) on vastattava
• Lisäksi saatavilla mm.
– Mallipohja yrityksille/itsenäisille ammatinharjoittajille (Potilastiedon arkiston käyttöönoton käsikirja yksityisille)
– Mallipohja apteekeille (Suomen Apteekkariliitto)
– Eri yritysten tarjoamia pohjia, joissa voi olla myös muita arvioitavia seikkoja kuin minimivaatimukset
• Sovellettava omaa tilannetta vastaavalla tavalla
– Vaatimusten toteuttaminen eri tavoin mahdollista eri tyyppisissä organisaatioissa ja palveluissa
– Erilaisten sopimusjärjestelyjen vaikutukset omavalvontaan huomioitava
– Perusteltavissa, mikäli jokin vaatimus tai kohta ei ole relevantti omien palvelujen / oman käyttöympäristön kannalta
15
Omavalvontasuunnitelman laatiminen on sitä yksinkertaisempaa, mitä enemmän pohjatyötä
on jo tehty • Omavalvontasuunnitelmassa
– Viitataan aina kuin mahdollista, olemassa oleviin, erikseen ylläpidettäviin ohjeisiin ja dokumentteihin (esimerkiksi linkkien avulla)
– Olennaista on, että suunnitelmasta selviää, mistä tiedot / dokumentaatio on löydettävissä tai miten vaatimuksen täyttyminen on todennettavissa.
– Mikäli valmista dokumentaatiota ei ole, omavalvontasuunnitelmaan kuvataan vaadittavat asiakokonaisuudet ja toimintatavat
16
HYÖDYNNÄ:
Tietoturvapolitiikka
Kokonaisarkkitehtuurikuvaukset
Laatukäsikirja
Omat tietoturvallisuusohjeet
Tietojärjestelmäpalvelujen tuottajien ohjeet
Jne.
Hyväksymis- ja tarkistusmenettelyt ja omavalvonnan toteuttamisen dokumentointi
• Omavalvontasuunnitelma ja siihen kirjatut menettelytavat edellyttävät organisaation omien hyväksymiskäytänteiden mukaisen hyväksymisen
• Omavalvonnan toteuttaminen on dokumentoitava ja oltava todennettavissa
– Ei yksityiskohtaista ohjetta esim. omavalvonnan toteuttamiseen liittyvän materiaalin säilyttämisestä, mutta hyviä käytäntöjä esim.
• Omassa laatukäsikirjassa kuvattavat säilytys- ja hallintakäytännöt
• Säännöllisen omavalvonnan materiaalit 5v
• Väärinkäytösepäilyjen ja ulkoisten tarkastusten materiaalit 12v
• Suunnitelman mukaisen toiminnan toteutumisen tarkastuksiin esim. valvontaviranomaisen taholta on hyvä varautua
• Omavalvontasuunnitelman laadinnan ja noudattamisen vastuu on toimintayksikön vastaavalla johtajalla
17
Keskiössä roolit ja vastuut
• Palvelun antaja varmistaa omavalvontaan kuuluvien toimintojen toteutumisen ja resurssit kaikissa palveluyksiköissään sekä palvelujen tuottamiseen osallistuvien muiden tahojen kanssa, päivittäisessä työssä
• Määritellään vastuut toiminnan, tietoturvallisuuden ja yhteistoiminnan varmistamiseksi
• Kirjataan vastuut tarvittaviin sopimuksiin, esimerkiksi kun
Käyttöympäristö tai tietotekniikkapalvelu ulkoistettu
Tietoliikenne ja viestinvälitys ulkoistettu
Ostopalvelun yhteydessä
Asiakas- ja potilastietojärjestelmiä käyttävien toimintayksiköiden ja ammatinharjoittajien vastuiden määrittelyiden yhteydessä
• Omavalvonnan toteutukseen kuuluu suunniteltu ja säännöllinen toiminnan valvonta ja menettelytavat:
– toimenpiteet rikkomustilanteissa, toteuman laadun arvointi, riskien hallinta ja takaisinkytkentä jatkuvaan kehittämiseen
18
Kysymyksiä
• K: Sähköisen reseptin käyttöönoton yhteydessä apteekeissa tehtiin auditointi, jolla varmistettiin että yhteiset toimintaperiaatteet sekä turvataso ja keskinäinen luottamus saadaan samalle tasolle eri toimijoilla. Auditointi tuli olla tehtynä ennen kuin apteekki liittyi Kanta-palveluihin. Apteekeilla oli tähän oma apteekkariliiton tekemä työkalu, jolla ko. auditointi tehtiin. Vuoden 2015 alusta alkaen apteekeilla on ollut omavalvontasuunnitelma, jota pidetään ajan tasalla. Riittääkö tämä vai pitääkö auditointityökalua päivittää jatkossakin?
• V: Omavalvontasuunnitelman ajan tasalla pitäminen JA suunnitelman mukainen toiminta (mukaan lukien ”itseauditointi”) riittää sinällään, mutta työkalut tätä tukemaan ovat ilman muuta tarpeellisia. Apteekkariliiton kehittämät työkalut ja seurantakäytännöt ovat hyvä esimerkki yleisiä vaatimuksia tarkemmasta tietoturvallisuuden tuesta, jossa huomioidaan (apteekki)toiminnan erityispiirteet.
Yleiset mallipohjat ja määräykset ovat ”yhteinen minimitaso”, joka antaa lähtökohdat, mutta Omavalvontasuunnitelma on sovellettava OMAAN TOIMINTAAN - yleisissä pohjissa mukana paljon eri tyyppisten toiminta- ja käyttöympäristöjen piirteitä
19
Ajankohtaista ja tulevaa
• Sote-tieto hyötykäyttöön 2020 -strategian toimeenpanossa tietoturvallisuuden alueellinen ja kansallinen varmistaminen nojautuvat omavalvonnan ja olennaisten vaatimusten kautta tapahtuvaan toimintaan
• Tulossa tietojärjestelmien olennaisten toiminnallisten vaatimusten määräys ja luokitus tukemaan mm. sertifiointia ja Valviran tulevaa sote-tietojärjestelmien rekisteriä – lausuntopyyntö alkuvuonna 2016
• Asiakastietolain tulevassa uudistuksessa täsmennyksiä myös tietoturvallisuuteen liittyviin säädöksiin
• Käynnissä tarkennustarpeiden selvittäminen lokivalvonnan vaatimuksiin
• Saatujen kokemusten ja säädösmuutosten pohjalta olennaisia tietoturvavaatimuksia ja omavalvonnan vähimmäisvaatimuksia tarkennetaan jatkossa
20
21
Yhteenveto
Miksi omavalvontasuunnitelma?
• Omavalvonta ja olennaiset vaatimukset ovat keskeisiä keinoja riskien hallinnassa ja oikeusturvan toteuttamisessa!
– Parantaa ja yhdenmukaistaa sosiaali- ja terveydenhuollon tietosuoja- ja tietoturvakäytäntöjä arkityössä
– Varmistaa, että henkilöstö tietää tietosuojaan ja tietoturvaan liityvät menettelyt ja noudattaa niitä asiakas- ja potilastietojen käsittelyssä
– Huomioi arkaluonteisen tiedon salassapidon merkityksen
– Helpottaa ymmärtämään väärinkäytöksen seuraamukset
– Ohjaa ja tukee tietoturvavaatimusten noudattamista
– Auttaa seuraamaan toimintaa käytännössä
– Auttaa varmistamaan myös muiden palvelun tuottamiseen osallistuvien tahojen tietoturvallisen toiminnnan
– Selkeyttää roolit ja vastuut toteutuksessa
22
Vasta suunnitelman mukaisesti
toimiminen parantaa tietoturvallisuutta!
Hippokrateen vala, ote
23
Hippokrates (n. 460-370 eKr)
”Mikäli parannustyössäni
tai sen ulkopuolella
ihmisten keskuudessa
näen tai kuulen sellaista,
mitä ei pidä levitettämän,
vaikenen ja pidän sitä
salaisuutena.”
24
Jää pois siivistä ja lentoon!
Kiitos!
Kysymyksiä ja
lisätietopyyntöjä voi
lähettää myös [email protected]
Lisätietoja sertifioinnista ja omavalvonnasta:
Tiedon ja vaatimusten yhdenmukaistaminen
https://www.thl.fi/fi/web/tiedonhallinta-sosiaali-ja-
terveysalalla/tiedon-ja-vaatimusten-
yhdenmukaistaminen
Kanta sertifiointi
http://www.kanta.fi/web/ammattilaisille/sertifiointi
Yksityiset ja itsenäiset ammatinharjoittajat
http://www.kanta.fi/web/ammattilaisille/potilastiedon-
arkiston-kayttoonoton-kasikirja
Materiaaleja ja lisätietoja
• THL määräykset ja ohjeet: https://www.thl.fi/fi/web/tiedonhallinta-sosiaali-ja-terveysalalla/tiedon-ja-vaatimusten-yhdenmukaistaminen/maaraykset-ja-ohjeet
• Kanta sertifiointi http://www.kanta.fi/web/ammattilaisille/sertifiointi
• Olennaiset vaatimukset ja omavalvonta: usein kysytyt kysymykset: http://www.kanta.fi/documents/12105/4063473/Luokittelut+Omavalvonta+Sertifiointi_UKK_09072015/caaf98c4-daec-48c2-b926-77cb49268d6b
• Kanta käyttöönoton käsikirjat: http://www.kanta.fi/web/ammattilaisille/kayttoonoton-kasikirjat
– Yksityiset ja itsenäiset ammatinharjoittajat
– http://www.kanta.fi/web/ammattilaisille/potilastiedon-arkiston-kayttoonoton-kasikirja
• Sosiaali- ja terveydenhuollon tietojärjestelmien olennaisten vaatimusten valvonta / Valvira: http://www.valvira.fi/terveydenhuolto/terveysteknologia/sosiaali-_ja_terveydenhuollon_tietojarjestelmat
• Valviran ilmoituslomake tietojärjestelmästä tai Kanta-välityspalvelusta: http://www.valvira.fi/documents/14444/37132/ilmoitus_tietojarjestelmasta.pdf
• Tiedon ja vaatimusten yhdenmukaistaminen / THL: https://www.thl.fi/fi/web/tiedonhallinta-sosiaali-ja-terveysalalla/tiedon-ja-vaatimusten-yhdenmukaistaminen
25
eTerveyden infrastruktuurin ja järjestelmien keskeisimmät turvallisuushaasteet
• ENISA-kysely 2015, vastaajina eri rooleissa toimivia eHealth/kyberturvallisuusasiantuntijoita 20 EU/EFTA maasta
26
