Tietoturvan ja tietosuojan omavalvontasuunnitelma sote-palveluissa

Juha Mykkänen, kehittämispäällikkö

2.9.2019 JUDO-työpaja

Hippokrateen vala, ote

2

Hippokrates (n. 460-370 eKr)

”Mikäli parannustyössäni tai sen ulkopuolella ihmisten keskuudessa näen tai kuulen sellaista, mitä ei pidä levitettämän, vaikenen ja pidän sitä salaisuutena.”

Mitkä ovat juurisyitä terveyspalveluissa sattuneissa tietoturvapoikkeamissa (EU/EFTA kysely)

3

Inhimilliset virheet

Luonnonilmiöt

Hyökkäykset (kuten palvelunesto- tai MITM)

Järjestelmä- ja laitteistovirheet

(Muut)

• ENISA-kysely ja haastattelut 2015, vastaajina eri rooleissa toimivia eHealth / kyberturvallisuusasiantuntijoita 20 EU/EFTA maasta

Tässä esityksessä:

• Sote-palvelujen tietoturva ja tietosuoja - konteksti

• Tietosuojan ja tietoturvallisuuden omavalvonta ja sote-tietojärjestelmien olennaiset tietoturvavaatimukset

• Kehityksen suunta ja ajankohtaista sote-tietoturvallisuudessa

4

Kontekstia ja tilannetta / sote-tiedonhallinta(lukuja 31.7.2019)

• Kunnissa, kuntayhtymissä, apteekeilla ja yksityisillä sote-palveluntuottajilla useissa palveluissa n. 100% sähköistä tiedonkäsittelyä• Paljon erikokoisia ja eri palveluihin keskittyviä toimijoita• Satoja käytössä olevia ja kymmeniä Kanta-palvelujen

kanssa sertifioituja järjestelmiä • Useita merkittäviä järjestelmien uudistamishankkeita

käynnissä

• Digitaalisuuteen liittyvät toiminnan muutokset edellyttävät tietojen liikkuvuutta ja tietojärjestelmiltä yhteentoimivuutta• Toimeenpano sosiaali- ja terveyden-huollossa erityisesti

valtakunnallisten Kanta-palvelujen kautta• Asoakkaiden entistä keskeisempi rooli ja tietojen

toisiokäyttö keskeisiä valtakunnallisia kehitystyön painopisteitä

• Tietoturvallisuudesta huolehtiminen sekä omassa että verkostotoiminnassa keskeinen velvoite ja menestystekijä

• Kanta-palveluissa on yli 2 700 000 000 asiakirjaa

• yli 6 050 000 henkilöstä

• Potilastiedon arkisto: n. 1 607 600 000 asiakirjaa, 824 200 000 palvelutapahtumaa (käynnin / hoitojakson perustietojen päivitystä)

• 165+1332 julkista+yksityistä käyttäjäorganisaatiota

• 6,6 milj. informointia / 3,6 milj. suostumusta / 0,1 milj. kieltoa

• Resepti-palvelu: n. 180 300 000 lääkemääräystä, n. 338 900 000 lääketoimitusta

• Sosiaalihuollon asiakastiedon arkisto tuotantokäytössä 2018-: 936 506 asiakirjaa yli 69 000 henkilöstä

• 12+5 julkista+yksityistä käyttäjäorganisaatiota, 73 käyttöönottoon ilmoittautunutta, 2139 kirjaamisvalmentajaa, 36785 valmennettua…

• Omakanta-palvelu kansalaisille avoinna tietoturvallisesti verkossa 24/7: yli 2 miljoonaa kirjautunutta henkilöä ja 17 miljoonaa kirjautumiskertaa vuonna 2018

• Sähköinen resepti ja potilastiedon välitys Euroopassa etenee: suomalainen resepti toimitettavissa Virossa, Kroatiassa…

2.9.2019 5

6

Tietoturvallisuuden perusperiaatteet

• Eheys

• tarkkuus ja yhdenmukaisuus säilyvät tiedon elinkaaren ajan

• luvaton muokkaaminen ei onnistu tai se havaitaan

• Luottamuksellisuus

• Saatavuus ja luotettavuus

• tieto on saatavilla, kun sitä tarvitaan

• ohjelmistot, laitteet, turvallisuus ja viestinvälitykset toimivat

• Autenttisuus

• tiedon alkuperä on tiedossa

• tiedonvaihdon osapuolet tunnistetaan luotettavasti

• Kiistämättömyys ja velvoittavuus

• sopimuksen velvoitteet täytetään

• osapuoli ei voi kiistää osallistumistaan tapahtumaan

7

Monet tietoturvallisuustoimenpiteet palvelevat useita tavoitteita (case olennaisten tietoturvavaatimusten luokat)

• Eheys

• tarkkuus ja yhdenmukaisuus säilyvät tiedon elinkaaren ajan

• luvaton muokkaaminen ei onnistu tai se havaitaan

• Luottamuksellisuus

• Saatavuus ja luotettavuus

• tieto on saatavilla, kun sitä tarvitaan

• ohjelmistot, laitteet, turvallisuus ja viestinvälitykset toimivat

• Autenttisuus

• tiedon alkuperä on tiedossa

• tiedonvaihdon osapuolet tunnistetaan luotettavasti

• Kiistämättömyys ja velvoittavuus

• sopimuksen velvoitteet täytetään

• osapuoli ei voi kiistää osallistumistaan tapahtumaan

8

Sähköinen allekirjoitus

Käyttövaltuus-hallinta

Tunnistaminen

Valvonta ja lokitus

Sovellus-turvallisuus

Käyttöympäris-tön turvallisuus

Mitkä ovat juurisyitä terveyspalveluissa sattuneissa tietoturvapoikkeamissa (EU/EFTA kysely)

9

Inhimilliset virheet

Luonnonilmiöt

Hyökkäykset (kuten palvelunesto- tai MITM)

Järjestelmä- ja laitteistovirheet

Muut syyt

• ENISA-kysely ja haastattelut 2015, vastaajina eri rooleissa toimivia eHealth / kyberturvallisuusasiantuntijoita 20 EU/EFTA maasta

2.9.2019Etunimi Sukunimi 10

Tietosuojan ja tietoturvallisuuden olennaiset vaatimukset ja omavalvonta

Olennaiset vaatimukset ja omavalvonta sote-tiedonhallinnassa: miksi?

• Sote-palveluja koskevaan lainsäädäntöön tehtiin vuonna 2014 merkittäviä muutoksia sekä sote-palvelujen tuottajille että järjestelmätoimittajille

• Varmistettava, että • Järjestelmissä on käyttötarkoituksen kannalta oikeat toiminnallisuudet, riittävät

tietoturvaominaisuudet ja että ne pystyvät liittymään osaksi Kanta-palvelujen kautta tapahtuvaa tietojen vaihtoa

→ tietojärjestelmien OLENNAISET VAATIMUKSET

• Organisaatioissa ja palveluntuottajilla on asianmukaiset tietoturvakäytännöt ja käyttöympäristössä huolehditaan asianmukaisesta tietoturvasta

→OMAVALVONTA (tietosuojan ja tietoturvallisuuden)

• Erityishuomio Kanta-palvelujen kautta laajenevassa tietojen saatavuudessa, mutta huomioitava kaikessa toiminnassa

11Yleiskuva

Omavalvonnan ja olennaisten vaatimusten säädökset• Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 159/2007 (päivitetty

2014, päivittymässä 2017)

• Laki sähköisestä lääkemääräyksestä 61/2007 (päivitetty 2014, päivittymässä 2017)

• THL:n Määräys 1/2015: A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien olennaiset tietoturvavaatimukset

• THL:n Määräys 2/2015: Omavalvontasuunnitelmaan sisällytettävät selvitykset ja vaatimukset

• THL:n Määräys 2/2016: Määräys sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista toiminnallisista vaatimuksista

• Lisäksi saatavilla ohjeita ja tukimateriaalia

• Perusperiaate: järjestelmien olennaiset vaatimukset ja omavalvonta muodostavat jatkumon teknisistä järjestelmäratkaisuista turvallisiin käytäntöihin ja toimintatapoihin päivittäisessä työssä

12

Keskeisimmät asiakastietolain kohdat omavalvonnan ja olennaisten vaatimusten osalta

• 3 § määritelmät, erityisesti tietojärjestelmä, palvelun antaja

• 19 a § (Sote-tietojärjestelmien) olennaiset vaatimukset

• 19 h §, Omavalvontasuunnitelma• Lisäksi

• 19 b § Järjestelmien luokat A ja B

• 19 c § Tietojärjestelmän valmistajan velvollisuudet

• 19 d § Vaatimustenmukaisuuden osoittaminen (toiminnallisuus, yhteentoimivuus, tietoturvallisuus)

• 19 e § Yhteistestaus

• 19 f § Tietojärjestelmän ottaminen tuotantokäyttöön (vaatimustenmukaisuustodistuksen edellytys, ilmoittaminen Valviralle)

• 19 g § Käyttöönoton jälkeinen seuranta, poikkeamista ilmoittaminen / valmistaja

• 19 i § Poikkeamista ilmoittaminen (palvelujen antaja)

• 22 a § Tietojärjestelmien ja ohjelmistojen hyväksyntä ja käyttöönotto

13

Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä

Myös muut säädökset huomioitava

• EU:n tietosuoja-asetuksen (GDPR) periaatteet• Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys• Käyttötarkoitussidonnaisuus (tietoa ei saa käyttää ilman potilaan suostumusta tai laista johtuvaa

perustetta toiseen tarkoitukseen kuin mihin se on kerätty)• Tietojen minimointi: vain tarpeelliset tiedot kerätään • Tietojen täsmällisyys• Tietojen säilytyksen rajoittaminen• Tietojen eheys ja luottamuksellisuus• Rekisterinpitäjän osoitusvelvollisuus

• Tietosuojalaki 1050/2018

• Tiedonhallintalaki 906/2019

• Omavalvonnan ja olennaisten vaatimusten kautta täytettävissä ja osoitettavissa myös muiden säädösten mukaisia vaatimuksia

14

Sote-tietojärjestelmien olennaiset vaatimukset ja niiden todentaminen

• Lakisääteisiä (lain 159/2007 ja 61/2007 muutos 250 ja 251/2014)1. Toiminnalliset vaatimukset

• THL:n määräys (2/2016) Sote-tietojärjestelmien olennaisista toiminnallisista vaatimuksista

• Valmistajan / tietojärjestelmäpalvelun tuottajan oma selvitys määräyksen mukaisilla menettelyillä

2. Yhteentoimivuusvaatimukset

• Todennetaan A-luokan järjestelmissä Kanta-yhteistestauksen kautta

3. Tietoturva- ja tietosuojavaatimukset

• THL:n määräys (1/2015) A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista tietoturvavaatimuksista

• Todennetaan A-luokan järjestelmissä tietoturvallisuuden arviointilaitoksen suorittamalla tietoturva-auditoinnilla

• Todentaminen = sertifiointiprosessi (järjestelmille ja teknisille Kanta-välityspalveluille)

• Hyväksytyn sertifioinnin tuloksena A-luokan järjestelmä saa vaatimustenmukaisuustodistuksen• => tiedot sertifioiduista järjestelmistä ilmoitettava Valviralle, vaatimusten mukaisten järjestelmien rekisteri tulee nähtäville

• Lisäksi luokan B-järjestelmiä asiakastietojen käsittelyyn ja järjestelmiä, joita ei tarvitse luokitella

15

Sertifiointiprosessi koskee A-luokan (Kanta-palveluihin liittyviä) tietojärjestelmien valmistajia

Määräys 1/2015 A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista tietoturvavaatimuksista

• Voimaan 1.2.2015, voimassa toistaiseksi

• Sisältää liitteineen tietoturvavaatimukset Kanta-palveluihin liittyville sote-tietojärjestelmille, myös järjestelmien sertifiointia ja auditointia varten

• Kuvaa, kuinka tietojärjestelmien tietoturvallisuusvaatimusten täyttyminen todennetaan

• Liite 1: Tietoturvavaatimukset A-luokkaan kuuluville järjestelmille ja järjestelmien käyttöympäristöille• Huom. erityisesti käyttöympäristövaatimukset olennaisia myös omavalvonnassa

16

Määräys 1/2015 koskee tietojärjestelmien valmistajia – sote-palveluntuottajien on osaltaan varmistettava, että Kanta-palveluihin liittymiseen käytetty järjestelmä täyttää vaatimukset

Luokan A tietojärjestelmien olennaisten tietoturvavaatimusten osa-alueet ja kohteet

• Osa-alueet / kriteerit• Sähköinen allekirjoitus

• Käyttövaltuushallinta

• Tunnistaminen (sis. myös mm. sulkulistat, ammattioikeuden rajoitukset)

• Valvonta ja lokitus

• Tietojen käsittely

• Muut pakolliset vaatimukset

• Sovellusturvallisuus

• Käyttöympäristö / luottamuksellisuus ja eheys

17

• Kohteet

– Y: Yhteinen vaatimus kaikille luokkaan A kuuluville tietojärjestelmille

– AP: Apteekkijärjestelmän toiminnallisuuksia toteuttavat

– R: Sähköisen lääkemääräyksen käsittelyn toiminnallisuuksia toteuttavat

– A: Arkistoon liittyvät toiminnallisuudet

– (VÄ: Välityspalvelut)

Olennaisten tietoturvavaatimusten toteuttamisesta järjestelmätuotteessa vastaa järjestelmän valmistaja; sote-palveluntuottajan on syytä varmistaa että Kanta-palveluihin liittyvällä

(luokan A) järjestelmällä on voimassa oleva vaatimustenmukaisuustodistus

Sertifiointiprosessi: ”uusi järjestelmä”

18

Määräys 2/2015 omavalvontasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista

• Voimaan 1.2.2015, voimassa toistaiseksi

• Kuvaa omavalvontasuunnitelmaan vähintään sisällytettävät selvitykset ja vaatimukset• Soveltamisala

• Vastuut tietoturvan sekä asiakas- ja potilastietojen asianmukaisen käsittelyn varmistamisessa

• Määritelmät

• Suhde muihin ohjaaviin määräyksiin ja ohjeisiin

• Yleistä: muut omavalvontasäädökset, todentaminen, suhde tietojärjestelmien olennaisiin vaatimuksiin, sertifiointiin ja Valviran rekisteriin

• Omavalvontasuunnitelmaan sisällytettävät selvitykset ja vaatimukset

• Ohjaus ja neuvonta

• Liite 1: Omavalvontasuunnitelman mallipohja

19

Tämä määräys koskee erityisesti sote-palvelujen tuottajia ja on tämän koulutuksen pääasia

Miksi omavalvontasuunnitelma?

• Parantaa ja yhdenmukaistaa sosiaali- ja terveydenhuollon tietosuoja- ja tietoturvakäytäntöjäarkityössä

• Varmistaa, että henkilöstö tietää tietosuojaan ja tietoturvaan liityvät menettelyt ja noudattaa niitä asiakas- ja potilastietojen käsittelyssä

• Huomioi arkaluonteisen tiedon salassapidon merkityksen

• Helpottaa ymmärtämään väärinkäytöksen seuraamukset

• Ohjaa ja tukee tietoturvavaatimusten noudattamista

• Auttaa seuraamaan toimintaa käytännössä

• Auttaa varmistamaan myös muiden palvelun tuottamiseen osallistuvien tahojentietoturvallisen toiminnnan

• Selkeyttää roolit ja vastuut toteutuksessa

• Vastuu tietoturvallisuudesta ja tietosuojasta toimintayksikön vastaavalla johtajalla

20

Omavalvontasuunnitelma

Keiden on laadittava (säädökset voimassa 2015 lähtien)

• Sähköistä asiakas- ja potilastietojen käsittelyyn tarkoitettua tietojärjestelmää käyttävien• Sosiaali- ja terveydenhuollon palvelun antajien

• Apteekkien

• Itsenäisten ammatinharjoittajien

• Kansaneläkelaitoksen

• Kanta-välityspalveluiden tuottajien (välittäjäorganisaatiot)

Miksi

• Suunnitelmassa selvitettyjen toimenpiteiden avulla ylläpidetään ja kehitetään organisaation tietoturvaa ja tietosuojaa

21

HUOM. Ei liity pelkästään Kanta-palveluihin vaan kaikkeen sote-palvelunantajien sähköiseen asiakas- ja potilastietojen käsittelyyn

Suunnitelman mukaan toimiminen on dokumentoitava, esim. “itseauditoinnit” ovat omavalvonnantoteuttamisen yksi tapa

THL Määräys 2/2015

Omavalvontasuunnitelman sisältö

1. Johdanto

2. Suunnitelman kohde:

• Ketkä kuuluvat suunnitelman piiriin: palvelunantajat, järjestelmät, käyttäjät kuvattuna

3. Yleiset tietoturvakäytännöt:

• Kuvaukset tietoturvapolitiikasta, tietosuojaan ja valvontaan liittyvistä vastuista, koulutus, ohjeistus, toimintamalleihin perehdytys, tietojärjestelmien ja potilastietojen käsittelyyn ohjeistus ja koulutus

4. Käyttöympäristön ja useiden järjestelmien yhteiset tietoturvakäytännöt:

• Menettelyt virhe- ja ongelmatilanteissa, järjestelmien käyttöohjeiden hallinnointi ja saatavuus, järjestelmien asennus ja ylläpito, tilojen työasemien, tallennusvälineiden ja tulosteiden turvallisuus, muut käyttöympäristön käytännöt

5. Käyttövaltuuksien, pääsynhallinnan ja käytön seurannan yleiset käytännöt:

• Käyttäjäryhmät, käyttövaltuushallinnan ja käytön seuraamisen käytännöt

6. Kanta-palvelujen käytön tietoturvakäytännöt

7. Tietojärjestelmät:

• Kanta-palveluihin liittyvät tietojärjestelmät (A), muut asiakas- tai potilastietoja käsittelevät järjestelmät (B), muut tietojärjestelmät jotka on otettava huomioon arkaluonteisten asiakas- ja potilastietojen suojaamisen kannalta

8. Tietojärjestelmäkohtaiset ohjeet ja suunnitelmat:

• Järjestelmien osalta joilla on vaikutusta asiakas- tai potilastietojen käsittelyyn, tietoturvaan tai tietosuojaan

22Esimerkkinä omavalvontasuunnitelman mallipohjan rakenne

Jaettu kokonaisuuksiin, joihin kootaan tai linkitetään kunkin aiheen alle kuuluvat dokumentit:

Esim. Luku 2 Suunnitelman kohde

• Selvitetään ne tahot, jota tämä Omavalvontasuunnitelma koskee• ”kenen omavalvontasuunnitelma on kyseessä”

• huomioitava myös sopimukset!

• Laaditaan kuvaus suunnitelman hyödyntämisestä tietojärjestelmien käytössä, käytön valvonnassa, hankinnoissa ja kehitystyössä sekä tähän mahdollisesti liittyvissä päätöksissä

• Kuvataan myös, miten omavalvontasuunnitelman toteutumisen seurannan menettelytavat on suunniteltu

• Täydennettävissä, mm. henkilötietojen käsittelyyn liittyvistä säädöksistä (kuten GDPR) löytyvät käsittelyn perusteet

• Menettelytapojen on oltava todennettavissa tarkastusten yhteydessä

2323

Ensimmäisenä kuvattavat asiat!

Esim. luku 4 Käyttöympäristön tietoturvakäytännöt

Kuvataan, mistä on saatavissa tiedot tai kuvaukset:

• Menettelyt virhe- ja ongelmatilanteissa

• Järjestelmien käyttöohjeiden hallinnoinnista ja saatavuudesta

• Järjestelmien asennuksesta ja ylläpidosta yleisesti

• Tilojen, työasemien, tallennusvälineiden ja tulosteiden turvallisuudesta

• Muista käyttöympäristön tietoturvakäytännöistä

24

Omavalvontasuunnitelman laatiminen on sitä yksinkertaisempaa, mitä enemmän pohjatyötä on jo tehty

• Omavalvontasuunnitelmassa

• Viitataan aina kuin mahdollista, olemassa oleviin, erikseen ylläpidettäviin ohjeisiin ja dokumentteihin (esimerkiksi linkkien avulla)

• Olennaista on, että suunnitelmasta selviää, mistä tiedot / dokumentaatio on löydettävissä tai miten vaatimuksen täyttyminen on todennettavissa.

• Mikäli valmista dokumentaatiota ei ole, omavalvontasuunnitelmaan kuvataan vaadittavat asiakokonaisuudet ja toimintatavat

25

HYÖDYNNÄ:TietoturvapolitiikkaKokonaisarkkitehtuurikuvauksetLaatukäsikirjaOmat tietoturvallisuusohjeetTietojärjestelmäpalvelujen tuottajien ohjeetSopimukset ja sopimusohjeistuksetJne.

Hyväksymis- ja tarkistusmenettelyt ja omavalvonnan toteuttamisen dokumentointi

• Omavalvontasuunnitelman laadinnan ja noudattamisen vastuu on toimintayksikön vastaavalla johtajalla

• Omavalvontasuunnitelma ja siihen kirjatut menettelytavat edellyttävät organisaation omien hyväksymiskäytänteiden mukaisen hyväksymisen

• Omavalvonnan toteuttaminen on dokumentoitava ja oltava todennettavissa• Ei yksityiskohtaista ohjetta esim. omavalvonnan toteuttamiseen liittyvän materiaalin säilyttämisestä, mutta hyviä

käytäntöjä esim.

• Säännöllisen omavalvonnan materiaalit 5v

• Väärinkäytösepäilyjen ja ulkoisten tarkastusten materiaalit 12v

• Esim. omassa laatukäsikirjassa kuvattavat säilytys- ja hallintakäytännöt

• Suunnitelman toteuttaminen ja seuranta yhdistettävissä mm. tietosuoja-asetuksen osoittamisvelvoillisuuteen• Välineenä esimerkiksi tietotilinpäätös

• Suunnitelman mukaisen toiminnan toteutumisen tarkistuksiin, esim. valvontaviranomaisen taholta, on hyvä varautua

26

Lopuksi

27

SECURITY RISK

• Reponen, Jarmo; Kangas, Maarit; Hämäläinen, Päivi; Keränen, Niina; Haverinen, Jari (2018): Tieto- ja viestintäteknologian käyttö terveydenhuollossa vuonna 2017 : Tilanne ja kehityksen suunta

28

• Reponen, Jarmo; Kangas, Maarit; Hämäläinen, Päivi; Keränen, Niina; Haverinen, Jari (2018): Tieto- ja viestintäteknologian käyttö terveydenhuollossa vuonna 2017 : Tilanne ja kehityksen suunta

29

Ajankohtaista ja tulevaa / sote-tietoturvallisuus

• Asiakastietolaki on uudistumassa: Sipilän hallituksen rauenneen esityksen 300/2018 pohjalta STM valmistelu jatkunut• Omavalvonnan asioihin ei luonnosten mukaan tulossa

merkittäviä sisällöllisiä muutoksia, suunnitelman nimeksi tulossa jatkossa Tietoturvasuunnitelma

• A-luokan tietojärjestelmien (Kanta-palveluihin liittyvät järjestelmät) olennaisten tietoturvavaatimusten päivitys käynnistetään asiakastietolain valmistuttua

• EU:n tietosuoja-asetuksen ja tietosuojalain toimeenpano jatkuu, Tiedonhallintalaki hyväksytty edustkunnassa – voimaantulo 1.1.2020• omavalvontasuunnitelma ja omavalvonnan dokumentointi

tukevat monilta osin asetuksen velvoitteiden toimeenpanoa (mm. tietosuojavastaava, suunnitelman toteuttamisen dokumentointi)

• THL Määräys sosiaalihuollon käyttövaltuuksien perusteista päivittymässä 2019

• Valviran rekisteri sote-tietojärjestelmistä verkossa saatavilla, sisältää sekä A- että B-luokan sote-tietojärjestelmät: tarkista käyttämiesi järjestelmien vaatimustenmukaisuuden voimassaolo!

• Sote-käytönhallinta-hankkeen kautta on tulossa päivitettyjä kansallisia ohjeita ja määrittelyjä mm. käyttövaltuuksiin (sote-ammattilaistenkäyttövaltuuksien perusteet) ja käytön seurantaan (mm. lokipalvelut ja -ratkaisut)

• Standardeihin (esim. ISO 27000-sarja) perustuva tietoturvallisuuden toteuttaminen antaa hyvät lähtökohdat lakisääteisten vaatimusten ja suunnitelman vähimmäisvaatimusten lisäksi mm. riskien hallintaan ja jatkuvaan tietoturvallisuuden hallintaan

30

Yhteenveto

• Omavalvonta ja olennaiset vaatimukset ovat keskeisiä keinoja riskien hallinnassa ja oikeusturvan toteuttamisessa!

• Tietojärjestelmien olennaisten vaatimusten ja omavalvonnan kautta varmistetaan, että • järjestelmien toteutuksessa on riittävällä tavalla huomioitu käyttötarkoituksen edellyttämät

yhteentoimivuus-, tietoturva- ja tietosuoja-asiat• asiakas- ja potilastiedot suojataan asianmukaisilla tietoturva- ja tietosuojakäytännöillä palvelujen

tuottajien toiminnassa

• Tietoturvasuunnitelma ja sen omavalvonta ovat käytännön välineitä myös yleisten tietosuoja- ja tietoturvallisuussäädöksien (mm. GDPR, Tietosuojalaki, Tiedonhallintalaki) toimeenpanoon

• Omavalvontasuunnitelman soveltaminen sovitettava palvelun tuottajan omien toimintatapojenmukaiseksi• Esim. osa asioista mahdollista hoitaa sopimusten kautta, mutta vaatimukset pystyttävä todentamaan

myös näissä tilanteissa• Tietoturvallisuuden ja tietosuojan toteuttaminen yksityisillä ja pienillä toimijoilla

• Määräyksiä ja vaatimuksia päivitetään säädösten ja saatujen kokemusten pohjalta

31

!

Kysymyksiä ja kommentteja voi lähettää myös: kantapalvelut@thl.fiKIITOS!

Lisätietoja:THL määräykset (erityisesti 2/2015):

https://thl.fi/fi/web/tiedonhallinta-sosiaali-ja-terveysalalla/maaraykset-ja-maarittelyt/maaraykset

Kanta / Sertifiointi, olennaiset vaatimukset ja omavalvonta:https://www.kanta.fi/jarjestelmakehittajat/sertifiointi

Kanta-verkkokoulu: https://verkkokoulut.thl.fi/fi/web/kantaYksityisen sosiaali- ja terveydenhuollon Kanta-palvelut:

https://thl.fi/fi/web/tiedonhallinta-sosiaali-ja-terveysalalla/kanta-palvelut/yksityisen-sosiaali-ja-terveydenhuollon-kanta-palvelut