Tietoturvan ja tietosuojan omavalvontasuunnitelma sote-palveluissa JUDO-työpaja Juha Mykkänen, kehittämispäällikkö

Transkriptio

1 Tietoturvan ja tietosuojan omavalvontasuunnitelma sote-palveluissa JUDO-työpaja Juha Mykkänen, kehittämispäällikkö

2 Hippokrateen vala, ote Mikäli parannustyössäni tai sen ulkopuolella ihmisten keskuudessa näen tai kuulen sellaista, mitä ei pidä levitettämän, vaikenen ja pidän sitä salaisuutena. Hippokrates (n ekr) 2

3 Mitkä ovat juurisyitä terveyspalveluissa sattuneissa tietoturvapoikkeamissa (EU/EFTA kysely) Inhimilliset virheet Luonnonilmiöt Hyökkäykset (kuten palvelunesto- tai MITM) Järjestelmä- ja laitteistovirheet (Muut) ENISA-kysely ja haastattelut 2015, vastaajina eri rooleissa toimivia ehealth / kyberturvallisuusasiantuntijoita 20 EU/EFTA maasta 3

4 Tässä esityksessä: Sote-palvelujen tietoturva ja tietosuoja - konteksti Tietosuojan ja tietoturvallisuuden omavalvonta ja sotetietojärjestelmien olennaiset tietoturvavaatimukset Kehityksen suunta ja ajankohtaista sote-tietoturvallisuudessa 4

5 Kontekstia ja tilannetta / sote-tiedonhallinta (lukuja ) Kunnissa, kuntayhtymissä, apteekeilla ja yksityisillä sote-palveluntuottajilla useissa palveluissa n. 100% sähköistä tiedonkäsittelyä Paljon erikokoisia ja eri palveluihin keskittyviä toimijoita Satoja käytössä olevia ja kymmeniä Kanta-palvelujen kanssa sertifioituja järjestelmiä Useita merkittäviä järjestelmien uudistamishankkeita käynnissä Digitaalisuuteen liittyvät toiminnan muutokset edellyttävät tietojen liikkuvuutta ja tietojärjestelmiltä yhteentoimivuutta Toimeenpano sosiaali- ja terveyden-huollossa erityisesti valtakunnallisten Kanta-palvelujen kautta Asoakkaiden entistä keskeisempi rooli ja tietojen toisiokäyttö keskeisiä valtakunnallisia kehitystyön painopisteitä Tietoturvallisuudesta huolehtiminen sekä omassa että verkostotoiminnassa keskeinen velvoite ja menestystekijä Kanta-palveluissa on yli asiakirjaa yli henkilöstä Potilastiedon arkisto: n asiakirjaa, palvelutapahtumaa (käynnin / hoitojakson perustietojen päivitystä) julkista+yksityistä käyttäjäorganisaatiota 6,6 milj. informointia / 3,6 milj. suostumusta / 0,1 milj. kieltoa Resepti-palvelu: n lääkemääräystä, n lääketoimitusta Sosiaalihuollon asiakastiedon arkisto tuotantokäytössä : asiakirjaa yli henkilöstä 12+5 julkista+yksityistä käyttäjäorganisaatiota, 73 käyttöönottoon ilmoittautunutta, 2139 kirjaamisvalmentajaa, valmennettua Omakanta-palvelu kansalaisille avoinna tietoturvallisesti verkossa 24/7: yli 2 miljoonaa kirjautunutta henkilöä ja 17 miljoonaa kirjautumiskertaa vuonna 2018 Sähköinen resepti ja potilastiedon välitys Euroopassa etenee: suomalainen resepti toimitettavissa Virossa, Kroatiassa

6 6

7 Tietoturvallisuuden perusperiaatteet Eheys tarkkuus ja yhdenmukaisuus säilyvät tiedon elinkaaren ajan luvaton muokkaaminen ei onnistu tai se havaitaan Luottamuksellisuus Saatavuus ja luotettavuus tieto on saatavilla, kun sitä tarvitaan ohjelmistot, laitteet, turvallisuus ja viestinvälitykset toimivat Autenttisuus tiedon alkuperä on tiedossa tiedonvaihdon osapuolet tunnistetaan luotettavasti Kiistämättömyys ja velvoittavuus sopimuksen velvoitteet täytetään osapuoli ei voi kiistää osallistumistaan tapahtumaan 7

8 Monet tietoturvallisuustoimenpiteet palvelevat useita tavoitteita (case olennaisten tietoturvavaatimusten luokat) Sähköinen allekirjoitus Käyttövaltuushallinta Tunnistaminen Valvonta ja lokitus Sovellusturvallisuus Käyttöympäristön turvallisuus Eheys tarkkuus ja yhdenmukaisuus säilyvät tiedon elinkaaren ajan luvaton muokkaaminen ei onnistu tai se havaitaan Luottamuksellisuus Saatavuus ja luotettavuus tieto on saatavilla, kun sitä tarvitaan ohjelmistot, laitteet, turvallisuus ja viestinvälitykset toimivat Autenttisuus tiedon alkuperä on tiedossa tiedonvaihdon osapuolet tunnistetaan luotettavasti Kiistämättömyys ja velvoittavuus sopimuksen velvoitteet täytetään osapuoli ei voi kiistää osallistumistaan tapahtumaan 8

9 Mitkä ovat juurisyitä terveyspalveluissa sattuneissa tietoturvapoikkeamissa (EU/EFTA kysely) Inhimilliset virheet Luonnonilmiöt Hyökkäykset (kuten palvelunesto- tai MITM) Järjestelmä- ja laitteistovirheet Muut syyt ENISA-kysely ja haastattelut 2015, vastaajina eri rooleissa toimivia ehealth / kyberturvallisuusasiantuntijoita 20 EU/EFTA maasta 9

10 Tietosuojan ja tietoturvallisuuden olennaiset vaatimukset ja omavalvonta Etunimi Sukunimi

11 Olennaiset vaatimukset ja omavalvonta sotetiedonhallinnassa: miksi? Sote-palveluja koskevaan lainsäädäntöön tehtiin vuonna 2014 merkittäviä muutoksia sekä sote-palvelujen tuottajille että järjestelmätoimittajille Varmistettava, että Järjestelmissä on käyttötarkoituksen kannalta oikeat toiminnallisuudet, riittävät tietoturvaominaisuudet ja että ne pystyvät liittymään osaksi Kanta-palvelujen kautta tapahtuvaa tietojen vaihtoa tietojärjestelmien OLENNAISET VAATIMUKSET Organisaatioissa ja palveluntuottajilla on asianmukaiset tietoturvakäytännöt ja käyttöympäristössä huolehditaan asianmukaisesta tietoturvasta OMAVALVONTA (tietosuojan ja tietoturvallisuuden) Erityishuomio Kanta-palvelujen kautta laajenevassa tietojen saatavuudessa, mutta huomioitava kaikessa toiminnassa Yleiskuva 11

12 Omavalvonnan ja olennaisten vaatimusten säädökset Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 159/2007 (päivitetty 2014, päivittymässä 2017) Laki sähköisestä lääkemääräyksestä 61/2007 (päivitetty 2014, päivittymässä 2017) THL:n Määräys 1/2015: A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien olennaiset tietoturvavaatimukset THL:n Määräys 2/2015: Omavalvontasuunnitelmaan sisällytettävät selvitykset ja vaatimukset THL:n Määräys 2/2016: Määräys sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista toiminnallisista vaatimuksista Lisäksi saatavilla ohjeita ja tukimateriaalia Perusperiaate: järjestelmien olennaiset vaatimukset ja omavalvonta muodostavat jatkumon teknisistä järjestelmäratkaisuista turvallisiin käytäntöihin ja toimintatapoihin päivittäisessä työssä 12

13 Keskeisimmät asiakastietolain kohdat omavalvonnan ja olennaisten vaatimusten osalta 3 määritelmät, erityisesti tietojärjestelmä, palvelun antaja 19 a (Sote-tietojärjestelmien) olennaiset vaatimukset 19 h, Omavalvontasuunnitelma Lisäksi 19 b Järjestelmien luokat A ja B 19 c Tietojärjestelmän valmistajan velvollisuudet 19 d Vaatimustenmukaisuuden osoittaminen (toiminnallisuus, yhteentoimivuus, tietoturvallisuus) 19 e Yhteistestaus 19 f Tietojärjestelmän ottaminen tuotantokäyttöön (vaatimustenmukaisuustodistuksen edellytys, ilmoittaminen Valviralle) 19 g Käyttöönoton jälkeinen seuranta, poikkeamista ilmoittaminen / valmistaja 19 i Poikkeamista ilmoittaminen (palvelujen antaja) 22 a Tietojärjestelmien ja ohjelmistojen hyväksyntä ja käyttöönotto Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 13

14 Myös muut säädökset huomioitava EU:n tietosuoja-asetuksen (GDPR) periaatteet Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys Käyttötarkoitussidonnaisuus (tietoa ei saa käyttää ilman potilaan suostumusta tai laista johtuvaa perustetta toiseen tarkoitukseen kuin mihin se on kerätty) Tietojen minimointi: vain tarpeelliset tiedot kerätään Tietojen täsmällisyys Tietojen säilytyksen rajoittaminen Tietojen eheys ja luottamuksellisuus Rekisterinpitäjän osoitusvelvollisuus Tietosuojalaki 1050/2018 Tiedonhallintalaki 906/2019 Omavalvonnan ja olennaisten vaatimusten kautta täytettävissä ja osoitettavissa myös muiden säädösten mukaisia vaatimuksia 14

15 Sote-tietojärjestelmien olennaiset vaatimukset ja niiden todentaminen Lakisääteisiä (lain 159/2007 ja 61/2007 muutos 250 ja 251/2014) 1. Toiminnalliset vaatimukset THL:n määräys (2/2016) Sote-tietojärjestelmien olennaisista toiminnallisista vaatimuksista Valmistajan / tietojärjestelmäpalvelun tuottajan oma selvitys määräyksen mukaisilla menettelyillä 2. Yhteentoimivuusvaatimukset Todennetaan A-luokan järjestelmissä Kanta-yhteistestauksen kautta 3. Tietoturva- ja tietosuojavaatimukset THL:n määräys (1/2015) A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista tietoturvavaatimuksista Todennetaan A-luokan järjestelmissä tietoturvallisuuden arviointilaitoksen suorittamalla tietoturva-auditoinnilla Todentaminen = sertifiointiprosessi (järjestelmille ja teknisille Kanta-välityspalveluille) Sertifiointiprosessi koskee A-luokan (Kanta-palveluihin liittyviä) tietojärjestelmien valmistajia Hyväksytyn sertifioinnin tuloksena A-luokan järjestelmä saa vaatimustenmukaisuustodistuksen => tiedot sertifioiduista järjestelmistä ilmoitettava Valviralle, vaatimusten mukaisten järjestelmien rekisteri tulee nähtäville Lisäksi luokan B-järjestelmiä asiakastietojen käsittelyyn ja järjestelmiä, joita ei tarvitse luokitella 15

16 Määräys 1/2015 A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista tietoturvavaatimuksista Määräys 1/2015 koskee tietojärjestelmien valmistajia sote-palveluntuottajien on osaltaan varmistettava, että Kanta-palveluihin liittymiseen käytetty järjestelmä täyttää vaatimukset Voimaan , voimassa toistaiseksi Sisältää liitteineen tietoturvavaatimukset Kanta-palveluihin liittyville sotetietojärjestelmille, myös järjestelmien sertifiointia ja auditointia varten Kuvaa, kuinka tietojärjestelmien tietoturvallisuusvaatimusten täyttyminen todennetaan Liite 1: Tietoturvavaatimukset A-luokkaan kuuluville järjestelmille ja järjestelmien käyttöympäristöille Huom. erityisesti käyttöympäristövaatimukset olennaisia myös omavalvonnassa 16

17 Luokan A tietojärjestelmien olennaisten tietoturvavaatimusten osaalueet ja kohteet Olennaisten tietoturvavaatimusten toteuttamisesta järjestelmätuotteessa vastaa järjestelmän valmistaja; sote-palveluntuottajan on syytä varmistaa että Kanta-palveluihin liittyvällä (luokan A) järjestelmällä on voimassa oleva vaatimustenmukaisuustodistus Osa-alueet / kriteerit Sähköinen allekirjoitus Käyttövaltuushallinta Tunnistaminen (sis. myös mm. sulkulistat, ammattioikeuden rajoitukset) Valvonta ja lokitus Tietojen käsittely Muut pakolliset vaatimukset Sovellusturvallisuus Käyttöympäristö / luottamuksellisuus ja eheys Kohteet Y: Yhteinen vaatimus kaikille luokkaan A kuuluville tietojärjestelmille AP: Apteekkijärjestelmän toiminnallisuuksia toteuttavat R: Sähköisen lääkemääräyksen käsittelyn toiminnallisuuksia toteuttavat A: Arkistoon liittyvät toiminnallisuudet (VÄ: Välityspalvelut) 17

18 Sertifiointiprosessi: uusi järjestelmä 18

19 Määräys 2/2015 omavalvontasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista Tämä määräys koskee erityisesti sote-palvelujen tuottajia ja on tämän koulutuksen pääasia Voimaan , voimassa toistaiseksi Kuvaa omavalvontasuunnitelmaan vähintään sisällytettävät selvitykset ja vaatimukset Soveltamisala Vastuut tietoturvan sekä asiakas- ja potilastietojen asianmukaisen käsittelyn varmistamisessa Määritelmät Suhde muihin ohjaaviin määräyksiin ja ohjeisiin Yleistä: muut omavalvontasäädökset, todentaminen, suhde tietojärjestelmien olennaisiin vaatimuksiin, sertifiointiin ja Valviran rekisteriin Omavalvontasuunnitelmaan sisällytettävät selvitykset ja vaatimukset Ohjaus ja neuvonta Liite 1: Omavalvontasuunnitelman mallipohja 19

20 Miksi omavalvontasuunnitelma? Parantaa ja yhdenmukaistaa sosiaali- ja terveydenhuollon tietosuoja- ja tietoturvakäytäntöjä arkityössä Varmistaa, että henkilöstö tietää tietosuojaan ja tietoturvaan liityvät menettelyt ja noudattaa niitä asiakas- ja potilastietojen käsittelyssä Huomioi arkaluonteisen tiedon salassapidon merkityksen Helpottaa ymmärtämään väärinkäytöksen seuraamukset Ohjaa ja tukee tietoturvavaatimusten noudattamista Auttaa seuraamaan toimintaa käytännössä Auttaa varmistamaan myös muiden palvelun tuottamiseen osallistuvien tahojen tietoturvallisen toiminnnan Selkeyttää roolit ja vastuut toteutuksessa Vastuu tietoturvallisuudesta ja tietosuojasta toimintayksikön vastaavalla johtajalla 20

21 Omavalvontasuunnitelma Keiden on laadittava (säädökset voimassa 2015 lähtien) Sähköistä asiakas- ja potilastietojen käsittelyyn tarkoitettua tietojärjestelmää käyttävien Sosiaali- ja terveydenhuollon palvelun antajien Apteekkien Itsenäisten ammatinharjoittajien Kansaneläkelaitoksen Kanta-välityspalveluiden tuottajien (välittäjäorganisaatiot) Miksi HUOM. Ei liity pelkästään Kantapalveluihin vaan kaikkeen sotepalvelunantajien sähköiseen asiakas- ja potilastietojen käsittelyyn Suunnitelmassa selvitettyjen toimenpiteiden avulla ylläpidetään ja kehitetään organisaation tietoturvaa ja tietosuojaa Suunnitelman mukaan toimiminen on dokumentoitava, esim. itseauditoinnit ovat omavalvonnan toteuttamisen yksi tapa THL Määräys 2/

22 Omavalvontasuunnitelman sisältö Jaettu kokonaisuuksiin, joihin kootaan tai linkitetään kunkin aiheen alle kuuluvat dokumentit: 1. Johdanto 5. Käyttövaltuuksien, pääsynhallinnan ja käytön seurannan yleiset käytännöt: 2. Suunnitelman kohde: Käyttäjäryhmät, käyttövaltuushallinnan ja käytön Ketkä kuuluvat suunnitelman piiriin: palvelunantajat, seuraamisen käytännöt järjestelmät, käyttäjät kuvattuna 3. Yleiset tietoturvakäytännöt: Kuvaukset tietoturvapolitiikasta, tietosuojaan ja valvontaan liittyvistä vastuista, koulutus, ohjeistus, toimintamalleihin perehdytys, tietojärjestelmien ja potilastietojen käsittelyyn ohjeistus ja koulutus 4. Käyttöympäristön ja useiden järjestelmien yhteiset tietoturvakäytännöt: Menettelyt virhe- ja ongelmatilanteissa, järjestelmien käyttöohjeiden hallinnointi ja saatavuus, järjestelmien asennus ja ylläpito, tilojen työasemien, tallennusvälineiden ja tulosteiden turvallisuus, muut käyttöympäristön käytännöt 6. Kanta-palvelujen käytön tietoturvakäytännöt 7. Tietojärjestelmät: Kanta-palveluihin liittyvät tietojärjestelmät (A), muut asiakas- tai potilastietoja käsittelevät järjestelmät (B), muut tietojärjestelmät jotka on otettava huomioon arkaluonteisten asiakas- ja potilastietojen suojaamisen kannalta 8. Tietojärjestelmäkohtaiset ohjeet ja suunnitelmat: Järjestelmien osalta joilla on vaikutusta asiakas- tai potilastietojen käsittelyyn, tietoturvaan tai tietosuojaan Esimerkkinä omavalvontasuunnitelman mallipohjan rakenne 22

23 Esim. Luku 2 Suunnitelman kohde Ensimmäisenä kuvattavat asiat! Selvitetään ne tahot, jota tämä Omavalvontasuunnitelma koskee kenen omavalvontasuunnitelma on kyseessä huomioitava myös sopimukset! Laaditaan kuvaus suunnitelman hyödyntämisestä tietojärjestelmien käytössä, käytön valvonnassa, hankinnoissa ja kehitystyössä sekä tähän mahdollisesti liittyvissä päätöksissä Kuvataan myös, miten omavalvontasuunnitelman toteutumisen seurannan menettelytavat on suunniteltu Täydennettävissä, mm. henkilötietojen käsittelyyn liittyvistä säädöksistä (kuten GDPR) löytyvät käsittelyn perusteet Menettelytapojen on oltava todennettavissa tarkastusten yhteydessä 2323

24 Esim. luku 4 Käyttöympäristön tietoturvakäytännöt Kuvataan, mistä on saatavissa tiedot tai kuvaukset: Menettelyt virhe- ja ongelmatilanteissa Järjestelmien käyttöohjeiden hallinnoinnista ja saatavuudesta Järjestelmien asennuksesta ja ylläpidosta yleisesti Tilojen, työasemien, tallennusvälineiden ja tulosteiden turvallisuudesta Muista käyttöympäristön tietoturvakäytännöistä 24

25 Omavalvontasuunnitelman laatiminen on sitä yksinkertaisempaa, mitä enemmän pohjatyötä on jo tehty Omavalvontasuunnitelmassa Viitataan aina kuin mahdollista, olemassa oleviin, erikseen ylläpidettäviin ohjeisiin ja dokumentteihin (esimerkiksi linkkien avulla) Olennaista on, että suunnitelmasta selviää, mistä tiedot / dokumentaatio on löydettävissä tai miten vaatimuksen täyttyminen on todennettavissa. Mikäli valmista dokumentaatiota ei ole, omavalvontasuunnitelmaan kuvataan vaadittavat asiakokonaisuudet ja toimintatavat HYÖDYNNÄ: Tietoturvapolitiikka Kokonaisarkkitehtuurikuvaukset Laatukäsikirja Omat tietoturvallisuusohjeet Tietojärjestelmäpalvelujen tuottajien ohjeet Sopimukset ja sopimusohjeistukset Jne. 25

26 Hyväksymis- ja tarkistusmenettelyt ja omavalvonnan toteuttamisen dokumentointi Omavalvontasuunnitelman laadinnan ja noudattamisen vastuu on toimintayksikön vastaavalla johtajalla Omavalvontasuunnitelma ja siihen kirjatut menettelytavat edellyttävät organisaation omien hyväksymiskäytänteiden mukaisen hyväksymisen Omavalvonnan toteuttaminen on dokumentoitava ja oltava todennettavissa Ei yksityiskohtaista ohjetta esim. omavalvonnan toteuttamiseen liittyvän materiaalin säilyttämisestä, mutta hyviä käytäntöjä esim. Säännöllisen omavalvonnan materiaalit 5v Väärinkäytösepäilyjen ja ulkoisten tarkastusten materiaalit 12v Esim. omassa laatukäsikirjassa kuvattavat säilytys- ja hallintakäytännöt Suunnitelman toteuttaminen ja seuranta yhdistettävissä mm. tietosuoja-asetuksen osoittamisvelvoillisuuteen Välineenä esimerkiksi tietotilinpäätös Suunnitelman mukaisen toiminnan toteutumisen tarkistuksiin, esim. valvontaviranomaisen taholta, on hyvä varautua 26

27 SECURITY RISK Lopuksi 27

28 Reponen, Jarmo; Kangas, Maarit; Hämäläinen, Päivi; Keränen, Niina; Haverinen, Jari (2018): Tieto- ja viestintäteknologian käyttö terveydenhuollossa vuonna 2017 : Tilanne ja kehityksen suunta 28

29 Reponen, Jarmo; Kangas, Maarit; Hämäläinen, Päivi; Keränen, Niina; Haverinen, Jari (2018): Tieto- ja viestintäteknologian käyttö terveydenhuollossa vuonna 2017 : Tilanne ja kehityksen suunta 29

30 Ajankohtaista ja tulevaa / sote-tietoturvallisuus Asiakastietolaki on uudistumassa: Sipilän hallituksen rauenneen esityksen 300/2018 pohjalta STM valmistelu jatkunut Omavalvonnan asioihin ei luonnosten mukaan tulossa merkittäviä sisällöllisiä muutoksia, suunnitelman nimeksi tulossa jatkossa Tietoturvasuunnitelma A-luokan tietojärjestelmien (Kanta-palveluihin liittyvät järjestelmät) olennaisten tietoturvavaatimusten päivitys käynnistetään asiakastietolain valmistuttua EU:n tietosuoja-asetuksen ja tietosuojalain toimeenpano jatkuu, Tiedonhallintalaki hyväksytty edustkunnassa voimaantulo omavalvontasuunnitelma ja omavalvonnan dokumentointi tukevat monilta osin asetuksen velvoitteiden toimeenpanoa (mm. tietosuojavastaava, suunnitelman toteuttamisen dokumentointi) THL Määräys sosiaalihuollon käyttövaltuuksien perusteista päivittymässä 2019 Valviran rekisteri sote-tietojärjestelmistä verkossa saatavilla, sisältää sekä A- että B-luokan sotetietojärjestelmät: tarkista käyttämiesi järjestelmien vaatimustenmukaisuuden voimassaolo! Sote-käytönhallinta-hankkeen kautta on tulossa päivitettyjä kansallisia ohjeita ja määrittelyjä mm. käyttövaltuuksiin (sote-ammattilaisten käyttövaltuuksien perusteet) ja käytön seurantaan (mm. lokipalvelut ja -ratkaisut) Standardeihin (esim. ISO sarja) perustuva tietoturvallisuuden toteuttaminen antaa hyvät lähtökohdat lakisääteisten vaatimusten ja suunnitelman vähimmäisvaatimusten lisäksi mm. riskien hallintaan ja jatkuvaan tietoturvallisuuden hallintaan 30

31 Yhteenveto! Omavalvonta ja olennaiset vaatimukset ovat keskeisiä keinoja riskien hallinnassa ja oikeusturvan toteuttamisessa! Tietojärjestelmien olennaisten vaatimusten ja omavalvonnan kautta varmistetaan, että järjestelmien toteutuksessa on riittävällä tavalla huomioitu käyttötarkoituksen edellyttämät yhteentoimivuus-, tietoturva- ja tietosuoja-asiat asiakas- ja potilastiedot suojataan asianmukaisilla tietoturva- ja tietosuojakäytännöillä palvelujen tuottajien toiminnassa Tietoturvasuunnitelma ja sen omavalvonta ovat käytännön välineitä myös yleisten tietosuoja- ja tietoturvallisuussäädöksien (mm. GDPR, Tietosuojalaki, Tiedonhallintalaki) toimeenpanoon Omavalvontasuunnitelman soveltaminen sovitettava palvelun tuottajan omien toimintatapojen mukaiseksi Esim. osa asioista mahdollista hoitaa sopimusten kautta, mutta vaatimukset pystyttävä todentamaan myös näissä tilanteissa Tietoturvallisuuden ja tietosuojan toteuttaminen yksityisillä ja pienillä toimijoilla Määräyksiä ja vaatimuksia päivitetään säädösten ja saatujen kokemusten pohjalta 31

32 KIITOS! Kysymyksiä ja kommentteja voi lähettää myös: Lisätietoja: THL määräykset (erityisesti 2/2015): Kanta / Sertifiointi, olennaiset vaatimukset ja omavalvonta: Kanta-verkkokoulu: Yksityisen sosiaali- ja terveydenhuollon Kanta-palvelut: