erespa viitoittaa tietä ereseptiin Ohjeistus ereseptin auditointivaatimusten täyttämiseksi Yksityisen sektorin yritykset

Transkriptio

1 erespa viitoittaa tietä ereseptiin Ohjeistus ereseptin auditointivaatimusten täyttämiseksi Yksityisen sektorin yritykset

2 Itseauditointi Ohjeet vaatimusten täyttämiseksi Esimerkit, joita voi hyödyntää auditointivaatimusta täyttäessä AUDITOINTIVAATIMUKSET

3 Organisaation itseauditointi Terveydenhuollon organisaatioiden ja apteekkien auditointi suoritetaan itseauditointina. Liittyessään valtakunnallisiin palveluihin organisaatio vakuuttaa, että se ja sen käyttämät tietojärjestelmät ja välittäjät täyttävät STM:n hyväksymät kansalliset auditointivaatimukset siltä osin kuin ne koskevat liittyjää ja ereseptiä. Terveydenhuollon organisaation ja apteekin osalta velvollisuus noudattaa kulloinkin voimassa olevia auditointivaatimuksia on pysyvä. Vaatimusten muuttuessa organisaatiolla on kuusi kuukautta aikaa täyttää uudet vaatimukset. Auditoinnin ohjeet: Sähköisen lääkemääräyksen käyttöönoton käsikirja ( Tietoturva ja auditointi: Terveydenhuollon auditointivaatimusten läpikäynti (doc) (päivitetty ) 3

4 Auditoinnin kulku 1. Organisaatio tutustuu hyvissä ajoin auditointivaatimuksiin ja huolehtii vaadittaviin toimiin ryhtymisestä ajoissa, jotta se pystyy osoittamaan vaatimusten täyttämisen liittymisvaiheessa 2. Siltä osin kun organisaatio ostaa tietojärjestelmä- tai tietoliikennepalvelut muualta, organisaatio välittää niihin kohdistuvat vaatimukset ja todentamispyynnöt palveluiden tuottajilleen 3. Organisaatio tekee hallinnollisen liittymispäätöksen 4. Organisaatio tekee hakemukset palvelu- ja henkilövarmenteista VRK:lta 5. Organisaatio huolehtii käyttämänsä tietojärjestelmän version olevan auditoitu versio liittymiseen mennessä 6. Organisaatio tarkastaa, että auditointivaatimusten edellyttämät dokumentit ja toimenpiteet ovat kunnossa sekä että sen järjestelmätoimittajat ja välittäjät ovat omalta osaltaan toimittaneet organisaatiolle selvityksen kansallisten auditointivaatimusten täyttymisestä 7. Organisaation allekirjoitusoikeuden omaava edustaja allekirjoittaa liittymishakemuksen yhteydessä Kelalle sitoumuksen, jossa hän vakuuttaa edustamansa organisaation täyttävän kansalliset auditointivaatimukset 8. Organisaatio huolehtii, että sen toiminnan turvataso säilyy ja että se kehittyy seuraavan liittymisvaiheen vaatimuksia vastaavaksi 4

5 Auditointivaatimus 1: Sisäinen päätös liittymiselle VAATIMUS: Organisaation sisäinen hallinnollinen päätös liittymisestä Reseptikeskukseen tai potilastiedon arkistoon / KanTa-palvelujen käyttäjäksi on tehty. AUDITOINTI: Tarkastetaan, että organisaatio on tehnyt sisäisen hallinnollisen päätöksen liittyä Reseptikeskukseen tai potilastiedon arkistoon / KanTa-palvelun käyttäjäksi. Yksityisessä terveydenhuollossa sisäinen hallinnollinen päätös tehdään organisaation oman prosessin mukaisesti Vastuuhenkilön valinta ja projektin aloittaminen Käyttöönoton käsikirjassa ( Tietoturva ja auditointi: Malli a - Hallinnollinen päätösesitys Toimii myös tiivistelmänä siitä, mihin sitoudutaan Liittymisen materiaali: 5

6 Auditointivaatimus 1: esimerkki Yrityksemme Esimerkkilääkäripalvelu Oy on toimitusjohtajan päätöksellä päättänyt liittyä sähköinen lääkemääräys -palvelun käyttäjäksi. Aiottu liittymispäivämäärä on Yrityksessä hankkeesta vastaa Paavo Projekti. Vapaamuotoinen ilmoitus liittymisestä THL:ään lähetetään sähköpostitse Yrityksen Katso-tunnisteille on luotu alitunniste Paavo Projektille Kantaextranetin käyttöä varten. 6

7 Auditointivaatimus 2: Auditoitu järjestelmä VAATIMUS: Organisaatiossa on käytössä palvelun sisällön mukaisesti auditoitu KanTa-palveluiden vaatimukset täyttävä järjestelmä, joka on parametroitu sähköisen lääkemääräyksen ja potilastiedon arkiston vaatimusten mukaisesti. AUDITOINTI: Tarkastetaan, että organisaatiolla on käytössään käyttöönotettavan palvelun sisällön mukaisen auditoinnin läpäissyt järjestelmä. Onko yrityksen käytössä oleva potilastietojärjestelmä auditoitu versio vai pitääkö päivittää koko järjestelmä vai esim. ainoastaan resepti-/lääkitysosio? Kelan auditoimat järjestelmät: Yhteydenotto omaan järjestelmätoimittajaan Onko organisaation tiedot ajan tasalla SOTE-organisaatiorekisterissä: OID-koodien tarkastus koodistopalvelimen SOTE-organisaatiorekisteristä: ( Mahdolliset tietojen korjaukset lupaviranomaiselle (AVI tai Valvira) 7

8 Auditointivaatimus 2: esimerkki Käyttämämme potilastietojärjestelmä Lääkärinkaveri on auditoitu päivämäärällä Olemme sopineet toimittajamme Esimerkkiohjelmistotalo Oy:n kanssa seuraavista asioista: Käytössämme on versio, jossa auditoitu sähköinen lääkemääräys toimii Olemme sopineet aikataulusta, työnjaosta ja kustannuksista liittyen sähköiseen lääkemääräykseen Toimittaja on lähettänyt tukimateriaalia auditointia varten Järjestelmään on konfiguroitu mm.: OID-koodit, käyttöoikeusmäärittelyt käyttäjille, sähköisen lääkemääräyksen toiminnallisuus kytketty päälle, yhteysosoitteet konfiguroitu, varmenteet asennettu yhteysosapuolten välille, sulkulistojen nouto määräsyklillä, lääketietokannan määritys SOTE-rekisteristä löytyvät tietomme ovat ajan tasalla

9 Auditointivaatimus 3: Tietoturvapolitiikka VAATIMUS: Organisaatiolla on tietoturvapolitiikka laadittuna ja se on otettu käyttöön AUDITOINTI: Tarkastetaan, että organisaatio on voimassaoleva ja ajantasainen tietoturvapolitiikka. Politiikasta tulee mm. ilmetä miten sitä tarkastetaan, kehitetään ja miten tietoturva on vastuutettu ja organisoitu organisaation tavoitteiden ja kansallisten vaatimusten saavuttamiseksi. Tietoturvallisuuden hallinnointi sekä siihen liittyvät tietoturvapolitiikka, tietoturva-asiat ja tietosuoja-asiat eivät ole erityisesti sähköisen lääkemääräyksen käyttöönottoon liittyviä asioita, vaan ne kuuluvat yleishallintoon ja rekisterinpitäjän velvollisuuksiin. Käyttöönoton käsikirjassa ( Tietoturva ja auditointi: Malli b - Organisaation tietoturvaperiaatteet Tietoturva ja auditointi: Malli f1 - Toimintayksikön tietoturvapolitiikan malli Tietoturva ja auditointi: Malli f3 - Esimerkki tietoturvapolitiikasta Kts. erespan malli tietoturvaohjeeksi eresepti liittymisohjeesta 9

10 Auditointivaatimus 3: esimerkki Yrityksellämme on tietoturvapolitiikka laadittuna (Liite 1) ja se on otettu käyttöön. Henkilökuntaa varten on laadittu tietoturvaohje (Liite 2), joka kuuluu osaksi uuden henkilön perehdytystä. 10

11 Auditointivaatimus 4: Nimetty tietosuojavastaava VAATIMUS: Organisaatiolle on nimetty tietosuojavastaava ja hänen toimenkuvansa on määritelty AUDITOINTI: Tarkastetaan, että organisaatiolle nimetty tietosuojavastaava ja hänen toimenkuvansa on määritelty Kaikilla terveydenhuollon organisaatioilla pitää lain mukaan olla tietosuojavastaava Tietosuojavastaavan tehtävänä on olla organisaationsa tietosuoja-asiantuntija ja toimia johdon apuna tietosuojaan liittyvissä kysymyksissä Organisaation johto on viime kädessä vastuussa siitä, että tietosuoja toteutuu organisaatiossa lainsäädännön mukaisesti. Tietosuojavastaavan tehtävät ja toimenkuva: Käyttöönoton käsikirjassa ( Tietoturva ja auditointi: Malli e - Organisaatio tietosuojavastaavan toimenkuva 11

12 Auditointivaatimus 4: esimerkki Yrityksemme tietosuojavastaavaksi on nimetty Pirkko Tietotarkka. Tietosuojavastaavan toimenkuva on päivitetty Kanta-ohjeistuksen perusteella

13 Auditointivaatimus 5: Ohjeet potilastietojen käsittelystä VAATIMUS: Organisaatiossa on käytössä kirjalliset ohjeet potilastietojen käsittelystä henkilökunnalle. Organisaatio on huolehtinut henkilökunnan kouluttamisesta ja osaamisesta potilastietojen käsittelyssä. AUDITOINTI: Tarkastetaan, että organisaatio on laatinut kirjalliset ohjeet potilastietojen käsittelystä henkilökunnalle ja huolehtinut henkilökunnan kouluttamisesta ja osaamisesta potilastietojen käsittelyssä STM Potilasasiakirjaopas: Organisaation oman oppaan pitää olla linjassa STM:n ohjeen kanssa (esim. opiskelijoiden tekemien merkintöjen hyväksyminen) Koulutus tarkoittaa esimerkiksi koulutussuunnitelmaa ja sen jatkuvaa toteuttamista. Jos käytetään alihankkijoita, niin säädökset koskevat myös alihankkijaa ja auditointivaatimusten todentaminen on ulotettava sinne. Käyttöönoton käsikirjassa ( Tietoturva ja auditointi: Malli l - Asiakastiedon käsittely ja menettelytavat eresepti-palvelua käytettäessä 13

14 Auditointivaatimus 5: esimerkki Olemme päivittäneet henkilökunnallemme tarkoitetut ohjeet potilastietojen käsittelystä Ohjeissa on huomioitu STM:n potilastieto-opas (Potilasasiakirjojen laatiminen ja käsittely - Opas terveydenhuollolle, Julkaisuja 2012:4, ) ja KanTapalveluiden ohje (Asiakastiedon käsittely ja menettelytavat eresepti-palvelua käytettäessä). Ohjeet löytyvät Intranetistä ja vastaanottotiskien ohje-kansioista nimellä: Ohjeet potilastietojen käsittelystä. 14

15 Auditointivaatimus 6: Henkilökunnan koulutus VAATIMUS: Organisaatio on kouluttanut henkilökunnan potilastiedon arkiston ja sähköisen lääkemääräyksen toimintamallien käyttöönottoon ja organisaation käytössä olevien potilastietojärjestelmien käyttöönotettaviin toiminnallisuuksiin. AUDITOINTI: Tarkastetaan, että organisaatio on kouluttanut henkilökunnan uuden toimintamallin käyttöönottoon (esim. reseptin uusimismenettely, suostumusmenettelyt, potilastiedon arkisto). Koulutus on voinut pohjautua esim. yksityiskohtaisiin toimintamalleihin valtakunnallisessa ohjeessa: ereseptin toimintamallit ja Potilastiedon arkiston toimintamallit. Organisaatiolla on toimintamalli uusien työntekijöiden kouluttamiseen. Koulutuksen tulee sisältää ereseptin toimintamallit ja sen käyttö omassa potilastietojärjestelmässä Toimintamallien koulutusta varten on runsaasti materiaalia ( Videoita, toimintamallidokumentti, verkkokoulu, testi Käyttöönoton kannalta auditointivaatimus täyttyy, kun toimintamallit on koulutettu niille, jotka käyttävät työssään sähköistä lääkemääräystä. Liittymishakemuksen jättöhetkellä koko henkilöstön ei siis tarvitsisi olla koulutettuna. Toimintamallikoulutuksessa pitäisi käsitellä esimerkiksi seuraavia asioita 1. Sovitut + ohjeistetut potilaan informointikäytännöt (+ suostumus ja kielto) 2. Miten organisaatiossa on sovittu lääkemääräyksen/ asiakirjojen käsittelyyn liittyvät asiat 3. Henkilöstö on perillä mistä sähköisessä lääkemääräyksessä/ potilastiedon arkistossa on kyse (esim. lääkemääräyksessä Kelan rekisterinpitäjyys + tietojen tarkastuspyyntöihin liittyvät proseduurit) 15

16 Auditointivaatimus 6: esimerkki Henkilökunnan koulutusta varten olemme laatineet koulutussuunnitelman (Liite 3). Henkilökunnan koulutuksessa olemme hyödyntäneet KanTa-palveluiden materiaalia ja toimittajalta saamaamme koulutusmateriaalia. Koulutus kattaa sekä sähköisen lääkemääräyksen toimintamallit että potilastietojärjestelmän käytön. Henkilökuntamme on tarkoitus kouluttaa aikavälillä

17 Auditointivaatimus 7: Tietosuojan valvonta VAATIMUS: Organisaatiolla on laadittu tietosuojaan liittyvä seuranta- ja valvontasuunnitelma tai se on ottanut käyttöön Kelan laatiman tietosuojaohjeen AUDITOINTI: Tarkastetaan, että organisaatiolla on Kelan laatiman ohjeen mukainen tietosuojaan liittyvä seuranta- ja valvontasuunnitelma (Reseptikeskuksen tietojen käsittelyn seuranta ja valvontaohje terveydenhuollossa ja apteekeissa). Suunnitelmassa otetaan kantaa esim. miten tehdään säännöllistä henkilötietojen käytön seurantaa ja miten on suunniteltu toimittavan, jos väärinkäytöksiä ilmenee. Käyttöönoton käsikirjassa ( Tietoturva ja auditointi: Reseptikeskuksen tietojen käsittelyn seuranta ja valvonta Kelan ohje reseptikeskuksen käytön valvonnasta ja seurannasta: ja tuota soveltamalla voidaan muokata organisaation käytäntö. Vaikka ohje koskee vain ammattihenkilön kortilla toimimista reseptikeskukseen, niin samalla vaivalla siitä kannattaa tehdä koko organisaation toimintamalli. Sähköisen lääkemääräyksen verkkokoulun tietosuojaosio: Tietosuojavaltuutetun käytönvalvonnan ohjeet: 17

18 Auditointivaatimus 7: esimerkki Olemme laatineet seuranta- ja valvontasuunnitelman (Liite 4). Suunnitelma on laadittu Kelan ohjeen perusteella: Reseptikeskuksen tietojen käsittelyn seuranta ja valvonta terveydenhuollossa ja apteekissa. Suunnitelma löytyy Intranetistä ja vastaanottotiskien ohje-kansioista. 18

19 Auditointivaatimus 8: Yksityisten lääkäriasemien toimintayksiköiden ja ammatinharjoittajien vastuut VAATIMUS: Organisaatiolla on toimintamalli sen järjestelmiä käyttävien omien toimintayksiköiden ja mahdollisten ulkopuolisten ammatinharjoittajien keskinäisten vastuiden osalta AUDITOINTI: Yksityisen lääkäriaseman liittymisessä Reseptikeskukseen tai potilastiedon arkistoon on lisäksi sovittava kirjallisesti miten sen järjestelmiä mahdollisesti käyttävät toimintayksiköt tai ammatinharjoittajat liittyvät mukaan, ja miten lääkäriaseman ja tiloissa toimivien keskinäiset vastuut jakaantuvat. Yksityisen terveydenhuollon toimintayksiköllä tulee olla sopimusmallin mukaisen sopimus kaikkien sen hakemuksella ja sitoumuksella ereseptipalveluun liittyvien, tiloissaan toimivien itsenäisten ammatinharjoittajien sekä tiloissaan toimivien toisten terveydenhuollon toimintayksiköiden palveluyksiköiden kanssa. Sopimusmallit: Sopimus eresepti-palveluun liittymisestä (ammatinharjoittaja) Sopimus eresepti-palveluun liittymisestä (lääkäripalveluyhtiö) 19

20 Auditointivaatimus 8: esimerkki Olemme sopineet yrityksemme ja sen tiloissa toimivien lääkäripalveluyhtiöiden ja ammatinharjoittajien vastuista. Sopimusten teossa on käytetty kansallisia mallipohjia. Sopimukset allekirjoitetaan mennessä. 20

21 Auditointivaatimus 9: Viestinvälityksen sopimukset ja lainsäädäntö VAATIMUS: Viestinvälityksen / tietoliikenteen tietosuojaa koskevat vaatimukset ja vastuiden määrittely tulee olla osa organisaation ja viestinvälitysoperaattorin välistä sopimusta. Mikäli viestinvälitys / tietoliikenne on ulkoistettu ei-suomalaiselle yritykselle, tulee siinä noudattaa Suomen lainsäädäntöä. Mikäli viestinvälityksen / tietoliikenteen alihankkijan tai toteuttajana käytetään amerikkalaisen yrityksen tytäryhtiötä, tulee varmistaa, ettei Yhdysvaltain viranomaisille synny mahdollisuutta päästä käsiksi viestintään ja sen tietoihin. AUDITOINTI: Tarkastetaan, että organisaatioiden välisissä sopimuksissa on huomioitu vaaditut viestinnän luottamuksellisuuteen liittyvät vaatimukset (tämän auditointipaperin liikenteen salaukseen ja luottamuksellisuuteen liittyvät vaatimukset) ja ulkoistustapauksissa mainittu noudatettava lainsäädäntö. Yhdysvaltain osalta vaatimus voidaan käytännössä toteuttaa vain salaamalla kaikki sinne mahdollisesti siirrettävät tiedot luotettavalla tavalla Käyttöönoton käsikirjassa ( Liittyminen ja käyttöönotto: Liittyjät-ohje Organisaatiolla tarkoitetaan liittyjää ja vaatimus kohdistuu käytännössä kaikkiin sopimuksiin, joita yksittäinen liittyjä KanTa-tietoliikenteen toteuttamiseksi solmii Palvelimien välinen liikenne tulee suojata, mutta samassa VLANissa olevien palvelimien välinen SSL/TLS -salaus ei ole välttämättä kiireellisin tehtävä. Työasemien ja palvelimien välistä liikennettä ei tarvitse suojata, jos ne ovat samassa fyysisesti suojatussa verkossa, jos työasemien liikenne kulkee fyysisten verkkojen välillä (esim. operaattorin verkossa), niin silloin suojaustarve on todennäköisempi. Välittäjätaho pitää auditoida erikseen 21

22 Auditointivaatimus 9: esimerkki Olemme yhteistyössä alihankkijoittemme kanssa tarkastaneet, että organisaatioiden välisissä sopimuksissa on huomioitu vaaditut viestinnän luottamuksellisuuteen liittyvät vaatimukset ja ulkoistustapauksissa on mainittu noudatettava lainsäädäntö. 22

23 Auditointivaatimus 10: Tietoliikenneyhteydet ja toiminta teleoperaattoreiden kanssa VAATIMUS: Käytettävien tietoliikenneyhteyksien tietoturva tulee olla toteutettu organisaation tietoturvapolitiikan mukaisesti ja siten, että organisaation oman tietoturvapolitiikan, Kelan laatiman KanTa-tietoliikenteen tietoturva - dokumentin sekä tämän kriteeristön vaatimukset toteutuvat. Tämän toteutuminen tulee myös varmistaa sopimuksin. Sopimuksista tulee ilmetä mihin toimiin osapuolet ryhtyvät jos tietoturvassa ilmenee puutteita, ongelma tai uhkaava vaara. AUDITOINTI: Tarkastetaan, että sopimuksissa tietoliikenneyhteyksistä on huomioitu tietoturvapolitiikan ja tämän vaatimusdokumentin asettamat vaatimukset. Tarkistetaan, että toimintayksikön käyttämässä potilastietojärjestelmässä sanomien siirtämisessä käytetään salattua https-protokollaa two-way SSL tavalla. Selvitettävä oma tietoliikenneketju kokonaisuudessaan Sopimuksissa pitää ottaa huomioon tietoturvan osalta yhteyksien Kelaan lisäksi esim. sopimukset verkko-operaattoreiden kanssa (työasemilta palvelimelle, jos fyysisesti eri verkossa), sopimukset palvelimelta välityspisteelle. Käyttöönoton käsikirjassa ( Tietoturva ja auditointi: Malli j1 - Tietoliikenneyhteyksien laatutiedot Tietoturva ja auditointi: Malli j2 - Tietoliikenneyhteyksien laatumääreet, liite 23

24 Auditointivaatimus 10: esimerkki Olemme yhteistyössä alihankkijoittemme kanssa tarkastaneet, että sopimuksissa tietoliikenneyhteyksistä on huomioitu tietoturvapolitiikan ja sähköisen lääkemääräyksen vaatimusdokumentin asettamat vaatimukset. 24

25 Auditointivaatimus 11: Salaukseen käytettävät avaimet pysyvät vain haluttujen tahojen käytössä VAATIMUS: Organisaation järjestelmien tulee tukea hyvien käytäntöjen mukaista salausavainten ja sertifikaattien hallintaa, jonka tulee kattaa a) Avainten/sertifikaattien luonti (tai siirto järjestelmään) b) Avainten/sertifikaattien säilytys c) Avainten/sertifikaattien käyttö d) Avainten/sertifikaattien tuhoaminen/arkistointi/poisto. AUDITOINTI: Tarkastetaan toimintayksikön varmennepolitiikka. Salausavainten hallintaan liittyvä dokumentaatio, tarkastetaan että vaaditut hyvät käytännöt a-d toteutuvat Koskee pääasiassa VRK:lta haettavia palvelinvarmenteita. Tallennetaan yksityinen avain siten, että mahdollisen tietomurron sattuessa avain tai sen kopio ei joudu sivullisten käsiin. Palvelinvarmenteetkin vanhenevat, joten erityistä huomiota on kiinnitettävä siihen, että niiden uusiminen on annettu jollekin tehtäväksi ja merkattu huolella kalenteriin! 25

26 Auditointivaatimus 11: esimerkki Olemme yhteistyössä alihankkijoittemme kanssa tarkastaneet, että toimintayksikön varmennepolitiikka täyttää sähköisen lääkemääräyksen vaatimusdokumentin asettamat vaatimukset. 26

27 Auditointivaatimus 12: Käyttövaltuushallinta (Käyttäjän sähköisiin lääkemääräyksiin ja muuhun potilastietojen käsittelyyn liittyvän oikeuden asettaminen sekä oikeuksien ja rajoituksien tarkistaminen) VAATIMUS: Terveydenhuollon tietojärjestelmän tulee hallinnoida käyttäjiensä oikeuksia käyttää sähköiseen lääkemääräykseen, valtakunnalliseen potilastiedon arkistoon ja muuhun potilastietojen käsittelyyn liittyviä toimintoja ja reseptikeskuksen tietoja, tai vaatimukset tulee toteuttaa ulkoisen järjestelmän, esimerkiksi käyttöoikeuksien hallintajärjestelmän IAM:n avulla. Käyttöoikeuksista ja niihin tehdyistä muutoksista tulee pitää kirjaa/lokia. AUDITOINTI: Tarkastetaan, että on olemassa sähköinen tai muu ajantasainen kirjanpito, josta voidaan todentaa haetut, hyväksytyt, implementoidut, poistetut jne. käyttöoikeudet Reseptikeskus hallinnoi osaltaan reseptikeskuksen käyttäjätietoja - Terveydenhuollon varmennekortteihin nojautuen. Tunnusten luonti on usein kunnossa, haastavampia ovat tunnusten oikeuksien muutokset ja poistot, sekä tilapäiset työntekijät. Käyttöönoton käsikirjassa ( Tietoturva ja auditointi: Malli g Käyttäjärekisteri 27

28 Auditointivaatimus 12: esimerkki Olemme yhteistyössä alihankkijoittemme kanssa tarkastaneet, että yrityksestämme on olemassa sähköinen tai muu ajantasainen kirjanpito, josta voidaan todentaa haetut, hyväksytyt, implementoidut, poistetut jne. käyttöoikeudet. Aineistosta tulostetaan vuosiraportti, joka säilytetään muun vuotuisen raporttiaineiston yhteydessä lukollisessa kaapissa. 28

29 Auditointivaatimus 13: Käyttöoikeuksien jako ja hallinta VAATIMUS: Terveydenhuollon toimintayksikön on omalta osaltaan seurattava ja valvottava, että potilastietojärjestelmässä ja potilastiedon arkistossa sekä reseptikeskuksessa olevia tietoja voivat katsella ja käsitellä vain siihen oikeutetut henkilöt. Järjestelmät estävät ei-sallitun käytön silloin, kun se on teknisesti mahdollista, ja organisaation ohjeet ja toimintatavat ohjaavat oikeaan toimintaan ja käsittelyyn. Tietojärjestelmäasiantuntijoilla ei ole oikeutta KanTapalveluissa olevien tietojen käsittelyyn (esim. luovutushaku ja asiakirjan hakeminen omaan käyttöön). Käyttöoikeuksien myöntäminen ja käyttöoikeuksienhallintaprosessien tulee perustua roolipohjaisiin käyttöoikeuksiin. Poikkeamat roolikohtaisista oikeuksista tulee asianmukaisesti hyväksyä ja dokumentoida. AUDITOINTI: Tarkastetaan käyttöoikeuksienhallintaprosessi / menetelmät: Mihin ja miten haetut, myönnetyt ja olemassa olevat käyttöoikeudet dokumentoidaan? Mistä käyttöoikeuksien oikeellisuus on varmistettavissa? Tarkastetaan organisaation toimintaohjeet potilastietojen ja reseptikeskuksen tietojen käsittelyn osalta sekä todennetaan seuranta ja valvonta, esim. valvontasuunnitelman olemassaolon toteaminen. Tarkastetaan käyttöoikeuksien hallinnan määrittelyt ja kuvaus. Tarkastetaan, että henkilöt/roolit, jotka saavat hyväksyä käyttöoikeuksia, on määritetty. Käyttöönoton käsikirjassa ( Tietoturva ja auditointi: Malli h - Käyttöoikeuksien myöntötaulukko 29

30 Auditointivaatimus 13: esimerkki Olemme yhteistyössä alihankkijoittemme kanssa tarkastaneet yrityksemme käyttöoikeuksien hallintaprosessin ja se täyttää sähköisen lääkemääräyksen vaatimusdokumentin asettamat vaatimukset. Käyttöoikeuksien hallintaprosessi on kuvattuna tietoturvapolitiikassa. 30

31 Auditointivaatimus 14: Vastuiden määrittely VAATIMUS: Kaikkien osapuolien (terveydenhuollon toimintayksiköt, apteekit, itsenäiset ammatinharjoittajat, ohjelmistoyritykset ja tietoliikenneoperaattorit) vastuut tulee olla selkeästi määritelty toiminnallisuuden, tietoturvallisuuden ja yhteistoiminnallisuuden osalta. Tällä voidaan tarkoittaa esim. olemassa olevien kolmikantasopimusten (th-organisaatio/ teleoperaattori/järjestelmätoimittaja) tapaisia vastuiden määrittelyjä. Tietoturvallisuuden osalta vastuut määritellään osapuolten välisissä toimeksianto- tai muissa sopimuksissa tai niiden liitteissä. Huom.! Kaikkien mainittujen osapuolten välillä ei välttämättä ole sopimussuhdetta. Tällöin vastuut pitää olla selvillä osapuolten tarjoamien palveluiden palvelukuvausten tai muiden vastaavien menettelyjen kautta. Selkeät tietoturvavastuut tulee ulottaa koskemaan myös alihankkijoita ja muita mahdollisia sopimuskumppaneita. AUDITOINTI: Tarkastetaan osapuolten välisistä sopimuksista että vastuut toiminnallisuuden, tietoturvallisuuden ja yhteistoiminnallisuuden osalta on selkeästi määritetty sopimuksiin. Tarkastetaan eri osapuolten palvelukuvaukset ko. toimintojen osalta Tämä on selkeintä dokumentoida yhdellä tai useammalla kuvalla, jotka kirjoitetaan auki ja jota voidaan hyödyntää osapuolien yhteisissä palavereissa Tarkistetaan sopimukset ja palvelukuvaukset Käyttöönoton käsikirjassa ( Tietoturva ja auditointi: Malli k - Ostopalveluihin liittyvät roolit ja vastuut 31

32 Auditointivaatimus 14: esimerkki Olemme käyneet läpi sähköiseen lääkemääräykseen liittyvät vastuut ja ne on kuvattuna kirjallisesti sopimuksissamme. Vastuista olemme laatineet oheisen kuvan, johon keskeiset vastuut on kirjattu: Liittyvä organisaatio Perus-IT toimittaja Toimipiste 1 Työasema Tietoliikennetoimittaja PTJ-toimittaja Valvira rooli- ja attribuuttitietopalvelu Työasema Toimintatavat henkilöt Toimipiste 2 Työasema Työasema Yritysverkko Potilastietojärjestelmä Välitys- ja allekirjoituspalvelut Reseptikeskuksen palvelut Kela mm. Toimintamallien, tietoturvan ym. Kouluttaminen ja ohjeistaminen Tietosuojan seuranta ja valvonta mm. Työasemien tietoturvasta huolehtiminen, Sisäverkon ylläpito mm. Salatun verkkoyhteyden toteutus liittyjän ja PTJ-toimittajan välillä mm. Palvelinten tietoturva, varmistukset Sanomanvälityksen tietoturva ja varmistukset Kansalliset toimijat vastaavat omasta toiminnastaan antamiensa kuvausten mukaisesti 32

33 Auditointivaatimus 15: Muutostenhallintaprosessi VAATIMUS: Järjestelmille tulee olla määrämuotoinen muutostenhallintaprosessi, joka kattaa versio- ja korjauspäivitykset sekä myös pienemmät toiminnalliset ja muuta vastaavat muutokset. Muutostenhallintaprosessin tulee sisältää ainakin: testauskäytännöt hyväksymiskäytännöt muutosten dokumentoinnin Toimenpiteet muutosta edeltäneeseen tilaan palaamiseksi, mikäli muutos ei toimi odotetulla tavalla. AUDITOINTI: Tarkastetaan kyseistä järjestelmää/ järjestelmiä koskeva muutostenhallintaprosessi. Tarkastetaan, että tehdyt muutokset on suunniteltu, hyväksytty, testattu ja dokumentoitu. Tämä tarkentuu kun KanTa-palveluihin liittyvät ohjeet valmistuvat. Käytetään auditoitua potilastietojärjestelmää, joten järjestelmätoimittaja on muutoksenhallinnan osin jo toteuttanut. Organisaation vastuulle jää mm. vastaanottotestaus, hyväksymiskäytännöt, versionvaihtoon liittyvät käytänteet sekä toipumissuunnitelma. Jos organisaatiolla on käytännöt, joilla hoidetaan versionvaihdot jne., niin nyt voisi olla hyvä hetki kirjata ne auki. Sosiaali- ja terveydenhuollon tietojärjestelmien tietoturvan ja tietosuojan hallinnan periaatteet ja hyvät käytännöt (STAKES: RAPORTTEJA 5/2005) kohdat A6.2 ja A8.4 ( sekä vastaavat tarkastuslistat. 33

34 Auditointivaatimus 15: esimerkki Potilastietojärjestelmän toimittajalla on valmis muutostenhallintaprosessi. Lisäksi IT-tukemme on kuvannut työasemien ja lähiverkon muutosprosessin. Muutostenhallinta kokonaisuudessaan on koostettu yhteen dokumenttiin (Liite 6). 34

35 Auditointivaatimus 16: Tietoturvapoikkeamien havainnointi ja tietojärjestelmien käytön seuranta VAATIMUS: Organisaatiolla on oltava olemassa toimiva prosessi ja toimintatavat seuraaviin tietoturvallisuuden kannalta keskeisiin osa-alueisiin: Tietoturvapoikkeamien havainnointi ja eskalointi (incident management). Tietojärjestelmien käytön seuranta (lokienanalysointiproseduurit). Erityisesti erityissuojattavien tietojen katselua sekä erityiseen syyhyn (teknistä varmistusta hoitosuhteesta ei ole) perustuvaa potilastietojen katselua seurataan ja valvotaan. AUDITOINTI: Tarkastetaan, että vaaditut prosessit ja toimintatavat on olemassa (dokumentoidusti), ne ovat henkilöstön tiedossa ja niiden mukaan toimitaan. Tarkastetaan, että organisaatiolla on lokivalvontasuunnitlema ja että sitä noudatetaan, ja että seuranta on säännönmukaista ja tulokset dokumentoidaan. Vaateessa on kaksi erityyppistä, mutta toisiinsa liittyvää asiaa. Millaiset ovat prosessit tietoturvapoikkeamien havainnointiin ja millaiset prosessit ovat tietosuojan valvontaan. Käyttöönoton käsikirjassa ( Tietoturva ja auditointi: Reseptikeskuksen tietojen käsittelyn seuranta ja valvonta Tietoturva ja auditointi: Malli c - Kirjanpitotaulukko lokien tarkastuksesta Verkkokoulutuksen tietoturva- ja tietosuojaosiot 35

36 Auditointivaatimus 16: esimerkki Olemme laatineet seuranta- ja valvontasuunnitelman (Liite 4). Suunnitelma on laadittu Kelan ohjeen perusteella: Reseptikeskuksen tietojen käsittelyn seuranta ja valvonta terveydenhuollossa ja apteekissa. Suunnitelma löytyy Intranetistä ja vastaanottotiskien ohje-kansioista. 36

37 Auditointivaatimus 17: Virhetilanteiden hallinta VAATIMUS: Virhe- ja poikkeustilanteiden varalta tulee olla dokumentoitu ja testattu toimintasuunnitelma (toipumissuunnitelma). Organisaatiolla (ja Kelalla) tulee olla yhteisesti sovittu ja dokumentoitu toimintatapa, miten erilaisista poikkeustilanteista selvitään. [Tarkennus: Apteekkien tapauksessa KELAa koskeva vaatimus ei sovellu] AUDITOINTI: Tarkastetaan toipumissuunnitelmien ja häiriötilanneohjeiden olemassaolo. Tarkastetaan, miten järjestelmien toiminnallisuutta valvotaan ja miten poikkeustilanteet ja virhetilanteet havaitaan, ja miten niistä tiedotetaan. Tarkastetaan, että organisaatiot (ja Kela) ovat yhdessä sopineet miten poikkeustilanteista selvitään. Häiriötilanneohje Kanta.fi-sivuilla: Käyttöönoton käsikirjassa ( Tietoturva ja auditointi: Malli d - Käyttökatko-ohje organisaatiolle Sovittava järjestelmätoimittajan(-jien) kanssa, miten PTJ:n toimintaa seurataan, miten virheet määritellään ja miten niiden kanssa toimitaan Käyttäjien ohjeistaminen virhetilanteita varten: Toimintaprosessin kuvaus ja tukipalveluiden yhteystiedot (erityisesti oma lähituki: onko järjestelmän pääkäyttäjä, PTJ:n toimittajan helpdesk vai joku muu) 37

38 Auditointivaatimus 17: esimerkki Olemme laatineet yhdessä potilastietojärjestelmän toimittajan ja IT-tuen kanssa toipumissuunnitelman ja häiriötilanneohjeen (Liite 7). Häiriötilanteissa toimintaprosessi on: 1) Yhteydenotto potilastietojärjestelmän pääkäyttäjään 2) Pääkäyttäjä ottaa yhteyttä tarvittaessa toimittajan helpdeskiin Nämä asiat käydään läpi sisäisissä koulutuksissa. Suunnitelma ja ohje löytyvät Intranetistä ja vastaanottotiskien ohjekansioista. 38

39 Auditointivaatimus 18: Lokitietojen muuttumattomuus VAATIMUS: Lokitietojen luomisen ja käsittelyn prosessin tulee taata, että tarpeelliset lokit sekä syntyvät että pysyvät muuttumattomina ja todistusvoimaisina. Esim. Vahti 3/2009 AUDITOINTI: Tarkastetaan miten järjestelmän lokiympäristö on toteutettu, esim. erillisellä lokipalvelimella. Tarkastetaan miten lokitiedot on suojattu käyttöoikeuksin ja muuten. Varmistetaan, että ylläpitäjät ja muut voimakkaita oikeuksia omaavat tahot eivät voi poistaa tai muokata lokeja Tämä on kohta, joka on käytännössä järjestelmätoimittajan vastuulla. Jos järjestelmä on auditoitu, niin tämän pitäisi olla kunnossa myös välittäjän auditoinnissa. Käydään järjestelmätoimittajan(-jien) kanssa läpi: mitä lokitietoja kirjoitetaan, jotta kansalliset vaatimukset täytetään miten niiden muuttaminen/poistaminen estetään miten ne tallennetaan 39

40 Auditointivaatimus 18: esimerkki Olemme yhteistyössä toimittajamme kanssa tarkastaneet, että tarpeelliset lokit sekä syntyvät että pysyvät muuttumattomina ja todistusvoimaisina. Toimittaja on kuvannut mitä lokitietoja kirjoitetaan, jotta kansalliset vaatimukset täytetään, miten niiden muuttaminen/poistaminen estetään ja miten ne tallennetaan. 40

41 Auditointivaatimus 19: Käyttäjätunnusten yksilöllisyys VAATIMUS: Järjestelmissä ei saa olla yhteiskäyttöisiä tunnuksia potilaskertomuksen merkintöjen tekemiseen, katseluun tai sähköiseen reseptiin liittyvien toiminnallisuuksien osalta. Vaatimus koskee myös ylläpito- ja muista vastaavia voimakkaita käyttöoikeuksia. AUDITOINTI: Tarkastetaan järjestelmän käyttäjätunnukset että käytössä on vain yksilöllisiä tunnuksia. Myös ohjelmistotoimittajan ja tukipalveluiden mahdollisesti käyttämät yhteistunnukset pitää muuttaa yksilöllisiksi (myös ylläpitäjätunnukset pitäisi olla yksilöllisiä. Tässä tosin on noudatettava malttia, ettei saada aikaan enemmän ongelmia kuin hyötyä). Toisaalta ohjelmistoissa lienee ominaisuus, joka päästää sähköisen lääkemääräyksen sovellukseen vain toimikortilla tunnistautuneen käyttäjän. Tässä yhteydessä voisi olla syytä pohtia myös th-toimija kortin käyttöä toimittajan etäyhteyksien tunnistamiseen. 41

42 Auditointivaatimus 19: esimerkki Olemme yhteistyössä toimittajamme kanssa tarkastaneet, että järjestelmässä ei ole yhteiskäyttöisiä tunnuksia potilaskertomuksen merkintöjen tekemiseen, katseluun tai sähköiseen reseptiin liittyvien toiminnallisuuksien osalta. 42

43 Auditointivaatimus 20: Verkkoyhteyden suojaus VAATIMUS: Liittyvän organisaation järjestelmien tulee olla palomuurilla suojatut. Kyseeseen voi tulla joko tilallinen palomuuri tai erilliset sovelluspalomuurit. Mikäli organisaatiosta on useita yhteyksiä reseptikeskukseen / arkistoon, riittää kun ne ovat saman palomuurin takana AUDITOINTI: Tarkastetaan ajantasainen verkkodiagrammi, johon on merkattu järjestelmät ja miten ne on sijoitettu sisäverkkoon. Liittyvien järjestelmien tulee olla yhteisellä palomuurilla tai palomuureilla suojatut Verkkodiagrammi ajan tasalla tai joku muu normaalitoimintaa hyödyntävä menetelmä. Ajantasainen verkkodiagrammi helpottaa normaalia arkipäiväistä ylläpitoa, mutta se helpottaa myös auditointia. Kun on olemassa ajantasainen verkkokaavio, niin salaukseen tai tietoliikenteen kahdentamiseen liittyvät tarpeet on helpompi selvittää. Jos auditointivaatimus 14:n yhteydessä on piirretty kuva vastuista, niin sitä voidaan hyödyntää myös tässä yhteydessä 43

44 Auditointivaatimus 20: esimerkki Olemme yhteistyössä IT-tuen ja toimittajan kanssa tarkastaneet, että verkkoyhteytemme ovat asianmukaisesti suojattuja. Katso kuva (Liite 5). 44

45 Auditointivaatimus 21: Hallintayhteydet järjestelmään VAATIMUS: Mikäli järjestelmään ylläpidollisista tai muista syistä sallitaan etäyhteyksiä, yhteydet järjestelmään tulee olla toteutettu turvallisesti. Lisäksi etäyhteyksien käyttäjät tulee tunnistaa käyttämällä luotettavaa vahvaa tunnistautumismenetelmää. AUDITOINTI: Selvitetään miten mahdolliset etäyhteydet järjestelmään on toteutettu Järjestelmän etäkäyttöä varten on oltava riittävän turvalliset tietoliikenneratkaisut (esim. vpn) ja tunnistetaan käyttäjät vahvasti (esim. toimikortilla) Paikkaan sidottu käyttö on helpompi valvoa, mutta työ muuttuu entistä enemmän liikkuvaksi 45

46 Auditointivaatimus 21: esimerkki Olemme yhteistyössä IT-tuen ja toimittajan kanssa tarkastaneet, että etäyhteydet järjestelmään on toteutettu turvallisesti ja etäyhteyksien käyttäjät tunnistetaan käyttämällä luotettavaa vahvaa tunnistautumismenetelmää. 46

47 Auditointivaatimus 22: Järjestelmän ylläpito VAATIMUS: Järjestelmissä ei saa olla ylimääräisiä palveluita eikä sovelluksia. Järjestelmissä ei saa olla aktiivisia oletustunnuksia ja muita oletuksena tulevia tietoturvallisuuden kannalta huonoja asetuksia. Palvelimet, joilla järjestelmät toimivat, tulee olla suojattu haittaohjelmilta, ja haittaohjelmien käytössä olevan torjuntaohjelman tulee olla automaattisesti päivittyvä (mikäli käytössä olevassa ympäristössä torjuntaohjelmia on). Palvelimien tietoturvapäivitysten asentamiseen tulee olla säännöllinen prosessi, jonka mukaan päivitysten kriittisyys ja tarve arvioidaan sekä päivitykset hyväksymistestataan erillisessä ympäristössä ennen tuotantoympäristöön asentamista. Järjestelmien ja sovellusten tulee olla suojattuja tyypillisimmiltä tietoturvapuutteilta ja www-sovellusten haavoittuvuuksilta (esim. OWASP top 10).. AUDITOINTI: Tarkastetaan, miten järjestelmät määritellään ja testataan ennen käyttöönottoa. Jos mahdollista, skannataan palvelut / tarkastetaan alustan konfigurointiasetukset. Tähän kiinnitettävä erityistä huomiota, jos palvelimia ylläpidetään itse Järjestelmän koventaminen : Tutkitaan ja tukitaan kaikki tiet, joista voisi päästä asiattomasti käsiksi salaamattomaan potilastietoon tai aiheuttaa ongelmia sen saatavuudelle tai eheydelle 47

48 Auditointivaatimus 22: esimerkki Olemme yhteistyössä IT-tuen ja toimittajan kanssa tarkastaneet, että järjestelmän ylläpidossa on noudatettu KanTa-sivuston antamia ohjeita ylläpitotoimien ja tietoturvan suhteen. 48

49 Auditointivaatimus 23: Tunnistautuminen järjestelmiin VAATIMUS: Järjestelmiin tulee sallia kirjautuminen sähköiseen lääkemääräykseen ja valtakunnalliseen potilastiedon arkistoon liittyviin toiminnallisuuksiin ainoastaan vahvaa tunnistusmekanismia käyttäen tai poikkeustapauksessa vahvaa salasanaa käyttäen. Salasanalla tunnistautuessa voi käyttää ainoastaan organisaation potilastietojärjestelmän sisältämiä tietoja. AUDITOINTI: Tarkastetaan autentikointimekanismit; joko vahva tunnistautuminen (varmennekortti) tai vahva salasana. Salasanan käytön perustelut tarkastetaan. Tarkastetaan, että tuotantoympäristössä edellytetään vahvaa salasanaa. Kun potilastietojärjestelmät ovat päässeet auditoinnista läpi, täyttyy tämä kohta myös ko. auditoituja järjestelmiä hyödyntävällä välittäjällä. Sähköisen lääkemääräyksen osioihin ja Reseptikeskukseen ei pääse ilman toimikorttia. On huomattava, että hallintavälineiden tunnistautumisessa on käytössä vahvat salasanat (tai jokin muu vahva tunnistusmekanismi) siis ne järjestelmän osat, joita ei käytä suuri joukko käyttäjiä, vaan hyvin rajattu (ylläpitäjien) joukko. Käyttöönoton käsikirjassa ( Tietoturva ja auditointi: Malli i - Ohje toimikortin käytöstä 49

50 Auditointivaatimus 23: esimerkki Olemme yhteistyössä IT-tuen ja toimittajan kanssa tarkastaneet, että järjestelmä sallii kirjautumisen sähköiseen lääkemääräykseen ja valtakunnalliseen potilastiedon arkistoon liittyviin toiminnallisuuksiin ainoastaan vahvaa tunnistusmekanismia käyttäen tai poikkeustapauksessa vahvaa salasanaa käyttäen. Salasanalla tunnistautuessa voi käyttää ainoastaan organisaation potilastietojärjestelmän sisältämiä tietoja. 50

51 Auditointivaatimus 24: Istunnon katkaisu VAATIMUS: Kertomusjärjestelmän käyttöliittymä tai työasema on lukittava, kun käyttäjä ei käytä sitä aktiivisesti 30 minuutin kuluessa. 30 minuutin jälkeen pitää antaa PIN uudelleen. AUDITOINTI: Tarkistettava, että toimintayksikössä on käytössä joko kertomusjärjestelmän käyttöliittymän lukitus tai työasemakohtainen lukitus. Kts. myös Auditointivaatimukset potilastietojärjestelmille kohta 22 Vahti-ohjeistuksiin kannattaa myös tutustua: _ja_maaraykset/index.jsp 51

52 Auditointivaatimus 24: esimerkki Työasemamme lukittuvat, kun käyttäjä ei käytä sitä aktiivisesti 30 minuutin kuluessa. Poikkeuksena ovat leikkaussalin järjestelmät, jotka lukittuvat 120 minuutin kuluessa. 52

53 Auditointivaatimus 25: Potilaan informointi VAATIMUS: Terveydenhuollon toimintayksikön tai lääkkeen määrääjän on informoitava potilasta sähköisestä lääkemääräyksestä ja siihen liittyvistä potilaan oikeuksista ennen lääkemääräyksen laatimista. Potilasta tulee informoida valtakunnallisesta arkistosta ja siihen liittyvistä suostumuksista ja kielloista. AUDITOINTI: Informointikäytännöt on määritelty ja käyttäjien tiedossa. Laki Asiakastietojen sähköisestä käsittelystä 159/2007 ( muutettu ): Informoinnin yleiset toimintamallit on kuvattu Sähköisen lääkemääräyksen ja Potilastiedon arkiston toimintamalleissa ja koulutusmateriaaleissa, kuten verkkokouluissa Tämä lienee luontevinta on hoitaa ajanvarauksen ja tai ilmoittautumisen yhteydessä 53

54 Auditointivaatimus 25: esimerkki Olemme laatineet henkilökunnallemme tarkoitetut ohjeet potilaan informoinnista. Ensisijaisesti informointi pyritään tekemään ilmoittautumisen yhteydessä. Informointi käydään läpi koulutuksessa. Ohjeet löytyvät Intranetistä ja vastaanottotiskien ohje-kansioista. 54

55 Auditointivaatimus 26: Sosiaalihuollossa syntyvien tietojen Kantaan tallentamisen estäminen VAATIMUS: Sosiaalihuollossa syntyviä ja sosiaalihuollon rekistereihin kuuluvia potilastietoja ei toistaiseksi tallenneta Kantaan. Toimintayksikön on varmistettava, että ko. tiedot erotetaan potilastietojärjestelmässä siten, että tiedot eivät tallennu Kantaan. AUDITOINTI: Tarkistettava, että sosiaalihuollossa muodostuvat potilastiedot on erotettu potilastietojärjestelmässä siten, että ne eivät tallennu Kantaan. Koskee potilaskertomusta, ei sähköistä lääkemääräystä eli sosiaalihuollon yksiköt voivat liittyä sähköisen lääkemääräyksen käyttäjäksi THL: ja Kelan laatiman aikataulun mukaisesti. THL tarkentaa ohjeita sosiaalihuollon rekistereihin kuuluvien potilastietojen käsittelystä. Ohjeita ja kannanottoja on myös Tieto-suojavaltuutetun sivuilla ja 55

56 Auditointivaatimus 26: esimerkki Olemme tarkistaneet, että tämä auditointivaatimus ei ole relevantti tällä hetkellä yrityksellemme. 56

57