KanTa. Kelan KanTa-palvelujen tietoturvapolitiikka. v. 1.1

Transkriptio

1 /12 KanTa Kelan KanTa-palvelujen tietoturvapolitiikka v. 1.1

2 /12 Sisällys 1 Johdanto Tietoturvallisuusperiaatteet Vastuut Menettelyt tietoturvallisuuden ja tietosuojan toteuttamisessa Riskienhallinta Lainsäädännön vaatimukset Käsitteiden määrittelyä Tietoturvallisuuden osa-alueet KanTa-palvelujen erityispiirteitä eresepti earkisto Omien tietojen katselu KanTa.fi Liitteet Vastuut Suojattavat kohteet ja muita määrittelyitä Tietosuojapolitiikka Arkistopolitiikka Riskienhallintasuunnitelma Seuranta- ja valvontasuunnitelma Jatkuvuussuunnitelma Häiriötilanteiden tiedotussuunnitelma...12

3 /12 Kelan KanTa-tietoturvapolitiikka Tässä asiakirjassa kuvataan Kelan tuottamien KanTa-palvelujen tietoturvallisuuuspolitiikka. Kelan KanTa-palveluita ovat eresepti, earkisto, omien tietojen katselu ja Kanta.fi -verkkosivut. Tämä asiakirja on tietoturvallisuuden toteuttamisen ja siitä annettavien ohjeiden perusta. Se koskee Kelassa kaikkia Kan- Ta-palvelujen tuottamiseen osallistuvia yksiköitä ja toimihenkilöitä. Pääjohtaja ja tietohallinnosta vastaava johtaja ovat hyväksyneet periaatteet Keskitetyt KanTa-palvelut ja paikalliset potilastieto- ja apteekkijärjestelmät muodostavat kokonaisuuden, johon liittyvien järjestelmien ja toimijoiden tulee voida luottaa toisiinsa. Paikallisilla toimijoilla on omat tietoturvapolitiikkansa. KanTa-palveluihin liittyminen ja niiden käyttäminen edellyttää lainsäädännössä säädettyjen edellytysten ja kansallisten auditointivaatimusten täyttämistä. 1 Johdanto Tietoturvallisuus on tavoitetila, jossa tiedot, järjestelmät ja palvelut saavat asianmukaista suojaa niiden luottamuksellisuuteen, eheyteen ja käytettävyyteen kohdistuvia uhkia ja vahinkoja vastaan. Uhkat ja vahingot voivat johtua laitteisto- ja ohjelmistovioista, luonnontapahtumista tai tahallisista, tuottamuksellisista ja tapaturmaisista inhimillisistä teoista. Hyvä tietoturvallisuus on laadukkaan ja luotettavan palvelun toteutumisen edellytys. Tietoturvallisuustyö varmistaa osaltaan toiminnan laatua. Toimintastrategiamme mukaan huolehdimme tietoturvallisuudesta kaikessa toiminnassamme. Tietoturvallisuus on osa Kelan tuottamien KanTa-palvelujen kokonaisturvallisuutta. Kelan tuottamia KanTa-palveluita ohjaavat useat lait, asetukset ja ohjeet. Niihin sisältyy tietosuojaa, hyvää tiedonhallintatapaa ja tietoturvallisuutta koskevia velvoitteita, joita noudatamme. Huolehdimme siitä, että lainsäädännön edellyttämä tietoturvallisuus toteutuu omassa toiminnassamme, tietojen luovuttamisessa ja palveluita hankittaessa. Potilas- ja reseptitiedot ovat arkaluontoisia terveystietoja. Asiakkaidemme tulee voida luottaa siihen, että heidän tietojaan käsitellään asiaankuuluvasti. Asiakkaita ovat sekä terveydenhuollon organisaatiot ja apteekit että kansalaiset. Asiakkaiden oikeusturvan toteutumisen, heille tarjottavien palvelujen ja tehtävissämme onnistumisen edellytyksenä on tietojärjestelmiemme suojaus, häiriötön toiminta sekä talletettujen tietojen luotettavuus, oikeellisuus, ristiriidattomuus, kattavuus, ajantasaisuus ja käyttökelpoisuus.

4 /12 2 Tietoturvallisuusperiaatteet o Noudatamme kaikessa toiminnassamme huolellisuutta ja varmistamme tietoturvallisuuden toteutumisen. o Varmistamme henkilötietojen turvallisuuden ja luottamuksellisuuden. Lakisääteisen informaatiomateriaalin avulla informoimme kansalaisia Kan- Ta-palvelujen toimintaperiaatteista, tietojen suojaamisesta ja potilaiden oikeuksista sekä siitä, mihin tarkoituksiin tietoja käytetään. o Reseptikeskuksen rekisterinpitäjänä toteutamme potilaan ja muiden tahojen tiedonsaantioikeudet eresepti-palvelun osalta. o Tietoturvallisuusmenettelymme vastaavat korkeaa kansallista ja kansainvälistä tasoa. o Tietoturvallisuuden korkean tason varmistamme panostamalla sen ylläpitoon ja jatkuvaan kehittämiseen. 3 Vastuut KanTa-palvelujen tuottamiseen ja käyttämiseen osallistuu useita toimijoita, joilla on tietoturvan toteutumiseen liittyviä tehtäviä ja vastuita. STM:n, THL:n ja Kelan vastuut Sähköisestä lääkemääräyksestä annetun lain (61/2007, ereseptilaki) ja sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain (159/2007, asiakastietolaki) mukaan KanTa-palvelujen järjestämisen ja toteuttamisen yleinen suunnittelu, ohjaus ja valvonta kuuluvat mukaan sosiaali- ja terveysministeriölle (STM). Väestörekisterikeskuksen hoitaman varmennepalvelun yleinen ohjaus ja valvonta kuuluvat kuitenkin STM:lle ja valtiovarainministeriölle yhteisesti. Terveyden- ja hyvinvoinnin laitoksen (THL) tehtävänä on määrittää valtakunnallisten tietojärjestelmäpalvelujen toteutuksen edellyttämät tietosisällöt, käsitemallit ja toimintaprosesseja tukevat tietorakenteet. THL vastaa sosiaali- ja terveydenhuollon asiakastiedon sähköisen käsittelyn, siihen liittyvän tietohallinnon, valtakunnallisten tietojärjestelmäpalvelujen ja yhteisten hallinnonalakohtaisten tietovarantojen käytön ja toteuttamisen suunnittelusta, ohjauksesta ja seurannasta. KanTa-palveluja koskevien periaatekysymysten käsittelyä sekä palvelujen ja tietojärjestelmien kehittämistä varten STM:n yhteydessä toimii sosiaali- ja terveydenhuollon sähköisen tietohallinnon neuvottelukunta. ereseptilain ja asiakastietolain mukaan Kela vastaa KanTa-palvelujen teknisenä toteuttajana ja ylläpitäjänä sekä Reseptikeskuksen ja potilaan tiedonhallintapalvelun rekisterinpitäjänä palvelujen yleisestä toiminnasta ja toiminnan lainmukaisuudesta. Kela vastaa potilastietojen, potilaan tiedonhallintapalvelun tietojen ja reseptitietojen käytettävyydestä, eheydestä, muuttumattomuudesta, suojaamisesta, säilyttämisestä ja hävittämisestä. KanTa-

5 /12 palvelun tulee teknisesti toimia niin, että tiedot ovat suojassa laittomalta tietojen luovutukselta. KanTa-palvelut on suojattava valtion viranomaisten tietoturvallisuutta koskevien velvoitteiden mukaisesti. Kelan on omalta osaltaan seurattava ja valvottava, että KanTa-palveluihin liittyvä tietosuoja toteutuu. Reseptikeskuksen ja potilaan tiedonhallintapalvelun rekisterinpitäjänä Kelaa velvoittavat lisäksi henkilötietolain, asiakastietolain ja ereseptilain sisältämät rekisterinpitäjän vastuita koskevat säännökset. Kelan lisäksi KanTa-palvelujen tuottamiseen osallistuvia kansallisia toimijoita ovat VRK, Sosiaali- ja terveysalan lupa- ja valvontavirasto (Valvira) ja THL. VRK vastaa varmennepalvelusta, Valvira rooli- ja attribuuttipalvelusta ja siihen liittyvistä koodistoista ja THL KanTa-palveluissa käytettävistä kansallisista koodistoista. Paikallisten toimijoiden vastuu KanTa-palvelujen käyttäjiä (asiakkaita) ovat terveydenhuollon toimintayksiköt ja apteekit. Asiakkaat vastaavat potilas- ja reseptitietojen käsittelyn tietoturvasta ja tietosuojasta sekä tietojen käsittelyn lainmukaisuudesta perusjärjestelmissä. Asiakkaat seuraavat ja valvovat omalta osaltaan tietojen käsittelyn lainmukaisuutta. Seuranta- ja valvontatehtävää varten asiakkailla tulee olla tietosuojavastaava. Asiakkaat vastaavat tietojen tietoturvallisesta siirrosta aina siihen saakka, kun tiedot on onnistuneesti tallennettu sähköiseen potilastiedon arkistoon tai Reseptikeskukseen. Asiakkaiden vastuulla on perusjärjestelmän käyttöoikeus- ja käyttäjähallinta. Asiakas vastaa sähköiseen potilastiedon arkistoon ja Reseptikeskukseen tallentamiensa tietojen sisällön oikeellisuudesta. Sähköisen potilastiedon arkiston osalta asiakas vastaa rekisterinpitäjänä potilastietojen ja lokitietojen sisällöstä ja virheettömyydestä sekä tietojen luovuttamisen ja muun käsittelyn lainmukaisuudesta sekä muista rekisterinpitäjälle kuuluvista henkilötietolain ja asiakastietolain mukaisista velvoitteista. Tietosuojavastaavat Paikallisilla toimijoilla ja samoin Kelassa tulee olla tietosuojavastaava. Tietosuojavastaavan tehtävänä on organisaation erityisasiantuntijana auttaa rekisterinpitäjää saavuttamaan hyvän henkilötietojen käsittelytavan ja mahdollisten erityislakien edellyttämä korkea tietosuojan taso, jonka avulla voidaan rakentaa ja säilyttää luottamus rekisteröidyn ja rekisterinpitäjän välille. Tietosuojavastaavan tehtävänä on antaa asiantuntija-apua sekä organisaa-

6 /12 tion henkilöstölle että ennen kaikkea johdolle, jolla on viimekätinen vastuu rekisterinpitäjänä henkilötietojen käsittelystä. Tätä rekisterinpitäjän toimintaa tukevaa tarkoitusta varten tietosuojavastaava: o osallistuu organisaation henkilötietojen käsittelyä koskevaan suunnittelutoimintaan, o osallistuu rekisterinpitäjän hyväksymiä tietosuoja- ja tietoturvaohjeita koskevaan valmisteluun ja ylläpitoon, o seuraa ja valvoo henkilötietojen käsittelyä ja niiden suojausmenetelmiä, o osallistuu rekisterinpitäjän henkilöstölle annettavan tietosuojakoulutuksen toteuttamiseen, o tukee henkilökuntaa ja rekisteröityjä tietosuoja-asioissa, o toimii yhdyssiteenä valvontaviranomaisiin, o raportoi organisaation johdolle tietosuojan ja tietoturvallisuuden tilasta ja kehittämistarpeista (sisäiset auditoinnit ja käytönvalvonta), o vastaa organisaation johdon osoittamista muista tietosuojaa tukevista tehtävistä. Kelan tuottamissa Kanta-palveluissa tietosuoja- ja tietoturvallisuusvastuita on erityisesti seuraavilla henkilöillä ja ryhmillä: o IT-osaston KanTa-palveluryhmä o Tietosuojavastaava o KanTa-palvelujen tietosuojaryhmä o Ylläpito- ja käyttöhenkilöstö Kelan sisäinen vastuunjako kuvataan yksityiskohtaisemmin liitteessä 1. 4 Menettelyt tietoturvallisuuden ja tietosuojan toteuttamisessa Ylläpito ja kehittäminen o Tietoturvallisuuden ylläpitoon ja kehittämiseen osallistuvat kaikki ne Kelan toimihenkilöt, joiden tehtävät liittyvät KanTa-palvelujen tuottamiseen. o Selvitämme ja analysoimme toimintaamme kohdistuvia tietoturvallisuusriskejä ja kehittämme toimintaamme tämän tietämyksen mukaan. o Seuraamme järjestelmällisesti tietoturvallisuuden kotimaista ja kansainvälistä kehitystä ja hyödynnämme alan uusinta tietoa toiminnassamme. o Yhteistyöllä varmistamme tietoturvallisuuden toteutumisen kaikissa toiminnoissa. Teemme yhteistyötä sekä laitoksen sisällä että eri yhteistyötahojen kanssa. o Poikkeustilanteiden varalle on olemassa sovitut menettelytavat.

7 /12 Tietoturvallisuuskoulutus o Toimihenkilöiden tietämystä ja osaamista tietoturvallisuudesta ylläpidetään kouluttamalla ja tiedottamalla. o Henkilötietojen käsittelystä on annettu toimihenkilöille laissa säädetyn mukaisesti kirjalliset ohjeet. Seuranta, valvonta ja raportointi o Seuraamme tietoturvallisuuden toteutumista järjestelmällisesti. Tietosuojavastaava ja tietosuojaryhmä raportoivat pääjohtajalle ja tietohallinnosta vastaavalle johtajalle. o Tietoturvarikkomukset ja -epäkohdat tulee ilmoittaa yksikön päällikölle ja tarvittaessa tietosuojavastaavalle ja tietoturvallisuuspäällikölle. o Jokainen toimihenkilö on velvollinen noudattamaan tietoturvallisuusperiaatteita sekä niihin liittyviä ohjeita. o Suoritamme tietojärjestelmien teknistä ja henkilötietojen käsittelyn valvontaa. o Terveydenhuollon organisaatiot ja apteekit raportoivat ereseptin osalta suorittamastaan valvonnasta Kelalle. o Sisäinen ja ulkoinen tarkastus o Kelan ulkopuolinen ohjaus ja valvonta (STM, Tietosuojavaltuutettu) 5 Riskienhallinta Riskienhallinnan tavoitteena on tunnistaa toimintaan vaikuttavat riskitekijät, arvioida riskit, suunnitella vastaamis- eli hallintatoimet ja varmistaa toiminnan riittävä laatu, jotta kulloinkin tarkasteltavalle toiminnalle, projektille tai prosessille asetetut tavoitteet voidaan kohtuullisen varmasti saavuttaa. Riskienhallintaan kuuluvat sekä riskianalyysi (riskien tunnistaminen, arviointi ja vastaaminen) että sisäisen valvonnan kokonaisuus. KanTa-palvelujen riskienhallinnassa käytetään Kelan yleisiä riskienhallintamenettelyitä. 6 Lainsäädännön vaatimukset Useat lait ja asetukset sisältävät Kelan tuottamia KanTa-palveluita koskevia tietoturvallisuusvelvoitteita. Tällaisia (myöhempine muutoksineen) ovat mm. laki sähköisestä lääkemääräyksestä (61/2007) ja sosiaali- ja terveysministeriön asetus sähköisestä lääkemääräyksestä (485/2008)

8 /12 laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) ja sosiaali- ja terveysministeriön asetus potilasasiakirjoista (298/2009) henkilötietolaki (523/1999) laki viranomaisten toiminnan julkisuudesta (621/1999) laki sähköisestä asioinnista viranomaistoiminnassa (13/2003) arkistolaki (831/1994) laki yksityisyyden suojasta työelämässä (759/2004) sähköisen viestinnän tietosuojalaki (516/2004) Lait velvoittavat huolehtimaan tietojen luottamuksellisuudesta, eheydestä ja käytettävyydestä. KanTa-palvelujen toteuttamisessa keskeisimmät säädökset ovat laki sähköisestä lääkemääräyksestä sekä laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä. Erityislakeina näiden lakien säännöksiä noudatetaan ensisijaisesti yllä mainittuihin yleislakeihin nähden. Hyvän tiedonhallintatavan tarkempi sisältö säännellään henkilötietojen käsittelyn osalta henkilötietolaissa. Hyvän tiedonhallintatavan muu sisältö määritellään laissa viranomaisten toiminnan julkisuudesta ja siihen liittyvässä viranomaisten toiminnan julkisuutta ja hyvää tiedonhallintatapaa koskevassa asetuksessa (1030/1999). Laki sähköisestä asioinnista viranomaistoiminnassa asettaa oikeudelliset vaatimukset sähköisten tiedonsiirtomenetelmien käyttämiselle ja säätää sähköisen viestin perille saattamiseen liittyvistä keskeisistä vastuukysymyksistä ja sähköistä asiointia koskevista tietoturvallisuusvaatimuksista. Laissa yksityisyyden suojasta työelämässä säädetään muun muassa työntekijöiden teknisestä valvonnasta, jota koskevat säännökset on otettava huomioon KanTa-palvelujen toteutuksessa. 7 Käsitteiden määrittelyä Tietoturvallisuudella tarkoitetaan tietojen, järjestelmien, palvelujen ja tietoliikenteen asianmukaista suojaamista sekä normaali että poikkeusoloissa hallinnollisilla, teknisillä ja muilla toimenpiteillä. Tietojen luottamuksellisuutta, eheyttä ja käytettävyyttä turvataan laitteisto- ja ohjelmistovikojen, luonnontapahtumien sekä tahallisten, tuottamuksellisten tai tapaturmaisten tekojen aiheuttamilta uhilta ja vahingoilta. Tietosuojalla tarkoitetaan henkilötietojen suojaamista valtuudettomalta tai henkilöä vahingoittavalta käytöltä. Tietojenkäsittelyllä tarkoitetaan tietojen keräämistä, tallettamista, järjestämistä, käyttöä, siirtämistä, luovuttamista, säilyttämistä, muuttamista, yhdistämistä, suojaamista, poistamista, tuhoamista sekä muita tietoihin kohdistuvia toimenpiteitä. Tietojenkäsittely voi olla automaattista tai manuaalista. Tiedolla tarkoite-

9 /12 taan kaikenlaisilla tallenteilla olevia tietoja (esim. paperitallenteet sekä elektroniset, optiset ja magneettiset tallenteet). Rekisterinpitäjällä tarkoitetaan yhtä tai useampaa henkilöä, yhteisöä, laitosta tai säätiötä, jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä tai jonka tehtäväksi rekisterinpito on lailla säädetty. Tietoturvallisuuden keskeisillä käsitteillä tarkoitetaan seuraavaa: Luottamuksellisuus; tiedot ja järjestelmät ovat vain niiden käyttöön oikeutettujen käytettävissä eikä sivullisille anneta mahdollisuutta muuttaa tai tuhota tietoja, eikä muutoin käsitellä tietoja, eikä niitä paljasteta tai muutoin saateta sivullisten käyttöön. Eheys; tiedot ja järjestelmät ovat luotettavia, oikeita ja ajantasaisia, eivätkä tiedot ole hallitsemattomasti muuttuneet tai muutettavissa laitteisto- tai ohjelmistovikojen, luonnontapahtumien tai inhimillisen toiminnan seurauksena. Käytettävyys; järjestelmien tiedot ja palvelut ovat niihin oikeutettujen käytettävissä haluttuna aikana ja vaaditulla tavalla. Muita tietoturvallisuuteen kuuluvia vaatimuksia ovat osapuolten todentaminen ja tapahtuman kiistämättömyys, jotka ovat erityisen tärkeitä silloin, kun järjestelmän käyttäjät tulee pystyä tunnistamaan esimerkiksi käytettäessä vuorovaikutteisia sähköisiä asiointipalveluja tai etätyötä tehtäessä. Todentaminen (autentikointi) tarkoittaa osapuolten (henkilö tai järjestelmä) luotettavaa tunnistamista. Kiistämättömyys tarkoittaa tapahtuneen todistamista jälkeenpäin, jolloin tavoitteena on juridinen sitovuus. Kiistämättömyys varmistaa sen, ettei toinen osapuoli voi kieltää toimintaansa jälkeenpäin. 7.1 Tietoturvallisuuden osa-alueet Tietoturvallisuus voidaan jakaa suunnittelun, toteutuksen ja valvonnan helpottamiseksi osa-alueisiin, jotka yleisimmin käytetyn jaottelun mukaan ovat: Hallinnollinen tietoturvallisuus Tietoturvan johtamiseen sekä toimintojen organisointiin liittyvät toimenpiteet. Henkilöstöturvallisuus Henkilöstöstä aiheutuvien ja henkilöstöön kohdistuvien riskien minimointi.

10 /12 Tietoaineistoturvallisuus Erilaisissa käsittely- ja tallennusmuodoissa olevien tietojen turvaaminen. Ohjelmistoturvallisuus Ohjelmistojen kuten käyttöjärjestelmien ja sovellusohjelmien turvallisuusominaisuuksien ja käyttömahdollisuuksien hallinta. Laitteistoturvallisuus Laitteistoihin liittyvät turvaominaisuudet ja laitteistojen käyttömahdollisuudet. Tietoliikenneturvallisuus Siirrettävien tietojen luottamuksellisuuden, eheyden ja käytettävyyden turvaaminen siirron aikana ja sen jälkeen. Käyttöturvallisuus Palvelujen ja järjestelmien laadukkaaseen ja turvalliseen käyttöön liittyvät asiat niiden käyttötapoihin vaikuttamalla. Fyysinen tietoturvallisuus Toiminta- ja tietojenkäsittely-ympäristöjen turvaaminen fyysisiltä uhilta ja vahingoilta. 8 KanTa-palvelujen erityispiirteitä 8.1 eresepti ereseptissä Kela on Reseptikeskuksen ja Reseptiarkiston rekisterinpitäjä. Rekisterinpitäjänä Kelan rooli muun muassa reseptitietojen käsittelyn lainmukaisuuden valvojana on earkistoa laajempi. Kela vastaa rekisterinpitäjänä tietojen luovuttamisen lainmukaisuudesta. Kelan on ylläpito- ja käyttöhenkilöstön valvonnan ohella riittävällä tavalla varmistettava tietojen lainmukainen käsittely myös terveydenhuollon organisaatioissa ja apteekeissa. Tässä tarkoituksessa Kela antaa ohjeistusta, valvoo tietojen käsittelyä terveydenhuollon organisaatioissa ja apteekeissa sekä edellyttää näiltä säännöllistä raportointia suoritetusta valvonnasta ja mahdollisesti havaituista väärinkäytöksistä. Vaikka Kela on ereseptissä rekisterinpitäjä, Reseptikeskukseen tallennettujen resepti- ja toimitustietojen oikeellisuudesta vastaa lääkkeen määrääjä ja lääkkeen toimittaja. Rekisterinpitäjälle kuuluu potilaiden henkilötietolain ja ereseptilain mukaisista tiedonsaantioikeuksista huolehtiminen. Kela laatii myös ereseptiä koskevan kirjallisen informaatiomateriaalin, joka jaetaan terveydenhuollossa potilaille.

11 / earkisto Terveydenhuollon organisaatiot ovat omien potilasrekisteriensä rekisterinpitäjiä myös KanTa-palveluissa. Rekisterinpitäjinä terveydenhuollon organisaatiot vastaavat muun muassa potilastietojen virheettömyydestä ja tietojen käsittelyn ja luovutuksen lainmukaisuudesta sekä tietojen käsittelyn lainmukaisuuden valvonnasta. Kelan vastuulla on KanTa-palvelujen tekninen toimivuus ja earkistoon tallennettujen tietojen suojaaminen. Kela on myös potilaan tiedonhallintapalvelun rekisterinpitäjä ja vastaa palveluun tallennettujen tietojen käytettävyydestä ja eheydestä, tietosisältöjen muuttumattomuudesta sekä tietojen säilyttämisestä ja hävittämisestä. Tiedon tallentaja vastaa kuitenkin tiedonhallintapalveluun tallennettujen tietojen oikeellisuudesta. Rekisterinpitäjälle kuuluu lisäksi potilaiden henkilötietolain ja asiakastietolain mukaisista tiedonsaantioikeuksista huolehtiminen. Kela laatii kuitenkin earkistoa koskevan kirjallisen informaatiomateriaalin, joka jaetaan terveydenhuollossa potilaille. 8.3 Omien tietojen katselu Omien tietojen katselu on kansalaisille suunnattu palvelu, jossa kansalaiset voivat katsella omia potilas- ja reseptitietojaan sekä niihin liittyviä lokitietoja. Omien tietojen katseluun tunnistaudutaan Tunnistus.fi -palvelun kautta joko kansalaisen pankkitunnuksilla tai kansalaisvarmenteen sisältävällä sähköisellä henkilökortilla. Tunnistamistapahtumasta syntyy lokimerkintä omien tietojen katselun tietokantapohjaiseen lokiin, jonne merkitään myös tunnistamishetki. Lisäksi jokaisesta suoritetusta hausta tulee lokimerkinnät Reseptikeskuksen ja sähköisen potilastiedon arkiston lokeihin. 8.4 KanTa.fi KanTa-verkkosivut käsittävät kaikille avoimet KanTa-internetsivut sekä KanTaekstranetsivut. KanTa-ekstranetsivut ovat KanTa-palveluihin liittyneille terveydenhuollon oganisaatioille ja apteekeille tarkoitettu palvelu. Tunnistautumisessa KanTaekstranetisvivuille käytetään Katso-tunnistusta.

12 /12 9 Liitteet 9.1 Vastuut 9.2 Suojattavat kohteet ja muita määrittelyitä 9.3 Tietosuojapolitiikka 9.4 Arkistopolitiikka 9.5 Riskienhallintasuunnitelma 9.6 Seuranta- ja valvontasuunnitelma 9.7 Jatkuvuussuunnitelma 9.8 Häiriötilanteiden tiedotussuunnitelma