Kanta- välittäjätahon määrittely löytyy ajantasaisena Tekniset liittymismallit -asiakirjasta, joka löytyy olevasta käsikirjasta.
|
|
- Riikka Kinnunen
- 8 vuotta sitten
- Katselukertoja:
Transkriptio
1 Tietoturvavaatimukset Kanta- välittäjäpalveluja tarjoavalle Kanta- välittäjän määritelmä: Kanta- välittäjätahon määrittely löytyy ajantasaisena Tekniset liittymismallit -asiakirjasta, joka löytyy olevasta käsikirjasta. Välittäjällä tarkoitetaan terveydenhuollon organisaation tai apteekin Kanta-liitynnän toteuttamisessa käyttämää palveluntarjoajaa, jolla on tässä roolissa mahdollisuus nähdä salaamattomia potilastietoja, esim. ylläpitotoimien yhteydessä. Valviran palvelinvarmenteella toteutettava SSL/TLSsalattu yhteys muodostetaan yleensä välittäjän ja Kanta-palvelujen välille. Välittäjäksi ei määritellä organisaatiota, joka toimii ainoastaan SSL/TLSsalatun tietoliikenteen reitittäjänä eikä voi nähdä salaamattomia potilastietoja alkaen välittäjätahot tekevät myös omavalvontasuunnitelman, jossa kuvataan mm. potilastietojen käsittelyyn, koulutuksiin, tietojen käytön seurantaan sekä järjestelmäympäristön ylläpitoon ja muutoksenhallintaan liittyviä asioita. Omavalvontasuunnitelma on väline, jonka avulla välityspalvelun tuottaja varmistaa organisaationsa ja henkilöstönsä osalta riittävän tietosuojan ja tietoturvan toteutumisen tason. Tämän asiakirjan mukaisten tietoturvavaatimusten toteutuminen välittäjän toiminnassa todennetaan ulkoisen tietoturvallisuuden arviointilaitoksen toimesta (Viestintäviraston hyväksymä arviointilaitos). Vaatimusten perustana toimivat aiemmat auditointivaatimukset välittäjätahoille, siltä osin kuin ne koskevat välittäjän järjestelmäympäristöä. Tietoturvavaatimukset Kanta- välittäjälle 1
2 # Kriteeri / kontrollitavoite Luottamuksellisuus ja eheys 1 Tiedonsiirron salaus ja tietoliikenteen luottamuksellisuus sekä eheys Kanta-palveluihin on turvattu Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen Kommentit Sivulliset eivät saa saada selville suojattuja tietoja (myös asiointi terveyspalveluissa on salassa pidettävä tieto) eivätkä tiedot saa muuttua tiedonsiirron aikana. Sähköisen lääkemääräyksen, potilasasiakirjojen ja niihin liittyvien luottamuksellisten tietojen siirtäminen kansallisiin palveluihin, niistä muualle, tai muussa palvelun antajien ja potilaiden välisessä tiedonvaihdossa on salattu (esim. SSL/TLS) ja sähköisesti allekirjoitettu. Tarkastetaan järjestelmäkuvaukset, kuvaukset salauksesta, allekirjoituksesta ja avainten/sertifikaattien käsittelystä järjestelmässä. Kansaneläkelaitos antaa tekniset ohjeet hyväksyttävästä SSL/TSLsalaustasosta. Organisaatioiden on sitouduttava noudatta ohjeita ja tekemään tarvittavat muutokset. Minimisalaustaso 9/2014 on TSL-menetelmässä v Viestit ja dokumentit voidaan välittää salaamattomana käytettäessä point-to-point VPN- yhteyksiä. Mikäli välittäjätaho joutuu purka SSLsalauksen, tulee välittäjätahon huolehtia muulla tavoin siitä, että tietojen luottamuksellisuus ei vaarannu (esim. tekninen muunnos, käyttäjäoikeuksien poisto muunnoksen tekevään järjestelmään, järjestelmän käytön lokitus ja lokien valvonta) Tietoturvavaatimukset Kanta- välittäjälle 2
3 # Kriteeri / kontrollitavoite Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen Kommentit Vahva tunnistaminen 2 Sähköisen viestinnän molemmat osapuolet tulee tunnistaa Yhteyden, osapuolten ja laitteiden tunnistaminen Valvonta ja lokitus 3 Lokitietojen muuttumattomuus Apteekit, palveluntuottajat ja käyttäjäorganisaatiot sekä niiden ko. palveluun liittyvät palvelimet tulee luotettavasti tunnistaa muodostettaessa yhteyttä Kanta-palveluun ennen sähköisen yhteyden aloittamista. Yhteyden osapuolten identiteetti varmennetaan ennen varsinaisen yhteyden muodostamista. Lokitietojen muuttumattomuus tulee varmistaa. Lisäohjeistus: Vahti 3/2009 Tarkastetaan, että sekä palvelin että asiakaspää tunnistetaan luotettavasti. Tarkastetaan sertifikaattien avainten bittimäärä ja salausalgoritmin toteutus. Tarkastetaan miten järjestelmän lokiympäristö on toteutettu. Kansaneläkelaitos antaa tekniset ohjeet hyväksyttävästä salaustasosta (sertifikaattien avainten bittimäärä ja salausalgoritmi) 4 Käyttöloki Välittäjänä käytettävä tietojärjestelmä ylläpitää käyttölokia, josta löytyy riittävän yksityiskohtaiset tiedot. Riittävillä lokitiedoilla tarkoitetaan lokia, joka sisältää vähintään tiedot siitä: kuka järjestelmään on ollut kirjautuneena ja mitä toimia hän on järjestelmässä tehnyt mitä tietoja kyseiselle käyttäjälle on näytetty (jos osa haetuista tiedoista suodatetaan järjestelmän toimesta) milloin järjestelmässä on mitäkin toimia tehty millaisia toimia, johon oikeudet eivät ole riittäneet, on yritetty tehdä 5 Lokien seurantaväline Tietojärjestelmässä on väline lokitietojen seuraamiseen. Lokit on pystyttävä hake saataville säännöllistä seurantaa ja valvontaa varten. Tarkastetaan järjestelmän lokiasetukset ja määritysmahdollisuudet ja käydään läpi otos lokitiedoista. Varmistetaan joko järjestelmän tuottamasta lokitiedosta tai dokumentaatiosta, että vaatimukset täyttyvät Tarkastetaan että järjestelmässä on väline lokitietojen seuraamiseen ja valvontaan. Tietoturvavaatimukset Kanta- välittäjälle 3
4 Kriteeri / kontrollitavoite Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen Kommentit 6 Valtionhallinnon tietoturvatasot Voimassa olevien valtionhallinnon tietoturvatasojen liitteen 2 vaatimukset tietoturvalle järjestelmien hallintaan tulee täyttyä korkean tason vaatimusten mukaisesti. 7 Verkkoyhteyden suojaus Liittyvän organisaation järjestelmien tulee olla palomuurilla suojatut. Kyseeseen voi tulla joko tilallinen palomuuri tai erilliset sovelluspalomuurit. 8 Hallintayhteydet järjestelmään Mikäli organisaatiosta on useita yhteyksiä reseptikeskukseen / arkistoon, riittää kun ne ovat saman palomuurin takana. Mikäli järjestelmään ylläpidollisista tai muista syistä sallitaan etäyhteyksiä, yhteydet järjestelmään tulee olla salattuja päästä päähän (ylläpitäjän koneelta ylläpidettävään järjestelmään asti) esim. VPNtunnelilla. Lisäksi etäyhteyksien käyttäjät tulee tunnistaa käyttämällä luotettavaa vahvaa tunnistautumismenetelmää (ei pelkästään salasanaa ja käyttäjätunnusta) Hallintayhteydet järjestelmään tulee joko salata vahvasti tai rakentaa käyttäen omaa suojattua verkkoa hallintayhteyksille. Vaatimus koskee myös sisäverkon yhteyksiä. Tarkastetaan, miten vaatimusten toteutuminen on varmistettu/todennettu Tarkastetaan ajantasainen verkkodiagrammi, johon on merkattu järjestelmät ja miten ne on sijoitettu sisäverkkoon. Liittyvien järjestelmien tulee olla yhteisellä palomuurilla tai palomuureilla suojattuja. Selvitetään miten mahdolliset etäyhteydet järjestelmään on toteutettu Tarkastetaan että hallintayhteydet on toteutettu salatulla yhteydellä, esim. VPN, SSH, SSL/TLS tai hallintayhteyksille on oma suojattu verkkonsa Siirretty vaatimus 38 järjestelmien vai organisaation Siirretty vaatimus 28 Siirretty vaatimus 29 Tietoturvavaatimukset Kanta- välittäjälle 4
5 Kriteeri / kontrollitavoite 9 Salaukseen käytettävät avaimet pysyvät vain haluttujen tahojen käytössä 10 Tunnistautuminen järjestelmiin Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen Kommentit Organisaation järjestelmien tulee tukea hyvien käytäntöjen mukaista salausavainten ja sertifikaattien hallintaa, jonka tulee kattaa a) Avainten/sertifikaattien luonti (tai siirto järjestelmään) b) Avainten/sertifikaattien säilytys c) Avainten/sertifikaattien käyttö d) Avainten/sertifikaattien tuhoaminen/arkistointi/poisto Järjestelmiin tulee sallia kirjautuminen ainoastaan vahvaa tunnistusmekanismia käyttäen tai vahvaa salasanaa käyttäen. 11 Salasanat Mikäli järjestelmän käyttäjillä on käytössä salasanat, tulee niiden määritysten olla erittäin vahvat ja vaihto säännöllistä. Vahvan salasanan parametrit: Minimipituus 8 merkkiä, vaaditaan kompleksista salasanaa (erikoismerkkejä, numeroita ja isoja/pieniä kirjaimia), salasanahistoria min. 12 edellistä salasanaa, salasanan maksimi-ikä 40pv, minimi-ikä 1pv, väärien kirjautumisyritysten maksimimäärä 5 yritystä, jonka jälkeen tunnus lukkiutuu eikä avaudu automaattisesti. Vanhenemisvaatimukset eivät koske teknisten tunnusten salasanoja. 12 Järjestelmän kovennus Järjestelmissä ei saa olla ylimääräisiä palveluita päällä eikä turhia avonaisia portteja Järjestelmissä ei saa olla aktiivisia oletustunnuksia ja muita oletuksena tulevia tietoturvallisuuden kannalta huonoja asetuksia. Organisaatiolla tulee olla olemassa määritetty laitekokoonpano, jonka mukaan järjestelmän tietoturva-asetukset tehdään. Tietoturvavaatimukset Kanta- välittäjälle 5 Salausavainten hallintaan liittyvä dokumentaatio, tarkastetaan että vaaditut hyvät käytännöt a-d toteutuvat Tarkastetaan autentikointimekanismit; joko Siirretty vaatimus 35 vahva tunnistautuminen (toimikortti) tai vahva salasana. Tarkastetaan salasanaparametrit järjestelmistä Siirretty vaatimus 36 Tarkastetaan, miten järjestelmät kovennetaan ja testataan ennen käyttöönottoa. Jos mahdollista, skannataan palvelut / tarkastetaan alustan konfigurointiasetukset. Tarkastetaan järjestelmän käyttäjätunnukset Yhdistetty aikaisemmat vaatimukset 30 ja 31
6 Kriteeri / kontrollitavoite Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen Kommentit 13 Haittaohjelmasuojaus palvelimilla Palvelimet, joilla järjestelmät toimivat, tulee olla suojattu haittaohjelmilta, ja haittaohjelmien käytössä olevan torjuntaohjelman tulee olla automaattisesti päivittyvä. Vaatimus koskee sellaisia järjestelmiä, jotka tyypillisesti ovat alttiita viruksille, ja joihin on (kaupallisesti) saatavilla virustarkastusohjelma. 14 Sovellusturvallisuus Järjestelmien ja sovellusten tulee olla suojattuja tyypillisimmiltä tietoturvapuutteilta ja wwwsovellusten haavoittuvuuksilta (esim. OWASP top 10). Järjestelmät tulee säännöllisesti tarkastaa jo kehitysvaiheessa sekä tuotantoonoton jälkeen haavoittuvuuksien varalta. 15 Y Verkkoliikenteen tietoliikenneprofiili Verkkoliikenteen normaali tietoliikenneprofiili (baseline) on tiedossa; on olemassa menettely, jolla normaalista tietoliikenneprofiilista eroava liikenne pyritään havaitse; Tarkastetaan että palvelimilla on käynnissä haittaohjelmien suojaus, joka pystyy tunnista virukset, vakoiluohjelmat ja muut haittaohjelmat ja että suojaus päivittyy säännöllisesti ja automaattisesti. Tarkastetaan, miten järjestelmien kehityksessä, testauksessa ja ylläpidossa huomioidaan tietoturvallisuus. Tarkastetaan, tehdäänkö järjestelmille ennen tuotantoonsiirtoa ja sen jälkeen säännöllisesti haavoittuvuustestauksia tai miten tietoturvallisuudesta huolehditaan. UUSI 16 Y Yleisiin hyökkäysmenetelmiin varautuminen 17 Y Poikkeavan toiminnan havainnointi järjestelmän rajapintojen on kestettävä yleiset hyökkäysmenetelmät ilman, että palvelussa/sovelluksessa käsiteltävien suojattavien tietojen luottamuksellisuus tai eheys vaarantuu. 1) järjestelmässä tulee olla menettely, jolla kerätyistä tallenteista pyritään havaitse poikkeamia (erityisesti tietojärjestelmän luvaton käyttöyritys on kyettävä havaitse) OWASP:n uhkalistauket/ ASVS-kehystä (yleensä esim. 3-tasoisena). Tarkistetaan, miten järjestelmässä todennetaan sen luvaton käyttö Uusi vaatimus Uusi vaatimus (myös organisaatioille) Tietoturvavaatimukset Kanta- välittäjälle 6
7 Alla luettelo aiemmin auditointikriteereinä olleista vaatimuksista, jotka on siirretty selvitettäväksi omavalvontasuunnitelmassa, joita ei ei todenneta ulkoisessa auditoinnissa. THL:n antaa määräyksen omavalvontasuunnitelmasta erikseen.. Aikaisempi auditointi kriteerin nro Vaatimukset välittäjäorganisaatiolle 6 Tietoturvapolitiikka Välittäjäorganisaatiolla on tietoturvapolitiikka laadittuna ja se on otettu käyttöön 7 Nimetty tietosuojavastaava Organisaatiolle on nimetty tietosuojavastaava ja hänen toimenkuvansa on määritelty 8 Tietosuojan valvonta Välittäjätaholla on laadittu tietosuojaan liittyvä seuranta- ja valvontasuunnitelma ja prosessi, jolla valvotaan miten välittäjätaholle esim. ongelmanselvittelyssä tietoon tulevia potilastietoja suojataan. Tietosuojan valvontaprosessissa on oltava selkeät määrittelyt ja ohjeet miten ja missä tilanteessa saadaan tutkia liikennettä ja millä valtuutuksilla ja miten tämä selvitystyö dokumentoidaan. Tarkastetaan, että organisaatio on voimassaoleva ja ajantasainen tietoturvapolitiikka. Politiikasta tulee mm. ilmetä miten sitä tarkastetaan, kehitetään ja miten tietoturva on vastuutettu ja organisoitu organisaation tavoitteiden saavuttamiseksi. Tarkastetaan, että organisaatiolle nimetty tietosuojavastaava ja hänen toimenkuvansa on määritelty Tarkastetaan, että välittäjätaholla on tietosuojaan liittyvä seuranta- ja valvontasuunnitelma, jossa on määritetty miten välittäjätaholle esim. ongelmanselvittelyssä tietoon tulevia potilastietoja suojataan. Tietosuojan valvontaprosessissa on oltava selkeät määrittelyt ja ohjeet miten ja missä tilanteessa saadaan tutkia liikennettä ja millä valtuutuksilla ja miten tämä selvitystyö dokumentoidaan. Suunnitelmassa otetaan kantaa esim. miten tehdään säännöllistä henkilötietojen käytön seurantaa ja miten on suunniteltu toimittavan, jos väärinkäytöksiä ilmenee. Tietoturvavaatimukset Kanta- välittäjälle 7
8 Aikaisempi auditointi kriteerin nro Vaatimukset välittäjäorganisaatiolle 9 Tietoturvan valvonta ja seuranta Organisaatiolla on oltava olemassa toimiva prosessi ja toimintatavat seuraaviin tietoturvallisuuden kannalta keskeisiin osaalueisiin: Tarkastetaan, että vaaditut prosessit ja toimintatavat on olemassa (dokumentoidusti), ne on henkilöstön tiedossa ja niiden mukaan toimitaan 11 Ohjeet potilastietojen käsittelystä Tietoturvapoikkeamien havainnointi ja eskalointi (incident management) Tietojärjestelmien käytön seuranta (lokienanalysointiproseduurit) Välittäjäorganisaatiolla tulee olla kirjalliset ohjeet potilastietojen käsittelystä henkilökunnalle niitä tilanteita varten, joissa potilastietoja joudutaan käsittelemään. Organisaation on huolehdittava henkilökunnan kouluttamisesta ja osaamisesta potilastietojen käsittelyssä. 12 Vastuiden määrittely Kaikkien osapuolien (terveydenhuollon toimintayksiköt, apteekit, itsenäiset ammatinharjoittajat, ohjelmistoyritykset ja tietoliikenneoperaattorit) vastuut tulee olla selkeästi määritelty toiminnallisuuden, tietoturvallisuuden ja yhteistoiminnallisuuden osalta. Tietoturvallisuuden osalta vastuut määritellään osapuolten välisissä toimeksianto- tai muissa sopimuksissa tai niiden liitteissä. Huom.! Kaikkien mainittujen osapuolten välillä ei välttämättä ole sopimussuhdetta. Tällöin vastuut pitää olla selvillä osapuolten tarjoamien palveluiden palvelukuvausten tai muiden vastaavien menettelyjen kautta. Selkeät tietoturvavastuut tulee ulottaa koske myös alihankkijoita ja muita mahdollisia sopimuskumppaneita Tietoturvavaatimukset Kanta- välittäjälle 8 Tarkastetaan, että organisaatio on laatinut kirjalliset ohjeet potilastietojen käsittelystä henkilökunnalle ja huolehtinut henkilökunnan kouluttamisesta ja osaamisesta potilastietojen käsittelyssä Tarkastetaan osapuolten välisistä sopimuksista että vastuut toiminnallisuuden, tietoturvallisuuden ja yhteistoiminnallisuuden osalta on selkeästi määritetty sopimuksiin. Tarkastetaan eri osapuolten palvelukuvaukset ko. toimintojen osalta
9 Aikaisempi auditointi kriteerin nro Vaatimukset välittäjäorganisaatiolle 13 Viestinvälityksen sopimukset ja lainsäädäntö Viestinvälityksen / tietoliikenteen tietosuojaa koskevat vaatimukset ja vastuiden määrittely tulee olla osa organisaation ja viestinvälitysoperaattorin välistä sopimusta. Tietoturva tulee olla toteutettu organisaation tietoturvapolitiikan mukaisesti. Sopimuksista tulee ilmetä mihin toimiin osapuolet ryhtyvät jos tietoturvassa ilmenee puutteita, ongelma tai uhkaava vaara. Mikäli viestinvälitys / tietoliikenne on ulkoistettu ei suomalaiselle yritykselle, tulee siinä noudattaa Suomen lainsäädäntöä. Tarkastetaan, että organisaatioiden välisissä sopimuksissa on huomioitu vaaditut viestinnän luottamuksellisuuteen liittyvät vaatimukset (tietoturvapolitiikan ja tämän auditointipaperin liikenteen salaukseen ja luottamuksellisuuteen liittyvät vaatimukset) ja ulkoistustapauksissa mainittu noudatettava lainsäädäntö. Yhdysvaltain osalta vaatimus voidaan käytännössä toteuttaa vain salaamalla kaikki sinne mahdollisesti siirrettävät tiedot luotettavalla tavalla Mikäli viestinvälityksen / tietoliikenteen alihankkijan tai toteuttajana käytetään amerikkalaisen yrityksen tytäryhtiötä, tulee varmistaa, ettei Yhdysvaltain viranomaisille synny mahdollisuutta päästä käsiksi viestintään ja sen tietoihin. 16 Tietoliikenneyhteydet Tietoliikenneyhteydet pitää rakentaa riittävän nopeiksi siten, että niiden tarjoamat vasteajat ovat riittävän lyhyitä. Tietoliikenneyhteydet olisi hyvä olla kahdennettu riittävän palvelun takaamiseksi tai niiden kahdentamisesta pitäisi olla suunnitelmat. Tarkastetaan miten pitkät vasteajat järjestelmässä on / miten tietoliikenneyhteydet on kahdennettu / minkälaiset suunnitelmat kahdentamisesta on. Tietoturvavaatimukset Kanta- välittäjälle 9
10 Aikaisempi auditointi kriteerin nro Vaatimukset välittäjäorganisaatiolle 18 Käyttöoikeuskirjanpito Käyttöoikeuksista ja niihin tehdyistä muutoksista tulee pitää kirjaa/lokia. Organisaatiolla on käytössään käyttäjä- ja käyttöoikeuksien hallintajärjestelmä. Tarkastetaan, että on olemassa sähköinen tai muu kirjanpito, josta voidaan todentaa haetut, hyväksytyt, implementoidut, poistetut jne. käyttöoikeudet 19 Käyttöoikeuksien jako ja hallinta Käyttöoikeuksien myöntäminen ja käyttöoikeuksienhallintaprosessien tulee perustua roolipohjaisiin käyttöoikeuksiin. Poikkeamat roolikohtaisista oikeuksista tulee asianmukaisesti hyväksyä ja dokumentoida. Tarkastetaan käyttöoikeuksien yksityiskohtainen määrittely ja ajantasainen ylläpito organisaatiossa käyttäjien tehtävien ja vastuiden perusteella Tarkastetaan käyttöoikeuksien hallinnan määrittelyt ja kuvaus. Tarkastetaan, että henkilöt/roolit, jotka saavat hyväksyä käyttöoikeuksia, on määritetty. Ne henkilöt/roolit, joilla on oikeus hyväksyä käyttöoikeuspyyntöjä tulee olla dokumentoitu. 20 Käyttäjätunnusten yksilöllisyys Organisaation tietojärjestelmästä tulee olla laadittuna dokumentoidut käyttöoikeudet rajauksineen Järjestelmissä ei saa olla yhteiskäyttöisiä tunnuksia. Vaatimus koskee myös ylläpito ja muista vastaavia voimakkaita käyttöoikeuksia. Silloin, jos yhteiskäyttöisiä tunnuksia ei voida teknisestä tai muusta perustellusta syystä välttää, pitää muulla luotettavalla menetelmällä pystyä todenta kuka tunnusta on milloinkin käyttänyt. Tietoturvavaatimukset Kanta- välittäjälle 10 Tarkastetaan järjestelmän käyttäjätunnukset että käytössä on vain yksilöllisiä tunnuksia.
11 Aikaisempi auditointi kriteerin nro Vaatimukset välittäjäorganisaatiolle 23 Muutostenhallintaproses si Järjestelmille tulee olla määrämuotoinen muutostenhallintaprosessi, joka kattaa versio- ja korjauspäivitykset sekä myös pienemmät toiminnalliset ja muuta vastaavat muutokset. Muutostenhallintaprosessin tulee sisältää ainakin: testauskäytännöt hyväksymiskäytännöt muutosten dokumentoinnin Toimenpiteet muutosta edeltäneeseen tilaan palaamiseksi, mikäli muutos ei toimi odotetulla tavalla 24 Virhetilanteiden hallinta Virhe- ja poikkeustilanteiden varalta tulee olla dokumentoitu ja testattu toimintasuunnitelma (toipumissuunnitelma) Organisaatiolla (ja Kelalla) tulee olla yhteisesti sovittu ja dokumentoitu toimintatapa, miten erilaisista poikkeustilanteista selvitään. 27 Järjestelmien päivitykset Palvelimien tietoturvapäivitysten asentamiseen tulee olla säännöllinen prosessi, jonka mukaan päivitysten kriittisyys ja tarve arvioidaan sekä päivitykset hyväksymistestataan erillisessä ympäristössä ennen tuotantoympäristöön asentamista. Tarkastetaan kyseistä järjestelmää/ järjestelmiä koskeva muutostenhallintaprosessi Tarkastetaan, että tehdyt muutokset on suunniteltu, hyväksytty, testattu ja dokumentoitu Tarkastetaan toipumissuunnitelmien olemassaolo. Tarkastetaan, miten järjestelmien toiminnallisuutta valvotaan ja miten poikkeustilanteet ja virhetilanteet havaitaan Tarkastetaan, että organisaatiot (ja Kela) ovat yhdessä sopineet miten poikkeustilanteista selvitään Tarkastetaan miten järjestelmien päivitys on hoidettu. Tietoturvavaatimukset Kanta- välittäjälle 11
Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi
Kansalliset auditointivaatimukset terveydenhuollon organisaatioille (sähköisten reseptien toiminnallisuuksien osalta) Toiminnalliset vaatimukset # Kriteeri / kontrollitavoite Organisaatoriset vaatimukset
LisätiedotOMAVALVONTASUUNNITELMA
RÄÄKKYLÄN KUNTA Sosiaali- ja terveydenhuollon tietojärjestelmät TERVEYSKESKUS OMAVALVONTASUUNNITELMA Hyväksytty; Perusturvalautakunta _._.2015 Saila Tarkkonen Omavalvontasuunnitelmassa selvitetään miten
LisätiedotSosiaali- ja terveydenhuollon tietojärjestelmiä käyttävien palveluiden antajien omavalvontasuunnitelma
Sosiaali- ja terveydenhuollon tietojärjestelmiä käyttävien palveluiden antajien omavalvontasuunnitelma Sosiaalihuollon ja terveydenhuollon palvelujen antajilla on velvoite laatia omavalvontasuunnitelma,
LisätiedotSosiaali- ja terveydenhuollon tietojärjestelmiä käyttävien palveluiden antajien omavalvontasuunnitelma
1 (10) johtoryhmä 10.3.2015 38, yhtymähallitus 30.3.2015 Sosiaali- ja terveydenhuollon tietojärjestelmiä käyttävien palveluiden antajien omavalvontasuunnitelma Sosiaalihuollon ja terveydenhuollon palvelujen
LisätiedotAuditointi. Teemupekka Virtanen 14.5.2010
Auditointi Teemupekka Virtanen 14.5.2010 Lähtökohta Kaikki KANTAan liittyneet organisaatiot jakavat saman tietomassan Keskinäinen luottamus Yhteiset toimintaperiaatteet Yhteinen turvataso Minä uskallan
LisätiedotKanta-sertifiointi ja omavalvonta yleiskuva ja prosessit
1(8) Kanta-sertifiointi ja omavalvonta yleiskuva ja prosessit Versio 08, 31.3.2015 Sisällys 1 Dokumentin tarkoitus... 2 2 Yleiskuva... 2 3 Toimijat... 3 4 Prosessit... 4 4.1 Prosessi: Asiakasorganisaation
LisätiedotKanta-sertifiointi ja omavalvonta yleiskuva ja prosessit
1(9) Kanta-sertifiointi ja omavalvonta yleiskuva ja prosessit Versio 09, 7.7.2015 Sisällys 1 Dokumentin tarkoitus... 2 2 Yleiskuva... 2 3 Toimijat... 3 4 Prosessit... 4 4.1 Prosessi: Asiakasorganisaation
LisätiedotKanTa. Terveydenhuollon organisaation auditointivaatimusten läpikäynti - eresepti
OHJE 23.4.2012 KanTa Terveydenhuollon organisaation auditointivaatimusten läpikäynti - eresepti OHJE: Tämä dokumentti on tarkoitettu taustamateriaaliksi ereseptin auditointivaatimusten käsittelyyn ja toteutumisen
LisätiedotOHJE YLEISEEN KÄYTTÖÖN TARKOITETTUJEN OHJELMISTOJEN HYÖDYNTÄMISESTÄ SOTE- PALVELUISSA
Ohje 2/2017 1(5) OHJE YLEISEEN KÄYTTÖÖN TARKOITETTUJEN OHJELMISTOJEN HYÖDYNTÄMISESTÄ SOTE- PALVELUISSA Kohderyhmät Voimassaoloaika Julkisen sosiaali- ja terveydenhuollon palvelujen tarjoajat Yksityisen
LisätiedotKanTa-palvelut. Web-reseptisovellukset. versio 1.0
Kela Liite auditointivaatimuksiin 1 (8) KanTa-palvelut Web-reseptisovellukset versio 1.0 Dokumentin muutoshistoria Versio Pvm Tekijä / hyväksyjä Kuvaus 0.1 31.10.2013 KanTa-palveluryhmä, Kela Ensimmäinen
LisätiedotLiite 1 Tietoturvavaatimukset potilastietojärjestelmille ja apteekkijärjestelmille ja järjestelmien käyttöympäristöille 19.11.
leistä potilastieto- ja apteekkijärjestelmien sekä järjestelmien käyttöympäristön olennaisista vaatimuksista Vaatimukset koskevat potilastieto- ja apteekkijärjestelmää tuotteena. Siltä osin kuin järjestelmän
LisätiedotSecGo. Sähköinen allekirjoitus ja sen käyttö. Ari-Pekka Paananen, SecGo VE Oy Director,technology ari-pekka.paananen@secgo.com
SecGo Sähköinen allekirjoitus ja sen käyttö Ari-Pekka Paananen, SecGo VE Oy Director,technology ari-pekka.paananen@secgo.com Turvallinen Sähköinen Tiedonkulku Tunnistetut käyttäjät tietojärjestelmiin Pääsyoikeudet
LisätiedotVälittäjän määritelmä:
Kansalliset vaatimukset välittäjälle Välittäjän määritelmä: Välittäjätahon määrittely löytyy ajantasaisena Tekniset liittymismallit -asiakirjasta, joka löytyy www.kanta.fi olevasta käsikirjasta. Välittäjällä
LisätiedotOHJE LUOKKAAN A KUULUVIEN SOSIAALI- JA TERVEYDENHUOLLON TIETOJÄRJESTELMIEN MUUTOSTEN ILMOITTAMISESTA
Ohje 2/2018 1(7) OHJE LUOKKAAN A KUULUVIEN SOSIAALI- JA TERVEYDENHUOLLON TIETOJÄRJESTELMIEN MUUTOSTEN ILMOITTAMISESTA Kohderyhmät Sosiaali- ja terveydenhuollon tietojärjestelmien valmistajat Apteekkien
LisätiedotSopimus Kanta-palveluihin liittymisestä ja Kanta-palvelujen käytöstä v 1.0
Sopimus Kanta-palveluihin liittymisestä ja Kanta-palvelujen käytöstä v 1.0 Kanta 255 10.15 1(11) Sisällys 1 Liittymisvelvoitteiden ja -vastuiden täyttäminen... 3 2 Kanta-palveluihin liittyvät tietojärjestelmät
LisätiedotTietosuojavastaavan rooli lokivalvonnassa
1 Tietosuojavastaavan rooli lokivalvonnassa Atk-päivät Jyväskylä 26. 27.5.2009 Helena Eronen arkistotoimen johtaja/tietosuojavastaava PPSHP Tietosuojavastaava 2 Laki sosiaali- ja terveydenhuollon asiakastietojen
LisätiedotOsapuolet sitoutuvat noudattamaan e-reseptipalvelun ehtoja ja sen liitteitä.
Mallisopimus Sopimus e-reseptipalveluun liittymisestä Tällä sopimuksella yksityinen terveydenhuollon toimintayksikkö ( Lääkäriasema ) ja itsenäinen ammatinharjoittaja ("Ammatinharjoittaja") sopivat e-reseptipalveluun
LisätiedotTietosuojakysely 2016
Tietosuojakysely 2016 Yksityinen terveydenhuolto Kansaneläkelaitos Tietosuojavaltuutetun toimisto Sisällys Tietosuojakysely 2016 tulokset yksityinen terveydenhuolto... 2 Yleistä... 2 Tietosuojavastaavat...
LisätiedotTietoturvaa verkkotunnusvälittäjille
Tietoturvaa verkkotunnusvälittäjille Verkkotunnusvälittäjän tietoturvaa Verkkotunnusmääräyksen 68/2016 mukaan verkkotunnusvälittäjän on huolehdittava toimintansa tietoturvasta Varmistutaan siitä, että
LisätiedotOmavalvontasuunnitelma ja EU-tietosuojadirektiivi
Omavalvontasuunnitelma ja EU-tietosuojadirektiivi Sosiaalihuollon tiedonhallinnan Kanta työpaja 4.5.2017 Jenni Siermala Tietoturvasuunnittelija Voimassa oleva henkilötietolaki Henkilötietojen käsittely
LisätiedotTietosuojakysely 2018
Tietosuojakysely 2018 05/2018 Kela Tietosuojavaltuutetun toimisto Terveyden ja hyvinvoinnin laitos Sisällys Taustatiedot 1 Vastaajatiedot 1 Tulokset 1 Yleistä 1 Tietosuojavastaavat 2 Apteekkarin tai organisaation
LisätiedotKanTa- (Kansallinen terveysarkisto) palveluiden käyttöönotto. Ensimmäisenä sähköinen lääkemääräys
KanTa- (Kansallinen terveysarkisto) palveluiden käyttöönotto Ensimmäisenä sähköinen lääkemääräys Käyttöönottoon valmistautuminen 07.06.2013 4.6.2013 Sähköinen lääkemääräys 1 Esityksen sisältö Kansalliset
LisätiedotTietosuojakysely 2017
Tietosuojakysely 2017 Apteekki Tekijät Kela Tietosuojavaltuutetun toimisto Raportti Sisällys 1 Tietosuojakyselyn tulokset Apteekki... 2 1.1 Yleistä... 2 1.2 Tietosuojavastaavat... 4 1.3 Apteekkarin tai
LisätiedotTIETOSUOJASELOSTE Tilhilän palvelutalo Vuokrakiinteistöt
TIETOSUOJASELOSTE HP/ 15.5.18 TIETOSUOJASELOSTE Tilhilän palvelutalo Vuokrakiinteistöt Hanna Pirskanen toiminnanjohtaja 2 Sisällys 1 Tietoturvapolitiikka...3 2 Tietotilinpäätös...3 2.1 Organisaation tietovarannot,
LisätiedotSosiaali- ja terveydenhuollon asiakastietojärjestelmät ja niiden uudistukset
Sosiaali- ja terveydenhuollon asiakastietojärjestelmät ja niiden uudistukset Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 157/2009 Jussi Holmalahti, johtaja Lupaosasto Tietojärjestelmät
LisätiedotTietosuojakysely 2019
Tietosuojakysely 2019 Kanta-palvelut tietosuojavaltuutetun toimisto Terveyden ja hyvinvoinnin laitos Kela FPA Kanta-palvelut Kanta tjänsterna www.kanta.fi PL 450, 00056 Kela PB 450, 00056 FPA kanta@kanta.fi
LisätiedotTietoturvallisuuden hallintajärjestelmä pähkinänkuoressa
Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa Valtorin tietoturvaseminaari 2.4.2014 Pekka Ristimäki Johtava asiantuntija, CISM, CISSP, CRISC Valtori / Tietoturvapalvelut Mikä on hallintajärjestelmä?
LisätiedotKanta-sopimusmalli / Yritys-Yritys. Sopimus eresepti-palveluun liittymisestä
Kanta-sopimusmalli / Yritys-Yritys Sopimus eresepti-palveluun liittymisestä Tällä sopimuksella yksityinen terveydenhuollon toimintayksikkö ( Lääkäriasema ) ja Lääkäriaseman tiloissa toimiva lääkäripalveluyhtiö
LisätiedotHELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa
HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki Tietoturva tiedon varastoinnissa 1 Sisällysluettelo Miksi Tietoturvaa? Tietoturva vrs. Tietosuoja Uhkia Tietoturvan osa-alueet
LisätiedotOLENNAISET TOIMINNALLISET VAATIMUKSET - PÄIVITETTY LUOKITUS JA JÄRJESTELMÄLOMAKE Kela toimittajayhteistyökokous 26.4.
OLENNAISET TOIMINNALLISET VAATIMUKSET - PÄIVITETTY LUOKITUS JA JÄRJESTELMÄLOMAKE 24.4.2019 Kela toimittajayhteistyökokous 26.4.2019 1 ASIAKASTIETOLAIN 250/2014 MUKAISET OLENNAISET VAATIMUKSET I Toiminnalliset
LisätiedotVaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi
Versio 1.0 9.9.2010 Kansalliset auditointivaatimukset terveydenhuollon organisaatioille (sähköisten reseptien toiminnallisuuksien osalta) Toiminnalliset vaatimukset Organisaatoriset vaatimukset Vaatimus/Kontrolli
LisätiedotKysymykset ja vastaukset ereseptiin liittymisen toimenpiteista ja auditointivaatimuksista
Kysymykset ja vastaukset ereseptiin liittymisen toimenpiteista ja auditointivaatimuksista Sisällys 1. Liittymisen aikataulu ja liittymismalli... 1 2. Potilastietojärjestelmä... 2 3. SOTE-rekisteri... 2
LisätiedotTämän kyselyn määritelmät on kuvattu sopimuksessa.
LIITE 1 (5) KUVAUS TIETOTURVASTA JA TIETOJEN SUOJAUKSESTA 1. Yleistä Tämä Kiinteistövaihdannan palvelun (KVP) rajapintojen käyttöä koskeva tietoturvakuvaus tulee täytettynä ja Maanmittauslaitoksen hyväksymänä
LisätiedotERESEPTI TULEE MITÄ PITÄISI TEHDÄ? erespa viitoittaa tietä ereseptiin
ERESEPTI TULEE MITÄ PITÄISI TEHDÄ? erespa viitoittaa tietä ereseptiin ereseptiin on liityttävä 1.4.2014 mennessä ereseptin on oltava käytössä kaikilla lääkärikeskuksissa työsuhteisina ja ammatinharjoittajina
LisätiedotToimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT
TIETOTURVALLISUUDEN KEHITTÄMINEN Opettaja: Tuija Kyrölä 040-5455465 tuija.kyrola@kolumbus.fi Toimintaohjeistus Tietoturvallisuusohjeistus I-TASO II-TASO III-TASO Ylin johto hyväksyy Konsernihallinto valmistelee
LisätiedotJulkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet
Valtion tieto ja viestintätekniikkakeskus Valtori Lausunto 07.09.2018 Dnro 110/00.04/2018 Asia: VM/276/00.01.00.01/2018 Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta Yhteenveto Kommentit
LisätiedotSÄHKÖISEN LÄÄKEMÄÄRÄYKSEN TOIMINNALLISUUKSIA TOTEUTTAVIEN TIETO- JÄRJESTELMIEN VAATIMUSTENMUKAISUUS SIIRTYMÄVAIHEESSA
Ohje 9/2015 1(6) PÄIVITETTY OHJE: SÄHKÖISEN LÄÄKEMÄÄRÄYKSEN TOIMINNALLISUUKSIA TOTEUTTAVIEN TIETO- JÄRJESTELMIEN VAATIMUSTENMUKAISUUS SIIRTYMÄVAIHEESSA Kohderyhmät: Voimassaolo: Sosiaali- ja terveydenhuollon
LisätiedotLokitietojen käsittelystä
Lokitietojen käsittelystä ylitarkastaja Sari Kajantie/KRP Esityksen lähtökohdista Tavoitteena lisätä ymmärrystä kriteereistä, joilla lokien käsittelytavat tulisi määritellä jotta pystytte soveltamaan käsittelytapoja
LisätiedotERESEPTI TULEE MITÄ PITÄISI TEHDÄ? Yksityishammaslääkärien talvipäivä Timo Airaksinen, Salivirta & Partners
ERESEPTI TULEE MITÄ PITÄISI TEHDÄ? Yksityishammaslääkärien talvipäivä 8.2.2013 Timo Airaksinen, Salivirta & Partners ereseptiin on liityttävä 1.4.2014 mennessä ereseptin on oltava käytössä kaikilla lääkärikeskuksissa
LisätiedotPotilastiedot ja tietoturvallisuus Tietoturvaselvitykset ja asiantuntijakonsultointi roolipohjaisen käyttäjähallinnan osalta
Potilastiedot ja tietoturvallisuus Tietoturvaselvitykset ja asiantuntijakonsultointi roolipohjaisen käyttäjähallinnan osalta Terveydenhuollon atk-päivät 26.-27.5.2009, Redicom Oy jukka.koskinen@redicom.fi
LisätiedotSähköinen allekirjoitus
Voimassa alkaen: 1.2.2015 Koskee kaikkia A-luokan tietojärjestelmiä joilta edellytetään auditointi ja vaatimustenmukaisuustodistus. Käsitteet tietojärjestelmäpalvelu ja tietojärjestelmä kattavat tietojärjestelmätuotteet,
LisätiedotCase VRK: tietosuojan työkirjat osa 2. JUDO Työpaja #4 - tietosuoja Noora Kallio
Case VRK: tietosuojan työkirjat osa 2 JUDO Työpaja #4 - tietosuoja Noora Kallio Esityksen sisältö Tietosuojan hallintamalli Prosessi Työkaluina tietosuojan työkirjat Ratkaistava asia Miten tietosuoja-asetuksen
LisätiedotLappeenrannan kaupungin tietoturvaperiaatteet 2016
1 (7) Lappeenrannan kaupungin tietoturvaperiaatteet 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0 3.12.2015
LisätiedotAsiakastietolain ja reseptilain muutokset. Terveydenhuollon atk-päivät 28.05.2013 Pekka Järvinen, STM
Asiakastietolain ja reseptilain muutokset Terveydenhuollon atk-päivät Pekka Järvinen, STM Säädösmuutosten tarve Asiakastietolaki tietojärjestelmille asetettavat vaatimukset tietojärjestelmien sertifiointi
LisätiedotSopimus Kanta-palveluihin liittymisestä ja Kanta-palvelujen käytöstä
Sopimus Kanta-palveluihin liittymisestä ja Kanta-palvelujen käytöstä v 1.2 Kanta-sopimusmalli 2 (10) Sisällysluettelo 1 Johdanto... 3 2 Liittymisvelvoitteet ja vastuut... 3 3 Kanta-palveluihin liittyvät
LisätiedotStandardisarja IEC 62443. Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus
Standardisarja IEC 62443 Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus Matti Sundquist, Sundcon Oy Jukka Alve, SESKO ry 1 ASAFin tietoturvaseminaari 27.1.2004 Automaatioseuran
LisätiedotSuomeksi Potilastiedot valtakunnalliseen arkistoon
Suomeksi Potilastiedot valtakunnalliseen arkistoon Potilastiedot tallennetaan jatkossa valtakunnalliseen Potilastiedon arkistoon. Potilastiedon arkisto on osa uutta terveydenhuollon tietojärjestelmää,
LisätiedotMaarit Pirttijärvi Pohjois-Suomen sosiaalialan osaamiskeskus Lapin toimintayksikkö
Verkkokonsulttipäivä 28.11.2011 Maarit Pirttijärvi j Pohjois-Suomen sosiaalialan osaamiskeskus Lapin toimintayksikkö www.sosiaalijaterveyspalvelut.fi Virtuaalisen sosiaali- ja terveyspalvelukeskuksen käyttäjät
LisätiedotSUUNNITELMA JA RAPORTTI Potilastiedon arkisto -palvelun käyttöönottokoe
kohde Yhteisrekisterin suostumuksenhallinta Potilastiedon arkisto (earkisto) Osa. Käyttöönottokoesuunnitelma (Liittyjä täyttää) Nimi (SOTE-organisaatiorekisterin mukainen lyhyt nimi) Liittyvä organisaatio
LisätiedotVirtu tietoturvallisuus. Virtu seminaari 18.3.2014
Virtu tietoturvallisuus Virtu seminaari 18.3.2014 Sisältö Virtu edistää tietoturvallisuutta Tietoturvallisuus Valtorin palveluissa Tietoturvavaatimukset luottamusverkostoon liityttäessä 2 Kertakirjautuminen
LisätiedotTIETOTURVA. Eduberry tietotekniikka marjanviljelijän apuvälineenä Leena Koponen
TIETOTURVA Eduberry tietotekniikka marjanviljelijän apuvälineenä Leena Koponen 24.1.2017 TIETOTURVA KÄSITTEENÄ = tietojen, tietojärjestelmien, palveluiden ja verkkoliikenteen suojaamista Tietoturvallisuuden
LisätiedotMääräys sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista toiminnallisista vaatimuksista
MÄÄRÄYS 2/2016 1(12) Määräys sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista toiminnallisista vaatimuksista Valtuutussäännökset Sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä
LisätiedotHELSINGIN KAUPUNKI MUISTIO Numero 1 TALOUS- JA SUUNNITTELUKESKUS Tietotekniikkaosasto 13.11.2012
HELSINGIN KAUPUNKI MUISTIO Numero 1 13.11.2012 HELMI-EXTRANET-KÄYTTÖPOLITIIKKA SISÄLTÖ 1 Extranet-tunnuksen käyttöpolitiikka 2 Käyttäjätunnusten myöntöperusteet 3 Salasanat Käyttäjätunnuksen hyväksyttävä
LisätiedotTerveydenhuollon ATK-päivät 28-29.5.2013 Logomo, Turku
Teknologia: Tekniikan auditointi ja sertifiointi Terveydenhuollon ATK-päivät 28-29.5.2013 Logomo, Turku Ylitarkastaja Jari Knuuttila, Valvira 1 Määritelmiä ja aiheeseen liittyvät lait 2 Auditointi, sertifiointi,
LisätiedotPeruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41
Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA Johdanto Tietosuojapolitiikassa kuvataan henkilöön liittyvien henkilötietojen tai muiden luottamuksellisten tietojen käytön periaatteet ja menetelmät
LisätiedotOhje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:
Lakiyksikkö Vammaisetuusryhmä Ohje 20.7.2018 Kela 61/331/2017 EU:n yleinen tietosuoja-asetus (EU) 2016/679 Ohjeet henkilötietojen käsittelystä kuulovammaisten, kuulonäkövammaisten ja puhevammaisten henkilöiden
LisätiedotTIETOTURVAA TOTEUTTAMASSA
TIETOTURVAA TOTEUTTAMASSA Ari Andreasson Juha Koivisto TIETOTURVAA TOTEUTTAMASSA TIETOSANOMA Tekijät ja Tietosanoma Oy ISBN 978-951-885-334-6 KL 61.7 Tietosanoma Oy Bulevardi 19 C 00120 Helsinki 09 694
LisätiedotTietoverkkojen turvallisuus. Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2012
Tietoverkkojen turvallisuus Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2012 Luennon sisältö 1. Palomuurit ja rajavalvonta NAT palomuurina Tilaton, tilallinen ja sovellustason palomuuri Virtuaaliverkkoyhteys
LisätiedotTIETOTURVAPOLITIIKKA
TIETOTURVAPOLITIIKKA Lapin ammattikorkeakoulun rehtori on hyväksynyt tietoturvapolitiikan 18.3.2014. Voimassa toistaiseksi. 2 Sisällysluettelo 1 Yleistä... 3 1.1 Tietoturvallisuuden kolme ulottuvuutta...
LisätiedotOrganisaation muutostilanteet
Organisaation muutostilanteet 29.11.2018 Kela, Kanta-palvelut Sisältö Valmistautuminen organisaatiomuutoksiin Terveydenhuollon muutostilanteet Muutostilanteista ilmoittaminen Uudet liittymiset Tekniset
Lisätiedoteresepti- ja KANTA-hankkeissa
Tietoturvallisuus ja yksityisyydensuoja 1 eresepti- ja KANTA-hankkeissa Teemupekka Virtanen Sosiaali- ja terveysministeriö teemupekka.virtanen@stm.fi 2 Käsitteitä Tietosuoja, yksityisyyden suoja Periaatteessa
Lisätiedot2. päivä. Etätehtävien purku Poikkeamat. Poikkeamat Auditoinnin raportointi Hyvän auditoijan ominaisuudet Harjoituksia
OAMK / Luova 4.5. ja 11.5. Sisäinen auditointi osa Oamkin ympäristöohjelmatyötä Sisältö 1. päivä Johdanto Auditoinnin tavoitteet Ympäristöstandardin (ISO 14001) pääkohdat Alustava ympäristökatselmus Auditoinnin
LisätiedotTIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT
TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT 1(5) TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT YT-neuvosto hyväksynyt 21.11.2007 Vahvistanut: kuntayhtymän johtaja Pentti Leipälä 4.1.2008 1. SÄÄNTÖJEN TARKOITUS 1 2. KÄYTÖN PERIAATTEET
LisätiedotPotilastiedot ja tietoturvallisuus Käyttäjähallinta ja tietoturva kertakirjautumisella
Potilastiedot ja tietoturvallisuus Käyttäjähallinta ja tietoturva kertakirjautumisella Terveydenhuollon atk-päivät 19-20.5.2008, Redicom Oy jukka.koskinen@redicom.fi Käyttäjähallinta (IDM) Salasanahallinta
LisätiedotTietosuojavastaavan toiminta ja dokumentointi
Tietosuojavastaavan toiminta ja dokumentointi Johanna Sorvettula Tietosuojavastaava Hallintojohtaja, varatuomari, MBA 2015 EPSHP - Johanna Sorvettula 1 Tietosuojavastaavan tehtävät Tietosuojavastaavan
LisätiedotKelain-palvelun käyttöehdot
Kelain-palvelun käyttöehdot 1. Kelain-palvelun yleiskuvaus 2. Palvelun sisältö Kelain-palvelun tuottaja ylläpitää alla kuvattua palvelua. Asiakas käyttää palvelua omalla päätelaitteellaan. Kelain-palvelulla
LisätiedotLiite 2 : RAFAELA -aineiston elinkaaren hallinta
RAFAELA-hoitoisuusluokitus-jär je 1 Liite 2 : RAFAELA -aineiston elinkaaren hallinta Ohje: Lomake täytetään Tilaajan toimesta ja palautetaan Toimittajalle käyttöoikeussopimuksen mukana. 1. Aineiston omistajuus
LisätiedotAuditoinnista omavalvontaan - omavalvontasuunnitelma ja sen laatiminen
Auditoinnista omavalvontaan - omavalvontasuunnitelma ja sen laatiminen Terveydenhuollon ATK-päivät 12.-13.5.2015 Tampere Kehittämispäällikkö Riitta Konttinen 13.5.2015 THL/OPER 1 Esityksen sisältö Vastuut
LisätiedotTietoturvapolitiikka
Mäntsälä Hyväksyntä Julkisuusluokka JULKINEN Sijainti Versio 0.9 2/8 Sisällys 1 Johdanto... 4 2 Mitä tietoturvallisuus on?... 4 2.1 Tietoturvallisuuden hallinta... 5 2.2 Riskienhallinta sekä jatkuvuuden
LisätiedotLiittyminen eresepti-palveluun. Yksityisten terveydenhuollon toimijoiden ereseptin käyttöönottoon valmistautuminen 13.5.2013
Liittyminen eresepti-palveluun Yksityisten terveydenhuollon toimijoiden ereseptin käyttöönottoon valmistautuminen 13.5.2013 eresepti-palveluun liittyjä eresepti-palveluun liittyjä on terveydenhuollon toimintayksikkö
LisätiedotTIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä
TIETOTILINPÄÄTÖS Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä 20.5.2014 TSV:n tsto/ylitarkastaja Arto Ylipartanen 2 LUENNON AIHEET 1.
LisätiedotLiittyminen Kanta-palveluihin Valmistelukokous. Kela, Kanta-palvelut, 10.2.2016
Liittyminen Kanta-palveluihin Valmistelukokous Kela, Kanta-palvelut, 10.2.2016 Käsiteltävät asiat Kelan rooli ja Kanta-palvelut Kanta-palveluihin liittymisen päävaiheet Käyttöliittymä rekisterinpitäjän
LisätiedotHelsingin yleiset tietoturvan ohjeet toimittajalle
HELSINGIN KAUPUNKI 1 / 6 Käsittelijä/Virkailija Toimittajayritys Jakeluosoite Postinumero ja POSTITOIMIPAIKKA Yleiset ohjeet Liite Maa Helsingin yleiset tietoturvan ohjeet toimittajalle Helsingin tiedot
LisätiedotIT-palvelujen ka yttö sa a nnö t
IT-palvelujen ka yttö sa a nnö t Tampereen yliopisto Yliopistopalvelut / tietohallinto Rehtorin päätös 28.8.2014. Sisällysluettelo 1 Soveltamisala... 2 2 Käyttövaltuudet ja käyttäjätunnus... 2 2.1 Käyttövaltuudet...
LisätiedotKorkeakoulujen valtakunnallinen tietovaranto. Ilmari Hyvönen
Korkeakoulujen valtakunnallinen tietovaranto Ilmari Hyvönen 8.4.2014 Aiheita Tietovarannon käyttöönotto ja ohjaus Tietovaranto tiedonvälityspalveluna Yhteentoimivuuden edistäminen tietovarannon avulla
LisätiedotKANTA-PALVELUJEN YLEISET TOIMITUSEHDOT Liite 3
KanTa-palvelujen yleiset toimitusehdot 1 KanTa-palvelujen yleiskuvaus KanTa-palvelujen tuottaja ylläpitää alla mainittuja KanTa-palveluja. Asiakas käyttää palveluja omalla tietojärjestelmällään. KanTa-palveluilla
LisätiedotLAURA TM -rekrytointijärjestelmän tietoturva. Markku Ekblom Teknologiajohtaja Uranus Oy
LAURA TM -rekrytointijärjestelmän tietoturva Markku Ekblom Teknologiajohtaja Uranus Oy 17.1.2014 Toimintaympäristö Uranus on Suomessa perustettu, Suomessa toimiva ja suomalaisessa omistuksessa oleva yritys.
LisätiedotMiten liitytään Kantapalveluihin. Ohje palveluja käyttöönottaville
Miten liitytään Kantapalveluihin Ohje palveluja käyttöönottaville 15.10.2018 Sisällys 1 Johdanto...2 1.1 Kanta-palvelut...2 1.2 Kanta-palveluun liittyjät...2 1.3 Kanta-liittyjä...2 2 Liittymisen valtakunnallinen
LisätiedotTietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä
Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä FINAS-päivä 22.1.2013 Helsingin Messukeskus Laura Kiviharju Viestintävirasto Viestintäviraston
LisätiedotAuditoinnit ja sertifioinnit
Auditoinnit ja sertifioinnit Tietojärjestelmien ja tietoliikennejärjestelmien vaatimuksienmukaisuuden arvioinnit ja hyväksynnät Laki viranomaisten tietojärjestelmien ja tietoliikennejärjestelmien tietoturvallisuuden
LisätiedotTietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1
Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin 12.12.2011 A-P Ollila 1 Taustaa Tiedon merkitys yhteiskunnassa ja viranomaisten toiminnassa korostuu kaiken aikaa. Viranomaisten
LisätiedotKelain-palvelun käyttöehdot
Kelain-palvelun käyttöehdot 1. Kelain-palvelun yleiskuvaus 2. Palvelun sisältö Kelain-palvelun tuottaja ylläpitää alla kuvattua palvelua. Asiakas käyttää palvelua omalla päätelaitteellaan. Kelain-palvelulla
LisätiedotTIETOSUOJASELOSTE. Yleistä. Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään? Mitä henkilötietoja minusta kerätään ja mistä lähteistä?
TIETOSUOJASELOSTE Yleistä Jotta voimme palvella sinua parhaamme mukaan, edellyttää se, että keräämme ja käsittelemme joitakin sinua koskevia tietoja. Arvostamme kuitenkin yksityisyyttäsi ja olemme sitoutuneet
LisätiedotKansalliset auditointivaatimukset potilastietojärjestelmille. # Kriteeri / kontrollitavoite. Kommentit. todentaminen / auditointi
Kansalliset auditointivaatimukset potilastietojärjestelmille Luottamuksellisuus ja eheys 1 Tiedonsiirron luottamuksellisuus ja eheys reseptikeskukseen on turvattu Sähköisen lääkemääräyksen ja siihen liittyvien
LisätiedotTietosuojaseloste. Trimedia Oy
Tietosuojaseloste Trimedia Oy www.trimedia.fi info@trimedia.fi +358 44 535 7215 1 Tietosuojaseloste 1. Rekisterin pitäjä Yritys valvoo antamiasi tietoja ja on vastuussa henkilötiedoista tietosuojalain
LisätiedotVahva vs heikko tunnistaminen
Vahva vs heikko tunnistaminen Valtorin tietoturvaseminaari 2.4.2014 Tommi Simula Johtava asiantuntija, CISM, CISSP, GSEC, MCSE Valtori / Tietoturvapalvelut Mitä tunnistaminen on? Tunnistaa todeta itselleen
LisätiedotHenkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure
Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure Kuinka moneen tietovuotoon teidän yrityksellänne on varaa? Palomuurit ja VPN ratkaisut suojelevat yritystä ulkopuolisia uhkia vastaan,
LisätiedotPäivitetty TIETOVERKON JA TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT
Päivitetty 11.5.2017 TIETOVERKON JA TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT 2 (5) JOHDANTO Espoon seudun koulutuskuntayhtymä Omnian (myöhemmin Omnia) tietoverkon ja -järjestelmien sitovat Omnian opiskelijoita
LisätiedotKOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA
KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA 1 S i v u Kokkolan kaupungin tietoturvapolitiikka 1. JOHDANTO Tietojenkäsittely tukee Kokkolan kaupungin palvelujen tuottamista ja palveluiden tehokkuus riippuu
LisätiedotKansalliset auditointivaatimukset terveydenhuollon organisaatioille
Versio 2.0 19.4.2013 Kansalliset vaatimukset terveydenhuollon organisaatioille Versioon 2.0 on käsitteet resepti ja reseptikeskus muutettu asiakirjoiksi ja kansallisiksi palveluiksi. Auditoinnissa voidaan
LisätiedotKelain-palvelun käyttöehdot
Käyttöehdot 1 (7) -palvelun käyttöehdot -palvelulla tarkoitetaan sähköisestä lääkemääräyksestä annetussa laissa (61/2007) Kelan hoidettavaksi säädettyä käyttöliittymäpalvelua, joka mahdollistaa sähköisten
LisätiedotOrganisaation muutostilanteet. Kela, Kanta-palvelut
Organisaation muutostilanteet Kela, Kanta-palvelut 28.9.2017 Valmistautuminen organisaatiomuutoksiin Kartoita vaikutukset Kanta-palveluiden liittymisiin Tuleeko uusi/uusia liittyjiä? Lopettaako liittyjä
LisätiedotAineistosiirron testauksen aloituksen ohje Trafin sopimuskumppaneille
TraFin ulkoinen integraatio Aineistosiirron testauksen aloituksen ohje Trafin sopimuskumppaneille Ohje 26.2.2014 Versio 1.1, Hyväksytty Luottamuksellinen Vastuutaho Trafi MUUTOSHISTORIA Versio Päiväys
LisätiedotPilvipalveluiden arvioinnin haasteet
Pilvipalveluiden arvioinnin haasteet Tietoturvallisuus- ja jatkuvuuden hallinnan vaatimukset ICT-hankinnoissa, 12.5.2014 Laura Kiviharju Pilvipalvelut Pilvilaskenta (CloudComputing) tarkoittaa internetissä
LisätiedotTietoturvapolitiikka Porvoon Kaupunki
Tietoturvapolitiikka Porvoon Kaupunki 1 Sisältö 1 Johdanto... 3 2 Mitä tietoturvallisuus on?... 4 Tietoturvallisuuden hallinta... 4 Riskienhallinta sekä jatkuvuuden hallinta ja varautuminen... 5 3 Tietoturvallisuustavoitteet...
Lisätiedot1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus
1 (6) VALTIMON KUNTA Tietoturva- ja tietosuojapolitiikka Kunnanhallitus 11.6.2018 86 2 (6) Sisällys Johdanto.. 3 Käsitteet.. 3 Tavoitteet 4 Toteutus.. 4 Organisointi ja vastuut.. 4 Riskienhallinta 5 Seuranta
LisätiedotSuomeksi Potilastiedot valtakunnalliseen arkistoon
Suomeksi Potilastiedot valtakunnalliseen arkistoon Potilastiedot tallennetaan jatkossa valtakunnalliseen Potilastiedon arkistoon. Potilastiedon arkisto on osa uutta terveydenhuollon tietojärjestelmää,
LisätiedotTietoturvavastuut Tampereen yliopistossa
Tietoturvavastuut Tampereen yliopistossa Hyväksytty Tampereen yliopiston Yliopistopalvelujen johtoryhmässä 10.5.2016 Korvaa 18.10.2002 hyväksytyn vastaavan dokumentin. Tulee voimaan hyväksymispäivänä.
LisätiedotMiten liitytään Kanta-palveluihin. Kanta-liittyjän ohje
Miten liitytään Kanta-palveluihin Kanta-liittyjän ohje Sisällys 1 Johdanto... 1 1.1 Kanta-palvelut... 1 1.2 Kanta-palveluun liittyjät... 1 1.3 Kanta-liittyjä... 1 2 Liittymisen valtakunnallinen ja alueellinen
Lisätiedot