Esityksen aihe: Digitaalinen turvallisuus terveydenhuollossa

Transkriptio

1 Esityksen aihe: Digitaalinen turvallisuus terveydenhuollossa , LABQUALITY, HELSINKI

2 Kuka? Ari Andreasson Sote-palvelujen tietosuojavastaavana /2017- Tampereen kaupungin konsernihallinnon johtoryhmä nimitti Arin koko peruskunnan tietosuojavastaavaksi Työpaikka: Konsernihallinto, tietohallintoyksikkö Tehtävänimike on tietosuojavastaava Sivutoiminen tietokirjailija tulossa uusi kirja painosta 2/2019: Osaava tietosuojavastaava ja EU:n yleinen tietosuoja-asetus

3 Digiturvallisuus on Henkilötietojen oikeaoppista käsittelyä Oikeusturvaa organisaatiolle, työntekijälle ja asiakkaalle Digitalisaation mahdollistaja Tiedon elinkaaren hallintaa Varautumista poikkeamiin Riskienhallintaa Maineenhallintaa

4 Haluaisin, että Digiturvallisuus olisi nykyajan kansalaistaito

5 Tietosuojavastaava (DPO=Data Protection Officer) Tehtävä ja asema määritellään suoraan tietosuoja-asetuksessa Tietosuojavastaavaa nimitettäessä otetaan huomioon henkilön ammattipätevyys ja erityisesti asiantuntemus tietosuojalainsäädännöstä ja alan käytänteistä sekä valmiudet suorittaa 39 artiklassa tarkoitetut tehtävät Rekisterinpitäjän tai henkilötietojen käsittelijän on julkistettava tietosuojavastaavan yhteystiedot ja ilmoitettava ne valvontaviranomaiselle Raportoi suoraan johdolle

6 Tietosuojavastaavan asema (38 artikla) Rekisterinpitäjän ja tietojen käsittelijän tulee varmistaa, että tietosuojavastaava otetaan asianmukaisesti ja riittävän ajoissa mukaan kaikkiin henkilötietojen käsittelyyn liittyviin asioihin sisäänrakennetun ja oletusarvoisen tietosuojan hengessä Turvattava riittävät resurssit ja pääsy tietojärjestelmiin Riippumaton Vastaavan tehtävien hoitaminen ei voi olla erottamisen syy Salassapitovelvollinen Ei estä muiden tehtävien hoitamista, huomioitava mahdollinen intressiristiriita

7 Tietosuojavastaavan tehtävät (39 artikla) Ainakin seuraavat : Seurata asetuksen ja muun tietosuojalainsäädännön noudattamista, kouluttaa, neuvoa ja antaa tietoa Antaa pyydettäessä neuvoja tietosuojaa koskevasta vaikutustenarvioinnista (35 art) ja valvoa sen toteutusta Tehdä yhteistyötä valvontaviranomaisen kanssa ja toimia valvontaviranomaisen yhteyspisteenä käsittelyyn liittyvissä kysymyksissä mukaan luettuna 36 art. ennakkokuuleminen Tehtävien hoitamisessa huomioitava mm. käsittelyn luonne, laajuus ja asiayhteys

8 Viikossa tapahtuu enemmän kuin ennen vuodessa Lainsäädäntöä on Suomessa nk. ilmassa erittäin runsaasti Digiloikka vs. vauhtisokeusvaara Tietoturva- ja tietosuojapoikkeamat mm. lunnashaittaohjelmat ja tunnusten kalasteluviestit ja niiden varoittamiseen/opettamiseen liittyvät asiat on otettava todella vakavasti!!! Erilaiset toimintaan/lainsäädäntöön liittyvät kokeilut ja pilotit (mm. potilaan valinnanvapaus) muuttavat nopeasti prosesseja Tietojärjestelmiä ja mobiilaitteita tulee ja menee poisoppiminen vanhasta vaikeampaa kuin puhtaalta pöydältä uuden opettelu Julkista toimintaa osakeyhtiöitetään Henkilöstön jaksamisesta huolehdittava (kuormaa aiheuttaa YT-menettelyt, maakunta/kuntauudistus, uudenlaiset palvelut ja järjestelmät ja niiden opettelu lyhyessä ajassa jne.)

9 Yleisiä taustahuomioita: Kansalaiset ovat valveutuneita Ihmiset tuntevat oikeutensa ja pyytävät tarkastusoikeuden pohjalta omien/ alaikäisten huollettavien tietojen tarkistamista ja sen jälkeen myös korjaamista/poistamista Kuolleiden henkilöiden elinaikaisia asiakirjoja pyydetään esim. testamenttiriitoihin liittyen Alaikäisten lasten tietoja pyydetään esim. huoltajuusriitoihin liittyen Käyttölokiselvityksiä pyydetään (=kuka tietojani katselee ja miksi?) Potilasasiamiehelle ja sosiaaliasiamiehille sekä tietosuojavastaavalle tulee erittäin runsaasti kysymyksiä Selvityspyyntöjä, kanteluita ja kysymyksiä esitetään suoraan esim. eduskunnan oikeusasiamiehelle, tietosuojavaltuutetulle, poliisille sekä Valviraan ja aluehallintovirastoon

10 Ajankohtaista EU:n yleinen tietosuoja-asetusta alettiin soveltaa 5/2018- rekisterinpitäjällä korkea vastuu osoitusvelvollisuus siihen, että toiminnassa noudatetaan lakeja rekisteröidyn oikeudet laajemmat kuin aikaisemmin SOTE-sektorilla useita lainsäädännön muutoshankkeita käynnissä tulee olemaan vaikutuksia mm. rekisterinpitoon ja henkilötietojen käsittelyyn sote-asiakastietojen toissijaiseen käyttöön liittyen tulee uusia linjauksia jos sote-uudistus toteutuu, niin rekisterinpitäjyys tullee muuttumaan merkittävästi maakuntatasoisesti Palveluita keskitetään yhä enemmän internettiin terveysteknologia lisääntyy palveluissa (myös itsehoidossa) etälääketiede mukana palveluissa tietoturvaan ja tietosuojaan liittyy uudentyyppisiä haasteita (ohjelmistorobotiikka, dataanalyysit, keinoäly) Internet of Things, Avoin data, My data, Big data kansalaisia pitää myös tarvittaessa osata neuvoa itseasioimis/web-palvelujen käytössä henkilöstö tarvitsee enemmän käyttötukea ja koulutusta

11 Uutta lainsäädäntö tullut tai tulossa paljon Tietosuojalaki (1050/2018) Tiedonhallintalaki Sote- ja maakuntalakipaketissa on noin 40 hallituksen esitystä Erilaisissa hankkeissa ei voi muistella vanhoja vaan pitää tarkastaa aina, onko tullut esim. erityislainsäädäntöön muutoksia (voivat vaikuttaa esim. henkilötietojen luovuttamiseen eli asia, joka ennen vaati suostumuksen ei välttämättä nyt vaadikaan jne.)

12 Erilaisia huijauksia on ollut nyt paljon Useimmat ovat lukeneet huijauksista uutisista tai netistä, mutta ikävämmässä tapauksessa huijausviestin uhriksi voi joutua itse On kuitenkin hyvä tietää, että pelkkä huijausviestin vastaanottaminen ei vielä aiheuta ongelmia. Ongelmia syntyy vasta, jos omaan tietokoneeseen tai puhelimeen pääsee haittaohjelma esimerkiksi epämääräistä linkkiä tai liitettä klikkaamalla tai jos luovuttaa pankkitietojaan tai muita tunnuksiaan huijareille Verkossa oleviin houkutteleviin tarjouksiin ja arvontoihin kannattaa suhtautua kriittisesti, jos ne kuulostavat liian hyviltä ollakseen totta. Kannattaa suhtautua varauksella kaikkiin viesteihin, jotka saapuvat yllättäen ja joissa pyydetään luovuttamaan tietoja, vaihtamaan salasanoja tai kirjautumaan palveluun

13

14 Ohjaavia tekijöitä Lainsäädäntö eli käytännössä Suomessa voimassa oleva erityislainsäädäntö, jolla ohjataan sote-palveluita Direktiivit ja standardit (esim. lääkintälaitedirektiivi, ISO/IEC 27001, ISO/IEC ISO 27789, ISO 22600, ISO 21298, HL7 EHR-FM, ISO 18308) Viranomaismääräykset/ohjeet kuten esim. Valtion tietoturvatasot (Vahti) THL:n määräykset sosiaali- ja terveydenhuollon tiedonhallinnan vaatimusten yhdenmukaistamiseksi (A ja B-luokan järjestelmät) Sosiaali- ja terveydenhuollon tietoturvan ja tietosuojan omavalvontasuunnitelma Eu:n yleisen tietosuoja-asetuksen soveltamisohjeet (guidelines) tietosuojavastaava Ari Andreasson

15 Varautuminen Tärkeiden/kriittisten tietojärjestelmien osalta on erittäin tärkeää selvittää mitä riskejä niihin liittyy sekä suunnitella ja harjoitella, miten varaudutaan erilaisiin ongelmatilanteisiin: Jatkuvuussuunnittelu Jatkuvuussuunnittelu on osa tietoturvallisuutta, toiminnan laadunvarmistusta ja organisaation riskienhallintaa Jatkuvuussuunnittelu ei ole kertaluontoinen projekti, vaan jatkuvaa kehittämistä (prosessi) Tarkoituksena taata toimintojen jatkuvuus normaalioloissa, normaaliolojen häiriötilanteissa, poikkeustilanteissa sekä erityistilanteiden ja poikkeusolojen aikana Toipumissuunnittelu Aikajänne on lyhempi kuin jatkuvuussuunnittelussa Jatkuvuussuunnitelman osa, joka sisältää ohjeet häiriötilanteesta toipumiseen, normaaliin toimintaan paluusta sekä toiminnan jatkamisesta Toipumissuunnitelma määrittelee prosesseille ja tietojärjestelmille varajärjestelmävaatimukset, vastuut ja toimet valmiuden luomiseksi sekä ohjeet toiminnasta normaaliolojen häiriötilanteissa

16 Havaintojani kansallisesti Toiminnoissa (eri organisaatioissa) on melkoisia kypsyystasoeroja ylipäätään tietoturva- ja tietosuoja-asioiden ymmärryksessä Osa toiminnoista on nyt tilanteessa, että siellä pystytään jo käsittelemään ja käsittämään rekisterinpitäjälle/organisaatiolle kohdistuvia riskejä ja niistä koituvia vaikutuksia Suurin osa ei vielä pysty pohtimaan juurikin rekisteröidylle (on se sitten työntekijä tai asiakas) koituvia riskejä ja niiden vaikutuksia (DPIA)

17 Ohjeiden laatiminen ja niiden sisällön kouluttaminen Pitää ensin selvittää, mitä ohjeita sekä minkälaista koulutusta henkilöstö kaipaa Esimiehet keskeisessä roolissa vaikuttamassa mm. uuden työntekijän perehdyttämisprosessin onnistumiseen Pitää muistaa hyvän esimerkin tärkeys! Kannattaa osallistaa koko organisaatio jo ohjeistuksen laatimisen aikana Koulutuksen pitää olla käytännönläheistä eli kouluttajan pitää pystyä tunnistamaan substanssin erityispiirteet Pitää muistuttaa aina, että oikeaoppiset käytännöt tuovat oikeusturvaa organisaatiolle, työntekijälle ja asiakkaalle Koulutetaan tietoturvan ja tietosuojan yhteyshenkilöitä yksiköihin, joilta saa neuvoja ja jotka voivat myös suodattaa keskeisimmät ongelmat ohjeiden tulkinnassa tai muutostarpeissa esim. tietosuojavastaavalle tai tietoturva- ja tietosuojaryhmälle ratkaistavaksi

18 Käytännön näkökulmia Henkilöstö tarvitsee pienissä erissä jatkuvasti koulutusta (mieluusti konkreettisia tapausesimerkkejä) Ohjeiden ymmärrettävyyteen ja jakelutapaan pitää panostaa Tampere ja seutukunnat jakelivat Henkilöstön tietoturva- ja tietosuojaoppaan suoraan työasemien työpöydille Sähköinen tietojärjestelmien ja tietojen käyttö- ja salassapitositoumus on myös hyvä miniperehdytys Tampere ja seutukunnat käyttävät Kyberoppi-verkkokurssia kouluttamiseen Tietosuojatyöhön tarvitaan resursseja jatkossa yhä enemmän johtuen mm. lainsäädännöstä ja hankkeiden suuruusluokista sekä palvelujen ulkoistamisesta

19 Tietosuojavinkit henkilöstölle 1) Lue huolellisesti läpi henkilötietojen käsittelyohjeet 2) Käsittele henkilötietoja vain kun työtehtävät sitä edellyttävät 3) Muista kunnioittaa asiakkaiden ja työkavereiden yksityisyyttä. - Näin ylläpidät luottamusta 4) Varo paljastamasta sivullisille luottamuksellisia tietoja työpaikan ulkopuolella esim. sosiaalisessa mediassa 5) Lukitse tietokone, kun se ei ole valvonnassasi (Windowslippupainike + L) 6) Hävitä tietosuojattava jäte asianmukaisesti 7) Älä hätäänny, jos jotain poikkeavaa tapahtuu vaan kerro esimiehelle/tietosuojavastaavalle mitä on tapahtunut

20 Tietosuojariskejä käytännössä Tietosuojattavan pienjätteen (paperit, usb-tikut, cd-levyt) käsittelyprosessin puutteet: Salassa pidettäviä tietoja sisältävää materiaalia voi päätyä kaatopaikalle tai muuten sivullisille (myös imagoriski). Manuaaliset henkilötiedot pitää säilyttää lukollisilla/valvotuissa tiloissa. Hävityksessä kannattaa käyttää lukollisia astioita ja käyttää jätteen hävityspalvelua siihen erikoistuneelta yritykseltä (esim. Tampereen kaupunki on kilpailuttanut prosessin) Tietojen luovutukset: Sähköisissä luovutuksissa pitää henkilötiedot suojata riittävästi (ei saa käyttää esim. suojaamatonta sähköpostia) Täytyy varmistaa, että luovutuksen saajalla on oikeus saada tiedot Käyttöoikeuksien hallinnan puutteet: Käyttöoikeuksia on voimassa, vaikka ei pitäisi tai ne ovat vääränlaiset eivätkä vastaa työtehtäviä Liian vähäinen koulutus henkilöstölle: Aikaansaa tyhjäkäyntiä asiakastietojen käsittelyssä Tietojärjestelmien ja laitteiden oikeaoppisen käytön puutteellinen osaaminen Voi vaarantaa salassapitovelvoitteen (esim. somessa kirjoittelu) Altistaa herkemmin esim. kalasteluviestihuijauksiin haksahtamiseen Huono ICT-sopimus/hankintaosaaminen: Vaikea jälkikäteen muuttaa voimassaolevia sopimuksia (tärkeä sopia henkilötietojen käsittelystä) Uusissa tietojärjestelmävaatimuksissa pitää kirjata turvavaatimukset erityisen tarkasti tietosuojavastaava Ari Andreasson

21 Lokitiedot Henkilötietojen käsittelystä tallentuu nk. lokitietoa Lokitietojen avulla pitää jälkikäteisesti valvoa tietojen käsittelyn luvallisuutta Sote-sektorilla on lakisääteistä pitää yllä käyttö- ja luovutuslokirekisteriä Asiakkaalla on lakisääteinen oikeus saada tieto (käyttö- ja luovutuslokirekisteristä) asiakastietojensa käsittelijöistä ja käsittelyn perusteista Lokit tuovat oikeusturvaa henkilöstölle, koska niistä voidaan myös todentaa se, ettei työntekijä ole käsitellyt luvatta tietoja, vaikka kansalainen niin väittäisi Henkilötietojen luvaton käyttö on rikos Suomessa on annettu rangaistuksena vankeustuomioita sakkojen ja vahingonkorvaussanktioiden lisäksi Muistakaa, että kaikkien pitää käyttää vain henkilökohtaisia käyttäjätunnuksia, käsitellä ainoastaan työtehtävien kannalta tarpeellisia tietoja, ja lukita ohjelmat tai tietokone, kun ne eivät ole omassa näköpiirissä/valvonnassa

22 yle.fi tietosuojavastaava Ari Andreasson

23 tietosuojavastaava Ari Andreasson

24 iltalehti.fi

25 Käytännön esimerkkejä kuntayhteistyöstä Tampereen seudun tietoturva- ja tietosuoja yhteistyö seudun yhteinen tietoturvaryhmä, jossa jäsenet myös isoimmilta ICT-sopimuskumppaneilta seudun yhteinen tietoturvapolitiikka seudun yhteinen henkilöstön tietoturva- ja tietosuojaopas seudun yhteinen tietojen ja tietojärjestelmien käyttö- ja salassapitositoumus (sähköinen hyväksyntä) mukana myös Pirkanmaan sairaanhoitopiiri seudun yhteinen mobiilipolitiikka seudun yhteiset käyttövaltuusperiaatteet seudun yhteiset sähköisten viestintävälineiden käyttösäännöt

26 Hyviä linkkejä Hyvä linkki EU:n yleiseen tietosuoja-asetukseen: Hyvä kirja: Uusi tietosuojakirja tulossa (ilmestyy helmikuussa) 10 Mielenkiintoinen taulukko Paula Himanka: Opinnäytetyö vaikutustenarvioinnista Sonja Vainio: Pro Gradu, Rekisterinpitäjän osoitusvelvollisuus EU:n yleisessä tietosuoja-asetuksessa %C3%A4n%20osoitusvelvollisuus%20EUn%20yleisess%C3%A4%20tietosuoja-asetuksessa.pdf?sequence=2 Vaatimusmäärittelyissä (ICT-hankinnat) hyvä vaatia pakollisena mm. OWASP10-listan mukaiset asiat huomioiduksi

27 Hyviä linkkejä lisää Julkisen hallinnon pilvipalvelulinjaukset SUPO:n uusia esitteitä mm. matkustusturvallisuuteen: Työelämän tietosuojakäsikirja (Tietosuojavaltuutetun toimisto) 3%A4sikirja/236baba2-1f88-42a1-879cded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf Kyberhäiriöselvitys (Huoltovarmuuskeskus ja Tietoliikenteen ja tietotekniikan keskusliitto FiCom) 0.pd Muistakaa myös VAHTI/JUHTA-tietosuojatyöpajojen tallenteet (erittäin hyvää materiaalia esim. koulutusmateriaalina käyttämiseen)

28 Koulutustarjontaa on esim. Osaava tietosuojavastaava -täydennyskoulutusohjelma (15 op), Tampere; 1. Tietosuojavastaavan asema ja tehtävät (3 op), Tietosuojavastaavana julkisella sektorilla, Kehittämistehtävän (6 op) tuki, aloitus Tiedonhallinnan lainsäädäntö tietosuojavastaaville (3 op), Tietoturva ja riskienhallinta osana tietosuojavastaan työtä (3 op), Kehittämistehtävän purku, , lisätiedot ja ilmoittautuminen mennessä.