KanTa. Terveydenhuollon organisaation auditointivaatimusten läpikäynti - eresepti

Transkriptio

1 OHJE KanTa Terveydenhuollon organisaation auditointivaatimusten läpikäynti - eresepti OHJE: Tämä dokumentti on tarkoitettu taustamateriaaliksi ereseptin auditointivaatimusten käsittelyyn ja toteutumisen seurantaan. Auditointivaatimusten kommentit ovat eri osapuolien kesken syntyneitä tulkintoja ja esimerkkejä mahdollisista toteutustavoista, eikä niiden oikeellisuutta taata. STM vastaa virallisten auditointivaatimusten ylläpidosta. Terveyden ja hyvinvoinnin laitos Institutet för hälsa och välfärd National Institute for Health and Welfare

2 2 Sisältö 1 Organisaation itseauditointi Käytännön ohjeita Auditointivaatimukset... 6

3 3 1 Organisaation itseauditointi Sähköisestä lääkemääräyksestä annetun lain 23 :n mukainen velvollisuus laatia lääkemääräykset sähköisesti tulee voimaan kuntien ja valtion terveydenhuollon toimintayksiköissä 1 päivänä huhtikuuta Tätä ennen terveydenhuollon organisaatioiden on liityttävä Kelan ylläpitämään Reseptikeskukseen (KunTo-hanketoimiston ylläpitämän aikataulun mukaisesti). Liittymisen edellytyksenä on, että organisaatio täyttävää turvallisuudelle ja KanTa-järjestelmien toiminnallisuudelle asetettavat minimivaatimukset (kansalliset auditointivaatimukset). Vaatimusten täyttyminen todennetaan itseauditoinnilla 1. Liittyessään valtakunnallisiin palveluihin organisaatio vakuuttaa, että se ja sen käyttämät tietojärjestelmät ja välittäjät täyttävät STM:n hyväksymät kansalliset auditointivaatimukset siltä osin kuin ne koskevat liittyjää ja ereseptiä. Hyvä yleisohje liittymisen valmisteluun on KELAn julkaisema Liittymisohje KanTapalveluihin 2. Auditoinnin kulku on kuvattu STM:n ohjeessa: 1. organisaatio tutustuu hyvissä ajoin auditointivaatimuksiin ja huolehtii vaadittaviin toimiin ryhtymisestä ajoissa, jotta se pystyy osoittamaan vaatimusten täyttämisen liittymisvaiheessa 2. siltä osin kun organisaatio ostaa tietojärjestelmä- tai tietoliikennepalvelut muualta, organisaatio välittää niihin kohdistuvat vaatimukset ja todentamispyynnöt palveluiden tuottajilleen 3. organisaatio tekee hallinnollisen liittymispäätöksen 4. organisaatio tekee hakemukset palvelu- ja henkilövarmenteista 5. organisaatio huolehtii käyttämänsä tietojärjestelmän version olevan auditoitu versio liittymiseen mennessä 6. organisaatio tarkastaa, että auditointivaatimusten edellyttämät dokumentit ja toimenpiteet ovat kunnossa sekä että sen järjestelmätoimittajat ovat omalta 1 STM:n ohje : KANTA-PALVELUIHIN LIITTYVÄN AUDITOINNIN MENETTELYT

4 4 osaltaan toimittaneet organisaatiolle selvityksen kansallisten auditointivaatimusten täyttymisestä 7. organisaation allekirjoitusoikeuden omaava edustaja allekirjoittaa liittymishakemuksen yhteydessä Kelalle sitoumuksen, jossa hän vakuuttaa edustamansa organisaation täyttävän kansalliset auditointivaatimukset 8. organisaatio huolehtii, että sen toiminnan turvataso säilyy ja että se kehittyy seuraavan liittymisvaiheen vaatimuksia vastaavaksi.

5 5 2 Käytännön ohjeita Organisaation itseauditoinei ole yksittäinen tilaisuus, joka pidetään juuri ennen liittymistä KanTa-palveluihin, vaan kyse on vaadittujen toimien toteuttamisesta käyttöönottoprojektin osana siten, että lopulta voidaan todeta vaatimusten täyttyvän. STM:n ohjeenkin mukaan vaatimuksiin on tutustuttava hyvissä ajoin, jotta tarvittavat toimet ehditään tehdä. Esimerkiksi tietoliikenteelle asetetut vaatimukset pitää huomioida yhteyksiä tilattaessa, ja tietoturvapolitiikan laatimiseen ja hyväksyttämiseen kuluvaa aikaa ei välttämättä lasketa päivissä vaan kuukausissa. Tietoturvaan ja tietosuojaan kohdistuvat vaatimukset eivät ole mitenkään uusia, erityisesti KanTa-palvelujen käyttöönotosta johtuvia. Terveydenhuollon organisaatioilta on aikaisemminkin edellytetty ohjeistusta potilastietojen käsittelystä sekä rekisterinpitäjän tehtävistä. Organisaation johto on viime kädessä vastuussa siitä, että tietosuoja toteutuu organisaatiossa lainsäädännön mukaisesti. Auditointivaatimusten täyttäminen ei siten ole pelkästään ereseptin käyttöönoton projektipäällikön vastuulla, vaan tarvittavien toimenpiteiden toteuttamiseen tarvitaan koko organisaation osallistumista heti ensimmäisistä arvioista alkaen. Liittymishakemuksen KanTa-palveluihin allekirjoittaa henkilö, jolla on organisaation nimenkirjoitusoikeus (hallintosäännön perusteella, tyypillisesti esim. toimialajohtaja). Allekirjoituksellaan organisaatio sitoutuu noudattamaan auditointivaatimuksia. Käytännössä hyvä tapa käsitellä auditointivaatimuksia organisaatiossa on käydä vaatimukset läpi allekirjoittajan kanssa ensin alustavasti, jotta voidaan keskustella täsmällisistä tavoitteista ja siitä, miten tarvittavat toimenpiteet suoritetaan sekä allekirjoitushetkeä silmälläpitäen: Minkälaiset todisteet ja esittelyn vaatimusten toteutumisesta allekirjoittaja aikanaan haluaa. Lähtötaso voi joidenkin vaatimusten osalta usein olla vaatimaton. Tällöinkin kannattaa pitää mielessä, että nimenomaan ereseptin käyttöönotolle asetettujen vaatimusten täyttäminen on vain yksi osa laajempaa kokonaisuutta. Tavoitteena olisi hyvä pitää tietosuojaan ja tietoturvaan liittyvien asioiden suunnitelmallista ja jatkuvaa kehittämistä

6 6 3 Auditointivaatimukset Kriteeri nro 1 Tyyppi Organisatoriset vaatimukset Sisäinen päätös liittymiselle Organisaation sisäinen hallinnollinen päätös liittymisestä ereseptiin ja KanTa-palvelujen käyttäjäksi on tehty. Tarkastetaan, että organisaatio on tehnyt sisäisen hallinnollisen päätöksen liittyä Reseptikeskukseen / KanTa-palvelun käyttäjäksi. Esimerkiksi sitoumus käyttöönottoprojektin aloittamisesta, joka viedään tiedoksi th-lautakuntaan Hakemus ja sitoumus dokumentti: Sitoumuksen allekirjoittamisella organisaatio sitoutuu hakemuksessa ja sen liitteissä kuvattuihin ehtoihin. Auditoinnin tärkein tarkoitus varmistaa, että Kanta-vaateet täyttyvät. Tätä auditointia kannattaa myös käyttää organisaation toimintamallien muutokseen. Jos kaikki vaateet eivät täyty, niin tätä kannattaa käyttää vääntimenä nykytilan parantamiseksi.

7 7 Kriteeri nro 2 Tyyppi Auditoitu järjestelmä Organisaatiossa on käytössä auditoitu ereseptikyvykäs järjestelmä, joka on parametroitu ereseptivaatimusten mukaisesti Tarkastetaan, että organisaatiolla on käytössään järjestelmä joka on läpäissyt auditoinnin. Kelan auditoimat järjestelmät luetellaan kanta.fi sivustolla: Auditoitavalle perusjärjestelmälle pitää tehdä konfiguraatiomuutoksia esimerkiksi: - OID-koodit, - käyttöoikeusmäärittelyt käyttäjille, - eresepti-toiminnallisuus kytketty päälle, - yhteysosoitteet konfiguroitu, - varmenteet asennettu yhteysosapuolten välille, - sulkulistojen nouto määräsyklillä, - lääketietokanta, jos järjestelmä vaatii sen konfigurointia. Järjestelmätoimittajilla tulisi olla dokumentti vaadituista parametreista, jota päivitetään tarvittaessa jo suoritettujen käyttöönottokokeiden perusteella. Asiakkaan pitää muistaa pyytää näitä, jos toimittaja ei niitä automaattisesti toimita tai muuten projektisuunnitelmassaan huomioi.

8 8 Kriteeri nro 3 Tyyppi Tietoturvapolitiikka Organisaatiolla on tietoturvapolitiikka laadittuna ja se on otettu käyttöön Tarkastetaan, että organisaatio on voimassaoleva ja ajantasainen tietoturvapolitiikka. Politiikasta tulee mm. ilmetä miten sitä tarkastetaan, kehitetään ja miten tietoturva on vastuutettu ja organisoitu organisaation tavoitteiden ja kansallisten vaatimusten saavuttamiseksi. Tietoturvallisuuden hallinnointi sekä siihen liittyvät tietoturvapolitiikka, tietoturva-asiat ja tietosuoja-asiat eivät ole erityisesti eresepti-asioita, vaan ne kuuluvat yleishallintoon ja rekisterinpitäjän velvollisuuksiin. Jos organisaatiossa on nämä asiat (dokumentit + systemaattinen koulutus) rempallaan, niin kannattaa käyttää tätä hyväksi. Olisiko mahdollista tehdä alueellista yhteistyötä (vai tehdäänkö jo?) KanTa-sivuilta löytyy dokumentti Tietoturvapolitiikan malli terveydenhuollon organisaatioille. Ydinkysymys on kuitenkin se, että tietoturvapolitiikka jalkautetaan, jolloin se toteuttaa auditoinnin hengen eikä pelkästään kirjainta. Yksi lähestymistapa tietoturvapolitiikan ajantasaisuuden ja kattavuuden arviointiin on hyödyntää Sosiaali- ja terveydenhuollon tietojärjestelmien tietoturvan ja tietosuojan hallinnan periaatteet ja hyvät käytännöt (STAKES: RAPORTTEJA 5/2005) -dokumentin ohjeita ja tarkastuslistoja, esim. kohdat A1.1 ja A2.1 alakohtineen.

9 9 Kriteeri nro 4 Tyyppi Nimetty tietosuojavastaava Organisaatiolle on nimetty tietosuojavastaava ja hänen toimenkuvansa on määritelty Tarkastetaan, että organisaatiolle nimetty tietosuojavastaava ja hänen toimenkuvansa on määritelty Tietosuojavastaavan tehtävät ja toimenkuva: Kaikilla terveydenhuollon organisaatioilla pitää lain mukaan olla tietosuojavastaava. Tietosuojavastaavan tehtävänä on olla organisaationsa tietosuoja-asiantuntija ja toimia johdon apuna tietosuojaan liittyvissä kysymyksissä. Organisaation johto on viime kädessä vastuussa siitä, että tietosuoja toteutuu organisaatiossa lainsäädännön mukaisesti.

10 10 Kriteeri nro 5 Tyyppi Ohjeet potilastietojen käsittelystä Organisaatiossa on käytössä kirjalliset ohjeet potilastietojen käsittelystä henkilökunnalle ja huolehtinut henkilökunnan kouluttamisesta ja osaamisesta potilastietojen käsittelyssä Tarkastetaan, että organisaatio on laatinut kirjalliset ohjeet potilastietojen käsittelystä henkilökunnalle ja huolehtinut henkilökunnan kouluttamisesta ja osaamisesta potilastietojen käsittelyssä STM Potilasasiakirjaopas: pdf Organisaation oman oppaan pitää olla linjassa valtakunnallisen oppaan kanssa, joten oma potilasasiakirjaopas tulee päivittää STM:n ohjeen mukaiseksi. ( on julkaistu ohje Potilastietojen käsittely voi myös olla hyödyllinen. Siinä on ohjeistusta tietojen luovutuksesta jne.) Koulutus tarkoittaa esimerkiksi koulutussuunnitelmaa ja sen jatkuvaa toteuttamista. On huomattava, että jos käytetään alihankkijoita, niin omistajia velvoittavat säädökset koskevat myös alihankkijaa ja auditointivaatimusten todentaminen on ulotettava sinne.

11 11 Kriteeri nro 6 Tyyppi Henkilökunnan koulutus Organisaatio on kouluttanut henkilökunnan uuden ereseptin toimintamallin käyttöönottoon siltä osin kuin se otetaan käyttöön toimintayksiköissä Tarkastetaan, että organisaatio on kouluttanut henkilökunnan uuden toimintamallin käyttöönottoon: esim. reseptin uudistaminen, suostumusmenettelyt. Koulutus on voinut pohjautua esim. yksityiskohtaisiin toimintamalleihin valtakunnallisessa ohjeessa: ereseptin toimintamallit Toimintamallikoulutus on tarjolla eri tasoilla: Yleinen (video, toimintamallidokumentti, verkkokoulutus) tai yhdistettynä tietojärjestelmän koulutukseen. Käyttöönoton kannalta auditointivaatimus täyttyy, kun toimintamallit on koulutettu niille, jotka ereseptiä alkavat käyttämään. Organisaatio sitoutuu siis siihen, että ereseptiä käyttävät vain siihen koulutuksen saaneet henkilöt. Liittymishakemuksen jättöhetkellä koko henkilöstön ei siis tarvitsisi olla koulutettuna. Käytännössä koulutetaan kaikki käyttäjät kerralla ja samassa yhteydessä voi olla perusteltua potilastietojen käsittelyn lisäksi kouluttaa tietoturvaa hieman laajemmin. Erityisen tärkeää on kertoa toimintamalleista myös johdolle ja esimiehille. Yhteistyö apteekkien kanssa on myös suositeltavaa, jotta kokonaisuus (määräys, toimitus, uusimiset) muodostuu mahdollisimman sujuvaksi. Toimintamallikoulutuksessa pitäisi käsitellä esimerkiksi seuraavia asioita 1) sovitut + ohjeistetut potilaan informointikäytännöt, 2) miten organisaatiossa on sovittu lääkemääräyksen käsittelyyn liittyvät asiat 3) Henkilöstö on perillä mistä ereseptissä on kyse (esim. Kela rekisterinpitäjä + tietojen tarkastuspyyntöihin liittyvät proseduurit) Koulutustarpeita selventää erillinen dokumentti ereseptin toimintamallit julkisessa terveydenhuollossa.

12 12 Kriteeri nro 7 Tyyppi Tietosuojan valvonta Organisaatiolla on laadittu tietosuojaan liittyvä seuranta- ja valvontasuunnitelma tai se on ottanut käyttöön Kelan laatiman tietosuojaohjeen Tarkastetaan, että organisaatiolla on Kelan laatiman ohjeen mukainen tietosuojaan liittyvä seuranta- ja valvontasuunnitelma (Reseptikeskuksen tietojen käsittelyn seuranta ja valvontaohje terveydenhuollossa ja apteekeissa). Suunnitelmassa otetaan kantaa esim. miten tehdään säännöllistä henkilötietojen käytön seurantaa ja miten on suunniteltu toimittavan, jos väärinkäytöksiä ilmenee. KELAn ohje reseptikeskuksen käytön valvonnasta ja seurannasta: ja tuota soveltamalla voidaan muokata organisaation käytäntö. Vaikka ohje koskee vain ammattihenkilön kortilla toimimista reseptikeskukseen, niin samalla vaivalla siitä kannattaa tehdä koko organisaation toimintamalli. ereseptin verkkokoulun tietosuojaosio:

13 13 Kriteeri nro 8 Tyyppi Yksityisten lääkäriasemien toimintayksiköiden ja ammatinharjoittajien vastuut Organisaatiolla on toimintamalli sen järjestelmiä käyttävien omien toimintayksiköiden ja mahdollisten ulkopuolisten ammatinharjoittajien keskinäisten vastuiden osalta Yksityisen lääkäriaseman liittymisessä ereseptiin on lisäksi sovittava kirjallisesti toimintamallista eli siitä, miten sen järjestelmiä mahdollisesti käyttävät toimintayksiköt tai ammatinharjoittajat liittyvät mukaan ja onko lääkäriaseman ja tiloissa toimivien keskinäisistä vastuista sovittu. Kyseessä on yksityisiä lääkäriasemia koskevat vaateet, mutta organisaation olisi yleisemmin ottaen hyvä tarkastaa vastaavat vastuut ostopalveluissa (ks. myös #13, #14, #21). Miten sopimusasiat on hoidettu mahdollisen alihankkijaketjun läpi. Viitannee ereseptilain 22 :ään, jossa sanotaan: Lääkemääräykset on laadittava [ ] sähköistä lääkemääräystä käyttäen kaikissa julkisen ja yksityisen terveydenhuollon toimintayksiköissä sekä terveydenhuollon toimintayksikön tiloissa toimivien itsenäisten ammatinharjoittajien vastaanotoilla, jollei potilas ole kieltänyt sähköisen lääkemääräyksen laatimista JA Itsenäisenä ammatinharjoittajana toimivat lääkärit ja hammaslääkärit voivat ottaa käyttöön tämän lain mukaisen sähköisen lääkemääräyksen. Yksityisillä taloilla on yleensä järjestelmä talon puolesta, mutta vastaanottajat ovat itsenäisiä ammattiharjoittajia. Varmaan jostain löytyy lääkäritalo, jossa vastaanottoa pitävän lääkärin ei ole pakko käyttää paikallista tietojärjestelmää X? Siksi asioista pitää sopia selkeästi ja kirjallisesti.

14 14 Kriteeri nro 9 Tyyppi Viestinvälityksen sopimukset ja lainsäädäntö Viestinvälityksen / tietoliikenteen tietosuojaa koskevat vaatimukset ja vastuiden määrittely tulee olla osa organisaation ja viestinvälitysoperaattorin välistä sopimusta. Mikäli viestinvälitys / tietoliikenne on ulkoistettu ei-suomalaiselle yritykselle, tulee siinä noudattaa Suomen lainsäädäntöä. Mikäli viestinvälityksen / tietoliikenteen alihankkijan tai toteuttajana käytetään amerikkalaisen yrityksen tytäryhtiötä, tulee varmistaa, ettei Yhdysvaltain viranomaisille synny mahdollisuutta päästä käsiksi viestintään ja sen tietoihin. Tarkastetaan, että organisaatioiden välisissä sopimuksissa on huomioitu vaaditut viestinnän luottamuksellisuuteen liittyvät vaatimukset (tämän auditointipaperin liikenteen salaukseen ja luottamuksellisuuteen liittyvät vaatimukset) ja ulkoistustapauksissa mainittu noudatettava lainsäädäntö. Yhdysvaltain osalta vaatimus voidaan käytännössä toteuttaa vain salaamalla kaikki sinne mahdollisesti siirrettävät tiedot luotettavalla tavalla Organisaatiolla tarkoitetaan liittyjää (Kelan Liittyjät-ohje) ja vaatimus kohdistuu käytännössä kaikkiin sopimuksiin, joita yksittäinen liittyjä KanTa-tietoliikenteen toteuttamiseksi solmii. Palvelimien välinen liikenne tulee suojata, mutta samassa VLA- Nissa olevien palvelimien välinen SSL/TLS -salaus ei ole välttämättä kiireellisin tehtävä. Työasemien ja palvelimien välistä liikennettä ei tarvitse suojata, jos ne ovat samassa fyysisesti suojatussa verkossa, jos työasemien liikenne kulkee fyysisten verkkojen välillä (esim. operaattorin verkossa), niin silloin suojaustarve on todennäköisempi. Välittäjätaho pitää auditoida erikseen.

15 15 Kriteeri nro 10 Tyyppi Tietoliikenneyhteydet ja toiminta teleoperaattoreiden kanssa Käytettävien tietoliikenneyhteyksien tietoturva tulee olla toteutettu organisaation tietoturvapolitiikan mukaisesti ja siten, että organisaation oman tietoturvapolitiikan, Kelan laatiman Kan- Ta-tietoliikenteen tietoturva - dokumentin sekä tämän kriteeristön vaatimukset toteutuvat. Tämän toteutuminen tulee myös varmistaa sopimuksin. Sopimuksista tulee ilmetä mihin toimiin osapuolet ryhtyvät jos tietoturvassa ilmenee puutteita, ongelma tai uhkaava vaara. Tarkastetaan, että sopimuksissa tietoliikenneyhteyksistä on huomioitu tietoturvapolitiikan ja tämän vaatimusdokumentin asettamat vaatimukset. Sopimuksissa pitää ottaa huomioon tietoturvan osalta yhteyksien Kelaan lisäksi esim. sopimukset verkko-operaattoreiden kanssa (työasemilta palvelimelle, jos fyysisesti eri verkossa), sopimukset palvelimelta välityspisteelle.

16 16 Kriteeri nro 11 Tyyppi Salaukseen käytettävät avaimet pysyvät vain haluttujen tahojen käytössä Organisaation järjestelmien tulee tukea hyvien käytäntöjen mukaista salausavainten ja sertifikaattien hallintaa, jonka tulee kattaa a) Avainten/sertifikaattien luonti (tai siirto järjestelmään) b) Avainten/sertifikaattien säilytys c) Avainten/sertifikaattien käyttö d) Avainten/sertifikaattien tuhoaminen/arkistointi/poisto Salausavainten hallintaan liittyvä dokumentaatio, tarkastetaan että vaaditut hyvät käytännöt a-d toteutuvat Koskee pääasiassa VRK:lta haettavia palvelinvarmenteita. Käytettävissä ei vielä ole erityistä hyvät käytännöt - dokumenttia. Esimerkiksi: VeriSignin ohjeissa kehotetaan tallentamaan yksityinen avain (mieluusti salattuna) siten, että mahdollisten tietomurron sattuessa avain tai sen kopio ei joudu sivullisten käsiin. Pankkien maksuliikenneohjeet puolestaan suosittavat avaimen säilytystä salattuna ja niin, että on dokumentoitu kenellä ja miten (missä tapauksissa) pääsyoikeudet on hoidettu ja miten avaimen käsittelystä jää jälki. HUOM: Palvelinvarmenteetkin vanhenevat, joten erityistä huomiota on kiinnitettävä siihen, että niiden uusiminen on annettu jollekin tehtäväksi ja merkattu huolella kalenteriin!

17 17 Kriteeri nro 12 Tyyppi Käyttövaltuushallinta (Käyttäjän sähköisiin lääkemääräyksiin liittyvän oikeuden asettaminen sekä oikeuksien ja rajoituksien tarkistaminen) Terveydenhuollon tietojärjestelmän tulee hallinnoida käyttäjiensä oikeuksia käyttää sähköiseen lääkemääräykseen liittyviä toimintoja ja reseptikeskuksen tietoja tai vaatimukset tulee toteuttaa ulkoisen järjestelmän, esimerkiksi käyttöoikeuksien hallintajärjestelmän IAM:n avulla. Käyttöoikeuksista ja niihin tehdyistä muutoksista tulee pitää kirjaa/lokia Tarkastetaan, että on olemassa sähköinen tai muu kirjanpito, josta voidaan todentaa haetut, hyväksytyt, implementoidut, poistetut jne. käyttöoikeudet Reseptikeskus hallinnoi osaltaan reseptikeskuksen käyttäjätietoja - Terveydenhuollon varmennekortteihin nojautuen. ereseptiosioihin ja reseptikeskukseen ei pääse ilman toimikorttia (myös vaatimus numero 23.) Potilastietojärjestelmien oman käyttäjähallinnan osalta käyttöoikeudet ja niihin liittyvät prosessit tulisi olla dokumentoituna. Jos prosessiin osallistuu useampi organisaatio, esimerkiksi sairaanhoitopiiri ja sen IT-ylläpidosta vastaava tytäryhtiö, niin molemmat kuvaavat oman osuutensa käyttäjähallinnasta (esim. shp kuvaa, kuinka käyttäjätietojen ja oikeuksien prosessit hoidetaan sen puolella ja kun tunnushakemus saapuu ylläpitäjälle, niin miten prosessi jatkuu). Tunnusten luontiin on organisaatioilla usein kunnossa olevat prosessit. Haastavampaa on toteuttaa kunnolla tunnusten oikeuksien muutokset ja poistot. Prosessissa on otettava myös huomioon tilapäiset työntekijät, mikä tekee siitä astetta hankalampaa. Vaateet saattavat aiheuttaa useissa organisaatioissa paineita käyttäjähallinnan kehittämiselle. Toisaalta KanTa-palveluiden käytön edellyttämät terveydenhuollon varmennepalvelut (varmennekortit) voivat joiltain osin helpottaa nykyisiä käytäntöjä, ainakin korttien käyttö on huomioitava käyttövaltuushallintaa kehitettäessä.

18 18 Kriteeri nro 13 Tyyppi Käyttöoikeuksien jako ja hallinta Terveydenhuollon toimintayksikön on omalta osaltaan seurattava ja valvottava, että reseptikeskuksessa olevia tietoja voivat katsella ja käsitellä vain siihen oikeutetut henkilöt. Järjestelmät estävät ei-sallitun käytön silloin, kun se on teknisesti mahdollista ja organisaation ohjeet ja toimintatavat ohjaavat oikeaan toimintaan ja käsittelyyn Käyttöoikeuksien myöntäminen ja käyttöoikeuksienhallintaprosessien tulee perustua roolipohjaisiin käyttöoikeuksiin. Poikkeamat roolikohtaisista oikeuksista tulee asianmukaisesti hyväksyä ja dokumentoida. Ne henkilöt/roolit, joilla on oikeus hyväksyä käyttöoikeuspyyntöjä tulee olla dokumentoitu Organisaation tietojärjestelmästä tulee olla laadittuna dokumentoidut käyttöoikeudet rajauksineen Tarkastetaan käyttöoikeuksienhallintaprosessi / menetelmät: Mihin ja miten haetut, myönnetyt ja olemassa olevat käyttöoikeudet dokumentoidaan? Mistä käyttöoikeuksien oikeellisuus on varmistettavissa? Tarkastetaan organisaation toimintaohjeet reseptikeskuksen tietojen käsittelyn osalta sekä todennetaan seuranta ja valvonta, esim. valvontasuunnitelman olemassaolon toteaminen. Tarkastetaan käyttöoikeuksien hallinnan määrittelyt ja kuvaus. Tarkastetaan, että henkilöt/roolit, jotka saavat hyväksyä käyttöoikeuksia, on määritetty. Sopiva hetki havahtua käyttäjätunnusten hallinnan ongelmallisuuteen. Tutustukaa oman organisaationne potilastietojärjestelmien aktiivisten käyttöoikeuksien tilaan. Se saattaa herättää. On helppo tehdä tunnuksia, mutta haastavampi ongelma on muutosten hallinta ja oikeuksien poisto. Jos asia ei ole kunnossa, niin voisiko tätä käyttää käyttäjähallintaprojektin herätteenä. On syytä minimissään pohtia ja todennäköisesti kehittää käyttäjähallintaprosesseja.

19 19 Kriteeri nro 14 Tyyppi Vastuiden määrittely Kaikkien osapuolien (terveydenhuollon toimintayksiköt, apteekit, itsenäiset ammatinharjoittajat, ohjelmistoyritykset ja tietoliikenneoperaattorit) vastuut tulee olla selkeästi määritelty toiminnallisuuden, tietoturvallisuuden ja yhteistoiminnallisuuden osalta. Tällä voidaan tarkoittaa esim. olemassa olevien kolmikantasopimusten (thorganisaatio/ teleoperaattori/järjestelmätoimittaja) tapaisia vastuiden määrittelyjä. Tietoturvallisuuden osalta vastuut määritellään osapuolten välisissä toimeksianto- tai muissa sopimuksissa tai niiden liitteissä. Huom.! Kaikkien mainittujen osapuolten välillä ei välttämättä ole sopimussuhdetta. Tällöin vastuut pitää olla selvillä osapuolten tarjoamien palveluiden palvelukuvausten tai muiden vastaavien menettelyjen kautta. Selkeät tietoturvavastuut tulee ulottaa koskemaan myös alihankkijoita ja muita mahdollisia sopimuskumppaneita Tarkastetaan osapuolten välisistä sopimuksista että vastuut toiminnallisuuden, tietoturvallisuuden ja yhteistoiminnallisuuden osalta on selkeästi määritetty sopimuksiin. Tarkastetaan eri osapuolten palvelukuvaukset ko. toimintojen osalta Sopimukset ja palvelukuvaukset. Jos ei ole palvelukuvauksia koko organisaation osalle, niin voitaneen sorvata sopimus Kan- Ta-palveluiden osalta tai päivittää jotain olemassa olevaa sopimusta.

20 20 Kriteeri nro 15 Tyyppi Muutostenhallintaprosessi Järjestelmille tulee olla määrämuotoinen muutostenhallintaprosessi, joka kattaa versio- ja korjauspäivitykset sekä myös pienemmät toiminnalliset ja muuta vastaavat muutokset. Muutostenhallintaprosessin tulee sisältää ainakin: testauskäytännöt hyväksymiskäytännöt muutosten dokumentoinnin Toimenpiteet muutosta edeltäneeseen tilaan palaamiseksi, mikäli muutos ei toimi odotetulla tavalla Tarkastetaan kyseistä järjestelmää/ järjestelmiä koskeva muutostenhallintaprosessi Tarkastetaan, että tehdyt muutokset on suunniteltu, hyväksytty, testattu ja dokumentoitu Tämä tarkentuu kun KanTa-palveluihin liittyvät ohjeet valmistuvat. Käytetään auditoitua potilastietojärjestelmään, joten järjestelmätoimittaja on muutoksenhallinnan osin jo toteuttanut. Organisaation vastuulle jää mm. vastaanottotestaus, hyväksymiskäytännöt. versionvaihtoon liittyvät käytänteet sekä toipumissuunnitelma. Katso myös: Sosiaali- ja terveydenhuollon tietojärjestelmien tietoturvan ja tietosuojan hallinnan periaatteet ja hyvät käytännöt (STAKES: RAPORTTEJA 5/2005) kohdat A6.2 ja A8.4 sekä vastaavat tarkastuslistat. Jos organisaatiolla on käytännöt, joilla hoidetaan versionvaihdot jne., niin nyt voisi olla hyvä hetki kirjata ne auki. Voiko tätä käyttää toimittajan ja asiakkaan välisen toimitusprosessin selkeyttämiseen? Voiko tällä vaatia, että testausprosessi, käyttöohjeet, käyttökoulutus jne on toimittajalla ryhdikkäämmin hoidettu, koska vaateet asiakkaalle (th-organisaatio) ovat nyt virallisia?

21 21 Kriteeri nro 16 Tyyppi Tietoturvapoikkeamien havainnointi ja tietojärjestelmien käytön seuranta Organisaatiolla on oltava olemassa toimiva prosessi ja toimintatavat seuraaviin tietoturvallisuuden kannalta keskeisiin osa-alueisiin: Tietoturvapoikkeamien havainnointi ja eskalointi (incident management) Tietojärjestelmien käytön seuranta (lokienanalysointiproseduurit) Tarkastetaan, että vaaditut prosessit ja toimintatavat on olemassa (dokumentoidusti), ne on henkilöstön tiedossa ja niiden mukaan toimitaan Tämä tarkentuu, kun ohjeet KanTapalveluiden osalta valmistuvat. Vaateessa on kaksi erityyppistä, mutta toisiinsa liittyvää asiaa. Millaiset ovat prosessit tietoturvapoikkeamien havainnointiin ja millaiset prosessit ovat tietosuojan valvontaan. Tietoturvapoikkeamien havainnointi ja raportointi. Esimerkiksi tietoturvakäsikirjaan ohjeistus poikkeamien havainnoinnista ja normaaliin koulutukseen tietoturva/tietosuojakoulutusta, ellei jo ole. Toisaalta alihankkijoiden ja organisaatioiden välisissä sopimuksissa tietoturva- ja salassapito-asiat pitää ottaa huomioon. Tietosuojaan liittyviä lokitietoja seurataan esimerkiksi a) rutiininomaisin pistokokein, b) erityisissä tapauksissa (esim. julkkis sairastaa) c) potilaan tms pyynnöstä. Prosessi pitäisi olla selvä: kuka tekee, mitä analysoidaan, miten dokumentoidaan ja miten toimitaan ja dokumentoidaan, jos poikkeamia löytyy. Dokumentti Reseptikeskuksen tietojen käsittelyn seurannasta ja valvonnasta terveydenhuollossa ja apteekissa löytyy osoitteesta: Verkkokoulutuksen tietoturva- ja tietosuojaosiot

22 22 Kriteeri nro 17 Tyyppi Virhetilanteiden hallinta Virhe- ja poikkeustilanteiden varalta tulee olla dokumentoitu ja testattu toimintasuunnitelma (toipumissuunnitelma) Organisaatiolla (ja Kelalla) tulee olla yhteisesti sovittu ja dokumentoitu toimintatapa, miten erilaisista poikkeustilanteista selvitään. [Tarkennus: Apteekkien tapauksessa KELAa koskeva vaatimus ei sovellu] Tarkastetaan toipumissuunnitelmien olemassaolo. Tarkastetaan, miten järjestelmien toiminnallisuutta valvotaan ja miten poikkeustilanteet ja virhetilanteet havaitaan Tarkastetaan, että organisaatiot (ja Kela) ovat yhdessä sopineet miten poikkeustilanteista selvitään. Tämä tarkentuu, kun ohjeet KanTapalveluiden osalta valmistuvat. Toipumissuunnitelman tekeminen voi olla koko organisaation osalta haastavaa. KanTa-palveluita voisi käyttää lähtöpisteenä. Toisaalta tässä yhteydessä pohditaan myös virhetilanteiden havainnointia (kuka huomaa, miten toimitaan). Voi olla paikallaan laajentaa verkon normaalivalvontaa potilastietojärjestelmiin (esim. Tekniset valvontajärjestelmät kuten SCOM ta CA Spectrum), jos niitä ei ole vielä kohdennettu niihin. Kela on laatinut toiminta ohjeet häiriötilanteisiin:

23 23 Kriteeri nro 18 Tyyppi Lokitietojen muuttumattomuus Lokitietojen luomisen ja käsittelyn prosessin tulee taata, että tarpeelliset lokit sekä syntyvät että pysyvät muuttumattomina ja todistusvoimaisina. Esim. Vahti 3/2009 Tarkastetaan miten järjestelmän lokiympäristö on toteutettu, esim. erillisellä lokipalvelimella. Tarkastetaan miten lokitiedot on suojattu käyttöoikeuksin ja muuten. Varmistetaan, että ylläpitäjät ja muut voimakkaita oikeuksia omaavat tahot eivät voi poistaa tai muokata lokeja Tämä on kohta, joka on käytännössä järjestelmätoimittajan vastuulla. Jos järjestelmä on auditoitu, niin tämän pitäisi olla kunnossa myös välittäjän auditoinnissa. Admin-varmoja lokeja ei voitane vieläkään vaatia, kun lähtötaso on ollut hieman heikkoa. Reseptin osalta lokitiedoista on joustettu, koska niissä tiedot kertyvät myös Kelan lokiin. Arkiston osalta lopputuloksena pitää olla sellainen loki, että se voidaan esittää luotettavana todisteena oikeudelle. Ei se tarkoita täysin satavarmasti suojattua lokia, mutta esimerkiksi eri lokeja yhdistelemällä saatua luotettavaa kuvaa siitä, mitä on tapahtunut. Jos eri lokit ovat eri tahojen hallussa eikä yksi ihminen voi muuttaa niitä kaikkia, on lopputulos kohtuullisen uskottava. Esimerkiksi erillinen lokipalvelin luotettavassa paikassa. Kannattaa miettiä a) minkälaisia lokituspalvelimia on saatavilla ja miten niitä voisi osana koko IT-infraa hyödyntää ja b) mihin suuntaan potilastietojärjestelmätoimittajat ovat etenemässä. Todennäköisesti vaatimuksia tarkastellaan tiukemmin earkiston auditointivaatimuksia käsiteltäessä.

24 24 Kriteeri nro 19 Tyyppi Käyttäjätunnusten yksilöllisyys Järjestelmissä ei saa olla yhteiskäyttöisiä tunnuksia sähköiseen reseptiin liittyvien toiminnallisuuksien osalta. Vaatimus koskee myös ylläpito ja muista vastaavia voimakkaita käyttöoikeuksia. Tarkastetaan järjestelmän käyttäjätunnukset että käytössä on vain yksilöllisiä tunnuksia. Myös ohjelmistotoimittajan ja tukipalveluiden mahdollisesti käyttämät yhteistunnukset pitää muuttaa yksilöllisiksi (myös Oraclet, BizTalkit yms. ylläpitäjätunnukset pitäisi olla yksilöllisiä. Tässä tosin on noudatettava malttia, ettei saada aikaan enemmän ongelmia kuin hyötyä). Toisaalta ohjelmistoissa lienee ominaisuus, joka päästää ereseptiosioihin vain toimikortilla tunnistautuneen käyttäjän. Tässä yhteydessä voisi olla syytä pohtia myös th-toimija kortin käyttöä toimittajan etäyhteyksien tunnistamiseen. Yleisesti: tätä kohtaa voitaisiin pitää herätteenä siihen, että yhteyskäyttöisistä tunnuksista päästäisiin eroon.

25 25 Kriteeri nro 20 Tyyppi Verkkoyhteyden suojaus Liittyvän organisaation järjestelmien tulee olla palomuurilla suojatut. Kyseeseen voi tulla joko tilallinen palomuuri tai erilliset sovelluspalomuurit. Mikäli organisaatiosta on useita yhteyksiä reseptikeskukseen / arkistoon, riittää kun ne ovat saman palomuurin takana. Tarkastetaan ajantasainen verkkodiagrammi, johon on merkattu järjestelmät ja miten ne on sijoitettu sisäverkkoon. Liittyvien järjestelmien tulee olla yhteisellä palomuurilla tai palomuureilla suojatut Verkkodiagrammi ajan tasalla tai joku muu normaalitoimintaa hyödyntävä menetelmä. Ajantasainen verkkodiagrammi helpottaa normaalia arkipäiväistä ylläpitoa, mutta se helpottaa myös auditointia. Kun on olemassa ajantasainen verkkokaavio, niin salaukseen tai tietoliikenteen kahdentamiseen liittyvät tarpeet on helpompi selvittää.

26 26 Kriteeri nro 21 Tyyppi Hallintayhteydet järjestelmään Mikäli järjestelmään ylläpidollisista tai muista syistä sallitaan etäyhteyksiä, yhteydet järjestelmään tulee olla toteutettu turvallisesti.. Lisäksi etäyhteyksien käyttäjät tulee tunnistaa käyttämällä luotettavaa vahvaa tunnistautumismenetelmää. Selvitetään miten mahdolliset etäyhteydet järjestelmään on toteutettu Miten etäyhteydet on toteutettu (vpn, rdp)? Periaatteessa etäyhteyksissä (myös toimittajan!) pitäisi käyttää joko vahvaa salasanaa tai toimikorttia.

27 27 Kriteeri nro 22 Tyyppi Järjestelmän ylläpito Järjestelmissä ei saa olla ylimääräisiä palveluita eikä sovelluksia. Järjestelmissä ei saa olla aktiivisia oletustunnuksia ja muita oletuksena tulevia tietoturvallisuuden kannalta huonoja asetuksia. Palvelimet, joilla järjestelmät toimivat, tulee olla suojattu haittaohjelmilta, ja haittaohjelmien käytössä olevan torjuntaohjelman tulee olla automaattisesti päivittyvä (mikäli käytössä olevassa ympäristössä torjuntaohjelmia on). Palvelimien tietoturvapäivitysten asentamiseen tulee olla säännöllinen prosessi, jonka mukaan päivitysten kriittisyys ja tarve arvioidaan sekä päivitykset hyväksymistestataan erillisessä ympäristössä ennen tuotantoympäristöön asentamista. Järjestelmien ja sovellusten tulee olla suojattuja tyypillisimmiltä tietoturvapuutteilta ja www-sovellusten haavoittuvuuksilta (esim. OWASP top 10). Tarkastetaan, miten järjestelmät määritellään ja testataan ennen käyttöönottoa. Jos mahdollista, skannataan palvelut / tarkastetaan alustan konfigurointiasetukset. Järjestelmän koventaminen Yleistäen: Tutkitaan ja tukitaan kaikki tiet, joista voisi päästä asiattomasti käsiksi salaamattomaan potilastietoon tai aiheuttaa ongelmia sen saatavuudelle tai eheydelle. Jos järjestelmät on toteutettu dedikoiduilla palvelimilla, auditoiduilla järjestelmillä ja toimittajan ohjeistuksen mukaan, niin nykyjärjestelmien pikainen muuttaminen lie haastavaa. Yleisesti ottaen tätä ohjeistusta olisi syytä käyttää laajemmin teknisen tietoturvan ja tietoturvatietoisuuden parantamiseksi. Uushankinnoissa tietoturva on jo nyt hankintakriteeri, mutta sen asema korostuu tässä yhteydessä.

28 28 Kriteeri nro 23 Tyyppi Tunnistautuminen järjestelmiin Järjestelmiin tulee sallia kirjautuminen sähköiseen reseptiin liittyviin toiminnallisuuksiin ainoastaan vahvaa tunnistusmekanismia käyttäen tai poikkeustapauksessa vahvaa salasanaa käyttäen. Tarkastetaan autentikointimekanismit; joko vahva tunnistautuminen (varmennekortti) tai vahva salasana. Salasanan käytön perustelut tarkastetaan Kun Uranus, Pegasos ja Effica (myöhemmin muutkin) ovat päässeet auditoinnista läpi, täyttyy tämä kohta myös ko. auditoituja järjestelmiä hyödyntävällä välittäjällä. eresepti-osioihin ja reseptikeskukseen ei pääse ilman toimikorttia. Salasanojen vahvistamista ei tule pakottaa kerralla (vastarinta). Tunnistautumista kehitetään suunnitelmallisesti toimikorttikirjautumisen yhteydessä, salasanojen osalta jatkuvalla (tietoturvapolitiikan) mukaisella tiedottamisella ja valvonnalla jne. On huomattava, että hallintavälineiden tunnistautumisessa on käytössä vahvat salasanat (tai jokin muu vahva tunnistusmekanismi) siis ne järjestelmän osat, joita ei käytä suuri joukko käyttäjiä, vaan hyvin rajattu (ylläpitäjien) joukko.