Tietoturvallinen sähköinen asiankäsittely sosiaalihuollossa

Transkriptio

1 Tietoturvallinen sähköinen asiankäsittely sosiaalihuollossa Vaatimukset ja valmiit ratkaisumallit SOSIAALIALAN TIETOTEKNOLOGIAHANKE SOSIAALI- JA TERVEYSMINISTERIÖ Suomen Kuntaliitto Terveyden ja hyvinvoinnin laitos Itä-Suomen sosiaalialan osaamiskeskus Itä-Suomen yliopisto Dokumentin ylläpito Esa Paakkanen Tekijät Esa Paakkanen, Heli Viinikainen, Marko Suhonen, Juha Mykkänen Dokumentin versio 1.0 Päiväys

2 SISÄLLYSLUETTELO 1 JOHDANTO SELVITYKSEN RAKENNE TAUSTAA KÄSITTEITÄ SOSIAALIHUOLLON AMMATTILAISTEN TUNNISTAMISEEN, VARMENTAMISEEN JA KÄYTTÖVALTUUKSIEN HALLINTAAN LIITTYVÄT TARPEET TUNNISTAMISEEN, TODENTAMISEEN JA VARMENTAMISEEN KOHDISTUVAT VAATIMUKSET Käytännössä tehtävän työn asettamat vaatimukset tunnistamiselle ja todentamiselle KÄYTTÖVALTUUSHALLINTOON KOHDISTUVAT VAATIMUKSET Käyttäjien, roolien ja valtuuksien määrittely arkistolausunnoista nousseet vaatimukset OHJAUKSEEN JA VALVONTAAN KOHDISTUVAT VAATIMUKSET MUITA VAATIMUKSIA Sosiaalihuollon kansallinen sähköinen arkisto (KanSa) Vaatimuksia arkistolausunnoista YHTEENVETO VAATIMUKSISTA TUNNISTAMINEN JA TODENTAMINEN SOSIAALIHUOLLOSSA VAIHTOEHTOISIA RATKAISUMALLEJA Virkamiehen tunnistaminen (Virtu) Kuntien työntekijöiden tunnistaminen (Virtu(K)) Valvirasta Väestörekisterikeskuksen kautta Valtiokonttorin Valtion IT-palvelukeskukseen Väestörekisterikeskuksen organisaatiokortti Katso-organisaatiotunnistus VARMENTAMINEN VARMENNEPALVELUJEN UUDELLEENORGANISOINTI VÄESTÖREKISTERIKESKUKSEN ORGANISAATIOVARMENNE VALVIRAN JA VÄESTÖREKISTERIKESKUKSEN VARMENNEPALVELUT TERVEYDENHUOLLOLLE Terveydenhuollon ammattivarmenne Terveydenhuollon muun henkilöstön, palvelun antajien sekä tietojärjestelmien varmenteet KÄYTTÖVALTUUKSIEN HALLINTA YLEINEN KÄYTTÄJÄHALLINNAN SOVELTAMISMALLI HALLINNAN HAJAUTUKSEN ERI TASOT KÄYTTÖVALTUUKSIEN HALLINNAN VAIHTOEHTOISIA RATKAISUMALLEJA Roolipohjainen käyttövaltuuksien hallinta Valviran rooli- ja attribuuttipalvelu Käyttöoikeuksien hallinta Virtu-hankkeessa Virtu(K) SOSIAALIHUOLLON ERITYISPIIRTEIDEN HUOMIOIMINEN KÄYTTÖVALTUUKSIEN MUODOSTAMISESSA PÄÄSYNVALVONTA LOKITIEDOT VAIHTOEHTOISIA RATKAISUMALLEJA Virtu ARKISTOMÄÄRITYKSEN LAUSUNTOKIERROKSELTA POIMITTUJA KYSYMYKSIÄ EHDOTUS TUNNISTAMIS-, VARMENTAMIS- JA KÄYTTÖVALTUUSRATKAISUKSI SOSIAALIHUOLLON VALTAKUNNALLISIIN TIETOJÄRJESTELMÄPALVELUIHIN KÄYTTÄJIEN, ROOLIEN JA VALTUUKSIEN MÄÄRITTELY TUNNISTAMINEN JA TODENTAMINEN PÄÄSYNVALVONTA...53

3 8.4 KÄYTÖN SEURANTA YHTEENVETO JATKOTOIMENPITEET...57 LÄHTEET

4 Versiohistoria Versio Pvm Tekijät Muutokset HV, EP, MS, JM Johtoryhmän hyväksymä versio 4

5 1 Johdanto Tämä selvitys on ollut osa Tikesos-hankkeen vuosina tehtyä työtä. Selvityksestä julkaistaan lopullinen versio vuonna 2011 ja se täydentää aiempaa versiota tunnistusselvityksestä. Selvityksen taustalla olevan yhteiset tietojärjestelmäpalvelut -osahankkeen keskeisin tarkoitus on tarkentaa valtakunnallisten sosiaalialan tietojärjestelmäpalvelujen sekä valtakunnallisten määrittelyjen vaatimuksia ja ratkaisuja erityisesti järjestelmäarkkitehtuurin osalta. Yhteiset tietojärjestelmäpalvelut -osahankkeen keskeisimpinä toimenpiteinä tässä selvityksessä selvitetään käyttäjien tunnistuksen ja varmentamisen (sosiaalihuollon ammattilaiset tiedot luoneessa organisaatiossa, sosiaalihuollon ammattilaiset yhteistyössä toimivissa organisaatioissa, kansalaiskäyttö) periaatteita ja ratkaisumahdollisuuksia kansallisella tasolla. Kansalaiskäyttö on rajattu tämän selvityksen ulkopuolelle. Selvityksessä käsitellään myös käyttövaltuuksien hallinnan ja pääsynhallinnan periaatteita ja yhteisten roolimääritysten käyttömahdollisuuksia kansallisella tasolla sekä suhteessa paikallisiin järjestelmiin ja prosessien kuvaukset -osiossa esiin nousseisiin tietojen jakamisen tarpeisiin. Kustakin tarkasteltavasta kokonaisuudesta on kuvattu keskeisimmät vaihtoehdot liittyen toteuttamiseen ja vastuutuksiin suhteessa käytettäviin paikallisiin asiakastietojärjestelmiin, yhteisiin tietojärjestelmäpalveluihin, asiakasasiakirjoihin ja tarvittaviin yhteisiin metatietoihin. Vaihtoehtoja selvitettäessä on koottu käyttäjäorganisaatioiden, tietojärjestelmätoimittajien ja viranomaisten näkemyksiä osana arkistomäärityksen lausuntokierrosta (Suhonen ym. 2009). Käyttövaltuuksien hallintaan liittyvien ratkaisujen vaikutus ulottuu sosiaalihuollon ammattilaisten käytännön työstä sähköisen arkiston teknisiin ratkaisuihin asti. Käyttövaltuuksien hallinnan tavoitteena on resurssien käyttöoikeustietojen ja käyttäjien valtuustietojen ylläpito (VAHTI 8/2008). Käyttövaltuuksien hallinta paikallisella tasolla ja yhteiskäyttöisissä järjestelmissä, kuten sosiaalihuollon kansallisessa arkistossa, vaatii ratkaisuja käyttäjien määrittelyyn ja hallintaan, käyttövaltuuksien määrittelyyn, käyttäjien tunnistamiseen ja varmentamiseen sekä käyttäjien käyttövaltuuksien seurantaan. Tehtävissä suosituksissa ja ehdotuksissa pyritään huomioimaan jo olemassa olevien tai määriteltyjen järjestelmien ja palveluiden käyttö sekä tiedossa olevat lainsäädännön muutokset tässä selvityksessä käsiteltävien lakien osalta. Osa lainsäädännön muutoksista on astunut jo voimaan, osan käsittely on vielä kesken. Olennainen osa tätä selvitystä on valmiiden ratkaisuiden selvittäminen ja sosiaalihuoltoon soveltuvuuden arviointi. Tässä selvityksessä korostetaan arkistoidun materiaalin ja sen metatietojen käsittelyyn liittyviä valtuuksia. Selvityksessä huomioidaan myös voimaan tulleet muutokset lakiin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007). 1.1 Selvityksen rakenne Luvussa 2 kuvataan sosiaalihuollon ammattilaisten tunnistamiseen, varmentamiseen ja käyttövaltuuksien hallintaan liittyviä tarpeita. Tunnistamista ja todentamista kuvataan tarkemmin luvussa 3, varmentamista luvussa 4 ja käyttövaltuuksien hallintaa luvussa 5. Pääsynvalvontaa kuvataan luvussa 6 ja arkistomäärityksen lausuntokierrokselta poimittuja kysymyksiä käsitellään luvussa 7. Ehdotus tunnistamis-, varmentamis- ja käyttövaltuusratkaisuiksi sosiaalihuollon valtakunnallisissa tieto- 5

6 järjestelmäpalveluissa kuvataan luvussa 8. Dokumentin yhteenveto on koottu lukuun 9. Sähköisiä allekirjoituksia käsitellään omassa selvityksessään. 1.2 Taustaa Valtiontalouden tarkastusviraston suorittamassa tarkastuksessa selvitettiin julkisen hallinnon tunnistuspalveluiden kehittämishankkeiden toteutusta, koordinointia, niihin liittyvää viranomaisten välistä yhteistyötä ja palvelujen hankintojen lainmukaisuutta. Tarkastuksessa tarkastettiin myös tunnistuspalveluiden kehittämisen, ohjauksen ja valvonnan rakenteita. Tarkastus kohdistettiin julkisen hallinnon sähköisessä asioinnissa käytettäviin sähköisiin tunnistuspalveluihin. Tarkastuksessa havaittiin, että julkisessa hallinnossa on kehitetty tunnistuspalveluinfrastruktuuria lähinnä kunkin toimijan omista tarpeista ja lähtökohdista käsin. (Valtiontalouden tarkastusvirasto 2008) Valtioneuvoston periaatepäätöksessä valtionhallinnon IT-toiminnan kehittämisestä (VM 2006) on asetettu tavoitteita tunnistuspalveluiden kehittämiselle. Niissä linjataan muun muassa, että valtionhallinnossa tulisi olla käytössä yhtenäinen tunnistuspalvelu kansalaisille, yrityksille ja yhteisöille. Palvelu voisi koostua yhdestä tai useammasta tunnistustavasta. (VM 2006) Varmennetuotannon selkeyttämiseksi ja sen kustannustehokkuuden parantamiseksi on ryhdytty toimenpiteisiin Valtiovarainministeriön varmennetuotannon uudelleenorganisointityöryhmän loppuraportin (VM140:00/2008) mukaisesti siirtämällä terveydenhuollon varmennetuotanto Valvirasta Väestörekisterikeskukseen (ks. luku 3.1.3). Kansallisen tilanteen kehittymistä ja suuntaviivojen piirtelyä seurataan ja vaikutuksia Tikesos-hankkeen määrityksiin arvioidaan tarvittaessa. Selvitys on päivitetty vastaamaan tammikuun 2011 tilannetta. 1.3 Käsitteitä Tietojen käytön seurantaan ja valtuuksienkäyttövaltuuksien hallintaan ja valvontaan liittyy monia käsitteitä ja tarpeita, joiden sisältö, tarkoitus ja tehtävät saatetaan sotkea keskenään. Seuraavassa määritellään tässä dokumentissa käytettyjä valtuushallinnankäyttövaltuushallinnan ja pääsynvalvonnan käsitteitä. asiayhteys Suhde, joka määrittää ammattilaisen yhteyden asiakkaaseen. Tietoa asiayhteydestä tarvitaan mm. haettaessa asiakasta koskevia asiakirjoja. digitaalinen allekirjoitus identiteetti Digitaalisella allekirjoituksella tarkoitetaan sähköistä allekirjoitusta, jonka tuottamiseen on käytetty varmennetta. Viestiin tai asiakirjaan liitetty digitaalinen allekirjoitus yksilöi lähettäjän ja on todiste viestin ja lähettäjän aitoudesta. (VAHTI 8/2008) Identiteetti on joukko ominaisuuksia, jotka kuvaavat käyttäjää ja joiden avulla käyttäjä voidaan tunnistaa. (VAHTI 8/2008) 6

7 identiteetti- ja käyttövaltuushallinto Identiteetti- ja käyttövaltuushallinnolla tarkoitetaan toimintaprosesseja, sääntöjä, organisaatioita ja välineitä, joiden avulla hallinnoidaan tietojärjestelmien asianmukaista käyttöä. (Vahti 8/2008) kehittynyt sähköinen allekirjoitus kertakirjautuminen (käyttäjä)rooli Kehittynyt sähköinen allekirjoitus täyttää oikeustoimeen vaadittavan allekirjoituksen vaatimukset. Kehittynyt sähköinen allekirjoitus on sähköinen allekirjoitus, joka perustuu laatuvarmenteeseen ja on luotu turvallisella allekirjoituksen luomisvälineellä. (617/2009) Kertakirjautuminen on pääsynvalvonnan toteutustapa, jossa käyttäjä pääsee yhdellä tunnistautumisella kaikkiin saman pääsynvalvonnan piirissä oleviin palveluihin ja resursseihin käyttövaltuuksiensa puitteissa. (VAHTI 8/2008) Käyttäjäroolilla tarkoitetaan käyttäjän ominaisuuksia, jotka liittyvät hänen tietotarpeittensa ja/tai toimintavaltuuksiensa määrittelyyn. Käyttäjäroolia voidaan tarkastella joko käyttäjän näkökulmasta (työrooli) tai hänellä palvelujärjestelmissä olevien valtuuksien näkökulmasta (IT-rooli). (VAHTI 8/2008) käyttöloki (vrt. luovutusloki) käyttövaltuus Käyttölokiin talletetaan tiedot niistä tapauksista, joissa asiakastietoja tai asiakirjoja käytetään rekisterinpitäjän tietojärjestelmissä. Käyttö voi kohdistua joko rekisterinpitäjän omiin tietoihin tai luovutuksella saatuihin toisen rekisterinpitäjän tietoihin. (STM 2007d) Tietojärjestelmän käyttäjälle tai esimerkiksi tietyn käyttäjäroolin omaavalle käyttäjäryhmälle myönnetty yksilöity oikeus nimetyn palveluelementin, tietokokonaisuuden tai muun kohteen käyttöön; Käyttövaltuus määrittelee, miten ja millaisilla edellytyksillä käyttäjällä on oikeus käyttää palveluelementtiä. Käyttövaltuudet määräytyvät työntekijän organisaation, nimikkeen ja työtehtävän mukaan. (VAHTI 8/2008) käyttövaltuuksien hallinta Käyttövaltuuksien hallinta on toimintaa, jossa määritellään käyttövaltuuksia. Käyttövaltuuksien hallinnassa ylläpidetään resurssien käyttöoikeustietoja ja käyttäjien valtuutustietoja. (VAHTI 8/2008) loki Lokilla tarkoitetaan tiedostoa, johon tehdään merkintöjä tapahtumista ja niiden aiheuttajista aikajärjestyksessä. Lokia kerätään useimmiten automaattisesti. Samaan järjestelmään voi liittyä useita erilaisia lokeja kuten esimerkiksi vikaloki, laskutusloki ja turvaloki. (VAHTI 8/2008) Tässä selvityksessä lokitiedoilla tarkoitetaan käyttö- ja luovutuslokin sisältämiä tietoja, joiden avulla voidaan seurata asiakirjojen asiallista käyttöä sekä valvoa annettujen käyttövaltuuksien toteutumista. 7

8 luovutusloki (vrt. käyttöloki) pääsynvalvonta Luovutusloki sisältää tiedot kaikista sähköisen asiakastietolain mukaisista luovutuksista, eli rekisterinpitäjältä toiselle tapahtuvista siirroista. (STM 2007d). Pääsynvalvonnalla tarkoitetaan tietoja, toimintoja ja menettelytapoja, joiden avulla palvelujärjestelmän tai sen palveluelementtien käyttö mahdollistetaan vain valtuutetuille käyttäjille.(vahti 8/2008) sähköinen allekirjoitus Sähköisessä muodossa oleva tieto, joka on liitetty tai joka loogisesti liittyy muuhun sähköiseen tietoon ja jota käytetään allekirjoittajan henkilöllisyyden todentamisen välineenä (617/2009, VAHTI 8/2008) todentaminen (verification) tunnistaminen tunnistautuminen Todentamisella tarkoitetaan varmistumista kohteen todenmukaisuudesta, oikeellisuudesta tai alkuperästä. Järjestelmän käyttäjän (kuten henkilön, organisaation tai laitteen) tai viestinnän toisen osapuolen aitous voidaan varmentaa todentamalla.(tietotekniikan liitto 2008) Tunnistaminen on menettely, jolla yksilöidään joku tai jokin, esimerkiksi tietojärjestelmän käyttäjä; sähköiseen tunnistamiseen liittyy normaalisti aina myös käyttäjän todentaminen. Tietojärjestelmän käyttäjä voidaan tunnistaa esimerkiksi käyttäjätunnuksen perusteella. (Tietotekniikan liitto 2008) Tunnistautuminen on menettely, jossa käyttäjä esittää tunnistetietonsa. (VAHTI 8/2008) vahva sähköinen tunnistaminen valtuutus Henkilön yksilöiminen ja tunnisteen aitouden ja oikeellisuuden todentaminen sähköistä menetelmää käyttämällä perustuen vähintään kahteen seuraavista kolmesta vaihtoehdosta (617/2009): a) salasanaan tai johonkin muuhun sellaiseen mitä tunnistusvälineen haltija tietää; b) sirukorttiin tai johonkin muuhun sellaiseen mitä tunnistusvälineen haltijalla on hallussaan; tai c) sormenjälkeen tai johonkin muuhun tunnistusvälineen haltijan yksilöivään ominaisuuteen. Esimerkiksi toimikortti ja PIN-koodi on yksi keino vahvan tunnistuksen toteuttamiseen. Vahvaan tunnistautumiseen soveltuvat esimerkiksi virkavarmenne (ks. OTP ja TUPAS). Todennetulle käyttäjälle annettu lupa tietyn tiedon, suojattavan kohteen tai muun palveluelementin käyttöön voimassa olevien pääsynvalvontatietojen perusteella (VAHTI 8/2008) 8

9 varmenne (certificate) Varmenne on luotetun tahon antama sähköinen todistus, jolla vahvistetaan, että todistuksen haltija on tietty henkilö, organisaatio tai järjestelmä. Varmenne voi sisältää muun muassa käyttäjän julkisen avaimen, henkilötiedon, varmenteen voimassaolopäiväyksen sekä varmenteen myöntäjän sähköisen allekirjoituksen. Varmenne on sähköinen todistus, joka todentaa henkilöllisyyden tai todentaa henkilöllisyyden ja liittää allekirjoitukseen todentamistiedot allekirjoittajaan. Varmennetta voidaan käyttää vahvassa sähköisessä tunnistamisessa ja sähköisessä allekirjoituksessa. (617/2009, VAHTI 8/2008) varmentaja (certificate authority, CA) Varmentaja on taho, joka myöntää varmenteita. Se voi olla luonnollinen henkilö tai organisaatio. Varmenteita tarjoaa Suomessa esimerkiksi Väestörekisterikeskus. (VM 2007, VAHTI 8/2008, 617/2009) varmentaminen (certification) Julkisen avaimen todistaminen tietylle henkilölle tai organisaatiolle kuuluvaksi liittämällä siihen varmenne. (Tietotekniikan liitto 2008) 9

10 2 Sosiaalihuollon ammattilaisten tunnistamiseen, varmentamiseen ja käyttövaltuuksien hallintaan liittyvät tarpeet Tässä luvussa tarkastellaan sosiaalihuollon tarpeita tietoturvallisen sähköisen asiankäsittelyn näkökulmasta. Lait ja asetukset sanelevat peruslähtökohdat, joita täsmennetään sosiaalihuollon työstä sekä arkistomäärityksen (Suhonen ym. 2009) lausuntokierrokselta esiin nousseilla tarpeilla. Tämän pohjalta syntyvän vaatimuslistan avulla voidaan lähteä etsimään sosiaalihuoltoon parhaiten soveltuvaa ratkaisua. Vaatimuskuvausten sisältö on kuvattu taulukossa 1 ja vaatimusten prioriteettitasot taulukossa 2. Luvussa kuvattuja vaatimuksia ja niihin perustuvia ratkaisuja käsitellään tarkemmin luvuissa 3, 4, 5 ja 6. Taulukko 1. Vaatimustaulukon rakenne Tunniste Kohde Kuvaus Prioriteetti Perustelu/lähde Suhde muihin vaatimuksiin Muutoshistoria Numeerinen tunniste, jolla vaatimukseen voidaan viitata yksiselitteisesti. Tunniste voidaan muodostaa myös hierarkkisena, jos korkeamman tason vaatimuksia jaetaan yksittäisiksi, tarkemmiksi vaatimuksiksi. 1 = päätason tunniste 1.1, 1.2, 1.1.4, = alatason tunnisteita Ilmoittaa, mihin vaatimus kohdistuu. Vaihtoehdot: Asiakas Ammatillinen henkilö (sosiaalihuollon) ATJ (asiakastietojärjestelmä) Muut arkistoon liittyvät järjestelmät tai tahot Valtakunnalliset palvelut Käytännön työ Sanallinen kuvaus vaatimuksesta. Vaatimuksen tärkeys ilmoitetaan kolmitasoisella luokittelulla, joka on kuvattu taulukossa 2. Prioriteetti on olennainen tieto vaatimusten priorisoinnin ja mahdollisten ristiriitatilanteiden selvittämisen kannalta. Tarkempien vaatimusten prioriteettia tarkastellessa tulee ottaa huomioon ylätason vaatimuksen prioriteetti, joka on määräävässä roolissa. Vaatimuksen perustelut auttavat hahmottamaan vaatimuksen merkitystä. Tämä ei ole pakollinen tieto, jos vaatimus on hyvin yksinkertainen tai kuvauskenttä antaa siitä jo riittävästi tietoa. Lähde ilmoittaa keneltä tai mistä vaatimus on peräisin. Lähteenä voi olla henkilö, organisaatio, lainsäädäntö, määrittely tai muu vastaava. Lähdetietoa voidaan hyödyntää vaatimusten tarkentamisessa ja priorisoinnissa. Suhteet muihin vaatimuksiin. Viittauksessa käytetään vaatimuksen tunnistetta. Tämän ja prioriteettitiedon avulla voidaan varmistua siitä, ettei tärkeiden vaatimusten toteuttaminen jää riippumaan vähemmän tärkeistä vaatimuksista. Muutoshistorian avulla mahdollistetaan muutosten seuranta ja helpotetaan vaatimusten versionhallintaa. 10

11 Taulukko 2. Vaatimusten prioriteetti Prioriteetti Kuvaus 1 Vaatimuksen toteuttaminen on välttämätön tai sillä on merkittäviä vaikutuksia tunnistamisen, varmentamisen tai käyttövaltuuksien hallinnan toteuttamiseen, toiminnallisuuteen, käyttöönottoon tai käyttökelpoisuuteen. 2 Vaatimuksen muutosvaikutukset ovat 1. prioriteetin kohteita rajallisempia tai sijoittuvat jonkin sovelluksen, palvelun tai toimijan sisäiseen, muille näkymättömään toiminnallisuuteen. Vaatimuksen toteuttaminen on tärkeää, mutta sen lopullinen muoto ja tarkennukset voivat vaatia eri sidosryhmien kanssa tehtäviä tarkennuksia Vaatimuksen toteuttaminen ei välttämättä ole ehdoton edellytys sähköiselle tunnistamiselle, varmentamiselle tai käyttövaltuuksien hallinnalle. 3 Vaatimukseen liittyvät toteutukset on vaiheistettu myöhemmäksi, vaatimuksen tarkentamiseen liittyvät suuntaviivat vaativat laajoja jatkotarkennuksia tai vaatimuksella ei ole tunnistettavissa suoraa vaikutusta järjestelmien kehittämiseen. Tässä luvussa tarkastellaan seuraavien lakien ja asetusten asettamia vaatimuksia sosiaalihuollon ammatillisten henkilöiden hallintaan, tunnistamiseen ja varmentamiseen liittyen: - Suomen perustuslaki (731/1999) - Henkilötietolaki (523/1999) - Laki viranomaisten toiminnan julkisuudesta (julkisuuslaki, 621/1999) - Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista (asiakaslaki, 812/2000) - Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) - Sosiaalihuoltolaki (710/1982) - Laki potilaan asemasta ja oikeuksista (785/1992) - Sosiaali- ja terveysministeriön asetuksella potilasasiakirjoista (298/2009) säädetään potilasasiakirjojen laatimisesta, säilytyksestä ja siihen liittyvästä valvonnasta. Tämä koskee sosiaalihuoltoa, jos sosiaalihuollon toiminnassa syntyy potilasmerkintöjä. - Laki sähköisestä asioinnista viranomaistoiminnassa (13/2003) - Muut sosiaalihuollon (esim. lastensuojelulaki, päihdehuoltolaki, laki lasten päivähoidosta ja laki sosiaali- ja terveydenhuollon asiakasmaksuista) ja terveydenhuollon lait - Laki väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista (661/2009) - Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista (617/2009) 11

12 2.1 Tunnistamiseen, todentamiseen ja varmentamiseen kohdistuvat vaatimukset Tässä luvussa kuvataan sosiaalihuollon ammatillisten henkilöiden tunnistamiseen, todentamiseen ja varmentamiseen liittyviä vaatimuksia. Sosiaalihuollon ammatillisen henkilön tulee tunnistautua vahvaa tunnistautumista käyttäen käyttäessään sosiaalihuollon sähköistä arkistoa (ks. luvut 3 ja 4). Tunnistusratkaisua säätelee laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista (617/2009). Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista säätelee myös tunnistusvälineen hallinnointia, luovuttamista käyttäjille sekä muun muassa ensitunnistamista. Tunniste 1. Tunnistusratkaisun oltava lain vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista (617/2009) mukainen Kohde ATJ, Ammatillinen henkilö, Valtakunnalliset palvelut Kuvaus Tunnistusratkaisun tulee olla lain mukainen. Prioriteetti 1 Perustelu/lähde Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista (617/2009) Suhde muihin vaatimuksiin Muutoshistoria Tunniste 1.1. Tunnistusratkaisun on mahdollistettava vahva tunnistaminen Kohde ATJ, Palvelunantaja Kuvaus Tunnistusratkaisun tulee mahdollistaa vahva tunnistaminen myös kuntarajat ylittävissä ja julkisen hallinnon keskitetyissä sähköisissä palveluissa Prioriteetti 1 Perustelu/lähde Virkatunnisteohje 2009 Suhde muihin vaatimuksiin Muutoshistoria Kuntien työntekijän tunnistamisen suunnittelun ja toteuttamisen kannalta keskeisimpiä lakeja ovat laki yksityisyyden suojasta työelämässä (759/2004), henkilötietolaki (523/1999) ja sähköisen viestinnän tietosuojalaki (516/2004). Tunniste 1.2. Työnantajalla on oikeus käsitellä vain välittömästi työntekijän työsuhteen kannalta tarpeellisia henkilötietoja Kohde Palvelunantaja Kuvaus Työnantaja saa lain mukaan käsitellä vain välittömästi työntekijän työsuhteen kannalta tarpeellisia henkilötietoja, jotka liittyvät työsuhteen osapuolten oikeuksien ja velvollisuuksien hoitamiseen tai työnantajan työntekijöille tarjoamiin etuuksiin taikka johtuvat työtehtävien erityisluonteesta. Tunnistusvälineen sisältämien työsuhteeseen liittyvien tietojen ja tunnistusvälineen käytöstä syntyvien lokitietojen voidaan tulkita olevan lain tarkoittamia työsuhteen kannalta tarpeellisia henkilötietoja. (Virkatunnisteohje 2009) 12

13 Prioriteetti 1 Perustelu/lähde Suhde muihin vaatimuksiin Muutoshistoria Virkatunnisteohje 2009, Henkilötietolaki (523/1999), Laki yksityisyyden suojasta työelämässä (759/2004) Laissa vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista (617/2009) säädetään myös tunnistusvälineestä ja sen liikkeelle laskemisesta. Lain mukaan tunnistusvälineen liikkeelle laskeminen perustuu tunnistusvälineen hakijan ja tunnistuspalvelun tarjoajan väliseen kirjallisesti tai sähköisesti laadittuun sopimukseen. Tunniste Kohde Kuvaus 2. Tunnistusväline on henkilökohtainen Palvelunantaja Tunnistusväline on aina henkilökohtainen. Tarvittaessa tunnistusvälineeseen voidaan liittää kuitenkin tieto siitä, että henkilö voi edustaa jotain toista henkilöä. Tunnistusväline luovutetaan hakijalle siten kuin sopimuksessa on sovittu. Prioriteetti 1 Perustelu/lähde Laki vahvasta tunnistamisesta ja sähköisistä allekirjoituksista (617/2009) Suhde muihin vaatimuksiin Muutoshistoria Tunniste 3. Laatuvarmenteita tarjoavan varmentajan järjestelmien, laitteiden ja ohjelmistojen turvallisuus Kohde Valtakunnalliset palvelut Kuvaus Laatuvarmenteita tarjoavan varmentajan on huolehdittava siitä, että sen käyttämät järjestelmät sekä laitteet ja ohjelmistot ovat riittävän turvallisia ja luotettavia sekä suojattu muutoksilta ja väärinkäytöksiltä. Prioriteetti 1 Perustelu/lähde Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista (617/2009) Suhde muihin vaatimuksiin Muutoshistoria Laissa vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista (617/2009) säädetään, asiakastietojen sähköisestä käsittelystä ja toimijoiden tunnistamisesta. Lisäksi lain sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) mukaan potilastietoja käsittelevien henkilöiden, palvelujen antajien, tietoteknisten laitteiden sekä valtakunnallisten tietojärjestelmäpalvelujen tunnistaminen edellyttää lisäksi todentamista. Tunniste Kohde Kuvaus 4. Luotettava tunnistaminen ATJ, Valtakunnalliset palvelut Asiakastietojen sähköisessä käsittelyssä asiakas, sosiaalihuollon ja terveydenhuollon palvelujen antaja, muu asiakastietojen käsittelyn osapuoli ja näi- 13

14 den edustajat sekä tietotekniset laitteet tulee tunnistaa luotettavasti. Prioriteetti 1 Perustelu/lähde Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/ ) Suhde muihin vaatimuksiin Muutoshistoria Asiakastietojen käsittelyn perusteluista säädetään sosiaali- ja terveydenhuollon asiakastietojen sähköistä käsittelyä koskevassa laissa (159/2007). Siinä säädetään asiakastietojen käytöstä, säilytyksestä ja sitä koskevasta viranomaisvalvonnasta. Lain mukaan asiakastietojen sähköisessä käsittelyssä asiakas, sosiaali- ja terveydenhuollon palvelunantaja tai muu asiakastietojen käsittelyyn osallistuva osapuoli sekä käytetyt tietotekniset laitteet on tunnistettava luotettavasti. Tunniste 4.1. Käyttäjätunnukset ovat henkilökohtaisia Kohde Ammatillinen henkilö, Valtakunnalliset palvelut Kuvaus Käyttäjä tulee yksilöidä. Jokaisella asiakastietoja käsittelevällä sosiaalihuollon ammatillisilla henkilöillä tulee olla henkilökohtaiset käyttäjätunnukset tietojärjestelmään. Prioriteetti 1 Perustelu/lähde Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007), Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista (617/2009) Suhde muihin vaatimuksiin Muutoshistoria Tunniste 4.2. Arkiston käyttäjät tunnistetaan asiakastietojärjestelmän kautta Kohde Arkistoon liittyvät järjestelmät, Valtakunnalliset palvelut Kuvaus Ammattilaiskäyttäjien tunnistaminen tapahtuu asiakastietojärjestelmässä. Tunnistautumistiedot välitetään arkistoon. Prioriteetti 1 Perustelu/lähde KanTa-kokonaisarkkitehtuurin vaatimusmäärittelyn (STM 2007e) mukaan käyttäjien tunnistaminen ja käyttöoikeuksien hallinta toteutetaan potilastietojärjestelmässä. (Suhonen ym. 2009) Suhde muihin vaatimuksiin Muutoshistoria Käytännössä tehtävän työn asettamat vaatimukset tunnistamiselle ja todentamiselle Tunniste 5. Tunnistautumis- ja käyttäjähallintaratkaisu ei saa haitata tarpeettomasti 14

15 työtehtävien hoitamista Kohde ATJ, Ammatillinen henkilö, Palvelunantajan tietohallinto, Valtakunnalliset palvelut Kuvaus Tunnistautumis- ja käyttäjähallintaratkaisun tulee haitata työntekoa mahdollisimman vähän. Prioriteetti 2 Perustelu/lähde Arkistolausunnot Suhde muihin vaatimuksiin Muutoshistoria Tunniste 5.1. Tunnistautumis- ja käyttäjähallintaratkaisun on mahdollistettava tarvittavien tietojen saanti Kohde ATJ, Valtakunnalliset palvelut, Palvelunantajan tietohallinto, Ammatillinen henkilö Kuvaus Tunnistautumis- ja käyttäjähallintaratkaisun tulee mahdollistaa työtehtävissä tarvittavien tietojen saanti käyttövaltuuksien puitteissa Prioriteetti 2 Perustelu/lähde Arkistolausunnot Suhde muihin vaatimuksiin Muutoshistoria Tunniste 5.2. Tunnistautumis- ja käyttäjähallintaratkaisun on taattava työntekijän oikeusturva. Kohde ATJ, Ammatillinen henkilö, Valtakunnalliset palvelut Kuvaus Tunnistautumis- ja käyttäjähallintaratkaisun tulee taata työntekijän oikeusturva. Käytännön työn näkökulmasta käyttäjien, roolien ja valtuuksien määrittelyn helpottamiseksi ja yhdenmukaisuuden varmistamiseksi käyttäjäroolien määrittely olisi syytä toteuttaa kansallisesti. Prioriteetti 2 Perustelu/lähde Arkistolausunnot Suhde muihin vaatimuksiin Muutoshistoria Tunniste 6. Käyttäjäroolien määrittely on toteutettava kansallisesti Kohde Ammatillinen henkilö, Valtakunnalliset palvelut Kuvaus Prioriteetti 3 Perustelu/lähde Arkistolausunnot Käytännön työn näkökulmasta käyttäjien, roolien ja valtuuksien määrittelyn helpottamiseksi ja yhdenmukaisuuden varmistamiseksi käyttäjäroolien määrittely olisi syytä toteuttaa kansallisesti. 15

16 Suhde muihin vaatimuksiin Muutoshistoria Sosiaalihuollon ammatillisen henkilön identiteetti tulee todentaa asiakastietojärjestelmän ja sosiaalihuollon sähköisen arkiston käyttämiseksi. Tunnistaminen ja todentaminen voivat tapahtua asiakastietojärjestelmässä esimerkiksi toimikorttia ja PIN-koodia tai käyttäjätunnusta ja salasanaa käyttämällä. Sosiaalihuollon sähköiseen arkistoon liittyvän järjestelmän tulee toteuttaa käyttäjän tunnistaminen ja todentaminen luotettavasti. Järjestelmän tulee välittää arkistoon lähetettävien palvelupyyntöjen yhteydessä tieto tunnistetusta käyttäjästä eli identiteetistä, joka palvelupyyntöön liittyvän toiminnon on käynnistänyt. (Suhonen ym. 2009) Tunniste 7. Sosiaalihuollon ammatillisen henkilön identiteetti tulee todentaa Kohde Ammatillinen henkilö, ATJ, Valtakunnalliset palvelut Kuvaus Sosiaalihuollon ammatillisen henkilön identiteetti tulee todentaa asiakastietojärjestelmän ja sosiaalihuollon sähköisen arkiston käyttämiseksi. Prioriteetti 1 Perustelu/lähde Suhonen ym Suhde muihin vaatimuksiin Muutoshistoria Asiakkaan oikeuksien varmistamiseksi kaikesta asiakastietojen käsittelystä on jäätävä lokimerkinnät joko sähköiseen arkistoon tai asiakastietojärjestelmään. Lokimerkinnöistä tulee käydä ilmi ainakin asiakastietoja käsitelleen henkilön tunniste ja asioinnin peruste, eli miksi ja mihin tietoja on käytetty. Tarkemmin lokeja kuvataan luvussa 6.1. Kansallisesti tai jopa kansainvälisesti määriteltyjä menetelmiä lausunnoissa toivottiin myös tunnistamisen ja todentamisen toteuttamiseen. Terveydenhuollon käytössä olevat ammattikortit kiinnostivat lausunnonantajia, ja niiden osalta toivottiin käyttökokemusten ja korttien hyödyntämisen selvittämistä sosiaalihuollon tarpeisiin nähden. Lausunnoissa pidettiin yleisesti vahvaa tunnistamista olennaisena vaatimuksena. Vahvaan tunnistamiseen toivottiin kunnille suunnattua, yhteistä teknistä ratkaisua, vaikka siinä nähtiinkin olevan lukuisia avoimia kysymyksiä muun muassa hallintomallin ja rahoituksen suhteen. Tunniste 8. Tunnistusratkaisun on tuettava vahvaa tunnistamista Kohde Valtakunnalliset palvelut Kuvaus Prioriteetti 2 Perustelu/lähde Arkistomäärityksen lausuntokierros (Suhonen ym. 2009) Suhde muihin vaatimuksiin Muutoshistoria Tunniste 9. Tunnistusratkaisun on sovittava yleisesti sosiaalihuollon tarpeisiin Kohde Valtakunnalliset palvelut Kuvaus Valittava ratkaisu soveltuu sosiaalihuollon ammattilaisten tunnistamiseen sekä organisaatioiden tietojärjestelmissä että yhteiskäyttöisissä tietojärjes- 16

17 telmäpalveluissa. Prioriteetti 2 Perustelu/lähde Suhde muihin vaatimuksiin Arkistomäärityksen lausuntokierros (Suhonen ym. 2009) Muutoshistoria Tunnistamisen menetelmäksi ehdotettiin lausunnoissa sosiaalihuollon käyttöön valittavia tunnistustapoja käytettäväksi myös kaikkiin sosiaalihuollon ammatillisten henkilöiden käyttämiin sosiaalihuollon sähköisiin palveluihin, kuten Kelan ja maistraatin rekistereihin. Tunnistamisesta ja varmenteista oltiin lausunnoissa enimmäkseen sitä mieltä, että järjestelmätasolla tulisi olla vaatimuksena vahva tunnistaminen. Osa lausunnonantajista oli sitä mieltä, että sosiaalihuollon ammatillisten henkilöiden tunnistamisessa tulisi ottaa käyttöön vastaavat varmennekortit kuin terveydenhuollon ammattihenkilöillä. 2.2 Käyttövaltuushallintoon kohdistuvat vaatimukset Käyttövaltuushallinnosta määrätään laissa viranomaisten toiminnan julkisuudesta (621/1999) sekä henkilötietolaissa (523/1999). Julkisuuslaki (621/1999) säätelee hyvän tiedonhallinnan vaatimuksesta ja henkilötietolaki edellyttää henkilötietojen suojaamista, tietojen tarpeellisuus- ja virheettömyysvaatimuksen, sekä käyttötarkoitussidonnaisuuden vaatimuksen huomioon ottamista. Lisäksi käsittelyssä tulee ottaa huomioon muutkin henkilötietolain henkilötietojen käsittelyä koskevat vaatimukset. Lainsäädäntö edellyttää, että käyttöoikeudet eri järjestelmiin on määritelty asianmukaisesti ja että käyttöä voidaan myös jälkikäteen valvoa. Tietojärjestelmien käyttäjiä tulee informoida käyttäjähallinnan sisältämistä henkilötiedoista sekä tarjota mahdollisuus omien tietojen tarkastamiseen. Julkisuuslain (laki viranomaisten toiminnan julkisuudesta 621/1999) mukaan viranomaisen henkilörekisteristä saa antaa henkilötietoja sisältävän kopion tai tulosteen tai sen tiedot sähköisessä muodossa, jollei laissa ole toisin erikseen säädetty, jos luovutuksensaajalla on henkilötietojen suojaa koskevien säännösten mukaan oikeus tallettaa ja käyttää sellaisia henkilötietoja. (Virkatunnisteohje 2009) Henkilötietolain mukaan rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä. Toimenpiteiden toteuttamisessa on otettava huomioon käytettävissä olevat tekniset mahdollisuudet, toimenpiteiden aiheuttamat kustannukset, käsiteltävien tietojen laatu, määrä ja ikä sekä käsittelyn merkitys yksityisyyden suojan kannalta. (Virkatunnisteohje 2009) Lähtökohtaisesti kaikkien tietojen luovuttamiseen sosiaalihuollon viranomaisen käyttöön tarvitaan asiakkaan suostumus. Sosiaalihuollon viranomaisella on kuitenkin sosiaalihuollon asiakaslain (812/2000) perusteella laaja tiedonsaantioikeus, jonka mukaan asiakkaan velvollisuutena on antaa sosiaalihuollon järjestämiseksi tarvittavat tiedot. Tietoja voidaan kuitenkin hakea ilman asiakkaan suostumusta, jopa asiakkaan nimenomaista kieltoa vastaan. Suomen perustuslaissa (731/1999) säädetään yksityiselämän suoja perusoikeudeksi. Perustuslakia voidaan tulkita niin, että sosiaalihuollon ammatillisilla henkilöillä on oikeus käsitellä vain sellaisia asiakastietoja, joita hän kulloinkin käsiteltävän tapauksen ratkaisemiseksi tarvitsee. Tietojen tarpeellisuudesta, käyttötarkoitussidonnaisuudesta ja käsittelyn perusteista säädetään tarkemmin henki- 17

18 lötietolaissa (523/1999). Henkilötietolaissa (523/1999) säädetään henkilötietojen käsittelyn edellytyksistä. Lain mukaan asiakastiedot on säilytettävä ulkopuolisilta tavoittamattomissa. Myös asiakastietojen luvaton hävittäminen, muuttaminen, luovuttaminen, siirtäminen tai muu laiton käsittely tulee estää. Lisäksi henkilötietolaki edellyttää, että henkilötietoja käsitellään laillisesti, huolellisuutta ja hyvää tietojenkäsittelytapaa noudattaen ja siten ettei rekisteröidyn yksityiselämän suojaa tai muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta aiheetta (Asiaa tietoturvasta 2/2008). Tunniste Kohde Kuvaus 10. Henkilötietojen suojaaminen ATJ, Valtakunnalliset palvelut, Ammatillinen henkilö Henkilötiedot on suojattava asiattomalta pääsyltä. Henkilötiedot on suojattava vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä tai muulta laittomalta käsittelyltä. Prioriteetti 1 Perustelu/lähde Henkilötietolaki (523/1999) Suhde muihin vaatimuksiin Muutoshistoria Henkilötietolaki edellyttää henkilötietojen käsittelyssä asiallista yhteyttä asiakkaan ja tietojen käsittelijän välillä. Terveydenhuollossa on toteutettu luovutuspyyntöjen ja käyttöpyyntöjen yhteydessä käsiteltävä potilashallinnon varmenneasiakirja, jonka avulla osoitetaan potilaan hoitosuhteen peruste asianomaisessa organisaatiossa (Ruotsalainen ym. 2008). Myös sosiaalihuollossa palvelujen antajalla on tehtävä määritellä ja valvoa, ketkä sen palveluksessa olevat osallistuvat palveluun ja joilla näin ollen on asiayhteys asiakkaaseen ja siten oikeus asiakkaan tietoihin. Kullakin työntekijällä on oikeus nähdä ainoastaan työtehtävänsä hoitamisessa tarvitsemiaan asiakastietoja, ja ulkopuolisina voidaan tässä yhteydessä pitää siis myös niitä sosiaalihuollon ammatillisia henkilöitä, jotka eivät ole osallisina kyseessä olevan asian käsittelyssä. Tunniste 11. Asiayhteys Kohde ATJ, Ammatillinen henkilö Kuvaus Asiakkaan ja työntekijän välillä on oltava asiayhteys Prioriteetti 1 Perustelu/lähde Henkilötietolaki (523/1999) Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista (617/2009), Sosiaalihuollon asiakaslaki (812/2000). Suhde muihin vaatimuksiin Muutoshistoria Sosiaalihuollon ammatillisten henkilöiden käyttöoikeuksien hallinnassa, tunnistamisessa ja varmentamisessa tulee ottaa huomioon se, että käyttäjällä tulee olla oikeudet vain niihin asiakasasiakirjoihin, joita hän työssään tarvitsee. (Asiaa tietosuojasta 3/2008) Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) ei koske sosiaalihuoltoa kaikilta osin. Siirtymäsäännösten perusteella sosiaalihuollon palvelujen antajien on kui- 18

19 tenkin noudatettava sosiaalihuollon asiakastietojen sähköistä käsittelyä koskevia säännöksiä alkaen. Tunniste 12. Asiakastietojärjestelmien ja asiakasrekisterien käyttäjistä ja näiden käyttöoikeuksista on pidettävä rekisteriä Kohde ATJ, Valtakunnalliset palvelut Kuvaus Sosiaali- ja terveydenhuollon palvelujen antajan tulee pitää rekisteriä omien asiakastietojärjestelmiensä ja asiakasrekisteriensä käyttäjistä sekä näiden käyttöoikeuksista. Prioriteetti 1 Perustelu/lähde Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) Suhde muihin vaatimuksiin Muutoshistoria Tunniste Tallennettuja asiakastietoja ei saa päästä muuttamaan oikeudettomasti. Kohde ATJ, Valtakunnalliset palvelut Kuvaus Tallennettuja asiakastietoja ei saa päästä muuttamaan oikeudettomasti. Prioriteetti 1 Perustelu/lähde Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) Suhde muihin vaatimuksiin Muutoshistoria Laki viranomaisten toiminnan julkisuudesta (julkisuuslaki, 621/1999) sisältää määräyksiä asiakirjojen julkisuudesta ja salassapidosta. Sen mukaan asiakkaalla on oikeus saada tietoonsa itseään koskevat asiakirjat pyytämällä laissa lueteltuja poikkeuksia lukuun ottamatta. Salassa pidettäviä asiakirjoja eikä sen kopioita ei saa näyttää eikä luovuttaa sivullisille. Kunta voi järjestää sosiaalihuollon palveluja joko itse tai hankkimalla palveluja esimerkiksi ostopalveluna yksityiseltä palveluntuottajalta. Tällöin palveluntuottaja saa käyttää asiakastietoja toimeksiantotehtävänsä suorittamiseen. Jos sosiaalihuollon palveluja antavassa yksikössä työskentelee tutkimuksia tai hoitoa antava terveydenhuollon ammattihenkilö, ovat siinä yhteydessä tehdyt merkinnät potilastietoja. Tällöin hänellä on oikeus käsitellä toiminnassa saatuja tietoja asiakkaan terveydentilasta tai vammaisuudesta tai häneen kohdistetuista hoitotoimenpiteistä tai muita hoidon kannalta välttämättömiä tietoja. Potilasasiakirjoihin voivat tehdä merkintöjä potilaan hoitoon osallistuvat terveydenhuollon ammattihenkilöiden lisäksi heidän ohjeidensa mukaisesti muut hoitoon osallistuvat henkilöt. Potilasasiakirjat on säilytettävä erillään asiakkaan muista tiedoista. Terveydenhuollon ammattihenkilön on laadittava ja säilytettävä potilasasiakirjoja sosiaali- ja terveysministeriön antaman asetuksen (298/2009) mukaisesti. (Asiaa tietosuojasta 2/2008, Asiaa tietosuojasta 3/2008, Tietosuojavaltuutetun toimisto 2009) Sosiaalihuoltolain (710/1982) mukaan myös kotihoidon toimintayksiköllä on oikeus avata tekninen käyttöyhteys rekisteriensä salassa pidettäviin tietoihin, jotka sillä on oikeus antaa kunnan tai kuntayhtymän terveyskeskukselle, mikäli kunta on mukana em. lain 2 a -luvun mukaisessa kokeilussa 19

20 ja toimijoilla on yhteinen asiakas. Tekninen käyttöyhteys voidaan avata myös kunnalta tai kuntayhtymältä kotihoidon toimintayksikön suuntaan. Teknisen käyttöyhteyden avulla saa hakea myös salassa pidettäviä tietoja ilman suostumusta. Jos kunta ei kuulu kokeilulain piiriin, tietojen luovutus tapahtuu pääsääntöisesti asiakkaan suostumuksella. Kotihoidossa asiakkaan terveyden- ja sairaanhoitoa koskeviin kotihoidon asiakirjoihin sovelletaan potilasasiakirjoja koskevia säännöksiä, kotihoidosta säädettyä kokeilulakia sekä muita asiakkaan kotihoitoa koskevia asiakirjoja ja sosiaalihuollon asiakirjoja koskevia säännöksiä. Tunniste Kohde Kuvaus 13. Henkilötietojen käsittely Palvelunantaja, Valtakunnalliset palvelut, Ammatillinen henkilö Henkilötietoja saa käsitellä ainoastaan rekisteröidyn antamalla suostumuksella ja rekisteröidyn toimeksiannosta tai sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osallisena, tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä. (523/1999) Prioriteetti 1 Perustelu/lähde Suhde muihin vaatimuksiin Muutoshistoria Sähköisiä allekirjoituksia tarjoava varmentaja saa samoilla perusteilla käsitellä varmenteen myöntämisessä ja ylläpidossa tarvittavia henkilötietoja. (617/2009) Henkilötietolaki (523/1999), Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista (617/2009) Käyttäjien, roolien ja valtuuksien määrittely arkistolausunnoista nousseet vaatimukset Yleisesti lausunnoissa toivottiin kansallisesti määriteltyjä yhteisiä sääntöjä, linjauksia ja malleja käyttäjä- ja käyttövaltuushallintaan. Lausunnoissa toivottiin myös kansallista käyttöoikeusrekisteriä, asiakkaiden suostumusten käsittelyä, lokitoimintoja sekä yhtenäistä käyttöoikeusryhmittelyä ja sen ylläpitokäytäntöä. Lausunnoissa toivottiin sosiaalihuollon työntekijöille tietosuojan ja tietoturvan osalta selkeämpää tehtäväkuvaa. Lausuntojen mukaan selkeämmän tehtävänkuvan nähtiin helpottavan käyttäjäkohtaista hallintaa tehden käyttäjähallinnosta samalla myös tarkempaa. Sosiaalihuollon organisaatioissa toimiville ammatillisille henkilöille tulisi lausuntojen mukaan määritellä käyttäjäroolit huomioiden myös niihin liittyvät valtakunnalliset linjaukset. Yhtenäisen toimintatavan ja käyttöoikeuksien aikaansaamiseksi tarvitaan lausuntojen mukaan ohjeistusta ja koulutusta. Tärkeintä useiden vastaajien mukaan olisivatkin riittävät käyttöoikeudet takaava joustava ja nopea työskentely. Tunniste Kohde Kuvaus 14. Sosiaalihuollon työntekijöille on määriteltävä käyttäjäroolit Valtakunnalliset palvelut, Palvelunantajan tietohallinto Sosiaalihuollon työntekijöiden selkeät käyttäjäroolit helpottavat tietosuojan ja tietoturvan toteutumista. Prioriteetti 2 Perustelu/lähde Arkistolausunnot (Suhonen ym. 2009) Suhde muihin vaa-

21 timuksiin Muutoshistoria Tunniste Kohde Kuvaus 15. Käyttövaltuuspolitiikan tulee olla ohjeistettua Valtakunnalliset palvelut, Palvelunantaja Käyttövaltuuspolitiikkaan tulisi sisältyä käytönvalvonnan suunnittelu ennaltaehkäisevine toimenpiteineen (mm. käyttäjien koulutus, tiedotus, käyttötuki, vaitiolositoumus). Prioriteetti 1 Perustelu/lähde Arkistolausunnot (Suhonen ym. 2009) Suhde muihin vaatimuksiin Muutoshistoria Useissa lausunnoissa tärkeäksi nähtiin asiakkaan suostumuksen pyytäminen tietojen luovuttamista varten. Tunniste Käyttöoikeuksien on oltava riittävät Kohde ATJ, Arkisto, Valtakunnalliset palvelut, Palvelunantajan tietohallinto Kuvaus Käyttöoikeudet eivät saa rajoittaa turhaan sosiaalihuollon viranomaisten pääsyä työtehtävien hoidossa tarvittaviin asiakastietoihin. Käyttäjäroolien huolellista määrittelyä pidettiin lausunnoissa tärkeänä, sillä roolimääritysten ei haluttu vaikeuttavan sosiaalihuollon viranomaisten työntekoa. Esimerkiksi eräässä lausunnossa todettiin, että sosiaalihuollon viranomaisilla on laaja tiedonsaantioikeus, ja sosiaalihuollon viranomaisten on siten tiedettävä itse, mitä tietoja työtehtävän hoitamisessa tarvitaan. Kyseisen lausunnon mukaan ei käyttöoikeuksilla siten saisi rajoittaa sosiaalihuollon viranomaisten pääsyä asiakastietoihin, sillä se voisi lausunnon mukaan vaikeuttaa työtehtävien hoitamista. Prioriteetti 1 Perustelu/lähde Arkistolausunnot (Suhonen ym. 2009) Suhde muihin vaatimuksiin Muutoshistoria Asiayhteys on erään lausunnon mukaan vaikeimmin määriteltäviä ominaisuuksia. Eräässä toisessa lausunnossa puolestaan todetaan, että asiayhteys on hankalaa todentaa, sillä yhden asiakkaan asioita voi joutua tietyissä tapauksissa käsittelemään useampikin työntekijä. Asiayhteyden teknistä todentamista tai luokitusta ei ole vielä määritelty, mutta eräässä lausunnossa asiayhteysluokitus on nähty tärkeäksi. Asiayhteys on kuitenkin yksi tärkeimmistä ominaisuuksista, sillä lähtökohtana asiakastiedon käytölle on aina asiakassuhteen olemassaolo eli palvelusta riippuen esimerkiksi vähintään ajanvaraus tai lastensuojeluilmoitus. 21

22 2.3 Ohjaukseen ja valvontaan kohdistuvat vaatimukset Tunniste Kohde Kuvaus 16. Palvelun antajan vastuu lokitietojen keräämisestä ATJ, Palvelunantaja, Valtakunnalliset palvelut Palvelun antajan tulee kerätä asiakasrekisterikohtaisesti kaikesta asiakastietojen käytöstä ja jokaisesta asiakastietojen luovutuksesta seurantaa varten lokitiedot lokirekisteriin. Käyttöoikeus- ja lokitiedoista sekä tietojen vähimmäissäilytysajasta voidaan säätää tarkemmin sosiaali- ja terveysministeriön asetuksella. (159/2007) Prioriteetti 1 Perustelu/lähde Kaikki tallennettuihin asiakastietoihin tehdyt tietojen muutokset tulee voida todentaa jälkikäteen. (159/2007) Sähköisten asiakirjojen saapuminen viranomaiselle on rekisteröitävä luotettavalla tavalla. Kirjaus- tai muista vastaavista merkinnöistä on käytävä ilmi asiakirjan saapumisajankohta. (13/2003, 812/2000) Sosiaali- ja terveydenhuollon asiakastietojen sähköistä käsittelyä koskeva laki (159/2007) Suhde muihin vaatimuksiin Muutoshistoria (13/2003, 812/2000) Tunniste Jokaisella palvelun antajalla tulee olla tietosuojavastaava Kohde Palvelunantaja Kuvaus Sekä sosiaalihuollon että terveydenhuollon palvelun antajan on omalta osaltaan seurattava ja valvottava, että sen antamaan palveluun liittyvä tietosuoja toteutuu. Valvonnan lisäksi tulee sitä toteuttavien myös ryhtyä toimenpiteisiin väärinkäyttötilanteissa. Prioriteetti 1 Perustelu/lähde Suhde muihin vaatimuksiin Muutoshistoria Jokaisella palvelun antajalla tulee olla seuranta- ja valvontatehtävää varten tietosuojavastaava. Sosiaali- ja terveydenhuollon asiakastietojen sähköistä käsittelyä koskeva laki (159/2007) Tunniste Sosiaali- ja terveydenhuollon toimintayksikön vastaavalla johtajalla on vastuu ohjaus- ja valvontatehtävistä Kohde Palvelunantaja Kuvaus Sosiaali- ja terveydenhuollon toimintayksikön vastaavan johtajan tulee antaa 22

23 Prioriteetti 1 Perustelu/lähde Suhde muihin vaatimuksiin Muutoshistoria kirjalliset ohjeet asiakastietojen käsittelystä ja noudatettavista menettelytavoista sekä huolehtia henkilökunnan riittävästä asiantuntemuksesta ja osaamisesta asiakastietojen käsittelyssä. Sosiaali- ja terveydenhuollon asiakastietojen sähköistä käsittelyä koskeva laki (159/2007) Tunniste Luovutettavista ja hankittavista tiedoista tehtävät merkinnät Kohde Palvelunantaja Kuvaus Sosiaalihuollon järjestäjän ja toteuttajan on tehtävä asiakirjoihin merkintä, kun tietoja hankitaan ulkopuolisilta tai annetaan sosiaalihuollon asiakaslain nojalla. Luovutuksen yhteydessä tehdystä merkinnästä tulee käydä ilmi, kenelle tietoja on luovutettu, mitä tietoja luovutus koskee ja millä perusteella tiedot on luovutettu. Asiakirjoista tulee käydä ilmi myös tietojen luovuttaja ja hankkija. Prioriteetti 1 Perustelu/lähde Sosiaalihuollon asiakaslaki (812/2000) Suhde muihin vaatimuksiin Muutoshistoria Luovutusmerkintöjen kirjaaminen asiakirjoihin ehdotetaan korvattavaksi luovutuslokilla. Sähköisen arkiston toimintaympäristössä luovutusmerkintöjen kirjaamisella asiakirjoihin on lukuisia seurauksia: Asiakirjan tietosisällön ja metatietojen paisuttaminen Asiakirjojen sisältö- ja metatietopäivityksistä aiheutuvat versiointikäytännöt Luovutuslokien luku- ja tarkastusoikeuksia ei ole määritelty kaikille asiakirjaa tarkasteleville tahoille, ts. asiakirjaan kerrytetty luovutusloki rikkoo tietosuojaa koska rekisterinpitäjillä ei ole oikeuksia tarkastella toisten rekisterinpitäjien luovutuslokeja Mikäli luovutusmerkintä on välttämätöntä tuottaa asiakirjaan, voidaan se toteuttaa totuusarvotyyppisen (true/false) metatiedon avulla. Metatietokenttä täytetään ensimmäisen luovutuksen yhteydessä, jolloin tiedetään että asiakirja on luovutettu tarkasteltavaksi johonkin toiseen organisaatioon. Tarkemmat luovutustiedot saadaan tämän jälkeen luovutuslokista. 2.4 Muita vaatimuksia Tähän lukuun on koottu muita havaittuja tunnistamiseen liittyviä vaatimuksia. 23

24 2.4.1 Sosiaalihuollon kansallinen sähköinen arkisto (KanSa) Sosiaalihuollon kansallista sähköistä arkistoa (KanSa) on suunniteltu terveydenhuollon sähköisen arkiston (KanTa) määritysten pohjalta. Tässä luvussa käsitellään KanSa- ja KanTa-määrityksiä sosiaalihuollon ammatillisten henkilöiden käyttöoikeushallinnan näkökulmasta. KanTaarkistopalveluun liittyneet potilastietojärjestelmät tunnistavat käyttäjänsä ja rajoittavat kansallisen arkistopalvelun käyttöä käyttöoikeuksien puitteissa. Kansallinen arkisto tarkastaa, että sille saapuvan sanoman on lähettänyt luotettu (varmennettu) osapuoli. (STM 2007a, STM 2007e) Käyttäjien tunnistamisen ja käyttöoikeuksien hallinnan osalta terveydenhuollon sähköinen arkistoratkaisu turvautuu olemassa oleviin potilastietojärjestelmien ja Valviran varmennepalveluihin. Jatkossa varmennepalvelut tuotetaan Väestörekisterikeskuksessa rooli- ja attribuuttipalvelujen säilyessä edelleen Valvirassa. (STM 2007e, HE 155/2010) KanTa-määrityksissä on kuvattu käyttäjän tunnistamisen, järjestelmän tunnistamisen, käyttäjän allekirjoituksen, järjestelmän allekirjoituksen sekä allekirjoituksen tarkistuksen sovellusarkkitehtuuri. Arkkitehtuurimäärityksessä kuvataan tunnistamiseen liittyvistä toiminnallisuuksista käyttäjän tunnistaminen ja järjestelmän tunnistaminen. Tunniste 17. Käyttäjän tunnistaminen asiakastietojärjestelmässä Kohde ATJ, Arkisto, Valtakunnalliset palvelut Kuvaus Arkiston käyttäjä tunnistetaan asiakastietojärjestelmässä (luottosuhde). Prioriteetti 1 Perustelu/lähde KanTa-määritykset (STM 2007e) Suhde muihin vaatimuksiin Muutoshistoria Tunniste 18. Käyttäjän vahva tunnistaminen Kohde ATJ, Arkisto, Valtakunnalliset palvelut Kuvaus Arkistoa käyttävät ammatilliset henkilöt on tunnistettava vahvan tunnistautumisen avulla. Prioriteetti 1 Perustelu/lähde Sosiaalihuollon asiakirjat ja asiakastiedot ovat luottamuksellisia. (Virtu (K) 2007) Suhde muihin vaatimuksiin Muutoshistoria Tunniste Kohde Kuvaus 19. Käyttäjähallinta on toteutettu asiakastietojärjestelmässä ATJ, Arkisto Arkistoon yhteydessä oleva asiakastietojärjestelmä huolehtii käyttäjien käyttövaltuushallinnasta arkiston käyttöön liittyen. Prioriteetti 1 Perustelu/lähde KanTa-määritykset (STM 2007e) 24