Tietoturvan ja tietosuojan omavalvontasuunnitelma sote-palveluissa JUDO-työpaja Juha Mykkänen, kehittämispäällikkö

Samankaltaiset tiedostot
Tietoturvallisuuden, tietosuojan ja tietojärjestelmien käytön omavalvontasuunnitelma

Kanta-sertifiointi ja omavalvonta yleiskuva ja prosessit

OLENNAISET TOIMINNALLISET VAATIMUKSET - PÄIVITETTY LUOKITUS JA JÄRJESTELMÄLOMAKE Kela toimittajayhteistyökokous 26.4.

Kanta-sertifiointi ja omavalvonta yleiskuva ja prosessit

OHJE YLEISEEN KÄYTTÖÖN TARKOITETTUJEN OHJELMISTOJEN HYÖDYNTÄMISESTÄ SOTE- PALVELUISSA

Sosiaali- ja terveydenhuollon asiakastietojärjestelmät ja niiden uudistukset

OHJE LUOKKAAN A KUULUVIEN SOSIAALI- JA TERVEYDENHUOLLON TIETOJÄRJESTELMIEN MUUTOSTEN ILMOITTAMISESTA

SÄHKÖISEN LÄÄKEMÄÄRÄYKSEN TOIMINNALLISUUKSIA TOTEUTTAVIEN TIETO- JÄRJESTELMIEN VAATIMUSTENMUKAISUUS SIIRTYMÄVAIHEESSA

Auditoinnista omavalvontaan - omavalvontasuunnitelma ja sen laatiminen

Määräys sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista toiminnallisista vaatimuksista

Tietojärjestelmien valvonnan ajankohtaiset asiat

Terveydenhuollon ATK-päivät Logomo, Turku

Potilas -ja asiakastietojärjestelmien vaatimukset ja valvonta Ammattimainen käyttäjä laiteturvallisuuden varmistajana

Laatustandardit ja lakivaatimukset ohjaavat kehittämistyötä

Sosiaali- ja terveydenhuollon tietojärjestelmien valvonta

Kuka auttaa johtoa sosiaali- ja terveydenhuollon asiakastietojen käytönvalvonnassa?

Kanta-palveluiden vaatimukset sote- ja maakuntauudistuksessa

Valtuutussäännökset. Voimassaoloaika. Määräys tulee voimaan pp. päivänä [x]kuuta 2015 ja se on voimassa toistaiseksi.

Käytönvalvonnan yhtenäistäminen ja tehostaminen organisaation ja kansalaisen kannalta

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

EU TIETOSUOJA- ASETUS

Apteekkisopimus Päihdelääketieteen torstaikoulutus Maritta Korhonen, Kela Kanta-palvelut

Olennaiset vaatimukset, sertifiointi + omavalvonta

Asiakastietolain ja reseptilain muutokset. Terveydenhuollon atk-päivät Pekka Järvinen, STM

Uudistettu asiakastietolaki edistämään tiedonvaihtoa sosiaalija terveydenhuollossa

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

tiedonhallinnan lainsäädännön muutokset osana maakunta- ja soteuudistusta

Sosiaali- ja terveydenhuollon tietojärjestelmiä käyttävien palveluiden antajien omavalvontasuunnitelma

Kanta-palveluiden rooli uudistusten tukena. Kehittämispäällikkö Anna Kärkkäinen Terveydenhuollon ATK-päivät

Sote-tietojärjestelmien luokittelu, sertifiointi ja omavalvonta: usein kysytyt kysymykset

Kelan rooli maakunta- ja soteuudistuksessa

Organisaatiomuutokset yksityisessä terveydenhuollossa

OPERin toimintasuunnitelman valmistelu vuodelle Operatiivisen toiminnan ohjaus -yksikkö (OPER) Tietopalvelut-osasto

Tietosuoja-asetus (GDPR)

Sosiaali- ja terveysministeriö Kirjaamo PL VALTIONEUVOSTO. Sosiaali- ja terveysministeriön lausuntopyyntö STM015:00/2015

Kanta-palvelut miten valmistautua liittymiseen

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Sote-uudistuksen toimeenpano Kanta-palveluissa (Soutu-hanke) Erja Vornanen Kela

Kanta-palvelut, Kelan näkökulma

5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018

Lain velvoitteet ja lakimuutosten vaikutukset yksityiselle sektorille. Jari Porrasmaa

Miten liitytään Kantapalveluihin. Ohje palveluja käyttöönottaville

Tietojen käytön valvonta ja seuranta helpommaksi: käyttölokien kansalliset linjaukset ja määrittelyt

Sosiaali- ja terveydenhuollon tietojärjestelmiä käyttävien palveluiden antajien omavalvontasuunnitelma

OMAVALVONTASUUNNITELMA

Fintech-yrityksen tietosuoja: Tietosuoja-asetus Markus Myhrberg

OMAVALVONTASUUNNITELMA 1.1

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

Kanta-palvelut ja sosiaalihuolto, Kansa-hanke ja Kansa-koulu-hanke

Tietosuojakysely 2018

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

EU:n yleisen tietosuoja-asetuksen (GDPR) vaikutusten arviointi alueellisesti

Sote-rajapinnan tiedonkäsittely tulevaisuudessa

Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa

Kysymyksiä jä västäuksiä yksityisen terveydenhuollon liittymisestä potilästiedon ärkistoon

Auditointi. Teemupekka Virtanen

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

Tietosuojavastaavan toiminta ja dokumentointi

Sosiaalihuollon valtakunnallisten tjpalveluiden. I-vaihe

THL:n sosiaalihuollon palvelutehtäviä koskeva määräys, käyttöoikeuksien perusteet ja muut määräykset

Kotiin annettavien palvelujen valvonta osana kunnan omavalvontaa. Järvenpään kotihoidon omavalvonta

Omavalvontasuunnitelma ja EU-tietosuojadirektiivi

Tietosuoja-asetus Tietoarkiston näkökulmasta. Aila ja aineistojen jatkokäyttö -seminaari Arja Kuula-Luumi Kehittämispäällikkö

Kysely- ja välityspalvelu

Liittymisvalmistelut Kanta-palveluun. Potilastiedon arkisto THL

Muutokset lakiin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007)

EU:n tietosuoja-asetus (GDPR)

Alaikäisen puolestaasiointi

Sosiaalihuollon asiakastiedon arkisto

1 Tietosuojapolitiikka

TIETOSUOJASELOSTE Tilhilän palvelutalo Vuokrakiinteistöt

Kanta-palvelun vaatimukset palveluntuottajalle

Miten liitytään Kanta-palveluihin. Kanta-liittyjän ohje

Tietosuojakysely 2019

Kertausta lähtökohtiin liittyen

Kanta-palvelun vaatimukset palveluntuottajalle

MIKÄ ON KANSA? Ajankohtaista sosiaalihuollon tiedonhallinnan kehittämisestä ja arkistosta

Kanta-palvelut sosiaalihuollossa ja asiakastiedon kirjaamisen kehittäminen

Tietosuojan toteuttaminen käytännössä

Mitä Sote-tieto hyötykäyttöön -strategia tarkoittaa rationaalisen lääkehoidon tutkimuksen näkökulmasta?

Tietosuojan tikapuut, lokienhallinta ja omavalvonta

Kela, Kanta-palvelut ja tietointegraatio

Kanta-palvelut Sosiaalihuollon liittyminen Kanta-palveluihin

Sopimus Kanta-palveluihin liittymisestä ja Kanta-palvelujen käytöstä v 1.0

Terveydenhuollon yksiköiden valmiudet liittyä KanTa an

Sosiaalihuollon Kanta-palvelujen käyttöönoton myötä kohti sote tietointegraatiota

Teknologia avusteiset palvelutverkostopalaveri

Tietoturvapolitiikka

Valmistautumistilaisuus liittyjälle Potilastiedon arkisto. Kela, Kanta-palvelut,

Sote- ja maakuntauudistuksen vaikutukset Kantapalveluun

Valmistautuminen potilastiedon arkiston käyttöönottoon. Käyttöönoton käsikirja ja toiminnallisen muutoksen tukeminen Anna Kärkkäinen

Eläketurvakeskuksen tietosuojapolitiikka

Potilastiedon arkistoon liittyminen 6 kk tukikokous

TIETOSUOJAPOLITIIKKA

VALTAKUNNALLINEN VALVONTAOHJELMA JA OMAVALVONTA Riitta Husso, LM Valvira

Suostumuskäytännöt Suomen perustuslaki

Tietosuojavaltuutetun toimiston tietoisku

Kelain-palvelun käyttöehdot

Transkriptio:

Tietoturvan ja tietosuojan omavalvontasuunnitelma sote-palveluissa 2.9.2019 JUDO-työpaja Juha Mykkänen, kehittämispäällikkö

Hippokrateen vala, ote Mikäli parannustyössäni tai sen ulkopuolella ihmisten keskuudessa näen tai kuulen sellaista, mitä ei pidä levitettämän, vaikenen ja pidän sitä salaisuutena. Hippokrates (n. 460-370 ekr) 2

Mitkä ovat juurisyitä terveyspalveluissa sattuneissa tietoturvapoikkeamissa (EU/EFTA kysely) Inhimilliset virheet Luonnonilmiöt Hyökkäykset (kuten palvelunesto- tai MITM) Järjestelmä- ja laitteistovirheet (Muut) ENISA-kysely ja haastattelut 2015, vastaajina eri rooleissa toimivia ehealth / kyberturvallisuusasiantuntijoita 20 EU/EFTA maasta 3

Tässä esityksessä: Sote-palvelujen tietoturva ja tietosuoja - konteksti Tietosuojan ja tietoturvallisuuden omavalvonta ja sotetietojärjestelmien olennaiset tietoturvavaatimukset Kehityksen suunta ja ajankohtaista sote-tietoturvallisuudessa 4

Kontekstia ja tilannetta / sote-tiedonhallinta (lukuja 31.7.2019) Kunnissa, kuntayhtymissä, apteekeilla ja yksityisillä sote-palveluntuottajilla useissa palveluissa n. 100% sähköistä tiedonkäsittelyä Paljon erikokoisia ja eri palveluihin keskittyviä toimijoita Satoja käytössä olevia ja kymmeniä Kanta-palvelujen kanssa sertifioituja järjestelmiä Useita merkittäviä järjestelmien uudistamishankkeita käynnissä Digitaalisuuteen liittyvät toiminnan muutokset edellyttävät tietojen liikkuvuutta ja tietojärjestelmiltä yhteentoimivuutta Toimeenpano sosiaali- ja terveyden-huollossa erityisesti valtakunnallisten Kanta-palvelujen kautta Asoakkaiden entistä keskeisempi rooli ja tietojen toisiokäyttö keskeisiä valtakunnallisia kehitystyön painopisteitä Tietoturvallisuudesta huolehtiminen sekä omassa että verkostotoiminnassa keskeinen velvoite ja menestystekijä Kanta-palveluissa on yli 2 700 000 000 asiakirjaa yli 6 050 000 henkilöstä Potilastiedon arkisto: n. 1 607 600 000 asiakirjaa, 824 200 000 palvelutapahtumaa (käynnin / hoitojakson perustietojen päivitystä) 165+1332 julkista+yksityistä käyttäjäorganisaatiota 6,6 milj. informointia / 3,6 milj. suostumusta / 0,1 milj. kieltoa Resepti-palvelu: n. 180 300 000 lääkemääräystä, n. 338 900 000 lääketoimitusta Sosiaalihuollon asiakastiedon arkisto tuotantokäytössä 2018- : 936 506 asiakirjaa yli 69 000 henkilöstä 12+5 julkista+yksityistä käyttäjäorganisaatiota, 73 käyttöönottoon ilmoittautunutta, 2139 kirjaamisvalmentajaa, 36785 valmennettua Omakanta-palvelu kansalaisille avoinna tietoturvallisesti verkossa 24/7: yli 2 miljoonaa kirjautunutta henkilöä ja 17 miljoonaa kirjautumiskertaa vuonna 2018 Sähköinen resepti ja potilastiedon välitys Euroopassa etenee: suomalainen resepti toimitettavissa Virossa, Kroatiassa 2.9.2019 5

6

Tietoturvallisuuden perusperiaatteet Eheys tarkkuus ja yhdenmukaisuus säilyvät tiedon elinkaaren ajan luvaton muokkaaminen ei onnistu tai se havaitaan Luottamuksellisuus Saatavuus ja luotettavuus tieto on saatavilla, kun sitä tarvitaan ohjelmistot, laitteet, turvallisuus ja viestinvälitykset toimivat Autenttisuus tiedon alkuperä on tiedossa tiedonvaihdon osapuolet tunnistetaan luotettavasti Kiistämättömyys ja velvoittavuus sopimuksen velvoitteet täytetään osapuoli ei voi kiistää osallistumistaan tapahtumaan 7

Monet tietoturvallisuustoimenpiteet palvelevat useita tavoitteita (case olennaisten tietoturvavaatimusten luokat) Sähköinen allekirjoitus Käyttövaltuushallinta Tunnistaminen Valvonta ja lokitus Sovellusturvallisuus Käyttöympäristön turvallisuus Eheys tarkkuus ja yhdenmukaisuus säilyvät tiedon elinkaaren ajan luvaton muokkaaminen ei onnistu tai se havaitaan Luottamuksellisuus Saatavuus ja luotettavuus tieto on saatavilla, kun sitä tarvitaan ohjelmistot, laitteet, turvallisuus ja viestinvälitykset toimivat Autenttisuus tiedon alkuperä on tiedossa tiedonvaihdon osapuolet tunnistetaan luotettavasti Kiistämättömyys ja velvoittavuus sopimuksen velvoitteet täytetään osapuoli ei voi kiistää osallistumistaan tapahtumaan 8

Mitkä ovat juurisyitä terveyspalveluissa sattuneissa tietoturvapoikkeamissa (EU/EFTA kysely) Inhimilliset virheet Luonnonilmiöt Hyökkäykset (kuten palvelunesto- tai MITM) Järjestelmä- ja laitteistovirheet Muut syyt ENISA-kysely ja haastattelut 2015, vastaajina eri rooleissa toimivia ehealth / kyberturvallisuusasiantuntijoita 20 EU/EFTA maasta 9

Tietosuojan ja tietoturvallisuuden olennaiset vaatimukset ja omavalvonta Etunimi Sukunimi 2.9.2019 10

Olennaiset vaatimukset ja omavalvonta sotetiedonhallinnassa: miksi? Sote-palveluja koskevaan lainsäädäntöön tehtiin vuonna 2014 merkittäviä muutoksia sekä sote-palvelujen tuottajille että järjestelmätoimittajille Varmistettava, että Järjestelmissä on käyttötarkoituksen kannalta oikeat toiminnallisuudet, riittävät tietoturvaominaisuudet ja että ne pystyvät liittymään osaksi Kanta-palvelujen kautta tapahtuvaa tietojen vaihtoa tietojärjestelmien OLENNAISET VAATIMUKSET Organisaatioissa ja palveluntuottajilla on asianmukaiset tietoturvakäytännöt ja käyttöympäristössä huolehditaan asianmukaisesta tietoturvasta OMAVALVONTA (tietosuojan ja tietoturvallisuuden) Erityishuomio Kanta-palvelujen kautta laajenevassa tietojen saatavuudessa, mutta huomioitava kaikessa toiminnassa Yleiskuva 11

Omavalvonnan ja olennaisten vaatimusten säädökset Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 159/2007 (päivitetty 2014, päivittymässä 2017) Laki sähköisestä lääkemääräyksestä 61/2007 (päivitetty 2014, päivittymässä 2017) THL:n Määräys 1/2015: A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien olennaiset tietoturvavaatimukset THL:n Määräys 2/2015: Omavalvontasuunnitelmaan sisällytettävät selvitykset ja vaatimukset THL:n Määräys 2/2016: Määräys sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista toiminnallisista vaatimuksista Lisäksi saatavilla ohjeita ja tukimateriaalia Perusperiaate: järjestelmien olennaiset vaatimukset ja omavalvonta muodostavat jatkumon teknisistä järjestelmäratkaisuista turvallisiin käytäntöihin ja toimintatapoihin päivittäisessä työssä 12

Keskeisimmät asiakastietolain kohdat omavalvonnan ja olennaisten vaatimusten osalta 3 määritelmät, erityisesti tietojärjestelmä, palvelun antaja 19 a (Sote-tietojärjestelmien) olennaiset vaatimukset 19 h, Omavalvontasuunnitelma Lisäksi 19 b Järjestelmien luokat A ja B 19 c Tietojärjestelmän valmistajan velvollisuudet 19 d Vaatimustenmukaisuuden osoittaminen (toiminnallisuus, yhteentoimivuus, tietoturvallisuus) 19 e Yhteistestaus 19 f Tietojärjestelmän ottaminen tuotantokäyttöön (vaatimustenmukaisuustodistuksen edellytys, ilmoittaminen Valviralle) 19 g Käyttöönoton jälkeinen seuranta, poikkeamista ilmoittaminen / valmistaja 19 i Poikkeamista ilmoittaminen (palvelujen antaja) 22 a Tietojärjestelmien ja ohjelmistojen hyväksyntä ja käyttöönotto Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 13

Myös muut säädökset huomioitava EU:n tietosuoja-asetuksen (GDPR) periaatteet Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys Käyttötarkoitussidonnaisuus (tietoa ei saa käyttää ilman potilaan suostumusta tai laista johtuvaa perustetta toiseen tarkoitukseen kuin mihin se on kerätty) Tietojen minimointi: vain tarpeelliset tiedot kerätään Tietojen täsmällisyys Tietojen säilytyksen rajoittaminen Tietojen eheys ja luottamuksellisuus Rekisterinpitäjän osoitusvelvollisuus Tietosuojalaki 1050/2018 Tiedonhallintalaki 906/2019 Omavalvonnan ja olennaisten vaatimusten kautta täytettävissä ja osoitettavissa myös muiden säädösten mukaisia vaatimuksia 14

Sote-tietojärjestelmien olennaiset vaatimukset ja niiden todentaminen Lakisääteisiä (lain 159/2007 ja 61/2007 muutos 250 ja 251/2014) 1. Toiminnalliset vaatimukset THL:n määräys (2/2016) Sote-tietojärjestelmien olennaisista toiminnallisista vaatimuksista Valmistajan / tietojärjestelmäpalvelun tuottajan oma selvitys määräyksen mukaisilla menettelyillä 2. Yhteentoimivuusvaatimukset Todennetaan A-luokan järjestelmissä Kanta-yhteistestauksen kautta 3. Tietoturva- ja tietosuojavaatimukset THL:n määräys (1/2015) A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista tietoturvavaatimuksista Todennetaan A-luokan järjestelmissä tietoturvallisuuden arviointilaitoksen suorittamalla tietoturva-auditoinnilla Todentaminen = sertifiointiprosessi (järjestelmille ja teknisille Kanta-välityspalveluille) Sertifiointiprosessi koskee A-luokan (Kanta-palveluihin liittyviä) tietojärjestelmien valmistajia Hyväksytyn sertifioinnin tuloksena A-luokan järjestelmä saa vaatimustenmukaisuustodistuksen => tiedot sertifioiduista järjestelmistä ilmoitettava Valviralle, vaatimusten mukaisten järjestelmien rekisteri tulee nähtäville Lisäksi luokan B-järjestelmiä asiakastietojen käsittelyyn ja järjestelmiä, joita ei tarvitse luokitella 15

Määräys 1/2015 A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista tietoturvavaatimuksista Määräys 1/2015 koskee tietojärjestelmien valmistajia sote-palveluntuottajien on osaltaan varmistettava, että Kanta-palveluihin liittymiseen käytetty järjestelmä täyttää vaatimukset Voimaan 1.2.2015, voimassa toistaiseksi Sisältää liitteineen tietoturvavaatimukset Kanta-palveluihin liittyville sotetietojärjestelmille, myös järjestelmien sertifiointia ja auditointia varten Kuvaa, kuinka tietojärjestelmien tietoturvallisuusvaatimusten täyttyminen todennetaan Liite 1: Tietoturvavaatimukset A-luokkaan kuuluville järjestelmille ja järjestelmien käyttöympäristöille Huom. erityisesti käyttöympäristövaatimukset olennaisia myös omavalvonnassa 16

Luokan A tietojärjestelmien olennaisten tietoturvavaatimusten osaalueet ja kohteet Olennaisten tietoturvavaatimusten toteuttamisesta järjestelmätuotteessa vastaa järjestelmän valmistaja; sote-palveluntuottajan on syytä varmistaa että Kanta-palveluihin liittyvällä (luokan A) järjestelmällä on voimassa oleva vaatimustenmukaisuustodistus Osa-alueet / kriteerit Sähköinen allekirjoitus Käyttövaltuushallinta Tunnistaminen (sis. myös mm. sulkulistat, ammattioikeuden rajoitukset) Valvonta ja lokitus Tietojen käsittely Muut pakolliset vaatimukset Sovellusturvallisuus Käyttöympäristö / luottamuksellisuus ja eheys Kohteet Y: Yhteinen vaatimus kaikille luokkaan A kuuluville tietojärjestelmille AP: Apteekkijärjestelmän toiminnallisuuksia toteuttavat R: Sähköisen lääkemääräyksen käsittelyn toiminnallisuuksia toteuttavat A: Arkistoon liittyvät toiminnallisuudet (VÄ: Välityspalvelut) 17

Sertifiointiprosessi: uusi järjestelmä 18

Määräys 2/2015 omavalvontasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista Tämä määräys koskee erityisesti sote-palvelujen tuottajia ja on tämän koulutuksen pääasia Voimaan 1.2.2015, voimassa toistaiseksi Kuvaa omavalvontasuunnitelmaan vähintään sisällytettävät selvitykset ja vaatimukset Soveltamisala Vastuut tietoturvan sekä asiakas- ja potilastietojen asianmukaisen käsittelyn varmistamisessa Määritelmät Suhde muihin ohjaaviin määräyksiin ja ohjeisiin Yleistä: muut omavalvontasäädökset, todentaminen, suhde tietojärjestelmien olennaisiin vaatimuksiin, sertifiointiin ja Valviran rekisteriin Omavalvontasuunnitelmaan sisällytettävät selvitykset ja vaatimukset Ohjaus ja neuvonta Liite 1: Omavalvontasuunnitelman mallipohja 19

Miksi omavalvontasuunnitelma? Parantaa ja yhdenmukaistaa sosiaali- ja terveydenhuollon tietosuoja- ja tietoturvakäytäntöjä arkityössä Varmistaa, että henkilöstö tietää tietosuojaan ja tietoturvaan liityvät menettelyt ja noudattaa niitä asiakas- ja potilastietojen käsittelyssä Huomioi arkaluonteisen tiedon salassapidon merkityksen Helpottaa ymmärtämään väärinkäytöksen seuraamukset Ohjaa ja tukee tietoturvavaatimusten noudattamista Auttaa seuraamaan toimintaa käytännössä Auttaa varmistamaan myös muiden palvelun tuottamiseen osallistuvien tahojen tietoturvallisen toiminnnan Selkeyttää roolit ja vastuut toteutuksessa Vastuu tietoturvallisuudesta ja tietosuojasta toimintayksikön vastaavalla johtajalla 20

Omavalvontasuunnitelma Keiden on laadittava (säädökset voimassa 2015 lähtien) Sähköistä asiakas- ja potilastietojen käsittelyyn tarkoitettua tietojärjestelmää käyttävien Sosiaali- ja terveydenhuollon palvelun antajien Apteekkien Itsenäisten ammatinharjoittajien Kansaneläkelaitoksen Kanta-välityspalveluiden tuottajien (välittäjäorganisaatiot) Miksi HUOM. Ei liity pelkästään Kantapalveluihin vaan kaikkeen sotepalvelunantajien sähköiseen asiakas- ja potilastietojen käsittelyyn Suunnitelmassa selvitettyjen toimenpiteiden avulla ylläpidetään ja kehitetään organisaation tietoturvaa ja tietosuojaa Suunnitelman mukaan toimiminen on dokumentoitava, esim. itseauditoinnit ovat omavalvonnan toteuttamisen yksi tapa THL Määräys 2/2015 21

Omavalvontasuunnitelman sisältö Jaettu kokonaisuuksiin, joihin kootaan tai linkitetään kunkin aiheen alle kuuluvat dokumentit: 1. Johdanto 5. Käyttövaltuuksien, pääsynhallinnan ja käytön seurannan yleiset käytännöt: 2. Suunnitelman kohde: Käyttäjäryhmät, käyttövaltuushallinnan ja käytön Ketkä kuuluvat suunnitelman piiriin: palvelunantajat, seuraamisen käytännöt järjestelmät, käyttäjät kuvattuna 3. Yleiset tietoturvakäytännöt: Kuvaukset tietoturvapolitiikasta, tietosuojaan ja valvontaan liittyvistä vastuista, koulutus, ohjeistus, toimintamalleihin perehdytys, tietojärjestelmien ja potilastietojen käsittelyyn ohjeistus ja koulutus 4. Käyttöympäristön ja useiden järjestelmien yhteiset tietoturvakäytännöt: Menettelyt virhe- ja ongelmatilanteissa, järjestelmien käyttöohjeiden hallinnointi ja saatavuus, järjestelmien asennus ja ylläpito, tilojen työasemien, tallennusvälineiden ja tulosteiden turvallisuus, muut käyttöympäristön käytännöt 6. Kanta-palvelujen käytön tietoturvakäytännöt 7. Tietojärjestelmät: Kanta-palveluihin liittyvät tietojärjestelmät (A), muut asiakas- tai potilastietoja käsittelevät järjestelmät (B), muut tietojärjestelmät jotka on otettava huomioon arkaluonteisten asiakas- ja potilastietojen suojaamisen kannalta 8. Tietojärjestelmäkohtaiset ohjeet ja suunnitelmat: Järjestelmien osalta joilla on vaikutusta asiakas- tai potilastietojen käsittelyyn, tietoturvaan tai tietosuojaan Esimerkkinä omavalvontasuunnitelman mallipohjan rakenne 22

Esim. Luku 2 Suunnitelman kohde Ensimmäisenä kuvattavat asiat! Selvitetään ne tahot, jota tämä Omavalvontasuunnitelma koskee kenen omavalvontasuunnitelma on kyseessä huomioitava myös sopimukset! Laaditaan kuvaus suunnitelman hyödyntämisestä tietojärjestelmien käytössä, käytön valvonnassa, hankinnoissa ja kehitystyössä sekä tähän mahdollisesti liittyvissä päätöksissä Kuvataan myös, miten omavalvontasuunnitelman toteutumisen seurannan menettelytavat on suunniteltu Täydennettävissä, mm. henkilötietojen käsittelyyn liittyvistä säädöksistä (kuten GDPR) löytyvät käsittelyn perusteet Menettelytapojen on oltava todennettavissa tarkastusten yhteydessä 2323

Esim. luku 4 Käyttöympäristön tietoturvakäytännöt Kuvataan, mistä on saatavissa tiedot tai kuvaukset: Menettelyt virhe- ja ongelmatilanteissa Järjestelmien käyttöohjeiden hallinnoinnista ja saatavuudesta Järjestelmien asennuksesta ja ylläpidosta yleisesti Tilojen, työasemien, tallennusvälineiden ja tulosteiden turvallisuudesta Muista käyttöympäristön tietoturvakäytännöistä 24

Omavalvontasuunnitelman laatiminen on sitä yksinkertaisempaa, mitä enemmän pohjatyötä on jo tehty Omavalvontasuunnitelmassa Viitataan aina kuin mahdollista, olemassa oleviin, erikseen ylläpidettäviin ohjeisiin ja dokumentteihin (esimerkiksi linkkien avulla) Olennaista on, että suunnitelmasta selviää, mistä tiedot / dokumentaatio on löydettävissä tai miten vaatimuksen täyttyminen on todennettavissa. Mikäli valmista dokumentaatiota ei ole, omavalvontasuunnitelmaan kuvataan vaadittavat asiakokonaisuudet ja toimintatavat HYÖDYNNÄ: Tietoturvapolitiikka Kokonaisarkkitehtuurikuvaukset Laatukäsikirja Omat tietoturvallisuusohjeet Tietojärjestelmäpalvelujen tuottajien ohjeet Sopimukset ja sopimusohjeistukset Jne. 25

Hyväksymis- ja tarkistusmenettelyt ja omavalvonnan toteuttamisen dokumentointi Omavalvontasuunnitelman laadinnan ja noudattamisen vastuu on toimintayksikön vastaavalla johtajalla Omavalvontasuunnitelma ja siihen kirjatut menettelytavat edellyttävät organisaation omien hyväksymiskäytänteiden mukaisen hyväksymisen Omavalvonnan toteuttaminen on dokumentoitava ja oltava todennettavissa Ei yksityiskohtaista ohjetta esim. omavalvonnan toteuttamiseen liittyvän materiaalin säilyttämisestä, mutta hyviä käytäntöjä esim. Säännöllisen omavalvonnan materiaalit 5v Väärinkäytösepäilyjen ja ulkoisten tarkastusten materiaalit 12v Esim. omassa laatukäsikirjassa kuvattavat säilytys- ja hallintakäytännöt Suunnitelman toteuttaminen ja seuranta yhdistettävissä mm. tietosuoja-asetuksen osoittamisvelvoillisuuteen Välineenä esimerkiksi tietotilinpäätös Suunnitelman mukaisen toiminnan toteutumisen tarkistuksiin, esim. valvontaviranomaisen taholta, on hyvä varautua 26

SECURITY RISK Lopuksi 27

Reponen, Jarmo; Kangas, Maarit; Hämäläinen, Päivi; Keränen, Niina; Haverinen, Jari (2018): Tieto- ja viestintäteknologian käyttö terveydenhuollossa vuonna 2017 : Tilanne ja kehityksen suunta 28

Reponen, Jarmo; Kangas, Maarit; Hämäläinen, Päivi; Keränen, Niina; Haverinen, Jari (2018): Tieto- ja viestintäteknologian käyttö terveydenhuollossa vuonna 2017 : Tilanne ja kehityksen suunta 29

Ajankohtaista ja tulevaa / sote-tietoturvallisuus Asiakastietolaki on uudistumassa: Sipilän hallituksen rauenneen esityksen 300/2018 pohjalta STM valmistelu jatkunut Omavalvonnan asioihin ei luonnosten mukaan tulossa merkittäviä sisällöllisiä muutoksia, suunnitelman nimeksi tulossa jatkossa Tietoturvasuunnitelma A-luokan tietojärjestelmien (Kanta-palveluihin liittyvät järjestelmät) olennaisten tietoturvavaatimusten päivitys käynnistetään asiakastietolain valmistuttua EU:n tietosuoja-asetuksen ja tietosuojalain toimeenpano jatkuu, Tiedonhallintalaki hyväksytty edustkunnassa voimaantulo 1.1.2020 omavalvontasuunnitelma ja omavalvonnan dokumentointi tukevat monilta osin asetuksen velvoitteiden toimeenpanoa (mm. tietosuojavastaava, suunnitelman toteuttamisen dokumentointi) THL Määräys sosiaalihuollon käyttövaltuuksien perusteista päivittymässä 2019 Valviran rekisteri sote-tietojärjestelmistä verkossa saatavilla, sisältää sekä A- että B-luokan sotetietojärjestelmät: tarkista käyttämiesi järjestelmien vaatimustenmukaisuuden voimassaolo! Sote-käytönhallinta-hankkeen kautta on tulossa päivitettyjä kansallisia ohjeita ja määrittelyjä mm. käyttövaltuuksiin (sote-ammattilaisten käyttövaltuuksien perusteet) ja käytön seurantaan (mm. lokipalvelut ja -ratkaisut) Standardeihin (esim. ISO 27000-sarja) perustuva tietoturvallisuuden toteuttaminen antaa hyvät lähtökohdat lakisääteisten vaatimusten ja suunnitelman vähimmäisvaatimusten lisäksi mm. riskien hallintaan ja jatkuvaan tietoturvallisuuden hallintaan 30

Yhteenveto! Omavalvonta ja olennaiset vaatimukset ovat keskeisiä keinoja riskien hallinnassa ja oikeusturvan toteuttamisessa! Tietojärjestelmien olennaisten vaatimusten ja omavalvonnan kautta varmistetaan, että järjestelmien toteutuksessa on riittävällä tavalla huomioitu käyttötarkoituksen edellyttämät yhteentoimivuus-, tietoturva- ja tietosuoja-asiat asiakas- ja potilastiedot suojataan asianmukaisilla tietoturva- ja tietosuojakäytännöillä palvelujen tuottajien toiminnassa Tietoturvasuunnitelma ja sen omavalvonta ovat käytännön välineitä myös yleisten tietosuoja- ja tietoturvallisuussäädöksien (mm. GDPR, Tietosuojalaki, Tiedonhallintalaki) toimeenpanoon Omavalvontasuunnitelman soveltaminen sovitettava palvelun tuottajan omien toimintatapojen mukaiseksi Esim. osa asioista mahdollista hoitaa sopimusten kautta, mutta vaatimukset pystyttävä todentamaan myös näissä tilanteissa Tietoturvallisuuden ja tietosuojan toteuttaminen yksityisillä ja pienillä toimijoilla Määräyksiä ja vaatimuksia päivitetään säädösten ja saatujen kokemusten pohjalta 31

KIITOS! Kysymyksiä ja kommentteja voi lähettää myös: kantapalvelut@thl.fi Lisätietoja: THL määräykset (erityisesti 2/2015): https://thl.fi/fi/web/tiedonhallinta-sosiaali-ja-terveysalalla/maaraykset-jamaarittelyt/maaraykset Kanta / Sertifiointi, olennaiset vaatimukset ja omavalvonta: https://www.kanta.fi/jarjestelmakehittajat/sertifiointi Kanta-verkkokoulu: https://verkkokoulut.thl.fi/fi/web/kanta Yksityisen sosiaali- ja terveydenhuollon Kanta-palvelut: https://thl.fi/fi/web/tiedonhallinta-sosiaali-ja-terveysalalla/kantapalvelut/yksityisen-sosiaali-ja-terveydenhuollon-kanta-palvelut

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute