MUISTIO 1(18) 2.7.2010 TIETOTURVAPOLITIIKKA, ESIMERKKI 1 Johdanto Dokumentin käyttötarkoitus 1.1 Yleistä Tämä dokumentti on tarkoitettu tietoturvapolitiikan esimerkiksi terveydenhuollon toimintayksiköille, jotka laativat tai tarkistavat olemassa olevan tietoturvapolitiikan sisältöä suhteessa vaatimuksiin liittyessään Kanta-palvelujen käyttäjäksi. Terveydenhuollon toimija voi ottaa tämän dokumentin pohjaksi laatiessaan tai päivittäessään omaa tietoturvapolitiikkaansa. Tätä esimerkkidokumenttia voidaan soveltaa paikallisen tarpeen ja olemassa olevien toimintamallien mukaisesti. Kunnalla voi olla yksi tietoturvapolitiikka kaikille kunnan eri toimialoille, jolloin tämä politiikka voi toimia esimerkkinä terveydenhuollon osiolle laajemmassa politiikassa. Toisessa tapauksessa alueella voi olla seudullinen terveydenhuollon tietoturvapolitiikka, joka on liitetty kunkin jäsenkunnan oman tietoturvapolitiikan liitteeksi. Terveydenhuollon toimintayksikön (jatkossa organisaatio) tehtävänä on ensisijaisesti potilaille annettava hoito. Tämän tehtävän suorittaminen edellyttää kuitenkin useita tukevia toimintoja. Eräs näistä on potilastietojen käsittely. Tutkimusten ja hoidon yhteydessä tarvitaan erilaisia tietoja potilaiden tilasta ja aikaisemmasta hoidosta. Samassa yhteydessä syntyy myös uutta tietoa, kun kokeiden tuloksia, havaintoja ja tietoja annetusta hoidosta talletetaan myöhempää käyttöä varten. Hoidon dokumentointi on organisaation lakisääteinen velvollisuus ja olemassa olevan tiedon hyödyntäminen puolestaan hyvän hoidon edellytys. Luottamus organisaation ja potilaan välillä on ehdoton edellytys toimivalle hoitoprosessille. Mikäli potilas ei luota organisaatioon, hän saattaa jättää hoidon kannalta olennaisia tietoja kertomatta tai ei lainkaan tule hoitoon. Osa tästä luottamusvaatimuksesta kohdistuu potilaan tietoihin ja niiden asianmukaiseen käsittelyyn. Tietoturvan ensisijainen tarkoitus on varmistaa tietojen asianmukainen käsittely organisaatiossa. Päivittäisessä työssä tämä tarkoittaa pääasiassa sitä, että tietoja voivat käyttää ainoastaan niitä työssään tarvitsemat henkilöt, mutta järjestelmiä suunniteltaessa on otettava huomioon myös järjestelmille asetettavat käytettävyysvaatimukset sekä tiedon muuttumattomuuden turvaaminen. Liittyessään kansalliseen potilastietoarkistoon ja reseptikeskukseen organisaation sitoutuu noudattamaan yhteisiä minimivaatimuksia. Koska tietoja voidaan siirtää organisaatiorajojen yli, on kaikkien osapuolien voitava luottaa toisiinsa. Organisaation tietoja ei saa luovuttaa arkistosta kolmannelle osapuolelle, joka ei ole sitoutunut noudattamaan yhteisiä minimivaatimuksia. Meritullinkatu 8, Helsinki PL 33, 00023 VALTIONEUVOSTO www.stm.fi Puhelin (09) 16001 Telekopio (09) 160 74126 e-mail: kirjaamo.stm@stm.fi etunimi.sukunimi@stm.fi
2(18) 1.2 Tavoite Tietoja käsitellään organisaatiossa niin, että kaikki osapuolet voivat luottaa käsittelyn asianmukaisuuteen. Samalla turvataan ensisijaisen tehtävän mahdollisimman sujuva ja häiriötön toiminta. Tietoturvallisuus ei saa estää tai haitata potilaiden hoitoa, mutta samalla potilaan tahtoa tietojensa käsittelystä on kunnioitettava. Tämän päämäärän saavuttamiseksi - kaikkien tietoa käsittelevien henkilöiden on ymmärrettävä tietojen käsittelyn periaatteet: mitä tietoa saa käsitellä, missä tarkoituksessa tietoa saa käsitellä, milloin tietoa saa käsitellä sekä ymmärtää ja hyväksyä potilaan halu ja oikeus tietyissä tilanteissa kieltää tietojensa käsittely - Käyttäjien, ylläpitäjien ja johdon tietoturvatietoisuus on oltava hyvä. Kaikki ymmärtävät oman merkityksensä sekä tehtävänsä ja velvollisuutensa tietoturvallisuuden ylläpidossa. - Tietoturvaa toteutetaan kaikilla tasoilla siten, että tietoturva on mukana kaikessa toiminnassa. - Tietojen luottamuksellisuuden, eheyden ja saatavuuden vaatimus toteutuu kaikessa tietojenkäsittelyssä ja se mahdollistaa tietoturvallisen asioinnin ja tietojen käytön. - Tietoturvallisuuden vaatimukset otetaan huomioon kaikessa kehittämistoiminnassa. Tietoturvallinen toimintatapa on sisäänrakennettuna organisaatiossa, toimintaprosesseissa ja tietojärjestelmissä niin, että helpoin ja luontevin tapa tehdä jokin asia on myös tietoturvallisuuden kannalta paras. 1.3 Vaatimuksenmukaisuus Organisaation tietojenkäsittelyn ja sen turvaamisen periaatteet noudattavat kansallisia ja kansainvälisiä tietoturvallisuutta koskevia säädöksiä, standardeja, terveydenhuollon (auditointi-)vaatimuksia ja suosituksia. Näistä keskeisimpiä ovat henkilötietolaki, julkisuuslaki, laki potilaan asemasta ja oikeuksista, laki potilastietojen sähköisestä käsittelystä sekä Euroopan unionin tietosuojadirektiivi. Kaikessa toiminnassa noudatetaan hyvää tietojenkäsittelytapaa, velvoitteita ja sopimuksia. Tietoturvaratkaisujen tulee noudattaa myös taloudellisia realiteetteja, eivätkä ne saa vaikeuttaa merkittävästi tietojärjestelmien hyötykäyttöä ja asiakaspalvelua 1.4 Tarkoitus Tietoturvatoimilla estetään tietojen luvaton käyttö ja haltuunotto. Suurin osa organisaatiossa käsiteltävästä tiedosta on luottamuksellista, arkaluonteista sekä salassa pidettävää ja voi paljastuttuaan rikkoa yksityisyyden suojaa. Tietoturvatoiminnan tavoitteena on vastata siitä, että tieto on oikeaan aikaan, oikeassa paikassa ja oikean muotoisena niiden henkilöiden käytettävissä, joilla on siihen laillinen tai työtehtävänsä vaatima valtuutus. Tietoturvatoimilla vähennetään ja ennaltaehkäistään tietoturvariskien syntyminen, varmistetaan tietojen saatavuus poikkeuksellisissa olosuhteissa, toiminnan jatkuvuus, asiakkaiden oikeusturva ja yksityisyyden suoja lainsäädännön ja muiden määräysten edellyttämällä tavalla, tietojen oikeellisuus ja luotettavuus sekä se, että asianosaiset ovat tiedostaneet tietoturvan merkityksen.
3(18) Varsinaisen toiminnan lisäksi sekä arkistotoimella että tietohallinnolla on yhteisenä tavoitteena tietojen saatavuuden ja käytettävyyden turvaaminen. Tiedon käytettävyydellä ja saatavuudella tarkoitetaan, että tieto on tallennettu siten ja sellaisessa muodossa, että se on luettavissa, ymmärrettävissä, tulkittavissa oikein, kattava, ajantasainen, oikeellinen ja muuten käyttökelpoinen vaadittavalla tavalla ja helppokäyttöisesti ilman tulkinta- ja väärinkäyttömahdollisuutta. Tiedon, tietojärjestelmän ja palvelun on oltava saatavilla ja hyödynnettävissä siihen oikeutetuille riittävän esteettömästi, vaivattomasti ja nopeasti vaaditulla tavalla ja vaadittuna aikana. 1.5 Suojattavat kohteet Turvattavia tietoja ovat sekä manuaalisessa että sähköisessä muodossa olevat tiedot. Tarkat tietojen suojelu- ja tietoturvaluokitukset on esitetty organisaation asiakirjahallinnan ja tietoturvasuunnitelmissa. Erityistä huomiota kiinnitetään organisaation toiminnan kannalta kriittisiin tietojärjestelmiin ja niiden sisältämiin tietoihin. Kriittisiä tietojärjestelmiä ovat potilastieto- ja potilastietojen hallintajärjestelmät sekä talous- ja henkilöstöhallinnon ohjelmat. Tietojen turvaamisen kannalta erityisen tärkeitä ovat väestörekisteri, potilastietorekisterit, hoitoilmoitusrekisteri sekä muut terveydenhuollon valtakunnalliset rekisterit. Pitkällä aikavälillä kriittisinä järjestelminä voidaan pitää myös järjestelmiä, joiden sisältämää tietoa ei ole palautettavissa ehkä koskaan, jos niissä oleva tieto tuhoutuu. Suojattavat kohteet luetteloidaan ja priorisoidaan kriittisten kohteiden tunnistamisen perustaksi. 2 Tietoturvallisuuden perustason määrittely Tietoturvallisuus on laaja toiminnallinen kokonaisuus, jonka keskeisimmät turvallisuustekijät liittyvät ihmisten toimintaan. Tietoturvallisuuden vaikutukset ulottuvat koko organisaatioon ja sen ylläpitäminen on jatkuva prosessi, jota toteutetaan hallinnollisten, fyysisten ja teknisten ratkaisujen avulla. Ne kuvataan käyttöympäristöille ja tarvittaessa yksiköille laadituissa tietoturvallisuuden kehittämissuunnitelmissa. Käyttäjien toimintaa ohjataan niihin sisältyvillä käyttösäännöillä ja toiminta-ohjeilla sekä tietoturvakoulutuksella. 2.1 Tärkeimmät hallinnolliset tietoturvatoimet Hyväksytyn tietoturvapolitiikan mukaiset tietoturvatoimet tulee sisällyttää luonnollisena osana kaikkeen toimintaan. Tietoturvan kehittäminen ja ylläpito ovat osa organisaation yleistä turvallisuustoimintaa, riskien hallintaa ja sisäistä valvontaa. Tietoturva on terveydenhuollon kriittinen tekijä, koska potilaan on luotettava ehdottomasti tietojensa tietosuojaan. Tämä luottamus on hoidon kulmakivi. Organisaation tietoturvallisuustyön tulee luoda potilaille ja henkilöstölle luottamus siitä, että salassapito- ja vaitiolovelvollisuus sekä yksityisyyden suoja toteutuvat säädösten mukaisesti. Lisäksi heidän tietojaan käsitellään kaikissa vai-
4(18) heissa huolella ja asianmukaisesti. Organisaation toiminnalle tärkeiden tietojärjestelmien ja tietoverkkojen keskeytymätön toiminta turvataan ja estetään tietojen ja tietojärjestelmien joutuminen ulkopuolisille. Tietojen ja tietojärjestelmien valtuudeton käyttö ja tahaton tai tahallinen tiedon tuhoutuminen tai vääristyminen estetään sekä minimoidaan aiheutuvat vahingot. Normaaliajan toiminnan tietojenkäsittelyn turvaamisen lisäksi varaudutaan toiminnan keskeyttäviin uhkatilanteisiin ja niistä toipumiseen. Potilaan informointi potilastietojen käytöstä ja laadinnasta hoidetaan lakien ja Kelan laatimien ohjeiden sekä vaatimusten mukaisesti. Informoinnista tehdään merkintä potilasasiakirjoihin ja lokitietoihin. Organisaation tietoturvallisuuden kehittäminen tapahtuu kansallisten ja kansainvälisten tietoturvallisuutta koskevien lakien ja asetusten pohjalta sekä erilaisia tietoturvallisuudesta annettuja ohjeita ja suosituksia noudattaen. Organisaation toimintaa ohjaavat mm. tietosuojasäädökset sekä joukko muita lakeja, säädöksiä, ohjeita ja standardeja. Tietoturvallisuutta koskevat määräykset ovat keskeisiä ja velvoittavia. Velvoitteissa korostetaan salassapidon, vaitiolovelvollisuuden ja yksityisyyden suojan toteutumista sekä tietoturvallisuuden, tietosuojan, hyvän tietojenkäsittelytavan ja laadun merkitystä. Voimassa olevat velvoittavat säädökset on luetteloitu ja niiden vaikutukset tietoturvajärjestelyihin on selvitetty. Lainsäädäntöä ja ohjeistusta tulee seurata jatkuvasti. Muutosten vaikutus on otettava huomioon organisaation tietoturvallisuuden kehittämisessä. Organisaation tiedot, tietojenkäsittelyjärjestelmät ja -palvelut pidetään asianmutkaisesti suojattuina sekä normaali- että poikkeusoloissa hallinnollisten, teknisten ja muiden liitteissä kuvattujen toimenpiteiden avulla. Tietoturvariskejä hallitaan erikseen määriteltävän ja kuvattavan riskienhallintaprosessin avulla. Hyväksyttävän riskitason määrittelee johtoryhmä riskianalyysin tulosten perusteella ja yhteisesti valmisteltujen kriteeristöjen ja mittarien avulla. Organisaatiossa on käytössä tietojen ja tietojärjestelmien turvallisuusluokitus. Tietoaineiston luokitteluvastuu on aineiston laatijalla, ellei lainsäädännöstä muuta johdu. Luokittelu koskee myös luonnosasiakirjoja. Kullekin turvallisuusluokalle on määritelty vaadittava tietoturvallisuustaso ja sen mukaiset tietoturvatoimenpiteet. Jokaisella tietojärjestelmällä tai sen osalla on oltava yksikäsitteinen omistaja/haltija. Tietoturvallisuuden toteuttamista ohjaavat dokumentit ovat vahvistettuja ja asianomaisten kohde-ryhmien saatavissa. Organisaation tietoturva-asioista tiedottamisesta sen ulkopuolelle ja sisällä yleisellä tasolla vastaa organisaation johtaja. 2.2 Tärkeimmät teknisluontoiset tietoturvatoimet Toiminnan jatkuvuuden hallintaprosessi tulee toteuttaa onnettomuuksien ja turvallisuushäiriöiden (joita voivat aiheuttaa esim. luonnonmullistukset, onnettomuudet, laiteviat ja ilkivalta) aiheuttamien keskeytysten vähentämiseksi hyväksyttävälle tasolle yhdistämällä ehkäiseviä ja palautumista edistäviä turvameka-
5(18) nismeja. Jatkuvuussuunnitelmia tulee kehittää ja toteuttaa käytännössä varmistamaan, että toimintaprosessit saadaan palautettua toimintaan vaaditussa ajassa. Suunnitelmia tulee pitää yllä ja harjoitella, jotta niistä tulee muiden hallinnollisten prosessien rinnalla integroitunut osa toimintaa. Toiminnan jatkuvuuden hallintaan tulee sisältyä turvamekanismit riskien havaitsemiseen ja vähentämiseen, niillä tulee rajoittaa uhkan mahdollisen toteutumisen aiheuttamia seurauksia ja niillä tulee varmistaa olennaisen tärkeiden toimintojen nopea palautuminen. Toiminnan jatkuvuussuunnitelmia tulee pitää yllä säännöllisin arvioinnein ja päivityksin tehokkuuden säilymisen varmistamiseksi. Kriittisten komponenttien, palvelinten, työasemien, käyttöjärjestelmien sekä ohjelmistojen turvapäivityksiä varten on toimintasuunnitelma. Päivitystarvetta seurataan aktiivisesti ja päivitysten kriittisyys arvioidaan ennakolta, jos mahdollista. Kriittiset päivitykset asennetaan välittömästi viivytyksettä. Turvapäivitysten asennukset keskitetään ja automatisoidaan mahdollisuuksien mukaan. Hätäpäivitykset voidaan suorittaa tarvittaessa dokumentoidusti ohi normaalin prosessin. Käyttöturvallisuudella luodaan ja ylläpidetään tietotekniikan turvallisen käytön vaatimat toimintaolosuhteet huolehtimalla tekniikan toimivuuden valvonnasta, käyttöoikeuksista, käytön ja lokien valvonnasta, ohjelmistotukeen, ylläpito-, kehittämis- ja huoltotoimintoihin liittyvistä turvallisuustoimenpiteistä, varmuus- ja suojakopioinnista sekä häiriöraportoinnista. Lokien muuttumattomuus ja kiistämättömyys tulee taata vaatimustenmukaisesti koko niille määritellyn säilytysajan. Kansalaisen tiedonsaanti lokitiedoista toteutetaan kansallisten määritysten mukaisesti. Käyttölokin osalta julkisuuslain mukaisen valitusprosessin ollessa kesken, lokitietoja ei saa tuhota talletusajan mahdollisesti päättyessä. Tietohallinto vastaa järjestelmien tietoturvasta ja laadusta. Yksiköiden esimiehet päättävät kenelle käyttöoikeuksia annetaan. Tietohallintopäällikkö päättää millä tasolla palvelujen saatavuus, käytettävyys ja luotettavuus pidetään, kuka operoi, hallinnoi ja valvoo järjestelemää, kenellä on oikeus tehdä muutoksia jne. sekä päättää, millä menettelyillä ja valvontamekanismeilla tehtävät suoritetaan. Käyttö- ja pääsyoikeudet on pystyttävä myöntämään ja poistamaan nopeasti. Tietylle henkilölle myönnetyt oikeudet ja tiettyyn tietoon oikeutetut henkilöt on kyettävä selvittämään nopeasti. Tietojärjestelmien käyttöoikeudet ja valtuudet anoo ko. käyttäjän esimies ja hakemuksen hyväksymisestä päättää järjestelmän omistaja tai hänen edustaja. Käyttöoikeuksien ja valtuuksien teknisestä määrittelystä vastaavat nimetyt vastuuhenkilöt. Kukin käyttöoikeusmuutos kirjataan käyttöoikeuksien hallintajärjestelmään. Käyttäjätunnukset ovat henkilökohtaisia eikä niitä saa luovuttaa toiselle. Tietojärjestelmät käyttävät yhteistä käyttöoikeuksien roolipohjaista hallintajärjestelmää sitä mukaa kun niitä päivitetään tai uusitaan. Käyttäjille määritellään tehtävän mukaiset käyttöoikeudet käyttöoikeuksien hallinnan järjestelmään, joka pitää tosiaikaisesti yllä käyttäjien työtehtäviin (rooleihin) liittyviä oikeuksia tietojärjestelmien toimintoihin. Roolit on määri-
6(18) telty siten, että vain ne henkilöt, joilla on oikeus työtehtäviensä johdosta laatia potilasasiakirjoja, käsitellä suostumuksia tai kieltoja tai allekirjoittaa asiakirjoja voivat käyttää ko. toimintoja. Käyttäjällä voi olla useita rooleja, muuta vain yhtä roolia voi käyttää kerrallaan. Käyttöoikeuksia ei voi antaa erikseen määriteltyjä poikkeustilanteita lukuun ottamatta ohi roolien. Tietojärjestelmien poikkeustilanteiden hallinnan edellyttämien toimien suunnitelmat, joilla käyttöoikeus voidaan tilapäisesti ohittaa, sisällytetään toipumissuunnitelmaan. Ohitustilanteet merkitään erilliseen luetteloon ja hätäkorjaustilanteiden jälkeen toimitaan takautuvasti käyttöoikeusprosessin mukaisesti. Tietoturvapoikkeamista, haitallisista ja toimintaa vaarantavista tapahtumista raportoidaan kaikilla tasoilla viivytyksettä poikkeamien hallintaprosessin mukaisesti. Kaikki merkittävät haitalliset tapahtumat kirjataan tulevien kehittämistoimien perustaksi. Myös ns. läheltä piti tapaukset rekisteröidään. Onnettomuuksien, turvallisuusrikkomusten ja palvelujen keskeytysten seuraukset tulee analysoida. Haitallisista tietoturvatapahtumista kerätään jatkuvasti ajan tasalla olevaa tilannekuvaa yhdyshenkilö-verkoston ja teknisten valvontatietojen avulla. Tilannekuva havainnollistaa tietoturva-poikkeamatilanteen ja niiden aiheuttamat vaikutukset. Se toimii yhtenä perustana riskianalyyseissä tulevien tietoturvatoimien suunnittelussa ja priorisoinnissa. Fyysisin turvallisuustoimenpitein luodaan ja ylläpidetään tietotekniikan vaatiman käyttöympäristön tilat, laitteet, tiedonsiirto, käyttö toimintaolosuhteet ja suojataan ja valvotaan kiinteistö, sen erikoistilat ja laite- yms. tilat luvattomia tai rikollisia toimia vastaan, onnettomuuksilta ja luonnontuhoilta sekä varmistetaan teknisten järjestelmien toiminta. Viestit ja dokumentit välitetään luokitusten vaatimin salausmenettelyin. Viestinvälityksen tietosuojaa koskevat vaatimukset ja vastuut on määritelty organisaation ja viestinvälitysoperaattorin välisissä sopimuksissa. Palveluja ulkoistettaessa huolehditaan Suomen lainsäädännön ja terveydenhuollon vaatimustenmukaisesta luottamuksellisen aineiston käsittelystä siten, että tiedot eivät voi joutua sivullisten osapuolten käsiin. Tietoturvallisuusmääritykset tarkistetaan ja arvioidaan vähintään vuosittain tai suurten muutosten yhteydessä. Tietoturvallisuuden hallintajärjestelmän ja kehittämissuunnitelman hyödyllisyys ja toimivuus käsitellään johdon katselmoinnissa ja johto päättää tarvittavista laajavaikutteisista muutoksista. Tietoturvallisuuskuvausten teknisestä ylläpidosta tietosuojan osalta vastaa tietohallintopäällikkö/tietosuojavastaava. Kunkin hallinnollisen ja teknisen tietoturvallisuuden osa-alueen tietoturvaperiaatteet on tarkemmin kuvattu liitteessä X 3 VALTUUDET JA VASTUUT Käytännön tietoturvatoimia hallinnoidaan ja hoidetaan nimetyn tietoturvaorganisaation toimesta. Toimintaan kuuluvat päivittäisten toimien ohella tietojen turvaamismenettelyjen määrittely ja ylläpito, työhön osoitettujen riittävien
7(18) resurssien turvaaminen sekä välineistön ja toimenpiteiden turvallisuudesta ja tietoturvaominaisuuksista huolehtiminen. Tietoturvaorganisaatioon kuuluu tietosuojavastaava, (turvallisuuspäällikkö,) tietohallintopäällikkö, arkistopäällikkö, johtajaylilääkäri ja tietoturvatyöryhmä. Tietoturvatehtävät ja organisointi on kuvattu liitteessä Y. 3.1 Tarkemmat ohjeet Tietoturvapolitiikassa esitetään yleiset periaatteet, joita organisaatiossa tulee noudattaa kaikessa tietojen käsittelyssä. Tarkempi kuvaus tietoturvasta ja sen toteuttamisesta on järjestelmäkohtaisissa tietoturvaohjeissa, jatkuvuussuunnitelmassa, arkistonmuodostussuunnitelmassa ja arkistotoimen ohjeessa. 3.2 Soveltaminen Organisaation hallituksen hyväksymä kirjallinen tietoturvapolitiikka annetaan tiedoksi jokaiselle työntekijälle ja tietojärjestelmien käyttäjälle. Tietoturvapolitiikkaa noudatetaan kaikessa toiminnassa ja ne koskevat kaikkia organisaation palveluksessa olevia henkilöitä ja luottamushenkilöstöä. Tietoturvapolitiikkaa noudatetaan myös toiminnassa organisaation ulkopuolisten yhteistyökumppaneiden kanssa. Tietoturvapolitiikka on voimassa toistaiseksi ja voimassaolo jatkuu, ellei sitä nimenomaisesti kumota. Tietoturvallisuuden toteutuminen varmennetaan vuosittain toimintakertomukseen tulevalla maininnalla suoritetuista toimenpiteistä. [Nimike] [Nimi]
8(18) LIITE SOINTI TIETOTURVATEHTÄVÄT JA TIETOTURVATYÖN ORGANI- Hallitus hyväksyy organisaation tietoturvapolitiikan. Johtoryhmä hyväksyy tietoturvapolitiikan liitteisiin tehdyt merkittävät päivitykset. Johtajaylilääkäri vastaa potilastietojärjestelmien rekistereistä. Tietoturvaorganisaatio sekä tietohallinto ja arkisto huolehtivat, ylläpitävät ja valvovat koko organisaation tietoaineiston tietoturvaa omien vastuualueidensa mukaisesti. Turvallisuuspäällikkö/-vastaava Määrittää - säännölliset tietoturvatoimenpiteet - tietoturvapoikkeamien seuranta ja tilastointi - tietoturvatietoisuuden ja osaamistason seurannan toteuttaminen - tietoturvakontrollien valinta ja toteutuksen ohjaaminen yhteistyössä organisaation eri osien kanssa ja varmistaa, että tietoturvallisuusasiat on organisoitu sairaanhoitopiirin yksiköissä - tiedottaa tietoturvallisuusasioista ja ongelmista Valmistelee - tietoturvallisuuteen liittyviä kehittämishankkeita yhdessä tietosuojavastaavan ja tietohallintopäällikön sekä tietoturvatyöryhmän kanssa - tietoturvaan liittyvä kommunikointi koko organisaation, sidosryhmien ja erityisesti esimiesten kanssa Raportoi - tietoturvallisuudesta organisaation johdolle - yhteistyö tietohallinnon henkilöstön kanssa ja muiden organisaatioyksiköiden kanssa tietosuojaan liittyvissä asioissa - osallistuminen tietoturvapoikkeamista ilmoitettujen sanktioiden määrittelytyöhön Toteuttaa/hankkii - toimii tietoturvallisuuden asiantuntijana, hankkii tarvittavan asiantuntemuksen Valvoo - että tietoturvallisuusasiat on organisoitu toimipaikoissa ja yksiköissä - tietoturvatoimenpiteiden teknistä toteuttamista - tietoturvakontrollien toteutusta Tietosuojavastaava (voi yhdistyä edelliseen) Koordinoi tietojärjestelmien turvallisuustoimenpiteiden toteutusta, valvoo tietoturvaohjeiden olemassaoloa ja noudattamista sekä huolehtii niiden ajan tasalle saattamisesta ja hyväksyttämisestä sekä antaa tarvittaessa yksiköille asiantuntija-apua.
9(18) Tehtäviä (pois lukien lain velvoittamat johtajaylilääkärin vastuut) ovat: - toimia tietoturvallisuuden asiantuntijana - tietoturvallisuuden kehittäminen ja edistäminen - varmistaa että tietoturvallisuusasiat on organisoitu toimipaikoissa ja yksiköissä - valmistella tietoturvallisuuden kehittämishankkeita yhdessä tietoturvatyöryhmän ja turvallisuuspäällikön kanssa - tiedottaa tietoturvallisuusasioista, -poikkeamista ja -ongelmista turvallisuuspäällikölle - raportoida tietoturvallisuudesta turvallisuuspäällikölle - toimii yhdyssiteenä valvontaviranomaisiin - osallistuu organisaation henkilötietojen käsittelyä koskevaan suunnittelutoimintaan - osallistuu rekisterinpitäjän hyväksymiä tietosuoja- ja tietoturvaohjeita koskevaan valmisteluun ja ylläpitoon - seuraa ja valvoo henkilötietojen käsittelyä ja niiden suojausmenetelmiä yhdessä turvallisuuspäällikön kanssa - osallistuu henkilöstölle annettavan tietosuojakoulutuksen toteutukseen Tietohallinto toteuttaa vaaditut tekniset toimenpiteet. Tietoturvatyöryhmä Organisaation johtaja on nimennyt tietoturvatyöryhmän, johon kuuluu tietosuojavastaava, turvallisuuspäällikkö, johtajaylilääkäri ja edustus eri toimintayksiköistä. Työryhmää täydennetään tarvittaessa. Tietoturvatyöryhmä valvoo tietoturvapolitiikan, tietoturvakäytäntöjen ja periaatteiden sekä -ohjeiden laatimista, toteuttamista ja ajan tasalla pitämistä. Tietoturvatyöryhmän tehtäviä ovat mm.: - huolehtia tietoturvallisuusperiaatteiden toteuttamisesta - valmistella tietoturvallisuuden kehittämishankkeet - koordinoida tietoturvallisuustoimenpiteitä ja mahdollistaa eri yksiköille - tietoturvallisuuden erityisosaamisen saanti tarvittaessa - seurata tietoturvallisuustilannetta ja reagoida tarvittaessa havaittuihin ongelmiin ja uhkiin - huolehtia, että yksiköt ja tietohallinto ovat tehneet jatkuvuussuunnitelmat infrastruktuurin ja keskeisten järjestelmien osalta poikkeustilanteita varten - huolehtia riski-/uhka-analysoinnin tekemisestä säännöllisesti - huolehtia, että tiedot ja tietojärjestelmät on luokiteltu - ohjeistaa tietoturvallisuusasiat ja huolehtia, että niistä tiedotetaan ja koulutetaan - huolehtia auditoinnin järjestämisestä Yksiköiden esimiehet Organisaation eri yksiköissä esimiehet vastaavat tietoturvallisuudesta. Niiden henkilökunta tuntee tietoturvallisuuden perusasiat ja tukee tietoturvan ylläpitämistä ja kehittämistä. Yksiköiden esimiesten tehtävänä on: - toteuttaa ja organisoida tietoturvatyöryhmän määrittelemät yhteiset tietoturvallisuushankkeet ja toimenpiteet yksikössään
10(18) - suunnitella, budjetoida ja organisoida yksikkönsä tietoturvallisuushankkeet - huolehtia, että keskeisille järjestelmille on nimetty vastuuhenkilöt - hoitaa yksikkönsä yleiset tietoturvallisuusasiat - raportoida tietoturvallisuusongelmista sekä yksikkönsä johdolle että tietoturvatyöryhmälle Organisaation johto Organisaation tietohuolto, mukaan lukien tietoturva, hoidetaan matriisiorganisaatiossa, jossa linjaorganisaation jäsenet ovat linjajohdon alaisia, mutta tieto-huoltotehtävissä toimivat ovat tietohallintoyksikön koordinoimia. Johdon tulee osoittaa sitoutumisensa tietoturvallisuuden hallintajärjestelmän luomiseen, käyttöönottoon, käyttöön, valvontaan, katselmointiin, ylläpitoon ja parantamiseen: a) määrittelemällä tietoturvallisuusperiaatteet b) varmistamalla, että tietoturvallisuustavoitteet asetetaan ja - suunnitelmat laaditaan kaikissa piirin toimijaorganisaatioissa c) määrittelemällä tietoturvallisuuteen liittyvät roolit ja vastuut d) viestimällä organisaatiolle tietoturvallisuustavoitteiden ja tietoturvapolitiikan noudattamisen, niihin liittyvien lakisääteisten velvoitteiden noudattamisen ja jatkuvan parantamisen tärkeydestä e) huolehtimalla siitä, että käytettävissä on riittävät resurssit tietoturvallisuuden hallintajärjestelmän kehittämiseen, toteuttamiseen, käyttöön ja ylläpitoon f) päättämällä hyväksyttävästä riskitasosta g) suorittamalla tietoturvallisuuden hallintajärjestelmän johdon katselmukset h) ryhtymällä toimenpiteisiin (tahallisissa) väärinkäytöstapauksissa Jokainen työntekijä Jokainen työntekijä vastaa omalta osaltaan tietoturvallisuuden toteutumisesta voimassaolevan lainsäädännön ja tietojen käsittelystä annettujen ohjeiden mukaisesti. Ohjeilla annetaan henkilöstölle perustiedot tietoaineiston ja tietojärjestelmien käytöstä sekä niihin liittyvästä tietoturvasta Tietoturvallisuutta on muun muassa toteutettu henkilökohtaisilla käyttäjätunnuksilla ja salasanoilla sekä tietoturvaohjeistuksella. Tietojärjestelmien ja laitteistojen omistajat ja vastuuhenkilöt Kaikille tietojärjestelmille/laitteistoille, organisaation omille, muiden kanssa yhteiskäyttöisille sekä ulkoistetuille palveluille on määritelty omistajat/vastuuhenkilöt, jotka määrittelevät ja vastaavat tietojärjestelmien/ sovellusten/laitteistojen palvelutasosta, käyttöoikeuksista, varmistamisesta, kehittämi-
11(18) sestä ja hyväksikäytöstä. Tietojärjestelmän omistaja vastaa tietojärjestelmän tietoturvasta mm. tietojärjestelmään sisältyvien rekisterien oikeellisuudesta ja lainmukaisuudesta, kuten henkilörekisterilaissa mainitun rekisterinpitäjän velvollisuuksista. Omistaja vastaa tietoturvallisuudesta myös yksittäisen tietojärjestelmän toiminnan ja käytön osalta. organisaatioon on laadittu jatkuvuussuunnitelma/ toipumissuunnitelma toiminnan jatkuvuuden turvaamiseksi normaaliolosuhteiden poikkeustilanteiden sekä eri asteisten poikkeusolojen varalle. Lisäksi kunkin kriittisen tietojärjestelmän omistaja/vastuuhenkilö on velvollinen laatimaan ja ylläpitämään varajärjestelmäsuunnitelmaa. Tietohallinto Tietohallintopäällikön johdolla toimivalle tietohallintoyksikölle on keskitetty erityistä osaamista ja koordinaatiota vaativat tietohallintotehtävät. Tietohallinto koordinoi tietoturvaorganisaation toimeksiannosta tietojärjestelmien ja niiden käytön tietoturvan teknisen toteutuksen suunnittelua, toteutumista ja raportointia, toimii teknisenä asian-tuntijana sekä antaa ja järjestää teknistä asiantuntemusta tietoturvaa koskevissa kysymyksissä. Arkisto Arkistopäällikön johdolla toimivan arkiston vastuulla on varmistaa asiakirjojen käytettävyys, säilyminen ja lainmukainen säilyttäminen. Asiakirja- ja tietohallinnon suunnittelu ja toteutus tapahtuvat arkiston ja tietohallintoyksikön yhteistyönä huomioon ottaen sekä arkistotoimeen että tietoturvaan kohdistuvat vaatimukset. Esimiehet ja henkilöstö Henkilöstön sekä luottamushenkilöstön on otettava toiminnassaan huomioon tietoturva kaikilta osin. Esimiehet vastaavat siitä, että henkilökunta on selvillä tietoturvan vaatimuksista ja säännöistä ja noudattaa niitä. Henkilökunta vastaa omalta osaltaan siitä, että tietoturva toteutuu. Jokaisen työntekijän tulee raportoida heti havaitsemistaan tahattomista tai tahallisista tietosuojarikkomuksista turvallisuudesta linjavastuussa olevalle esimiehelle. Esimiehen vastuulla on saattaa kaikki tietosuojarikkomukset tietoturvatyöryhmälle tiedoksi toimenpiteitä varten. Yhteistyössä tietoturvatyöryhmän, tietohallinnon ja toimintayksiköiden kanssa laaditaan tietoturvakansio, johon kootaan kaikki yksikön toimintaa ja/tai tietojärjestelmää koskevat yksityiskohtaiset ohjeet
12(18) LIITE TIETOTURVAN PERUSTASON MÄÄRITTELY Hallinnollinen turvallisuus Hallinnollisella tietoturvallisuudella tarkoitetaan tietoturvallisuustoiminnan järjestelyjen, henkilöstön tehtävien ja vastuiden sekä ohjeistuksen, koulutuksen ja valvonnan muodostamaa kokonaisuutta. Hallinnollisen turvallisuuden perustaso edellyttää, että - terveydenhuollon tietoturvaperiaatteet on hyväksytty - laadittu tietoturva- ja toipumissuunnitelmat - järjestetty jatkuvaa tietoturvakoulutusta - määritelty tietoturvavastuut ja tehtävät - nimetty vastuuhenkilöt ja heille varamiehet. Tietoturvan hallinnassa otetaan huomioon laatujärjestelmän vaatimukset ja vaikutukset. Palveluja ulkoistettaessa palvelun toimittajia vaaditaan noudattamaan organisaation tietoturvapolitiikkaa, -käytäntöjä ja -periaatteita sekä -ohjeita. Myös ulkoistetuilta palveluilta edellytetään laadunhallintajärjestelmän olemassaoloa. Tietoturvariskejä hallitaan erikseen määriteltävän ja kuvattavan riskienhallintaprosessin avulla. Hyväksyttävän riskitason määrittelee johto riskianalyysin tulosten perusteella ja yhteisesti valmisteltujen kriteeristöjen ja mittarien avulla. Ohjelmistoturvallisuus Ohjelmistoturvallisuudella tarkoitetaan käyttöjärjestelmien, varus- ja työkaluohjelmistojen sekä muiden ohjelmistojen ja sovellusten suojausominaisuuksia, valvonta- ja lokimenettelyjä sekä ohjelmistojen määrittelyyn, suunnitteluun, kehittämiseen ja hankintaan sekä ylläpitoon ja päivitykseen liittyviä turvallisuustoimenpiteitä. Keskeisiä vaatimuksia ovat: - saatavuuden turva - käytettävyys - luottamuksellisuus - yhteensopivuus - eheys Ohjelmiston suunnittelijan, valmistajan ja myyjän vastuu ohjelmistotuotteista määräytyy hankinta- ja käyttöoikeussopimusten mukaan. Ohjelmistoturvallisuuden perustaso edellyttää, että - tietojärjestelmien ylläpidosta huolehditaan organisaatiossa ohjelmistotoimittajien kanssa tehdyillä ylläpitosopimuksilla
13(18) - ohjelmistotoimittajilta vaaditaan tuotteelleen tietoturva/suojaselvitys, hyväksytty auditointi, tietoturvasuunnitelma/kuvaus sekä atkvalmiussuunnitelma (toiminta poikkeusoloissa/sopimukset) - järjestelmämuutokset toteutetaan käyttäjien toiveista ja kaikki uudet ohjelmistot ja tarvittavat muutokset testataan pääkäyttäjien toimesta - testaukset suoritetaan laaditun testaussuunnitelman mukaisesti. - tietoturvapäivitykset testataan ja suoritetaan viivytyksettä Ohjelmistojen käyttöön liittyvät velvollisuudet: - mg-nauhat, levykkeet ja tulostusdokumentit säilytetään turvallisessa paikassa tietoturvakäytäntöjen ja periaatteiden edellyttämällä tavalla - ohjelmiin kuuluvat alkuperäiset dokumentit ja/tai käsikirjat on talletettu huolellisesti. - erilliset operointikansiot säilytetään tietohallintoyksikössä. - kaikki ohjelmamuutokset/päivitykset kirjataan asianmukaisesti ja tehdyistä muutoksista tiedotetaan kirjallisesti käyttäjille. - ohjelmien kopioinnissa noudatetaan tekijänoikeuslakia. - keskuskoneilla varmuuskopiointi on sovittu järjestelmäkohtaisesti ja kopioinnista ja säilytyksestä vastaa palvelun suorittava operaattori. Ohjeet ohjelmistojen käytöstä työasemilla: - ohjelmien asentaminen ja hankinta on keskitetty tietohallintoon. Tietohallinto hyväksyy kaikki työasemille asennettavat ohjelmat. - ohjelmien asennuslevyt, samoin kuin niiden kopiot, säilytetään tietoturvaohjeiden mukaisesti. - työasemien käyttäjät vastaavat omien työhön liittyvien tiedostojensa varmistamisesta. Palvelimella on käyttäjäkohtaisesti suojattu kotihakemisto, joka varmistetaan palvelimen varmuuskopiointien yhteydessä automaattisesti. Muiden kuin työhön liittyvien tiedostojen tallentaminen tietoverkkoon on kielletty. Tavoitteena on varmistaa tietojärjestelmien jatkuva toiminta ja luotettavuus. Tietoaineistoturvallisuudella tarkoitetaan tiedon ja tietoaineiston käytettävyyttä, oikeellisuutta, salassa pitämistä, turvallista käsittelyä ja säilyttämistä sekä tietojätteen hävittämistä. Tietoaineistoturvallisuuteen kuuluvat ne ulkoiset normit, jotka rajoittavat tai ohjaavat tietosisällön perusteella tehtävää tietojenkäsittelyä, kuten yleiset ja/tai erityisalan lait, asetukset, viranomaismääräykset ja kansallisarkiston ohjeet. Lisäksi siihen kuuluvat tietojärjestelmien käsittelysäännöt sekä tietojen ja asiakirjojen luokittelu julkisuus- ja salassapitosäännösten mukaisesti. Tietoaineistoturvallisuuden perustason edellytyksenä on, että henkilökunta tuntee - henkilötietojen käsittelyä koskevat yleiset periaatteet - yksikkönsä toimintaa ohjaavat ja/tai rajoittavat normit - tietojärjestelmän sisältämän tietoaineiston käsittelyä koskevat turvasäännöt - tietojen ja asiakirjojen luokittelun ja noudattaa niitä toiminnassaan.
14(18) Kaikkia terveydenhuollon ammattilaisia koskee vaitiolovelvollisuus ja salassapito-säännökset. Luottamuksellisia tietoja voivat käsitellä vain henkilöt, jotka tarvitsevat niitä työssään. Luottamuksellisista tiedoista ei keskustella ulkopuolisten kuullen. Ulkopuolisia ovat kaikki potilaan hoitoon osallistumattomat henkilöt. Tiedon luovutuksen organisaation ulkopuolelle tulee perustua lakeihin ja/tai valtuutukseen. Kun käytetään telefaxia tai suojaamatonta sähköpostia, varmistetaan, että tieto menee oikeaan osoitteeseen eikä tällöin välitetä luottamukselliseksi tai salaiseksi luokiteltua tai tunnistettavaa henkilötietoa lähetettävän tiedon joukossa. Telefaxia käytettäessä asiakirjojen lähetys ja vastaanotto tapahtuu siten, että asiakirjat voi lähettää ja vastaanottaa vain siihen oikeutettu tai oikeutetut henkilöt, ja tiedonsiirrossa kiinnitetään erityistä huomiota asiakirjojen suojaamis- ja huolellisuusvelvoitteeseen. Tietoja säilytetään ja vanhentuneet tiedot hävitetään arkistonmuodostussuunnitelman mukaisesti. Huoltoon vietävästä, poistettavasta tai myyntiin luovutettavasta työasemasta poistetaan tai puhdistetaan kiintolevy aina ohjeen mukaisesti. Koestamiskäytössä olleen tutkimus- tai hoitolaitteen palautuksen yhteydessä huolehditaan tietojen poistamisesta laitteelta ohjeen mukaisesti. Sivullisille ei saa antaa tietoja ilman potilaan kirjallista suostumusta. Sivullisella tarkoitetaan muita kuin asianomaisessa toimintayksikössä tai sen toimeksiannosta potilaan hoitoon tai siihen liittyviin tehtäviin osallistuvia henkilöitä. Salassapitovelvollisuus säilyy palvelussuhteen tai tehtävän päättymisen jälkeen. (Laki potilaan asemasta ja oikeuksista, 13 ). Käyttöturvallisuus Potilaan / asiakkaan tunnistaminen Käyttöturvallisuudella luodaan ja ylläpidetään tietotekniikan turvallisen käytön vaatimat toimintaolosuhteet huolehtimalla tekniikan toimivuuden valvonnasta, käyttöoikeuksista, käytön ja lokien valvonnasta, ohjelmistotukeen, ylläpito-, kehittämis- ja huoltotoimintoihin liittyvistä turvallisuustoimenpiteistä, varmuus- ja suojakopioinnista sekä häiriöraportoinnista. Toimintayksikössä tapahtuvan asioinnin yhteydessä potilas/asiakas tunnistetaan luotettavasti joko kuvallisella Kela-kortilla, passilla tai sähköisellä kansalaiskortilla. Lisäksi sähköisessä asioinnissa luotettavaksi tunnistamiseksi hyväksytään mm. sähköisellä henkilökortilla tapahtunut tunnistautuminen johon liittyy VRK:n varmenne. Hyväksyttävä menetelmä on myös vastaava VETUMA- tasoinen mobiili-tunnistaminen ja varmentaminen sekä verkkopankkipalvelun avulla tapahtuva tunnistaminen. Potilaan/asiakkaan tunnistamisen erityistilanteissa esim. kun otetaan kantaa hoitoon puhelimessa tai ensihoidossa (kun henkilöllä ei mukana henkilöllisyystodistuksia) tapahtuu tunnistaminen esittämällä henkilölle henkilöllisyyttä tarkentavia kysymyksiä tai potilastietojärjestelmän hallinnollisia tietoja, joiden pohjalta voidaan henkilöllisyys varmentaa. Mikäli kyseessä tunnettu potilas/asiakas, jolloin ei ole syytä epäillä henkilöllisyyttä, erillistä tunnistamista ei tarvita.
15(18) Työntekijän tunnistaminen Organisaation tietojärjestelmiä ja KANTA -palveluja käytettäessä ja sähköistä lääkemääräystä käsiteltäessä ammattihenkilö tunnistetaan terveydenhuollon varmennekortin avulla. Terveydenhuollon ammattihenkilö saa käyttöönsä ammattikortin, jossa on Sosiaali- ja terveydenhuollon lupa- ja valvontaviraston (Valvira) ammattivarmenne, sekä siihen liittyvän PIN -koodin. Muut kuin terveydenhuollon ammattihenkilöt saavat käyttöönsä terveydenhuollon henkilöstökortin, jossa on varmenne, sekä siihen liittyvän PIN koodin. Sähköinen allekirjoitus Sähköisessä muodossa olevissa lääkintölaillisissa lausunnoissa ja todistuksissa sekä vastaavissa asiakirjoissa tulee olla asiakirjan laatijan allekirjoitus joka vastaa Laissa sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 9.2.2007/159 sekä sitä tarkentavassa asetuksessa annettuja määräyksiä. Muissa kuin lääkintölaillisissa asiakirjoissa käytetään vaatimustenmukaista sähköistä allekirjoitusta. Sähköisten lääkemääräysten laatijan tulee allekirjoittaa resepti noudattaen lakia sähköisistä lääkemääräyksistä.. Kaikki sähköiset potilasasiakirjat tulee allekirjoittaa organisaation tai tietoteknisen laitteen tekemällä vaatimustenmukaista sähköistä allekirjoitusta vastaavalla allekirjoituksella. Asiakkaan/potilaan sähköinen allekirjoitus Kirjallinen suostumus ja hakutietojen näkymisen kieltoasiakirja tulee olla allekirjoitettu joko omakätisesti tai vaatimustenmukaista sähköistä allekirjoitusta vastaavalla sähköisellä allekirjoituksella. Allekirjoitustapahtuman tulee olla kiistämätön ja siitä tulee tehdä lokimerkintä aikaleimoineen. Mikäli potilaalla ei ole sähköisen allekirjoituksen edellyttämiä välineitä, allekirjoittaa suostumus- ja kieltoasiakirjat siihen valtuutettu terveydenhuollon ammattihenkilö potilaan toimeksiannosta. Sirullisen henkilökortin (esimerkiksi sähköisen kansalaiskortin) ja VRK:n varmennepalvelujen avulla synnytetty sähköinen allekirjoitus on vaatimukset täyttävät ratkaisut. Hyväksyttäviä ovat myös vaatimustenmukaiset mobiiliallekirjoitukset Sähköinen allekirjoitus toimintayksikkö, organisaatio tai tietotekninen laite Teknisellä sähköinen allekirjoitus toteutetaan laissa sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 9.2.2007/159 annettujen määräysten mukaisesti.
16(18) Lääkintölailliset lausunnot ja todistukset sekä sähköiset lääkemääräykset allekirjoitetaan vaatimustenmukaisella allekirjoituksella. Käyttöturvallisuuden perustasossa edellytetään: - hyväksyttyjä asiakirjojen suojelu-, tietojenkäsittelyn toipumis- ja valmiussuunnitelmia - nimettyjä vastuu- ja varahenkilöitä - ohjeistoa päivittäin hoidettavista rutiineista - laadittua varasuunnitelmaa käyttökatkosten varalta - käytössä noudatettavia turvallisuusohjeita ja käyttöoikeuskäytäntöjä - tietojärjestelmiä käyttävien henkilöiden tunnistamista ja todentamista ohjeen mukaisesti - käytössä olevia käyttäjätunnus-, salasana-, toimikortti- ja PINkoodimenettelyjä - olemassa olevia tietokonevirusten ja haittaohjelmien torjuntaohjeita - suojausten riittävyyden varmistamista ja käytönvalvontaa väärinkäytösten ennaltaehkäisemiseksi ja paljastamiseksi - tiedostojen sisällön käyttökelpoisuuden varmistamista ja tietojen saatavuutta sekä atk -ohjelmien ylläpidon ja huollon saatavuutta - kannettavien työasemien tietosisällön turvaamista salausohjelmistolla ohjeen mukaisesti - verkon tietoturvallisuustasoa seurataantaan säännöllisesti - tietoturvapäivitykset suoritetaan viivytyksettä - verkon liikennettä seurataan ympärivuorokautisesti, poikkeuksellisen liikenteen vaatimat toimenpiteet suoritetaan viivytyksettä - kriittisten komponenttien tilaa seurataan ympärivuorokautisesti - verkkoon tunkeutumisen havainnointivälineitä seurataan ympärivuorokautisesti Laitteistoturvallisuus Laitteistoturvallisuudella tarkoitetaan laitteiston käytettävyyteen, toimintaan, ylläpitoon sekä laitteiden ja tarvikkeiden saatavuuteen liittyviä toimenpiteitä. Turvatoimenpiteet kohdistuvat atk- ja tutkimuslaitteistojen ja tietoverkon rakenteeseen, varusohjelmiin, käyttöjärjestelmiin, laite- ja varusohjelmahuoltoon, keskitettyyn operointiin, varmistuksiin, atk- ja tutkimuslaitteisiin sekä pääsynsuojaukseen. Laitteistoturvallisuuden perustasossa edellytetään, että - tietoverkot ja atk- ja tutkimuslaitteistot on dokumentoitu toipumissuunnitelmaan - varajärjestelmien käytettävyys poikkeusoloissa on varmistettu - laitteistojen fyysisen kunnon tarkistamiseksi laadittuja ohjeita noudatetaan - huolto- ja ylläpitosopimukset ovat ajan tasalla ja vastaavat käytettävyysvaatimuksia
17(18) Fyysinen turvallisuus Tietoliikenneturvallisuus Fyysisin turvallisuustoimenpitein luodaan ja ylläpidetään tietotekniikan vaatiman käyttöympäristön tilat, laitteet, tiedonsiirto, käyttö toimintaolosuhteet ja suojataan ja valvotaan kiinteistö, sen erikoistilat ja laite- yms. tilat luvattomia tai rikollisia toimia vastaan, onnettomuuksilta ja luonnontuhoilta sekä varmistetaan teknisten järjestelmien toiminta. Fyysinen turvallisuus käsittää kiinteistöjen rakenteellisen turvallisuuden, valvontatekniikan, kuten kulunvalvonta-, rikosilmoitus- ja video-valvontajärjestelmät sekä valvonnan ja vartioinnin. Fyysisen turvallisuuden perustaso edellyttää, että: - tietojen joutuminen luvattomiin käsiin on estetty - fyysisten tilojen suunnittelussa otetaan huomioon tietosuoja-, tietoturva- ja työturvallisuusnäkökohdat - henkilökohtaiset työhuoneet lukitaan huoneen jäädessä tyhjäksi - palvelinlaitteistot on keskitetty erityisiin atk-tiloihin, joiden rakentamisessa on noudatettu em. tiloja koskevia ohjeita - muut atk- ja tutkimuslaitteistot, verkon komponentit ja työasemat on sijoitettu lukittuihin ja/tai valvottuihin tiloihin - laitteistot on merkitty yksilöidysti - kriittiset työasemat on nimetty ja niille on tehty toipumissuunnitelma - konesaleihin on asennettu hälytysjärjestelmät ja kulunvalvonta on järjestetty - varmuuskopiot on sijoitettu fyysisesti eri palotiloihin - kaapeloinnit suoritetaan voimassa olevan yleiskaapelointiohjeen mukaisesti - paikallisverkon käytönvalvonta on järjestetty - paikallisverkolle on tehty toipumis- ja valmiussuunnitelmat Tietoliikenneturvallisuus käsittää tiedonsiirtoyhteyksien käytettävyyteen, tiedonsiirron suojaamiseen ja salaamiseen, käyttäjän tunnistamiseen ja verkon varmistamiseen liittyvät turvallisuustoimenpiteet. Tietoliikenneturvallisuuden perustaso edellyttää, että; - tietoverkot on dokumentoitu ja niiden laajennus tapahtuu suunnitelmallisesti - tietoihin ja tietojärjestelmiin pääsy on tarkoin määritelty - käyttöoikeudet tarkistetaan säännöllisesti - luvaton käyttö on estetty - tietoliikennelokia ja käyttöhäiriöitä seurataan säännöllisesti - noudatetaan työasemiin asennettavien varus-, sovellus- ja tietoliikenneohjelmien osalta annettuja ohjeita - varmistetaan tietoliikenneohjelmien ja -laitteiden turvallisuus, tietoliikenne-viestien sisällön muuttumattomuus, luottamuksellisten viestien lähettäjän ja vastaanottajan todentaminen - sovitaan viestien tietosuoja- ja vastuukysymykset omassa verkossa sekä eri tietoliikenneoperaattoreiden ja huollon välillä - langaton (WLAN) tietoverkko suojataan käyttäen VPN -salausta ja tukkiasemien välistä salausta - verkon komponenttien tietoturvapäivitykset suoritetaan viivytyksettä
18(18) Henkilöstöturvallisuus Henkilöstöturvallisuudella tarkoitetaan henkilöstön luotettavuuteen ja soveltuvuuteen, oikeuksien hallintaan, sijaisuusjärjestelyihin, henkilöstön suojaamiseen ja työsuhteen järjestelyihin liittyvien turvallisuustekijöiden hoitamista. Henkilöstöturvallisuus huomioidaan sekä oman henkilökunnan että ulkopuolisten (opiskelijat, harjoittelijat, ostopalvelu- tms. henkilöstö) henkilöiden virkatai työsuhteen alkaessa, sen aikana ja sen päättyessä. Se hallitaan sopimusteitse, ohjeistuksella, valvonnalla, tai muulla vastaavalla tavalla. Henkilöstöturvallisuuden perustaso edellyttää, että - kaikkiin tarpeellisiin tietojenkäsittelytehtäviin on nimetty vastuu- ja varahenkilöt - vaaralliset työyhdistelmät on eliminoitu - on laadittu ohjeisto esimiesten ja työntekijöiden vastuista, velvollisuuksista ja oikeuksista - tietoturvakoulutus (x1/vuosi) on pakollinen kaikille, jotka käyttävät luottamuksellisia tietoja sisältäviä tietojärjestelmiä - uusille työntekijöille annetaan käyttäjätunnukset aluksi vain 3 kuukaudeksi, jona aikana työntekijän on osallistuttava tietoturvakoulutukseen - henkilökunta noudattaa annettuja tietoturvaohjeita ja käytäntöjä - ohjeiden noudattamisen valvonta on suunnitelmallista ja tietosuojarikkomukset käsitellään tietoturvatyöryhmässä. Väärinkäytösten varalle on laadittu sanktiojärjestelmä. Mikäli potilastietojen väärinkäytös johtaa sanktioihin noudatetaan seuraavaa menettelyä: 1. Johtajaylilääkäri vie tiedon työntekijän yksikön esimiehelle 2. Johtajaylilääkäri vie tiedon tulosalueen johtajalle ja työparille 3. Asia viedään johtajaylilääkärin ja tulosalueen johtajan kautta johtoryhmään 4. Johtoryhmä tekee tutkintapyynnön poliisille - asia etenee rikoslainsäädännön mukaisesti. Sanktiona voi tulla kysymykseen työoikeudellinen varoitus, käyttöoikeuksien poistaminen, työsuhteen irtisanominen tai purku ja tarvittaessa rikosilmoituksen tekeminen. Mikäli on perusteltua syytä epäillä tietojen väärinkäyttöä, asiasta informoidaan myös asianomaista henkilöä siitä riippumatta johtaako väärinkäyttö sanktioihin vai ei. Mikäli muiden kuin potilastietojen väärinkäytös johtaa sanktioihin noudatetaan seuraavaa sanktiojärjestelmä: 1. Tietoturvayöryhmä vie tiedon työntekijän yksikön esimiehelle - työtekijä saa suullisen ja kirjallisen huomautuksen ja joutuu seurantalistalle 2. Tietoturvayöryhmä vie tiedon tulosalueen johtajalle ja työparille - työntekijä saa suullisen ja kirjallisen huomautuksen 3. Asia viedään tietoturvatyöryhmän ja tulosalueen johtajan kautta johtoryhmään - työntekijä saa suullisen ja kirjallisen huomautuksen 4. Johtoryhmä tekee tutkintapyynnön poliisille - asia etenee rikoslainsäädännön mukaisesti.