Infotilaisuus omavalvontasuunnitelman laatimisesta Paasitorni Kehittämispäällikkö Juha Mykkänen Kehittämispäällikkö Anna Kärkkäinen
Esityksen sisältö Vastuut tietoturvasta ja tietosuojasta Omavalvontasuunnitelman yleisesittely Omavalvontasuunnitelma kohta kohdalta Useimmin kysytyt kysymykset 2 THL / OPER
Vastuu tietosuojasta ja tietoturvasta Sosiaali- ja terveydenhuollon toimintayksikölle lainsäädännöllinen velvoite varmistaa tietojen luotettava ja turvallinen käsittely kaikissa olosuhteissa Tietosuojan ja tietoturvan toteutumista seurataan omavalvonnalla Omavalvonnasta on oltava suunnitelma, jonka laadinnan ja noudattamisen vastuu on toimintayksikön vastaavalla johtajalla Toimintayksikkö vastaa: henkilökunnan ohjeistuksesta ja osaamisesta asiakas- ja potilastietojen käsittelyssä tietoturvapolitiikan laatimisesta ja noudattamisesta tietosuojavastaavan nimeämisestä ja toimenkuvasta asiakas- ja potilastietojen käsittelyn seurannasta ja valvonnasta väärinkäytösten selvittämisestä ja seuraamuksista ja näiden tiedottamisesta henkilöstölle sertifioidun tietojärjestelmän hankinnasta, ennen valtakunnalliseen tietojärjestelmäpalveluun liittämistä toimintayksikön asiakas- ja potilastietojärjestelmien käyttäjä- ja käyttöoikeushallinnasta Valvontaviranomaisella (kuten Valvira) on oikeus tehdä tarkastuksia THL / OPER 3
Olennaiset vaatimukset ja omavalvonta: miksi? Kanta-palvelujen kautta on mahdollista päästä laajasti eri organisaatioissa syntyneisiin asiakas- ja potilastietoihin Varmistettava, että Liittyvissä järjestelmissä on käyttötarkoituksen kannalta oikeat toiminnallisuudet, riittävät tietoturvaominaisuudet ja että ne pystyvät liittymään osaksi Kanta-palvelujen kautta tapahtuvaa tietojen vaihtoa tietojärjestelmien OLENNAISET VAATIMUKSET Liittyvissä organisaatioissa ja palveluntuottajilla on asianmukaiset tietoturvakäytännöt ja käyttöympäristössä huolehditaan asianmukaisesta tietoturvasta palvelunantajien OMAVALVONTA THL / OPER 4
Tietoturvallisuuden varmistaminen Kantapalveluissa Kaikkien Kanta-palveluihin liittyvien osapuolten riittävän tietoturvan ja tietosuojan toteutuminen tulee varmistaa Palvelunantajat (sote-palvelujen tuottajat) Tietojärjestelmät (valmistajat, tietojärjestelmäpalvelujen tuottajat) Välityspalvelut THL antoi seuraavat määräykset, joilla varmistetaan tietoturvan ja tietosuojan toteutuminen 1. Määräys A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista tietoturvavaatimuksista (Määräys 1/2015) Määräys 1/2015 Liite 1: Tietoturvavaatimukset A-luokkaan kuuluville järjestelmille ja järjestelmien käyttöympäristöille 2. Määräys omavalvontasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista (Määräys 2/2015) Määräys 2/2015 Liite 1: Omavalvontasuunnitelman mallipohja Jatkossa määräysten / vaatimusten päivityksiä ja mahd. uusia määräyksiä THL / OPER 5
Olennaiset vaatimukset ja niiden todentaminen Lakisääteisiä (250/2014), tarkemmat määräykset THL:ltä Määräys A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista tietoturvavaatimuksista (1/2015) Kanta-järjestelmien osalta kuvattava ja todennettava Toiminnalliset vaatimukset Valmistajan / tietojärjestelmäpalvelun tuottajan selvitys Yhteentoimivuusvaatimukset Todennetaan Kanta-yhteistestauksen kautta Tietoturva- ja tietosuojavaatimukset Todennetaan arviointilaitoksen suorittaman tietoturvaauditoinnin kautta Hyväksytyn sertifioinnin tuloksena järjestelmä saa vaatimustenmukaisuustodistuksen THL / OPER 6
Olennaiset vaatimukset ja järjestelmien luokittelu Järjestelmien luokittelut A- ja B-luokkiin A: Kanta-palveluihin liittyvät järjestelmät Myös Kanta-välityspalvelut B: Muut asiakas- tai potilastietoja käsittelevät järjestelmät (on myös järjestelmiä, joita ei tarvitse luokitella) Luokiteltujen järjestelmien ilmoittaminen Valviralle A-luokan järjestelmien vaatimustenmukaisuustodistuksen edellytyksenä hyväksytty Kelan yhteistestaus ja ulkoinen tietoturva-auditointi laki ja määräys jo voimassa B-luokan järjestelmien täytettävä olennaiset vaatimukset 1.1.2017 käyttöönotettavien järjestelmien (tai olennaisia muutoksia sisältävien päivitysten) osalta Kirjallinen selvitys ja ilmoitus Valviralle THL / OPER 7
Omavalvontasuunnitelman yleisesittely
Keiden on laadittava Omavalvontasuunnitelma Sähköistä asiakas- ja potilastietojen käsittelyyn tarkoitettua tietojärjestelmää käyttävien Sosiaali- ja terveydenhuollon palvelun antajien, apteekkien itsenäisten ammatinharjoittajien Kansaneläkelaitoksen Kanta-välityspalveluiden tuottajien Miksi Suunnitelmassa selvitettyjen toimenpiteiden avulla ylläpidetään ja kehitetään organisaation tietoturvaa ja tietosuojaa Milloin 31.3.2015 mennessä THL / OPER 9
Omavalvonta sosiaalihuollossa Omavalvontasuunnitelmaan sisällytetään kaikki tietojärjestelmät, joilla käsitellään asiakas- ja potilastietoa Koskee siis myös sosiaalihuollon toimintaa ja sosiaalihuollossa käytettäviä asiakastietojärjestelmiä Laki sosiaalihuollon asiakasasiakirjoista (HE 345/2014) määrittelee, kenen pitää kirjata: Velvollisuus kirjata asiakastiedot alkaa, kun palvelunantaja on saanut tiedon henkilön palveluntarpeesta tai ryhtynyt toteuttamaan sosiaalipalvelua Yksityisten asiakkaiden kohdalla velvollisuus alkaa, kun asiakkaan kanssa on tehty palvelun toteuttamisesta THL / OPER 10
Mitkä ovat sosiaalihuollon asiakastietoja ja asiakasasiakirjoja? Sosiaalihuollon asiakirjoja Toimialana sosiaalihuolto, eli sosiaalihuollon lainsäädännön perusteella annettavat palvelut Asiakasasiakirjoja Asiakaskohtaisista kirjauksista koostuvat tiedot, jotka on tallennettu sosiaalihuollon asiakasrekisteriin. Määritellyissä asiakasasiakirjoissa on arkistoinnin näkökulma Asiakastietoa, jota koskee arkistolaki ja velvoitteet (ks. Sosiaalihuollon asiakasasiakirjojen ja tietojen pysyvä säilytys) Asiakasasiakirja on Snapshot sen hetken tilanteesta Niillä evidentiaalinen tehtävä: miten asiat oli tiedon tallentamisen hetkellä Sosiaalihuollon asiakasasiakirjat Eivät sisällä toiminnallisuuksia esim. laskelmat Tarvittaville tiedoille on varattu paikat Ohjaa vain osittain tietojen syöttämistä ja näyttämistä THL / OPER 11
Miksi omavalvontasuunnitelma? Parantaa ja yhdenmukaistaa sosiaali- ja terveydenhuollossa tietoturvakäytäntöjä arkityössä Varmistaa henkilökunnan tiedon käytön ja ylläpidon tietoturva ja - suojamielessä Huomioi arkaluonteisen tiedon salassapidon merkityksen Ohjaa ja tukee tietoturvavaatimusten noudattamista Auttaa seuraamaan toimintaa käytännössä Helpottaa ymmärtämään väärinkäytöksen seuraamukset Sen avulla varmistetaan myös muiden palvelun tuottamiseen osallistuvien tahojen tietoturvallinen toiminta Selkeyttää roolit ja vastuut toteutuksessa THL / OPER 12
Keskiössä vastuut ja roolit Palvelun antaja varmistaa toteutumisen ja resurssit kaikissa palveluyksiköissään ja tuottamiseen osallistuvien tahojen kanssa päivittäisessä työssä Määritellään vastuut toiminnallisuuden, tietoturvallisuuden ja yhteistoiminnallisuuden osalta Toteutukseen kuuluu säännöllinen toiminnan valvonta: toimenpiteet rikkomustilanteissa, toteuman laadun arvointi, riskien hallinta ja takaisinkytkentä jatkuvaan kehitystyöhön Kirjataan vastuut sopimuksiin Käyttöympäristö tai tietotekniikkapalvelu ulkoistettu Tietoliikenne ja viestinvälitys ulkoistettu Ostopalvelun yhteydessä Asiakas- ja potilastietojärjestelmiä käyttävien toimintayksiköiden ja ammatinharjoittajien vastuiden määrittelyiden yhteydessä THL / OPER 13
Omavalvontasuunnitelman laatiminen Omavalvontasuunnitelmassa viitataan aina kuin mahdollista olemassa oleviin erikseen ylläpidettäviin ohjeisiin ja dokumentteihin Olennaista on, että suunnitelman linkkien tai tietojen avulla on selvää, mistä dokumentaatio on löydettävissä tai vaatimuksen täyttyminen on todennettavissa. Mikäli muuta valmista dokumentaatiota ei ole olemassa tai saatavissa, on mahdollista kuvata vaadittavat asiakokonaisuudet ja toimintatavat suoraan omavalvontasuunnitelmaan Kun kokoat omavalvontasuunnitelmaa esimerkiksi THL:n mallipohjaan, pystyt samalla toteamaan, miten hyvin tietosuoja- ja tietoturva-asiat ovat omassa organisaatiossasi jo hoidettu ja missä vielä tarvitaan parannusta Vasta suunnitelman mukaisesti toimiminen parantaa tietoturvallisuutta! THL / OPER 14
Minimivaatimukset ja selvitykset Varmistetaan, että kaikki asiakas- ja potilastietojen käsittelyyn osallistuvat palvelun antajat ja muut tahot huolehtivat käytössä olevien tietojärjestelmiä käytettävyydestä vastaamalla 1. Henkilöstön riittävästä koulutuksesta ja kokemuksesta 2. Asianmukaisten käyttöohjeiden saatavuudesta 3. Asianmukaisesta käytöstä valmistajan ohjeitten mukaan 4. Menettelytavoista virhe- ja ongelmatilanteissa 5. Toimintamallista asennus-, ylläpito- ja päivitystilanteissa 6. Käyttöympäristön vaatimustenmukaisuudesta 7. Tietojärjestelmien vaatimustenmukaisuudesta 8. Liittymisestä valtakunnallisiin tietojärjestelmäpalveluihin 9. Riittävästä käytön seuranta- ja valvontatoimenpiteistä THL / OPER 15
Omavalvontasuunnitelman mallipohja Yleinen pohja, jossa malleja ja valmiita paikkoja asioille, joihin omavalvonnassa (ja suunnitelmassa) on vastattava Sovellettava omaa tilannetta vastaavalla tavalla Vaatimusten toteuttaminen eri tavoin mahdollista eri tyyppisissä organisaatioissa ja palveluissa Perusteltavissa, mikäli jokin vaatimus tai kohta ei ole relevantti omien palvelujen / oman käyttöympäristön kannalta Osa ratkaistavista asioista voi perustua esim. sopimuksiin ITpalveluja tuottavien tai tietojärjestelmäympäristöä hallinnoivien tahojen kanssa Myös nämä seikat mainittava ja oltava todennettavissa THL / OPER 16
Hyväksymis- ja tarkistusmenettely Omavalvonnasta on oltava suunnitelma, jonka laadinnan ja noudattamisen vastuu on toimintayksikön vastaavalla johtajalla Omavalvontasuunnitelman mukaisen toiminnan varmistaminen edellyttää suunnitelman toiminnallisuuden hyväksymistä organisaation omien hyväksymiskäytänteiden mukaisesti Varauduttava toiminnan toteutumisen tarkistuksiin esim. valvontaviranomaisen taholta THL / OPER 17
Toiminnan muutos organisaatiossa Kanta-liittymisen yhteydessä laadittiin dokumentaatiot STM:n auditointi-vaatimusten v.2.0 pohjalta Asiakastietolain mukainen omavalvonta korvaa Kantapalveluiden käyttöönoton yhteydessä tehdyt itseauditoinnit Oleellinen muutos on vaatimus omavalvonnan sisällön jalkauttamisesta organisaatioon ja sen toteuttamiseen Organisaation velvollisuutena on siis seurata suunnitelman toteutumista ja toimia säännöllisesti suunnitelman mukaisesti THL / OPER 18
Itseauditoinnista omavalvontaan Omavalvontasuunnitelman laatimisessa voi hyödyntää aiempien Terveydenhuollon auditointivaatimusten läpikäyntiohjetta, joka löytyy Käyttöönoton käsikirjasta www.kanta.fi Henkilökunnan koulutus Ohjeet potilastietojen käsittelystä Tietoturvapolitiikka Nimetty tietosuojavastaava Muutostenhallintaprosessi Järjestelmän ylläpito Käyttövaltuushallinta, -oikeuksien jako ja hallinta Tunnistautuminen järjestelmiin Virhetilanteiden hallinta Tietosuojan valvonta Tietoturvapoikkeamien havainnointi ja tietojärjestelmien käytön seuranta Käyttäjätunnusten yksilöllisyys Hallintayhteydet järjestelmään THL / OPER 19
Yhteenveto Olennaisten vaatimusten ja omavalvonnan kautta varmistetaan, että järjestelmissä on riittävällä tavalla huomioitu käyttötarkoituksen edellyttämät yhteentoimivuus-, tietoturva- ja tietosuoja-asiat asiakas- ja potilastiedot suojataan asianmukaisilla tietoturva- ja tietosuojakäytännöillä palvelujen tuottajien toiminnassa Olennaiset vaatimukset nojautuvat kansallisiin määrittelyihin Omavalvontasuunnitelman soveltaminen sovitettava palvelun tuottajan toimintatapojen mukaiseksi Esim. osa asioista mahdollista hoitaa sopimusten kautta, mutta vaatimukset pystyttävä todentamaan myös näissä tilanteissa Määräyksiä ja vaatimuksia päivitetään jatkossa, kun kansallisia palveluita ja sisältöjä tulee lisää THL / OPER 20
Omavalvontasuunnitelma kohta kohdalta
Omavalvontasuunnitelman sisältö Jaettu kokonaisuuksiin, joihin kootaan esim. linkkeinä kuhunkin kokonaisuuteen kuuluvat dokumentit: 1. Johdanto 2. Suunnitelman kohde: Ketkä kuuluvat suunnitelman piiriin: palvelunantajat, järjestelmät, käyttäjät kuvattuna 3. Yleiset tietoturvakäytännöt: Kuvaukset tietoturvapolitiikasta, tietosuojaan ja valvontaan liittyvistä vastuista, koulutus, ohjeistus, toimintamalleihin perehdytys, tietojärjestelmien ja potilastietojen käsittelyyn ohjeistus ja koulutus 4. Käyttöympäristön ja useiden järjestelmien yhteiset tietoturvakäytännöt: Menettelyt virhe- ja ongelmatilanteissa, järjestelmien käyttöohjeiden hallinnointi ja saatavuus, järjestelmien asennus ja ylläpito, tilojen työasemien, tallennusvälineiden ja tulosteiden turvallisuus, muut käyttöympäristön käytännöt 5. Käyttövaltuuksien, pääsynhallinnan ja käytön seurannan yleiset käytännöt: Käyttäjäryhmät, käyttövaltuushallinnan ja käytön seuraamisen käytännöt 6. Kanta-palvelujen käytön tietoturvakäytännöt 7. Tietojärjestelmät: Kanta-palveluihin liittyvät tietojärjestelmät (A), muut asiakas- tai potilastietoja käsittelevät järjestelmät (B), muut tietojärjestelmät jotka on otettava huomioon arkaluonteisten asiakas- ja potilastietojen suojaamisen kannalta 8. Tietojärjestelmäkohtaiset ohjeet ja suunnitelmat: Järjestelmien osalta joilla on vaikutusta asiakas- tai potilastietojen käsittelyyn, tietoturvaan tai tietosuojaan THL / OPER 22
Luku 2 Suunnitelman kohteet Selvitetään ne tahot, jota tämä omavalvontasuunnitelma koskee Laaditaan kuvaus suunnitelman hyödyntämisestä tietojärjestelmien käytössä, käytön valvonnassa, hankinnoissa ja kehitystyössä sekä tähän mahdollisesti liittyvissä päätöksissä Kuvataan myös, miten omavalvontasuunnitelman toteutumisen seurannan menettelytavat on suunniteltu. Menettelytapojen on oltava todennettavissa tarkastusten yhteydessä THL / OPER 23
Kuvattavat tietojärjestelmät Suoraan Kanta-palveluihin liitettävät A-luokan tietojärjestelmät Asiakas- ja potilastietoja käsittelevät B-luokan tietojärjestelmät Asiakas- ja potilastietojen asennukseen, ylläpitoon ja päivitykseen vaikuttavat ja niissä huomioitavat tietojärjestelmät THL / OPER 24
Luku 3 Yleiset tietoturvakäytännöt Sisällytettävä kuvaukset tai viittaukset seuraavista asioista: Tietoturvapolitiikka: tiedot sen tarkastamisen ja kehittämisen käytännöistä Yleistiedot: tietoturvan vastuutuksesta, organisoinnista, seurannasta ja valvonnasta sekä tietosuojavastaavista Koulutus, ohjeistus, käyttökokemus ja niiden seuranta Toimintamallien koulutus ja perehdytys Tietojärjestelmien käyttökoulutus Riittävä kokemus Ohjeet ja koulutus potilastietojen käsittelystä THL / OPER 25
Koulutusmalli ja seurantakäytänteet Koulutus, ohjeistus ja käyttökokemus ja niiden seuranta Sisällytetään mahdolliset viittaukset erillisiin koulutus- ja/tai osaamisen ja käyttökokemuksen seurannan suunnitelmiin Kuvataan miten varmistetaan, että henkilöstölle on annettu koulutus tietojärjestelmien käyttöön, potilas- ja asiakastietojen käsittelyyn sekä tietosuoja- ja tietoturva-asioihin Miten seurataan ja ylläpidetään henkilöstön osaamista ja kokemusta Toimintamallien koulutus ja perehdytys Miten huolehditaan toimintamallien perehdytykseen ja koulutukseen liittyvistä toimintatavoista ja koulutussuunnitelmista Miten koulutusten toteutumista ja oppimista seurataan (esim. todistukset tai ylläpidettävät tiedot koulutuksiin osallistumisista arkistoidaan) THL / OPER 26
Tietojärjestelmän koulutusmalli ja seurantakäytänteet Tietojärjestelmien käyttökoulutus Miten nyt huolehditaan tietojärjestelmien käyttökoulutukseen liittyvistä toimintatavoista ja koulutussuunnitelmista Miten nyt koulutusten toteutumista ja oppimista seurataan (esim. todistukset tai ylläpidettävät tiedot koulutuksiin osallistumisista) Riittävä kokemus Miten nyt varmistetaan ja todennetaan käytössä olevien asiakas- ja / tai potilastietojärjestelmien käytön vaatima kokemus Miten on järjestetty käyttäjien ohjaus Ohjeet ja koulutus potilastiedon käsittelystä Miten ohjeet potilastietojen käsittelystä ja palvelujen antajan henkilöstön koulutuksesta potilastietojen käsittelyyn sekä henkilöstön tietämyksen ylläpito on dokumentoitu ja todennettavissa THL / OPER 27
Luku 4 Käyttöympäristön tietoturvakäytännöt Kuvataan, mistä on saatavissa tiedot tai kuvaukset: Menettelyt virhe- ja ongelmatilanteista Järjestelmien käyttöohjeiden hallinnoinnista ja saatavuudesta Järjestelmien asennuksesta ja ylläpidosta yleisesti Tilojen, työasemien, tallennusvälineiden ja tulosteiden turvallisuudesta Muista käyttöympäristön tietoturvakäytännöistä THL / OPER 28
Menettelyt virhe- ja ongelmatilanteissa Kuvataan selvittelykäytänteet ja määritellään vastuut verkko- tai tietoliikenneongelmien selvittelyssä järjestelmien käyttöön liittyvien ongelmien yhteydessä havaittujen tai toteutuneiden tietoturva- tai tietosuoja-uhkien tai ongelmien hallintamallit ja käytäntö Ohjeistetaan A tai B järjestelmien olennaisten vaatimusten täyttymisessä havaittujen merkittävien poikkeamien ilmoittamisprosessi Organisaation sisällä Tietojärjestelmän valmistajalle Kelalle huomioiden häiriöviestintäohje ( mikäli A-luokan järjestelmä ) Valviralle, jos poikkeama aiheuttaa merkittävän riskin potilasturvallisuudelle THL / OPER 29
Järjestelmien käyttöohjeiden hallinnointi ja saatavuus Kuvataan ja dokumentoidaan asiakas- ja / tai potilastietojärjestelmien käyttöohjeiden hallinnointi ja saatavuus henkilöstön perehdyttäminen ja sen toteuman todennettavuus Valmistajien ohjeiden hallintakäytännöt, päivittäminen ja jakelu Kuvataan tietojärjestelmäpalvelun tuottajan ajantasaisten ja riittävien käyttöohjeitten Hankinta ja saanti Päivittäminen ja jakelu ohjelmiston ja versiopäivitysten muutoksessa Varmistus- ja todentamiskäytäntö: tietojärjestelmiä käytetään valmistajan antamien ohjeiden mukaisesti tai niitä sovelletaan tarkoituksenmukaisesti THL / OPER 30
Järjestelmien asennus ja ylläpito yleisesti Kuvataan yleisellä tasolla: Mikäli järjestelmäkohtaiset seikat poikkeavat määritellyistä seikoista, ne voi kuvata lukuun 8, erikseen Määritellään järjestelmien asennuksen, ylläpidon ja päivityksen roolit ja vastuut Tarkennetaan ylläpitotehtävien vaatima koulutus, ammattitaito ja asiantuntemus Kuvataan järjestelmien muutoshallinnan, testauksen ja hyväksymisen menettelytavat THL / OPER 31
Tilojen, työasemien, tallennusvälineiden ja tulosteiden sekä muun ympäristön turvallisuuden hallinta Kuvataan ja luetellaan seuraavat turvallisuustekijät: Suojattavat fyysiset tilat ja niiden suojauskäytännöt Työasemien sijoittuminen, lukittuminen ja suojaus sivullisilta Työasemien virus- ja haittaohjelmilta suojautuminen Mobiililaitteiden ja ympäristöjen suojauskäytännöt, PIN-koodien hallinta, SIM-korttien hallinta, ohjelmalliset suojaukset Oheisohjelmistojen asentaminen työasemille, palvelimille ja mobiililaitteille Tulosteiden turvallisuus ja tulosteiden turvallisen käsittelyn käytännöt Ulkoiset tallennuslaitteet ja tallennusvälineet Yleiset käyttöympäristön tukipalvelut, Operaattoreitten ja tietoliikenteen vastuut ja niiden sisällyttäminen sopimuksiin Etäyhteydet, langattomat verkot ja reitittimet THL / OPER 32
Luku 5 Käyttövaltuuksien, pääsynhallinnan ja käytönseurannan säännöt Laadittava kuvaukset, viittaukset ja toteuma asioista: Käyttäjäryhmät Mistä on saatavissa dokumentaatio niistä käyttäjäryhmistä, jotka käyttävät asiakas- ja/tai potilastietojärjestelmiä. Kanta-palveluihin osalta tulee olla dokumentoituna käyttäjäryhmien Kanta-palveluiden käyttöoikeudet ja -aika Käyttövaltuushallinnan ja käytön seuranta ja välineet Käyttövaltuuksien hakemisen, myöntämisen, seurannan, muuttamisen, tarkistamisen/varmistamisen ja poistamisen käytännöt ja missä niitä hallinnoidaan ja kuka hyväksyy pyynnöt Käyttäjien tunnistamisen ja todentamisen käytännöt, lokien hallinta ja käytön seurannan käytännöt Toimintamalli ja toteuma havaittaessa lainvastaista asiakas- tai potilastietojen käsittelyä pitää olla todennettavissa Laadittava myös kuvas Kelan lokitietojen saanti- ja hankintaprosessista seurannan ja valvonnan toteuttamiseksi THL / OPER 33
Luku 6 Kanta-palvelujen käytön tietoturvakäytännöt Voidaan kuvata myös aiempien lukujen vastaavien kohtien yhteydessä Kuvataan Kanta-palvelujen edellyttämien Tunnistamis- ja todentamisratkaisujen toteuttaminen Varmenneratkaisujen toteuttaminen (eri tyyppiset varmenteet) Käyttövaltuuksien hallinta ja kytkentä työntekijöiden työrooleihin Kantapalvelujen käytön seuranta ja valvonta erityisen huolella, koska saatavilla muiden palvelun tarjoajien luovutustietoa Kanta-palvelujen pääsynhallinnan toteuttaminen Sosiaali- ja terveydenhuollon dokumenttien ja rekisterien erottaminen Vaatimuksenmukaisuustodistuksen edellyttäminen ja vastuut Kansallisten mallien hallinta Häiriötoimenpiteet huomioiden kansallinen häiriö- ja muutosohjeet THL / OPER 34
Luku 7 Tietojärjestelmäluettelo tai viite Kanta-palveluihin liitettävät järjestelmät (luokka A): Järjestelmä, versio, toimittaja, yhteystiedot, vaatimuksenmukaisuustodistus Muut asiakas- tai potilastietoja käsittelevät järjestelmät (luokka B) Järjestelmä, versio, toimittaja, yhteystiedot Muut tietojärjestelmät, jotka otettava huomioon arkaluonteisten asiakas- ja potilastietojen suojaamisen kannalta Järjestelmä, versio, toimittaja, yhteystiedot THL / OPER 35
Luku 8 Tietojärjestelmäkohtaiset ohjeet ja suunnitelmat Soveltuvin osin samantyyppiset kuvaukset kuin aiempien lukujen vastaavissa osioissa: Esim. A-luokkaan kuuluva: Järjestelmä, versio, toimittaja, yhteystiedot Käyttötarkoitus Käyttäjäryhmät Käyttöohjeet Ohjeiden päivittäminen ja jakelu Menettelyt virhe- ja ongelmatilanteissa Järjestelmäkohtaiset tukipalvelut Asennus- ja ylläpitovastuut ja -vaatimukset Menettelytavat ja vastuut virhe- ja poikkeustilanteissa Käyttövaltuushallinta järjestelmässä Tunnistautuminen järjestelmässä Lokit Järjestelmän lukittuminen Kantaan liittyvän järjestelmän vaatimustenmukaisuustodistuksen tietojen varmistaminen Järjestelmän tiedot Valviran rekisterissä THL / OPER 36
Kysytyimpiä kysymyksiä
Mitkä järjestelmät sisällytetään omavalvontasuunnitelmaan? Mitkä järjestelmät on sisällytettävä omavalvontasuunnitelmaan? Järjestelmät, jotka liitetty Kantapalveluihin? Millä perusteilla poimitaan mukaan otettavat? Omavalvontasuunnitelmaan kirjataan/linkitetään luettelo kaikista organisaation käyttämistä asiakas- ja potilastietojen käsittelyyn tarkoitetuista tietojärjestelmistä Samoin viite/kuvaus/linkki järjestelmäkohtaisiin kuvauksiin Jos kuvauksia ei ole tehty, tehdään suunnitelma ja aikataulu kuvausten laatimisesta THL / OPER 38
Suhde Valviran omavalvontasuunnitelmaan Mikä on Asiakastietolain mukaisen omavalvontasuunitelman suhde Valviran omavalvontasuunnitelmaan? Valviraan tehtävä omavalvontasuunnitelma laajemmin toiminnan kannalta tehtävä Asiakastietolain mukainen omavalvontasuunnitelma keskittyy asiakas- ja potilastietojen käsittelyyn, tiedonhallintaan, tietojärjestelmien hallintaan sekä tietoturvaan ja tietosuojaan THL / OPER 39
Tietosuojavastaava Tietosuojavastaavan valinta - kuka sopii tehtävään, pitääkö valittu henkilö kouluttaa siihen, onko ylipäätään koulutusta tarjolla ja mitä se maksaa? Tietosuojavastaavan tehtävään ei ole erityisiä soveltuvuuskriteereitä tai koulutusvaatimuksia Yleinen kuvaus tehtävästä http://www.kanta.fi/tietosuojavastaava Tietosuojavastaavan tehtäväkuva mallipohja Koulutusta tietoturvasta ja tietosuojasta: Tietoturva ja tietosuoja verkkokoulu kanta.fi -sivustolla Vuosittainen soten tietosuojaseminaari (järj. mm. Kuntaliitto, TSV, FCG) STTY:n (Sosiaali- ja terveydenhuollon tietojenkäsittely-yhdistys) tietosuojavastaavien jaosto Materiaalia: Tietosuojavastaavan käsikirjat 1 ja 2 (Andreasson, Koivisto, Ylipartanen) THL / OPER 40
Tietoturvapolitiikka Kuinka tarkka esitys omavalvontasuunnitelman liitteeksi pitää tietoturvapolitiikasta yrityksissä tehdä? Järjestömme on tuottanut jäsenistölle Tietoturvapolitiikan mallin. Riittääkö se, että yrittäjä liittää sen osaksi omavalvontasuunnitelmaa edellyttäen tietenkin, että on sisäistänyt sen sisältämän sanoman? Mallipohjia voi hyvin käyttää. Keskeistä on se, että palvelun tuottaja sisäistää asian, ja täydentää mallipohjaan oman organisaationsa näkökulmasta THL / OPER 41
Kantaan liittyminen ja omavalvontasuunnitelma Mitkä velvollisuudet koskevat kaikkia ja mitkä erityisesti Kantaan liittyviä järjestelmiä Mitä uusia vaatimuksia Kantaan siirtyminen tuo omavalvontasuunnitelman sisältöön? Omavalvontasuunnitelmassa ja mallipohjassa on erikseen kappale, jossa määritellään Kantaan liittyvien erityisvaatimuksien huomiointi Kantaan liittyvien järjestelmien erityisiä vaatimuksia diassa 34 Mm. tunnistamis- ja todentamisratkaisujen toteuttaminen, Varmenneratkaisujen toteuttaminen (eri tyyppiset varmenteet), Käyttövaltuuksien hallinta ja kytkentä työntekijöiden työrooleihin Kantapalvelujen käytön seuranta ja valvonta erityisen huolella, koska saatavilla muiden palvelun tarjoajien luovutustietoa, Kanta-palvelujen pääsynhallinnan toteuttaminen, Sosiaalija terveydenhuollon dokumenttien ja rekisterien erottaminen, Vaatimuksenmukaisuustodistuksen edellyttäminen, Kansallisten mallien hallinta, Häiriötoimenpiteet huomioiden kansallinen häiriö- ja muutosohjeet THL / OPER 42
Vastuut järjestelmätoimittajan ja yrityksen välillä omavalvonnassa Mistä tiedän, mitkä asiat omavalvonnassa kuuluvat sosiaali- ja terveydenhuollon palveluntuottajan/ ammatinharjoittajan vastuulle ja mitkä tietojärjestelmätoimittajan vastuulle? Kokonaisvastuu omavalvontasuunnitelman laatimisesta, suunnitelman mukaisesta toiminnasta ja toteutumisen seurannasta on sosiaali- ja terveydenhuollon organisaatiolla Järjestelmätoimittajan rooli voi vaihdella järjestelmän hankinta- ja ylläpitomallin mukaisesti Vastuut kirjattava sopimuksiin ja omavalvontasuunnitelmaan kuvattava miten asiasta on sovittu järjestelmätoimittajan kanssa Esim. hankittaessa järjestelmä palveluna järjestelmätoimittaja vastaa järjestelmän teknisestä ylläpidosta, versioiden asennuksista, tietoliikenteestä ym. THL / OPER 43
Omavalvontasuunnitelman julkisuus Tuleeko omavalvontasuunnitelman olla julkisesti nähtävillä esimerkiksi internetissä, vai riittääkö, että suunnitelma on henkilöstön nähtävillä? Omavalvontasuunnitelman ei tarvitse / pidäkään olla julkisesti nähtävillä Monissa tilanteissa ja organisaatioissa suunnitelma sisältää sellaista tietoturvallisuustietoa, joka on syytä pitää ulkopuolisten saavuttamattomissa tai poissa julkisesta jakelusta tai Henkilöstön tulee olla tietoinen omavalvontasuunnitelmasta tai ainakin niistä sen asioista jotka heitä suoraan koskevat THL / OPER 44
Mikä on riittävä henkilöstön kokemus? Miten määritellään henkilöstön riittävä kokemus? Henkilöstön kokemus järjestelmän käyttöön kasvaa käytön ja koulutusten myötä Keskeistä on, että uusille työntekijöille järjestetään riittävä koulutus ja perehdytys järjestelmän käyttöön THL / OPER 45
Tietojärjestelmän käyttäminen valmistajan ohjeiden mukaisesti Omavalvontasuunnitelman kysymys: "Miten varmistetaan ja todennetaan, että tietojärjestelmiä käytetään valmistajan antamien ohjeistusten mukaisesti tai niitä tarkoituksenmukaisesti soveltaen tai täydentäen." Kun koulutus, ohjeistus ja seuranta on toteutettu siten, että ajantasaiset ohjeistukset ovat saatavilla ja käyttäjät tuntevat ohjeet, ja käyttöön liittyville käyttäjien kysymyksille (myös ohjeisiin liittyen) on määritelty selkeä ja tiedossa oleva toimintatapa, ei pidemmälle menevää todentamista voida nykyisellään edellyttää. THL / OPER 46
Lokivalvonnan toteuttaminen Onko yksityiskohtaisempia ohjeita lokivalvonnan toteuttamisesta eri potilastietojärjestelmissä? Järjestelmien käyttölokivaatimukset on kuvattu seuraavassa dokumentissa Vaatimukset potilastietojärjestelmien käyttölokeille Lokivalvontaa tehdään Suunnitelmallisesti, eli organisaatio suunnittelee etukäteen lokitietojen seurannan ja tarkastukset (toistuvuus, laajuus) Potilaan pyytäessä lokitietoja Kun organisaatiossa herää epäily tietojen käytön asianmukaisuudesta Käyttöönoton käsikirjan tukimateriaaleissa taulukko, johon voi koota kirjanpitoa tehdystä lokivalvonnasta, havainnoista ja jatkotoimenpiteistä THL / OPER 47
Kiitos! etunimi.sukunimi@thl.fi THL / OPER 48