KanTa. Kelan KanTa-palvelujen tietoturvapolitiikka. v. 1.1



Samankaltaiset tiedostot
Eläketurvakeskuksen tietosuojapolitiikka

Tietosuojavastaavan rooli lokivalvonnassa

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

Laki. EDUSKUNNAN VASTAUS 195/2010 vp

Tietosuoja ja tietoturva

Apteekkisopimus Päihdelääketieteen torstaikoulutus Maritta Korhonen, Kela Kanta-palvelut

Politiikka: Tietosuoja Sivu 1/5

Lapin yliopiston tietoturvapolitiikka

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

MIKÄ ON TIETOSUOJAVASTAAVA?

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Kuka auttaa johtoa sosiaali- ja terveydenhuollon asiakastietojen käytönvalvonnassa?

Osapuolet sitoutuvat noudattamaan e-reseptipalvelun ehtoja ja sen liitteitä.

TIETOSUOJAPOLITIIKKA

Kanta-sopimusmalli / Yritys-Yritys. Sopimus eresepti-palveluun liittymisestä

Päätös. Laki. sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain muuttamisesta

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Riihimäen seudun terveyskeskuksen kuntayhtymä Penttilänkatu 5, Riihimäki Puh Tietoturvapolitiikka

KanTa Asiakastietojen käsittely ja menettelytavat eresepti-palvelua käytettäessä

Verkostokehittäjät-hanke Tietosuoja ja tietoturvallisuus

Tietosuojavastaavan toiminta ja dokumentointi

Kanta-palvelut, Kelan näkökulma

Tietosuojakysely 2018

Tutkimus ja tilastointijaos. Ilona Autti-Rämö Terveystutkimuksen päällikkö Tutkimusprofessori Kela tutkimusosasto

Sosiaali- ja terveydenhuollon asiakastietojärjestelmät ja niiden uudistukset

PUOLANGAN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

OHJE YLEISEEN KÄYTTÖÖN TARKOITETTUJEN OHJELMISTOJEN HYÖDYNTÄMISESTÄ SOTE- PALVELUISSA

Informointeja, kieltoja ja suostumuksia Onko käyttö ja luovutus hallinnassa?

Toivo-ohjelmaan liittyvä keskeinen lainsäädäntö. Hallituksen esitysten mukaisesti Mikko Huovila / STM OHO DITI

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Sopimus Kanta-palveluihin liittymisestä ja Kanta-palvelujen käytöstä v 1.0

TIETOTURVA JA TIETOSUOJAPOLITIIKKA

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

KANTA-PALVELUJEN YLEISET TOIMITUSEHDOT Liite 3

= LV! "17. Seinäjoen kaupungin tietoturvapolitiikka SE I N ÄJ 0 K I. 1. Johdanto. 2. Tietoturvaan liittyvät tavoitteet ja periaatteet

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Lokipolitiikka (v 1.0/2015)

Vihdin kunnan tietoturvapolitiikka

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

Valtuutussäännökset. Voimassaoloaika. Määräys tulee voimaan pp. päivänä [x]kuuta 2015 ja se on voimassa toistaiseksi.

Ajankohtaista KanTa-hankkeesta. Erkki Aaltonen

Tietosuojakysely 2019

Tietoturvapolitiikka Porvoon Kaupunki

Muutokset lakiin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007)

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana

Kansallinen Terveysarkisto - KanTa

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

Pilvipalveluiden arvioinnin haasteet

Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä

Sopimus Kanta-palveluihin liittymisestä ja Kanta-palvelujen käytöstä

LIEKSAN KAUPUNGIN SOSIAALI- JA TERVEYSPALVELUJEN TIETOSUOJAN SEURANTA JA VALVONTA

Terveydenhuollon yksiköiden valmiudet liittyä KanTa an

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Tietoturvapolitiikka

Laatua ja tehoa toimintaan

Tietosuoja- ja tietoturvapolitiikka

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Tietoturvapolitiikka

Sosiaali- ja terveydenhuollon tietojärjestelmien valvonta

Postinumero Kela. Käyntiosoite Nordenskiöldinkatu 12, Helsinki. Nimi Kanta-palvelujen tietosuojavastaava

KanTa-palvelujen tilannekatsaus. Marina Lindgren, KanTa-palvelut, Kela

Suomeksi Potilastiedot valtakunnalliseen arkistoon

Hämeenkyrön terveyskeskus. Yhteystiedot: Hämeenkyrön terveyskeskus Härkikuja Hämeenkyrö

JOHDON VELVOITTEET JA VASTUU yleiset periaatteet. Ylitarkastaja Arto Ylipartanen Tietosuojavaltuutetun toimisto

Suomeksi Potilastiedot valtakunnalliseen arkistoon

Omien tietojen katselu. Terveydenhuollon ATK-päivät

ASIAA TIETOSUOJASTA 4/ HENKILÖTIETOLAKI HENKILÖTIETOJEN KÄSITTELYN OHJAAJANA

Datan avaamisen reunaehdot. Katri Korpela Projektipäällikkö 6Aika - Avoin data ja rajapinnat

Postinumero Käyntiosoite Nordenskiöldinkatu 12, Helsinki. Nimi Kanta-palvelujen tietosuojavastaava

Käytettävyys eli tieto on siihen oikeutettujen hyödynnettävissä haluttuna aikana.

tiedonhallinnan lainsäädännön muutokset osana maakunta- ja soteuudistusta

Naantalin kaupunki Rekisteriseloste

Naantalin kaupunki Rekisteriseloste

Suostumuskäytännöt Suomen perustuslaki

REKISTERINPITÄJÄ JA YHTEYSHENKILÖ REKISTERIÄ KOSKEVISSA ASIOISSA Rekisterinpitäjä: Tmi ML-hahmoterapia Yhteyshenkilö: Mikko Lounela Puh:

Potilastietojärjestelmien käytön osaamisen turvaaminen organisaatioissa

Tietoturvapolitiikka

Johtopäätöksiä Kanta-arkiston toisiokäytön mahdollisuudet -workshopista

Henrietta Linde Proviisori

ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA

Paneeli: Käytön valvonta, lokien hallinta, poikkeamien havaitseminen, poliisiyhteistyö

KANTA-PALVELUJEN YLEISET TOIMITUSEHDOT Kanta-palvelujen yleiset toimitusehdot

Uudistettu asiakastietolaki edistämään tiedonvaihtoa sosiaalija terveydenhuollossa

Kanta-palveluiden käyttöönotto. Psykologiliitto

Korkeakoulujen valtakunnallinen tietovaranto. Ilmari Hyvönen

TIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa

KanTa. Reseptikeskuksen tietojen käsittelyn seuranta ja valvonta terveydenhuollossa ja apteekissa

Sosiaali- ja terveysministeriö Kirjaamo PL VALTIONEUVOSTO. Sosiaali- ja terveysministeriön lausuntopyyntö STM015:00/2015

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

Poimintoja lainsäädännöstä

Tietosuojavastaavan nimeämistä ja muita tietosuoja- ja tietoturva-asioita koskeva kysely sosiaalihuollon palvelujen antajille 2011

TIETOTURVA- POLITIIKKA

KanTa-palvelujen käyttöönotto etenee. Ajankohtainen iltapäivä toimittajille Suunnittelupäällikkö Marina Lindgren, Kela

Transkriptio:

1.1.2011 1/12 KanTa Kelan KanTa-palvelujen tietoturvapolitiikka v. 1.1

1.1.2011 2/12 Sisällys 1 Johdanto...3 2 Tietoturvallisuusperiaatteet...4 3 Vastuut...4 4 Menettelyt tietoturvallisuuden ja tietosuojan toteuttamisessa...6 5 Riskienhallinta...7 6 Lainsäädännön vaatimukset...7 7 Käsitteiden määrittelyä...8 7.1 Tietoturvallisuuden osa-alueet...9 8 KanTa-palvelujen erityispiirteitä...10 8.1 eresepti...10 8.2 earkisto...11 8.3 Omien tietojen katselu...11 8.4 KanTa.fi...11 9 Liitteet...12 9.1 Vastuut...12 9.2 Suojattavat kohteet ja muita määrittelyitä...12 9.3 Tietosuojapolitiikka...12 9.4 Arkistopolitiikka...12 9.5 Riskienhallintasuunnitelma...12 9.6 Seuranta- ja valvontasuunnitelma...12 9.7 Jatkuvuussuunnitelma...12 9.8 Häiriötilanteiden tiedotussuunnitelma...12

1.1.2011 3/12 Kelan KanTa-tietoturvapolitiikka Tässä asiakirjassa kuvataan Kelan tuottamien KanTa-palvelujen tietoturvallisuuuspolitiikka. Kelan KanTa-palveluita ovat eresepti, earkisto, omien tietojen katselu ja Kanta.fi -verkkosivut. Tämä asiakirja on tietoturvallisuuden toteuttamisen ja siitä annettavien ohjeiden perusta. Se koskee Kelassa kaikkia Kan- Ta-palvelujen tuottamiseen osallistuvia yksiköitä ja toimihenkilöitä. Pääjohtaja ja tietohallinnosta vastaava johtaja ovat hyväksyneet periaatteet 16.12.2009. Keskitetyt KanTa-palvelut ja paikalliset potilastieto- ja apteekkijärjestelmät muodostavat kokonaisuuden, johon liittyvien järjestelmien ja toimijoiden tulee voida luottaa toisiinsa. Paikallisilla toimijoilla on omat tietoturvapolitiikkansa. KanTa-palveluihin liittyminen ja niiden käyttäminen edellyttää lainsäädännössä säädettyjen edellytysten ja kansallisten auditointivaatimusten täyttämistä. 1 Johdanto Tietoturvallisuus on tavoitetila, jossa tiedot, järjestelmät ja palvelut saavat asianmukaista suojaa niiden luottamuksellisuuteen, eheyteen ja käytettävyyteen kohdistuvia uhkia ja vahinkoja vastaan. Uhkat ja vahingot voivat johtua laitteisto- ja ohjelmistovioista, luonnontapahtumista tai tahallisista, tuottamuksellisista ja tapaturmaisista inhimillisistä teoista. Hyvä tietoturvallisuus on laadukkaan ja luotettavan palvelun toteutumisen edellytys. Tietoturvallisuustyö varmistaa osaltaan toiminnan laatua. Toimintastrategiamme mukaan huolehdimme tietoturvallisuudesta kaikessa toiminnassamme. Tietoturvallisuus on osa Kelan tuottamien KanTa-palvelujen kokonaisturvallisuutta. Kelan tuottamia KanTa-palveluita ohjaavat useat lait, asetukset ja ohjeet. Niihin sisältyy tietosuojaa, hyvää tiedonhallintatapaa ja tietoturvallisuutta koskevia velvoitteita, joita noudatamme. Huolehdimme siitä, että lainsäädännön edellyttämä tietoturvallisuus toteutuu omassa toiminnassamme, tietojen luovuttamisessa ja palveluita hankittaessa. Potilas- ja reseptitiedot ovat arkaluontoisia terveystietoja. Asiakkaidemme tulee voida luottaa siihen, että heidän tietojaan käsitellään asiaankuuluvasti. Asiakkaita ovat sekä terveydenhuollon organisaatiot ja apteekit että kansalaiset. Asiakkaiden oikeusturvan toteutumisen, heille tarjottavien palvelujen ja tehtävissämme onnistumisen edellytyksenä on tietojärjestelmiemme suojaus, häiriötön toiminta sekä talletettujen tietojen luotettavuus, oikeellisuus, ristiriidattomuus, kattavuus, ajantasaisuus ja käyttökelpoisuus.

1.1.2011 4/12 2 Tietoturvallisuusperiaatteet o Noudatamme kaikessa toiminnassamme huolellisuutta ja varmistamme tietoturvallisuuden toteutumisen. o Varmistamme henkilötietojen turvallisuuden ja luottamuksellisuuden. Lakisääteisen informaatiomateriaalin avulla informoimme kansalaisia Kan- Ta-palvelujen toimintaperiaatteista, tietojen suojaamisesta ja potilaiden oikeuksista sekä siitä, mihin tarkoituksiin tietoja käytetään. o Reseptikeskuksen rekisterinpitäjänä toteutamme potilaan ja muiden tahojen tiedonsaantioikeudet eresepti-palvelun osalta. o Tietoturvallisuusmenettelymme vastaavat korkeaa kansallista ja kansainvälistä tasoa. o Tietoturvallisuuden korkean tason varmistamme panostamalla sen ylläpitoon ja jatkuvaan kehittämiseen. 3 Vastuut KanTa-palvelujen tuottamiseen ja käyttämiseen osallistuu useita toimijoita, joilla on tietoturvan toteutumiseen liittyviä tehtäviä ja vastuita. STM:n, THL:n ja Kelan vastuut Sähköisestä lääkemääräyksestä annetun lain (61/2007, ereseptilaki) ja sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain (159/2007, asiakastietolaki) mukaan KanTa-palvelujen järjestämisen ja toteuttamisen yleinen suunnittelu, ohjaus ja valvonta kuuluvat mukaan sosiaali- ja terveysministeriölle (STM). Väestörekisterikeskuksen hoitaman varmennepalvelun yleinen ohjaus ja valvonta kuuluvat kuitenkin STM:lle ja valtiovarainministeriölle yhteisesti. Terveyden- ja hyvinvoinnin laitoksen (THL) tehtävänä on määrittää valtakunnallisten tietojärjestelmäpalvelujen toteutuksen edellyttämät tietosisällöt, käsitemallit ja toimintaprosesseja tukevat tietorakenteet. THL vastaa sosiaali- ja terveydenhuollon asiakastiedon sähköisen käsittelyn, siihen liittyvän tietohallinnon, valtakunnallisten tietojärjestelmäpalvelujen ja yhteisten hallinnonalakohtaisten tietovarantojen käytön ja toteuttamisen suunnittelusta, ohjauksesta ja seurannasta. KanTa-palveluja koskevien periaatekysymysten käsittelyä sekä palvelujen ja tietojärjestelmien kehittämistä varten STM:n yhteydessä toimii sosiaali- ja terveydenhuollon sähköisen tietohallinnon neuvottelukunta. ereseptilain ja asiakastietolain mukaan Kela vastaa KanTa-palvelujen teknisenä toteuttajana ja ylläpitäjänä sekä Reseptikeskuksen ja potilaan tiedonhallintapalvelun rekisterinpitäjänä palvelujen yleisestä toiminnasta ja toiminnan lainmukaisuudesta. Kela vastaa potilastietojen, potilaan tiedonhallintapalvelun tietojen ja reseptitietojen käytettävyydestä, eheydestä, muuttumattomuudesta, suojaamisesta, säilyttämisestä ja hävittämisestä. KanTa-

1.1.2011 5/12 palvelun tulee teknisesti toimia niin, että tiedot ovat suojassa laittomalta tietojen luovutukselta. KanTa-palvelut on suojattava valtion viranomaisten tietoturvallisuutta koskevien velvoitteiden mukaisesti. Kelan on omalta osaltaan seurattava ja valvottava, että KanTa-palveluihin liittyvä tietosuoja toteutuu. Reseptikeskuksen ja potilaan tiedonhallintapalvelun rekisterinpitäjänä Kelaa velvoittavat lisäksi henkilötietolain, asiakastietolain ja ereseptilain sisältämät rekisterinpitäjän vastuita koskevat säännökset. Kelan lisäksi KanTa-palvelujen tuottamiseen osallistuvia kansallisia toimijoita ovat VRK, Sosiaali- ja terveysalan lupa- ja valvontavirasto (Valvira) ja THL. VRK vastaa varmennepalvelusta, Valvira rooli- ja attribuuttipalvelusta ja siihen liittyvistä koodistoista ja THL KanTa-palveluissa käytettävistä kansallisista koodistoista. Paikallisten toimijoiden vastuu KanTa-palvelujen käyttäjiä (asiakkaita) ovat terveydenhuollon toimintayksiköt ja apteekit. Asiakkaat vastaavat potilas- ja reseptitietojen käsittelyn tietoturvasta ja tietosuojasta sekä tietojen käsittelyn lainmukaisuudesta perusjärjestelmissä. Asiakkaat seuraavat ja valvovat omalta osaltaan tietojen käsittelyn lainmukaisuutta. Seuranta- ja valvontatehtävää varten asiakkailla tulee olla tietosuojavastaava. Asiakkaat vastaavat tietojen tietoturvallisesta siirrosta aina siihen saakka, kun tiedot on onnistuneesti tallennettu sähköiseen potilastiedon arkistoon tai Reseptikeskukseen. Asiakkaiden vastuulla on perusjärjestelmän käyttöoikeus- ja käyttäjähallinta. Asiakas vastaa sähköiseen potilastiedon arkistoon ja Reseptikeskukseen tallentamiensa tietojen sisällön oikeellisuudesta. Sähköisen potilastiedon arkiston osalta asiakas vastaa rekisterinpitäjänä potilastietojen ja lokitietojen sisällöstä ja virheettömyydestä sekä tietojen luovuttamisen ja muun käsittelyn lainmukaisuudesta sekä muista rekisterinpitäjälle kuuluvista henkilötietolain ja asiakastietolain mukaisista velvoitteista. Tietosuojavastaavat Paikallisilla toimijoilla ja samoin Kelassa tulee olla tietosuojavastaava. Tietosuojavastaavan tehtävänä on organisaation erityisasiantuntijana auttaa rekisterinpitäjää saavuttamaan hyvän henkilötietojen käsittelytavan ja mahdollisten erityislakien edellyttämä korkea tietosuojan taso, jonka avulla voidaan rakentaa ja säilyttää luottamus rekisteröidyn ja rekisterinpitäjän välille. Tietosuojavastaavan tehtävänä on antaa asiantuntija-apua sekä organisaa-

1.1.2011 6/12 tion henkilöstölle että ennen kaikkea johdolle, jolla on viimekätinen vastuu rekisterinpitäjänä henkilötietojen käsittelystä. Tätä rekisterinpitäjän toimintaa tukevaa tarkoitusta varten tietosuojavastaava: o osallistuu organisaation henkilötietojen käsittelyä koskevaan suunnittelutoimintaan, o osallistuu rekisterinpitäjän hyväksymiä tietosuoja- ja tietoturvaohjeita koskevaan valmisteluun ja ylläpitoon, o seuraa ja valvoo henkilötietojen käsittelyä ja niiden suojausmenetelmiä, o osallistuu rekisterinpitäjän henkilöstölle annettavan tietosuojakoulutuksen toteuttamiseen, o tukee henkilökuntaa ja rekisteröityjä tietosuoja-asioissa, o toimii yhdyssiteenä valvontaviranomaisiin, o raportoi organisaation johdolle tietosuojan ja tietoturvallisuuden tilasta ja kehittämistarpeista (sisäiset auditoinnit ja käytönvalvonta), o vastaa organisaation johdon osoittamista muista tietosuojaa tukevista tehtävistä. Kelan tuottamissa Kanta-palveluissa tietosuoja- ja tietoturvallisuusvastuita on erityisesti seuraavilla henkilöillä ja ryhmillä: o IT-osaston KanTa-palveluryhmä o Tietosuojavastaava o KanTa-palvelujen tietosuojaryhmä o Ylläpito- ja käyttöhenkilöstö Kelan sisäinen vastuunjako kuvataan yksityiskohtaisemmin liitteessä 1. 4 Menettelyt tietoturvallisuuden ja tietosuojan toteuttamisessa Ylläpito ja kehittäminen o Tietoturvallisuuden ylläpitoon ja kehittämiseen osallistuvat kaikki ne Kelan toimihenkilöt, joiden tehtävät liittyvät KanTa-palvelujen tuottamiseen. o Selvitämme ja analysoimme toimintaamme kohdistuvia tietoturvallisuusriskejä ja kehittämme toimintaamme tämän tietämyksen mukaan. o Seuraamme järjestelmällisesti tietoturvallisuuden kotimaista ja kansainvälistä kehitystä ja hyödynnämme alan uusinta tietoa toiminnassamme. o Yhteistyöllä varmistamme tietoturvallisuuden toteutumisen kaikissa toiminnoissa. Teemme yhteistyötä sekä laitoksen sisällä että eri yhteistyötahojen kanssa. o Poikkeustilanteiden varalle on olemassa sovitut menettelytavat.

1.1.2011 7/12 Tietoturvallisuuskoulutus o Toimihenkilöiden tietämystä ja osaamista tietoturvallisuudesta ylläpidetään kouluttamalla ja tiedottamalla. o Henkilötietojen käsittelystä on annettu toimihenkilöille laissa säädetyn mukaisesti kirjalliset ohjeet. Seuranta, valvonta ja raportointi o Seuraamme tietoturvallisuuden toteutumista järjestelmällisesti. Tietosuojavastaava ja tietosuojaryhmä raportoivat pääjohtajalle ja tietohallinnosta vastaavalle johtajalle. o Tietoturvarikkomukset ja -epäkohdat tulee ilmoittaa yksikön päällikölle ja tarvittaessa tietosuojavastaavalle ja tietoturvallisuuspäällikölle. o Jokainen toimihenkilö on velvollinen noudattamaan tietoturvallisuusperiaatteita sekä niihin liittyviä ohjeita. o Suoritamme tietojärjestelmien teknistä ja henkilötietojen käsittelyn valvontaa. o Terveydenhuollon organisaatiot ja apteekit raportoivat ereseptin osalta suorittamastaan valvonnasta Kelalle. o Sisäinen ja ulkoinen tarkastus o Kelan ulkopuolinen ohjaus ja valvonta (STM, Tietosuojavaltuutettu) 5 Riskienhallinta Riskienhallinnan tavoitteena on tunnistaa toimintaan vaikuttavat riskitekijät, arvioida riskit, suunnitella vastaamis- eli hallintatoimet ja varmistaa toiminnan riittävä laatu, jotta kulloinkin tarkasteltavalle toiminnalle, projektille tai prosessille asetetut tavoitteet voidaan kohtuullisen varmasti saavuttaa. Riskienhallintaan kuuluvat sekä riskianalyysi (riskien tunnistaminen, arviointi ja vastaaminen) että sisäisen valvonnan kokonaisuus. KanTa-palvelujen riskienhallinnassa käytetään Kelan yleisiä riskienhallintamenettelyitä. 6 Lainsäädännön vaatimukset Useat lait ja asetukset sisältävät Kelan tuottamia KanTa-palveluita koskevia tietoturvallisuusvelvoitteita. Tällaisia (myöhempine muutoksineen) ovat mm. laki sähköisestä lääkemääräyksestä (61/2007) ja sosiaali- ja terveysministeriön asetus sähköisestä lääkemääräyksestä (485/2008)

1.1.2011 8/12 laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) ja sosiaali- ja terveysministeriön asetus potilasasiakirjoista (298/2009) henkilötietolaki (523/1999) laki viranomaisten toiminnan julkisuudesta (621/1999) laki sähköisestä asioinnista viranomaistoiminnassa (13/2003) arkistolaki (831/1994) laki yksityisyyden suojasta työelämässä (759/2004) sähköisen viestinnän tietosuojalaki (516/2004) Lait velvoittavat huolehtimaan tietojen luottamuksellisuudesta, eheydestä ja käytettävyydestä. KanTa-palvelujen toteuttamisessa keskeisimmät säädökset ovat laki sähköisestä lääkemääräyksestä sekä laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä. Erityislakeina näiden lakien säännöksiä noudatetaan ensisijaisesti yllä mainittuihin yleislakeihin nähden. Hyvän tiedonhallintatavan tarkempi sisältö säännellään henkilötietojen käsittelyn osalta henkilötietolaissa. Hyvän tiedonhallintatavan muu sisältö määritellään laissa viranomaisten toiminnan julkisuudesta ja siihen liittyvässä viranomaisten toiminnan julkisuutta ja hyvää tiedonhallintatapaa koskevassa asetuksessa (1030/1999). Laki sähköisestä asioinnista viranomaistoiminnassa asettaa oikeudelliset vaatimukset sähköisten tiedonsiirtomenetelmien käyttämiselle ja säätää sähköisen viestin perille saattamiseen liittyvistä keskeisistä vastuukysymyksistä ja sähköistä asiointia koskevista tietoturvallisuusvaatimuksista. Laissa yksityisyyden suojasta työelämässä säädetään muun muassa työntekijöiden teknisestä valvonnasta, jota koskevat säännökset on otettava huomioon KanTa-palvelujen toteutuksessa. 7 Käsitteiden määrittelyä Tietoturvallisuudella tarkoitetaan tietojen, järjestelmien, palvelujen ja tietoliikenteen asianmukaista suojaamista sekä normaali että poikkeusoloissa hallinnollisilla, teknisillä ja muilla toimenpiteillä. Tietojen luottamuksellisuutta, eheyttä ja käytettävyyttä turvataan laitteisto- ja ohjelmistovikojen, luonnontapahtumien sekä tahallisten, tuottamuksellisten tai tapaturmaisten tekojen aiheuttamilta uhilta ja vahingoilta. Tietosuojalla tarkoitetaan henkilötietojen suojaamista valtuudettomalta tai henkilöä vahingoittavalta käytöltä. Tietojenkäsittelyllä tarkoitetaan tietojen keräämistä, tallettamista, järjestämistä, käyttöä, siirtämistä, luovuttamista, säilyttämistä, muuttamista, yhdistämistä, suojaamista, poistamista, tuhoamista sekä muita tietoihin kohdistuvia toimenpiteitä. Tietojenkäsittely voi olla automaattista tai manuaalista. Tiedolla tarkoite-

1.1.2011 9/12 taan kaikenlaisilla tallenteilla olevia tietoja (esim. paperitallenteet sekä elektroniset, optiset ja magneettiset tallenteet). Rekisterinpitäjällä tarkoitetaan yhtä tai useampaa henkilöä, yhteisöä, laitosta tai säätiötä, jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä tai jonka tehtäväksi rekisterinpito on lailla säädetty. Tietoturvallisuuden keskeisillä käsitteillä tarkoitetaan seuraavaa: Luottamuksellisuus; tiedot ja järjestelmät ovat vain niiden käyttöön oikeutettujen käytettävissä eikä sivullisille anneta mahdollisuutta muuttaa tai tuhota tietoja, eikä muutoin käsitellä tietoja, eikä niitä paljasteta tai muutoin saateta sivullisten käyttöön. Eheys; tiedot ja järjestelmät ovat luotettavia, oikeita ja ajantasaisia, eivätkä tiedot ole hallitsemattomasti muuttuneet tai muutettavissa laitteisto- tai ohjelmistovikojen, luonnontapahtumien tai inhimillisen toiminnan seurauksena. Käytettävyys; järjestelmien tiedot ja palvelut ovat niihin oikeutettujen käytettävissä haluttuna aikana ja vaaditulla tavalla. Muita tietoturvallisuuteen kuuluvia vaatimuksia ovat osapuolten todentaminen ja tapahtuman kiistämättömyys, jotka ovat erityisen tärkeitä silloin, kun järjestelmän käyttäjät tulee pystyä tunnistamaan esimerkiksi käytettäessä vuorovaikutteisia sähköisiä asiointipalveluja tai etätyötä tehtäessä. Todentaminen (autentikointi) tarkoittaa osapuolten (henkilö tai järjestelmä) luotettavaa tunnistamista. Kiistämättömyys tarkoittaa tapahtuneen todistamista jälkeenpäin, jolloin tavoitteena on juridinen sitovuus. Kiistämättömyys varmistaa sen, ettei toinen osapuoli voi kieltää toimintaansa jälkeenpäin. 7.1 Tietoturvallisuuden osa-alueet Tietoturvallisuus voidaan jakaa suunnittelun, toteutuksen ja valvonnan helpottamiseksi osa-alueisiin, jotka yleisimmin käytetyn jaottelun mukaan ovat: Hallinnollinen tietoturvallisuus Tietoturvan johtamiseen sekä toimintojen organisointiin liittyvät toimenpiteet. Henkilöstöturvallisuus Henkilöstöstä aiheutuvien ja henkilöstöön kohdistuvien riskien minimointi.

1.1.2011 10/12 Tietoaineistoturvallisuus Erilaisissa käsittely- ja tallennusmuodoissa olevien tietojen turvaaminen. Ohjelmistoturvallisuus Ohjelmistojen kuten käyttöjärjestelmien ja sovellusohjelmien turvallisuusominaisuuksien ja käyttömahdollisuuksien hallinta. Laitteistoturvallisuus Laitteistoihin liittyvät turvaominaisuudet ja laitteistojen käyttömahdollisuudet. Tietoliikenneturvallisuus Siirrettävien tietojen luottamuksellisuuden, eheyden ja käytettävyyden turvaaminen siirron aikana ja sen jälkeen. Käyttöturvallisuus Palvelujen ja järjestelmien laadukkaaseen ja turvalliseen käyttöön liittyvät asiat niiden käyttötapoihin vaikuttamalla. Fyysinen tietoturvallisuus Toiminta- ja tietojenkäsittely-ympäristöjen turvaaminen fyysisiltä uhilta ja vahingoilta. 8 KanTa-palvelujen erityispiirteitä 8.1 eresepti ereseptissä Kela on Reseptikeskuksen ja Reseptiarkiston rekisterinpitäjä. Rekisterinpitäjänä Kelan rooli muun muassa reseptitietojen käsittelyn lainmukaisuuden valvojana on earkistoa laajempi. Kela vastaa rekisterinpitäjänä tietojen luovuttamisen lainmukaisuudesta. Kelan on ylläpito- ja käyttöhenkilöstön valvonnan ohella riittävällä tavalla varmistettava tietojen lainmukainen käsittely myös terveydenhuollon organisaatioissa ja apteekeissa. Tässä tarkoituksessa Kela antaa ohjeistusta, valvoo tietojen käsittelyä terveydenhuollon organisaatioissa ja apteekeissa sekä edellyttää näiltä säännöllistä raportointia suoritetusta valvonnasta ja mahdollisesti havaituista väärinkäytöksistä. Vaikka Kela on ereseptissä rekisterinpitäjä, Reseptikeskukseen tallennettujen resepti- ja toimitustietojen oikeellisuudesta vastaa lääkkeen määrääjä ja lääkkeen toimittaja. Rekisterinpitäjälle kuuluu potilaiden henkilötietolain ja ereseptilain mukaisista tiedonsaantioikeuksista huolehtiminen. Kela laatii myös ereseptiä koskevan kirjallisen informaatiomateriaalin, joka jaetaan terveydenhuollossa potilaille.

1.1.2011 11/12 8.2 earkisto Terveydenhuollon organisaatiot ovat omien potilasrekisteriensä rekisterinpitäjiä myös KanTa-palveluissa. Rekisterinpitäjinä terveydenhuollon organisaatiot vastaavat muun muassa potilastietojen virheettömyydestä ja tietojen käsittelyn ja luovutuksen lainmukaisuudesta sekä tietojen käsittelyn lainmukaisuuden valvonnasta. Kelan vastuulla on KanTa-palvelujen tekninen toimivuus ja earkistoon tallennettujen tietojen suojaaminen. Kela on myös potilaan tiedonhallintapalvelun rekisterinpitäjä ja vastaa palveluun tallennettujen tietojen käytettävyydestä ja eheydestä, tietosisältöjen muuttumattomuudesta sekä tietojen säilyttämisestä ja hävittämisestä. Tiedon tallentaja vastaa kuitenkin tiedonhallintapalveluun tallennettujen tietojen oikeellisuudesta. Rekisterinpitäjälle kuuluu lisäksi potilaiden henkilötietolain ja asiakastietolain mukaisista tiedonsaantioikeuksista huolehtiminen. Kela laatii kuitenkin earkistoa koskevan kirjallisen informaatiomateriaalin, joka jaetaan terveydenhuollossa potilaille. 8.3 Omien tietojen katselu Omien tietojen katselu on kansalaisille suunnattu palvelu, jossa kansalaiset voivat katsella omia potilas- ja reseptitietojaan sekä niihin liittyviä lokitietoja. Omien tietojen katseluun tunnistaudutaan Tunnistus.fi -palvelun kautta joko kansalaisen pankkitunnuksilla tai kansalaisvarmenteen sisältävällä sähköisellä henkilökortilla. Tunnistamistapahtumasta syntyy lokimerkintä omien tietojen katselun tietokantapohjaiseen lokiin, jonne merkitään myös tunnistamishetki. Lisäksi jokaisesta suoritetusta hausta tulee lokimerkinnät Reseptikeskuksen ja sähköisen potilastiedon arkiston lokeihin. 8.4 KanTa.fi KanTa-verkkosivut käsittävät kaikille avoimet KanTa-internetsivut sekä KanTaekstranetsivut. KanTa-ekstranetsivut ovat KanTa-palveluihin liittyneille terveydenhuollon oganisaatioille ja apteekeille tarkoitettu palvelu. Tunnistautumisessa KanTaekstranetisvivuille käytetään Katso-tunnistusta.

1.1.2011 12/12 9 Liitteet 9.1 Vastuut 9.2 Suojattavat kohteet ja muita määrittelyitä 9.3 Tietosuojapolitiikka 9.4 Arkistopolitiikka 9.5 Riskienhallintasuunnitelma 9.6 Seuranta- ja valvontasuunnitelma 9.7 Jatkuvuussuunnitelma 9.8 Häiriötilanteiden tiedotussuunnitelma

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute