Tietoturvallisuuden, tietosuojan ja tietojärjestelmien käytön omavalvontasuunnitelma SohviTellu 2015 11.11.2015 Jyväskylä Kehittämispäällikkö Juha Mykkänen, FT THL / Oper 1 Tässä esityksessä Johdanto Omavalvonta: säädökset, määräykset ja ohjeet Yleiskuva ja suhde tietojärjestelmien olennaisiin vaatimuksiin Omavalvontasuunnitelman sisältö, suunnitelman laatiminen ja omavalvonnan toteuttaminen Keskustelu ja kysymykset 2 1
Hippokrateen vala, ote Mikäli parannustyössäni tai sen ulkopuolella ihmisten keskuudessa näen tai kuulen sellaista, mitä ei pidä levitettämän, vaikenen ja pidän sitä salaisuutena. Hippokrates (n. 460-370 ekr) 3 Suunnittelu ja kehittämistyö (Kehittäjän vastuu) Käyttöönotto ja käyttö (Palvelutuottajan vastuu) Perusta: periaatteet, käsitteet ja määritelmät Component model for health software & health IT systems safety standards, ISO/TC 215 WG7 & IEC TC/62: Application of risk management to information technology (IT) networks incorporating medical devices 4 2
Olennaiset vaatimukset ja omavalvonta: miksi? Lainsäädäntöön tehtiin vuonna 2014 merkittäviä muutoksia sekä sote-palvelujen tuottajille että järjestelmätoimittajille Varmistettava, että Järjestelmissä on käyttötarkoituksen kannalta oikeat toiminnallisuudet, riittävät tietoturvaominaisuudet ja että ne pystyvät liittymään osaksi Kanta-palvelujen kautta tapahtuvaa tietojen vaihtoa tietojärjestelmien OLENNAISET VAATIMUKSET Organisaatioissa ja palveluntuottajilla on asianmukaiset tietoturvakäytännöt, toiminnassa huomioidaan tietoturvallisuuteen liittyvät vaatimukset, ja järjestelmien käyttöympäristössä huolehditaan asianmukaisesta tietoturvasta OMAVALVONTA Erityishuomio Kanta-palvelujen kautta laajenevassa tietojen saatavuudessa, mutta huomioitava kaikessa toiminnassa 5 Omavalvonnan ja olennaisten vaatimusten suhde Tietoturvallisuuden varmistaminen on jatkumo Päivittäisen palvelutuotannon käytännöt ja toimintatavat ja niihin liittyvä ohjeistus sekä seuranta Käytettävät tietojärjestelmäratkaisut Järjestelmien tekninen ja toiminnallinen käyttöympäristö Osa vaatimuksista voi kohdistua eri tilanteissa ja organisaatioissa järjestelmien käyttöympäristöön, tietojärjestelmätuotteeseen tai paikallisiin toimintatapoihin Myös osa tietojärjestelmien tietoturvavaatimuksista voidaan toteuttaa tai kompensoida käyttöympäristön toimenpiteillä Tärkeää ymmärtää omavalvonnassa myös järjestelmiin ja niiden käyttöympäristöön kohdistuvat olennaiset vaatimukset 6 3
Valtakunnalliset sosiaali- ja terveydenhuollon tietojärjestelmäpalvelut Sote- SADe Sosiaali- ja terveysalan palvelukokonaisuus THL 2012-2015 Kansa Sosiaalihuollon tiedonhallinta THL 2012 Kansalainen Ammattilainen Kanta-palvelut Sähköinen resepti Potilastiedon arkisto ja Tiedonhallintapalvelu Omakanta Kelain THL 2011 Vastuu tietosuojasta ja tietoturvasta Sosiaali- ja terveydenhuollon toimintayksikölle ja apteekeille lainsäädännöllinen velvoite varmistaa tietojen luotettava ja turvallinen käsittely kaikissa olosuhteissa Tietosuojan ja tietoturvan toteutumista seurataan omavalvonnalla Omavalvonnasta laaditaan suunnitelma Suunnitelman noudattamisen vastuu on toimintayksikön vastaavalla johtajalla Vastuu henkilökunnan ohjeistuksesta ja osaamisesta asiakas- ja potilastietojen käsittelyssä tietoturvapolitiikan laatimisesta ja noudattamisesta tietosuojavastaavan nimeämisestä ja toimenkuvasta asiakas- ja potilastietojen käsittelyn seurannasta ja valvonnasta väärinkäytösten selvittämisestä ja seuraamuksista ja näiden tiedottamisesta henkilöstölle sertifioidun tietojärjestelmän hankinnasta, ennen valtakunnalliseen tietojärjestelmäpalveluun liittämistä toimintayksikön asiakas- ja potilastietojärjestelmien käyttäjä- ja käyttöoikeushallinnasta Valvontaviranomaisella (kuten Valvira) on oikeus tehdä tarkastuksia 8 4
Olennaisten vaatimusten ja omavalvonnan säädökset Nojautuvat aiempiin käytäntöihin mm. tietoturva-auditointien ja itseauditointien toteuttamisesta Selkeyttävät toimijoiden vastuita olennaisten vaatimusten ja omavalvonnan suunnittelussa ja toteuttamisessa Määräyksillä ja ohjeilla tehty edelleen tarkennuksia lakikohtien määritelmiin ja toimijoiden vastuisiin Erityisesti omavalvonnan osalta painotuksena omavalvonnan toteuttaminen ja seuranta 9 Omavalvonnan ja olennaisten vaatimusten säädökset Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 159/2007 (päivitetty 2014) Laki sähköisestä lääkemääräyksestä 61/2007 (päivitetty 2014) THL:n Määräys 1/2015: A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien olennaiset tietoturvavaatimukset THL:n Määräys 2/2015: Omavalvontasuunnitelmaan sisällytettävät selvitykset ja vaatimukset Lisäksi saatavilla ohjeita ja tukimateriaalia Perusperiaate: järjestelmien olennaiset vaatimukset ja sotepalvelutuottajien omavalvonta muodostavat jatkumon teknisistä järjestelmäratkaisuista turvallisiin käytäntöihin ja toimintatapoihin päivittäisessä työssä 10 5
Keiden on laadittava Omavalvontasuunnitelma Sähköistä asiakas- ja potilastietojen käsittelyyn tarkoitettua tietojärjestelmää käyttävien Sosiaali- ja terveydenhuollon palvelun antajien, apteekkien itsenäisten ammatinharjoittajien Kansaneläkelaitoksen Kanta-välityspalveluiden tuottajien Miksi Suunnitelmassa selvitettyjen toimenpiteiden avulla ylläpidetään ja kehitetään organisaation tietoturvaa ja tietosuojaa Milloin 31.3.2015 mennessä HUOM. Koskee myös muita kuin Kantapalveluihin liittyviä toimijoita ja järjestelmiä Asiakastietolain mukainen omavalvonta korvaa myös Kanta-palveluiden käyttöönoton yhteydessä tehdyt itseauditoinnit 11 Määräys 2/2015 omavalvontasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista Voimaan 1.2.2015, voimassa toistaiseksi Kuvaa omavalvontasuunnitelmaan vähintään sisällytettävät selvitykset ja vaatimukset Soveltamisala Vastuut tietoturvan sekä asiakas- ja potilastietojen asianmukaisen käsittelyn varmistamisessa Määritelmät Suhde muihin ohjaaviin määräyksiin ja ohjeisiin Yleistä: muut omavalvontasäädökset, todentaminen, suhde tietojärjestelmien olennaisiin vaatimuksiin, sertifiointiin ja Valviran rekisteriin Omavalvontasuunnitelmaan sisällytettävät selvitykset ja vaatimukset Ohjaus ja neuvonta Liite 1: Omavalvontasuunnitelman mallipohja 12 6
Omavalvontasuunnitelman minimivaatimukset ja selvitykset Omavalvonnan kautta varmistutaan vähintään: 1. Henkilöstön riittävästä koulutuksesta ja kokemuksesta 2. Asianmukaisten käyttöohjeiden saatavuudesta 3. Asianmukaisesta käytöstä järjestelmän valmistajan ohjeiden mukaan 4. Menettelytavoista virhe- ja ongelmatilanteissa 5. Toimintamallista asennus-, ylläpito- ja päivitystilanteissa 6. Käyttöympäristön vaatimustenmukaisuudesta 7. Tietojärjestelmien vaatimustenmukaisuudesta 8. Liittymisestä valtakunnallisiin tietojärjestelmäpalveluihin 9. Riittävistä käytön seuranta- ja valvontatoimenpiteistä Tavoitteena varmistaa, että kaikki asiakas- ja potilastietojen käsittelyyn osallistuvat osaavat toimia oikein, ja että huolehditaan näihin seikkoihin kohdistuvista vaatimuksista 13 Omavalvontasuunnitelman sisältö Jaettu kokonaisuuksiin, joihin kootaan esim. linkkeinä kuhunkin kokonaisuuteen kuuluvat dokumentit: 1. Johdanto 2. Suunnitelman kohde: Ketkä kuuluvat suunnitelman piiriin: palvelunantajat, järjestelmät, käyttäjät kuvattuna 3. Yleiset tietoturvakäytännöt: Kuvaukset tietoturvapolitiikasta, tietosuojaan ja valvontaan liittyvistä vastuista, koulutus, ohjeistus, toimintamalleihin perehdytys, tietojärjestelmien ja potilastietojen käsittelyyn ohjeistus ja koulutus 4. Käyttöympäristön ja useiden järjestelmien yhteiset tietoturvakäytännöt: Menettelyt virhe- ja ongelmatilanteissa, järjestelmien käyttöohjeiden hallinnointi ja saatavuus, järjestelmien asennus ja ylläpito, tilojen työasemien, tallennusvälineiden ja tulosteiden turvallisuus, muut käyttöympäristön käytännöt 5. Käyttövaltuuksien, pääsynhallinnan ja käytön seurannan yleiset käytännöt: Käyttäjäryhmät, käyttövaltuushallinnan ja käytön seuraamisen käytännöt 6. Kanta-palvelujen käytön tietoturvakäytännöt 7. Tietojärjestelmät: Kanta-palveluihin liittyvät tietojärjestelmät (A), muut asiakas- tai potilastietoja käsittelevät järjestelmät (B), muut tietojärjestelmät jotka on otettava huomioon arkaluonteisten asiakas- ja potilastietojen suojaamisen kannalta 8. Tietojärjestelmäkohtaiset ohjeet ja suunnitelmat: Esimerkkinä omavalvontasuunnitelman mallipohjan rakenne Järjestelmien osalta joilla on vaikutusta asiakas- tai potilastietojen käsittelyyn, tietoturvaan tai tietosuojaan 14 7
Omavalvontasuunnitelman mallipohjat Määräyksen liitteenä yleinen pohja, jossa malleja ja valmiita paikkoja asioille, joihin omavalvonnassa (ja suunnitelmassa) on vastattava Lisäksi saatavilla mm. Mallipohja yrityksille/itsenäisille ammatinharjoittajille (Potilastiedon arkiston käyttöönoton käsikirja yksityisille) Mallipohja apteekeille (Suomen Apteekkariliitto) Eri yritysten tarjoamia pohjia, joissa voi olla myös muita arvioitavia seikkoja kuin minimivaatimukset Sovellettava omaa tilannetta vastaavalla tavalla Vaatimusten toteuttaminen eri tavoin mahdollista eri tyyppisissä organisaatioissa ja palveluissa Erilaisten sopimusjärjestelyjen vaikutukset omavalvontaan huomioitava Perusteltavissa, mikäli jokin vaatimus tai kohta ei ole relevantti omien palvelujen / oman käyttöympäristön kannalta 15 Omavalvontasuunnitelman laatiminen on sitä yksinkertaisempaa, mitä enemmän pohjatyötä on jo tehty Omavalvontasuunnitelmassa Viitataan aina kuin mahdollista, olemassa oleviin, erikseen ylläpidettäviin ohjeisiin ja dokumentteihin (esimerkiksi linkkien avulla) Olennaista on, että suunnitelmasta selviää, mistä tiedot / dokumentaatio on löydettävissä tai miten vaatimuksen täyttyminen on todennettavissa. Mikäli valmista dokumentaatiota ei ole, omavalvontasuunnitelmaan kuvataan vaadittavat asiakokonaisuudet ja toimintatavat HYÖDYNNÄ: Tietoturvapolitiikka Kokonaisarkkitehtuurikuvaukset Laatukäsikirja Omat tietoturvallisuusohjeet Tietojärjestelmäpalvelujen tuottajien ohjeet Jne. 16 8
Esimerkki: potilastiedon arkiston käyttöönotto Käyttöönottoa edeltävät tehtäväkokonaisuudet Omavalvontasuunnitelman kokoaminen Projektin hallinnointi Viestintä Varmenteiden hankinta ja käyttö Rekisteritiedot Koodistopalveluun Hallinnolliset päätökset Teknisen ympäristön toteutus Organisaatioiden toimintamallit Henkilöstön koulutus ja muu tukimateriaali Arkiston hallinta Kanta palvelun liittymissopimus ja käyttöönottokoe Käyttöönotto ja käytön aloittaminen Jatkuvuuden varmistaminen Perustiedot Potilastiedon arkiston kansallisesta toimintaympäristöstä 17 Hyväksymis- ja tarkistusmenettelyt ja omavalvonnan toteuttamisen dokumentointi Omavalvontasuunnitelman laadinnan ja noudattamisen vastuu on toimintayksikön vastaavalla johtajalla Omavalvontasuunnitelma ja siihen kirjatut menettelytavat edellyttävät organisaation omien hyväksymiskäytänteiden mukaisen hyväksymisen Omavalvonnan toteuttaminen on dokumentoitava ja oltava todennettavissa Ei yksityiskohtaista ohjetta esim. omavalvonnan toteuttamiseen liittyvän materiaalin säilyttämisestä, mutta hyviä käytäntöjä esim. Säännöllisen omavalvonnan materiaalit 5v Väärinkäytösepäilyjen ja ulkoisten tarkastusten materiaalit 12v Esim. omassa laatukäsikirjassa kuvattavat säilytys- ja hallintakäytännöt Suunnitelman mukaisen toiminnan toteutumisen tarkistuksiin, esim. valvontaviranomaisen taholta, on hyvä varautua 18 9
Omavalvontasuunnitelman julkisuus ja suhde Valviran omavalvontasuunnitelmaan Mikä on Asiakastietolain mukaisen omavalvontasuunitelman suhde Valviran omavalvontasuunnitelmaan? Sosiaalipalveluissa tehtävä Valviran ohjeistama omavalvontasuunnitelma on laajemmin sosiaalipalvelujen kehittämisen ja seurannan kannalta tehtävä suunnitelma Asiakastietolain mukainen omavalvontasuunnitelma keskittyy asiakas- ja potilastietojen käsittelyyn, tiedonhallintaan, tietojärjestelmien hallintaan sekä tietoturvaan ja tietosuojaan Suunnitelmilla on eri käyttötarkoitus, eri kohdeyleisö ja eri Tietoturvallisuuden omavalvontasuunnitelman ei tarvitse / pidäkään olla julkisesti nähtävillä Monissa tilanteissa ja organisaatioissa suunnitelma sisältää sellaista tietoturvallisuustietoa, joka on syytä pitää ulkopuolisten saavuttamattomissa tai poissa julkisesta jakelusta Henkilöstön tulee olla tietoinen omavalvontasuunnitelmasta tai ainakin niistä sen asioista jotka heitä suoraan koskevat 19 Keskiössä roolit ja vastuut Palvelun antaja varmistaa omavalvontaan kuuluvien toimintojen toteutumisen ja resurssit kaikissa palveluyksiköissään sekä palvelujen tuottamiseen osallistuvien muiden tahojen kanssa, päivittäisessä työssä Määritellään vastuut toiminnan, tietoturvallisuuden ja yhteistoiminnan varmistamiseksi Kirjataan vastuut tarvittaviin sopimuksiin, esimerkiksi kun Käyttöympäristö tai tietotekniikkapalvelu ulkoistettu Tietoliikenne ja viestinvälitys ulkoistettu Ostopalvelun yhteydessä Asiakas- ja potilastietojärjestelmiä käyttävien toimintayksiköiden ja ammatinharjoittajien vastuiden määrittelyiden yhteydessä Omavalvonnan toteutukseen kuuluu suunniteltu ja säännöllinen toiminnan valvonta ja menettelytavat: toimenpiteet rikkomustilanteissa, toteuman laadun arvointi, riskien hallinta ja takaisinkytkentä jatkuvaan kehittämiseen 20 10
HUOM Omavalvontasuunnitelma on sovellettava OMAAN TOIMINTAAN Mukana paljon eri tyyppisten toiminta- ja käyttöympäristöjen piirteitä Merkittävissä suunnitelmaan, mikäli jotkin suunnitelman / määräyksen vaatimuksista eivät ole relevantteja omassa toiminnassa Esim. pieni liite perusteluineen Merkittävä suunnitelmaan, mikäli joistakin suunnitelman asioista vastataan esim. sopimusten tai hankintojen kautta Nämä oltava myös todennettavissa 21 Ajankohtaista ja tulevaa Sote-tieto hyötykäyttöön 2020 -strategian toimeenpanossa tietoturvallisuuden alueellinen ja kansallinen varmistaminen nojautuvat omavalvonnan ja olennaisten vaatimusten kautta tapahtuvaan toimintaan Kesän aikana ilmestynyt tarkennettuja ohjeita Ohje 3/2015: Kanta-välityspalveluiden ja välittäjien sertifioinnin ja omavalvonnan tarkennukset Ohjeet 6/2015 ja 9/2015: Sähköisen reseptien toiminnallisuuksia toteuttavien järjestelmien vaatimustenmukaisuus siirtymävaiheessa Tulossa mm. Syksyn 2015 aikana valmistelussa määräys (ja luokittelu) sote-tietojärjestelmien (sekä A- että B-luokka) olennaisista toiminnallisista vaatimuksista Valviran rekisteri sote-tietojärjestelmistä Käynnissä tarkennustarpeiden selvittäminen lokivalvonnan vaatimuksiin Jatkossa: päivityksiä määräyksiin ja järjestelmien sekä omavalvonnan olennaisiin vaatimuksiin sertifiointi- ja omavalvontakokemusten pohjalta 22 11
Yhteenveto 23 Miksi omavalvontasuunnitelma? Parantaa ja yhdenmukaistaa sosiaali- ja terveydenhuollon tietosuoja- ja tietoturvakäytäntöjä arkityössä Varmistaa, että henkilöstö tietää tietosuojaan ja tietoturvaan liityvät menettelyt ja noudattaa niitä asiakas- ja potilastietojen käsittelyssä Huomioi arkaluonteisen tiedon salassapidon merkityksen Helpottaa ymmärtämään väärinkäytöksen seuraamukset Ohjaa ja tukee tietoturvavaatimusten noudattamista Auttaa seuraamaan toimintaa käytännössä Auttaa varmistamaan myös muiden palvelun tuottamiseen osallistuvien tahojen tietoturvallisen toiminnnan Selkeyttää roolit ja vastuut toteutuksessa Vasta suunnitelman mukaisesti toimiminen parantaa tietoturvallisuutta! 24 12
Kiitos! Kysymyksiä ja lisätietopyyntöjä voi lähettää kantapalvelut@thl.fi Lisätietoja sertifioinnista ja omavalvonnasta: Tiedon ja vaatimusten yhdenmukaistaminen https://www.thl.fi/fi/web/tiedonhallinta-sosiaali-jaterveysalalla/tiedon-ja-vaatimustenyhdenmukaistaminen Kanta sertifiointi http://www.kanta.fi/web/ammattilaisille/sertifiointi Yksityiset ja itsenäiset ammatinharjoittajat http://www.kanta.fi/web/ammattilaisille/potilastiedonarkiston-kayttoonoton-kasikirja 25 Materiaaleja THL määräykset ja ohjeet: https://www.thl.fi/fi/web/tiedonhallinta-sosiaali-jaterveysalalla/tiedon-ja-vaatimusten-yhdenmukaistaminen/maaraykset-ja-ohjeet Kanta sertifiointi http://www.kanta.fi/web/ammattilaisille/sertifiointi Olennaiset vaatimukset ja omavalvonta: usein kysytyt kysymykset: http://www.kanta.fi/documents/12105/4063473/luokittelut+omavalvonta+sertifiointi_ UKK_09072015/caaf98c4-daec-48c2-b926-77cb49268d6b Kanta käyttöönoton käsikirjat: http://www.kanta.fi/web/ammattilaisille/kayttoonotonkasikirjat Yksityiset ja itsenäiset ammatinharjoittajat http://www.kanta.fi/web/ammattilaisille/potilastiedon-arkiston-kayttoonoton-kasikirja Sosiaali- ja terveydenhuollon tietojärjestelmien olennaisten vaatimusten valvonta / Valvira: http://www.valvira.fi/terveydenhuolto/terveysteknologia/sosiaali- _ja_terveydenhuollon_tietojarjestelmat Valviran ilmoituslomake tietojärjestelmästä tai Kanta-välityspalvelusta: http://www.valvira.fi/documents/14444/37132/ilmoitus_tietojarjestelmasta.pdf Tiedon ja vaatimusten yhdenmukaistaminen / THL: https://www.thl.fi/fi/web/tiedonhallinta-sosiaali-ja-terveysalalla/tiedon-ja-vaatimustenyhdenmukaistaminen 26 13