Tietosuojan tikapuut, lokienhallinta ja omavalvonta

Tietosuojan tikapuut, lokienhallinta ja omavalvonta Kuntamarkkinat 9. 10.9.2015 Helena Eronen kehittämispäällikkö, tietosuojavastaava PSSHP/Tietohallinto

Pohjois-Savon sairaanhoitopiirin ky KYS: Puijon, Julkulan ja Alavan sairaalat sekä Kuopion psykiatrian keskus Kysteri pth liikelaitos: Leppävirta, Juankoski, Kaavi, Rautavaara, Pielavesi, Keitele, Tervo ja Vesanto 4 300 työntekijää 90 000 potilasta / v 360 000 pklkäyntiä / v 2 500 synnytystä / v 22 000 leikkausta / v 10.9.2015 2

Taustaa 3

Yhteisrekisteri ja Potilastiedon arkisto Terveydenhuoltolaki: sairaanhoitopiirin alueen julkisen terveydenhuollon yhteinen rekisteri Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä: Potilastiedon arkisto Anna informaatiot, pyydä suostumus, tallenna kiellot, ei voi kieltää Henkilötietojen käsittelystä pitää informoida Sähköisestä lääkemääräyksestä pitää informoida Yhteisrekisteristä pitää informoida ja tallentaa mahdolliset kiellot Potilastiedon arkistosta pitää informoida, pyytää suostumus, tallentaa suostumus ja tallentaa mahdolliset luovuttamista koskevat rajoitukset Informaation vastaanottamisesta ei voi kieltäytyä Alaikäisen huoltaja ei voi tehdä kieltoja 10.9.2015 4

Toimintamalli? Ennen Potilastiedon arkiston käyttöönottoa Oma organisaatio käyttää: ei suostumusta, käyttö hoitosuhteen perusteella, henkilötietolain mukainen informaatio Yhteisrekisterin sisällä luovuttaminen: informaatio, ei suostumusta, kiellot mahdollisia Yhteisrekisterin ulkopuolelle luovuttaminen: suostumus potilaslain mukaisesti, kielto mahdollinen Potilastiedon arkiston käyttöönoton jälkeen Oma organisaatio käyttää: ei suostumusta, käyttö hoitosuhteen perusteella, henkilötietolain mukainen informaatio Yhteisrekisterin sisällä luovuttaminen: informaatio, ei suostumusta, kiellot mahdollisia Yhteisrekisterin ulkopuolelle, kun luovutuksensaaja ei saa tietoja Potilastiedon arkistosta: suostumus potilaslain mukaisesti, kielto mahdollinen Potilastiedon arkisto: informaatio, suostumus tiedon luovuttamiseen Potilastiedon arkistosta asiakastietolain mukaan, kiellot mahdollisia 10.9.2015 5

Omavalvonta 10.9.2015 6

Omavalvontasuunnitelma Keiden on laadittava? Sähköistä asiakas- ja potilastietojen käsittelyyn tarkoitettua tietojärjestelmää käyttävien - Sosiaali- ja terveydenhuollon palvelun antajien - apteekkien - itsenäisten ammatinharjoittajien Kansaneläkelaitoksen Kanta-välityspalveluiden tuottajien Miksi? Suunnitelmassa selvitettyjen toimenpiteiden avulla ylläpidetään ja kehitetään organisaation tietoturvaa ja tietosuojaa Milloin? 31.3.2015 mennessä Riitta Konttinen/THL HUOM. Koskee myös muita kuin Kanta-palveluihin liittyviä toimijoita ja järjestelmiä 10.9.2015 7

Minimivaatimukset Varmistetaan tietojärjestelmien käytettävyys Huolehditaan: 1.Henkilöstön riittävästä koulutuksesta ja kokemuksesta 2.Käyttöohjeiden saatavuudesta 3.Käytöstä järjestelmän valmistajan ohjeiden mukaan 4.Menettelytavoista virhe- ja ongelmatilanteissa 5.Toimintamallista asennus-, ylläpito- ja päivitystilanteissa 6.Käyttöympäristön vaatimustenmukaisuudesta 7.Tietojärjestelmien vaatimustenmukaisuudesta 8.Liittymisestä valtakunnallisiin tietojärjestelmäpalveluihin 9.Riittävästä käytön seuranta- ja valvontatoimenpiteistä Riitta Konttinen/THL 10.9.2015 8

Omavalvontasuunnitelman laatiminen Omavalvontasuunnitelmassa Viitataan aina kuin mahdollista, olemassa oleviin, erikseen ylläpidettäviin ohjeisiin ja dokumentteihin (esimerkiksi linkkien avulla) Olennaista on, että suunnitelmasta selviää, mistä tiedot / dokumentaatio on löydettävissä tai miten vaatimuksen täyttyminen on todennettavissa Mikäli valmista dokumentaatiota ei ole, omavalvontasuunnitelmaan kuvataan vaadittavat asiakokonaisuudet ja toimintatavat Käyttämällä THL:n mallipohjaa voi samalla todeta, miten hyvin tietosuoja- ja tietoturva-asiat ovat omassa organisaatiossa hoidettu ja missä vielä tarvitaan parannusta Vasta suunnitelman mukaisesti toimiminen parantaa tietoturvallisuutta! Riitta Konttinen/THL 10.9.2015 9

Mitä hyötyä? Parantaa ja yhdenmukaistaa sosiaali- ja terveydenhuollon tietosuoja- ja tietoturvakäytäntöjä arkityössä Varmistaa, että henkilöstö tietää tietosuojaan ja tietoturvaan liittyvät menettelyt ja noudattaa niitä asiakas- ja potilastietojen käsittelyssä Huomioi arkaluonteisen tiedon salassapidon merkityksen Helpottaa ymmärtämään väärinkäytöksen seuraamukset Ohjaa ja tukee tietoturvavaatimusten noudattamista Auttaa seuraamaan toimintaa käytännössä Auttaa varmistamaan myös muiden palvelun tuottamiseen osallistuvien tahojen tietoturvallisen toiminnan Selkeyttää roolit ja vastuut toteutuksessa Riitta Konttinen/THL 10.9.2015 10

Toteutus, hyväksyminen, valvonta Omavalvonnan toteutukseen kuuluu suunniteltu ja säännöllinen toiminnan valvonta ja menettelytavat: toimenpiteet rikkomustilanteissa, toteuman laadun arviointi, riskien hallinta ja takaisinkytkentä jatkuvaan kehittämiseen Omavalvonnasta on oltava suunnitelma, jonka laadinnan ja noudattamisen vastuu on toimintayksikön vastaavalla johtajalla Omavalvontasuunnitelma ja siihen kirjatut menettelytavat edellyttävät organisaation omien hyväksymiskäytänteiden mukaisen hyväksymisen Suunnitelman mukaisen toiminnan toteutumisen tarkistuksiin on hyvä varautua Riitta Konttinen/THL 10.9.2015 11

Lokienhallinta, tietosuojan tikapuut ja lokitulosteet 10.9.2015 12

Lokitiedot? Tietosuojavaltuutetun toimisto: Lokitiedot henkilötietojen suojaamisen välineenä Tietojärjestelmien omasta toiminnastaan tallentamia tietoja kutsutaan lokitiedoiksi ja niiden avulla pyritään selvittämään ja ratkaisemaan tieto- ja viestintäjärjestelmien toiminnan häiriöitä tai virheitä. Tapahtumien kirjaamista voidaan käyttää myös tietojärjestelmän käytönvalvontaan Lokitietojen avulla tapahtuva henkilötietojen käsittelyn valvonta edellyttää käyttäjien yksilöimistä ja tunnistamista. Käyttäjistä ja käyttöoikeuksista pidetään käyttöoikeusjärjestelmää Käyttöoikeusjärjestelmä yhdessä lokitietojen kanssa muodostaa käytönvalvontajärjestelmän, jonka käyttötarkoitus on suojattavien henkilötietojen käytönvalvonta Rekisteröity on yksittäinen käyttäjä (tarkastusoikeus) Lokitiedot ovat salassa pidettäviä (Julkisuuslaki 24, 1 mom. kohta 7 (tieto- ja viestintäjärjestelmien turvajärjestelyt) 10.9.2015 13

Asiakkaan/potilaan oikeus lokitietoihin Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) 18 : asiakastietojen käsittelyyn liittyvien oikeuksien selvittämistä tai toteuttamista varten kirjallisesta pyynnöstä lokirekisterin perusteella on oikeus saada maksutta tieto siitä kuka on käyttänyt tai kenelle on luovutettu potilasta koskevia tietoja sekä mikä on ollut käytön tai luovutuksen peruste ei oikeutta, jos lokitietojen antamisesta saattaisi aiheutua vakavaa vaaraa asiakkaan terveydelle tai hoidolle taikka jonkun muun oikeuksille kahta vuotta vanhempia lokitietoja ei ole oikeutta saada, jollei siihen ole erityistä syytä asiakas ei saa käyttää tai luovuttaa saamiaan lokitietoja edelleen muuhun tarkoitukseen jos asiakas pyytää toistamiseen saman ajanjakson lokitietoja, palvelujen antaja voi periä lokitietojen antamisesta kohtuullisen korvauksen 10.9.2015 14

Laki viranomaisten toiminnan julkisuudesta 11 ja 12 Asianosaisen oikeus tiedonsaantiin Hakijalla, valittajalla sekä muulla, jonka oikeutta, etua tai velvollisuutta asia koskee (asianosainen), on oikeus saada asiaa käsittelevältä tai käsitelleeltä viranomaiselta tieto muunkin kuin julkisen asiakirjan sisällöstä, joka voi tai on voinut vaikuttaa hänen asiansa käsittelyyn. Oikeus saada tieto itseään koskevasta asiakirjasta Jokaisella on oikeus saada tieto hänestä itsestään viranomaisen asiakirjaan sisältyvistä tiedoista 11 :n 2 ja 3 momentissa säädetyin rajoituksin, jollei laissa toisin säädetä. 10.9.2015 15

Asiakaslähtöisen lokivalvonnan tikapuut Potilas ei ole tyytyväinen uuden selvityksen lopputulokseen Potilas ottaa yhteyttä poliisiin tai Tietosuojavaltuutetun toimistoon Väärinkäytös havaittuorganisaation omat toimenpiteet Ei väärinkäytöstä ei toimenpiteitä Jatketaan selvitystä tai tehdään uusi selvitys Potilas ei ole tyytyväinen selvityksen lopputulokseen Selvitys potilastietojen käsittelystä tai lokitiedot potilaalle Väärinkäytösepäily Yhteys hoitoyksikköön tai tietosuojavastaavaan tehdään selvityspyyntö potilastietojen käsittelystä tai asiakirjapyyntö lokitiedoista 10.9.2015 16

Lokitulosteet potilaalle? Mitä loki kertoo ja millaisen lokitulosteen potilas saa, jos saa 10.9.2015 17

Hajautettu lokienhallinta 1/2 Lokit haettava jokaisesta järjestelmästä erikseen onko tietosuojavastaavalla tiedossaan kaikki henkilötietoja käsittelevät järjestelmät? tuottavatko kaikki henkilötietoja käsittelevät järjestelmät lokia? haetaanko kaikkien erillisjärjestelmien lokit vai ainoastaan ydinjärjestelmän loki? pyytäessään lokia potilas ei tiedä saavansa lokitiedot vain osasta potilastietojärjestemiä modulaarinen monitoimittajamalli, jossa on integraatiot ydinjärjestelmään eli kaikkiin potilastietojärjestelmiin kirjaudutaan ydinjärjestelmän kautta Saas palvelut osassa järjestelmistä lokit pitää tilata erikseen järjestelmätoimittajalta saako niistä toimittaja veloittaa ja paljonko? auditointikriteerit ja kansallisesti auditoidut järjestelmät vs. ICTsopimukset ja niiden sisältö vs. kustannukset? 10.9.2015 18

Hajautettu lokienhallinta 2/2 Eri järjestelmät lokittavat toisistaan poikkeavia asioita ja tuottavat erilaisia lokitulosteita esim. käyttäjien nimet selkokielisinä, lyhenteinä tai suoraan käyttäjätunnuksina haetut tiedot tarkasti eroteltuina (sis, kir, ajanvaraus, varauksen peruminen jne.) tai karkealla tasolla (erikoisalalehdet, lääkitystiedot, skannatut kuvat) listalle saattaa tulostua ip-osoite tai tietokoneen numero lokille saattaa tulostua omituista tietoa esim. laajat käyttöoikeudet generoivat lokille käytetyksi sellaista tietoa, jota käyttäjä ei ole oikeasti käyttänyt jos tulosteita on annettava potilaalle, niin osa tiedoista joudutaan manuaalisesti poistamaan - jos otetaan exeliin muokattavaksi, niin eheys katoaa, toinen vaihtoehto piilottaa manuaalisesti askarrellen Ihmisen analysoitava tunnettava organisaation prosessit ja tietojärjestelmien sielunelämä, jotta ei tule vääriä tulkintoja huomioitava esim. järjestelmään tehdyt versionvaihdot, joissa myös lokitettavien tietojen osuus on saattanut muuttua 10.9.2015 19

Keskitetty lokienhallinta Lokit haetaan yhdestä järjestelmästä, joka tuottaa kaikkien siihen liitettyjen järjestelmien lokit onko kaikki henkilötietoja käsittelevät järjestelmät liitetty keskitettyyn hallintaan? potilas ei tässäkään tapauksessa lokia pyytäessään tiedä, että todennäköisesti tulee saamaan puutteelliset tiedot tuottavatko kaikki järjestelmät tarvittavan lokin? voidaanko saas-palveluna tuotettujen järjestelmien lokit liittää keskitettyyn lokienhallintaan? Tuloste samanlainen kaikkien keskitettyyn hallintaan liitettyjen järjestelmien osalta? jos on tehty lokikuvaukset ja määrittely lokitettavista tiedoista ennen käyttöönottoa jos kaikki järjestelmät pystyvät tuottamaan samat lokitiedot jos hakee suoraan lähdejärjestelmästä kansallisen määrityksen mukaisesti, niin jokaisesta liitetystä järjestelmästä tulee toisistaan poikkeava loki Silti ihmisen analysoitava tunnettava organisaation prosessit ja tietojärjestelmien sielunelämä, jotta ei tule vääriä tulkintoja huomioitava esim. järjestelmään tehdyt versionvaihdot, joissa myös lokitettavien tietojen osuus on saattanut muuttua 10.9.2015 20

Kehittämisen mahdollisuuksia? 10.9.2015 21

Ohjeistus? Tietosuojavaltuutetun toimiston ohjeet: Lokitiedot henkilötietojen suojaamisen välineenä, päivitetty 10.6.2014 Ohje asiakasaloitteisesta käytönvalvonnasta, päivitetty 10.6.2014 Muistio asiakasaloitteisesta käytönvalvonnasta, päivitetty 10.6.2014 Huolimatta TSV:n toimiston antamista ohjeista laadimme jokaiseen organisaatioon omat ohjeet Olisiko mahdollista saada kaikille organisaatioille yhtenäiset toimintamallit lokitietojen käsittelyyn (vrt. Potilastiedon arkiston toimintamallit) Terveydenhuollon tietosuojan ohjausryhmässä (TELLU) on käsitelty tietosuojan parhaita käytänteitä lokitietojen käsittely ja luovuttaminen yksi tehtäväkokonaisuus Yhtenäisten ohjeiden pitäisi löytyä organisaatioiden www.sivuilta sekä tietosuojavastaavan lisäksi kaikilta potilaita hoitavilta yksiköiltä ja potilasasiamiehiltä, jotta kaikki tietäisivät miten tulee toimia 10.9.2015 22

Kehitettävää 1/2 Yhtenäiset pelisäännöt lokiselvityksissä ja raporttien toimittamisessa potilaalle osa organisaatioista ei anna potilaalle lokiraporttia, ainoastaan lausunnon onko tietoja käsitelty asianmukaisesti vai ei osa organisaatiosta antaa raportin osa organisaatioista kutsuu potilaan paikan päälle katsomaan lokitiedot potilas saa erilaista palvelua riippuen siitä mihin organisaatioon sattuu ottamaan yhteyttä jos yksityinen toimija ei ole liittynyt Potilastiedon arkistoon onko asiakkaalla mitään oikeutta pyytää lokitietoja? Yhtenäiset pelisäännöt kieltäytymiselle kieltäytymisperusteet (lokin antamisesta aiheutuu vaaraa hoidolle tai jonkun muun oikeuksille tai lokituloste sisältää sellaista tietoa, johon potilaalla ei ole oikeutta eikä sitä pystytä poistamaan) asiakkaan valituspolku, joka koskee sekä julkista että yksityistä palveluntuottajaa - nyt ei selvää mihin asiakas valittaa, jos yksityiseltä puolelta tulee kieltäytyminen vai voiko valittaa mihinkään 10.9.2015 23

Kehitettävää 2/2 Millä taksalla peritään maksu, jos asiakas pyytää samoja lokitietoja useita kertoja vuodessa? Potilaalle annettavan lokiraportin sisältö on määrittelemättä: valtakunnallinen määrittely siitä millainen potilaalle annettavan raportin tulee olla jokaisen järjestelmän on tuotettava määrittelyn mukainen raportti riippumatta siitä millainen raakaloki järjestelmästä muodostuu tarvitaan yhtenäinen helppolukuinen ja ymmärrettävissä oleva näyttömuoto lokitiedoille tekeminen aloitettu yhteistyössä THL ja Kelan kanssa Valtakunnalliset lomakkeet lokiselvityksen/tulosteen pyytämistä varten sekä lokin luovuttamisesta kieltäytymistä varten Tarkat jatko-ohjeet kansalaiselle, mikäli tietosuojavastaava havaitsee luvatonta käyttöä Koko prosessin dokumentoiminen 10.9.2015 24