Sosiaali-ja terveydenhuollon tietojärjestelmä UNA-hanke

Samankaltaiset tiedostot
Tietosuojariskienhallinnan palvelutuotteet. Marko Ruotsala M.Eng, CISA, CISM,CRISC,HCISPP Liiketoimintapäällikkö, turvallisuus ja riskienhallinta

UNA-hankkeen esittely. Jaakko Penttinen /

G4-arkkitehtuuriryhmä. Kokonaisarkkitehtuurityöhön perustuvat kehittämiskohteet ja toimenpiteet. Juha Rannanheimo

Asiakas prosessissa teemaseminaari Una-määrittelyt ja tulevaisuuden sote/ari Pätsi,Tuula Ristimäki

Asiakas- ja potilastietojärjestelmäyhteistyön valmistelu. Ari Pätsi, EPSHP & Yrjö Koivusalo, VSSHP

Asiakas- ja potilastietojärjestelmien uudistamisyhteistyön tilanne ja seuraavat askeleet - UNA. Kuntamarkkinat Ari Pätsi

UNA-hanke. Sosiaali- ja terveydenhuollon tietojärjestelmäkokonaisuuden vaatimusmäärittely

Digital by Default varautumisessa huomioitavaa

Asiakaspäivät 2018 Turvallisuus- ja riskienhallinta ohjelmalinjan avaus. Marko Ruotsala

G4 Yliopistosairaaloiden ja keskuskaupunkien yhteistyö. Yrjö Koivusalo tietohallintojohtaja VSSHP

Tapaaminen asiakas- ja potilastietojärjestelmien uudistamisyhteistyön seuraavan vaiheen organisointiin liittyen

Sosiaali- ja terveydenhuollon tiedonhallinnan alueellista kehittämistä ohjaava viitearkkitehtuuri Kuntajohtajakokous

OHJE YLEISEEN KÄYTTÖÖN TARKOITETTUJEN OHJELMISTOJEN HYÖDYNTÄMISESTÄ SOTE- PALVELUISSA

Paneeli: Käytön valvonta, lokien hallinta, poikkeamien havaitseminen, poliisiyhteistyö

Tietosuojavastaavan rooli lokivalvonnassa

Asiakas- ja potilastietojärjestelmien uudistamisen kansallinen etenemispolku

Ratkaisu asiakkuuden hallintaan. Ohjelmajohtaja Erkki Kujansuu Sosiaali- ja terveydenhuollon ATK-päivät 2017

Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa

Tietojen käytön valvonta ja seuranta helpommaksi: käyttölokien kansalliset linjaukset ja määrittelyt

Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa

Kiila-hankkeen tuotokset. Yhteistyöneuvottelun 1. työpaja /Johanna Andersson

Tavoitteena vaikuttavat ja tasaarvoiset

Käytönvalvonnan yhtenäistäminen ja tehostaminen organisaation ja kansalaisen kannalta

UNA hankeyhteistyöllä uudistettu toimintakulttuuri. Senaattori-illanvietto / Johanna Andersson

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

Kelan rooli maakunta- ja soteuudistuksessa

Tietojärjestelmät muutoksessa: Alueiden ja kuntien sote - kokonaisarkkitehtuurityö

Potilas -ja asiakastietojärjestelmien vaatimukset ja valvonta Ammattimainen käyttäjä laiteturvallisuuden varmistajana

OLENNAISET TOIMINNALLISET VAATIMUKSET - PÄIVITETTY LUOKITUS JA JÄRJESTELMÄLOMAKE Kela toimittajayhteistyökokous 26.4.

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Case VRK: tietosuojan työkirjat osa 2. JUDO Työpaja #4 - tietosuoja Noora Kallio

Pilvipalveluiden arvioinnin haasteet

UNA hankkeen ja konsortiokohtaisten hankintojen tilanne

Tekninen vuoropuhelu. Apotti-hanke. Tietopyyntö

REKISTERINPIDON JA KÄYTÖNVALVONNAN HAASTEET

UNA-hanke. Sosiaali- ja terveydenhuollon tietojärjestelmäkokonaisuuden vaatimusmäärittely

Vahva vs heikko tunnistaminen

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

Sisäänrakennettu tietosuoja ja ohjelmistokehitys

Hostingpalvelujen. oikeudelliset kysymykset. Viestintäviraston Abuse-seminaari Jaakko Lindgren

Lokipolitiikka (v 1.0/2015)

Tietosuojauudistus tulee PTC:n käytännön vinkit. Tapio Lahtinen

Tietosuoja-asetus Miten julkinen hallinto valmistautuu?

Potilastiedon arkistoon liittyminen 6 kk tukikokous

Kokonaisarkkitehtuuriperiaatteet

Auditoinnit ja sertifioinnit

TIETOTURVAA TOTEUTTAMASSA

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

Omasote rekisteriseloste

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Istekki Oy:n turvallisuus- ja riskienhallintapäivät Jyväskylässä

Hanko-projektin tilannekatsaus Hyvinvointijärjestelmäkokonaisuuden uudistamisen valmistelu

Kysely- ja välityspalvelu

Sähköi sen pal l tietototurvatason arviointi

Yhteentoimivuutta kokonaisarkkitehtuurilla

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Omavalvontasuunnitelma ja EU-tietosuojadirektiivi

Liite 2 : RAFAELA -aineiston elinkaaren hallinta

Suostumusten hallinta kansallisessa tietojärjestelmäarkkitehtuurissa

Turun ammattikorkeakoulu (5) Tietojärjestelmien käyttösäännöt

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

EU:n yleinen tietosuoja-asetus (GDPR) ja sen toimeenpano Tampereen kaupungilla

Miten valmistaudun tietosuoja-asetuksen vaatimuksiin?

Kertausta lähtökohtiin liittyen

Loppuyhteenveto. Valtorin asiakaspäivä Toimitusjohtaja Kari Pessi

Vihdin kunnan tietoturvapolitiikka

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure

Sairaanhoitopiirien ja suurten kaupunkien ajankohtaisia digitalisaatio- ja tietojärjestelmäkehittämishankkeita koskeva johtajatapaaminen 22.3.

Ohje arviointikriteeristöjen tulkinnasta

Sisäänrakennettu tietosuoja ja ohjelmistokehitys

SÄHKÖISEN LÄÄKEMÄÄRÄYKSEN TOIMINNALLISUUKSIA TOTEUTTAVIEN TIETO- JÄRJESTELMIEN VAATIMUSTENMUKAISUUS SIIRTYMÄVAIHEESSA

Kiila-viitearkkitehtuuri. Jani Harju,

Kuva: Mihin haasteisiin UNA-ydin 1.vaiheessa vastaa. TIETOPYYNTÖ Asiakkuudenhallinnan ratkaisut. Hankinnan kohteen alustava kuvaus ja kysymykset

Tietojärjestelmien valvonnan ajankohtaiset asiat

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Suomi.fi - Tietoturvallisuus sovelluskehityksessä. VAHTI sähköisen asioinnin tietoturvaseminaari

Rekisteriseloste. Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden omaishoidon tuen asiakasrekisterin rekisteriseloste

AJANKOHTAISTA TIETOSUOJASSA

Virtu tietoturvallisuus. Virtu seminaari

Sähköinen asiointi ja palvelut Miten tästä eteenpäin?

DLP ratkaisut vs. työelämän tietosuoja

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

Korkeakoulujen valtakunnallinen tietovaranto. Ilmari Hyvönen

Rekisteriseloste. Kehitysvammaisten asumispalvelujen asiakasrekisterin rekisteriseloste

Sosiaali- ja terveydenhuollon tietojärjestelmien valvonta

Sosiaali- ja terveydenhuollon tietojärjestelmiä käyttävien palveluiden antajien omavalvontasuunnitelma

Kuntayhtymän johtoryhmä Kuntayhtymän hallitus

Lokitietojen käsittelystä

Tulevaisuuden hyvinvointipalvelujen tietojärjestelmät case Kiila-projekti

IoT-järjestelmän ja ulkovalaistuksen ohjauksen hankinta -markkinavuoropuhelutilaisuus

Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi

MIKÄ ON TIETOSUOJAVASTAAVA?

Laatua ja tehoa toimintaan

Tietoturva ja viestintä

Tampere Ote viranhaltijapäätöksestä 1 (5) Tietohallintojohtaja

KIILA JA VISIO 2020 SENAATTORITAPAHTUMA. Johanna Hasu/ /Kuntatalo Helsinki

Sote-rajapinnan tiedonkäsittely tulevaisuudessa

Transkriptio:

Sosiaali-ja terveydenhuollon tietojärjestelmä UNA-hanke Tietoturva- ja tietosuojavaatimukset SOSIAALI-JA TERVEYDENHUOLLON TIETOSUOJASEMINAARI 15. - 16.11.2016 Marko Ruotsala, Istekki Oy Marko Ruotsala M.Eng, HCISPP, CRISC, CISA, CISM Turvallisuuspalveluiden päällikkö, Istekki Oy Tausta PSSHP:n ICT-palveluissa 2001-2009 Istekki Oy tietoturvapäällikkö 2010-3/2016 1

Hankkeen taustaa Asiakas-ja potilastietojärjestelmät muodostavat alueellisen tietojärjestelmäarkkitehtuurin ytimen ja ne ovat sosiaali-ja terveydenhuollon keskeisimpiä operatiivisia järjestelmiä Nykyisin käytössä oleviin asiakas-ja potilastietojärjestelmiin kohdistuu merkittäviä uudistamistarpeita Nykyiset asiakas-ja potilastietojärjestelmät eivät esimerkiksi ole riittävän muutosjoustavia pystyäkseen vastaamaan uusien toimintamallien asettamiin tarpeisiin Useat sote-organisaatiotovat rakentamassa uusia sairaaloita tai kehittämässä toimintaa, johon tarvitaan apuvälineeksi nykyaikaista teknologiaa Käyttäjien tyytymättömyyttä aiheuttavat järjestelmien heikko käytettävyys, taipumattomuus sähköisiin reaaliaikaisiin konsultaatioihin sekä integraatioiden kömpelyys Hankkeen taustaa Yhteistyöhanke UNA-hanke perustettiin määrittelemään yhteistyössä sosiaali-ja terveydenhuollon keskeisimmät toiminnalliset vaatimukset sekä modulaarisen järjestelmäarkkitehtuurin Yhteistyössä tarkasteltiin ja täsmennettiin jo olemassa olevia, Kiila-hankkeessa tehtyjä vaatimuksia Lisäksi määrittelyjen pohjana hyödynnettiin muita aikaisemmin tehtyjä määrityksiä, kuten Apottimäärityksiä Hanke käynnistyi virallisesti 1.9.2015 ja päättyi 15.5.2016. 2

Hankkeen tulevaisuus Vaatimusmäärittelyaineisto on julkaistu Innokyläverkkopalvelussa 1.9.2016. UNA-yhteistyönseuraavassa vaiheessa on tavoitteena hallitusti ja kansallisessa yhteistyössä uudistaa ja yhtenäistää sosiaali-ja terveydenhuollon tietojärjestelmäratkaisuja yhteiseen UNA-etenemispolkuun ja - vaatimusmäärittelyihin pohjautuen UNA-jatkohanke UNA-väliaikaishallintoon valmistellut kesän ja alkusyksyn ajan jatkohankkeen käynnistämistä Jatkohanke käynnistyi 1.10. Isäntäorganisaatio PSHP Ohjausryhmän 1. kokous 24.11. 3

Hankkeen laajuus ja rajaukset Hankkeen tavoitteet Hankkeen tavoitteena oli tuottaa organisaatio-, hallinto-ja toimittajariippumaton vaatimusmäärittely asiakaslähtöisestä ja vaikuttavien hyvinvointipalveluiden tuottamisessa edellytettävästä yhteen toimivasta sotetietojärjestelmäkokonaisuudesta Hankkeessa syntyneen vaatimusmäärittelyaineiston avulla voidaan kansalliseen tai alueelliseen yhteistyöhön pohjautuen vaiheittain kilpailuttaa tietojärjestelmäratkaisuja tai ohjata nykyisten kehittämistyötä Hankkeen alussa mukana olevat organisaatiot sopivat yhteisen vision, johon tuotettu vaatimusmäärittely perustuu 4

Roolini hankkeessa Tietoturva-arkkitehtuuri UNA-arkkitehtuurilinjaukset ja vaatimukset Ohjaavat järjestelmäkokonaisuuden tietoturvaan liittyviä yksityiskohtia. Tavoitteena on, että kehittämislinjauksiin pohjautuen järjestelmäkokonaisuuden tietoturva/tietosuoja ei vaarannu missään vaiheessa. 1.Järjestelmäratkaisut ovat toteutettu niihin kohdistuvat tietoturva-ja tietosuojariskit arvioiden 2.Lokitiedot hallitaan keskitetyllä lokienvalvontajärjestelmällä, joka varmistaa lokitietojen eheyden 3.Järjestelmäkokonaisuus on suunniteltu jatkuvuuden ja poikkeustilanteisiin varautumisen osalta organisaation toiminnan vaatimalla tasolla 5

UNA tietoturvavaatimukset Taustamateriaalina ovat olleet: Kiila tietoturvavaatimukset Apotti tietoturvavaatimukset Tampereen kaupungin tietoturvavaatimukset Vahti valtion tietoturvatasot 3/2012 Vahti ICT-Varautumisen vaatimukset 2/2012 Vahti sovelluskehityksen tietoturvaohje 1/2013 9.12.2015 UNA Workshopin ennakkotehtävät 9.12.2015 UNA Workshopin ryhmätyöt 31.3.2016 UNA Workshopin ryhmätyöt UNA tietoturvavaatimukset 161 vaatimusta (sis. tietosuojavaatimukset) Osassa tarkemmat selitteet Lisäksi osassa ohjeistusta vaatimuksen käytölle kilpailutuksessa (mukana työversiossa) Kolme asiantuntijahaastattelua Tietosuojavaltuutettu Reijo Aarnio, ylitarkastaja Arto Ylipartanen Professori Jarno Limnéll Cyber Security Advisor Erka Koivunen 1,5 päivää Workshoppeja n. 50 vaatimusta jotka jätettiin pois lopullisesta versiosta 6

UNA tietoturvavaatimukset UNA tietoturvavaatimukset Hierarkia tietoturvan osalta: Lainsäädäntövaatimukset (pakollisia) Vahti vaatimukset (pakollisia) ISO 27001 ja Katakri standardinmukaisuudet (optioina) Loput arkkitehtuurin ja riskiarvion perusteella täydentäviä vaatimuksia (optioina) Hierarkia tietosuojan osalta: Vaatimukset ovat pakollisia 7

UNA tietosuojavaatimukset UNA tietosuojavaatimusten tarkentaminen on tapahtunut Tampereen kaupungin tietosuojavastaava Ari Andreassoninjohdolla tietosuojavastaavien pienryhmässä Joista paikalla tässä huoneessa ainakin suurin osa! Ari koosti esityksen UNA tietosuojavaatimuksiksi useista eri lähteistä ja omaan pitkään kokemukseen perustuen Lokiasiat eli käytönvalvonta ovat tärkeimpiä tietosuojavaatimuksia Tietoturvavaatimusten haasteita UNA:ssa vaarana on mm. että ollaan liimaamassa tietosuoja-sekä tietoturvavaatimuksia päälle jälkeenpäin Tietoturvakontrollit tulisi rakentaa aina riskiarvioon perustuen Ei kannata tehdä toiminnan kannalta liian kireää tai hankalaa tietoturvaa, panostaa merkittävästi vain teoreettisten uhkien torjuntaan, tai moninkertaisiin kontrolleihin (kustannukset, käytettävyys) Organisaation tulee itse määrittää minkä tasoista turvallisuutta haetaan (lait, asetukset ja määräykset ovat luonnollisesti minimitaso, jota ei saa alittaa) Riskiarvion perusteella rekisterinpitäjän tulee tehdä tietoisia ja dokumentoituja päätöksiä tarvittavista tietoturvakontrolleista Emme tunne vielä tulevaa asiakaskohtaista kokonaisarkkitehtuuria esim. Tietotosisältöä eri moduuleissa Käyttötapoja (kansalaisen asiointi, mobiililaite ammattilaisella ) Teknologiaratkaisuja, toimintaympäristöjä Toimitusmallia (OnPremises, SaaS, IaaS ) Hankinnan kohteet tulevat vaihtelemaan 8

Tietoturvavaatimusten haasteita EU yleisen tietosuoja-asetuksen vaatimukset, jonka sisältö ei ollut täysin tiedossa UNA hankkeen aikana Annettu 27.4.2016 Sovelletaan 25.5.2018 Tulee muuttamaan myös kansallista lainsäädäntöä UNA vaatimuksia on varmuudella täydennettävä jälkeenpäin Sisäänrakennettu ja oletusarvoinen tietosuoja Voiko se ylipäätään toteutua pitkällä Excel vaatimuslistalla? Voiko se toteutua ilman kattavia riskiarvioita? Voiko se toteutua muuten kuin neuvottelumenettelyn avulla? Haasteet /ratkaisut UNAssasyntyi pitkä lista tietoturva-ja tietosuojavaatimuksia Vaatimukset jäivät tarkoituksella kohtuullisen yleiselle tasolle Jokainen organisaatio valitsee (riskiarvionsa perusteella) mitä vaatimuksista käyttää, kun lähtee hankkimaan jotain UNA moduulia tai ydintä Samalla on syytä realistisesti arvioida mitä kustannusseurauksia vaatimuksella voi olla Todennäköisesti vaatimuksia on myös täydennettävä hankintavaiheessa (jokainen organisaatio vastaa itse vaatimusten kattavuudesta) Hankinta vaatii siten merkittävää tietosuoja-ja tietoturvaosaamista hankinnan tekevässä organisaatiossa (tai sen hankkimista esim. palveluna) 9

Haasteet /ratkaisut Sisäänrakennettu ja oletusarvoinen tietosuoja Pakolliset riskianalyysit (SDLC, järjestelmän elinkaaren kaikissa vaiheissa) Tulee tuntea toiminta Tulee tuntea kerättävä tieto Tulee tuntea järjestelmäarkkitehtuuri (sovellukset, teknologiat) Riskit poikkeavat esim. kerättävästä tiedosta ja arkkitehtuurista riippuen Mitä enemmän tietoa kerätään ja mitä useammasta paikkaa se löytyy Riskit lisääntyvät Mitä enemmän käyttöliittymiä Mitä enemmän integraatiota Mitä enemmän osajärjestelmiä Mitä enemmän käyttötapoja Riskienhallintaa Riskien tunnistaminen (motiivit, tapahtumat..) Haavoittuvuuksien tunnistaminen Skenaarioiden rakentaminen ja uhkamallinnus Seuranta (määräajoin, muutoksissa) Todennäköisyyksien arviointi Riskien merkityksen arviointi BIA, PIA Hallintakeinojen (kontrollien) valinta 10

Nostoja vaatimuksista /pakolliset vaatimukset Järjestelmä tulee olla toteutettu siten, että se noudattaa ja sitä käytettäessä voidaan noudattaa voimassaolevaa Suomen lainsäädäntöä, joka ohjaa mm. rekisterinpitoa ja henkilö sekä asiakastietojen käsittelyä sekä viranomaisten toiminnasta annettuja muita lakeja ja määräyksiä. Järjestelmä toteuttaa THL:n "Määräys A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista tietoturvavaatimuksista (1/2015). Liite 1 Tietoturvavaatimukset A-luokkaan kuuluville järjestelmille ja järjestelmien käyttöympäristöille" -vaatimukset. Vaatimukset on toteutettava soveltuvan kohderyhmän mukaisesti. Toimittaja toteuttaa valtion tietoturvatasot (Vahti) Korotetun tason vaatimukset. Vahti 3/2012 Liite 2: TTT - Tietoturvallisuuden hallinnan vaatimukset. Järjestelmä toteuttaa valtion tietoturvatasot (Vahti) ICT- Varautumisen vaatimukset korotetulla tasolla Vahti 2/2012. Järjestelmä toteuttaa valtion tietoturvatasot (Vahti) Sovelluskehityksen tietoturvaohjeen vaatimustaulukon vaatimukset korotetulla tasolla. Vahti 1/2013. Nostoja vaatimuksista /auditoinnit Järjestelmä tulee olla tilaajan hyväksymän kolmannen osapuolen tietoturva-auditoima ennen käyttöönottoa. Tietoturva-auditoinnissa käytetään vertailukohtana vaatimusluettelon vaatimuksia ja/tai vaatimusluettelossa vaadittuja standardeja (esim. Vahti ja ISO 27001), ja/tai lainmukaisuutta, ja/tai THL Määräys A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista tietoturvavaatimuksista. Järjestelmä tulee olla auditoitavissa tarvittaessa myös käyttöönoton jälkeen. Jos järjestelmä ei täytä tarjottavan kokonaisuuden tietoturva - auditointivaatimuksia, tulee toimittajan korjata ko. puutteet Tilaaja määrittelee auditoinnin laajuuden. Auditoinnissa havaitut puutteet korjataan viiveettä. Toimittajan on korjattava kriittiset puutteet veloituksetta mahdollisimman pian, muiden tasoisten puutteiden osalta aikataulu sovitaan tilaajan kanssa erikseen. Käyttöönottoauditointien löydökset korjataan ennen järjestelmän käyttöönottoa. 11

Nostoja vaatimuksista /etäyhteydet Toimittajan järjestelmään tapahtuvia etäyhteyksiä varten tilaaja määrittää käytettävän teknologian Toimittajan tulee vahvasti salata hallinta- ja etäyhteydet tilaajan tietojärjestelmiin. Hallinta ja -etäyhteyksien käytöstä tulee jäädä merkinnät lokitietoihin. Etäyhteyksissä tulee käyttää tilaajan kanssa sovittavaa vahvaa tunnistautumista. Toimittajayhteyksissä käytetään vain henkilökohtaisia käyttäjätunnuksia. Tämä vaatimus on toteutettava järjestelmään asianmukaisen kirjautumisen lisäksi. Toimittajan etäyhteyksistä syntyy loki johon voidaan tallettaa mm. IP osoitteet, käyttäjätunnus, kellonajat, yhteydessä tehdyt toimenpiteet. Loki säilytetään kuten järjestelmän käytöstä syntyvät muut tekniset- ja käyttölokitiedot. Toimittajayhteyksissä käytetään vähintään kaksivaiheista tunnistautumista (käyttäjätunnus/salasana yhdistelmän lisäksi kertakäyttöinen salasana esim. ns. secure token, SMS viesti, sähköposti). Toimittajan kanssa tehdään erillinen kirjallinen etäyhteyssopimus, jossa sovitaan osapuolten velvollisuudet ja oikeudet Otetaanko yhdessä tämä asia agendalle? Yhteistyössä on voimaa! Järjestelmän hyväksytyt etäkäytön tekniset ratkaisut on sovittu ja dokumentoitu tilaajan kanssa. Nostoja vaatimuksista /tietosuoja Järjestelmän pitää pystyä erottelemaan loogisesti eri henkilörekisterit ja rekisterinpitäjät. Luovutustiedon sisällön osalta kustakin tiedonluovutuksesta lokitetaan ainakin: - Aikaleima - Asiakas, jonka tietoja luovutetaan - luovutettava tieto - Luovuttava taho & henkilö - Vastaanottava taho & henkilö - Viittaus annettuun oikeuteen puolesta asiointiin Järjestelmässä on mahdollista kirjata asiakkaan / potilaan omia tarkennuksia tietojen luovuttamiseen esimerkiksi sukulaisten tiedusteluihin, ym. 12

Nostoja vaatimuksista /lokitusja pääkäyttäjät Kaikki tapahtumat joilla on merkitystä järjestelmän tietoturvan kannalta tulee lokittaa. Järjestelmän tulee tuottaa kattava tekninen lokitieto (esim. ylläpito-, käyttö- ja virhelokit). Lokiin tallentuu ainakin kuka on muuttanut, milloin ja mitäkin tietoa. Tarpeesta riippuen voi olla tarve lokittaa myös muita asioita, kuten miten tietoa on muutettu (esim. mikä oli vanha ja uusi arvo) tai miltä päätelaitteelta muutos on tehty jne. Tietosuojaan liittyviä käyttölokivaatimuksia on esitetty lisäksi erikseen UNA tietosuojavaatimuksissa. VAHTI 3/2009 lokiohje soveltuu lokituksen suunnittelun perusohjeeksi. Järjestelmän on tuotettava lokia sen ja muiden UNA moduulien (Ydin, Integraatiot, muut järjestelmät) välisestä viestinnästä, ml. tekniset virhetilanteet. Järjestelmän tulee lokittaa myös pääkäyttäjien ja teknisten tukihenkilöiden vianselvitystilanteissa UNA ytimeen suorittamat tietohaut. Salassa pidettävä tieto tulee olla suojattavissa siten, että sitä voidaan suojata myös järjestelmän palvelimen ylläpitäjiltä. Toteutustapoina voivat olla mm. tietokantojen salaus, varmistusten salaus, tietoliikenteen salaus. Nostoja vaatimuksista /tietosuoja Järjestelmän pitää pystyä erottelemaan loogisesti eri henkilörekisterit ja rekisterinpitäjät. Luovutustiedon sisällön osalta kustakin tiedonluovutuksesta lokitetaan ainakin: - Aikaleima - Asiakas, jonka tietoja luovutetaan - luovutettava tieto - Luovuttava taho & henkilö - Vastaanottava taho & henkilö - Viittaus annettuun oikeuteen puolesta asiointiin Järjestelmässä on mahdollista kirjata asiakkaan / potilaan omia tarkennuksia tietojen luovuttamiseen esimerkiksi sukulaisten tiedusteluihin, ym. 13

Kiitos! Kysymyksiä? marko.ruotsala(ät) istekki.fi 040 8080786 14

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute