Käytönvalvonnan yhtenäistäminen ja tehostaminen organisaation ja kansalaisen kannalta Kehittämispäällikkö Anna Kärkkäinen, THL Sosiaali- ja terveydenhuollon tietosuojaseminaari, Lahti 16.11.2016 Esityksen taustaa THL on laatimassa esisuunnitelmaa Kansallinen sosiaali- ja terveydenhuollon asiakas- ja potilastietojen käytönvalvonta ja käyttölokien hallinta Esisuunnittelun tavoitteena 1. tunnistaa käytönvalvonnan kehittämistarpeet organisaatioiden ja kansalaisen näkökulmista 2. tuottaa kuvaus tavoitetilasta ja 3. laatia ehdotukset tarvittavista linjauksista ja kehittämistoimenpiteistä Tarpeita on tunnistettu käymällä läpi voimassaolevan lainsäädännön reunaehtoja, haastattelemalla eri sidosryhmiä ja hyödyntämällä tietosuojakyselyjen tuloksia. Haastateltuja sidosryhmiä julkiset sote-palvelun tuottajat ja palvelunjärjestäjät apteekkien edustajat valvontaviranomaiset Kelan Kanta-palvelujen edustajat Esiselvitys valmistuu viimeistään vuoden 2017 alkupuolella, minkä jälkeen voidaan sopia ehdotettujen kehittämistoimenpiteiden toteuttamisesta ja aikatauluista 16.11.2016 Anna Kärkkäinen 2 1
Asiakas- ja potilastietojen käsittelyn muuttuva toimintaympäristö Nykytilanteessa pirstaleinen toimintakenttä lukuisia organisaatioita ja tietojärjestelmätoteutuksia Tulevat sote-/maakuntamuutokset järjestäjän ja tuottajan voimakkaampi eriytyminen Sote-integraatio tietojen yhteiskäytön tarpeet Uudet tietojärjestelmät ja palvelut Kanta-palveluiden laajentuminen Tiedon erilaiset käyttötarkoitukset tunnisteellisen tiedon käsittely asiakas- ja potilastyössä ja muut käyttötarkoitukset 16.11.2016 Anna Kärkkäinen 3 Tarpeita käytönvalvonnan kehittämiselle Tuleva sote-uudistus ja mahdolliset muutokset rekisterinpitäjyyksissä. Käyttövaltuuksien hallinnan merkitys kasvaa. Käyttövaltuuksien hallinnan ja käytön seurannan kokonaisuudesta on luotava ehjä kokonaisuus. Käyttöoikeudet ja käyttäjäroolit ovat keskeinen tieto myös lokitiedoissa. Käytönvalvonnan ja käyttölokien rooli kasvaa, jos rekisterinpitovastuu siirtyy suuremmille alueille, jolloin rekisterinpitäjien väliset tietojen luovutukset vähenevät ja luovutuslokien merkitys vähenee. Tarpeet käyttölokien hyödyntämiseen asiakastietojen käytön asianmukaisen käytön seurannassa puolestaan kasvavat. Tarve käyttölokien hallinnan, seurannan, analysoinnin ja raportoinnin kehittämiseen sekä vähimmäisvaatimusten yhdenmukaistamiseen kasvaa, jotta asiakkaiden ja ammattilaisten oikeuksien sekä tietosuojan toteutuminen voidaan taata eri tavoin tuotetuissa sosiaali- ja terveyspalveluissa. Asiakkaiden kiinnostus tietojensa käyttöä kohtaan kasvaa. EU:n tietosuoja-asetuksen vaatimukset kaikkeen henkilötietojen käsittelyyn EU:n jäsenvaltioissa, mm. pystyttävä osoittamaan tietosuojasäännösten huomiointi 16.11.2016 Anna Kärkkäinen 4 2
Käytönvalvonnan kokonaisuus Luonnos 16.11.2016 Anna Kärkkäinen 5 Käytönvalvonnan tavoitetila Mihin pyritään? potilasturvallisuus asiakkaiden oikeusturva ja yksityisyyden suoja työntekijöiden oikeusturva henkilökunnan tietosuojaosaaminen käytönvalvonnan merkitys organisaation johdon näkökulmasta riskien hallinta organisaation luotettavuus ja imago sijoittaminen tietosuojatyöhön tuottavana investointina eikä kulueränä 16.11.2016 Anna Kärkkäinen 6 3
Kehittämisen tavoitteita käyttövaltuushallinnan ja käytönvalvonnan seurantamenetelmien ja käytäntöjen parantaminen ja yhtenäistäminen yhtenäisempään suuntaan nykytilasta, jossa asiakas- ja potilastietojärjestelmiä on lukumääräisesti paljon ja lokien toteutukset poikkeavat eri järjestelmissä. lokitiedon saatavuuden parantaminen asiakkaille ja rekisterinpitäjille keskitetympiä (organisaation sisällä, alueellisesti, valtakunnallisesti) ratkaisuja lokitietojen hallintaan 16.11.2016 Anna Kärkkäinen 7 Käytönvalvonnan kehittämisehdotuksia Kansalliset määrittelyt toiminnassa ja tietojärjestelmissä Toimintaohjeiden kansallinen määrittely tai tarkentaminen käytännön toiminnassa sovellettavaksi Kansallinen käyttölokien hallinnan toimintamalli ja arkkitehtuuri Lainsäädännön kehittäminen Mittarit ja raportointi sis. lokitiedon sekundäärikäytön Lokivalvonnan automatiikan kehittäminen Sote-tiedon käytönvalvontaan liittyvät hyvät mallit ja käytännöt Ratkaisu- ja ohjelmistotuotetarjonnan mahdollisuuksien selvittäminen Yhteisen käsitteistön tarkempi kokoaminen ja arviointi 16.11.2016 Anna Kärkkäinen 8 4
Kansalliset määrittelyt Käyttölokien tietosisällön ja lokivalvonnan kansallisten vähimmäisvaatimusten määrittely/tarkentaminen sekä yhtenäistämisen toimeenpano Lokien tuottamisen vähimmäisvaatimusten ja vähimmäissisällön yhdenmukaistaminen Lokiraporttien vähimmäistietosisällöt Riittävän kattavan tietosisällön määrittelemiseksi huomioitava rekisterinpitäjän ja asiakkaiden toiminnalliset tarpeet Lähtökohtina mm. omavalvonnan, asiakasaloitteisen valvonnan, viranomaisvalvonnan tarpeet eri tilanteissa Asiakasaloitteisen lokitietoihin perustuvan käytönvalvonnan ratkaisut Asiakkaalle annettavan lokitiedon vähimmäissisältöjen kansallinen määrittely. Lokitiedon tuottaminen pyynnöstä asiakkaalle lokiraporttina, lokiraportin saatavuuteen liittyvien vaatimusten määrittelyt 16.11.2016 Anna Kärkkäinen 9 Toimintaohjeiden kansallinen määrittely Liittyvät myös muihin seikkoihin kuin käytön seurantaan ja lokivalvontaan Tietosuojan riskianalyysi ja paikalliset riskit myös käytön seurannan ratkaisujen lähtökohtana Tietosuojaan kohdistuvien toimenpiteiden vaikuttavuusanalyysi Potilastiedon käsittelyohjeiden jatkokehitys Tietosuojan ja tietoturvallisuuden omavalvonnan määräyksen ja mallipohjien täsmennykset kokemusten ja palautteen pohjalta 16.11.2016 Anna Kärkkäinen 10 5
Kansallinen käyttölokien hallinnan toimintamalli ja arkkitehtuuri Kansallisen käyttövaltuuspolitiikan määrittely: Yksi yhteinen kansallinen ohjeistus sosiaali- ja terveydenhuollon käyttövaltuuksien määrittelyn perusteista Kansallisen lokipolitiikan ja lokikäytäntöjen määrittely sis. myös lokien säilytysajat ja ostopalvelujen lokivalvonta Kohti keskitetympiä lokiratkaisuja selvitys Selvitetään ja arvioidaan lokitietoihin perustuvan tietojen käytönvalvonnan vaihtoehtoiset mallit (järjestelmäkohtainen, paikallinen, alueellinen, kansallinen) Mahdollisuutena myös Kelan ylläpitämien kansallisten lokipalvelujen laajentaminen tai ylimaakunnallinen toteutus 16.11.2016 Anna Kärkkäinen 11 Lokivalvonnan automatiikan kehittäminen Lokivalvonnan automatiikan kansalliset määritykset ja työkalut Lokiaineistossa on isot massat tietoa, minkä vuoksi erityisesti palveluntuottajien tekemään ja keskitettyyn käytön valvontaan tarvitaan automatiikkaa Päättelysääntöjen kansallinen määrittely Vaatimukset jatkuvan seurannan työkaluille siten, että valvontaa on mahdollista suorittaa kustannustehokkaasti 16.11.2016 Anna Kärkkäinen 12 6
Yhteenveto Muuttuvassa toimintaympäristössä tarvitaan käytönhallinnan ja valvonnan kehittämistä Tunnistettu runsaasti kehittämismahdollisuuksia eri aiheista Seuraavina toimenpiteinä esiselvitysraportin julkaisu ja käytönhallinnan kehittämispolusta sopiminen Priorisoitavien toimenpiteiden toteuttaminen 16.11.2016 Anna Kärkkäinen 13 7