Kokemuksia omavalvontasuunnitelman laatimisesta, seurannasta ja päivittämisestä Sohvi-Tellu-seminaari 2016 Lahti tietosuojavastaava, Tampereen kaupunki 1 Kertausta lähtökohtiin liittyen Laki (159/2007) velvoittaa sosiaali-ja terveydenhuoltoa laatimaan tietoturvan ja tietosuojan omavalvontasuunnitelman: http://www.finlex.fi/fi/laki/ajantasa/2007/20070159 THL:nmääräykset sosiaali-ja terveydenhuollon tiedonhallinnan vaatimusten yhdenmukaistamiseksi: Määräys 2/2015: Omavalvontasuunnitelmaan sisällytettävät selvitykset ja vaatimukset (pdf 2 Mt) Liite 1: Omavalvontasuunnitelman mallipohja (doc 105 kt) 2 1
Accountability-periaate (tilintekokykyisyys) Enää ei riitä, että kertoo noudattavansa lakeja ja hyvää tiedonhallintatapaa, vaan se pitää pystyä myös osoittamaan (EU:n tietosuoja-asetus) Työkaluina suunnitteluvelvoitteen ja tilintekokykyisyyden täyttämiseen ovat mm. tietoturvan ja tietosuojan omavalvontasuunnitelma, käytönvalvontasuunnitelma, tietotilinpäätös ja PIA=Privacy Impact Assessment 3 Omavalvontasuunnitelma case Tampere Suunnitelman laadinnassa konsultoitiin sote-puolen ICT-järjestelmistä vastaavien henkilöiden lisäksi asiakas- ja potilasrekisterien vastuuhenkilöitä sekä kaupungin omia sovellusasiantuntijoita Omavalvontasuunnitelma käsiteltiin kaupungin tietoturva- ja tietosuojaryhmässä Omavalvontasuunnitelman laadinta ja ylläpito on sote-palveluihin liittyvien ydinprosesseihin yhteisvastuulla Suunnitelma käydään läpi vuosittain tai ICT-ratkaisujen/lainsäädännön muutoksista johtuen tarpeen vaatiessa (tietosuojavastaava seuraa ja esittelee muutostarpeet) 4 2
Havaintojani Omavalvontasuunnitelman laadinnan yhteydessä tuli omassa organisaatiossani usealle henkilölle ahaa!-elämyksiä, joten itse suunnitelman laatimisen velvoitetta voidaan pitää jo lähtökohtaisesti hyvänä asiana, joka nostaa myös tietoturva- ja tietosuojatietoutta Itse pidän outona velvoitetta, että ohjelmistotoimittajien ohjeita pitäisi ensisijaisesti noudattaa tietojärjestelmien ylläpidon ja päivittämisen suhteen. Ohjeet voivat olla ristiriidassa esim. organisaatiossa hyväksytyn tietoturvapolitiikan linjauksiin Muutostarpeita omavalvontasuunnitelmaan tulee kaiken aikaa Tietyissäraportointikäytännöissä on puutteita, kuten se miten valvotaan henkilöstön saaman koulutuksen määrää, laatua ja sitä mitä työntekijät kokevat oppineensa Muuttuvat tarpeet koulutuksen sisältöön, koska palveluihin liittyy myös teemoja kuten ohjelmistorobotiikka, Avoin data, IoT, etävastaanotto- ja virtuaaliklinikka jne. Lainsäädännön muutoksien jalkauttaminen on vaikeaa sisällöllisesti asiakas/potilastietojen käsittelyohjeisiin sekä vaikeaa myös teknisesti olemassa oleviin tietojärjestelmiin 5 Yhteistyötä tarvitaan Suunnitelma tietoturva-ja tietosuojakoulutuksien sisällöstä ja kenelle ne milloinkin suunnataan Ulkoiset ja sisäiset auditoinnit Mittariston luominen sekä prosessien vertailu ja kehittäminen alueellisesti Tietohuoltopäivät ja käyttövaltuuksien läpikäynti yhdessä rekisterien vastuuhenkilöiden ja järjestelmien pääkäyttäjien kanssa Tietosuojaviranomaisten ja ohjaavien virastojen tiedotteiden ja määräyksien seuraaminen Verkostoituminen tietosuojavastaavien kanssa kannattaa! 6 3
Tampereen seutukuntayhteistyö Seudun yhteinen tietoturvaryhmä, jossa jäsenet myös isoimmilta ICTsopimuskumppaneilta (Sonera ja Tieto) seudun yhteinen tietoturvapolitiikka seudun yhteinen henkilöstön tietoturva-ja tietosuojaopas seudun yhteinen tietojen ja tietojärjestelmien käyttö- ja salassapitositoumus (sähköinen hyväksyntä) seudun yhteinen mobiilipolitiikka seudun yhteiset käyttövaltuusperiaatteet seudun yhteiset sähköisten viestintävälineiden käyttösäännöt 7 Nosta tietosuoja johdon agendalle! Ota tietosuoja mukaan organisaation kokonaisarkkitehtuuriin Varaudu riskeihin sopimuksillaja mahdollisesti vakuutuksilla Panosta henkilöstön kouluttamiseen Organisoi tietosuojatyö ja laadi omavalvontasuunnitelma Tietoon arvokasta MasterDatan hallinta tärkeää Systematisoi henkilötietojen käytönvalvonta Seuraaja kehitä Laadi Tietotilinpäätös 8 4
Tietosuojatyön tekeminen kannattaa! Tietosuojatyön tulokset Henkilöstön osaaminen kasvaa Johdon riskit pienenevät Tuottavuus ja tehokkuus kasvaa Kulutettu aika ja resurssit 9 TIETOSUOJAVASTAAVIEN KOHTAAMISPAIKKA HTTPS://OPITIETOSUOJAA.FI 10 5