Auditoinnista omavalvontaan - omavalvontasuunnitelma ja sen

Auditoinnista omavalvontaan omavalvontasuunnitelma ja sen
laatiminen
Terveydenhuollon ATK-päivät
12.-13.5.2015 Tampere
Kehittämispäällikkö Riitta Konttinen
13.5.2015
THL/OPER
1
Esityksen sisältö
• Vastuut tietoturvasta ja tietosuojasta
– Sosiaali- ja terveydenhuollon organisaatioilla
– Tietojärjestelmäpalveluja tarjoavilla tahoilla
• Omavalvontasuunnitelman yleisesittely
• Omavalvontaan liittyvät useimmin kysytyt kysymykset
• Hyvä tietää:
– Omavalvontasuunnitelma kohta kohdalta
– Linkkejä lisätietoihin
13.5.2015
THL/OPER
2
Vastuu tietosuojasta ja tietoturvasta
•
Sosiaali- ja terveydenhuollon toimintayksikölle lainsäädännöllinen velvoite
varmistaa tietojen luotettava ja turvallinen käsittely kaikissa olosuhteissa
•
Tietosuojan ja tietoturvan toteutumista seurataan omavalvonnalla
•
Omavalvonnasta laaditaan suunnitelma
•
Suunnitelman noudattamisen vastuu on toimintayksikön vastaavalla johtajalla,
•
Vastuu
– henkilökunnan ohjeistuksesta ja osaamisesta asiakas- ja potilastietojen käsittelyssä
– tietoturvapolitiikan laatimisesta ja noudattamisesta
– tietosuojavastaavan nimeämisestä ja toimenkuvasta
– asiakas- ja potilastietojen käsittelyn seurannasta ja valvonnasta
– väärinkäytösten selvittämisestä ja seuraamuksista ja näiden tiedottamisesta
henkilöstölle
– sertifioidun tietojärjestelmän hankinnasta, ennen valtakunnalliseen
tietojärjestelmäpalveluun liittämistä
– toimintayksikön asiakas- ja potilastietojärjestelmien käyttäjä- ja
käyttöoikeushallinnasta
•
Valvontaviranomaisella (kuten Valvira) on oikeus tehdä tarkastuksia
13.5.2015
THL/OPER
3
Olennaiset vaatimukset ja omavalvonta: miksi?
• Asiakastietolaissa merkittäviä muutoksia sekä
terveydenhuollon palvelunantajille että järjestelmätoimittajille
• Varmistettava, että
– Järjestelmissä on käyttötarkoituksen kannalta oikeat
toiminnallisuudet, riittävät tietoturvaominaisuudet ja että ne
pystyvät liittymään osaksi Kanta-palvelujen kautta tapahtuvaa
tietojen vaihtoa
 tietojärjestelmien OLENNAISET VAATIMUKSET
– Organisaatioissa ja palveluntuottajilla on asianmukaiset
tietoturvakäytännöt ja käyttöympäristössä huolehditaan
asianmukaisesta tietoturvasta
 palvelunantajien OMAVALVONTA
– Erityishuomio Kanta-palvelujen kautta laajenevassa tietojen
saatavuudessa, mutta huomioitava kaikessa toiminnassa
4
Tietoturvallisuuden varmistaminen Kantapalveluissa
•
Kaikkien Kanta-palveluihin liittyvien osapuolten riittävän tietoturvan ja
tietosuojan toteutuminen tulee varmistaa
– Palvelunantajat (sote-palvelujen tuottajat)
– Tietojärjestelmät (valmistajat, tietojärjestelmäpalvelujen tuottajat)
– Välityspalvelut
•
Tietoturvan ja tietosuojan toteutumista tuetaan THL antamilla
määräyksillä:
– Määräys (1/2015) A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien
olennaisista tietoturvavaatimuksista
–
Määräyksen Liite 1: Tietoturvavaatimukset A-luokkaan kuuluville järjestelmille ja järjestelmien käyttöympäristöille
– Määräys (2/2015) omavalvontasuunnitelmaan sisällytettävistä selvityksistä ja
vaatimuksista
–
•
Määräyksen Liite 1: Omavalvontasuunnitelman mallipohja
Jatkossa
– määräysten / vaatimusten päivityksiä sekä
– Uusia määräyksiä mm. Määräys A-luokkaan kuuluvien sosiaali- ja terveydenhuollon
tietojärjestelmien toiminnallisista vaatimuksista
13.5.2015
THL/OPER
5
Olennaiset vaatimukset ja niiden todentaminen
•
Lakisääteisiä (lain 159/2007 muutos 250/2014),
– THL:n määräys (1/2015) A-luokkaan kuuluvien sosiaali- ja
terveydenhuollon tietojärjestelmien olennaisista tietoturvavaatimuksista
Kanta-järjestelmien osalta kuvattava ja todennettava
•
Todentaminen = sertifiointiprosessi
– Toiminnalliset vaatimukset
• Valmistajan / tietojärjestelmäpalvelun tuottajan oma selvitys
– Yhteentoimivuusvaatimukset
• Todennetaan Kanta-yhteistestauksen kautta
– Tietoturva- ja tietosuojavaatimukset
• Todennetaan tietoturvallisuuden arviointilaitoksen suorittamalla
tietoturva-auditoinnilla
•
Hyväksytyn sertifioinnin tuloksena järjestelmä saa
vaatimustenmukaisuustodistuksen
– => tiedot sertifioiduista järjestelmistä ilmoitettava Valviralle, vaatimusten
mukaisten järjestelmien rekisteri tulee nähtäville
13.5.2015
THL/OPER
6
Olennaiset vaatimukset ja järjestelmien
luokittelu
•
Järjestelmien luokittelut A- ja B-luokkiin
– A: Kanta-palveluihin liittyvät järjestelmät
• Myös Kanta-välityspalvelut
– B: Muut asiakas- tai potilastietoja käsittelevät järjestelmät
– (on myös järjestelmiä, joita ei tarvitse luokitella)
•
Luokiteltujen järjestelmien ilmoittaminen Valviralle
– A-luokan järjestelmien
• vaatimustenmukaisuustodistuksen edellytyksenä hyväksytty Kelan
yhteistestaus ja ulkoinen tietoturva-auditointi
• laki ja määräys jo voimassa
– B-luokan järjestelmien
• täytettävä olennaiset vaatimukset 1.1.2017 käyttöönotettavien
järjestelmien (tai olennaisia muutoksia sisältävien päivitysten) osalta
• Kirjallinen selvitys ja ilmoitus Valviralle
13.5.2015
THL/OPER
7
Omavalvontasuunnitelman
yleisesittely
13.5.2015
THL/OPER
8
Omavalvontasuunnitelma
Keiden on laadittava
•
Sähköistä asiakas- ja potilastietojen käsittelyyn tarkoitettua
tietojärjestelmää käyttävien
– Sosiaali- ja terveydenhuollon palvelun antajien,
– apteekkien
– itsenäisten ammatinharjoittajien
•
Kansaneläkelaitoksen
•
Kanta-välityspalveluiden tuottajien
HUOM. Koskee myös
muita kuin Kantapalveluihin liittyviä
toimijoita ja järjestelmiä
Miksi
•
Suunnitelmassa selvitettyjen toimenpiteiden avulla ylläpidetään ja
kehitetään organisaation tietoturvaa ja tietosuojaa
Milloin
•
31.3.2015 mennessä
13.5.2015
THL/OPER
9
Minimivaatimukset ja selvitykset
Varmistetaan, että kaikki asiakas- ja potilastietojen käsittelyyn
osallistuvat palvelun antajat ja muut tahot huolehtivat käytössä
olevien tietojärjestelmien käytettävyydestä vastaamalla
1. Henkilöstön riittävästä koulutuksesta ja kokemuksesta
2. Asianmukaisten käyttöohjeiden saatavuudesta
3. Asianmukaisesta käytöstä järjestelmän valmistajan ohjeiden
mukaan
4. Menettelytavoista virhe- ja ongelmatilanteissa
5. Toimintamallista asennus-, ylläpito- ja päivitystilanteissa
6. Käyttöympäristön vaatimustenmukaisuudesta
7. Tietojärjestelmien vaatimustenmukaisuudesta
8. Liittymisestä valtakunnallisiin tietojärjestelmäpalveluihin
9. Riittävästä käytön seuranta- ja valvontatoimenpiteistä
13.5.2015
THL/OPER
10
Itseauditoinnista omavalvontaan
Menettelytavan muutos organisaatiossa:
Aikaisemmin:
•
Kanta-palveluun liittymisen yhteydessä toteutettiin organisaation
sisäinen auditointi (itseauditointi) , joka pohjautui STM:n auditointivaatimusten v.2.0
1.4.2014 alkaen:
•
Asiakastietolain mukainen (159/2007 muutos 250/2014) omavalvonta korvaa
Kanta-palveluiden käyttöönoton yhteydessä tehdyt itseauditoinnit
•
Oleellinen muutos on vaatimus omavalvonnan sisällön
jalkauttamisesta organisaatioon ja omavalvonnan toteuttaminen
•
Organisaation velvollisuutena on toimia suunnitelman mukaisesti,
seurata ja arvioida suunnitelman mukaista toimintaa ja tehdä tarvittavia
parannuksia
•
Koskee myös muita kuin Kanta-palveluihin liittyviä organisaatioita
13.5.2015
THL/OPER
11
Itseauditoinnista omavalvontaan
Omavalvontasuunnitelman laatimisessa voi hyödyntää aiempien
Terveydenhuollon auditointivaatimusten läpikäyntiohjetta, joka löytyy
Käyttöönoton käsikirjasta www.kanta.fi
 Henkilökunnan koulutus
 Ohjeet potilastietojen käsittelystä
 Käyttövaltuushallinta, -oikeuksien
jako ja hallinta
 Tietoturvapolitiikka
 Tunnistautuminen järjestelmiin
 Nimetty tietosuojavastaava
 Virhetilanteiden hallinta
 Muutostenhallintaprosessi
 Tietosuojan valvonta
 Järjestelmän ylläpito
 Tietoturvapoikkeamien havainnointi
ja tietojärjestelmien käytön seuranta
 Käyttäjätunnusten yksilöllisyys
 Hallintayhteydet järjestelmään
13.5.2015
THL/OPER
12
Omavalvontasuunnitelman laatiminen
•
Omavalvontasuunnitelmassa
– Viitataan aina kuin mahdollista, olemassa oleviin, erikseen
ylläpidettäviin ohjeisiin ja dokumentteihin (esimerkiksi linkkien
avulla)
– Olennaista on, että suunnitelmasta selviää, mistä tiedot /
dokumentaatio on löydettävissä tai miten vaatimuksen
täyttyminen on todennettavissa.
– Mikäli valmista dokumentaatiota ei ole,
omavalvontasuunnitelmaan kuvataan vaadittavat
asiakokonaisuudet ja toimintatavat
– Kun kokoat omavalvontasuunnitelmaa esimerkiksi THL:n
mallipohjaan, pystyt samalla toteamaan, miten hyvin tietosuojaja tietoturva-asiat ovat omassa organisaatiossasi jo hoidettu ja
missä vielä tarvitaan parannusta
•
Vasta suunnitelman mukaisesti toimiminen parantaa
tietoturvallisuutta!
13.5.2015
THL/OPER
13
Omavalvontasuunnitelman mallipohja
(THL:n määräyksen 2. liite 1.)
• Yleinen pohja suunnitelmalle, jossa malleja ja ”valmiita
paikkoja” asioille, joihin omavalvonnassa on vastattava
• Sovellettava oman organisaation tilannetta vastaavalla
tavalla
– Vaatimusten toteuttaminen eri tavoin, eri tyyppisissä
organisaatioissa ja palveluissa
– Perusteltavissa, mikäli jokin vaatimus tai kohta ei ole relevantti
omien palvelujen / oman käyttöympäristön kannalta
• Osa ratkaistavista asioista voi perustua esim. sopimuksiin ITpalveluja tuottavien tai tietojärjestelmäympäristöä
hallinnoivien tahojen kanssa
– Myös nämä seikat mainittava ja oltava todennettavissa
13.5.2015
THL/OPER
14
Miksi omavalvontasuunnitelma?
• Parantaa ja yhdenmukaistaa sosiaali- ja terveydenhuollon
tietosuoja- ja tietoturvakäytäntöjä arkityössä
• Varmistaa, että henkilöstö tietää tietosuojaan ja tietoturvaan
liityvät menettelyt ja noudattaa niitä asiakas- ja potilastietojen
käsittelyssä
• Huomioi arkaluonteisen tiedon salassapidon merkityksen
• Helpottaa ymmärtämään väärinkäytöksen seuraamukset
• Ohjaa ja tukee tietoturvavaatimusten noudattamista
• Auttaa seuraamaan toimintaa käytännössä
• Auttaa varmistamaan myös muiden palvelun tuottamiseen
osallistuvien tahojen tietoturvallisen toiminnnan
• Selkeyttää roolit ja vastuut toteutuksessa
13.5.2015
THL/OPER
15
Keskiössä roolit ja vastuut
•
Palvelun antaja varmistaa omavalvontaan kuuluvien toimintojen
toteutumisen ja resurssit kaikissa palveluyksiköissään sekä palvelujen
tuottamiseen osallistuvien muiden tahojen kanssa, päivittäisessä työssä
•
Määritellään vastuut toiminnan, tietoturvallisuuden ja yhteistoiminnan
varmistamiseksi
•
Kirjataan vastuut tarvittaviin sopimuksiin
 Käyttöympäristö tai tietotekniikkapalvelu ulkoistettu
 Tietoliikenne ja viestinvälitys ulkoistettu
 Ostopalvelun yhteydessä
 Asiakas- ja potilastietojärjestelmiä käyttävien toimintayksiköiden ja
ammatinharjoittajien vastuiden määrittelyiden yhteydessä
•
Omavalvonnan toteutukseen kuuluu suunniteltu ja säännöllinen
toiminnan valvonta ja menettelytavat:
– toimenpiteet rikkomustilanteissa, toteuman laadun arvointi, riskien hallinta ja
takaisinkytkentä jatkuvaan kehittämiseen
13.5.2015
THL/OPER
16
Hyväksymis- ja tarkistusmenettely
• Omavalvonnasta on oltava suunnitelma, jonka laadinnan ja
noudattamisen vastuu on toimintayksikön vastaavalla
johtajalla
• Omavalvontasuunnitelma ja siihen kirjatut menettelytavat
edellyttävät organisaation omien hyväksymiskäytänteiden
mukaisen hyväksymisen
• Suunnitelman mukaisen toiminnan toteutumisen tarkistuksiin,
esim. valvontaviranomaisen taholta, on hyvä varautua
13.5.2015
THL/OPER
17
Yhteenveto
•
Tietojärjestelmien olennaisten vaatimusten ja omavalvonnan kautta
varmistetaan, että
– Järjestelmien toteutuksessa on riittävällä tavalla huomioitu
käyttötarkoituksen edellyttämät yhteentoimivuus-, tietoturva- ja
tietosuoja-asiat
– asiakas- ja potilastiedot suojataan asianmukaisilla tietoturva- ja
tietosuojakäytännöillä palvelujen tuottajien toiminnassa
•
Olennaiset vaatimukset nojautuvat kansallisiin määrittelyihin
•
Omavalvontasuunnitelman soveltaminen sovitettava palvelun
tuottajan toimintatapojen mukaiseksi
– Esim. osa asioista mahdollista hoitaa sopimusten kautta, mutta
vaatimukset pystyttävä todentamaan myös näissä tilanteissa
– Mm. yksityisille pienille toimijoille saatavilla erillinen mallipohja
omavalvontasuunnitelmasta
•
Määräyksiä ja vaatimuksia päivitetään jatkossa, kun kansallisia
palveluita ja sisältöjä tulee lisää
13.5.2015
THL/OPER
18
Kysytyimpiä kysymyksiä
omavalvontasuunnitelmasta
13.5.2015
THL/OPER
19
Mitkä järjestelmät sisällytetään
omavalvontasuunnitelmaan?
• Mitkä järjestelmät on sisällytettävä
omavalvontasuunnitelmaan? Järjestelmät, jotka liitetty Kantapalveluihin? Millä perusteilla poimitaan mukaan otettavat?
– Omavalvontasuunnitelmaan kirjataan/linkitetään luettelo kaikista
organisaation käyttämistä asiakas- ja potilastietojen käsittelyyn
tarkoitetuista tietojärjestelmistä
– Samoin viite/kuvaus/linkki järjestelmäkohtaisiin kuvauksiin
– Jos kuvauksia ei ole tehty, tehdään suunnitelma ja aikataulu
kuvausten laatimisesta
13.5.2015
THL/OPER
20
Suhde Valviran omavalvontasuunnitelmaan
• Mikä on Asiakastietolain mukaisen omavalvontasuunitelman
suhde Valviran omavalvontasuunnitelmaan?
– Valviraan tehtävä omavalvontasuunnitelma laajemmin toiminnan
kannalta tehtävä
– Asiakastietolain mukainen omavalvontasuunnitelma keskittyy
asiakas- ja potilastietojen käsittelyyn, tiedonhallintaan,
tietojärjestelmien hallintaan sekä tietoturvaan ja tietosuojaan
13.5.2015
THL/OPER
21
Tietosuojavastaava
• Tietosuojavastaavan valinta -kuka sopii tehtävään, pitääkö
valittu henkilö kouluttaa siihen, onko ylipäätään koulutusta
tarjolla ja mitä se maksaa?
– Tietosuojavastaavan tehtävään ei ole erityisiä
soveltuvuuskriteereitä tai koulutusvaatimuksia
– Yleinen kuvaus tehtävästä
http://www.kanta.fi/tietosuojavastaava
– Tietosuojavastaavan tehtäväkuva –mallipohja
– Koulutusta tietoturvasta ja tietosuojasta:
• Tietoturva ja tietosuoja –verkkokoulu kanta.fi -sivustolla
• Vuosittainen soten tietosuojaseminaari (järj. mm. Kuntaliitto, TSV,
FCG)
• STTY:n (Sosiaali- ja terveydenhuollon tietojenkäsittely-yhdistys)
tietosuojavastaavien jaosto
– Materiaalia: Tietosuojavastaavan käsikirjat 1 ja 2 (Andreasson,
Koivisto, Ylipartanen)
13.5.2015
THL/OPER
22
Tietoturvapolitiikka
• Kuinka tarkka esitys omavalvontasuunnitelman liitteeksi pitää
tietoturvapolitiikasta yrityksissä tehdä? Järjestömme on
tuottanut jäsenistölle Tietoturvapolitiikan mallin. Riittääkö se,
että yrittäjä liittää sen osaksi omavalvontasuunnitelmaa
edellyttäen tietenkin, että on sisäistänyt sen sisältämän
sanoman?
– Mallipohjia voi hyvin käyttää. Keskeistä on se, että palvelun
tuottaja sisäistää asian, ja täydentää mallipohjaan oman
organisaationsa näkökulmasta
13.5.2015
THL/OPER
23
Kantaan liittyminen ja
omavalvontasuunnitelma
• Mitkä velvollisuudet koskevat kaikkia ja mitkä erityisesti
Kantaan liittyviä järjestelmiä
• Mitä uusia vaatimuksia Kantaan siirtyminen tuo
omavalvontasuunnitelman sisältöön?
– Omavalvontasuunnitelmassa ja mallipohjassa on erikseen
kappale, jossa määritellään Kantaan liittyvien erityisvaatimuksien
huomiointi
– Kantaan liittyvien järjestelmien erityisiä vaatimuksia diassa 34
– Mm. tunnistamis- ja todentamisratkaisujen toteuttaminen, Varmenneratkaisujen toteuttaminen
(eri tyyppiset varmenteet), Käyttövaltuuksien hallinta ja kytkentä työntekijöiden työrooleihin
– Kantapalvelujen käytön seuranta ja valvonta erityisen huolella, koska saatavilla muiden
palvelun tarjoajien luovutustietoa, Kanta-palvelujen pääsynhallinnan toteuttaminen, Sosiaalija terveydenhuollon dokumenttien ja rekisterien erottaminen,
Vaatimuksenmukaisuustodistuksen edellyttäminen, Kansallisten mallien hallinta,
Häiriötoimenpiteet huomioiden kansallinen häiriö- ja muutosohjeet
13.5.2015
THL/OPER
24
Vastuut järjestelmätoimittajan ja yrityksen
välillä omavalvonnassa
Mistä tiedän, mitkä asiat omavalvonnassa kuuluvat sosiaali- ja
terveydenhuollon palveluntuottajan/ ammatinharjoittajan
vastuulle ja mitkä tietojärjestelmätoimittajan vastuulle?
• Kokonaisvastuu omavalvontasuunnitelman laatimisesta,
suunnitelman mukaisesta toiminnasta ja toteutumisen
seurannasta on sosiaali- ja terveydenhuollon organisaatiolla
• Järjestelmätoimittajan rooli voi vaihdella järjestelmän
hankinta- ja ylläpitomallin mukaisesti
• Vastuut kirjattava sopimuksiin ja omavalvontasuunnitelmaan
kuvatta miten asiasta on sovittu järjestelmätoimittajan kanssa
• Esim. hankittaessa järjestelmä palveluna järjestelmätoimittaja
vastaa järjestelmän teknisestä ylläpidosta, versioiden
asennuksista, tietoliikenteestä ym.
13.5.2015
THL/OPER
25
Omavalvontasuunnitelman julkisuus
• Tuleeko omavalvontasuunnitelman olla julkisesti nähtävillä
esimerkiksi internetissä, vai riittääkö, että suunnitelma on
henkilöstön nähtävillä?
– Omavalvontasuunnitelman ei tarvitse / pidäkään olla julkisesti
nähtävillä
– Monissa tilanteissa ja organisaatioissa suunnitelma sisältää
sellaista tietoturvallisuustietoa, joka on syytä pitää ulkopuolisten
saavuttamattomissa tai poissa julkisesta jakelusta
– Henkilöstön tulee olla tietoinen omavalvontasuunnitelmasta tai
ainakin niistä sen asioista jotka heitä suoraan koskevat
13.5.2015
THL/OPER
26
Mikä on riittävä henkilöstön kokemus?
• Miten määritellään henkilöstön riittävä kokemus?
– Henkilöstön kokemus järjestelmän käyttöön kasvaa järjestelmien
käytön ja koulutusten myötä
– Keskeistä on, että uusille työntekijöille järjestetään riittävä
koulutus ja perehdytys järjestelmän käyttöön
13.5.2015
THL/OPER
27
Tietojärjestelmän käyttäminen valmistajan
ohjeiden mukaisesti
• Omavalvontasuunnitelman kysymys: "Miten varmistetaan ja
todennetaan, että tietojärjestelmiä käytetään valmistajan
antamien ohjeistusten mukaisesti tai niitä
tarkoituksenmukaisesti soveltaen tai täydentäen."
– Kun koulutus, ohjeistus ja seuranta on toteutettu siten, että
ajantasaiset ohjeistukset ovat saatavilla ja käyttäjät tuntevat
ohjeet, ja käyttöön liittyville käyttäjien kysymyksille (myös ohjeisiin
liittyen) on määritelty selkeä ja tiedossa oleva toimintatapa, ei
pidemmälle menevää todentamista voida nykyisellään edellyttää.
13.5.2015
THL/OPER
28
Lokivalvonnan toteuttaminen
• Onko yksityiskohtaisempia ohjeita lokivalvonnan
toteuttamisesta eri potilastietojärjestelmissä?
– Järjestelmien käyttölokivaatimukset on kuvattu seuraavassa
dokumentissa Vaatimukset potilastietojärjestelmien käyttölokeille
– Lokivalvontaa tehdään
• Suunnitelmallisesti, eli organisaatio suunnittelee etukäteen lokitietojen
seurannan ja tarkastukset (toistuvuus, laajuus)
• Potilaan pyytäessä lokitietoja
• Kun organisaatiossa herää epäily tietojen käytön asianmukaisuudesta
– Käsikirjan tukimateriaaleissa taulukko, johon voi koota
”kirjanpitoa” tehdystä lokivalvonnasta, havainnoista ja
jatkotoimenpiteistä
13.5.2015
THL/OPER
29
Omavalvontasuunnitelma kohta
kohdalta
13.5.2015
THL/OPER
30
Omavalvontasuunnitelman sisältö
Jaettu kokonaisuuksiin, joihin kootaan esim. linkkeinä kuhunkin
kokonaisuuteen kuuluvat dokumentit:
1.
Johdanto
2.
Suunnitelman kohde:
–
3.
Yleiset tietoturvakäytännöt:
–
4.
Kuvaukset tietoturvapolitiikasta, tietosuojaan ja valvontaan liittyvistä vastuista, koulutus, ohjeistus,
toimintamalleihin perehdytys, tietojärjestelmien ja potilastietojen käsittelyyn ohjeistus ja koulutus
Käyttöympäristön ja useiden järjestelmien yhteiset tietoturvakäytännöt:
–
5.
Ketkä kuuluvat suunnitelman piiriin: palvelunantajat, järjestelmät, käyttäjät kuvattuna
Menettelyt virhe- ja ongelmatilanteissa, järjestelmien käyttöohjeiden hallinnointi ja saatavuus, järjestelmien
asennus ja ylläpito, tilojen työasemien, tallennusvälineiden ja tulosteiden turvallisuus, muut käyttöympäristön
käytännöt
Käyttövaltuuksien, pääsynhallinnan ja käytön seurannan yleiset käytännöt:
–
Käyttäjäryhmät, käyttövaltuushallinnan ja käytön seuraamisen käytännöt
6.
Kanta-palvelujen käytön tietoturvakäytännöt
7.
Tietojärjestelmät:
–
8.
Kanta-palveluihin liittyvät tietojärjestelmät (A), muut asiakas- tai potilastietoja käsittelevät järjestelmät (B),
muut tietojärjestelmät jotka on otettava huomioon arkaluonteisten asiakas- ja potilastietojen suojaamisen
kannalta
Tietojärjestelmäkohtaiset ohjeet ja suunnitelmat:
–
Järjestelmien osalta joilla on vaikutusta asiakas- tai potilastietojen käsittelyyn, tietoturvaan tai tietosuojaan
13.5.2015
THL/OPER
31
Luku 2 Suunnitelman kohteet
• Selvitetään ne tahot, jota tämä Omavalvontasuunnitelma
koskee
• Laaditaan kuvaus suunnitelman hyödyntämisestä
tietojärjestelmien käytössä, käytön valvonnassa,
hankinnoissa ja kehitystyössä sekä tähän mahdollisesti
liittyvissä päätöksissä
• Kuvataan myös, miten omavalvontasuunnitelman
toteutumisen seurannan menettelytavat on suunniteltu.
• Menettelytapojen on oltava todennettavissa
tarkastusten yhteydessä
13.5.2015
THL/OPER
32
Kuvattavat tietojärjestelmät
• Suoraan Kanta-palveluihin liitettävät Aluokan tietojärjestelmät
• Asiakas- ja potilastietoja käsittelevät Bluokan tietojärjestelmät
• Asiakas- ja potilastietojen asennukseen,
ylläpitoon ja päivitykseen vaikuttavat ja
niissä huomioitavat tietojärjestelmät
13.5.2015
THL/OPER
33
Luku 3 Yleiset tietoturvakäytännöt
Sisällytettävä kuvaukset tai viittaukset seuraavista asioista:
• Tietoturvapolitiikka: tiedot sen tarkastamisen ja
kehittämisen käytännöistä
• Yleistiedot: tietoturvan vastuutuksesta, organisoinnista,
seurannasta ja valvonnasta sekä tietosuojavastaavista
• Koulutus, ohjeistus, kokemus ja niiden seuranta
• Toimintamallien koulutus ja perehdytys
• Tietojärjestelmien käyttökoulutus
• Riittävä kokemus
• Ohjeet ja koulutus potilastietojen käsittelystä
13.5.2015
THL/OPER
34
Koulutusmalli ja seurantakäytänteet
Koulutus, ohjeistus ja käyttökokemus ja niiden seuranta
•
Sisällytetään mahdolliset viittaukset erillisiin koulutus- ja/tai osaamisen
ja käyttökokemuksen seurannan suunnitelmiin
•
Kuvataan miten varmistetaan, että henkilöstölle on annettu koulutus
tietojärjestelmien käyttöön, potilas- ja asiakastietojen käsittelyyn sekä
tietosuoja- ja tietoturva-asioihin
•
Miten seurataan ja ylläpidetään henkilöstön osaamista ja kokemusta
Toimintamallien koulutus ja perehdytys
•
Miten huolehditaan toimintamallien perehdytykseen ja koulutukseen
liittyvistä toimintatavoista ja koulutussuunnitelmista
•
Miten koulutusten toteutumista ja oppimista seurataan (esim.
todistukset tai ylläpidettävät tiedot koulutuksiin osallistumisista
arkistoidaan)
13.5.2015
THL/OPER
35
Tietojärjestelmän koulutusmalli ja
seurantakäytänteet
Tietojärjestelmien käyttökoulutus
•
Miten nyt huolehditaan tietojärjestelmien käyttökoulutukseen
liittyvistä toimintatavoista ja koulutussuunnitelmista
•
Miten nyt koulutusten toteutumista ja oppimista seurataan (esim.
todistukset tai ylläpidettävät tiedot koulutuksiin osallistumisista)
Riittävä kokemus
•
Miten nyt varmistetaan ja todennetaan käytössä olevien asiakas- ja /
tai potilastietojärjestelmien käytön vaatima kokemus
•
Miten on järjestetty käyttäjien ohjaus
Ohjeet ja koulutus potilastiedon käsittelystä
•
Miten ohjeet potilastietojen käsittelystä ja palvelujen antajan
henkilöstön koulutuksesta potilastietojen käsittelyyn sekä
henkilöstön tietämyksen ylläpito on dokumentoitu ja todennettavissa
13.5.2015
THL/OPER
36
Luku 4 Käyttöympäristön tietoturvakäytännöt
Kuvataan, mistä on saatavissa tiedot tai kuvaukset:
• Menettelyt virhe- ja ongelmatilanteista
• Järjestelmien käyttöohjeiden hallinnoinnista ja
saatavuudesta
• Järjestelmien asennuksesta ja ylläpidosta yleisesti
• Tilojen, työasemien, tallennusvälineiden ja tulosteiden
turvallisuudesta
• Muista käyttöympäristön tietoturvakäytännöistä
13.5.2015
THL/OPER
37
Menettelyt virhe- ja ongelmatilanteissa
• Kuvataan selvittelykäytänteet ja määritellään vastuut
– verkko- tai tietoliikenneongelmien selvittelyssä
– järjestelmien käyttöön liittyvien ongelmien yhteydessä
– havaittujen tai toteutuneiden tietoturva- tai tietosuoja-uhkien
tai ongelmien hallintamallit ja käytäntö
• Ohjeistetaan A tai B järjestelmien olennaisten
vaatimusten täyttymisessä havaittujen merkittävien
poikkeamien ilmoittamisprosessi
– Organisaation sisällä
– Tietojärjestelmän valmistajalle
– Kelalle huomioiden häiriöviestintäohje ( mikäli A-luokan
järjestelmä )
– Valviralle, jos poikkeama aiheuttaa merkittävän riskin
potilasturvallisuudelle
13.5.2015
THL/OPER
38
Järjestelmien käyttöohjeiden hallinnointi
ja saatavuus
• Kuvataan ja dokumentoidaan asiakas- ja / tai
potilastietojärjestelmien
– käyttöohjeiden hallinnointi ja saatavuus
– henkilöstön perehdyttäminen ja sen toteuman todennettavuus
– Valmistajien ohjeiden hallintakäytännöt, päivittäminen ja jakelu
• Kuvataan tietojärjestelmäpalvelun tuottajan ajantasaisten
ja riittävien käyttöohjeitten
– Hankinta ja saanti
– Päivittäminen ja jakelu ohjelmiston ja versiopäivitysten
muutoksessa
– Varmistus- ja todentamiskäytäntö: tietojärjestelmiä käytetään
valmistajan antamien ohjeiden mukaisesti tai niitä sovelletaan
tarkoituksenmukaisesti
13.5.2015
THL/OPER
39
Järjestelmien asennus ja ylläpito yleisesti
Kuvataan yleisellä tasolla:
• Mikäli järjestelmäkohtaiset seikat poikkeavat
määritellyistä seikoista, ne voi kuvata lukuun 8, erikseen
• Määritellään järjestelmien asennuksen, ylläpidon ja
päivityksen roolit ja vastuut
• Tarkennetaan ylläpitotehtävien vaatima koulutus,
ammattitaito ja asiantuntemus
• Kuvataan järjestelmien muutoshallinnan, testauksen ja
hyväksymisen menettelytavat
13.5.2015
THL/OPER
40
Tilojen, työasemien, tallennusvälineiden ja
tulosteiden sekä muun ympäristön
turvallisuuden hallinta
Kuvataan ja luetellaan seuraavat turvallisuustekijät:
•
Suojattavat fyysiset tilat ja niiden suojauskäytännöt
•
Työasemien sijoittuminen, lukittuminen ja suojaus sivullisilta
•
Työasemien virus- ja haittaohjelmilta suojautuminen
•
Mobiililaitteiden ja –ympäristöjen suojauskäytännöt, PIN-koodien
hallinta, SIM-korttien hallinta, ohjelmalliset suojaukset
•
Oheisohjelmistojen asentaminen työasemille, palvelimille ja
mobiililaitteille
•
Tulosteiden turvallisuus ja tulosteiden turvallisen käsittelyn
käytännöt
•
Ulkoiset tallennuslaitteet ja tallennusvälineet
•
Yleiset käyttöympäristön tukipalvelut, Operaattoreitten ja
tietoliikenteen vastuut ja niiden sisällyttäminen sopimuksiin
•
Etäyhteydet, langattomat verkot ja reitittimet
13.5.2015
THL/OPER
41
Luku 5 Käyttövaltuuksien, pääsynhallinnan ja
käytönseurannan säännöt
Laadittava kuvaukset, viittaukset ja toteuma asioista:
Käyttäjäryhmät
•
Mistä on saatavissa dokumentaatio niistä käyttäjäryhmistä, jotka käyttävät asiakas- ja/tai
potilastietojärjestelmiä.
•
Kanta-palveluihin osalta tulee olla dokumentoituna käyttäjäryhmien Kanta-palveluiden
käyttöoikeudet ja -aika
Käyttövaltuushallinnan ja käytön seuranta ja välineet
•
Käyttövaltuuksien hakemisen, myöntämisen, seurannan, muuttamisen,
tarkistamisen/varmistamisen ja poistamisen käytännöt ja missä niitä hallinnoidaan ja kuka
hyväksyy pyynnöt
•
Käyttäjien tunnistamisen ja todentamisen käytännöt, lokien hallinta ja käytön seurannan
käytännöt
•
Toimintamalli ja toteuma havaittaessa lainvastaista asiakas- tai potilastietojen käsittelyä
pitää olla todennettavissa
•
Laadittava myös kuvas Kelan lokitietojen saanti- ja hankintaprosessista seurannan ja
valvonnan toteuttamiseksi
13.5.2015
THL/OPER
42
Luku 6 Kanta-palvelujen käytön
tietoturvakäytännöt
Voidaan kuvata myös aiempien lukujen vastaavien kohtien yhteydessä
Kuvataan Kanta-palvelujen edellyttämien
•
Tunnistamis- ja todentamisratkaisujen toteuttaminen
•
Varmenneratkaisujen toteuttaminen (eri tyyppiset varmenteet)
•
Käyttövaltuuksien hallinta ja kytkentä työntekijöiden työrooleihin
•
Kantapalvelujen käytön seuranta ja valvonta erityisen huolella,
koska saatavilla muiden palvelun tarjoajien luovutustietoa
•
Kanta-palvelujen pääsynhallinnan toteuttaminen
•
Sosiaali- ja terveydenhuollon dokumenttien ja rekisterien
erottaminen
•
Vaatimuksenmukaisuustodistuksen edellyttäminen ja vastuut
•
Kansallisten mallien hallinta
•
Häiriötoimenpiteet huomioiden kansallinen häiriö- ja muutosohjeet
13.5.2015
THL/OPER
43
Luku 7 Tietojärjestelmäluettelo tai viite
Kanta-palveluihin liitettävät järjestelmät (luokka A):
• Järjestelmä, versio, toimittaja, yhteystiedot,
vaatimuksenmukaisuustodistus
Muut asiakas- tai potilastietoja käsittelevät
järjestelmät (luokka B)
• Järjestelmä, versio, toimittaja, yhteystiedot
Muut tietojärjestelmät, jotka otettava huomioon
arkaluonteisten asiakas- ja potilastietojen suojaamisen
kannalta
• Järjestelmä, versio, toimittaja, yhteystiedot
13.5.2015
THL/OPER
44
Luku 8 Tietojärjestelmäkohtaiset ohjeet ja
suunnitelmat
Soveltuvin osin samantyyppiset kuvaukset kuin aiempien lukujen
vastaavissa osioissa:
•
Esim. A-luokkaan kuuluva:
–
Järjestelmä, versio, toimittaja, yhteystiedot
–
Käyttötarkoitus
–
Käyttäjäryhmät
–
Käyttöohjeet
–
Ohjeiden päivittäminen ja jakelu
–
Menettelyt virhe- ja ongelmatilanteissa
–
Järjestelmäkohtaiset tukipalvelut
–
Asennus- ja ylläpitovastuut ja -vaatimukset
–
Menettelytavat ja vastuut virhe- ja poikkeustilanteissa
–
Käyttövaltuushallinta järjestelmässä
–
Tunnistautuminen järjestelmässä
–
Lokit
–
Järjestelmän lukittuminen
–
Kantaan liittyvän järjestelmän vaatimustenmukaisuustodistuksen tietojen varmistaminen
–
Järjestelmän tiedot Valviran rekisterissä
13.5.2015
THL/OPER
45
Kiitos!
Kysymyksiä ja
lisätietopyyntöjä voi
lähettää
kantapalvelut@thl.fi
Esityksen kokoamisessa mukana
Kehittämispäälliköt Juha Mykkänen
ja Anna Kärkkäinen
Lisätietoja sertifioinnista ja omavalvonnasta:
Tiedon ja vaatimusten yhdenmukaistaminen
https://www.thl.fi/fi/web/tiedonhallinta-sosiaali-jaterveysalalla/tiedon-ja-vaatimustenyhdenmukaistaminen
Kanta sertifiointi
http://www.kanta.fi/web/ammattilaisille/sertifiointi
Yksityiset
http://www.kanta.fi/web/ammattilaisille/potilastiedonarkiston-kayttoonoton-kasikirja
13.5.2015
THL/OPER
46