Auditoinnista omavalvontaan - omavalvontasuunnitelma ja sen laatiminen Terveydenhuollon ATK-päivät 12.-13.5.2015 Tampere Kehittämispäällikkö Riitta Konttinen 13.5.2015 THL/OPER 1
Auditoinnista omavalvontaan - omavalvontasuunnitelma ja sen
laatiminen
Terveydenhuollon ATK-päivät
12.-13.5.2015 Tampere
Kehittämispäällikkö Riitta Konttinen
13.5.2015 THL/OPER 1
Esityksen sisältö
• Vastuut tietoturvasta ja tietosuojasta
– Sosiaali- ja terveydenhuollon organisaatioilla
– Tietojärjestelmäpalveluja tarjoavilla tahoilla
• Omavalvontasuunnitelman yleisesittely
• Omavalvontaan liittyvät useimmin kysytyt kysymykset
• Hyvä tietää:
– Omavalvontasuunnitelma kohta kohdalta
– Linkkejä lisätietoihin
13.5.2015 2 THL/OPER
Vastuu tietosuojasta ja tietoturvasta
• Sosiaali- ja terveydenhuollon toimintayksikölle lainsäädännöllinen velvoite varmistaa tietojen luotettava ja turvallinen käsittely kaikissa olosuhteissa
• Tietosuojan ja tietoturvan toteutumista seurataan omavalvonnalla
• Omavalvonnasta laaditaan suunnitelma
• Suunnitelman noudattamisen vastuu on toimintayksikön vastaavalla johtajalla,
• Vastuu
– henkilökunnan ohjeistuksesta ja osaamisesta asiakas- ja potilastietojen käsittelyssä
– tietoturvapolitiikan laatimisesta ja noudattamisesta
– tietosuojavastaavan nimeämisestä ja toimenkuvasta
– asiakas- ja potilastietojen käsittelyn seurannasta ja valvonnasta
– väärinkäytösten selvittämisestä ja seuraamuksista ja näiden tiedottamisesta henkilöstölle
– sertifioidun tietojärjestelmän hankinnasta, ennen valtakunnalliseen tietojärjestelmäpalveluun liittämistä
– toimintayksikön asiakas- ja potilastietojärjestelmien käyttäjä- ja käyttöoikeushallinnasta
• Valvontaviranomaisella (kuten Valvira) on oikeus tehdä tarkastuksia
13.5.2015 THL/OPER 3
Olennaiset vaatimukset ja omavalvonta: miksi?
• Asiakastietolaissa merkittäviä muutoksia sekä terveydenhuollon palvelunantajille että järjestelmätoimittajille
• Varmistettava, että
– Järjestelmissä on käyttötarkoituksen kannalta oikeat toiminnallisuudet, riittävät tietoturvaominaisuudet ja että ne pystyvät liittymään osaksi Kanta-palvelujen kautta tapahtuvaa tietojen vaihtoa
tietojärjestelmien OLENNAISET VAATIMUKSET
– Organisaatioissa ja palveluntuottajilla on asianmukaiset tietoturvakäytännöt ja käyttöympäristössä huolehditaan asianmukaisesta tietoturvasta
palvelunantajien OMAVALVONTA
– Erityishuomio Kanta-palvelujen kautta laajenevassa tietojen saatavuudessa, mutta huomioitava kaikessa toiminnassa
4
Tietoturvallisuuden varmistaminen Kanta-palveluissa
• Kaikkien Kanta-palveluihin liittyvien osapuolten riittävän tietoturvan ja tietosuojan toteutuminen tulee varmistaa
– Palvelunantajat (sote-palvelujen tuottajat)
– Tietojärjestelmät (valmistajat, tietojärjestelmäpalvelujen tuottajat)
– Välityspalvelut
• Tietoturvan ja tietosuojan toteutumista tuetaan THL antamilla määräyksillä:
– Määräys (1/2015) A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista tietoturvavaatimuksista
– Määräyksen Liite 1: Tietoturvavaatimukset A-luokkaan kuuluville järjestelmille ja järjestelmien käyttöympäristöille
– Määräys (2/2015) omavalvontasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista
– Määräyksen Liite 1: Omavalvontasuunnitelman mallipohja
• Jatkossa
– määräysten / vaatimusten päivityksiä sekä
– Uusia määräyksiä mm. Määräys A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien toiminnallisista vaatimuksista
13.5.2015 THL/OPER 5
Olennaiset vaatimukset ja niiden todentaminen
• Lakisääteisiä (lain 159/2007 muutos 250/2014),
– THL:n määräys (1/2015) A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista tietoturvavaatimuksista Kanta-järjestelmien osalta kuvattava ja todennettava
• Todentaminen = sertifiointiprosessi
– Toiminnalliset vaatimukset
• Valmistajan / tietojärjestelmäpalvelun tuottajan oma selvitys
– Yhteentoimivuusvaatimukset
• Todennetaan Kanta-yhteistestauksen kautta
– Tietoturva- ja tietosuojavaatimukset
• Todennetaan tietoturvallisuuden arviointilaitoksen suorittamalla tietoturva-auditoinnilla
• Hyväksytyn sertifioinnin tuloksena järjestelmä saa vaatimustenmukaisuustodistuksen
– => tiedot sertifioiduista järjestelmistä ilmoitettava Valviralle, vaatimusten mukaisten järjestelmien rekisteri tulee nähtäville
13.5.2015 THL/OPER 6
Olennaiset vaatimukset ja järjestelmien luokittelu
• Järjestelmien luokittelut A- ja B-luokkiin
– A: Kanta-palveluihin liittyvät järjestelmät
• Myös Kanta-välityspalvelut
– B: Muut asiakas- tai potilastietoja käsittelevät järjestelmät
– (on myös järjestelmiä, joita ei tarvitse luokitella)
• Luokiteltujen järjestelmien ilmoittaminen Valviralle
– A-luokan järjestelmien
• vaatimustenmukaisuustodistuksen edellytyksenä hyväksytty Kelan yhteistestaus ja ulkoinen tietoturva-auditointi
• laki ja määräys jo voimassa
– B-luokan järjestelmien
• täytettävä olennaiset vaatimukset 1.1.2017 käyttöönotettavien järjestelmien (tai olennaisia muutoksia sisältävien päivitysten) osalta
• Kirjallinen selvitys ja ilmoitus Valviralle
13.5.2015 THL/OPER 7
13.5.2015 8
Omavalvontasuunnitelman yleisesittely
THL/OPER
Omavalvontasuunnitelma
Keiden on laadittava
• Sähköistä asiakas- ja potilastietojen käsittelyyn tarkoitettua tietojärjestelmää käyttävien
– Sosiaali- ja terveydenhuollon palvelun antajien,
– apteekkien
– itsenäisten ammatinharjoittajien
• Kansaneläkelaitoksen
• Kanta-välityspalveluiden tuottajien
Miksi
• Suunnitelmassa selvitettyjen toimenpiteiden avulla ylläpidetään ja kehitetään organisaation tietoturvaa ja tietosuojaa
Milloin
• 31.3.2015 mennessä
13.5.2015 THL/OPER 9
HUOM. Koskee myös
muita kuin Kanta-
palveluihin liittyviä
toimijoita ja järjestelmiä
Minimivaatimukset ja selvitykset
Varmistetaan, että kaikki asiakas- ja potilastietojen käsittelyyn osallistuvat palvelun antajat ja muut tahot huolehtivat käytössä olevien tietojärjestelmien käytettävyydestä vastaamalla
1. Henkilöstön riittävästä koulutuksesta ja kokemuksesta
2. Asianmukaisten käyttöohjeiden saatavuudesta
3. Asianmukaisesta käytöstä järjestelmän valmistajan ohjeiden mukaan
4. Menettelytavoista virhe- ja ongelmatilanteissa
5. Toimintamallista asennus-, ylläpito- ja päivitystilanteissa
6. Käyttöympäristön vaatimustenmukaisuudesta
7. Tietojärjestelmien vaatimustenmukaisuudesta
8. Liittymisestä valtakunnallisiin tietojärjestelmäpalveluihin
9. Riittävästä käytön seuranta- ja valvontatoimenpiteistä
13.5.2015 THL/OPER 10
Itseauditoinnista omavalvontaan Menettelytavan muutos organisaatiossa:
Aikaisemmin:
• Kanta-palveluun liittymisen yhteydessä toteutettiin organisaation sisäinen auditointi (itseauditointi) , joka pohjautui STM:n auditointi-vaatimusten v.2.0
1.4.2014 alkaen:
• Asiakastietolain mukainen (159/2007 muutos 250/2014) omavalvonta korvaa Kanta-palveluiden käyttöönoton yhteydessä tehdyt itseauditoinnit
• Oleellinen muutos on vaatimus omavalvonnan sisällön jalkauttamisesta organisaatioon ja omavalvonnan toteuttaminen
• Organisaation velvollisuutena on toimia suunnitelman mukaisesti, seurata ja arvioida suunnitelman mukaista toimintaa ja tehdä tarvittavia parannuksia
• Koskee myös muita kuin Kanta-palveluihin liittyviä organisaatioita
13.5.2015 THL/OPER 11
Itseauditoinnista omavalvontaan
Henkilökunnan koulutus
Ohjeet potilastietojen käsittelystä
Tietoturvapolitiikka
Nimetty tietosuojavastaava
Muutostenhallintaprosessi
Järjestelmän ylläpito
Käyttövaltuushallinta, -oikeuksien jako ja hallinta
Tunnistautuminen järjestelmiin
Virhetilanteiden hallinta
Tietosuojan valvonta
Tietoturvapoikkeamien havainnointi ja tietojärjestelmien käytön seuranta
Käyttäjätunnusten yksilöllisyys
Hallintayhteydet järjestelmään
Omavalvontasuunnitelman laatimisessa voi hyödyntää aiempien
Terveydenhuollon auditointivaatimusten läpikäyntiohjetta, joka löytyy
Käyttöönoton käsikirjasta www.kanta.fi
13.5.2015 THL/OPER 12
Omavalvontasuunnitelman laatiminen
• Omavalvontasuunnitelmassa
– Viitataan aina kuin mahdollista, olemassa oleviin, erikseen ylläpidettäviin ohjeisiin ja dokumentteihin (esimerkiksi linkkien avulla)
– Olennaista on, että suunnitelmasta selviää, mistä tiedot / dokumentaatio on löydettävissä tai miten vaatimuksen täyttyminen on todennettavissa.
– Mikäli valmista dokumentaatiota ei ole, omavalvontasuunnitelmaan kuvataan vaadittavat asiakokonaisuudet ja toimintatavat
– Kun kokoat omavalvontasuunnitelmaa esimerkiksi THL:n mallipohjaan, pystyt samalla toteamaan, miten hyvin tietosuoja- ja tietoturva-asiat ovat omassa organisaatiossasi jo hoidettu ja missä vielä tarvitaan parannusta
• Vasta suunnitelman mukaisesti toimiminen parantaa tietoturvallisuutta!
13.5.2015 THL/OPER 13
Omavalvontasuunnitelman mallipohja (THL:n määräyksen 2. liite 1.)
• Yleinen pohja suunnitelmalle, jossa malleja ja ”valmiita paikkoja” asioille, joihin omavalvonnassa on vastattava
• Sovellettava oman organisaation tilannetta vastaavalla tavalla
– Vaatimusten toteuttaminen eri tavoin, eri tyyppisissä organisaatioissa ja palveluissa
– Perusteltavissa, mikäli jokin vaatimus tai kohta ei ole relevantti omien palvelujen / oman käyttöympäristön kannalta
• Osa ratkaistavista asioista voi perustua esim. sopimuksiin IT-palveluja tuottavien tai tietojärjestelmäympäristöä hallinnoivien tahojen kanssa
– Myös nämä seikat mainittava ja oltava todennettavissa
13.5.2015 THL/OPER 14
Miksi omavalvontasuunnitelma?
• Parantaa ja yhdenmukaistaa sosiaali- ja terveydenhuollon tietosuoja- ja tietoturvakäytäntöjä arkityössä
• Varmistaa, että henkilöstö tietää tietosuojaan ja tietoturvaan liityvät menettelyt ja noudattaa niitä asiakas- ja potilastietojen käsittelyssä
• Huomioi arkaluonteisen tiedon salassapidon merkityksen
• Helpottaa ymmärtämään väärinkäytöksen seuraamukset
• Ohjaa ja tukee tietoturvavaatimusten noudattamista
• Auttaa seuraamaan toimintaa käytännössä
• Auttaa varmistamaan myös muiden palvelun tuottamiseen osallistuvien tahojen tietoturvallisen toiminnnan
• Selkeyttää roolit ja vastuut toteutuksessa
13.5.2015 THL/OPER 15
Keskiössä roolit ja vastuut
• Palvelun antaja varmistaa omavalvontaan kuuluvien toimintojen toteutumisen ja resurssit kaikissa palveluyksiköissään sekä palvelujen tuottamiseen osallistuvien muiden tahojen kanssa, päivittäisessä työssä
• Määritellään vastuut toiminnan, tietoturvallisuuden ja yhteistoiminnan varmistamiseksi
• Kirjataan vastuut tarvittaviin sopimuksiin
Käyttöympäristö tai tietotekniikkapalvelu ulkoistettu
Tietoliikenne ja viestinvälitys ulkoistettu
Ostopalvelun yhteydessä
Asiakas- ja potilastietojärjestelmiä käyttävien toimintayksiköiden ja ammatinharjoittajien vastuiden määrittelyiden yhteydessä
• Omavalvonnan toteutukseen kuuluu suunniteltu ja säännöllinen toiminnan valvonta ja menettelytavat:
– toimenpiteet rikkomustilanteissa, toteuman laadun arvointi, riskien hallinta ja takaisinkytkentä jatkuvaan kehittämiseen
13.5.2015 THL/OPER 16
Hyväksymis- ja tarkistusmenettely
• Omavalvonnasta on oltava suunnitelma, jonka laadinnan ja noudattamisen vastuu on toimintayksikön vastaavalla johtajalla
• Omavalvontasuunnitelma ja siihen kirjatut menettelytavat edellyttävät organisaation omien hyväksymiskäytänteiden mukaisen hyväksymisen
• Suunnitelman mukaisen toiminnan toteutumisen tarkistuksiin, esim. valvontaviranomaisen taholta, on hyvä varautua
17 THL/OPER 13.5.2015
Yhteenveto
• Tietojärjestelmien olennaisten vaatimusten ja omavalvonnan kautta varmistetaan, että
– Järjestelmien toteutuksessa on riittävällä tavalla huomioitu käyttötarkoituksen edellyttämät yhteentoimivuus-, tietoturva- ja tietosuoja-asiat
– asiakas- ja potilastiedot suojataan asianmukaisilla tietoturva- ja tietosuojakäytännöillä palvelujen tuottajien toiminnassa
• Olennaiset vaatimukset nojautuvat kansallisiin määrittelyihin
• Omavalvontasuunnitelman soveltaminen sovitettava palvelun tuottajan toimintatapojen mukaiseksi
– Esim. osa asioista mahdollista hoitaa sopimusten kautta, mutta vaatimukset pystyttävä todentamaan myös näissä tilanteissa
– Mm. yksityisille pienille toimijoille saatavilla erillinen mallipohja omavalvontasuunnitelmasta
• Määräyksiä ja vaatimuksia päivitetään jatkossa, kun kansallisia palveluita ja sisältöjä tulee lisää
13.5.2015 THL/OPER 18
13.5.2015 19
Kysytyimpiä kysymyksiä omavalvontasuunnitelmasta
THL/OPER
Mitkä järjestelmät sisällytetään omavalvontasuunnitelmaan?
• Mitkä järjestelmät on sisällytettävä omavalvontasuunnitelmaan? Järjestelmät, jotka liitetty Kanta-palveluihin? Millä perusteilla poimitaan mukaan otettavat?
– Omavalvontasuunnitelmaan kirjataan/linkitetään luettelo kaikista organisaation käyttämistä asiakas- ja potilastietojen käsittelyyn tarkoitetuista tietojärjestelmistä
– Samoin viite/kuvaus/linkki järjestelmäkohtaisiin kuvauksiin
– Jos kuvauksia ei ole tehty, tehdään suunnitelma ja aikataulu kuvausten laatimisesta
13.5.2015 20 THL/OPER
Suhde Valviran omavalvontasuunnitelmaan
• Mikä on Asiakastietolain mukaisen omavalvontasuunitelman suhde Valviran omavalvontasuunnitelmaan?
– Valviraan tehtävä omavalvontasuunnitelma laajemmin toiminnan kannalta tehtävä
– Asiakastietolain mukainen omavalvontasuunnitelma keskittyy asiakas- ja potilastietojen käsittelyyn, tiedonhallintaan, tietojärjestelmien hallintaan sekä tietoturvaan ja tietosuojaan
13.5.2015 21 THL/OPER
Tietosuojavastaava
• Tietosuojavastaavan valinta -kuka sopii tehtävään, pitääkö valittu henkilö kouluttaa siihen, onko ylipäätään koulutusta tarjolla ja mitä se maksaa?
– Tietosuojavastaavan tehtävään ei ole erityisiä soveltuvuuskriteereitä tai koulutusvaatimuksia
– Yleinen kuvaus tehtävästä http://www.kanta.fi/tietosuojavastaava
– Tietosuojavastaavan tehtäväkuva –mallipohja
– Koulutusta tietoturvasta ja tietosuojasta:
• Tietoturva ja tietosuoja –verkkokoulu kanta.fi -sivustolla
• Vuosittainen soten tietosuojaseminaari (järj. mm. Kuntaliitto, TSV, FCG)
• STTY:n (Sosiaali- ja terveydenhuollon tietojenkäsittely-yhdistys) tietosuojavastaavien jaosto
– Materiaalia: Tietosuojavastaavan käsikirjat 1 ja 2 (Andreasson, Koivisto, Ylipartanen)
13.5.2015 22 THL/OPER
Tietoturvapolitiikka
• Kuinka tarkka esitys omavalvontasuunnitelman liitteeksi pitää tietoturvapolitiikasta yrityksissä tehdä? Järjestömme on tuottanut jäsenistölle Tietoturvapolitiikan mallin. Riittääkö se, että yrittäjä liittää sen osaksi omavalvontasuunnitelmaa edellyttäen tietenkin, että on sisäistänyt sen sisältämän sanoman?
– Mallipohjia voi hyvin käyttää. Keskeistä on se, että palvelun tuottaja sisäistää asian, ja täydentää mallipohjaan oman organisaationsa näkökulmasta
13.5.2015 23 THL/OPER
Kantaan liittyminen ja omavalvontasuunnitelma
• Mitkä velvollisuudet koskevat kaikkia ja mitkä erityisesti Kantaan liittyviä järjestelmiä
• Mitä uusia vaatimuksia Kantaan siirtyminen tuo omavalvontasuunnitelman sisältöön?
– Omavalvontasuunnitelmassa ja mallipohjassa on erikseen kappale, jossa määritellään Kantaan liittyvien erityisvaatimuksien huomiointi
– Kantaan liittyvien järjestelmien erityisiä vaatimuksia diassa 34 – Mm. tunnistamis- ja todentamisratkaisujen toteuttaminen, Varmenneratkaisujen toteuttaminen
(eri tyyppiset varmenteet), Käyttövaltuuksien hallinta ja kytkentä työntekijöiden työrooleihin
– Kantapalvelujen käytön seuranta ja valvonta erityisen huolella, koska saatavilla muiden palvelun tarjoajien luovutustietoa, Kanta-palvelujen pääsynhallinnan toteuttaminen, Sosiaali- ja terveydenhuollon dokumenttien ja rekisterien erottaminen, Vaatimuksenmukaisuustodistuksen edellyttäminen, Kansallisten mallien hallinta, Häiriötoimenpiteet huomioiden kansallinen häiriö- ja muutosohjeet
13.5.2015 24 THL/OPER
Vastuut järjestelmätoimittajan ja yrityksen välillä omavalvonnassa
Mistä tiedän, mitkä asiat omavalvonnassa kuuluvat sosiaali- ja terveydenhuollon palveluntuottajan/ ammatinharjoittajan vastuulle ja mitkä tietojärjestelmätoimittajan vastuulle?
• Kokonaisvastuu omavalvontasuunnitelman laatimisesta, suunnitelman mukaisesta toiminnasta ja toteutumisen seurannasta on sosiaali- ja terveydenhuollon organisaatiolla
• Järjestelmätoimittajan rooli voi vaihdella järjestelmän hankinta- ja ylläpitomallin mukaisesti
• Vastuut kirjattava sopimuksiin ja omavalvontasuunnitelmaan kuvatta miten asiasta on sovittu järjestelmätoimittajan kanssa
• Esim. hankittaessa järjestelmä palveluna järjestelmätoimittaja vastaa järjestelmän teknisestä ylläpidosta, versioiden asennuksista, tietoliikenteestä ym.
13.5.2015 25 THL/OPER
Omavalvontasuunnitelman julkisuus
• Tuleeko omavalvontasuunnitelman olla julkisesti nähtävillä esimerkiksi internetissä, vai riittääkö, että suunnitelma on henkilöstön nähtävillä?
– Omavalvontasuunnitelman ei tarvitse / pidäkään olla julkisesti nähtävillä
– Monissa tilanteissa ja organisaatioissa suunnitelma sisältää sellaista tietoturvallisuustietoa, joka on syytä pitää ulkopuolisten saavuttamattomissa tai poissa julkisesta jakelusta
– Henkilöstön tulee olla tietoinen omavalvontasuunnitelmasta tai ainakin niistä sen asioista jotka heitä suoraan koskevat
13.5.2015 26 THL/OPER
Mikä on riittävä henkilöstön kokemus?
• Miten määritellään henkilöstön riittävä kokemus?
– Henkilöstön kokemus järjestelmän käyttöön kasvaa järjestelmien käytön ja koulutusten myötä
– Keskeistä on, että uusille työntekijöille järjestetään riittävä koulutus ja perehdytys järjestelmän käyttöön
13.5.2015 27 THL/OPER
Tietojärjestelmän käyttäminen valmistajan ohjeiden mukaisesti
• Omavalvontasuunnitelman kysymys: "Miten varmistetaan ja todennetaan, että tietojärjestelmiä käytetään valmistajan antamien ohjeistusten mukaisesti tai niitä tarkoituksenmukaisesti soveltaen tai täydentäen."
– Kun koulutus, ohjeistus ja seuranta on toteutettu siten, että ajantasaiset ohjeistukset ovat saatavilla ja käyttäjät tuntevat ohjeet, ja käyttöön liittyville käyttäjien kysymyksille (myös ohjeisiin liittyen) on määritelty selkeä ja tiedossa oleva toimintatapa, ei pidemmälle menevää todentamista voida nykyisellään edellyttää.
13.5.2015 28 THL/OPER
Lokivalvonnan toteuttaminen
• Onko yksityiskohtaisempia ohjeita lokivalvonnan toteuttamisesta eri potilastietojärjestelmissä?
– Järjestelmien käyttölokivaatimukset on kuvattu seuraavassa dokumentissa Vaatimukset potilastietojärjestelmien käyttölokeille
– Lokivalvontaa tehdään
• Suunnitelmallisesti, eli organisaatio suunnittelee etukäteen lokitietojen seurannan ja tarkastukset (toistuvuus, laajuus)
• Potilaan pyytäessä lokitietoja
• Kun organisaatiossa herää epäily tietojen käytön asianmukaisuudesta
– Käsikirjan tukimateriaaleissa taulukko, johon voi koota ”kirjanpitoa” tehdystä lokivalvonnasta, havainnoista ja jatkotoimenpiteistä
13.5.2015 29 THL/OPER
13.5.2015 30
Omavalvontasuunnitelma kohta kohdalta
THL/OPER
Omavalvontasuunnitelman sisältö Jaettu kokonaisuuksiin, joihin kootaan esim. linkkeinä kuhunkin
kokonaisuuteen kuuluvat dokumentit:
1. Johdanto
2. Suunnitelman kohde:
– Ketkä kuuluvat suunnitelman piiriin: palvelunantajat, järjestelmät, käyttäjät kuvattuna
3. Yleiset tietoturvakäytännöt:
– Kuvaukset tietoturvapolitiikasta, tietosuojaan ja valvontaan liittyvistä vastuista, koulutus, ohjeistus, toimintamalleihin perehdytys, tietojärjestelmien ja potilastietojen käsittelyyn ohjeistus ja koulutus
4. Käyttöympäristön ja useiden järjestelmien yhteiset tietoturvakäytännöt:
– Menettelyt virhe- ja ongelmatilanteissa, järjestelmien käyttöohjeiden hallinnointi ja saatavuus, järjestelmien asennus ja ylläpito, tilojen työasemien, tallennusvälineiden ja tulosteiden turvallisuus, muut käyttöympäristön käytännöt
5. Käyttövaltuuksien, pääsynhallinnan ja käytön seurannan yleiset käytännöt:
– Käyttäjäryhmät, käyttövaltuushallinnan ja käytön seuraamisen käytännöt
6. Kanta-palvelujen käytön tietoturvakäytännöt
7. Tietojärjestelmät:
– Kanta-palveluihin liittyvät tietojärjestelmät (A), muut asiakas- tai potilastietoja käsittelevät järjestelmät (B), muut tietojärjestelmät jotka on otettava huomioon arkaluonteisten asiakas- ja potilastietojen suojaamisen kannalta
8. Tietojärjestelmäkohtaiset ohjeet ja suunnitelmat:
– Järjestelmien osalta joilla on vaikutusta asiakas- tai potilastietojen käsittelyyn, tietoturvaan tai tietosuojaan
THL/OPER 31 13.5.2015
Luku 2 Suunnitelman kohteet
• Selvitetään ne tahot, jota tämä Omavalvontasuunnitelma koskee
• Laaditaan kuvaus suunnitelman hyödyntämisestä tietojärjestelmien käytössä, käytön valvonnassa, hankinnoissa ja kehitystyössä sekä tähän mahdollisesti liittyvissä päätöksissä
• Kuvataan myös, miten omavalvontasuunnitelman toteutumisen seurannan menettelytavat on suunniteltu.
• Menettelytapojen on oltava todennettavissa tarkastusten yhteydessä
32 32 THL/OPER 13.5.2015
Kuvattavat tietojärjestelmät
• Suoraan Kanta-palveluihin liitettävät A-luokan tietojärjestelmät
• Asiakas- ja potilastietoja käsittelevät B-luokan tietojärjestelmät
• Asiakas- ja potilastietojen asennukseen, ylläpitoon ja päivitykseen vaikuttavat ja niissä huomioitavat tietojärjestelmät
33 13.5.2015 THL/OPER
Luku 3 Yleiset tietoturvakäytännöt
Sisällytettävä kuvaukset tai viittaukset seuraavista asioista:
• Tietoturvapolitiikka: tiedot sen tarkastamisen ja kehittämisen käytännöistä
• Yleistiedot: tietoturvan vastuutuksesta, organisoinnista, seurannasta ja valvonnasta sekä tietosuojavastaavista
• Koulutus, ohjeistus, kokemus ja niiden seuranta
• Toimintamallien koulutus ja perehdytys
• Tietojärjestelmien käyttökoulutus
• Riittävä kokemus
• Ohjeet ja koulutus potilastietojen käsittelystä
THL/OPER 34 13.5.2015
Koulutusmalli ja seurantakäytänteet
Koulutus, ohjeistus ja käyttökokemus ja niiden seuranta
• Sisällytetään mahdolliset viittaukset erillisiin koulutus- ja/tai osaamisen ja käyttökokemuksen seurannan suunnitelmiin
• Kuvataan miten varmistetaan, että henkilöstölle on annettu koulutus tietojärjestelmien käyttöön, potilas- ja asiakastietojen käsittelyyn sekä tietosuoja- ja tietoturva-asioihin
• Miten seurataan ja ylläpidetään henkilöstön osaamista ja kokemusta
Toimintamallien koulutus ja perehdytys
• Miten huolehditaan toimintamallien perehdytykseen ja koulutukseen liittyvistä toimintatavoista ja koulutussuunnitelmista
• Miten koulutusten toteutumista ja oppimista seurataan (esim. todistukset tai ylläpidettävät tiedot koulutuksiin osallistumisista arkistoidaan)
THL/OPER 35 13.5.2015
Tietojärjestelmän koulutusmalli ja seurantakäytänteet
Tietojärjestelmien käyttökoulutus
• Miten nyt huolehditaan tietojärjestelmien käyttökoulutukseen liittyvistä toimintatavoista ja koulutussuunnitelmista
• Miten nyt koulutusten toteutumista ja oppimista seurataan (esim. todistukset tai ylläpidettävät tiedot koulutuksiin osallistumisista)
Riittävä kokemus
• Miten nyt varmistetaan ja todennetaan käytössä olevien asiakas- ja / tai potilastietojärjestelmien käytön vaatima kokemus
• Miten on järjestetty käyttäjien ohjaus
Ohjeet ja koulutus potilastiedon käsittelystä
• Miten ohjeet potilastietojen käsittelystä ja palvelujen antajan henkilöstön koulutuksesta potilastietojen käsittelyyn sekä henkilöstön tietämyksen ylläpito on dokumentoitu ja todennettavissa
THL/OPER 36 13.5.2015
Luku 4 Käyttöympäristön tietoturvakäytännöt
Kuvataan, mistä on saatavissa tiedot tai kuvaukset:
• Menettelyt virhe- ja ongelmatilanteista
• Järjestelmien käyttöohjeiden hallinnoinnista ja saatavuudesta
• Järjestelmien asennuksesta ja ylläpidosta yleisesti
• Tilojen, työasemien, tallennusvälineiden ja tulosteiden turvallisuudesta
• Muista käyttöympäristön tietoturvakäytännöistä
THL/OPER 37 13.5.2015
Menettelyt virhe- ja ongelmatilanteissa
• Kuvataan selvittelykäytänteet ja määritellään vastuut
– verkko- tai tietoliikenneongelmien selvittelyssä
– järjestelmien käyttöön liittyvien ongelmien yhteydessä
– havaittujen tai toteutuneiden tietoturva- tai tietosuoja-uhkien tai ongelmien hallintamallit ja käytäntö
• Ohjeistetaan A tai B järjestelmien olennaisten vaatimusten täyttymisessä havaittujen merkittävien poikkeamien ilmoittamisprosessi
– Organisaation sisällä
– Tietojärjestelmän valmistajalle
– Kelalle huomioiden häiriöviestintäohje ( mikäli A-luokan järjestelmä )
– Valviralle, jos poikkeama aiheuttaa merkittävän riskin potilasturvallisuudelle
THL/OPER 38 13.5.2015
Järjestelmien käyttöohjeiden hallinnointi ja saatavuus
• Kuvataan ja dokumentoidaan asiakas- ja / tai potilastietojärjestelmien
– käyttöohjeiden hallinnointi ja saatavuus
– henkilöstön perehdyttäminen ja sen toteuman todennettavuus
– Valmistajien ohjeiden hallintakäytännöt, päivittäminen ja jakelu
• Kuvataan tietojärjestelmäpalvelun tuottajan ajantasaisten ja riittävien käyttöohjeitten
– Hankinta ja saanti
– Päivittäminen ja jakelu ohjelmiston ja versiopäivitysten muutoksessa
– Varmistus- ja todentamiskäytäntö: tietojärjestelmiä käytetään valmistajan antamien ohjeiden mukaisesti tai niitä sovelletaan tarkoituksenmukaisesti
THL/OPER 39 13.5.2015
Järjestelmien asennus ja ylläpito yleisesti
Kuvataan yleisellä tasolla:
• Mikäli järjestelmäkohtaiset seikat poikkeavat määritellyistä seikoista, ne voi kuvata lukuun 8, erikseen
• Määritellään järjestelmien asennuksen, ylläpidon ja päivityksen roolit ja vastuut
• Tarkennetaan ylläpitotehtävien vaatima koulutus, ammattitaito ja asiantuntemus
• Kuvataan järjestelmien muutoshallinnan, testauksen ja hyväksymisen menettelytavat
THL/OPER 40 13.5.2015
Tilojen, työasemien, tallennusvälineiden ja tulosteiden sekä muun ympäristön turvallisuuden hallinta
Kuvataan ja luetellaan seuraavat turvallisuustekijät:
• Suojattavat fyysiset tilat ja niiden suojauskäytännöt
• Työasemien sijoittuminen, lukittuminen ja suojaus sivullisilta
• Työasemien virus- ja haittaohjelmilta suojautuminen
• Mobiililaitteiden ja –ympäristöjen suojauskäytännöt, PIN-koodien hallinta, SIM-korttien hallinta, ohjelmalliset suojaukset
• Oheisohjelmistojen asentaminen työasemille, palvelimille ja mobiililaitteille
• Tulosteiden turvallisuus ja tulosteiden turvallisen käsittelyn käytännöt
• Ulkoiset tallennuslaitteet ja tallennusvälineet
• Yleiset käyttöympäristön tukipalvelut, Operaattoreitten ja tietoliikenteen vastuut ja niiden sisällyttäminen sopimuksiin
• Etäyhteydet, langattomat verkot ja reitittimet
THL/OPER 41 13.5.2015
Luku 5 Käyttövaltuuksien, pääsynhallinnan ja käytönseurannan säännöt
Laadittava kuvaukset, viittaukset ja toteuma asioista:
Käyttäjäryhmät
• Mistä on saatavissa dokumentaatio niistä käyttäjäryhmistä, jotka käyttävät asiakas- ja/tai potilastietojärjestelmiä.
• Kanta-palveluihin osalta tulee olla dokumentoituna käyttäjäryhmien Kanta-palveluiden käyttöoikeudet ja -aika
Käyttövaltuushallinnan ja käytön seuranta ja välineet
• Käyttövaltuuksien hakemisen, myöntämisen, seurannan, muuttamisen, tarkistamisen/varmistamisen ja poistamisen käytännöt ja missä niitä hallinnoidaan ja kuka hyväksyy pyynnöt
• Käyttäjien tunnistamisen ja todentamisen käytännöt, lokien hallinta ja käytön seurannan käytännöt
• Toimintamalli ja toteuma havaittaessa lainvastaista asiakas- tai potilastietojen käsittelyä pitää olla todennettavissa
• Laadittava myös kuvas Kelan lokitietojen saanti- ja hankintaprosessista seurannan ja valvonnan toteuttamiseksi
THL/OPER 42 13.5.2015
Luku 6 Kanta-palvelujen käytön tietoturvakäytännöt Voidaan kuvata myös aiempien lukujen vastaavien kohtien yhteydessä
Kuvataan Kanta-palvelujen edellyttämien
• Tunnistamis- ja todentamisratkaisujen toteuttaminen
• Varmenneratkaisujen toteuttaminen (eri tyyppiset varmenteet)
• Käyttövaltuuksien hallinta ja kytkentä työntekijöiden työrooleihin
• Kantapalvelujen käytön seuranta ja valvonta erityisen huolella, koska saatavilla muiden palvelun tarjoajien luovutustietoa
• Kanta-palvelujen pääsynhallinnan toteuttaminen
• Sosiaali- ja terveydenhuollon dokumenttien ja rekisterien erottaminen
• Vaatimuksenmukaisuustodistuksen edellyttäminen ja vastuut
• Kansallisten mallien hallinta
• Häiriötoimenpiteet huomioiden kansallinen häiriö- ja muutosohjeet
THL/OPER 43 13.5.2015
Luku 7 Tietojärjestelmäluettelo tai viite
Kanta-palveluihin liitettävät järjestelmät (luokka A):
• Järjestelmä, versio, toimittaja, yhteystiedot, vaatimuksenmukaisuustodistus
Muut asiakas- tai potilastietoja käsittelevät järjestelmät (luokka B)
• Järjestelmä, versio, toimittaja, yhteystiedot
Muut tietojärjestelmät, jotka otettava huomioon arkaluonteisten asiakas- ja potilastietojen suojaamisen kannalta
• Järjestelmä, versio, toimittaja, yhteystiedot
THL/OPER 44 13.5.2015
Luku 8 Tietojärjestelmäkohtaiset ohjeet ja suunnitelmat Soveltuvin osin samantyyppiset kuvaukset kuin aiempien lukujen
vastaavissa osioissa:
• Esim. A-luokkaan kuuluva: – Järjestelmä, versio, toimittaja, yhteystiedot
– Käyttötarkoitus
– Käyttäjäryhmät
– Käyttöohjeet
– Ohjeiden päivittäminen ja jakelu
– Menettelyt virhe- ja ongelmatilanteissa
– Järjestelmäkohtaiset tukipalvelut
– Asennus- ja ylläpitovastuut ja -vaatimukset
– Menettelytavat ja vastuut virhe- ja poikkeustilanteissa
– Käyttövaltuushallinta järjestelmässä
– Tunnistautuminen järjestelmässä
– Lokit
– Järjestelmän lukittuminen
– Kantaan liittyvän järjestelmän vaatimustenmukaisuustodistuksen tietojen varmistaminen
– Järjestelmän tiedot Valviran rekisterissä
THL/OPER 45 13.5.2015
13.5.2015 THL/OPER 46
Kiitos!
Kysymyksiä ja
lisätietopyyntöjä voi
lähettää [email protected]
Esityksen kokoamisessa mukana
Kehittämispäälliköt Juha Mykkänen
ja Anna Kärkkäinen
Lisätietoja sertifioinnista ja omavalvonnasta:
Tiedon ja vaatimusten yhdenmukaistaminen
https://www.thl.fi/fi/web/tiedonhallinta-sosiaali-ja-
terveysalalla/tiedon-ja-vaatimusten-
yhdenmukaistaminen
Kanta sertifiointi
http://www.kanta.fi/web/ammattilaisille/sertifiointi
Yksityiset
http://www.kanta.fi/web/ammattilaisille/potilastiedon-
arkiston-kayttoonoton-kasikirja