• Seuraa meitä somessa:

fi / en

Post Fetaured Image

Miten ylläpitää tietoturvaa sosiaali- ja terveydenhuollon tietojärjestelmiä hyödyntävissä organisaatioissa?

Helena Astala - 28/01/2021

Voiko puutteellinen tietoturva vaarantaa potilasturvallisuuden? -blogissamme käsittelimme tietoturvariskejä sekä tietoturvan jakamista saatavuuteen, eheyteen ja luottamuksellisuuteen. Erityisesti viimeaikaiset mediassakin esillä olleet tietoturvaloukkaukset koskevat varsinkin tiedon luottamuksellisuutta eli sitä, että tietoa eivät saa päästä käsittelemään sellaiset henkilöt, joilla ei siihen ole oikeutta.

Kokosimme alle viiden kohdan listan, jonka perusteella potilas- ja asiakastietoja käsittelevät organisaatiot voivat arvioida oman toimintansa riittävyyttä erityisesti tiedon luottamuksellisuuden näkökulmasta.

 

1. Käytä potilas- ja asiakastietoja sisältäviä ohjelmia vain turvallisissa ympäristöissä

Käytä ohjelmistoja vain turvallisissa ympäristöissä. Tämä tarkoittaa esimerkiksi sitä, että työaseman tai mobiililaitteen käyttöjärjestelmä ja käyttöoikeudet pidetään ajan tasalla tekemällä päivitykset säännöllisesti ja oikea-aikaisesti. Tietoliikenne tulee turvata fyysisellä ("millä") ja loogisella ("miten") tasolla.

 2. Tarkista käyttäjätunnus- ja salasanakäytännöt

 

Suosittelemme, että käyttäjätunnus- ja salasanakäytännöt käydään organisaatiossa läpi ja tarkistetaan, että käytännöt ovat tietoturvan kannalta riittävällä tasolla. Käyttäjätunnuksille ja salasanoille voi useimmissa järjestelmissä määritellä esimerkiksi muotovaatimukset ja päivitysvälit. Käyttöoikeudet ovat usein määriteltävissä käyttäjä- ja/tai käyttäjäryhmäkohtaisesti, ja niiden avulla voidaan joko näyttää tai piilottaa erilaisia toimintoja. Salasana-asetuksiin saa ohjeita esimerkiksi Vahti-ohjeistuksesta

 

Hyödynnä vahvaa tunnistautumista aina kun mahdollista. Vahva tunnistautuminen tarkoittaa henkilöllisyyden todentamista sähköisesti esimerkiksi verkkopankkitunnusten, mobiilivarmenteiden sekä erilaisten toimikorttien tai henkilökorttien avulla. Tällöin pelkkä salasana ei riitä järjestelmään kirjautumiseen – ei myöskään salasanan haltuunsa saaneelta rikolliselta taholta. Lue lisää Kyberturvallisuuskeskuksen sivuilta

 

3. Tee omavalvontasuunnitelma ja kehitä tietoturvaosaamista koulutuksin

Voimassa olevan asiakastietolain mukaisesti kaikkien sosiaali- ja terveydenhuollon palvelunantajien on laadittava tietosuojan, tietoturvallisuuden ja tietojärjestelmien käytön omavalvontasuunnitelma.

Terveyden ja hyvinvoinnin laitos (THL) on antanut määräyksen tietoturva- ja tietosuojan omavalvontasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista. THL on julkaissut myös omavalvontasuunnitelman mallipohjan, joka tukee erityisesti yksityisiä pieniä sote-palveluntuottajia tietoturvallisuuden ja tietosuojan suunnittelussa. Mallipohjan avulla palveluntuottaja pystyy huomioimaan ja suunnittelemaan olennaiset tietosuojan, tietoturvallisuuden ja tietojärjestelmien käytön asiat. Lue lisää ja lataa omavalvontasuunnitelman mallipohja THL:n sivuilta. THL tarjoaa myös koulutusmateriaaleja

4. Kysy käyttämäsi asiakas- tai potilastietojärjestelmän tietoturvasta lisää järjestelmätoimittajaltasi

Sosiaali- ja terveydenhuollon tietojärjestelmät jaotellaan käyttötarkoitustensa ja ominaisuuksiensa perusteella A- ja B-luokkiin. Kelan ylläpitämät Kanta-palvelut sekä tietojärjestelmät, jotka on tarkoitettu liitettäväksi Kanta-palveluihin kuuluvat luokkaan A. Kaikki muut tietojärjestelmät kuuluvat luokkaan B. Suomessa sosiaali- ja terveydenhuollon asiakas- ja potilastietojen käsittelyyn tarkoitettujen tietojärjestelmien olennaisten vaatimusten toteutumista valvoo Valvira. A-luokan järjestelmät tulee auditoida säännöllisesti ulkoisen toimijan toimesta. Lisätietoja ja tietojärjestelmärekisteri Valviran sivuilla.  

 

Lue myös: Sote-tietojärjestelmien A- ja B-luokka - tunnetko erot?

Oli sitten kyseessä A- tai B-luokan järjestelmä, yritys voi osoittaa tietoturvallisuuttaan erilaisin standardein, joiden ylläpitämiseksi sen tulee läpäistä säännölliset auditoinnit. Esimerkiksi ISO 13485 -standardia edellytetään kaikilta potilastietojärjestelmätoimittajilta. Lisäksi organisaatio voi omaehtoisesti toteuttaa sisäisiä ja ulkoisia tarkastuksia potentiaalisten tietoturva-aukkojen tunnistamiseksi. On myös tärkeää, että myös tietojärjestelmätoimittaja hyödyntää järjestelmiin tunnistautuessaan vahvaa tunnistautumista ja vaihtuvia salasanoja, ja että henkilöstölle tehdään tarvittaessa asianmukaiset turvaselvitykset.

Tietojärjestelmätoimittajat, kuten muutkin asiakas- ja potilastietoja käsittelevät organisaatiot, voivat parantaa tietoturvaansa kouluttamalla henkilöstöä ja ottamalla käyttöön uusia tietoturvaa parantavia teknologioita.

5. Turvaudu tarvittaessa asiantuntijaan

Jos et tiedä mitä tehdä, kysy asiantuntijalta. Alan ammattilainen pystyy arvioimaan nykyisen tietoturvan tason sekä laatiman toimenpide-ehdotukset ja suositukset tietoturvanne parantamiseksi. Tietoturvan suhteen on paras pelata varman päälle – ota yhteyttä jos asiakas- tai potilastietojärjestelmänne mietityttävät!  

Helena Astala

KIRJOITTAJA Helena Astala

helena.astala@mediconsult.fi

Pitkän linjan sote-ammattilainen Helena toimii myös tietosuojavastaavana Mediconsultilla.

Lisää samasta aihealueesta

Mediconsult - 01/03/2021

Tule Sosiaalialan asiantuntijapäiville etänä

Sosiaalialan asiantuntijapäivät järjestetään 9.-10.3.2021 etätapahtumana verkossa. Mediconsult osallistuu näytteilleasettajana virtuaalinäyttelyyn, joka on avoin kaikille. Tervetuloa!

Lue lisää

Kiinnostuitko? Otathan yhteyttä.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse lectus odio, convallis ac enim eu, egestas mattis dolor. Sed vitae orci et erat consectetur euismod. Lorem ipsum dolor sit amet, consectetur adipiscing elit.

  • Tarjouspyyntö
  • Lisätietoa ratkaisuista
  • Tilaa esite
  • Palaute
  • Jotain muuta