• Seuraa meitä somessa:

fi / en

Post Fetaured Image

Miten ylläpitää tietoturvaa sosiaali- ja terveydenhuollon tietojärjestelmiä hyödyntävissä organisaatioissa?

Helena Astala - 26/01/2022

Voiko puutteellinen tietoturva vaarantaa potilasturvallisuuden? -blogissamme käsittelimme tietoturvariskejä sekä tietoturvan jakamista saatavuuteen, eheyteen ja luottamuksellisuuteen. Mediassakin esillä olleet tietoturvaloukkaukset koskevat varsinkin tiedon luottamuksellisuutta eli sitä, että tietoa eivät saa päästä käsittelemään sellaiset henkilöt, joilla ei siihen ole oikeutta.

Kokosimme alle viiden kohdan listan, jonka perusteella potilas- ja asiakastietoja käsittelevät organisaatiot voivat arvioida oman toimintansa riittävyyttä erityisesti tiedon luottamuksellisuuden näkökulmasta.

1. Käytä potilas- ja asiakastietoja sisältäviä ohjelmia vain turvallisissa ympäristöissä

Käytä ohjelmistoja vain turvallisissa ympäristöissä. Tämä tarkoittaa esimerkiksi sitä, että työaseman tai mobiililaitteen käyttöjärjestelmä ja käyttöoikeudet pidetään ajan tasalla tekemällä päivitykset säännöllisesti ja oikea-aikaisesti. Tietoliikenne tulee turvata fyysisellä ("millä") ja loogisella ("miten") tasolla.

 2. Tarkista käyttäjätunnus- ja salasanakäytännöt

 

Suosittelemme, että käyttäjätunnus- ja salasanakäytännöt käydään organisaatiossa läpi ja tarkistetaan, että käytännöt ovat tietoturvan kannalta riittävällä tasolla. Käyttäjätunnuksille ja salasanoille voi useimmissa järjestelmissä määritellä esimerkiksi muotovaatimukset ja päivitysvälit. Käyttöoikeudet ovat usein määriteltävissä käyttäjä- ja/tai käyttäjäryhmäkohtaisesti, ja niiden avulla voidaan joko näyttää tai piilottaa erilaisia toimintoja. Salasana-asetuksiin saa ohjeita esimerkiksi Vahti-ohjeistuksesta

 

Hyödynnä vahvaa tunnistautumista aina kun mahdollista. Vahva tunnistautuminen tarkoittaa henkilöllisyyden todentamista sähköisesti esimerkiksi verkkopankkitunnusten, mobiilivarmenteiden sekä erilaisten toimikorttien tai henkilökorttien avulla. Tällöin pelkkä salasana ei riitä järjestelmään kirjautumiseen – ei myöskään salasanan haltuunsa saaneelta rikolliselta taholta. Lue lisää Kyberturvallisuuskeskuksen sivuilta

 

3. Tee tietoturvasuunnitelma ja kehitä tietoturvaosaamista koulutuksin

Tietoturvasuunnitelman laatimisvelvoite koskee kaikkia sosiaali- ja terveydenhuollon palvelunantajia, apteekkeja sekä Kanta-välityspalveluiden tuottajia ja Kelaa. Tietoturvasuunnitelma korvaa aiemman asiakastietolain mukaisen tietosuojan, tietoturvallisuuden ja tietojärjestelmien käytön omavalvontasuunnitelman.

Sosiaali- ja terveydenhuollon palvelunantajat sekä apteekit huolehtivat omavalvonnan kautta siitä, että heillä on asianmukaiset tietoturva- ja tietosuojakäytännöt arkaluonteisten asiakastietojen suojaamiseksi ja niitä noudatetaan käsitellessä asiakas- ja potilastietoja.

Omavalvontaan kuuluu myös se, että tietojärjestelmien käyttöympäristössä huolehditaan tietoturvasta ja tietosuojasta asianmukaisesti.

Tietoturvasuunnitelma vaaditaan myös Kanta-palveluihin liittymiseksi.

Katso tietoturvasuunnitelmaa koskeva määräys ja lataa tietoturvasuunnitelman mallipohja THL:n sivuilta. THL tarjoaa myös koulutusmateriaaleja

4. Kysy käyttämäsi asiakas- tai potilastietojärjestelmän tietoturvasta lisää järjestelmätoimittajaltasi

Sosiaali- ja terveydenhuollon tietojärjestelmät jaotellaan käyttötarkoitustensa ja ominaisuuksiensa perusteella A- ja B-luokkiin. Kelan ylläpitämät Kanta-palvelut sekä tietojärjestelmät, jotka on tarkoitettu liitettäväksi Kanta-palveluihin kuuluvat luokkaan A. Kaikki muut tietojärjestelmät kuuluvat luokkaan B. Suomessa sosiaali- ja terveydenhuollon asiakas- ja potilastietojen käsittelyyn tarkoitettujen tietojärjestelmien olennaisten vaatimusten toteutumista valvoo Valvira. A-luokan järjestelmät tulee auditoida säännöllisesti ulkoisen toimijan toimesta. Lisätietoja ja tietojärjestelmärekisteri Valviran sivuilla.  

 

Lue myös: Sote-tietojärjestelmien A- ja B-luokka - tunnetko erot?

Oli sitten kyseessä A- tai B-luokan järjestelmä, yritys voi osoittaa tietoturvallisuuttaan erilaisin standardein, joiden ylläpitämiseksi sen tulee läpäistä säännölliset auditoinnit. Esimerkiksi ISO 13485 -standardia edellytetään kaikilta potilastietojärjestelmätoimittajilta. Lisäksi organisaatio voi omaehtoisesti toteuttaa sisäisiä ja ulkoisia tarkastuksia potentiaalisten tietoturva-aukkojen tunnistamiseksi. On myös tärkeää, että myös tietojärjestelmätoimittaja hyödyntää järjestelmiin tunnistautuessaan vahvaa tunnistautumista ja vaihtuvia salasanoja, ja että henkilöstölle tehdään tarvittaessa asianmukaiset turvaselvitykset.

Tietojärjestelmätoimittajat, kuten muutkin asiakas- ja potilastietoja käsittelevät organisaatiot, voivat parantaa tietoturvaansa kouluttamalla henkilöstöä ja ottamalla käyttöön uusia tietoturvaa parantavia teknologioita.

5. Turvaudu tarvittaessa asiantuntijaan

Jos et tiedä mitä tehdä, kysy asiantuntijalta. Alan ammattilainen pystyy arvioimaan nykyisen tietoturvan tason sekä laatiman toimenpide-ehdotukset ja suositukset tietoturvanne parantamiseksi. Tietoturvan suhteen on paras pelata varman päälle – ota yhteyttä jos asiakas- tai potilastietojärjestelmänne mietityttävät!  

 

Teksti on julkaistu ensimmäisen kerran 28.1.2021 ja päivitetty 26.1.2022. 

Helena Astala

KIRJOITTAJA Helena Astala

helena.astala@mediconsult.fi

Pitkän linjan sote-ammattilainen Helena toimii myös tietosuojavastaavana Mediconsultilla.

Lisää samasta aihealueesta

Mikael Palola - 27/04/2022

Palveluverkon suunnittelussa lähipalvelut irtaantuvat kunnista ja seinistä

Hyvinvointialueiden palveluverkkojen suunnitteluun kohdistuu nyt monenlaisia odotuksia. Yksittäisiä kansalaisia kiinnostaa, mistä ja miten he saavat jatkossa tarvitsemiaan sote-palveluja. Ammattilaiset odottavat tietoa, missä ja miten he tulevat...

Lue lisää

Kiinnostuitko? Otathan yhteyttä.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse lectus odio, convallis ac enim eu, egestas mattis dolor. Sed vitae orci et erat consectetur euismod. Lorem ipsum dolor sit amet, consectetur adipiscing elit.

  • Tarjouspyyntö
  • Lisätietoa ratkaisuista
  • Tilaa esite
  • Palaute
  • Jotain muuta