Voiko puutteellinen tietoturva vaarantaa potilasturvallisuuden? -blogissamme käsittelimme tietoturvariskejä sekä tietoturvan jakamista saatavuuteen, eheyteen ja luottamuksellisuuteen. Mediassakin esillä olleet tietoturvaloukkaukset koskevat varsinkin tiedon luottamuksellisuutta eli sitä, että tietoa eivät saa päästä käsittelemään sellaiset henkilöt, joilla ei siihen ole oikeutta.
Kokosimme alle viiden kohdan listan, jonka perusteella potilas- ja asiakastietoja käsittelevät organisaatiot voivat arvioida oman toimintansa riittävyyttä erityisesti tiedon luottamuksellisuuden näkökulmasta.
1. Käytä potilas- ja asiakastietoja sisältäviä ohjelmia vain turvallisissa ympäristöissä
Käytä ohjelmistoja vain turvallisissa ympäristöissä. Tämä tarkoittaa esimerkiksi sitä, että työaseman tai mobiililaitteen käyttöjärjestelmä ja käyttöoikeudet pidetään ajan tasalla tekemällä päivitykset säännöllisesti ja oikea-aikaisesti. Tietoliikenne tulee turvata fyysisellä ("millä") ja loogisella ("miten") tasolla.
2. Tarkista käyttäjätunnus- ja salasanakäytännöt
Suosittelemme, että käyttäjätunnus- ja salasanakäytännöt käydään organisaatiossa läpi ja tarkistetaan, että käytännöt ovat tietoturvan kannalta riittävällä tasolla. Käyttäjätunnuksille ja salasanoille voi useimmissa järjestelmissä määritellä esimerkiksi muotovaatimukset ja päivitysvälit. Käyttöoikeudet ovat usein määriteltävissä käyttäjä- ja/tai käyttäjäryhmäkohtaisesti, ja niiden avulla voidaan joko näyttää tai piilottaa erilaisia toimintoja. Salasana-asetuksiin saa ohjeita esimerkiksi Vahti-ohjeistuksesta.
Hyödynnä vahvaa tunnistautumista aina kun mahdollista. Vahva tunnistautuminen tarkoittaa henkilöllisyyden todentamista sähköisesti esimerkiksi verkkopankkitunnusten, mobiilivarmenteiden sekä erilaisten toimikorttien tai henkilökorttien avulla. Tällöin pelkkä salasana ei riitä järjestelmään kirjautumiseen – ei myöskään salasanan haltuunsa saaneelta rikolliselta taholta. Lue lisää Kyberturvallisuuskeskuksen sivuilta.
3. Tee tietoturvasuunnitelma ja kehitä tietoturvaosaamista koulutuksin
Tietoturvasuunnitelman laatimisvelvoite koskee kaikkia sosiaali- ja terveydenhuollon palvelunantajia, apteekkeja sekä Kanta-välityspalveluiden tuottajia ja Kelaa. Tietoturvasuunnitelma korvaa aiemman asiakastietolain mukaisen tietosuojan, tietoturvallisuuden ja tietojärjestelmien käytön omavalvontasuunnitelman.
Sosiaali- ja terveydenhuollon palvelunantajat sekä apteekit huolehtivat omavalvonnan kautta siitä, että heillä on asianmukaiset tietoturva- ja tietosuojakäytännöt arkaluonteisten asiakastietojen suojaamiseksi ja niitä noudatetaan käsitellessä asiakas- ja potilastietoja.
Omavalvontaan kuuluu myös se, että tietojärjestelmien käyttöympäristössä huolehditaan tietoturvasta ja tietosuojasta asianmukaisesti.
Tietoturvasuunnitelma vaaditaan myös Kanta-palveluihin liittymiseksi.
Katso tietoturvasuunnitelmaa koskeva määräys ja lataa tietoturvasuunnitelman mallipohja THL:n sivuilta.
Tietoturvakoulutusta tarjoavat useat tahot. Katso ajantasaista informaatiota esimerkiksi seuraavilta toimijoilta:
- THL:n koulutusmateriaalit
- Kyberturvallisuuskeskus (Traficom): oppaat organisaatioille
- Digi- ja väestötietovirasto tarjoaa Digiturva-sivuillaan tilaisuuksia ja julkaisuja
- Ajankohtaisena myös Valtiovarainministeriön julkaisemat kaksi ohjetta pilvipalveluiden käyttöön
4. Kysy käyttämäsi asiakas- tai potilastietojärjestelmän tietoturvasta lisää järjestelmätoimittajaltasi
Sosiaali- ja terveydenhuollon tietojärjestelmät jaotellaan käyttötarkoitustensa ja ominaisuuksiensa perusteella A- ja B-luokkiin. Kelan ylläpitämät Kanta-palvelut sekä tietojärjestelmät, jotka on tarkoitettu liitettäväksi Kanta-palveluihin kuuluvat luokkaan A. Kaikki muut tietojärjestelmät kuuluvat luokkaan B. Suomessa sosiaali- ja terveydenhuollon asiakas- ja potilastietojen käsittelyyn tarkoitettujen tietojärjestelmien olennaisten vaatimusten toteutumista valvoo Valvira (Määräys 5/2021: Määräys sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista toiminnallisista ja tietoturvavaatimuksista). A-luokan järjestelmät tulee auditoida säännöllisesti ulkoisen toimijan toimesta. Lisätietoja ja tietojärjestelmärekisteri Valviran sivuilla.
Lue myös: Sote-tietojärjestelmien A- ja B-luokka - tunnetko erot?
Oli sitten kyseessä A- tai B-luokan järjestelmä, yritys voi osoittaa tietoturvallisuuttaan erilaisin standardein, joiden ylläpitämiseksi sen tulee läpäistä säännölliset auditoinnit. Esimerkiksi ISO 13485 -standardia edellytetään kaikilta potilastietojärjestelmätoimittajilta ja tietoturvavaatimukset auditoidaan THL:n määräyksen mukaisesti. Lisäksi organisaatio voi omaehtoisesti toteuttaa sisäisiä ja ulkoisia tarkastuksia potentiaalisten tietoturva-aukkojen tunnistamiseksi. On myös tärkeää, että myös tietojärjestelmätoimittaja hyödyntää järjestelmiin tunnistautuessaan vahvaa tunnistautumista ja vaihtuvia salasanoja, ja että henkilöstölle tehdään tarvittaessa asianmukaiset turvaselvitykset.
Tietojärjestelmätoimittajat, kuten muutkin asiakas- ja potilastietoja käsittelevät organisaatiot, voivat parantaa tietoturvaansa kouluttamalla henkilöstöä ja ottamalla käyttöön uusia tietoturvaa parantavia teknologioita.
5. Turvaudu tarvittaessa asiantuntijaan
Jos et tiedä mitä tehdä, kysy asiantuntijalta. Alan ammattilainen pystyy arvioimaan nykyisen tietoturvan tason sekä laatiman toimenpide-ehdotukset ja suositukset tietoturvanne parantamiseksi. Tietoturvan suhteen on paras pelata varman päälle – ota yhteyttä jos asiakas- tai potilastietojärjestelmänne mietityttävät!
Teksti on julkaistu ensimmäisen kerran 28.1.2021 ja päivitetty viimeksi 27.1.2023.
