Upload
thl
View
423
Download
0
Embed Size (px)
Citation preview
1
Omavalvonnan ja olennaisten vaatimusten säädökset, määräykset
ja ohjeet
Paasitorni 28.1.2016
Olennaiset vaatimukset ja omavalvonta: miksi?
• Varmistettava, että
– Järjestelmissä on käyttötarkoituksen kannalta oikeat toiminnallisuudet, riittävät tietoturvaominaisuudet ja että ne pystyvät liittymään osaksi Kanta-palvelujen kautta tapahtuvaa tietojen vaihtoa
tietojärjestelmien OLENNAISET VAATIMUKSET
– Organisaatioissa ja palveluntuottajilla on asianmukaiset tietoturvakäytännöt, toiminnassa huomioidaan tietoturvallisuuteen liittyvät vaatimukset, ja järjestelmien käyttöympäristössä huolehditaan asianmukaisesta tietoturvasta
OMAVALVONTA
– Erityishuomio Kanta-palvelujen kautta laajenevassa tietojen saatavuudessa, mutta huomioitava kaikessa toiminnassa
2
Vastuut tietosuojasta ja tietoturvasta
• Sosiaali- ja terveydenhuollon palvelunantajille lainsäädännöllinen velvoite varmistaa tietojen luotettava ja turvallinen käsittely kaikissa olosuhteissa
• Tietosuojan ja tietoturvan toteutumista seurataan omavalvonnalla
• Omavalvonnasta on oltava suunnitelma, jonka laadinnan ja noudattamisen vastuu on terveydenhuollon toimintayksikön vastaavalla johtajalla
• Toimintayksikkö vastaa:
Henkilökunnan ohjeistuksesta ja osaamisesta asiakas- ja potilastietojen käsittelyssä
Tietoturvapolitiikan laatimisesta ja noudattamisesta
Tietosuojavastaavan nimeämisestä ja toimenkuvasta
Asiakas- ja potilastietojen käsittelyn seurannasta ja valvonnasta
Väärinkäytösten selvittämisestä ja seuraamuksista ja näiden tiedottamisesta henkilöstölle
Sertifioidun tietojärjestelmän hankinnasta, ennen valtakunnalliseen tietojärjestelmäpalveluun liittämistä
Toimintayksikön asiakas- ja potilastietojärjestelmien käyttäjä- ja käyttöoikeushallinnasta
• Valvontaviranomaisella (kuten Valvira) on oikeus ja velvollisuus tehdä tarkastuksia
3 28.1.2016 THL / OPER
Omavalvonnan ja olennaisten vaatimusten säädökset
• Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 159/2007 (päivitetty 2014)
• Laki sähköisestä lääkemääräyksestä 61/2007 (päivitetty 2014)
• THL:n Määräys 1/2015: A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien olennaiset tietoturvavaatimukset
• THL:n Määräys 2/2015: Omavalvontasuunnitelmaan sisällytettävät selvitykset ja vaatimukset
• Lisäksi saatavilla ohjeita ja tukimateriaalia
• Perusperiaate: järjestelmien olennaiset vaatimukset ja sote-palvelutuottajien omavalvonta muodostavat jatkumon teknisistä järjestelmäratkaisuista turvallisiin käytäntöihin ja toimintatapoihin päivittäisessä työssä
4
Myös muut lainsäädännön vaatimukset huomioitava: esimerkki: henkilötietolaista johdettavia tietojenkäsittelyn vaatimuksia
• etukäteissuunnittelun vaatimus
• huolellisuus ja virheettömyys-, eheys ja luotettavuusvaatimus
• käyttötarkoitussidonnaisuus (tietoa ei saa käyttää ilman potilaan suostumusta tai laista johtuvaa perustetta luovuttaa toiseen tarkoitukseen kuin mihin se on kerätty)
• tarpeellisuusvaatimus. Asiakkaan tule esittää hyväksyttävä syy ja käyttötarkoitus tietojen luovutukseen.
• yhteysvaatimus (tiedon käytön edellytys on hoitosuhde tai muu laista johtuva peruste)
• informointivelvoite (suojaamisvelvoite (tietoa ei saa luovuttaa sivulliselle henkilölle tai informaatioprosessille)
• asiakkaan tarkastusoikeus
• virheellisen tiedon korjaamisoikeus
5
[T. Itälä ja P. Ruotsalainen, Tietoturvallinen
kommunikaatioalusta, Luovutusten ja luovutuslokin
hallinnan suositukset, OSVE 6/2004]
Yhteenveto / olennaisten vaatimusten ja omavalvonnan säädökset
• Nojautuvat aiempiin käytäntöihin mm. tietoturva-auditointien ja itseauditointien toteuttamisesta
• Selkeyttävät toimijoiden vastuita olennaisten vaatimusten ja omavalvonnan suunnittelussa ja toteuttamisessa
• Määräyksillä ja ohjeilla tehty edelleen tarkennuksia lakikohtien määritelmiin ja toimijoiden vastuisiin
• Erityisesti omavalvonnan osalta painotuksena omavalvonnan toteuttaminen ja seuranta
6
7
Omavalvonta: yleiskuva ja suhde tietojärjestelmien olennaisiin
vaatimuksiin
Miksi omavalvontasuunnitelma?
• Parantaa ja yhdenmukaistaa sosiaali- ja terveydenhuollon tietosuoja- ja tietoturvakäytäntöjä arkityössä
• Varmistaa, että henkilöstö tietää tietosuojaan ja tietoturvaan liityvät menettelyt ja noudattaa niitä asiakas- ja potilastietojen käsittelyssä
• Huomioi arkaluonteisen tiedon salassapidon merkityksen
• Helpottaa ymmärtämään väärinkäytöksen seuraamukset
• Ohjaa ja tukee tietoturvavaatimusten noudattamista
• Auttaa seuraamaan toimintaa käytännössä
• Auttaa varmistamaan myös muiden palvelun tuottamiseen osallistuvien tahojen tietoturvallisen toiminnnan
• Selkeyttää roolit ja vastuut toteutuksessa
8
Olennaisten vaatimusten todentamistavat
• Vaatimusten todentamisen perusvaihtoehdot
– Itseauditointi tai omavalvonta TAI
– Ulkoinen auditointi / sertifiointi (viranomainen tai valtuutettu taho)
• Todentamistavat
– Haastattelu
– Dokumentaatio
– Toiminnallinen testaus
– Validointi tai tekninen tarkastus (esim. lokit, sanomainstanssit, järjestelmän tuottamat raportit)
• Ensimmäisissä määräyksissä todentamistavat ja vaatimukset eivät erityisen tiukkoja; tulevaisuudessa mahdollista kiristää todentamistapojen vaatimuksia tarvittaessa
9
Huomioitavaa / olennaiset vaatimukset
• Valtakunnallisten määräysten mukaiset vaatimukset ovat minimivaatimuksia
• Vaatimusten avain on tietojärjestelmän käyttötarkoitus:
– määrittelee, mitä tarkempia vaatimuksia on toteutettava ja mille tasolle
• Kanta-palvelujen kautta tapahtuva tietojen yhteiskäyttö asettaa vaatimuksia kaikille liittyville tahoille ja järjestelmille
• Jatkumo tietojärjestelmien olennaisista vaatimuksista omavalvontaan: omavalvonnassa syytä ymmärtää myös järjestelmiin kohdistuvat olennaiset vaatimukset!
10
11
Omavalvontasuunnitelman sisältö, suunnitelman laatiminen ja omavalvonnan toteuttaminen
Omavalvontasuunnitelman minimivaatimukset ja selvitykset
• Omavalvonnan kautta varmistutaan vähintään:
1. Henkilöstön riittävästä koulutuksesta ja kokemuksesta
2. Asianmukaisten käyttöohjeiden saatavuudesta
3. Asianmukaisesta käytöstä järjestelmän valmistajan ohjeiden mukaan
4. Menettelytavoista virhe- ja ongelmatilanteissa
5. Toimintamallista asennus-, ylläpito- ja päivitystilanteissa
6. Käyttöympäristön vaatimustenmukaisuudesta
7. Tietojärjestelmien vaatimustenmukaisuudesta
8. Liittymisestä valtakunnallisiin tietojärjestelmäpalveluihin
9. Riittävistä käytön seuranta- ja valvontatoimenpiteistä
12
Tavoitteena varmistaa, että kaikki asiakas- ja potilastietojen käsittelyyn
osallistuvat osaavat toimia oikein, ja että huolehditaan näihin seikkoihin
kohdistuvista vaatimuksista
Suunnitelman kohde
• Selvitetään ne tahot, jota tämä Omavalvontasuunnitelma koskee
– ”kenen omavalvontasuunnitelma on kyseessä”
– tässä kohdassa siis ei vielä esim. järjestelmien luettelointia
• Laaditaan kuvaus suunnitelman hyödyntämisestä tietojärjestelmien käytössä, käytön valvonnassa, hankinnoissa ja kehitystyössä sekä tähän mahdollisesti liittyvissä päätöksissä
• Kuvataan myös, miten omavalvontasuunnitelman toteutumisen seurannan menettelytavat on suunniteltu.
• Menettelytapojen on oltava todennettavissa tarkastusten yhteydessä
13 13
Yleiset tietoturvakäytännöt
Sisällytettävä kuvaukset tai viittaukset seuraavista asioista:
• Tietoturvapolitiikka: tiedot sen tarkastamisen ja kehittämisen käytännöistä
• Yleistiedot: tietoturvan vastuutuksesta, organisoinnista, seurannasta ja valvonnasta sekä tietosuojavastaavista
• Koulutus, ohjeistus, kokemus ja niiden seuranta
• Toimintamallien koulutus ja perehdytys
• Tietojärjestelmien käyttökoulutus
• Riittävä kokemus
• Ohjeet ja koulutus potilastietojen käsittelystä
14
Omavalvontasuunnitelman laatiminen on sitä yksinkertaisempaa, mitä enemmän pohjatyötä
on jo tehty
• Omavalvontasuunnitelmassa
– Viitataan aina kuin mahdollista, olemassa oleviin, erikseen ylläpidettäviin ohjeisiin ja dokumentteihin (esimerkiksi linkkien avulla)
– Olennaista on, että suunnitelmasta selviää, mistä tiedot / dokumentaatio on löydettävissä tai miten vaatimuksen täyttyminen on todennettavissa.
– Mikäli valmista dokumentaatiota ei ole, omavalvontasuunnitelmaan kuvataan vaadittavat asiakokonaisuudet ja toimintatavat
15
HYÖDYNNÄ:
Tietoturvapolitiikka
Kokonaisarkkitehtuurikuvaukset
Laatukäsikirja
Omat tietoturvallisuusohjeet
Tietojärjestelmäpalvelujen tuottajien ohjeet
Jne.
Perustiedot Potilastiedon arkiston kansallisesta toimintaympäristöstä
Omavalvonta-
suunnitelman
kokoaminen
Projektin
hallinnointi
Viestintä
Organisaatioiden
toimintamallit
Henkilöstön
koulutus
ja muu
tukimateriaali
Jatkuvuuden
varmistaminen
Varmenteiden
hankinta ja
käyttö
Hallinnolliset
päätökset
Rekisteritiedot
Koodisto-
palveluun
Esimerkki: potilastiedon arkiston
käyttöönotto Käyttöönottoa edeltävät tehtäväkokonaisuudet
Teknisen
ympäristön
toteutus
Käyttöönotto ja
käytön
aloittaminen
Kanta –palvelun
liittymissopimus
ja käyttöönotto-
koe
Arkiston hallinta
16
HUOM
• Omavalvontasuunnitelma on sovellettava OMAAN TOIMINTAAN
• Mukana paljon eri tyyppisten toiminta- ja käyttöympäristöjen piirteitä
• Merkittävissä suunnitelmaan, mikäli jotkin suunnitelman / määräyksen vaatimuksista eivät ole relevantteja omassa toiminnassa
– Esim. pieni liite perusteluineen
• Merkittävä suunnitelmaan, mikäli joistakin suunnitelman asioista vastataan esim. sopimusten tai hankintojen kautta
– Nämä oltava myös todennettavissa
17
Omavalvontasuunnitelman mallipohjat
• Määräyksen liitteenä yleinen pohja, jossa malleja ja ”valmiita paikkoja” asioille, joihin omavalvonnassa (ja suunnitelmassa) on vastattava
• Lisäksi saatavilla mm.
– Mallipohja yrityksille/itsenäisille ammatinharjoittajille (Potilastiedon arkiston käyttöönoton käsikirja yksityisille)
– Mallipohja apteekeille (Suomen Apteekkariliitto)
– Eri yritysten tarjoamia pohjia, joissa voi olla myös muita arvioitavia seikkoja kuin minimivaatimukset
• Sovellettava omaa tilannetta vastaavalla tavalla
– Vaatimusten toteuttaminen eri tavoin mahdollista eri tyyppisissä organisaatioissa ja palveluissa
– Erilaisten sopimusjärjestelyjen vaikutukset omavalvontaan huomioitava
– Perusteltavissa, mikäli jokin vaatimus tai kohta ei ole relevantti omien palvelujen / oman käyttöympäristön kannalta
18
Yhteenveto
• Kun kokoat omavalvontasuunnitelmaa, pystyt samalla toteamaan, miten hyvin keskeisiä tietosuoja- ja tietoturva-asioita omassa organisaatiossasi on jo hoidettu ja missä vielä tarvitaan parannusta
– Yhtenä pohjana omavalvontasuunnitelman mallipohjat
– Ensin liikkeelle ”omasta toiminnasta”, tarkennukset vähitellen myös sopimusten kautta hallittaviin seikkoihin
• Vasta suunnitelman mukaisesti toimiminen parantaa tietoturvallisuutta!
19
20
Useimmin kysytyt kysymykset omavalvontasuunnitelmaan
liittyen
Suhde Valviran omavalvontasuunnitelmaan
• Mikä on Asiakastietolain mukaisen omavalvontasuunitelman suhde Valviran omavalvontasuunnitelmaan?
– Valviraan tehtävä omavalvontasuunnitelma laajemmin toiminnan kannalta tehtävä
– Asiakastietolain mukainen omavalvontasuunnitelma keskittyy asiakas- ja potilastietojen käsittelyyn, tiedonhallintaan, tietojärjestelmien hallintaan sekä tietoturvaan ja tietosuojaan
21
Tietosuojavastaava
• Tietosuojavastaavan valinta -kuka sopii tehtävään, pitääkö valittu henkilö kouluttaa siihen, onko ylipäätään koulutusta tarjolla ja mitä se maksaa?
– Tietosuojavastaavan tehtävään ei ole erityisiä soveltuvuuskriteereitä tai koulutusvaatimuksia
– Yleinen kuvaus tehtävästä http://www.kanta.fi/tietosuojavastaava
– Tietosuojavastaavan tehtäväkuva –mallipohja
– Koulutusta tietoturvasta ja tietosuojasta:
• Tietoturva ja tietosuoja –verkkokoulu kanta.fi -sivustolla
• Vuosittainen soten tietosuojaseminaari (järj. mm. Kuntaliitto, TSV, FCG)
• STTY:n (Sosiaali- ja terveydenhuollon tietojenkäsittely-yhdistys) tietosuojavastaavien jaosto
– Materiaalia: Tietosuojavastaavan käsikirjat 1 ja 2 (Andreasson, Koivisto, Ylipartanen)
22
Tietoturvapolitiikka
• Kuinka tarkka esitys omavalvontasuunnitelman liitteeksi pitää tietoturvapolitiikasta yrityksissä tehdä? Järjestömme on tuottanut jäsenistölle Tietoturvapolitiikan mallin. Riittääkö se, että yrittäjä liittää sen osaksi omavalvontasuunnitelmaa edellyttäen tietenkin, että on sisäistänyt sen sisältämän sanoman?
– Mallipohjia voi hyvin käyttää. Keskeistä on se, että palvelun tuottaja sisäistää asian, ja täydentää mallipohjaan oman organisaationsa näkökulmasta
23
Vastuut järjestelmätoimittajan ja yrityksen välillä omavalvonnassa
Mistä tiedän, mitkä asiat omavalvonnassa kuuluvat sosiaali- ja terveydenhuollon palveluntuottajan/ ammatinharjoittajan vastuulle ja mitkä tietojärjestelmätoimittajan vastuulle?
• Kokonaisvastuu omavalvontasuunnitelman laatimisesta, suunnitelman mukaisesta toiminnasta ja toteutumisen seurannasta on sosiaali- ja terveydenhuollon organisaatiolla
• Järjestelmätoimittajan rooli voi vaihdella järjestelmän hankinta- ja ylläpitomallin mukaisesti
• Myös välittäjällä ja välityspalvelun toteuttajalla voi olla sopimuksin sovittuja vastuita (ja myös omavalvontasuunnitelmia)
• Vastuut kirjattava sopimuksiin ja omavalvontasuunnitelmaan kuvatta miten asiasta on sovittu järjestelmätoimittajan / välityspalvelun tuottajan kanssa
• Esim. hankittaessa järjestelmä palveluna järjestelmätoimittaja vastaa järjestelmän teknisestä ylläpidosta, versioiden asennuksista, tietoliikenteestä, voi toimia valtuutettuna välittäjänä, huolehtia Kanta-liityntäpisteestä ym.
24
Omavalvontasuunnitelman julkisuus
• Tuleeko omavalvontasuunnitelman olla julkisesti nähtävillä esimerkiksi internetissä, vai riittääkö, että suunnitelma on henkilöstön nähtävillä?
– Omavalvontasuunnitelman ei tarvitse / pidäkään olla julkisesti nähtävillä
– Monissa tilanteissa ja organisaatioissa suunnitelma sisältää sellaista tietoturvallisuustietoa, joka on syytä pitää ulkopuolisten saavuttamattomissa tai poissa julkisesta jakelusta
– Henkilöstön tulee olla tietoinen omavalvontasuunnitelmasta tai ainakin niistä sen asioista jotka heitä suoraan koskevat
25
Mikä on riittävä henkilöstön kokemus?
• Miten määritellään henkilöstön riittävä kokemus?
– Henkilöstön kokemus järjestelmän käyttöön kasvaa järjestelmien käytön ja koulutusten myötä
– Keskeistä on, että uusille työntekijöille järjestetään riittävä koulutus ja perehdytys järjestelmän käyttöön
26
Tietojärjestelmän käyttäminen valmistajan ohjeiden mukaisesti
• Omavalvontasuunnitelman kysymys: "Miten varmistetaan ja todennetaan, että tietojärjestelmiä käytetään valmistajan antamien ohjeistusten mukaisesti tai niitä tarkoituksenmukaisesti soveltaen tai täydentäen."
– Kun koulutus, ohjeistus ja seuranta on toteutettu siten, että ajantasaiset ohjeistukset ovat saatavilla ja käyttäjät tuntevat ohjeet, ja käyttöön liittyville käyttäjien kysymyksille (myös ohjeisiin liittyen) on määritelty selkeä ja tiedossa oleva toimintatapa, ei pidemmälle menevää todentamista voida nykyisellään edellyttää.
– Luokan A tietojärjestelmien olennaisissa tietoturvavaatimuksissa edellytetään käyttötarkoituksen mukaista käyttöä, asennusta ja ylläpitoa varten tarpeellisten ohjeiden saatavuutta. Ohjeiden on vastattava käytössä olevaa versiota. Mikäli ohjeet on tarkoitettu päivitettäväksi tai täydennettäväksi käyttöympäristökohtaisesti, on päivityksestä tai täydennyksestä oltava saatavilla selkeä ohjeistus.
– Useissa eri ympäristöissä käytettävissä tietojärjestelmätuotteissa voi myös olla yleinen käyttöohjeistus, jonka tueksi tarvitaan paikallisesti tarkennettuja ohjeita tai menettelytapoja. Sopimuksista riippuu, kuka tällaiset ohjeet tuottaa.
27
Lokivalvonnan toteuttaminen
• Onko yksityiskohtaisempia ohjeita lokivalvonnan toteuttamisesta eri potilastietojärjestelmissä?
– Järjestelmien käyttölokivaatimukset on kuvattu dokumentissa Vaatimukset potilastietojärjestelmien käyttölokeille
– Lokivalvontaa tehdään
• Suunnitelmallisesti, eli organisaatio suunnittelee etukäteen lokitietojen seurannan ja tarkastukset (toistuvuus, laajuus)
• Potilaan pyytäessä lokitietoja
• Kun organisaatiossa herää epäily tietojen käytön asianmukaisuudesta
– Käsikirjan tukimateriaaleissa taulukko, johon voi koota ”kirjanpitoa” tehdystä lokivalvonnasta, havainnoista ja jatkotoimenpiteistä
28
Sosiaali- ja terveyspalvelujen omavalvonta: yhdessä vai erikseen?
• Sosiaali- ja terveyspalveluihin yleensä järkevää tehdä yhteinen tietoturvallisuuden ja tietosuojan omavalvontasuunnitelma, jos omavalvonnan kohteen toimintaan kuuluu molempia
– Eriyttäminen perusteltua ja sallittua, jos myös toiminta eriytettyä
• Sosiaalipalvelujen osalta tietoturvallisuuden ja tietosuojan omavalvontasuunnitelma yleensä järkevää erottaa sosiaalihuollon palvelujen omavalvontasuunnitelmasta
– ks. kohta ”Suhde Valviran omavalvontasuunnitelmaan”
• Omavalvontasuunnitelman sisällön ei ole välttämätöntä olla yhdessä dokumentissa myöskään siitä näkökulmasta, että eri henkilöstöryhmille voi olla omia tiivistelmiään / osioitaan (esim. järjestelmien ylläpitoyksityiskohdat eivät tarpeellisia kaikille ”peruskäyttäjille”)
29
30
Kiitos!
Kysymyksiä ja
lisätietopyyntöjä voi
lähettää [email protected]
Lisätietoja sertifioinnista ja omavalvonnasta:
Tiedon ja vaatimusten yhdenmukaistaminen
https://www.thl.fi/fi/web/tiedonhallinta-sosiaali-ja-
terveysalalla/tiedon-ja-vaatimusten-
yhdenmukaistaminen
Kanta sertifiointi
http://www.kanta.fi/web/ammattilaisille/sertifiointi
Yksityiset ja itsenäiset ammatinharjoittajat
http://www.kanta.fi/web/ammattilaisille/potilastiedon-
arkiston-kayttoonoton-kasikirja