Omavalvonta sosiaalialalla. Osa 2: Tietoturva- ja tietosuoja

Ensimmäisessä osassa keskityimme omavalvonnan laatuun. Tässä osassa puolestaan keskitymme niihin vaatimuksiin, joita Kanta palvelut sekä muut sosiaalialan tietojärjestelmiin liittyvät vaatimukset ja muutokset tuovat mukanaan myös omavalvontaan. Kirjoituksen alussa keskitymme yleisiin tietojärjestelmiä koskeviin vaatimuksiin ja tämän jälkeen kerromme, mitä tämä tarkoittaa omavalvonnan kannalta.

busy

Vaikka normaali arki onkin kovin kiireistä eri sosiaalialan yrityksissä, tulevien muutoksien vaatimien toimenpiteiden täytäntöönpanon suhteen ei kannata viivytellä, ne täytyy olla jokatapauksessa tehtynä hyvissä ajoin ennen Kanta palveluun liittymistä. Työtä riittää ennen kuin kaikki sähköisten toimintaympäristöjen vaatimat eri toimenpiteet on suoritettu ja viety osaksi yrityksen toimintaa. Lyhyesti THL:n vaatimuksessa todetaan, että palvelun tuottajan on kuvattava omavalvontasuunnitelmassa tietoturvaan, tietosuojaan ja tietojärjestelmien käyttöön liittyviä yrityksen käytäntöjä. Osana omavalvontasuunnitelmaa on kuvattava se, kuinka palvelujen antaja varmistuu siitä, että käytettävät tietojärjestelmät ja tietojärjestelmäpalvelut täyttävät tämän määräyksen mukaiset vaatimukset. (THL määräys 1/2015)

error

Positiivista muutoksessa on se, että se on sama kaikille. Jokainen sosiaali- ja terveysalan yritys Suomessa on samojen vaatimuksien äärellä. Nämä vaatimukset asettavat tiettyjä toimenpiteitä niin järjestelmien valmistajille, kuin niitä käyttävillekin. Käytännössä siis jokaisen järjestelmä valmistajan on toteutettava järjestelmässään ne vaatimukset, jota sen käyttötarkoitus sille asettaa. Vastavuoroisesti kaikkien sosiaali- ja terveydenhuollon palveluita tuottavien sekä apteekkien on huolehdittava siitä, että niiden käyttämät järjestelmät täyttävät ainakin järjestelmille asetetut vähimmäisvaatimukset. Vähimmäisvaatimukset on eritelty niin sähköiseen reseptiin, potilastiedon arkistoon kuin sosiaalihuollon asiakastiedon arkistoonkin liittyen.

Tietojärjestelmän valmistajien on ilmoitettava Valviralle vuoden 2016 loppuun mennessä tuotantokäyttöön otettavista sosiaali- ja terveydenhuollon tietojärjestelmistä. Valvira tuottaa vuoden 2017 alkuun mennessä julkisen rekisterin näistä tietojärjestelmistä. Sosiaali- ja terveyspalveluita tuottava yritys voi näin ollen tarkistaa rekisteristä löytyykö sieltä nykyinen tai suunniteltu tietojärjestelmäpalveluiden tuottaja. Yritys voi siis itsenäisesti valita järjestelmänsä, kunhan se löytyy rekisteristä tai tulee liittymään rekisteriin. Yrityksen omalla vastuulla on myös edelleen omavalvontasuunnitelma ja niiden käytäntöjen suunnittelu joilla taataan asiakas- ja/tai potilastietojen turvallinen käsittely omassa toiminnassa.

laki2

Asiakastietolain 19 § :n mukaisesti sosiaali- ja terveyspalvelun tuottajan on laadittava tietoturvaan ja tietosuojaan  sekä tietojärjestelmien käyttöön liittyvä omavalvontasuunnitelma. Tämän tarkoituksena on varmistaa, että palvelun tuottaja sekä yrityksessä työskentelevä henkilökunta hallitsee käytössä olevien tietojärjestelmien käytön. Työkäytäntöjen osalta on myös tärkeää, että henkilökunta tietää potilas- ja asiakastietoihin liittyvät salassapitoon ja tietoturvaan liittyvät  käytännöt ja ymmärtää väärinkäytöksistä aiheutuvat seuraamukset. Asiakastietolain 19§:n lisäksi omavalvontaan liittyviä säännöksiä löytyy myös terveydenhuoltolaista (1326/2010), yksityisestä terveydenhuollosta annetussa laista (152/1990) ja yksityisestä sosiaalihuollosta annetussa laista (992/2011).

Tärkeintä on, että yrittäjä pystyy toiminnassaan todentamaan omavalvonnassa kuvatut ja tietosuoja lainsäädännössä edellytetyt asiat valvovalle viranomaiselle pyydettäessä. Lainsäädännössä korostuu yrityksien osoitusvelvollisuus, mikä sanamukaisesti on sitä, että yritykset osoittavat tietosuojakäytäntöjen ja asiakirjojen kautta täyttävänsä niille asetetut vaatimukset.

Omavalvonnassa tietojärjestelmien tekniset toiminnallisuudet ja näihin liittyvien vaatimuksien täyttäminen ovat tietojärjestelmäpalveluiden tuottajan vastuuta. Sosiaali- ja terveyspalveluita tuottavan organisaation on kuitenkin varmistettava, että näistä vaatimuksista on huolehdittu valmistajan toimesta ja siksi ne tuleekin ottaa huomioon jo hankintoja suunniteltaessa ja ostosopimuksissa.

Tärkeimpänä ajatuksena tietoturvaan ja tietosuojaan liittyvissä omavalvonnan vaatimuksissa on se, että niiden avulla varmistetaan ja vahvistetaan sosiaali- ja terveydenhuollon toimijoiden tietoturvakäytäntöjä. Siksi palvelun tuottajan tuleekin varmistaa, että omavalvonta suunnitelma toteutuu kaikissa sen palveluyksiköissä ja muiden palveluiden tuottamiseen osallistuvien tahojen toiminnassa esimerkiksi ostopalveluissa.

apua-tietokone

Mitä tietoturvaan ja tietosuojaan liittyvän omavalvonnan tulisi siis sisältää?

  1. Omavalvonnassa tulee kuvata ne tavat, joilla vastuut on määritetty yrityksessä. Nämä vastuut koskevat asiakas- ja potilastietojen käsittelyä toiminnallisuuden, tietoturvallisuuden ja yhteistoiminnallisuuden osalta. Vastuut on määriteltävä ja kuvattava vaikka käytännön vastuu olisikin jollakin muulla palveluhankinnan tai sovellusvuokrauksen kautta. Tämä sen vuoksi, että omavalvonnan kohde vastaa omavalvontasuunnitelmasta silloinkin kun se hankkii käyttöympäristön tai muita tietoteknisiä palveluita ostopalveluina. Huomionarvoista on se, että tietoturvavastuut tulee ulottaa myös alihankkijoihin ja muihin sopimuskumppaneihin.
  2. Omavalvonnan kohteen tulee myös selvittää käytetyn palvelun viestinvälitysoperaattorin ja palvelun tarjoajan väliset tietosuoja käytännöt. Mikäli viestinvälitys on ulkoistettu ei-suomalaiselle yritykselle tulee sen toteuttamisessa noudataa Suomen lainsäädäntöä. Mikäli käytettävät viestinvälityspalvelut ovat ulkomaisia tulee omavalvonnan kohteen selvittää ettei toisen maan viranomaisilla ole mahdollista päästä käsiksi viestintään tai välitettyihin tietoihin.
  3. Omavalvontaan kuuluu olennaisesti myös henkilöstön kouluttaminen. Yrityksessä työskentelevien henkilöiden on suoritettava koulutuksia niin potilastietojen käsittelyyn tietosuoja- ja tietoturva-asioihin liittyen. Koulutuksen määrä ja kesto suhteutetaan henkilön työtehtäviin.
  4. Koulutuksiin liittyen omavalvonnan kohteella tulee olla koulutussuunnitelma ja toimintamalli perehdyttämiseen, kouluttamiseen ja näiden seurantaan. Koulutussuunnitelmassa tulee kuvata vaadittavan koulutuksen sisältö ja toteuttamistavat. Pelkkä listaus tarvittavista koulutuksista ei siis ole riittävä dokumentointi. Koulutukseen osallistuminen tulee todentaa esimerkiksi todistuksilla muilla soveltuvilla merkinnöillä koulutukseen osallistumisesta. Lain mukaan tietojärjestelmiä käyttäviltä vaaditaan myös kokemusta. Tätä kokemusta ja siihen liittyvää osaamista tuleekin seurata ja niitä henkilöitä tulee tukea koulutuksin, joiden osaamisessa on puutteita.
  5. Omavalvonnassa tulee kuvata ne keinot miten varmistetaan, että tarvittavat käyttöohjeet ovat kaikkien niiden saatavilla, jotka käyttävät asiakastyöhön liittyviä tietojärjestelmiä. Käyttöohjeet tulee olla sillä kielellä, jonka osaaminen on vähimmäisvaatimus työn suorittamiselle. Omavalvonnassa otetaan siis kantaa ja kuvataan mistä löytyvät järjestelmän valmistajan ohjeet, tiedot koulutuksista sekä ne käytössä olevat menettelytavat joilla seurataan tietojärjestelmien ohjeiden mukaista käyttöä.
  6. Mahdollisien ongelmatilanteiden osalta omavalvonnan kohteella tulee olla määriteltynä selkeät menettelytavat, ohjeet ja vastuut, jotta tällaiset tilanteet pystytään havainnoimaan, tiedottamaan ja korjaamaan ajoissa. Tämän lisäksi on kuvattava missä ohjeet ovat saatavilla poikkeustilanteesta huolimatta. Kaikki järjestelmän käyttöön liittyvät tukipalvelut on myös kuvattava.
  7. Omavalvonnan kohteen on selvitettävä miten järjestelmään liittyvät päivitykset ja ylläpito hoidetaan riittävän asiantuntevasti. Mikäli tämä vaatii omaa henkilöstöä, omavalvonnan kohteen tulee varmistaa ylläpidosta vastaavien riittävä asiantuntemus. Asennukseen, ylläpitoon ja päivitykseen liittyvät seikat voidaan osoittaa suunnitelmalla, joka sisältää kuvaukset päivitys, muutoksenhallinta ja korjausprosesseista sekä virhe ja poikkeustilanteisiin liittyvistä menettelytavoista. Samoin on kuvattava tietojärjestelmiä asentavan ylläpitävän ja päivittävän henkilön rooli ja vastuut suhteessa omavalvonnan kohteeseen ja tietojärjestelmä palvelun tuottajaan.
  8. Omavalvonnan kohteen tulee määrittää tietoturvapolitiikka, jota yrityksessä noudatetaan. Tässä politiikassa kuvataan miten sitä tarkastetaan, kehitetään, miten tietoturva on vastuutettu ja organisoitu toiminnan tavoitteiden saavuttamiseksi. Tähän sisältyy olennaisesti myös riskienhallinta sekä kansallisten vaatimuksien seuranta ja toteutuminen
  9. Yrityksien tulee myös määrittää kuka on yrityksen tietosuojavastaava. Tietosuojavastaava toimii yrityksessä tietosuojaan liittyvien asioiden asiantuntijana. Tietosuojavastaavalla tulee olla selkeä ja dokumentoitu tehtävänkuva.
  10. Tietosuojaan liittyen yrityksen on myös määriteltävä oma seuranta- ja valvontasunnitelma. Tässä suunnitelmassa otetaan kantaa esimerkiksi siitä millä tavoin seurataan henkilötietojen käytön seurantaa ja miten toimitaan mikäli väärinkäytöksiä ilmenee.
  11. Käyttöoikeuksien osalta omavalvonnan kohteen tulee myös tehdä omia määrityksiään. Tähän liittyy mm. käyttöoikeuksien hallinta ja se hallitaanko näitä käyttöjärjestelmän vai ulkopuolisen järjestelmän avulla. Käyttöoikeuksia tulee hallinnoida tarkasti ja niihin tehdyistä muutoksista tulee pitää lokia. Käyttöoikeudet tulee dokumentoida, kuvata ja rajata esimerkiksi käyttäjä roolien mukaisesti.Kanta palveluihin liittyvissä järjestelmissä ei voi olla yhteiskäyttötunnuksia.
  12. Kanta palveluin liittyvissä tietojärjestelmissä käytetään vahvaa tunnistautumismekanismia tai poikkeustapauksissa vahvaa salasanaa käytäen. Tämän ja muiden teknisten vaatimusten toteuttaminen on myös kuvattava omavalvontasuunnitelmassa.
  13. Omavalvonnan kohteen on kiinnitettävä huomiota myös tietosuojan- ja tietoturvan takaavaan fyysiseen käyttöympäristöön. Tähän liittyy toimitilat, tilojen sijoittelu, sisustus, äänieristys, näyttöjen ja tulostimien sijoittelu ja suojaaminen sivullisilta.
  14. Mahdollisten liikuteltavien potilastietoja sisältävien laitteiden osalta on myös kuvattava, miten niiden tietoturvasta ja tietosuojasta on huolehdittu.
  15. Mahdollisten paperisten tulosteiden osalta, jotka saattavat sisältää asiakas-tai potilastietoja, on myös kuvattava miten niiden tietosuojasta ja tietoturvasta on huolehdittu ja miten näitä säilytetään ja hävitetään.
  16. Omavalvonnan kohteen tulee yksilöidä mistä löytyy tieto järjestelmistä ja niiden versioista, joita omavalvonnan kohteessa käytetään. Tällaisia järjestelmiä ovat  1) suoraan kantapalveluihin liittyvistä A luokan järjestelmät 2) asiakas- ja potilastietoja käsittelevät B luokan järjestelmät ja 3) muut tietojärjestelmät
  17. Omavalvonnan kohteen on varmistettava, että käytössä olevat eri tietojärjestelmät eivät vaaranna toistensa suorituskykyä tai tietosuoja- ja tietoturvaominaisuuksia.
  18. Mikäli omavalvonnan kohde on liittynyt Kanta palveluiden käyttäjäksi tulee omavalvonnassa selvittää miten palvelun tietoturvallinen käyttö varmistetaan. Kansallisen tietojärjestelmä palvelun käyttö edellyttää erityistä seurantaa ja valvontaa.
  19. Omavalvonnan kohteen on varmistettava omalta osaltaan, että kanta-palveluihin arkistoidaan ainoastaan sosiaali- ja terveydenhuollon rekistereihin kuuluvia potilas- ja asiakasasiakirjoja. Se ei siis ole kaikkien dokumenttien dokumentti pankki, näitä varten yrityksellä tulee olla oma tietojärjestelmänsä.